|
1、科技风险管理概况
随着银行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为银行稳健运营和发展的支柱,是银行实现业务战略的基础平台,逐渐成为金融创新的重要手段。各个银行在过去的几年基本完成了体制改革,全面推进业务经营转型,价值创造力、市场竞争力和风险控制力持续提升。同时,在国际金融环境日趋复杂、国内金融市场竞争更加激烈的大背景下,国际新《巴塞尔资本协议》对银行内部评级体系建设、风险计量模型构建、全面风险管理能力等多方面提出了更加严格的要求。因此,提高风险管理系统建设水平已成为当前银行信息化建设的重点,是衡量银行核心竞争力的一个重要标志。为此,建立一套完整、有效的信息科技风险控制体系,识别、降低、控制或排除可能影响信息系统的各类风险,提高银行的风险控制能力,已成为当前各行信息科技发展工作中的重中之重,一方面满足国家、行业主管单位及上市公司监管要求;另一方面为建立可持续发展的风险管理体系夯实基础。
银监会等国家级金融监管机构对此也越来越重视,为了进一步提高银行业信息科技风险的识别与控制能力,及时监测、分析和报告各项业务领域的信息科技风险,提升信息科技管理水平管理水平,2009年中国银监会发布《商业银行信息科技风险管理指引》,《商业银行信息科技风险管理指引》共十一章、七十六条款,要求金融机构全面加强信息科技风险管理。
2、科技风险管理的主要内容
《商业银行信息科技风险管理指引》共十一章、七十六条款,要求金融机构从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计全面加强信息科技风险管理。
|
商业银行信息科技风险管理指引 |
|
序号 |
控制域 |
|
一、信息科技治理 |
|
1 |
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 |
|
2 |
第七条 商业银行的董事会应履行以下信息科技管理职责: |
|
3 |
第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息官的职责包括: |
|
4 |
第九条
商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施: |
|
5 |
第十条
商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。 |
|
6 |
第十一条
商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。 |
|
7 |
第十二条
商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。 |
|
8 |
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险状况。 |
|
二、信息风险管理 |
|
三、信息安全 |
|
四、信息系统测试、开发和维护 |
|
五、信息系统运行 |
|
六、业务连续性 |
|
七、外包 |
|
八、内部审计 |
|
九、外部审计 |
3、信息科技风险管理架构
4、实施“科技风险管理管理”对金融机构的意义
Ø满足银监会、人民银行、公安部、总行、认监委等其他部委对金融机构IT工作的各项要求
Ø在行业内建立科技风险管理、安全管理、IT服务管理的标杆
Ø完善岗位职责、网络、应用、日常维护、开发、机房等物理环境、IT外包等方面管理,提高金融机构科技风险管理水平
Ø避免因管理方面的问题导致“科技风险管理”存在安全隐患,科技风险管理咨询工作可以从管理、组织、制度、运行管理上避免风险的发生.
Ø对监管法规对各类风险管理提出的具体要求进行分析;梳理金融机构信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护进、信息科技运行、业务连续性管理、外包等方面的实际情况与监管法规的要求存在的差异进行分析,根据分析的结果,得出差距分析报告;通过证实内部控制存在有效的降低业务风险,鉴证信息资产的机密性、完整性、可靠性、可用性及法律法规的符合性。
Ø通过对金融机构信息科技风险内部审计,分析金融机构信息科技活动领域,分析、确定金融机构信息科技活动领域中存在的信息科技风险、风险的类型、区域、分布的环节、潜在的影响,划分风险的级别,制定风险处置计划,对金融机构今后工作的开展提供指导。
|
