工商银行信息科技风险管理的思考和实践

ＩＩｌ一　信息科技风险管理是商ｌ监银行发暴以及信基化进程中面临盼＿｝』分重要和紧追的同秘，．　纛蓑　银短Ｉ业各方面共同关洼和推进。连需裴各家商｝监银行内部稃挠部门和业务部门协回配合．．．　共同　打造｜个安全的．．．抗风险的金融ｌＴ乎台　促进银行＿监ｌ务的健康快逮发鼹　赢镶行　馕感科接风险管囊　慝　藉寮　瞧　中国工商银行首席信息官林晓轩　随着信息科技在商业银行发展中的作　用Ｅｔ益凸现，商业银行在面临传统的信用　风险、市场风险和操作风险的同时，又　面临信息技术与银行业务交融引发的新型　风险一一商业银行信息科技风险。信息技　术的发展，一方面大力促进了银行客户服　务和管理水平，降低了银行的管理成本和　交易费用；另一方面，银行对信息科技的　依赖以及由此产生的风险日益加剧。近年　来，监管部门对信息科技风险管理高度重　视，提出了明确的要求。国内各商业银行　在信息系统软硬件建设和安全管理方面投　入了大量资源，注意防范各类信息科技风　险。在步入“十二五”信息科技发展新阶　段之际，如何进一步提高信息科技风险管　理水平，是各家商业银行在规划未来一段　时期信息化建设过程中需要思考和解决的　一项重要课题。　１　０　ＦｆＮＡＮｃｌＡＬ　ｃｏＭＰｕＴＥＲ　ｏＦ　ｃＨ｝ＮＡ　本　苻葡ｌ　Ｓｐｅｃｉａｌ　Ａ￣ｉｃｌｅ　ｌ　常办理，还可能会对银行的声誉和市值产生负面影响，　一　商业银行加强信息科技风险管理的重要性　因此更为重视信息科技风险，这也相应对加强信息科技　信息系统的安全性、可靠性和有效性不仅是商业银　风险管理提出了更高要求。　行赖以生存和发展的重要基础，还事关整个银行业的安　３．加强信息科技风险管理是新　巴塞尔资本协　全和国家金融体系的稳定，因此国家对银行信息科技风　险管理日益重视，各监管机构均对银行信息科技风险管　理提出了明确要求，各商业银行也普遍提高了对信息科　技风险管理的关注程度。　１．加强信息科技风险管理是金融监管部门关注的　重要内容　随着国内银行纷纷上市并在全球金融格局中扮演　日益重要的角色，对于包括系统运行风险在内的信息科　技风险管理工作，得到了监管部门越来越多的关注和各　家上市商业银行的日益重视。２００９年３月，银监会颁布　了《商业银行信息科技风险管理指引》（以下简称《指　引》），从信息科技治理、信息科技风险管理、信息安　全、信息系统开发测试和维护、信息科技运行、业务连　续性管理、外包、内部审计、外部审计等方面，对商业　银行信息科技风险管理工作提出了全面要求。国家有关　监管部门这些卓有成效的管理措施对银行不断改进和完　善信息科技风险管理工作具有十分重要的指导意义，充　分体现出了我国政府对银行业信息科技风险管理的高度　重视。　２．加强信息科技风险管理是商业银行自身发展和　提高ＩＴ治理水平的需要　根据ＩＴ治理模型，信息科技风险管理与战略一致　性、资源管理、绩效评估等一起构成ＩＴ治理总体架构，　是其中一个重要方面。随着各家银行信息化建设的深　入，对信息科技风险的认识也在逐步深入，从单一的信　息安全转变为涵盖生产运行、应用研发、信息安全等方　面的全面信息科技风险管理，信息科技风险管理水平体　现了银行的信息化程度和整体的风险管理水平。在商业　银行完成股份制改革和上市之后，商业银行更是普遍认　识到信息科技一旦发生风险事件，不仅会影响业务的正　议　的基本要求　２（　年正式公布的新《巴塞尔资本协议》（ＢａＳｅ１Ⅱ，）　以及后续公布的Ｂａｓｅｌ中，对银行风险的分类和定义进行　了明确，强调银行在进行风险管理的时候，不仅要重视传　统的信用风险、市场风险、流动性风险，而且要将操作风　险放在一个重要的地位，并将信息科技风险明确划归至操　作风险的范畴，从而使得信息科技风险管理成为了银行全　面风险管理体系中的重要组成部分。　二、商业银行加强信息科技风险管理的有关举措　根据国际权威机构“信息系统审计与控制委员　会”（ＩＳＡＣＡ）发布的信息系统风险控制和ＩＴ审计　工作的最佳实践指南，信息科技风险管理应关注ＩＴ治　理、软件生命周期管理（即项目开发与变更）、ＩＴ服　务交付与支持（即系统运行维护）、信息安全、业务　连续性管理等儿大领域。银监会《指引》规定，　“信　息科技风险是指信息科技业务在商业银行应用过程　中，由于自然因素、人为因素、技术漏洞和管理缺陷　产生的操作、法律和声誉等风险”，同时明确了商业　银行信息科技风险管理覆盖了信息科技治理、信息科　技风险管理、信息安全、信息系统开发、测试与维　护、信息科技运行、业务连续性管理等内容。总体而　言，商业银行在具体实践过程中主要从科技治理、生　产运行、应用研发、信息安全等四个方面落实信息科　技风险管理措施。　多年来，工商银行坚持“科技兴行”、　“科技引　领”发展战略，建立了集约化的信息科技组织管理体　系，并逐步建立了与国际大银行相适应的先进的科技体　系和技术平台。自２００６年起，工商银行将信息科技风险　纳入了全行风险管理体系，作为操作风险管理的重要组　２ｏ１１　１／中国金融电脑　１　１　ＩＩＩ圈　成部分，围绕上述四个领域在信息科技风险管理方面开　升了全行信息科技管理的标准化和规范化水平。除了制　展了大量工作。　度和规范约束外，工商银行将各项管理要求体现到系统　１．建立健全信息科技管理组织体系和信息科技风　平台中，实现了科技管理的自动化，确保各项既定管理　险管理体系，是加强信息科技风险管理的基础　根据银监会《指引》要求，工商银行成立了由行长　任主任委员、主管副行长和首席风险官任副主任委员、　各相关部门参加的信息科技管理委员会，负责审议信息　科技战略、科技制度和技术规范体系建设规划、信息科　技重大决策事项及信息科技风险管理、信息安全管理等　工作，推动信息科技治理建没，并定期向董事会、高级　管理层汇报信息科技战略规划的执行、信息科技预算和　实际支出、信息科技的整体工作情况。同时，信息科技　管理委员会下设技术审查委员会，负责重大科技项目方　案的审查，确保全行信息科技架构体系的合理性和延续　性。此外，近期工商银行设立了首席信息官，信息科技　管理体系得到进一步完善。　依靠自行科技管理所积累的经验，工商银行建立了　较为完善的信息科技管理制度及技术标准规范体系，其　中总行层面的信息科技管理制度达到１２６项，包括信息安　全、系统、应用等七大类的技术规范超过］００项，有效提　ＦＩＮＡＮＣＩＡＬ　ＣＯＭＰＵＴＥＲ　ＯＦ　ＣＨＩＮＡ　要求得到有效落实。同时，工商银行还建立了信息科技　现场检查和非现场检查机制，面向各级科技部门每年开　展２次现场检查，每月利用各类技术管理平台定期开展１　次非现场检查，并对检查发现问题的整改进展进行持续　的跟踪、管理和考核，确保整改措施落实到位。　２．认真落实信息科技风险管理三道防线职能是加　强信息科技风险管理的保障　根据银监会《指引》的有关规定，商业银行应设立　或指派一个特定部门负责信息科技风险管理工作，建立　由信息科技部门、信息科技风险管理部门、内部审计部　门三道防线组成的信息科技风险管理体系，共同防范和　控制信息科技风险。　近年来，工商银行逐步形成并确立了由信息科技　部门、风险管理部门和内部审计部门组成的信息科技风　险管理三道防线，相关部门在信息化建设、信息科技管　理、风险监测、风险控制和评估、信息科技审计等方面　分别相应落实有关职责，持续提升了全行信息科技风险　管理水平，有效控制了信息科技风险。特别是，根据银　监会《指引》内容和全面风险管理的有关要求，参考借　鉴国内外信息科技风险管理和内部控制与审计等领域的　最佳实践，２０］０年以来工商银行对第二道防线的工作职　责进行了全面梳理，并从信息科技风险管理策略、信息　科技风险评估、风险控制、风险监测、风险报告、业务　连续性计划等六个方面认真落实第二道防线的工作职　能。　３．有效防范生产运行风险是加强信息科技风险管　理的关键　生产运行风险是信息科技风险的突出外在表现，工　商银行始终坚持“将确保信息系统安全稳定运行放在信　息科技工作首位”的指导思想，并持续强化运行管理操　作的各项措施，降低运行风险。　４ｔｆ￣Ｊｔ＃ｆ４　ｌ　Ｓｐｅｃｉａｌ　Ａｒｔｉｃｌｅ　ｌ　首先，建立了信息系统安全等级体系，根据系统　安全等级在性能容量管理、灾备、监控等方面采取不同　的风险管理措施，在保证系统对外服务水平的同时，也　三、信息科技风险管理需要　科技部门和各业务部门共同推进、共担风险　从信息科技风险管理实践来看，虽然信息科技风险　有效控制了科技成本投入。其次，建立了全行统一的信　息系统运行监控平台，针对关键应用系统实现了面向业　务可用性的监控目标，并建立了数据中心对一级分行、　一级分行对二级分行的远程监控。再次，实现生产运行　的自动化监控和操作，数据中心主机系统已经全面实现　操作自动化，开放平台系统的操作自动化率也已经达到　５５％，既有效提高了生产运维效率，又切实降低了手工　操作所带来的风险。最后，建立了主机核心业务的远程　异地灾备系统和同城数据备份系统，实现了关键业务集　中式营运中心的场地灾备，同时参考业界相关技术标　准，建立了全行统一的应用灾备等级标准，＇￣ｌ－ｘ，ｉ全行２００　余个应用系统实施分等级的灾备保护措施，确保所有应　用系统都具备灾备恢复能力；在上述工作基础上，工商　银行正在规划按照“两地三中心”布局进一步优化生产　运行和灾备体系。　４．信息安全贯穿于信息科技全流程，是信息科技　风险管理的重要内容　信息安全管理的核心是要建立健全信息安全的内　部控制体系，通过技术和管理手段，确保银行信息系统　和数据的机密性、完整性和可用性。对此，工商银行认　真落实信息系统安全等级保护、风险评估和审计检查等　管理措施，并在客户端安全、互联网安全、应用交易安　全等方面采取了有效的技术防护手段。一方面，在健全　信息安全管理制度体系、明确各部门职责和管理流程的　基础上，通过规范相关制度，落实信息系统等级保护、　实施风险评估和安全检查、加强日常安全检测和管理以　及安全教育等措施来强化信息安全的管理工作。另一方　面，持续完善信息安全技术控制措施，提升硬控制能　力，近年来不断从信息安全、信息系统安全和客户端安　全三个方面加强对信息安全的技术控制，有效控制了信　息安全风险。　管理更多关注的是信息科技领域，但其中相当一部分内　容与业务部门息息相关。因此，信息科技风险管理实际　上是商业银行的一项全局性工作，需要业务部门共同参　与和推进。　（１）在生产运行领域的业务连续性管理方面，在信息　科技部门灾备系统的基础上，需要业务部门制定业务层　面的应急计划，指导业务人员在信息系统中断和恢复时　进行业务的应急处理，从而与信息科技部门协同开展应　急恢复工作。　（２）在应用研发方面，产品质量会引发系统运行风　险，而引发产品质量问题的因素是多方面的，既包括程　序设计和开发缺陷等技术因素，也包括业务测试验证和　需求不完善或质量不高等业务因素。因此，在应用产品　研发过程中，需要科技部门与业务部门共同做好项目管　理工作，实现风险共担。　（３）在信息安全方面，信息安全管理涉及多个部门　职责，除了信息科技部门外，还涉及信息及信息系统归　属部门、信息及信息系统使用部门、内控合规部门、内　部审计部门、保密管理部门等，在日常工作中需要科技　部门与业务部门按照职责分工共同落实信息安全管理措　施，防范信息安全风险。　总之，信息科技风险管理是商业银行发展以及信息　化进程中面临的十分重要和紧迫的问题，需要银行业各　方面共同关注和推进，也需要各家商业银行内部科技部　门和业务部门协同配合，共同打造一个安全的、抗风险　的金融ＩＴ平台，促进银行业务的健康快速发展。圜　＿　编　：李　莉　ｉ　ｎｇ－ｉ　ｃｃ．ｃ。ｍ．ｃｎ　２０１１　１／中国金融电脑