文 / 中信银行信息技术管理部 金雯婷 石英
近年来,云计算、大数据、区块链、人工智能等新技术与金融业务深度融合,信息技术变革在推动着金融业迅猛发展的同时,也给信息科技风险管理带来了前所未有的挑战。面对内外部网络及信息安全的严峻形势,为满足监管机构的高标准、严要求,商业银行不断加大信息科技风险管理力度,建立和完善信息科技风险管理体系,落实信息科技风险管理职责,强化信息科技风险管理能力。
中信银行一直高度重视信息科技风险管理,以监管要求及全行发展战略为指导,通过不断探索与实践,在满足本行全面风险管理体系的要求下,融合信息科技治理、风险管理策略、风险偏好及容忍度、风险理念与文化、组织体系、制度体系、信息科技管理“三道防线”等内容,逐步建立了一套切实有效的信息科技风险管理体系,落地于《中信银行信息科技风险管理体系手册》,并配套建设了信息科技风险管理系统,推动信息科技风险管理的数字化转型。
信息科技风险管理系统以提升银行信息科技风险管理核心能力为目标,充分发挥“三道防线”协同作用,专注于风险管理视角,提供标准化、自动化、可度量、可预知的全方位信息科技风险管理服务,实现对全行信息科技风险的集中化管理。
一、系统建设理论
信息科技风险管理体系由一组互相关联、互相作用、互相影响的信息科技风险管理活动构成,其生命周期是一个端到端的循环过程。每个信息科技风险管理活动都是一个相对独立的个体,依据PDCA循环管理模型,有规律地交互联动,形成风险识别、监控、分析、改进的管理闭环。信息科技风险管理系统是信息科技风险管理活动的集中管理平台,设计理念遵循PDCA管理模型,将所有系统功能模块有机地联系起来,彼此协同运转、循环往复。信息科技风险管理系统建设模型如图1所示。
图1 信息科技风险管理系统建设模型
1.P(Plan)计划
依据信息科技风险管理策略,制定信息科技风险管理计划,通过信息科技风险管理系统实现风险数据库、知识库以及制度库的固化,为后续阶段各种活动提供行动指南。
2.D(Do)执行
依据信息科技风险管理策略,围绕信息科技风险管理计划,实施日常信息科技风险管理活动,包括风险指标监测、信息安全监控、风险事件管理、信息科技监管报表报送等。
3.C(Check)检查
结合信息科技风险日常管理情况,开展信息科技风险管理现状的检查,具体活动包括风险评估、科技检查、问题管理、考核评价等。
4.A(Action)改进
对检查阶段的结果进行处理,将成功的风险管理经验继续沿用,并予以标准化;对于发现的问题进行整改处置,并根据识别出的新风险,不断完善、优化信息科技风险管理策略与标准。
信息科技风险管理系统有别于专门从事传统检查监督的内控系统,不仅仅是日常处理风险管理事务流程的节点,也不只是单纯提供风险管理视图的报表工具,信息科技风险管理系统的投入使用,会使银行信息科技风险的管理理念、管理形式、管理方法发生巨大变革,极大提升风险管理效能。
一是体系固化:对现有信息科技风险管理体系进行固化,将信息科技风险数据库、指标库、知识库、标准库等纳入系统管理,并在风险监测、风险评估、科技检查等模块深度应用。
二是事务联动:全面实现信息科技风险管理活动的协同联动,例如内部科技检查、风险评估发现的问题,直接无缝衔接问题整改,实现信息科技风险及问题的闭环管理。
三是规范流程:通过标准化清单、模板,保证风险管理事务处理方式的一致性,规范信息科技风险管理流程。
四是风险传导:借助信息科技风险管理系统,实时监测信息科技风险,及时、全面地掌握全行信息科技风险信息。
五是管控增效:形成信息科技风险管理工作的常态化,提升信息科技风险线上化、标准化、流程化管理水平,实现事前预防,事中监测、事后检查的全方位风险管控体系。
六是全局统筹:具备全局风险展示功能,打造风险管理驾驶舱,实现风险的集中化、可视化,持续深化风险管理能力。
二、体系架构
根据银行信息科技风险管理策略,遵循信息科技风险管理系统建设理论,信息科技风险管理系统将众多信息科技风险管理活动集中管理,聚成风险管控合力。在体系架构设计时,应从业务数据共有、基础资源共享、功能组件共用的角度出发,并充分考虑系统的扩展性及与现有系统的兼容性。
系统具体功能包括:管理驾驶舱、信息科技检查管理、信息科技风险评估、信息科技风险指标监测、问题处置及整改管理、信息科技风险事件管理、信息安全管理、信息科技风险报送管理、考核评价、知识库、法规制度等,以及个人工作台和系统管理两个辅助模块。具体系统架构如图2所示。
图2 信息科技风险管理系统体系架构
其中,风险数据库、风险指标库、问题库、法规制度、知识库将作为基础数据,供系统内部功能模块调用。蓝色模块是系统自身具备的功能,绿色模块可考虑通过系统对接、数据采集自动获取。
三、系统功能模块
信息科技风险管理系统涉及的风险领域较广、业务流程相对复杂、数据质量要求很高,其建设是一项复杂而艰巨的系统工程,应按照“统筹规划、先易后难、循序渐进”的原则,在充分考虑系统的实用性、用户体验以及功能关联性的前提下,通过模块组合、功能适配的建设方式,真正实现系统的落地应用。
1.信息科技风险指标监测
该功能模块主要用于实现信息科技风险指标的线上采集、自动计量、动态监测、分级预警、视图展现等功能,帮助风险管理人员及时跟踪信息科技风险状况及变化趋势。
(1)风险指标库:维护风险指标的基本信息,提供指标的登记、申请、审批、入库的流程管理功能。
(2)指标采集:不同指标由不同部门按一定频率提供数据,支持手工录入,例如生产运行类指标,由数据中心指标填报人根据监测频率,每期录入;或提供数据接口,实现自动从外部系统采集数据。
(3)风险监测:以指标阈值为依据,当监测到超过设定阈值时,自动触发指标告警流程;以指标风险导向为依据,对于指标值在阈值内的情况,时刻监测风险变化趋势。
2.信息科技检查管理
该模块主要用于实现信息科技检查的线上化、规范化管理,通过任务流形式,使科技检查可记录、可查询、可跟踪,多维度、全方位展现检查结果。
(1)设定检查小组:实施信息科技检查通常先成立固定或临时检查小组,小组成员具备新建任务、实施检查、审批结果、办结任务等角色。
(2)检查任务:信息科技检查以任务流形式开展,可以分为机构自查、全面检查、例行化检查等类型,明确任务开始结束时间,以风险库(检查表)为基础,针对检查对象和检查领域,选取检查小组及人员,创建检查任务。
(3)检查实施:任务实施单位或人员接受到检查任务后,逐条开展检查,并填写检查情况,记录检查结果。
(4)检查报告:根据检查结果,按照报告模板,自动生成检查分析报告,并配以图表展示。
3.信息科技风险评估
该模块用于固化风险数据库,通过标准化的风险评估方法,实现风险值的量化、确定风险等级,展示整体风险管理状况。
(1)风险数据库:实现全行信息科技风险点、检查项的全量入库,提供线上管理功能。
(2)风险评价标准:提供风险评价标准的线上管理,用于评价风险发生的可能性及影响性,并计算出不同级别的风险分值(见表1)。
表1 信息科技风险评价标准模板
(3)风险评估小组:可设定为固定专家小组或临时专家小组,对选定的内容进行风险评估。
(4)风险评估任务:信息科技风险评估以任务流形式开展,明确评估任务的开始及结束时间,以信息科技检查任务或问题为基础数据,由风险评估小组根据风险评价标准实施风险评估,得出评估结果。
(5)结果分析:根据风险评估结果,自动生成风险热图。
4.问题整改
该模块用于实现全渠道产生的信息科技问题整改的统一管理,包括整改流程、整改评价以及问责管理。
(1)问题库:所有信息科技问题纳入系统管理,对于本系统内检查或评估发现的问题实现自动入库,对于其他渠道发现的问题支持导入功能。
(2)问题整改:对于例行化问题整改工作,可定期分配至整改单位、整改个人;对于某次检查中发现的一批问题,可按整改任务流集中开展整改工作。整改实施反馈应包括具体的整改措施、整改时间以及证明材料。
(3)整改评价:根据设定的问题整改评价标准,由评价小组对问题整改情况进行评价打分,对于认定整改不到位的问题,可退回处理。
(4)问责管理:根据设定的问责标准,对问题发生单位、个人进行问责管理。
(5)整改率:通过图表,全方位直观展示问题整改率。
问题整改率视图模板如图3所示。
图3 问题整改率视图模板
5.风险事件管理
常见的信息科技风险管理方法除了风险评估、风险指标外,还包括信息科技风险事件管理。信息科技生产事件作为IT服务流程管理的一个主要方面,一般由专用的系统集中管理。信息科技风险管理系统中的风险事件管理模块,用于帮助风险管理人员定期跟踪生产事件的后续处置情况,保证风险事件的彻底解决,从风险管理角度避免类似事件的再次发生。
6.风险报送管理
该模块实现了监管机构、内部管理要求的风险数据的线上填报,保证填报任务的准确性、及时性。
(1)信息科技非现场监管报表:实现信息科技非现场监管报表的内容分发、数据采集、数据质量校验、报表汇总等功能。
(2)内部报送:通过创建报送任务,完成各类行内风险管理数据的分发、填报、收集、汇总。
7.考核评价
为加强对各分支机构信息科技风险管理工作的指导、监督和考核,客观评价信息科技风险管理状况,实现对机构及相关个人的信息科技考核评价。
(1)考评规则:从科技治理、生产运维、开发测试、信息安全、外包管理等多个领域,制定考评项、考评内容及标准,纳入信息科技风险管理系统进行线上维护。
(2)考评流程:定期开展考评工作,将考评机构的考评数据分发给各业务主管部门,根据考评标准打分及结果汇总。
8.信息安全管理
考虑到现阶段银行信息安全管理数据大多通过SOC系统集中管理,在信息科技风险管理系统中,该模块仅用于关键信息安全风险的内容展示及任务跟踪。
(1)安全监控:包括假冒网站、仿冒App、恶意代码、权威机构发布的漏洞等。
(2)漏洞扫描:主要跟踪中高风险漏洞整改情况。
(3)资产管理:对安全设备信息进行标签化处理,集中掌握全行信息安全设备的部署情况。
(4)安全调研:主要用于全行信息安全管理信息数据的收集。
(5)安全评估及信息安全任务:支持自定义表单,以任务流形式开展形式多样的信息安全工作,如电子银行安全评估、等级保护测评等。
9.风险情报管理
该模块用于从外部机构感知风险情报,提供事前的风险识别功能,并记录分析、处置及响应工作,形成风险情报的事前感知、事中响应、事后溯源的闭环管理,并提供不同维度的统计分析模型。
10.知识库管理
该模块用于信息科技风险管理资料的归档,实现版本管理、分类入库、下载查询等功能。
11.法规制度管理
该模块用于外部监管规定、全行信息科技管理制度、技术规范的查询及展示,可通过在信息科技风险管理系统内建立法规制度库或与已有的制度管理平台对接的形式获取。
12.管理驾驶舱
利用信息科技风险管理系统中的基础风险数据,构建风险管理驾驶舱,通过全景视图、健康性地图、趋势分析等功能,展示全行信息科技风险管理的全局视图,实现信息科技风险的可视化。
中信银行紧跟数字化发展大势,加速金融科技创新,强化信息科技为业务发展和经营管理赋能,践行“敏捷+自驱”的工作理念,在满足监管要求的基础上,贴近银行信息科技风险管理实操,提出了流程规范化、事务标准化、管理全局化的信息科技风险管理系统建设方案。信息科技风险管理系统作为银行深化信息科技风险管理能力的驱动力,能够助力实现风险体系的固化、风险态势的掌控、管理效能的提升,以强大的风险管控合力筑牢银行信息科技风险防线。
文章刊于《中国金融电脑》2021年第03期
声明:本文来自FCC30+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。