捋8百理|圄理i1iml明Z匿1lMmn团圆p"I 银行信息科技凤险管理架构及实施建议上海华瑞银行(筹)信息科技部陈勤伟随着金融信息科技的发展,银首席信息官或首席风险官(风险管业务部门的负责人担任委员,负责行业务对信息科技的依赖逐断加深,理委员会)报告工作银行业金监督信息科技各项职责的落实,定日前已发展到没有信息科技的支持融机构为确保符合监管对信息科技期向董事会和高级管理层汇报信息银行将无法开展业务、信息系统一风险管理的监管要求,应降低因控科技战略规划的执行、信息科技预旦发生大面积瘫痪甚至会导致银行制缺失给银行自身带来的信息科技算和实际支出、信息科技的整体状无法正常营业的风险,因此,对于风险及由此引发的合规、操作和声况(含信息科技风险管理)。信息科技风险的有效控制和管理成誉等风险。在工作层面,应设立一个专职了商业银行内生的强大动力。事实团队负责信息科技风险管理工作,一、整体思路和目标上,在《新巴塞尔资本协议中~, 并直接向首席信息官(CIO)或首信息科技风险是银行操作风险中"系1 .整体思路席风险官(CRO)报告工作。该团统、人员、流程"中最为重要的组围绕银监会指引,结合金融机队应为信息、科技突发事件应急响应成部分,中国银监会更是将信息科构尤其是中小商业银行自身实际情小组(此小组亦为银行业务连续性技风险作为单独的风险予以监督和况,以合规、高效、低成本为准绳,运作小组的一部分)的成员之一,管理,并在2009年专门出台了《商建立和完善银行信息科技风险管理负责协调制定有关信息科技风险管业银行信息科技风险管理指引~(以架构和运行机制。理策略,尤其是在涉及信息安全下简称"{指引~") ,要求将信2.宗旨目标( lnformation Security )、业务连续息科技风险管理纳入银行全面风险(1)确保银行信息科技风险管性计划(Business Continuity Plan) 管理框架,对银行业信息科技风险理实施到位,信息科技风险得到有和合规性风险(ITCompliance 的治理、组织架构和职责、管理措效缓释。Risk)等方面,为业务部门和信息施进行了详细的规定。(2)确保信息科技风险管理架科技部门提供建议及相关合规性信银监会已于2012年在银监会和构符合监管规定和银行自身需要。息,实施持续信息科技风险评估,地方银监局两个层面分别成立了专跟踪整改意见的落实,监控信息安二、组织架构门的银行业信息科技监管部门,致全威胁和不合规事件的发生。为推进银行信息科技风险管理力于通过现场检查和非现场监控等科技风险团队的职责似乎与银工作,银监会要求商业银行在高方式,加强银行业信息科技的风险行既有的信息安全团队有一定的重管层面成立"信息科技管理委员监管。叠,实则有较大的区别,具体如会"ITC,由CIO或分管IT工作的根据《指号。第十条"商业银表1所示:行领导担任主席,其他高级管理层行应设立或指派一个特定部门负责从表I中可以看出,科技风险(如CRO)、信息科技部门和主要信息科技风险管理工作,并直接向管理作为银行风险管理的有机组成 I中国盒融电脑77
科技管理ECHNOLOGY 部分,侧重于制订高阶的风控策略效的管控。两者虽有区别,但可互策略方面,可考虑在银行整体风险和机制,使得信息科技风险得到从为补充。管理政策下单独制定信息科技风险识别、评估、实施控制再到计量、管理政策及相应的管理办法.内容一实施方案和优缺点监测的全周期管理,采用的是风险应涵盖信息分级与保护、信息系统管理的理论和方法论。而信息安全1 .工作内容开发、测试和维护、信息科技运行管理更侧重在科技风险管理的策略在实务操作中,信息科技风险和维护、访问控制、物理安全、人框架下的实施和落实,通过物理和管理团队的具体工作内容可涵盖如员安全、业务连续性汁,剧与应急处逻辑的各项安全措施的制订和实施,下几个方面。置等。使得银行整体信息安全凤险得到有(1)在制定信息科技风险管理( 2 )在凤险的识别和评估方面,侧重于制定持续的风险也只别和评估流程,确定信息科技中存在隐表1信息科技风险管理与信息安全管理对比患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定L M??风险制1111.安全凤险防范措施及所需资掘的优先级HT.*~风雪四条线属于第二道i 所属条线IT条线,属于第一道防线另IJ(包括外包供应商、产品供应商! 防I坊线和服务商)。;F二;.;-牛咂卢I王:~C10函μ;/0(3 )在实施控制措施方面,应i(ω1υ〉协助I口T部门制定符合银:(l门ω)负资建立和实施信息分类和保行总{体丰业务规j如刮U划l的信息科技战护体系依据信息科技风险管理策略和风险l略信时运行计划和信息科技风险评估计划(2)落实信息安全管理职能评估结果,实施全面的风险防范措(2)制定全面的信息科技风险;(3〕建立有效管理用户认证和访问施。防范措施应包括:!管理策略!控制流程①制定明确的信息科技风险管i(3)制定持续的风险识别和评iω确保设立物理安全保护区域估流程|明确相应的职责,采取必要的预防、1 理制度、技术标准和操作规程等,i检测和恢复控制措施! (4)依据信息科技风|呛ffl!l!策:e略和风险评估结果,实施全面(5)根据信息安全级别,将网络却IJi 定期进行更新和公示。!的风险防也措施;分为不同的逻辑安全城i ②确定潜在风险区域,并对这(6)制订措施,确保所有计算机操i(5)建立持续的信息科技风险|B作系统、系统软件和应用软件的安全1些区域j进行详细和独立的监控,实工作职责i计量和监测机制(核指引(6)防范跨境监管差异所造成(7)制定相关策略和流程,管理所!现风险最小化。建立适当的控制框i的风阶;有生产系统的活动日志,以支持有效j的审核、安全取证分析和预防欺诈i 架,以便于检查和平衡风险;定义(8)采取加密技术,防范涉密信息!每个业务级别的控制内容,包括:i在传输、处理、(告过程中出现泄自在I j或被篡改的风险,并建立密码设各管最高权限用户的审查;控制对数据i理制度和系统的物理和逻辑访问;访问授(9)配备切实有效的系统,确保所i有终端用户设备的安全,并定期对所权以"必需知谨"和"最小授权"i有设备进行安全检查2 为原则;审批和授权;验证和调节。(10)制定相关制度和流程,严格管!i理客户信息的全周期管理i ( 4 )在风险的计量和监测方面,(jl)对所有员工进行必要的地训侧重建立持续的信息科技风险计量78 FINANCIAL COMPUTER OF CHINA
捋控管理i回噩噩阳回回医|和监测机制,其中应包括:表2信息科技风险团队设置方式的优缺点对比①建立信息科技项目实施前及偏息科技风险实施后的评价机制。优点i 缺点1 因队设置方式②建立定期检查系统性能的程(1)实际的工作抓孚不多,i导致工作难以做深、做实,工i序和标准。独立设置,放在叫线与IT结合紧密,容易开展;作容易边缘化j t向CIO汇报;工作③建立信息科技服务技诉和事(2)本质上仍属于IT条线,7监管白雪求尹出入协.........J 故处理的报告机制。(1)与IT一道防线分离④建立内部审计、外部审计和独立性较好(1)脱离一道防线,对风险!(2)可与操作风险、合规、:的识别和敏感度下降监管发现问题的整改处理机制。i独立设置,放在风险条线,向CRO汇报;业务连续性等二道防线工作i(2)实际的工作抓手较少,⑤安排供应商和业务部门对服i相结合,工作上有互补;难以做实务水平协议的完成情况进行定期l (3)与监管的本意比较相符(1)与IT结合紧密,容易;审查。;开展工作⑥定期评估新技术发展可能造成;与安全管理团队合设,放(2)工作上有安全管理作为1独立性不够,工作职责与一道! ;~T~:~r:~~()~~: I事R孚,工作容易落地、做实?防线容易交叉,合规上有一定!的影响和已使用软件面临的新威胁。于IT条线,向CIO汇报i/....., -.-JA-..n...*’*..::I::I:n r::J-:::T!瑕疵(3)工作量较为饱和,且可:⑦定期进行运行环境下操作风走专业和管理路线,有利于Bi团队的可持续发展险和管理控制的检查。⑧定期进行信息科技外包项目的风险状况评价。的落地实施,而第(4)点的工作又设置,从实务工作需要来看较为合( 5 )在风险的识别、评估和计是此岗位最为重要的抓手内容,协适的是第二和第三个方案,在合规量、监测方面,侧重各种风险管理调相关的IT团队及业务部门予以实上的瑕疵可通过在操作风险条线设工具的组合运用,包括重点风险指施非常重要,这就要求在第(置兼职信息科技风险岗位与上述团5 )点标KRI、风险和控制自评估RACA充分、科学的使用各种工具对落实队进行对接来解决。等,将风险管理的方法工具化、统情况进行全方位、定期的监控。这总体来说,信息科技风险管理一化、模型化。而KRIIRACA工具项工作不仅需要此岗位的人员有强在国内银行业仍处于探索阶段,无中具体指标则应将上述第(1)-(4)有力的协调能力,也需要得到管理论是岗位的设置还是职责的划分在点的风险控制及监测内容纳入指标层的有力支持。监管和实务工作中仍有许多值得探的评估范围,定期予以评估及报告。2.汇报路线讨和改进的空间。而随着大数据、(6 )监管合规工作。作为对外在科技风险管理团队的汇报路云计算等新兴技术在银行业的逐步监管、外审,对内审计、合规的接口,线方面,按指引要求可考虑放在风使用,系统也逐步由封闭走向开放,负责收集、分析IT相关监管的合规险条线(向CRO报告)或IT条线(向相应的系统风险规模和特性也随之要求,指导各IT团队落实合规要求,CIO报告)两种方案,从工作职责演变,这又将倒逼银行业进一步研定期评估IT条线合规整体情况并向及落实难易度分析,相关方案的优究和改进风险管理的技术和工具,高层汇报。缺点如表2所示:形成更加完善的科技风险管理理论实际操作的难点在于第(4)点对于信息科技风险管理团队的框架。阻四 I q,国盒副电脑79
