「摘要」隨著農(nóng)發(fā)行數(shù)字化改革的不斷深入��,信息科技日益成為全行穩(wěn)健運營和高質(zhì)量發(fā)展的重要支柱����,但也帶來信息科技風(fēng)險隱患����。信息科技風(fēng)險是金融風(fēng)險的重要組成部分,如何防范信息科技風(fēng)險已列入農(nóng)發(fā)行研究的重要課題����。本文通過對農(nóng)發(fā)行信息科技風(fēng)險體系建設(shè)的實踐分析,提出了新形勢下如何更好管控信息科技風(fēng)險的措施和建議��,對構(gòu)建現(xiàn)代銀行信息科技安全防線提供參考��。
「關(guān)鍵詞」金融風(fēng)險?信息科技風(fēng)險?風(fēng)險管控
習(xí)近平總書記在中央金融工作會議上強(qiáng)調(diào):“防范化解金融風(fēng)險��,是金融工作的永恒主題?���!秉h的二十大報告共91次提及安全,16次提及風(fēng)險�,風(fēng)險防控已經(jīng)成為國家重要的安全戰(zhàn)略。在農(nóng)發(fā)行三十年發(fā)展歷程中��,總行黨委始終高度重視全面風(fēng)險管控��,統(tǒng)籌推進(jìn)全面風(fēng)險管理體系建設(shè)和防范化解金融風(fēng)險雙核驅(qū)動����,正確處理業(yè)務(wù)發(fā)展與風(fēng)險防控之間的關(guān)系,把全面風(fēng)險管理建設(shè)目標(biāo)由單純滿足監(jiān)管要求向提升全行核心競爭力轉(zhuǎn)變����。2018年,農(nóng)發(fā)行將數(shù)字化轉(zhuǎn)型戰(zhàn)略及執(zhí)行過程中可能存在的信息科技風(fēng)險納入全面風(fēng)險管理體系����,持續(xù)提升信息科技風(fēng)險管理水平�。
一、加強(qiáng)信息科技風(fēng)險管理的必要性
(一)做好信息科技風(fēng)險管理�,是實現(xiàn)高質(zhì)量發(fā)展的迫切要求�。當(dāng)前農(nóng)發(fā)行不斷加強(qiáng)技術(shù)與金融的深度融合��,在信息科技獲得深入應(yīng)用的同時����,也帶來了較大的風(fēng)險,信息科技風(fēng)險廣泛存在于系統(tǒng)開發(fā)��、測試��、上線��、運維����、使用和管理過程中,具備突發(fā)性強(qiáng)��、隱蔽性強(qiáng)��、破壞性強(qiáng)的特點�,一旦發(fā)生重大信息科技風(fēng)險事件,可能造成業(yè)務(wù)癱瘓��、資金損失����、客戶流失等災(zāi)難性后果��。有效管控信息科技風(fēng)險關(guān)乎業(yè)務(wù)穩(wěn)定運行����、金融安全和數(shù)字化轉(zhuǎn)型成效�,是科技綜合實力的重要體現(xiàn),也是實現(xiàn)高質(zhì)量發(fā)展各項目標(biāo)的必要前提�。
(二)做好信息科技風(fēng)險管理,是落實監(jiān)管規(guī)定的客觀需要��。中央金融工作會議提出:“監(jiān)管要‘長牙帶刺’����、有棱有角,橫向到邊����、縱向到底”,強(qiáng)監(jiān)管����、嚴(yán)監(jiān)督態(tài)勢正在形成。監(jiān)管機(jī)構(gòu)對信息科技風(fēng)險管理要求更趨精細(xì)化��、嚴(yán)格化�、專業(yè)化,先后發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》《商業(yè)銀行操作風(fēng)險管理指引》等一系列指引和規(guī)范��。從信息科技治理��、信息安全����、開發(fā)測試和生產(chǎn)運行等方面提出具體的風(fēng)險管理要求。監(jiān)管機(jī)構(gòu)定期開展信息科技監(jiān)管評級�,并對發(fā)生重大信息科技風(fēng)險事件的銀行進(jìn)行通報或罰款。監(jiān)管管控力度的持續(xù)加大對農(nóng)發(fā)行信息科技風(fēng)險管控提出更高標(biāo)準(zhǔn)和更嚴(yán)要求��。
(三)做好信息科技風(fēng)險管理����,是完善全面風(fēng)險管理體系的工作要求。監(jiān)管部門強(qiáng)調(diào)農(nóng)發(fā)行應(yīng)深入分析“三農(nóng)”領(lǐng)域風(fēng)險特點����,構(gòu)建與本行職能定位、風(fēng)險狀況��、業(yè)務(wù)規(guī)模和復(fù)雜程度相匹配的全面風(fēng)險管理體系�,加強(qiáng)對各類風(fēng)險的識別��、計量�、監(jiān)測����、控制和處置。信息科技風(fēng)險是農(nóng)發(fā)行當(dāng)前面臨的主要風(fēng)險之一����,建立健全信息科技風(fēng)險管理體系是落實“十四五”風(fēng)險管理專項規(guī)劃的重要任務(wù)。在金融科技快速發(fā)展的背景下����,信息科技風(fēng)險管理水平影響全行整體風(fēng)險管理水平,加強(qiáng)信息科技風(fēng)險管理能夠有效提升風(fēng)險綜合管理和風(fēng)險抵御能力��,是完善全面風(fēng)險管理體制機(jī)制�、筑牢風(fēng)險管理防線、確保信息系統(tǒng)和業(yè)務(wù)安全穩(wěn)健運行不可缺失的部分��。
二�、農(nóng)發(fā)行信息科技風(fēng)險管理體系建設(shè)實踐
農(nóng)發(fā)行信息科技風(fēng)險體系建設(shè)始終堅持黨的領(lǐng)導(dǎo),主動順應(yīng)發(fā)展大勢�,有效對接現(xiàn)代理念,穩(wěn)步推進(jìn)信息科技風(fēng)險管理機(jī)制改革,取得了突出成效�,為全行高質(zhì)量發(fā)展保駕護(hù)航。
(一)推進(jìn)信息科技風(fēng)險管理模式的革新����。根據(jù)監(jiān)管要求��,參考同業(yè)實踐�,結(jié)合農(nóng)發(fā)行自身業(yè)務(wù)發(fā)展需要��,建立持續(xù)����、有效的信息科技風(fēng)險識別、評估����、監(jiān)測、控制機(jī)制�,形成了“全面、全程�、全新、全員”的風(fēng)險管理模式(詳見表1)����,有力解決了“從無到有”的問題��,有的領(lǐng)域在同業(yè)中實現(xiàn)了“彎道超車”��。
(二)健全信息科技風(fēng)險管理制度體系��。制度是風(fēng)險管理機(jī)制建設(shè)的重要保障�。農(nóng)發(fā)行信息科技風(fēng)險管理制度體系從上向下分為辦法層和細(xì)則層兩個層級�。《信息科技風(fēng)險管理辦法》從全行層面明確了信息科技風(fēng)險管理目標(biāo)��、治理架構(gòu)��、管理活動等內(nèi)容����。確立以信息科技部門、風(fēng)險管理部門����、審計部門為“三道防線”的工作職責(zé)以及協(xié)同機(jī)制,定義了信息科技風(fēng)險管理活動各個領(lǐng)域中的工作流程�、內(nèi)容及要求?�!缎畔⒖萍硷L(fēng)險評估實施細(xì)則》等相關(guān)制度基于信息科技風(fēng)險管理辦法,具體定義了每項工作的實施參與方�、實施流程和工作方法,確保風(fēng)險管理工作有效落地�,高效化解風(fēng)險。
(三)完善信息科技風(fēng)險識別和評估機(jī)制����。風(fēng)險識別和評估是信息科技風(fēng)險管理的重要內(nèi)容。農(nóng)發(fā)行將監(jiān)管要求����、內(nèi)外部審計發(fā)現(xiàn)的風(fēng)險��、同業(yè)風(fēng)險事件等納入信息科技風(fēng)險清單�,并建立信息科技風(fēng)險庫,定期更新����。為更好識別風(fēng)險,風(fēng)險管理部門牽頭至少每三年完成覆蓋全行范圍��、信息科技管理各個領(lǐng)域的風(fēng)險評估����。針對機(jī)房搬遷��、重要信息系統(tǒng)投產(chǎn)等特定對象開展專項評估�。在開展評估過程中����,農(nóng)發(fā)行以緩釋前風(fēng)險和緩釋措施為主要模型,采用二維矩陣對某一風(fēng)險點的剩余風(fēng)險進(jìn)行評估��,綜合考慮風(fēng)險容忍度的影響�、風(fēng)險處置的成本效益等因素,得出風(fēng)險點的剩余風(fēng)險等級�,形成信息科技風(fēng)險問題清單,開展風(fēng)險控制工作(詳見圖1)�。
(四)提升信息科技風(fēng)險監(jiān)測和控制能力。監(jiān)測機(jī)制是風(fēng)險防范的重要保障�,農(nóng)發(fā)行高度重視風(fēng)險監(jiān)測和控制體系的建設(shè)(詳見圖2)。根據(jù)識別的關(guān)鍵風(fēng)險信息��,不斷補(bǔ)充監(jiān)測指標(biāo)項�,完善指標(biāo)要素,進(jìn)一步優(yōu)化信息科技風(fēng)險監(jiān)測度量指標(biāo)體系�,提升信息科技風(fēng)險監(jiān)測的精確性和前瞻性。按年度開展信息科技風(fēng)險監(jiān)測指標(biāo)評估����、評審�、匯報與修訂����,保存過程記錄,確保預(yù)警和風(fēng)險提示的及時性�。對風(fēng)險監(jiān)測數(shù)值變化趨勢和異常情況進(jìn)行分析,及時更新指標(biāo)庫����。針對風(fēng)險監(jiān)測發(fā)現(xiàn)的問題,發(fā)布風(fēng)險提示��,啟動應(yīng)急預(yù)案��,采取適當(dāng)?shù)拇胧┛刂骑L(fēng)險����。監(jiān)測部門對風(fēng)險控制措施的落實情況持續(xù)進(jìn)行跟蹤����,確保相關(guān)部門按計劃完成整改,消除風(fēng)險隱患�。
(五)提高網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理水平。過去五年��,農(nóng)發(fā)行狠抓網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作,安全防護(hù)能力逐年提升��。建立了“網(wǎng)絡(luò)安全縱深防御體系模型”����,組織實施了互聯(lián)網(wǎng)出口上收、態(tài)勢感知平臺��、終端安全統(tǒng)一管控����、保密檢查系統(tǒng)等重點項目,補(bǔ)強(qiáng)安全能力基礎(chǔ)����。開展勒索病毒防護(hù)應(yīng)急演練、數(shù)據(jù)安全和供應(yīng)鏈應(yīng)急演練����、安全意識教育等專項工作。定期開展漏洞排查��、問題跟蹤�、評估和調(diào)研等,識別和處置薄弱領(lǐng)域安全風(fēng)險����,推動解決一些短板問題����。建成涵蓋IT運維全流程的一體化運維平臺��,實現(xiàn)“橫向到邊����、縱向到底”的一體化運維管理目標(biāo)。進(jìn)一步健全數(shù)據(jù)全流程管控機(jī)制��,開展信息保護(hù)分類分級管理�,嚴(yán)格防控數(shù)據(jù)泄露風(fēng)險。
三����、新形勢下加強(qiáng)信息科技風(fēng)險管理的思考與建議
(一)推進(jìn)信息科技風(fēng)險管理數(shù)字化建設(shè)�。信息科技風(fēng)險管理數(shù)字化建設(shè)程度極大地影響著銀行風(fēng)險管理的深度和廣度。從技術(shù)發(fā)展趨勢看����,新一輪技術(shù)革新已經(jīng)來臨,特別是在數(shù)字金融時代背景下�,農(nóng)發(fā)行應(yīng)按照“統(tǒng)一調(diào)度�、集中管控����、協(xié)同運作、資源共享”原則�,有序推動信息科技風(fēng)險管理系統(tǒng)建設(shè)。建立以“監(jiān)��、管�、控、治”為核心的成熟完善的信息科技風(fēng)險管控平臺�,實現(xiàn)風(fēng)險監(jiān)測、處置��、跟蹤����、報告等全流程管理,提高監(jiān)控的時效性和準(zhǔn)確度����。
(二)提升新興技術(shù)風(fēng)險防范能力。由于農(nóng)發(fā)行在數(shù)字化轉(zhuǎn)型過程中不斷嘗試新型技術(shù)����,信息科技風(fēng)險會以新的形態(tài)出現(xiàn)�,傳統(tǒng)管理模式無法滿足變化頻繁的風(fēng)險場景����,使得數(shù)字化模式下管理難度加大。應(yīng)關(guān)注新興技術(shù)的發(fā)展趨勢和潛在風(fēng)險����,加強(qiáng)技術(shù)研究和創(chuàng)新,提升技術(shù)風(fēng)險防范能力�。例如,應(yīng)加強(qiáng)對云計算�、大數(shù)據(jù)、人工智能等技術(shù)的風(fēng)險識別��、評估和監(jiān)控��,分析潛在風(fēng)險因素��,確保技術(shù)的安全可控����。
(三)構(gòu)建有效的“三道防線”協(xié)同機(jī)制����。“三道防線”是全面風(fēng)險管理戰(zhàn)略的核心����,相互獨立����、相互制約、相互促進(jìn)�。農(nóng)發(fā)行信息科技風(fēng)險管理的“三道防線”雖已建立,但各道防線在信息科技風(fēng)險管理的認(rèn)知方面存在差異�,在流程和操作層面,存在管理效率較低�、管理流程不可控、溝通不暢����、信息無法共享、定位不明確等問題��。應(yīng)將信息風(fēng)險控制前移�,把風(fēng)險管控貫穿于信息流動的全過程,形成三道防線相互作用的聯(lián)動機(jī)制��,構(gòu)建風(fēng)險防控的立體防護(hù)網(wǎng)��。
(四)推動信息科技風(fēng)險管理向事前和事中轉(zhuǎn)變。從農(nóng)發(fā)行的風(fēng)險管理體系運行情況來看�,主要以事后處置模式為主,缺乏有效的事前��、事中管理機(jī)制����,存在信息科技風(fēng)險管理和信息科技運行“兩張皮”的情況。中央金融工作會議指出:“要嚴(yán)格落實‘四早’風(fēng)險防控要求��,建立風(fēng)險防控的長效機(jī)制����。”應(yīng)強(qiáng)化第二道防線在IT項目全流程的風(fēng)險管控參與力度�。從定期開展IT風(fēng)險專項評估逐步轉(zhuǎn)變?yōu)椤坝|發(fā)式”的評估方式,在事前��、事中識別����、控制風(fēng)險。
(五)加強(qiáng)人才隊伍及風(fēng)險管理文化的建設(shè)��。隨著監(jiān)管部門的要求不斷提升及銀行信息系統(tǒng)不斷擴(kuò)增�,二道防線的人才隊伍規(guī)模和專業(yè)性矛盾越發(fā)嚴(yán)重��。應(yīng)加強(qiáng)對信息科技風(fēng)險管理人才的培養(yǎng)和引進(jìn),建立一支具備專業(yè)技能和豐富經(jīng)驗的信息科技風(fēng)險管理團(tuán)隊����,提升風(fēng)險應(yīng)對能力。同時��,建立風(fēng)險文化宣傳機(jī)制��,定期發(fā)布風(fēng)險信息�,引導(dǎo)員工自覺遵守風(fēng)險管理規(guī)定,增強(qiáng)風(fēng)險防控意識��。
