Question

银监会发布了《商业银行信息科技风险管理指引》，证监会（包括协会）发布了《证券期货经营机构信息技术治理工作指引（试行）》《证券期货经营机构信息技术治理工作指引（试行）》等，对信息科技风险管理提出了明确的管理要求。

注意

银行业“信息科技”的提法较多，证券基金期货“信息技术”的提法较多，本文未做严格区分。

4.2.1　原则

信息科技风险 是指在运用信息科技过程中，由于自然因素、人为因素、技术漏洞或管理缺陷产生的操作、法律和声誉等风险。信息科技管理的原则如下：

·事前预防为主原则。在风险发生以前建立有效的风险管理措施，降低风险发生的可能性或减少风险可能造成的损失。

·全面性原则。信息科技风险管理应覆盖到全行各部门、岗位、人员及操作环节中，使信息科技风险能够被识别、评估、计量、监测和控制。

·成本效益原则。对风险管理措施的实施成本与风险可能造成的损失进行分析比较，选取成本效益最佳的风险控制方案。

对信息科技风险的管理需要根据董事会设定的风险偏好，在成本效益原则下，最大限度地完善信息科技风险管理体系，保障 IT 长期、稳定、健康的发展。

4.2.2　组织架构和职责

典型的信息科技风险管理组织架构示例如图 4-1 所示。

图 4-1　信息科技风险管理组织架构

下面简单介绍金融机构信息科技风险防范三道防线。在一般商业银行中三道防线的概念比较多，其他证券保险基金期货用此概念较少，但实际部门组织架构和岗位职责的设置是类似的。

第一道防线：信息科技部门

·主要关注日常的风险管理。

·识别、分析与评估、控制、监测及报告风险管理情况。

·信息技术部门各团队严格执行各项风险管理政策和要求，定期评估。

·通常向首席信息官、信息科技管理委员会报告。

第二道防线：风险管理部门

·侧重制定风险管理政策、制度、流程，在第一道防线的基础上对风险进行集中管理。

·在总部层面设立风险职能部门，监督和协调整个风险管理框架的有效性和完整性，与前台部门保持相对独立。

·对 IT 条线提供精细化的风险管理策略和支持。

·与第一道防线保持一定的独立性，通常向首席风险官、风险管理委员会报告。

第三道防线：稽核审计部门

·按期进行全面的或专项的审计或稽核。

·与 IT 部门和风险管理部门保持独立，对风险管理框架、内控体系的完整性和有效性提供独立的审计和管理意见。

·通常向董事会下设的审计管理委员会直接报告。

注意

一道防线和二道防线向经营管理层汇报和负责，而稽核审计部可以直接向董事会汇报和负责，保持独立性。

4.2.3　管理内容

信息科技风险管理可以从 8 个领域开展：

·IT 治理。IT 治理的目标是，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构，为企业信息科技的发展提供战略方向和资源保障，并保证信息科技的战略与全行业务战略目标相一致。

·信息安全。信息安全的目标是建立信息安全管理策略和技术措施，确保所有计算机操作系统和系统软件的安全，并进行必要的员工培训。这里所讲的信息安全，是指狭义的信息安全。

·信息系统开发、测试和维护。信息科技部门应针对信息系统需求分析、规划、采购、开发、测试、部署、维护、升级和报废等各环节，建立管理制度和流程，管理信息科技项目的排序、立项、审批和控制，并持续监控重大信息科技项目的进展情况。

·信息科技运行。信息科技部门应对人员职责分配、数据保存、操作方法、服务水平、变更、故障、性能及容量管理，建立制度和流程，并对信息科技突发事件建立应急处置预案，严格执行突发事件报告制度，落实突发事件的处置职责。安全保卫部门负责信息系统机房的物理环境安全管理。

·业务连续性管理。金融企业和各相关机构应建立恢复服务和保证业务连续运行的管理机制和备用方案，并定期对其进行检查和测试，保证在业务运行中断时可以快速启动备用方案，降低业务中断带来的影响。信息科技部门负责信息系统灾难恢复方案的制订、实施和维护。

·外包管理。信息科技部门负责管理信息科技相关的外包业务，制定与信息科技外包业务有关的管理政策，保证信息科技外包服务有协议、服务合同和监督机制的约束。

·内部审计。审计部门应根据信息科技风险所涉及活动的性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技审计范围和频率，对信息科技风险管理的适当性和有效性进行审计和评价，向董事会提供独立的信息科技风险审计意见。审计部应至少每三年进行一次全面的信息科技风险审计；在进行重大系统开发时，审计部门应参与其中，保证系统开发符合金融企业的信息科技风险管理要求。

·外部审计。在符合法律、法规和监管要求的情况下，根据需要可以委托具备相应资质的外部审计机构进行信息科技外部审计。在委托外部审计机构进行外部审计时，应与其签订保密协议，并督促其严格遵守法律法规，保守公司的商业秘密和信息科技风险信息。

4.2.4　管理手段和流程

信息科技风险管理，需要遵循一定的“套路”—有流程、有方法、有工具。

1.管理手段

信息科技风险隶属于操作风险，管理手段一般遵从第二道防线风险管理部门的管理手段。实际中，无论是银行还是证券，都会按照第二道防线下发的操作风险管理三大工具和要求开展工作。这里简单介绍一下操作风险管理的三大工具。

操作风险管理的三大工具，包括风险与控制自我评估（Risk Control Self-Assessment，RCSA）、损失数据收集（Loss Data Collection，LDC）和关键风险指标（key risk indicators，KRI）。三大工具贯穿操作风险管理始终，为高效率、系统化的操作风险管理提供帮助。通常采取信息科技风险与控制自我评估、设置信息科技关键风险指标、信息科技风险监控报表三种手段对信息科技风险进行管理。

·RCSA，是识别和评估信息科技风险及风险控制措施有效性的管理手段。各相关部门应按照预先设定的工作方法，对其职责范围内的信息科技风险管理现状进行评估。信息科技风险与控制自我评估是信息科技风险管理持续改进的基础工作和关键环节。

·LDC，是指依据监管规定、内部操作风险偏好与管理需求所定义的收集范围，针对操作风险事件的相关信息进行数据收集、内容分析、整改方案设计与执行、损失分配和内外部报告等程序。通过持续开展损失数据收集，一方面，可以动态反映企业操作风险损失的分布情况及发生诱因，为有效识别评估操作风险和强化管理提供线索和方向；另一方面，可以逐步建立操作风险损失数据库，为今后进行风险建模和计量积累数据，最终达到提高操作风险管理水平、降低风险损失的目的。

·KRI，是反映信息科技风险水平的一系列统计指标，具有可量化的特点。关键风险指标用于监测可能造成重大信息科技风险事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标。通过对主要风险类型的早期预警并及时采取应对措施，避免重大信息科技风险事件的发生。

同时，通过信息科技风险监控报表，定期汇总分析，能够获取信息科技风险情况，并能掌握总体风险变化趋势。

2.管理流程

金融企业的信息科技风险管理流程包括信息科技风险识别、风险分析与评估、风险控制、风险监测及风险报告等五个环节。

·风险识别。 信息科技风险识别是指对企业具有脆弱性，可能受到威胁侵害，需要保护的信息资源或资产进行识别和分类，并对相关的威胁和脆弱性进行确认的过程。风险识别是风险管理的第一步，也是风险管理的基础。信息科技风险具有一定的可变性，风险识别是一项持续性和系统性的工作，应密切注意原有风险的变化，并随时发现新的风险。

·风险分析与评估。 信息科技风险分析是指对风险的可能性及其发生以后所造成的影响进行综合度量。信息科技风险评估单位应通过定性或定量的评估方法，判断风险的影响程度和发生可能性，确定风险的等级。

·风险控制。 信息科技风险控制指根据企业的风险偏好及风险评估的结果建立相应的风险管理措施。通过建立事前预防、事中监控及事后复核的风险管控手段，降低风险发生的可能性及其造成的影响，并根据公司的信息科技风险容忍程度采取规避、降低和转移风险的措施，将风险控制到公司可接受的水平之内。

·风险监测。 信息科技风险监测是指对信息科技风险进行定期或持续的检查，及时发现新出现的信息科技风险以及风险管理措施出现的问题，并采取相应的补救措施，以保证公司的信息科技风险在不断变化的内外部环境中，始终处于公司的风险容忍水平之内。应定期通过风险评估和审计等方式对风险的发展与变化情况进行持续监测，并根据需要对风险应对策略进行调整。

·风险报告。 信息科技风险报告指信息科技部门、风险管理部门和稽核审计部门，依据特定的格式和程序对信息科技风险状况进行描述、分析和评价，形成信息科技风险报告后，按照规定的报告路线进行汇报。报告的内容应完整、客观、清晰。

4.2.5　报告机制

为了使董事会、高级管理层和各级领导充分、及时地了解金融企业的风险状况，需要建立信息科技风险报告机制。报告遵循以下原则：

·逐级上报。

·IT 业务条线、风险管理条线、审计条线各自汇报。

各部门的汇报路径、汇报形式和汇报频率，如图 4-2 所示。

图 4-2　汇报路径示例

1.按照报告部门划分

信息科技部门、风险管理部门和审计部门分别按照以下汇报路径，向高级管理层和董事会报告全行信息科技风险状况和重大信息科技风险事件：

·信息科技部门负责定期向高级管理层下设的信息科技管理委员会报告信息科技风险管理工作情况。

·风险管理部门负责定期向高管层下设的风险管理委员会报告信息科技风险状况；同时，根据要求向董事会及下设的风险控制委员会报告。

·审计部门负责定期向董事会下设的审计委员会报告信息科技审计情况。

2.按照报告频率划分

第一类是定期报告，三道防线部门按照不同频率和报告路线开展：

·信息科技部门向主管 IT 的高级管理层成员汇报信息科技风险管理月报，向第二道防线、第三道防线汇报 IT 风险管理和 IT 内外部审计情况。其中信息科技风险管理月报主要是向主管科技的高级管理层成员（例如首席信息官）汇报周期内 IT 运行情况（事件、容量、交易量、业务连续性等）、研发情况（开发质量、）、信息安全（数据安全、人员管理、审计问题），以及其他事项。

·风险管理部定期完成操作风险监测并向高级管理层报告，至少每季度向董事会及下设的风险控制委员会报告全面风险管理情况（包括信息科技风险）。

·审计部每年向董事会下设的审计委员会报告信息科技审计情况。

第二类是触发式报告，由信息科技部在发生以下情况时主动报告：

·发生重大信息科技风险事件。

·信息科技环境发生重大变化。

·监管机构要求时向高级管理层汇报。

此外，除了向高级管理层进行内部汇报外，还要按照监管要求向监管机构报送与信息科技风险有关的报告，也包括定期报告或触发式报告两种形式。

4.2.6　信息科技风险监控指标

信息科技风险管理在 IT 管理中日益重要。对于高级管理层来说，需要全面了解公司信息科技风险及风险管控情况，并能够在一定程度上对可能发生的风险事件进行预警。对于人民银行、银监会、保监会、证监会等监管机构来说，针对银行信息科技提出了一系列监管要求，需要及时发现合规问题和潜在风险，确保整体合规。为此我们设定了一系列监控指标，并进行持续地整合和完善，力求建立一套内容全面、标准统一、结构系统的信息科技风险监控指标体系。

在实际工作中，经常发现以下问题：

·监管要求来源渠道多，容易遗漏。

·不同渠道的部分监管要求重复。

针对这些问题，可以采取以下措施解决：

·建立信息科技风险库。

·建立信息科技风险监控指标体系。

·运用监控指标体系。

1.建立信息科技风险库

为了全面、体系化地识别日常管理中需要的信息科技风险监控指标，首先需要建立一套完整的信息科技风险库。风险库来源应该全面覆盖行业监管合规要求、行业风险事件、行业标准、公司风险现状和相关专家知识库，保障风险库的完备性，如图 4-3 和图 4-4 所示。

基于“威胁×脆弱性=风险”的理论基础，可以从监管要求、行业和公司历史风险事件、业界最佳实践标准等着手，从自然环境因素、人员因素、技术因素和业务因素等方面的威胁，分析出在人员、流程和技术等领域的脆弱性，进而识别出信息科技风险点，形成信息科技风险库。

通过对人民银行、银监会等监管机构发布的监管要求和标准进行详细解读，逐条提炼出相对应的信息科技风险描述，同时将业界和企业内部历史上曾经发生的信息科技风险事件案例作为风险识别的一个重要输入，通过对监管机构发布的风险提示、披露的银行业信息科技风险事件和内部过往信息科技风险事件的分析，提炼出各个风险案例中的风险点，并结合信息系统和技术控制目标（Control Objectives for Information and related Technology，COBIT）、信息技术基础架构库（Information Technology Infrastructure Library，ITIL）、ISO27001（信息安全管理体系）、软件能力成熟度集成模型（Capability Maturity Model Integration，CMMI）等国际标准和内部多年积累的风险知识库的内容，构建成信息科技风险库。

图 4-3　信息科技风险指标库来源

图 4-4　信息科技风险识别框架

2.建立信息科技风险监控指标体系

识别关键风险指标是指，基于前期建立的信息科技风险库中各个风险点，进行全面梳理和分析，在对所有风险点进行评估的基础上，分析确定各个风险点的驱动因素，并进行关键信息科技风险指标的识别。然后，根据重要性、系统性、合规性、代表性和可操作性等原则，对风险监控指标进行筛选。最后，在指标确定后，明确指标的含义和计算方法等关键属性，如图 4-5 所示。

图 4-5　信息科技风险关键指标识别方法

关键信息科技风险指标可以是客观的量化指标，如信息系统可用率，也可以是偏重定性的指标，如信息科技组织架构合理性等；可以是客观的，如灾备系统覆盖率，也可以是主观评价型的，如信息科技组织架构成熟度等。

3.监控指标体系的运用

监控指标体系主要运用在以下几个方面：

·有效评估信息科技风险管理水平。

·动态监测信息科技风险状况。

·合理配置信息科技风险管理资源。

·及时采取管理措施。

必要时通过专业数学建模方法论，可以构建信息科技风险预警模型和管理流程，预警风险并进行风险处置。

4.指标监测和报告

日常进行风险指标监测，并按月向二道防线和公司主管领导汇报监测情况，对于监测到的异常需要进行及时处置。