《构建商业银行IT风险治理架构》由会员分享,可在线阅读,更多相关《构建商业银行IT风险治理架构(13页珍藏版)》请在金锄头文库上搜索。
1、构建商业银行IT风险治理架构张淮清 “细”、“严”体现风险监管新形势 目前,信息技术、网络技术的迅猛发展冲击着各个行业,而银行业由于其自身服务特点成为广泛引入信息技术的行业之一。从业务流程的电子化到服务渠道的网络化,从客户资源的系统化到决策支持的智能化,信息技术正逐渐变化着老式银行业的运营模式。新技术的大量采用必然引入了新的风险,给银行业带来了新的挑战。为了保障中国银行业健康有序发展,加强商业银行信息科技风险管理,规范银行业金融机构的信息科技外包活动,银监会先后制定和发布了有关监管指引。 ,针对商业银行信息科技的风险管理,银监会发布商业银行信息科技风险管理指引,在信息科技治理、信息科技风险管理
2、、信息安全等八个方面提出了明确的规定,强调要加强信息科技风险监管。,面对日益发展的银行外包服务市场,银监会发布银行业金融机构外包风险管理指引,在组织架构、风险管理和监督管理等三个方面提出细致规定,强化外包风险监管。,针对商业银行信息科技外包,银监会发布银行业金融机构信息科技外包风险监管指引,在外包管理组织架构、信息科技外包战略与风险管理、信息科技外包管理等七个方面提出了专项规定,深化了信息科技外包风险的监管要素。由此可见,“细”和“严”体现了银监会对商业银行的风险监管趋势。“细”重要体目前:发布的监管指引在组织架构、风险管理和监督管理三个方面提出监管规定,每个方面提出的监管规定力度比较粗;发布
3、的监管指引,明确针对商业银行信息科技业务外包,从外包管理组织架构、信息科技外包战略及风险管理、信息科技外包管理、机构集中度风险管理、跨境及非驻场外包管理、银行业重点外包服务机构管理规定及监督管理七个方面提出细致规定。如在监管指引中,没有对外包管理执行团队的职责进行规定,而指引中明确做了规定。 “严”重要体目前:银监会发布的指引随着时间的推移在具体规定上更加量化和严格。如在的指引中只是提到进行定期的风险评价,而在发布的指引中更加明确和量化了监管规定,“银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估”,相比本来新发布的监管指引更加严格,对商业银行提出了更高的规定。
4、 完善的风险治理架构是基本和保障 商业银行IT风险治理架构意义 随着商业银行对信息系统依赖性不断增长,由此带来的风险、利益和机会使得T风险治理成为商业银行治理中至为核心的一种方面,完善的IT风险治理架构是商业银行风险管理体系的基本和保障。 一种成功的IT风险治理架构可以协助商业银行达到如下目的: 监管合规。建立健全T风险治理架构,实现对IT风险的有效辨认和管理,满足不断提高的监管规定,满足将来银行信用评级的刚性需求。目的一致。I风险治理必须与商业银行战略目的一致,是银行战略规划的重要构成部分,因此T风险治理要从组织目的和信息化战略中抽取信息安全需求和功能需求,形成总体的T风险治理框架,保证信息
5、技术跟上持续变化的业务目的。减少风险。IT风险治理强调风险管理,通过制定信息资源的保护级别,强化核心的信息技术资源,有效地进行实行监控和事故解决,此外它还能保护利益有关者的权益,使风险透明化,指引和控制IT投资、规划、建设、运营。 资源高效。IT风险治理可以合理运用与协调商业银行的信息资源,并进行有效管理,以保证I及时按照目的交付,且有合适的功能和盼望的收益,此外也要尽量避免信息化工程超期、IT客户的需求没有满足、T平台不支持业务应用等问题的发生。 商业银行I风险治理原则架构 商业银行I治理是环绕着IT投资决策的治理过程,一种优秀和原则的IT风险治理架构重要涉及如下四个方面:一是组织构造,即由
6、谁负责决策,组织构造的形式如何,组织构造中各成员的责任分别是什么;二是流程,即如何规范和执行平常业务操作,针对每个操作相应的流程是什么;三是制度,即制定哪些方面的T风险管理制度;四是技术,即采用什么样的技术措施固化IT风险管理流程和制度,保障商业银行业务系统安全可靠的运营。 银行IT风险治理架构方案探讨国内商业银行信息系统风险特点 国有商业银行“风险限度大,抗风险能力强”系统大多依托自身力量完毕,IT风险治理的重点聚焦在“完善自身组织的T治理架构”。一方面,国有商业银行由于信息技术架构庞大、设施复杂、波及的内容繁多,因而也许存在的脆弱性种类多,范畴大;其在国家金融体系、公众生活中所处的举足轻重
7、的地位,往往又使其成为黑客袭击的首选目的,其面临的外部威胁种类多,危害大。另一方面,由于业务规模大,且具有国家信用背景,国有商业银行具有较强的抗风险能力;同步,国有商业银行资金实力雄厚,信息化基本好,技术力量强大,系统的开发、建设和运维一般都自行完毕,国有商业银行的IT风险治理的重点是建立和完善自身组织的I治理架构。 都市商业银行“风险区域化,抗风险能力弱”系统或多或少需要借助外部力量,IT风险治理的重点不仅需要“完善自身组织的IT治理架构”,同步还要聚焦在“I外包组织的IT治理架构”。一方面,都市商业银行业务具有明显的区域性与地方性,因而其信息风险也具有地区性。诸多都市商业银行在本地拥有门类
8、齐全的业务,受关注度较高,甚至超过国有商业银行,因而在局部地区,其面临的信息风险种类繁多,风险度大。另一方面,城商行信息化资金投入少,技术人员局限性,其风险管理水平比较低下,需要借助专业信息科技外包服务提供商,增强信息化支撑力量,因此其T风险治理的重点不仅需要完善自身组织的IT治理构造,同步还要强化外包组织的IT风险治理,符合监管机构的合规性规定。 鉴于两类商业银行规模实力、组织架构、信息系统风险特点、抗风险能力以及治理的聚焦不同,下面我们分别就国有商业银行和都市商业银行进行T风险治理架构浅析。 国有商业银行IT风险治理架构国有商业银行IT风险治理架构是参照商业银行风险治理原则架构从组织架构、
9、流程、制度和技术等方面进行构建和完善。 组织架构国有商业银行应由董事会、高管层、信息技术委员会、风险管理委员会负责信息科技风险战略和政策制定、治理构造建立、资源配备等工作,明确I风险管理机构在全行风险管理组织体系中的定位,明确各业务条线、各业务支持保障部门、各级机构的IT风险管理职责,构建职能部门参与全行的IT风险“三道防线”的管理。具体组织机构设立如图所示。 风险管理委员会。风险管理委员会设立在总行,由高档管理者和内部专家构成,是一种独立的组织机构。重要负责银行所有风险的管理、监督和指引,以及负责制定符合公司发展战略的风险管理制度及风险应对决策。 I风险管理部门。银行中领导并负责IT风险管理
10、的机构,一般由首席信息官(CIO)负责领导。其重要职责为制定IT风险管理流程,在事故发生时负责业务的恢复。I风险管理部分别在总行、分行及支行设立,并配备相应人员。T风险经理。负责对具体的IT风险节点进行管控,同步根据IT风险预测制定相应的操作规范及应急措施。从本质上讲IT风险经理是银行内部负责具体风险管理操作的人员。 信息技术管理部。协助T风险经理完毕对项目风险的监控与管理。信息技术管理分别在总行、分行及支行设立,并配备相应人员。 其她有关部门。这些部门涉及审计部门以及各业务部门和资产评估部门。重要职责是配合进行I风险治理。 流程 IT治理流程是保证有关部门采用规范与合理的环节进行IT活动。根
11、据信息系统生命周期的特点,IT治理流程可分为事前、事中和事后三类,事前重要指信息系统规划和建设阶段,事中重要指信息系统运营、维护阶段,重要涉及三个类别:一是I运维管理类,重要从银行的数据(系统)中心运维的角度出发设计重要的信息系统维护流程,涉及系统监控流程、安全管理流程、备份管理流程、系统升级/维护流程;二是IT服务管理类,重要根据ITL的理念并结合银行的实际状况设计服务台/事件管理流程、问题管理流程、配备管理流程、变更管理流程和发布管理流程;三是IT综合管理类,重要涉及设备采购管理流程、设备报废流程、档案管理流程和外包管理流程。事后涉及管理阶段(审计、评价),每个阶段都需要设计和制定相应的I
12、治理流程,用于规范本阶段的IT活动。 制度 按照信息化工作涵盖的几种方面,即信息系统规划、建设、整合、维护、管理,信息资源管理和开发运用,需要制定相应I风险管理制度。涉及:信息分级与保护风险管理制度;信息系统开发、测试和维护管理制度;信息科技运营和维护管理制度;访问控制管理制度;物理安全管理制度;人员安全管理制度;业务持续性与应急处置管理制度。 技术国有商业银行应当构建全面的信息科技风险监测和保障体系,给信息系统建立一道抵御风险的有力屏障。一方面,商业银行应当对信息系统的运营状况进行全程监控,主干网络与否畅通、自助设备与否正常运营、数据库系统与否正常服务、与否有网络遭受外部非法入侵等都必须纳入
13、实时监控范畴,以保障在发生故障的第一时间作出响应。另一方面,商业银行必须未雨绸缪,制定应急预案,做好业务持续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演习,以保障在突如其来的劫难性事故面前,能沉着应对,迅速恢复生产,尽量减少事故导致的损失。 都市商业银行IT风险治理架构 都市商业银行在参照原则的商业银行IT风险治理架构外,还需重点对信息科技外包的风险进行管控,并在如下几种方面进行改善和完善。组织机构方面的调节 都市商业银行的I风险组织架构除了设立风险管理委员会、I风险管理部和信息技术部之外,还需新设立三个专家组,重点实现I外包管理和风险控制,分别是发展战略
14、组、法律事务组、实行监察组,分工合伙对I外包的实行进行不同阶段控制。其组织架构调节如图所示。 这三个组的具体人员构成和职责如下: 发展战略组。发展战略组由行内战略规划专家、各部门熟悉本行业务信息流关系的代表、信息技术专家以及资源外包征询银行的人员构成,组织机构设立在总行。IT外包的管理过程中发展战略组重要负责实行前调查研究国内外行业、竞争对手以及自身的信息化现状;找出实行信息化的自身优势、制约因素;辨识本行信息技术的核心竞争能力;在收益、成本和风险之间进行平衡并进行外包决策,明确IT外包范畴;把IT外包部分纳入本行的信息化总体架构和信息技术应用架构中,涉及外包的指引思想、总体目的、分阶段目的;
15、制定T外包的建设技术原则,保证信息系统建设的连贯性和一致性;设计外包方案避免反复投资与信息孤岛,保障信息安全,评价外包服务商的技术级别、发展能力,选择外包服务商;制定经费预算,建立组织保障体系、评价指标体系;制定培训工作筹划。发展战略组在整个外包的过程中的作用,概括起来重要是“把握命运,寻找方向,制定规划,明确范畴”。 法律事务组。法律事务组由对T外包业务非常熟悉的高档管理人员负责,由进一步理解行内需求和发展战略的专家(指发展战略构成员或代表)、外包征询专家、实行监察组代表、费用预算人员和法律顾问构成,组织机构设立在总行。法律事务组的重要职责涉及:在外包范畴明确后,协助发展战略组,根据本行信息技术规定,所需的硬件、软件、服务、成本与时间等提出量化和测度的规定,制定项目建议书;在外包谈判中,将外包实行方案、实行战略变成可操作的、可控制的、具有法律意义的、适应性强的合同或合同,明确银行与外包服务商的职责范畴、信息系统质量指标、性能测量度以及性能达标期限,在每个重要的阶段未能履约的罚款,服务水平的保障措施,争议的解决和合同的解释合同条款;在外包实行过程中,协助实行监察组工作,解决实行过程中争议,解决相应法律事务,避免由于合同设计中浮现的漏洞而陷入无穷无尽的纠纷中。 实行监察组。实行监察组重要由信息技术专业人员、合同合同管理人员、协调人员构成。实行监察组充当的是合同管
