原创《对商业银行信息科技风险管理》
该文是关于信息科技类硕士学位论文范文与商业银行和风险管理和科技相关论文怎么撰写。
移动互联、大数据处理、云计算、人工智能等一系列前沿技术与商业银行的业务创新深度融合,为客户提供了“适时而在”甚至“无时不在”的金融服务,信息科技已全面融入银行业务经营的每一个角落,与之相关的信息科技风险已日益成为影响商业银行业务发展的重要因素,对银行的风险防控水平提出了更高的要求.本文从分析信息科技风险管控难点着手,探究信息科技风险治理对策.
一、银行业信息科技风险的主要特征
中国银监会前主席刘明康曾表示:“如果银行系统中断1 小时,将直接影响该行的基本支付业务;中断1 天,将对其声誉造成极大伤害;中断2~3 天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定.”可见,信息系统安全运行是商业银行业务正常开展的重要保障和基本前提,关乎商业银行声誉、金融安全和社会稳定.信息科技风险的特殊性如下.
(1)广泛性.信息科技风险广泛地存在于信息系统、部门、业务、员工和外部事件中.
(2)易扩散.银行服务对象复杂、分布广泛,所提供的金融服务与个人、企业利益乃至国民经济息息相关,一旦发生重大IT 事件,会引起一系列的连锁反应,对银行声誉造成较大的负面影响.
(3)复杂性.引发信息科技风险的因素复杂,如系统的升级改造、生产运维、制度流程、人员操作、自然灾害、突发事件等都有可能促使科技风险更趋隐蔽和复杂.
(4)隐蔽性.在特定外部环境下安全隐患容易被忽视,但随着环境变化会逐步暴露出来.例如,系统中的漏洞在某种特定条件下被不法分子利用;内部操作、管理流程被内部人员违法利用等.
(5)变化性.随着信息技术水平的不断提高以及业务创新的不断深化,信息科技风险的表现形式也在不断发生变化.
(6)损失难以准确计量.信息科技风险产生的损失包括直接财务损失和间接损失,但目前仅用直接损失金额计量,远远低估信息科技风险给银行带来的影响.
二、银行业信息科技风险管理架构
银行业信息科技风险管理的“三道防线”建设,体现了科技、风险、审计部门相对独立、有效分工、适当交叉、合理覆盖、多级监督、信息共享、协同开展的信息科技风险管控工作机制.
1. 第一道防线是IT 治理
由IT 部门承担信息科技风险的直接管理责任,以风险控制的视角开展事前控制目标和预警指标制定,事中流程技术控制、应急处置,事后全面分析,以及现场或非现场的检查等工作.
2. 第二道防线是IT 风险管理
由风险管理部门和内控合规管理部门负责,风险管理部门将信息科技风险纳入全面风险管理体系,建立信息科技风险的控制标准和分类分级标准,对信息科技风险评估、监测、报告和计量.内控合规管理部门对IT制度建设、内部控制、合规管理及尽职监督检查和评价.
3. 第三道防线是IT 审计
审计部门按监管要求和风险状况,以独立的第三方立场开展信息科技审计,检查评估IT 部门风险管理、内部控制的充分性和有效性,促进IT 部门完善风控和内控机制.
三、商业银行信息科技风险管理难点
1. 信息科技风险管控边界定位认识的差异
(1)在信息科技风险管理过程中,科技部门存在“重开发运维,轻风险管理”的思想,认为工作重点应放在加快信息化建设和做好系统运行管理方面,风险识别、控制和检查监测是第二道防线的事,作为第一道防线,不能由自己检查自己、自己监督自己;风险管理只是事后独立的检查监督,应由第二道防线部门独立实施.这些观点的误区在于:一是没有认识到各道防线都可以运用风险识别、控制和检查监测来实现IT 风险管理目标;二是没有认识到将各种风险控制措施内嵌到日常管理活动中,可以实现更有效的事中风险控制;三是没有认识到有效运用风险管理方法,可以控制各种风险的威胁和影响.
(2)在信息科技风险“二道防线”管理中,存在检查监测主要着眼于“事后”查找问题,无法在事前和事中管控信息科技风险;IT 专业性较强,检查监测只是“走走形式”;或是“根据职责划分,过度追求发现风险越多越好,科技部门对风险问题的整改越快越好”的误区.这些观点没有认识到事前和事中管控信息科技风险的重要性;没有认识到将各种风险控制措施与第一道防线专业管理流程紧密连成一体;没有认识到信息科技风险管控重点和考核导向,难以充分发挥信息科技风险管理的价值,造成信息科技风险管理工作重点不突出、考核管理导向偏差、工作效率不高等问题,
2. 信息沟通和分享缺乏完善的途径
(1)从科技考核角度上,客观准确地反映IT 管理中的风险“不利于”其绩效考核,往往以“半封闭、半遮掩”应对“二道防线”部门的信息科技风险监控检查工作,人为掩盖风险隐患或事件,对于能在科技部门内部消除的风险隐患不能主动充分揭示,漏报、少报、小报信息科技风险隐患,或者低报真实的风险状况,导致部门之间信息不对称;在监控检查过程中提供的IT 资料内容简单,内外有别,未能真实、充分反映信息科技风险暴露情况.科技部门长期处于“半封闭”的运行状态,造成“二道防线”部门无法真正了解信息科技风险总体状况,缺乏有效监控.
(2)科技部门日常运维过程中,存在用技术性问题掩盖管理和人为操作错误的情况,导致风险隐患的根源问题得不到彻底解决或没有在事前或事中进行有效控制.同时这些信息科技风险事件和隐患没能及时、充分、有效地传递到“二道防线”部门,导致其无法对该类事件和隐患进行统计、分析并给出防控建议.
3.“一道防线”内部信息科技风险管理职责不明晰
科技部门内设的系统、网络、机房环境、应用、运维等IT 各子专业科室认为信息科技风险管理应由信息安全管理科室承担,而信息安全管理科室则认为应由信息科技各子专业科室承担其相关风险管理职责,角色不到位、职责认识不清使得各科室信息科技风险责任难以明确,资源不能有效整合,风险管控质量和效率难以提升.
4.“二道防线”的信息科技风险理念传导、培训不足
信息科技风险管理专业性强、涉及面广,监控人员需要具备一定的IT 专业知识和综合实践能力.在“二道防线”部门缺乏具有科技专业的信息科技风险监控人员,难以有效、独立承担信息科技风险的防控和合规操作监督管理职能.一是对信息科技风险理念的传导和监控手段培训不足,导致“二道防线”部门机械性、形式化、应付了事地开展信息科技风险监控,缺乏主动和创新,现场检查走过场,监控质量低,达不到监控效果.二是对信息科技风险监控要点补充和更新滞后,信息科技技术快速持续发展,IT 各领域风险不断变化,部分信息科技风险点已不再适用,新的信息科技风险点又未纳入风险监控点,导致监控点与实际脱节.
四、商业银行信息科技风险管理对策
1. 运用风险管理的方法科学管控信息科技风险
(1)确定合理的风险管理目标和容忍度
风险容忍度决定了信息科技风险管理的策略、重点和控制强度.商业银行要建立和完善信息科技风险容忍度指标管理体系,对信息科技风险实行容忍度管理,关键的信息科技风险容忍度指标要纳入操作风险经济资本计量体系.例如,对全行性中断、省域性长时间及国家重大活动等敏感时期核心系统中断“零容忍”,但对于局部营业网点中断,只要合理引导客户,控制好声誉风险,可以有一定的容忍度.
(2)制定信息科技风险管理标准和策略
信息科技风险分类分级策略是信息科技风险管理的基准.商业银行要制定信息科技风险分类分级策略,对信息系统、信息科技风险、信息科技风险事件实行分类分级管理,统一信息科技风险管理的逻辑和语言.
一是对信息系统实行分级管理.按信息系统的重要程度划分为核心生产系统、重要生产系统、一般信息系统,各级信息系统实行清单制管理.
二是对信息科技风险实行分级管理.按风险发生频率和风险影响程度划分为高、中、低风险.根据风险级别制定相应的风险防范措施,如:高风险隐患应立即采取控制措施,中等风险隐患尽快采取控制措施,低风险隐患要在限定时间内采取控制措施等.
三是对信息科技风险事件(项)实行分级管理.按照信息科技风险事件(项)的影响范围、持续时间、发生时段、信息系统级别和损失等因素划分为灾难性事件、重大信息科技风险事件、一般信息科技风险事件、信息科技风险事项.
(3)对信息科技风险进行计量和考核
将信息科技风险计量纳入操作风险经济资本计量体系,强化对重点领域操作风险计量,强化信息科技风险防控的主动性.按照操作风险高级计量法管理方式,建立信息科技风险计量方法、标准和模型,以业务环境与内部控制因素为基准,通过情景分析数据,制定中断时长与损失金额的转化标准,按中断时长计量操作风险经济资本.同时,根据监管要求和风险形势实施差异化风险计量考核,对监管部门专项治理领域,或是特殊时期、特定类型信息科技风险提高加计力度.例如,特殊时期发生信息科技风险事件, 或发生特定信息科技风险事件均要大幅提高信息科技风险经济资本计量标准.
2. 完善“事前、事中、事后”的信息科技风险管控机制
(1)以风险排查为主的信息科技风险控制阶段
一是“一道防线”部门要按照监管要求,在IT 关键环节设置恰当的风险管控措施.内设的信息安全科室要主动牵头各IT 子专业科室,利用各类风险检查控制工具,严格落实风险防控的具体措施和手段,做好自查和检查.二是“二道防线”部门要加强对IT 管理制度、规范和监管要求的落实情况检查,重点对关键风险控制措施执行情况的检查和评估,并根据检查结果评价IT部门的风险管理水平.
(2)以技术控制内嵌管理过程的专业化管控阶段
“一道防线”部门在IT 建设中,要以风险视角和理念,将风险管控措施集成内嵌于IT 管理中.一是要加强实时监测、预警和技术控制的主动风险管理;二是规范生产运行流程,落实风险管控责任制;三是采用自动化技术审核和分析生产系统日志,做好统计分析和评估;四是不断完善横向岗位制约、纵向权限制约的管理体系.
(3)以预防为主,完善信息科技治理的全面风险管理阶段
“一道防线”和“二道防线”部门要共同承担信息科技全面风险管理职责.一是完善部门间横纵双线、统分结合的信息科技风险管理体系,清晰划分职责边界,有效制衡,发挥部门的专业优势,提高风险管理效率,实现信息科技全面风险管理.二是优化完善信息科技治理.在用户管理、数据管理、变更管理、配置管理、事件管理、应急管理、系统网络安全、信息保密管理、机房管理等领域设置监测要点,制定相应的检查计划.三是加强业务性连续管理,定期组织演练.优化完善覆盖各技术领域的应急预案,定期组织实战演练,并根据演练和IT 建设实际适时更新预案.四是“二道防线”部门应从相对独立、专业化和系统性的角度加强信息科技风险管理,做好现场和非现场检查工作.深入分析和识别风险,对风险较高的IT 领域进行风险评估,有针对性地实施风险管控措施.
3. 完善信息科技风险信息的有效沟通和共享机制
(1)主动及时传导风险管控理念
“二道防线”部门通过会议、座谈、培训、风险提示等多种方式,及时将风险管理理念传导至“一道防线”部门,提高全员信息科技风险意识.同时,要及时将IT监控报告、评估报告、IT 内控评价报告、IT 外包评价报告等通报“一道防线”部门,加强信息科技风险信息横向沟通.
(2)主动及时充分暴露信息科技风险隐患
“一道防线”部门对发现的风险隐患信息及时、充分、有效地传递到“二道防线”部门.及时将信息科技风险分析、检查、自评估报告,监管评级报告,审计报告和底稿、信息科技风险事件报告等通报“二道防线”部门.“二道防线”部门要参与IT 日常管理,列席IT生产运行例会和重大科技事项会议,定期监测生产运行情况,实现信息共享,多维度综合评价,强化信息科技全面风险管理.
4. 建立常态的信息科技风险评估机制,提高风险识别评估的时效性
(1)组建稳定的信息科技风险评估团队,实施评估专业化
评估检查团队成员应由风险管理条线、信息科技条线、内控合规条线人员组成,成员应覆盖机房、网络、主机、开放平台、应用、信息安全、IT 外包、业务连续性等专业领域.IT 评估检查团队要梳理重点领域的IT风险点,制定信息科技风险评估手册,明确评估方法和标准.
(2)建立嵌入流程并能自动触发的常态化信息科技风险评估机制
将信息科技风险评估嵌入到IT 管理流程中,以定期信息科技风险专项评估逐步转为以“嵌入式”“触发式”评估为主.实行信息科技风险管理状况评级,将评级结果纳入到操作风险经济资本计量考核体系和内控评价体系中.
(3)常态化开展信息科技风险自评估
IT 部门应按季度、年度和专项开展信息科技风险自评估.在技术架构变更、基础设施建设、信息系统立项、系统变更或投产等关键环节要会同“二道防线”部门进行风险评估,查找风险隐患和管理薄弱环节,优化风险防控措施.
5. 多措并举,塑造合规审慎的信息科技风险文化
通过考核引导、检查督导、培训辅导、宣传倡导,不断增强风险意识,塑造合规审慎的信息科技风险文化.一是通过容忍度、经济资本计量、风险考核等管理手段引导科技部门加强信息科技风险管理.二是在“二道防线”部门配备具有IT 工作经验的员工,强化信息科技风险监控,充分发挥独立、专业化和系统性的风险管理.三是持续信息科技风险管理培训,及时补充和更新IT专业化知识.
信息科技论文参考资料:
综上而言,该文是一篇关于经典信息科技专业范文可作为商业银行和风险管理和科技方面的大学硕士与本科毕业论文信息科技论文开题报告范文和职称论文论文写作参考文献。
