客服熱線:400-615-8698
如何在有效控制信息科技風(fēng)險(xiǎn)的同時(shí),促進(jìn)信息科技建設(shè)和業(yè)務(wù)發(fā)展是銀行信息科技管理工作的重點(diǎn)。浙商銀行于2007年建立信息科技風(fēng)險(xiǎn)監(jiān)控官制度,通過不斷的實(shí)踐,取得了一定成效。
為落實(shí)全面風(fēng)險(xiǎn)管理理念和要求,加強(qiáng)信息科技風(fēng)險(xiǎn)管理,保障信息系統(tǒng)安全運(yùn)行,浙商銀行于2007年建立信息科技風(fēng)險(xiǎn)監(jiān)控官制度,由行長向信息科技部派駐信息科技風(fēng)險(xiǎn)監(jiān)控官,實(shí)施駐地辦公,兼任總行信息科技部副總經(jīng)理職務(wù),獨(dú)立開展相關(guān)信息科技風(fēng)險(xiǎn)管理工作。
從職位和工作職責(zé)上看,浙商銀行信息科技風(fēng)險(xiǎn)監(jiān)控官類似于首席信息安全官(CISO,Chief Information Security Officer),也稱信息科技安全主管、信息科技風(fēng)險(xiǎn)主管等,主要負(fù)責(zé)機(jī)構(gòu)內(nèi)的信息科技風(fēng)險(xiǎn)策略制定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制等,通常直接向首席執(zhí)行官(CEO)、首席信息官(CIO)、首席風(fēng)險(xiǎn)官(CRO)或董事會(huì)報(bào)告。據(jù)報(bào)道,早在10年前,IBM就宣布任命了其全球首任“首席信息安全官”。目前,越來越多的企業(yè)開始設(shè)置相關(guān)的職位,如微軟、柯達(dá)、花旗、Facebook、寶潔等,韓國從2009年開始已要求大型企業(yè)必須設(shè)置CISO職位,而對于中國企業(yè)而言,首席信息安全官制度尚在起步階段。
一、信息科技風(fēng)險(xiǎn)監(jiān)控官制度建設(shè)
如何在有效控制信息科技風(fēng)險(xiǎn)的同時(shí),促進(jìn)信息科技建設(shè)和業(yè)務(wù)發(fā)展是銀行信息科技管理工作的重點(diǎn)。浙商銀行在實(shí)踐中不斷推進(jìn)信息科技風(fēng)險(xiǎn)監(jiān)控官制度建設(shè),取得了一定成效。
一是制度安排。信息科技風(fēng)險(xiǎn)監(jiān)控官對行長負(fù)責(zé),崗位設(shè)置在風(fēng)險(xiǎn)管理部。信息科技風(fēng)險(xiǎn)監(jiān)控官在制度框架內(nèi),負(fù)責(zé)組織開展全行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測、控制和報(bào)告,擁有相應(yīng)的評(píng)判權(quán)、評(píng)價(jià)權(quán)、知情權(quán)、同意權(quán)等。
二是日常履職。總行實(shí)行信息科技風(fēng)險(xiǎn)監(jiān)控官例會(huì)制度,每季度向行長或分管風(fēng)險(xiǎn)管理的行領(lǐng)導(dǎo)報(bào)告全行信息科技風(fēng)險(xiǎn)評(píng)價(jià)與管理狀況;總行實(shí)行風(fēng)險(xiǎn)監(jiān)控官參加行務(wù)例會(huì)制度,每月向高級(jí)管理層報(bào)告信息科技風(fēng)險(xiǎn)管理情況。風(fēng)險(xiǎn)監(jiān)控官參加信息科技部的月度工作例會(huì)及相關(guān)部門會(huì)議,有權(quán)隨時(shí)對風(fēng)險(xiǎn)管理和信息安全工作進(jìn)行指導(dǎo)、檢查和監(jiān)督。
三是獨(dú)立評(píng)判與執(zhí)行。信息科技風(fēng)險(xiǎn)監(jiān)控官負(fù)責(zé)向全行傳播信息科技風(fēng)險(xiǎn)管理理念和文化,通過對運(yùn)行管理、開發(fā)過程管理等的評(píng)判以及現(xiàn)場風(fēng)險(xiǎn)監(jiān)控與識(shí)別,及時(shí)發(fā)現(xiàn)或預(yù)警風(fēng)險(xiǎn),并有針對性地提出相關(guān)防范建議,化解風(fēng)險(xiǎn)。
四是獨(dú)立考核。對信息科技風(fēng)險(xiǎn)監(jiān)控官的考核,由人力資源部會(huì)同風(fēng)險(xiǎn)管理部在綜合信息科技部意見,形成考核評(píng)價(jià)報(bào)告,提交總行分管風(fēng)險(xiǎn)管理行領(lǐng)導(dǎo)審查后,報(bào)行長審定。
二、信息科技風(fēng)險(xiǎn)監(jiān)控官制度的實(shí)施成效
浙商銀行信息科技風(fēng)險(xiǎn)監(jiān)控官制度實(shí)施5年多來,取得較好成效,主要體現(xiàn)在以下幾個(gè)方面。
一是建立了良好的風(fēng)險(xiǎn)信息傳導(dǎo)機(jī)制。信息科技風(fēng)險(xiǎn)監(jiān)控官以其獨(dú)特的地位和視角,既領(lǐng)會(huì)銀行高層領(lǐng)導(dǎo)的風(fēng)險(xiǎn)理念和風(fēng)險(xiǎn)偏好,又了解銀行信息科技風(fēng)險(xiǎn)的實(shí)際情況;能將風(fēng)險(xiǎn)控制的理念通過培訓(xùn)、講座、宣傳等方式傳播到全行,培育全員信息科技風(fēng)險(xiǎn)理念,又能將信息科技相關(guān)風(fēng)險(xiǎn)隱患、故障、風(fēng)險(xiǎn)事件及時(shí)匯報(bào)給高層領(lǐng)導(dǎo)。
二是實(shí)施全面的信息科技風(fēng)險(xiǎn)管理。總行通過派駐風(fēng)險(xiǎn)監(jiān)控官與風(fēng)險(xiǎn)管理部共同執(zhí)行對信息科技風(fēng)險(xiǎn)的全面管理,將信息科技風(fēng)險(xiǎn)納入全行全面風(fēng)險(xiǎn)管理體系范圍,實(shí)施對信息科技風(fēng)險(xiǎn)的監(jiān)測、監(jiān)控、評(píng)估、控制與報(bào)告。風(fēng)險(xiǎn)監(jiān)控官作為風(fēng)險(xiǎn)管理現(xiàn)場駐點(diǎn)人員,負(fù)責(zé)獲取第一手材料,全面了解信息科技風(fēng)險(xiǎn)的真實(shí)情況,開展現(xiàn)場風(fēng)險(xiǎn)評(píng)判,既能避免風(fēng)險(xiǎn)被忽視,又能避免過度的風(fēng)險(xiǎn)控制,量力而行,適度控制,有效提高了“二道防線”執(zhí)行和防控的有效性、及時(shí)性,實(shí)現(xiàn)風(fēng)險(xiǎn)把關(guān)前移,強(qiáng)化了風(fēng)險(xiǎn)的事中控制和監(jiān)督。
?
三是全面推動(dòng)全行業(yè)務(wù)連續(xù)性管理。業(yè)務(wù)連續(xù)性管理涉及風(fēng)險(xiǎn)管理部門、業(yè)務(wù)主管部門、信息科技部門、后勤保障部門、新聞宣傳部門等各條線管理職責(zé)與業(yè)務(wù)聯(lián)動(dòng),通過風(fēng)險(xiǎn)監(jiān)控官協(xié)調(diào)與推動(dòng),從理念、工作機(jī)制、應(yīng)急響應(yīng)機(jī)制、恢復(fù)機(jī)制、危機(jī)處理機(jī)制等方面層層推進(jìn)落實(shí),做細(xì)各項(xiàng)預(yù)案,做實(shí)各項(xiàng)措施,有效提升了銀行業(yè)務(wù)連續(xù)性管理能力。
四是有效開展信息科技風(fēng)險(xiǎn)識(shí)別、計(jì)量、處置和監(jiān)控。風(fēng)險(xiǎn)監(jiān)控官直接面對業(yè)務(wù)一線、信息科技一線工作,能全面、完整、準(zhǔn)確地獲取相關(guān)信息,從源頭上控制系統(tǒng)風(fēng)險(xiǎn),使信息科技風(fēng)險(xiǎn)管理的半徑縮短,項(xiàng)目評(píng)判更加貼近實(shí)際,溝通交流更加順暢,方案更加優(yōu)化,風(fēng)險(xiǎn)管控的有效性得到提高。更可通過結(jié)合實(shí)際,分析判斷各類風(fēng)險(xiǎn)隱患的苗頭、趨勢、業(yè)務(wù)影響情況,及時(shí)提出相應(yīng)的安全策略與建議,提前預(yù)警或堵塞風(fēng)險(xiǎn)漏洞,有效規(guī)避重大風(fēng)險(xiǎn)隱患或事件的發(fā)生。
五是銀行高層及時(shí)掌握信息科技風(fēng)險(xiǎn)狀況。風(fēng)險(xiǎn)監(jiān)控官通過信息安全周報(bào)、信息安全月報(bào)、信息科技風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告(季報(bào))、重大風(fēng)險(xiǎn)提示報(bào)告、重大事項(xiàng)請求報(bào)告等,及時(shí)向高層領(lǐng)導(dǎo)匯報(bào)相關(guān)風(fēng)險(xiǎn)情況。董事會(huì)和高級(jí)管理層能及時(shí)全面掌握全行信息科技風(fēng)險(xiǎn)管理狀況。
六是信息科技風(fēng)險(xiǎn)信息更加透明。信息科技風(fēng)險(xiǎn)監(jiān)控官對外聯(lián)系監(jiān)管部門,了解相關(guān)監(jiān)管政策,將相關(guān)監(jiān)管要求融入本行的安全策略、日常管理工作之中,有效滿足監(jiān)管合規(guī)性要求;對內(nèi)掌握本行信息系統(tǒng)運(yùn)行的第一手資料與信息,一旦發(fā)生風(fēng)險(xiǎn)事件,可以及時(shí)了解事件的真實(shí)原因、根源、影響范圍等,及時(shí)報(bào)告和處置,避免事態(tài)的進(jìn)一步擴(kuò)散或惡化。在這種管理體制下,由于信息、透明、處置過程規(guī)范化,即使發(fā)生風(fēng)險(xiǎn)事件,也有助于信息科技部門與高層領(lǐng)導(dǎo)的溝通,有助于銀行與監(jiān)管機(jī)構(gòu)的溝通。
三、信息科技風(fēng)險(xiǎn)監(jiān)控官制度建設(shè)的探索與完善
浙商銀行通過信息科技風(fēng)險(xiǎn)監(jiān)控官制度,在信息科技風(fēng)險(xiǎn)主管履職和實(shí)踐上進(jìn)行了探索。然而,由于理念、觀念、環(huán)境、體制、機(jī)制等主客觀條件的限制,信息科技風(fēng)險(xiǎn)監(jiān)控官的作用還有待進(jìn)一步提升,該項(xiàng)制度本身也有一些需要進(jìn)一步完善的地方,主要表現(xiàn)在以下兒方面。
一是如何提高風(fēng)險(xiǎn)監(jiān)控官的履職能力?信息科技風(fēng)險(xiǎn)監(jiān)控官的履職需要相應(yīng)的制度保障,離不開高層領(lǐng)導(dǎo),特別是一把手的支持;同時(shí),信息科技風(fēng)險(xiǎn)監(jiān)控官需要具有較高的職業(yè)素養(yǎng),既要熟諳銀行業(yè)務(wù)、信息科技、風(fēng)險(xiǎn)管理等知識(shí),又要具備對內(nèi)對外、對上對下的溝通與管理能力,這需要實(shí)踐積累、總結(jié)提升。
二是如何建立全面風(fēng)險(xiǎn)管理體系?現(xiàn)代銀行離不開信息系統(tǒng),信息科技風(fēng)險(xiǎn)也已滲透到各業(yè)務(wù)條線、各工作崗位,任何新業(yè)務(wù)、新產(chǎn)品的推出均涉及系統(tǒng)建設(shè)、業(yè)務(wù)安全、敏感信息保護(hù)、業(yè)務(wù)連續(xù)性等方面的風(fēng)險(xiǎn),尤其是涉及互聯(lián)網(wǎng)應(yīng)用的網(wǎng)上銀行、手機(jī)銀行、網(wǎng)上支付等的新業(yè)務(wù)應(yīng)用。信息科技風(fēng)險(xiǎn)監(jiān)控官應(yīng)適應(yīng)當(dāng)前的風(fēng)險(xiǎn)形勢,建立一套完整的工作機(jī)制,參與到各相關(guān)部門的業(yè)務(wù)需求、業(yè)務(wù)審查和運(yùn)行監(jiān)控工作中,持續(xù)性地開展信息安全和風(fēng)險(xiǎn)評(píng)估,全過程地有效識(shí)別、預(yù)警、監(jiān)控、防范風(fēng)險(xiǎn)。
三是如何確保風(fēng)險(xiǎn)管理機(jī)制的獨(dú)立性?信息科技風(fēng)險(xiǎn)的識(shí)別與控制策略必須依據(jù)銀行的風(fēng)險(xiǎn)偏好和管理原則,依據(jù)銀行業(yè)務(wù)發(fā)展戰(zhàn)略需要,既不能脫離實(shí)際過度強(qiáng)調(diào)風(fēng)險(xiǎn),更不能為了業(yè)務(wù)發(fā)展忽視風(fēng)險(xiǎn),對風(fēng)險(xiǎn)的分析和評(píng)判要保持獨(dú)立性,堅(jiān)持實(shí)事求是、客觀公正,不畏懼權(quán)威、不盲目跟風(fēng)、不人云亦云。因此,信息科技風(fēng)險(xiǎn)監(jiān)控官應(yīng)堅(jiān)持原則、公正獨(dú)立地開展工作。與此同時(shí),銀行應(yīng)建立完善的信息科技風(fēng)險(xiǎn)管理機(jī)制,營造獨(dú)立監(jiān)督信息科技風(fēng)險(xiǎn)開展的工作氛圍,確保高級(jí)管理層通過信息科技風(fēng)險(xiǎn)監(jiān)控官第一時(shí)間獲知信息科技風(fēng)險(xiǎn)隱患和風(fēng)險(xiǎn)事件。
四是如何平衡業(yè)務(wù)發(fā)展與風(fēng)險(xiǎn)控制的關(guān)系?風(fēng)險(xiǎn)防范的目的是為了促發(fā)展,不發(fā)展是最大的風(fēng)險(xiǎn),故銀行應(yīng)通過建立績效考核機(jī)制,規(guī)范風(fēng)險(xiǎn)監(jiān)控官行為準(zhǔn)則,在評(píng)判風(fēng)險(xiǎn)時(shí),既要從業(yè)務(wù)角度了解信息科技風(fēng)險(xiǎn)帶來的影響,更要注意信息科技風(fēng)險(xiǎn)控制不能背離業(yè)務(wù)發(fā)展需求,開展適度的風(fēng)險(xiǎn)控制。
五是如何協(xié)調(diào)與相關(guān)部門的關(guān)系?信息科技風(fēng)險(xiǎn)監(jiān)控官作為信息科技風(fēng)險(xiǎn)主管,需要與各相關(guān)部門協(xié)同開展工作,其中與風(fēng)險(xiǎn)管理部和信息科技部的聯(lián)系最為緊密。風(fēng)險(xiǎn)管理部作為信息科技風(fēng)險(xiǎn)控制的“第二道防線”,負(fù)責(zé)信息科技風(fēng)險(xiǎn)的督查、評(píng)估、跟蹤和報(bào)告,而風(fēng)險(xiǎn)監(jiān)控官作為現(xiàn)場駐點(diǎn)人員,掌握第一手材料,通過信息科技風(fēng)險(xiǎn)監(jiān)控官的現(xiàn)場風(fēng)險(xiǎn)評(píng)判,進(jìn)一步增強(qiáng)了風(fēng)險(xiǎn)管理部對信息科技風(fēng)險(xiǎn)的監(jiān)控能力,增強(qiáng)了“二道防線”執(zhí)行和防控的有效性、及時(shí)性;信息科技部作為信息科技風(fēng)險(xiǎn)控制的“第一道防線”,應(yīng)更多地注重系統(tǒng)功能的可用性、技術(shù)性控制和信息安全管理,而信息科技風(fēng)險(xiǎn)監(jiān)控官更應(yīng)關(guān)注系統(tǒng)的保密性和完整性,并通過不同的視角,評(píng)判系統(tǒng)控制有效性和對業(yè)務(wù)產(chǎn)生的風(fēng)險(xiǎn)影響,防范相關(guān)風(fēng)險(xiǎn)信息在信息科技部門形成“孤島”,及時(shí)揭示與預(yù)警風(fēng)險(xiǎn)隱患,提升“一道防線”控制的有效性和安全性。
