客服熱線:400-615-8698
商業銀行IT風險治理架構的構建
來源:銀行家
隨著商業銀行對信息系統依賴性不斷增加,由此帶來的風險、利益和機會使得IT風險治理成為其治理中至為關鍵的一個方面,完善的IT風險治理架構是其風險管理體系的基礎和保障。
“細”、“嚴”體現風險監管新形勢
當前,信息技術、網絡技術的迅猛發展沖擊著各個行業,而銀行業由于其自身服務特點成為廣泛引入信息技術的行業之一。從業務流程的電子化到服務渠道的網絡化,從客戶資源的系統化到決策支持的智能化,信息技術正逐步改變著傳統銀行業的運營模式。新技術的大量采用必然引入了新的風險,給銀行業帶來了新的挑戰。
為了保障中國銀行業健康有序發展,加強商業銀行信息科技風險管理,規范銀行業金融機構的信息科技外包活動,銀監會先后制定和發布了相關監管指引。
2009年,針對商業銀行信息科技的風險管理,銀監會發布《商業銀行信息科技風險管理指引》,在信息科技治理、信息科技風險管理、信息安全等八個方面提出了明確的要求,強調要加強信息科技風險監管。
2010年,面對日益發展的銀行外包服務市場,銀監會發布《銀行業金融機構外包風險管理指引》,在組織架構、風險管理和監督管理等三個方面提出細致要求,強化外包風險監管。
2013年,針對商業銀行信息科技外包,銀監會發布《銀行業金融機構信息科技外包風險監管指引》,在外包管理組織架構、信息科技外包戰略與風險管理、信息科技外包管理等七個方面提出了專項要求,深化了信息科技外包風險的監管要素。
由此可見,“細”和“嚴”體現了銀監會對商業銀行的風險監管趨勢。
“細”主要體現在:2010年發布的監管指引在組織架構、風險管理和監督管理三個方面提出監管要求,每個方面提出的監管要求力度比較粗;2013年發布的監管指引,明確針對商業銀行信息科技業務外包,從外包管理組織架構、信息科技外包戰略及風險管理、信息科技外包管理、機構集中度風險管理、跨境及非駐場外包管理、銀行業重點外包服務機構管理要求及監督管理七個方面提出細致要求。如在2010年監管指引中,沒有對外包管理執行團隊的職責進行要求,而2013年指引中明確做了要求。
“嚴”主要體現在:銀監會發布的指引隨著時間的推移在具體要求上更加量化和嚴格。如在2010年的指引中只是提到進行定期的風險評價,而在2013年發布的指引中更加明確和量化了監管要求,“銀行業金融機構信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估”,相比原來新發布的監管指引更加嚴格,對商業銀行提出了更高的要求。
完善的IT風險治理架構是基礎和保障
商業銀行IT風險治理架構意義
隨著商業銀行對信息系統依賴性不斷增加,由此帶來的風險、利益和機會使得IT風險治理成為商業銀行治理中至為關鍵的一個方面,完善的IT風險治理架構是商業銀行風險管理體系的基礎和保障。
一個成功的IT風險治理架構可以幫助商業銀行達到以下目標:
監管合規。建立健全IT風險治理架構,實現對IT風險的有效識別和管理,滿足不斷提高的監管要求,滿足未來銀行信用評級的剛性需求。
目標一致。IT風險治理必須與商業銀行戰略目標一致,是銀行戰略規劃的重要組成部分,因此IT風險治理要從組織目標和信息化戰略中抽取信息安全需求和功能需求,形成總體的IT風險治理框架,保證信息技術跟上持續變化的業務目標。
降低風險。IT風險治理強調風險管理,通過制訂信息資源的保護級別,強化關鍵的信息技術資源,有效地進行實施監控和事故處理,此外它還能保護利益相關者的權益,使風險透明化,指導和控制IT投資、規劃、建設、運營。
資源高效。IT風險治理可以合理利用與協調商業銀行的信息資源,并進行有效管理,以確保IT及時按照目標交付,且有合適的功能和期望的收益,另外也要盡量避免信息化工程超期、IT客戶的需求沒有滿足、IT平臺不支持業務應用等問題的發生。
商業銀行IT風險治理標準架構
商業銀行IT治理是圍繞著IT投資決策的治理過程,一個優秀和標準的IT風險治理架構主要包含如下四個方面:一是組織結構,即由誰負責決策,組織結構的形式如何,組織結構中各成員的責任分別是什么;二是流程,即如何規范和執行日常業務操作,針對每個操作相應的流程是什么;三是制度,即制訂哪些方面的IT風險管理制度;四是技術,即采用什么樣的技術措施固化IT風險管理流程和制度,保障商業銀行業務系統安全可靠的運行。
銀行IT風險治理架構方案探討
我國商業銀行信息系統風險特點
國有商業銀行——“風險程度大,抗風險能力強”——系統大多依靠自身力量完成,IT風險治理的重點聚焦在“完善自身組織的IT治理架構”。一方面,國有商業銀行由于信息技術架構龐大、設施復雜、涉及的內容繁多,因而可能存在的脆弱性種類多,范圍大;其在國家金融體系、公眾生活中所處的舉足輕重的地位,往往又使其成為黑客攻擊的首選目標,其面臨的外部威脅種類多,危害大。另一方面,由于業務規模大,且具有國家信用背景,國有商業銀行具有較強的抗風險能力;同時,國有商業銀行資金實力雄厚,信息化基礎好,技術力量強大,系統的開發、建設和運維一般都自行完成,國有商業銀行的IT風險治理的重點是建立和完善自身組織的IT治理架構。
城市商業銀行——“風險區域化,抗風險能力弱”——系統或多或少需要借助外部力量,IT風險治理的重點不僅需要“完善自身組織的IT治理架構”,同時還要聚焦在“IT外包組織的IT治理架構”。一方面,城市商業銀行業務具有明顯的區域性與地方性,因而其信息風險也具有地域性。很多城市商業銀行在當地擁有門類齊全的業務,受關注度較高,甚至超過國有商業銀行,因而在局部地區,其面臨的信息風險種類繁多,風險度大。另一方面,城商行信息化資金投入少,技術人員不足,其風險管理水平比較低下,需要借助專業信息科技外包服務提供商,增強信息化支撐力量,因此其IT風險治理的重點不僅需要完善自身組織的IT治理結構,同時還要強化外包組織的IT風險治理,符合監管機構的合規性要求。
鑒于兩類商業銀行規模實力、組織架構、信息系統風險特點、抗風險能力以及IT治理的聚焦不同,下面我們分別就國有商業銀行和城市商業銀行進行IT風險治理架構淺析。
國有商業銀行IT風險治理架構
國有商業銀行IT風險治理架構是參照商業銀行IT風險治理標準架構從組織架構、流程、制度和技術等方面進行構建和完善。
組織架構
國有商業銀行應由董事會、高管層、信息技術委員會、風險管理委員會負責信息科技風險戰略和政策制訂、治理結構建立、資源配置等工作,明確IT風險管理機構在全行風險管理組織體系中的定位,明確各業務條線、各業務支持保障部門、各級機構的IT風險管理職責,構建職能部門參與全行的IT風險“三道防線”的管理。
風險管理委員會。風險管理委員會設置在總行,由高級管理者和內部專家組成,是一個獨立的組織機構。主要負責銀行所有風險的管理、監督和指導,以及負責制訂符合企業發展戰略的風險管理制度及風險應對決策。
IT風險管理部門。銀行中領導并負責IT風險管理的機構,一般由首席信息官(CIO)負責領導。其主要職責為制訂IT風險管理流程,在事故發生時負責業務的恢復。IT風險管理部分別在總行、分行及支行設置,并配備相應人員。
IT風險經理。負責對具體的IT風險節點進行管控,同時根據IT風險預測制訂相應的操作規范及應急措施。從本質上講IT風險經理是銀行內部負責具體風險管理操作的人員。
信息技術管理部。協助IT風險經理完成對項目風險的監控與管理。信息技術管理分別在總行、分行及支行設置,并配備相應人員。
其他相關部門。這些部門包括審計部門以及各業務部門和資產評估部門。主要職責是配合進行IT風險治理。
流程
IT治理流程是保證相關部門采用規范與合理的步驟進行IT活動。根據信息系統生命周期的特點,IT治理流程可分為事前、事中和事后三類,事前主要指信息系統規劃和建設階段,事中主要指信息系統運營、維護階段,主要包括三個類別:一是IT運維管理類,主要從銀行的數據(系統)中心運維的角度出發設計主要的信息系統維護流程,包括系統監控流程、安全管理流程、備份管理流程、系統升級/維護流程;二是IT服務管理類,主要根據ITIL的理念并結合銀行的實際情況設計服務臺/事件管理流程、問題管理流程、配置管理流程、變更管理流程和發布管理流程;三是IT綜合管理類,主要包括設備采購管理流程、設備報廢流程、檔案管理流程和外包管理流程。事后包括管理階段(審計、評價),每個階段都需要設計和制訂相應的IT治理流程,用于規范本階段的IT活動。
制度
按照信息化工作涵蓋的幾個方面,即信息系統規劃、建設、整合、維護、管理,信息資源管理和開發利用,需要制訂相應IT風險管理制度。包括:信息分級與保護風險管理制度;信息系統開發、測試和維護管理制度;信息科技運行和維護管理制度;訪問控制管理制度;物理安全管理制度;人員安全管理制度;業務連續性與應急處置管理制度。
技術
國有商業銀行應該構建全面的信息科技風險監測和保障體系,給信息系統建立一道抵御風險的有力屏障。一方面,商業銀行應該對信息系統的運行狀況進行全程監控,主干網絡是否通暢、自助設備是否正常運行、數據庫系統是否正常服務、是否有網絡遭受外部非法入侵等都必須納入實時監控范圍,以保障在發生故障的第一時間作出響應。另一方面,商業銀行必須未雨綢繆,制訂應急預案,做好業務連續性規劃、業務恢復機制、風險化解和轉移措施、數據備份方案等多方面的工作,并加強災備演練,以保障在突如其來的災難性事故面前,能從容應對,迅速恢復生產,盡可能降低事故造成的損失。
城市商業銀行IT風險治理架構
城市商業銀行在參照標準的商業銀行IT風險治理架構外,還需重點對信息科技外包的風險進行管控,并在如下幾個方面進行改進和完善。
組織機構方面的調整
城市商業銀行的IT風險組織架構除了設置風險管理委員會、IT風險管理部和信息技術部之外,還需新設立三個專家組,重點實現IT外包管理和風險控制,分別是發展戰略組、法律事務組、實施監察組,分工合作對IT外包的實施進行不同階段控制。
這三個組的具體人員構成和職責如下:
發展戰略組。發展戰略組由行內戰略規劃專家、各部門熟悉本行業務信息流關系的代表、信息技術專家以及資源外包咨詢銀行的人員組成,組織機構設置在總行。IT外包的管理過程中發展戰略組主要負責實施前調查研究國內外行業、競爭對手以及自身的信息化現狀;找出實施信息化的自身優勢、制約因素;辨識本行信息技術的核心競爭能力;在收益、成本和風險之間進行平衡并進行外包決策,明確IT外包范圍;把IT外包部分納入本行的信息化總體架構和信息技術應用架構中,包括外包的指導思想、總體目標、分階段目標;制訂IT外包的建設技術標準,保證信息系統建設的連貫性和一致性;設計外包方案避免重復投資與信息孤島,保障信息安全,評價外包服務商的技術等級、發展能力,選擇外包服務商;制訂經費預算,建立組織保障體系、評價指標體系;制訂培訓工作計劃。發展戰略組在整個IT外包的過程中的作用,概括起來主要是“把握命運,尋找方向,制訂規劃,明確范圍”。
法律事務組。法律事務組由對IT外包業務非常熟悉的高級管理人員負責,由深入理解行內需求和發展戰略的專家(指發展戰略組成員或代表)、外包咨詢專家、實施監察組代表、費用預算人員和法律顧問組成,組織機構設置在總行。法律事務組的主要職責包括:在外包范圍明確后,協助發展戰略組,根據本行信息技術要求,所需的硬件、軟件、服務、成本與時間等提出量化和測度的要求,制訂項目建議書;在外包談判中,將外包實施方案、實施戰略變成可操作的、可控制的、具有法律意義的、適應性強的協議或合同,明確銀行與外包服務商的職責范圍、信息系統質量指標、性能測量度以及性能達標期限,在每個重要的階段未能履約的罰款,服務水平的保障措施,爭議的解決和合同的解釋協議條款;在外包實施過程中,協助實施監察組工作,解決實施過程中爭議,處理相應法律事務,避免由于合同設計中出現的漏洞而陷入無窮無盡的糾紛中。
實施監察組。實施監察組主要由信息技術專業人員、合同協議管理人員、協調人員組成。實施監察組充當的是合同管理人員、服務人員的角色,組織機構設置在總行和各支行。實施監察組的主要職責是在簽署外包合同后,項目實施過程中對外包服務過程進行全面監督、協調和控制管理。一方面要嚴格堅持合同條款,確認外包服務商提供的產品、服務是否符合合同規定或協議要求,是否滿足需要,確保外包服務到位,自身利益不受損害;監督評價外包項目各階段進展情況以及外包服務商對合同的實施狀況。另一方面協調業務部門和外包服務商之間的關系,與外包服務商建立爭議解決機制,隨時糾正外包服務商偏離合同的行為,避免使用經濟和法律制裁等消極合作手段。
流程方面的調整
城市商業銀行由于自身條件所限,通常會采用信息科技外包服務,這就要求城市商業銀行加強對外包服務商的風險管理,同時配合銀監會的監管和檢查。需要增加針對信息科技外包相關的IT風險治理流程,包括對服務提供商的評價流程、服務提供商盡職調查流程、外包服務法律事務流程,對服務提供商安全檢查流程、外包服務監控與評價流程。
制度方面的調整
建立外包服務提供商的評級準入制度。選擇合適的外包服務商無疑是外包成功的關鍵。通過資格認證建立市場準入的硬性條件,有利于保證服務質量實現外包目標。對外包服務商的考察主要從技術能力、經營管理能力、發展能力這三個主要方面:一是技術能力,外包服務商提供的信息技術產品是否具備創新性、開放性、安全性、兼容性,是否擁有較高的市場占有率,能否實現信息數據的共享;是否具有信息技術方面的資格認證;是否了解金融行業特點,能夠拿出真正適合商業銀行業務的解決方案;信息系統的設計方案中是否應用了穩定、成熟的信息技術,是否符合銀行發展的要求,與充分體現了銀行以客戶為中心的服務理念;是否具備對大型設備的運行、維護、管理經驗和多系統整合能力;是否擁有對高新技術深入理解的技術專家和項目管理人員。二是經營管理能力,了解外包服務商的領導層結構、員工素質、客戶數量、社會評價;項目管理水平,如軟件工程工具、質量保證體系、成本控制、配置管理方法、管理和技術人員的老化率或流動率;是否具備能夠證明其良好運營管理能力的成功案例;員工間是否具備團隊合作精神,外包服務商客戶的滿意程度。三是發展能力,通過考察外包服務商的各項財務指標,了解其盈利能力;考察外包服務商的外包市場份額;在信息技術領域內的產品創新率等。
建立外包業務風險監控機制。保障外包服務商行為規范的基本方法是監督和控制。監督是觀察、收集資料,對照已經建立起來的標準和尺度分析外包服務商是否在做他應該做的事情。如果發現外包服務商偏離了預定的行為目標,就需要采取控制措施,使外包服務商重新回到正確的軌道上去。監督可以從宏觀和微觀兩個層面上進行,宏觀上密切關注信息技術、外包市場的發展,以及銀行自身經營環境、競爭對手外包策略、外包服務商經營狀況的變化,防范技術市場、風險微觀層面上,聽取外包服務商在項目實施不同階段的報告,了解與外包服務商直接接觸的銀行有關部門對外包服務商的評價,高層經理們對外包的反映,考察外包成本是否控制在預期范圍內,業務需求是否得到滿足;通過對客戶的滿意度調查,以及將外包服務商的服務水平與其競爭對手的服務水平相比較,了解外包服務是否及時,服務質量、服務水平是否得到提高,防范交易和信譽風險。
技術方面的完善
城市商業銀行安全風險防范的對象從內部擴大到外包服務商,需要建立和完善針對外包服務監控、檢查和審計技術措施。外包服務風險監控與檢查技術平臺是對全行網絡、應用的安全日志和外包服務人員的行為記錄進行收集、分析,及時監控全行信息風險狀態,為信息安全威脅提供預警,縮短發現安全事件的時間,提高響應速度。另外還需強化對外包服務商的監督機制,借助審計工具提供真實審計數據,快速定位問題根源。
結束語
目前,我國商業銀行對信息科技風險逐步開始重視,但IT風險治理架構仍然沒有全面有效地建立起來,商業銀行普遍存在缺乏有效的IT風險管理戰略、IT治理結構不夠完善、高級管理層重視不夠等問題。在商業銀行日益發展壯大的今天,商業銀行應當要充分認識信息科技風險監管的緊迫性和重要性,在借鑒國際先進金融機構的良好做法,符合監管合規的前提下,制訂出與業務發展目標保持一致的IT風險治理戰略,結合商業銀行的特點構建相應的IT風險治理架構,最大限度地減少信息科技風險的發生,提高銀行核心競爭力服務。
