「摘要」隨著農(nóng)發(fā)行數(shù)字化改革的不斷深入,信息科技日益成為全行穩(wěn)健運(yùn)營和高質(zhì)量發(fā)展的重要支柱,但也帶來信息科技風(fēng)險(xiǎn)隱患。信息科技風(fēng)險(xiǎn)是金融風(fēng)險(xiǎn)的重要組成部分,如何防范信息科技風(fēng)險(xiǎn)已列入農(nóng)發(fā)行研究的重要課題。本文通過對農(nóng)發(fā)行信息科技風(fēng)險(xiǎn)體系建設(shè)的實(shí)踐分析,提出了新形勢下如何更好管控信息科技風(fēng)險(xiǎn)的措施和建議,對構(gòu)建現(xiàn)代銀行信息科技安全防線提供參考。
「關(guān)鍵詞」金融風(fēng)險(xiǎn)?信息科技風(fēng)險(xiǎn)?風(fēng)險(xiǎn)管控
習(xí)近平總書記在中央金融工作會議上強(qiáng)調(diào):“防范化解金融風(fēng)險(xiǎn),是金融工作的永恒主題?!秉h的二十大報(bào)告共91次提及安全,16次提及風(fēng)險(xiǎn),風(fēng)險(xiǎn)防控已經(jīng)成為國家重要的安全戰(zhàn)略。在農(nóng)發(fā)行三十年發(fā)展歷程中,總行黨委始終高度重視全面風(fēng)險(xiǎn)管控,統(tǒng)籌推進(jìn)全面風(fēng)險(xiǎn)管理體系建設(shè)和防范化解金融風(fēng)險(xiǎn)雙核驅(qū)動,正確處理業(yè)務(wù)發(fā)展與風(fēng)險(xiǎn)防控之間的關(guān)系,把全面風(fēng)險(xiǎn)管理建設(shè)目標(biāo)由單純滿足監(jiān)管要求向提升全行核心競爭力轉(zhuǎn)變。2018年,農(nóng)發(fā)行將數(shù)字化轉(zhuǎn)型戰(zhàn)略及執(zhí)行過程中可能存在的信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系,持續(xù)提升信息科技風(fēng)險(xiǎn)管理水平。
一、加強(qiáng)信息科技風(fēng)險(xiǎn)管理的必要性
(一)做好信息科技風(fēng)險(xiǎn)管理,是實(shí)現(xiàn)高質(zhì)量發(fā)展的迫切要求。當(dāng)前農(nóng)發(fā)行不斷加強(qiáng)技術(shù)與金融的深度融合,在信息科技獲得深入應(yīng)用的同時(shí),也帶來了較大的風(fēng)險(xiǎn),信息科技風(fēng)險(xiǎn)廣泛存在于系統(tǒng)開發(fā)、測試、上線、運(yùn)維、使用和管理過程中,具備突發(fā)性強(qiáng)、隱蔽性強(qiáng)、破壞性強(qiáng)的特點(diǎn),一旦發(fā)生重大信息科技風(fēng)險(xiǎn)事件,可能造成業(yè)務(wù)癱瘓、資金損失、客戶流失等災(zāi)難性后果。有效管控信息科技風(fēng)險(xiǎn)關(guān)乎業(yè)務(wù)穩(wěn)定運(yùn)行、金融安全和數(shù)字化轉(zhuǎn)型成效,是科技綜合實(shí)力的重要體現(xiàn),也是實(shí)現(xiàn)高質(zhì)量發(fā)展各項(xiàng)目標(biāo)的必要前提。
(二)做好信息科技風(fēng)險(xiǎn)管理,是落實(shí)監(jiān)管規(guī)定的客觀需要。中央金融工作會議提出:“監(jiān)管要‘長牙帶刺’、有棱有角,橫向到邊、縱向到底”,強(qiáng)監(jiān)管、嚴(yán)監(jiān)督態(tài)勢正在形成。監(jiān)管機(jī)構(gòu)對信息科技風(fēng)險(xiǎn)管理要求更趨精細(xì)化、嚴(yán)格化、專業(yè)化,先后發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》《商業(yè)銀行操作風(fēng)險(xiǎn)管理指引》等一系列指引和規(guī)范。從信息科技治理、信息安全、開發(fā)測試和生產(chǎn)運(yùn)行等方面提出具體的風(fēng)險(xiǎn)管理要求。監(jiān)管機(jī)構(gòu)定期開展信息科技監(jiān)管評級,并對發(fā)生重大信息科技風(fēng)險(xiǎn)事件的銀行進(jìn)行通報(bào)或罰款。監(jiān)管管控力度的持續(xù)加大對農(nóng)發(fā)行信息科技風(fēng)險(xiǎn)管控提出更高標(biāo)準(zhǔn)和更嚴(yán)要求。
(三)做好信息科技風(fēng)險(xiǎn)管理,是完善全面風(fēng)險(xiǎn)管理體系的工作要求。監(jiān)管部門強(qiáng)調(diào)農(nóng)發(fā)行應(yīng)深入分析“三農(nóng)”領(lǐng)域風(fēng)險(xiǎn)特點(diǎn),構(gòu)建與本行職能定位、風(fēng)險(xiǎn)狀況、業(yè)務(wù)規(guī)模和復(fù)雜程度相匹配的全面風(fēng)險(xiǎn)管理體系,加強(qiáng)對各類風(fēng)險(xiǎn)的識別、計(jì)量、監(jiān)測、控制和處置。信息科技風(fēng)險(xiǎn)是農(nóng)發(fā)行當(dāng)前面臨的主要風(fēng)險(xiǎn)之一,建立健全信息科技風(fēng)險(xiǎn)管理體系是落實(shí)“十四五”風(fēng)險(xiǎn)管理專項(xiàng)規(guī)劃的重要任務(wù)。在金融科技快速發(fā)展的背景下,信息科技風(fēng)險(xiǎn)管理水平影響全行整體風(fēng)險(xiǎn)管理水平,加強(qiáng)信息科技風(fēng)險(xiǎn)管理能夠有效提升風(fēng)險(xiǎn)綜合管理和風(fēng)險(xiǎn)抵御能力,是完善全面風(fēng)險(xiǎn)管理體制機(jī)制、筑牢風(fēng)險(xiǎn)管理防線、確保信息系統(tǒng)和業(yè)務(wù)安全穩(wěn)健運(yùn)行不可缺失的部分。
二、農(nóng)發(fā)行信息科技風(fēng)險(xiǎn)管理體系建設(shè)實(shí)踐
農(nóng)發(fā)行信息科技風(fēng)險(xiǎn)體系建設(shè)始終堅(jiān)持黨的領(lǐng)導(dǎo),主動順應(yīng)發(fā)展大勢,有效對接現(xiàn)代理念,穩(wěn)步推進(jìn)信息科技風(fēng)險(xiǎn)管理機(jī)制改革,取得了突出成效,為全行高質(zhì)量發(fā)展保駕護(hù)航。
(一)推進(jìn)信息科技風(fēng)險(xiǎn)管理模式的革新。根據(jù)監(jiān)管要求,參考同業(yè)實(shí)踐,結(jié)合農(nóng)發(fā)行自身業(yè)務(wù)發(fā)展需要,建立持續(xù)、有效的信息科技風(fēng)險(xiǎn)識別、評估、監(jiān)測、控制機(jī)制,形成了“全面、全程、全新、全員”的風(fēng)險(xiǎn)管理模式(詳見表1),有力解決了“從無到有”的問題,有的領(lǐng)域在同業(yè)中實(shí)現(xiàn)了“彎道超車”。
(二)健全信息科技風(fēng)險(xiǎn)管理制度體系。制度是風(fēng)險(xiǎn)管理機(jī)制建設(shè)的重要保障。農(nóng)發(fā)行信息科技風(fēng)險(xiǎn)管理制度體系從上向下分為辦法層和細(xì)則層兩個(gè)層級?!缎畔⒖萍硷L(fēng)險(xiǎn)管理辦法》從全行層面明確了信息科技風(fēng)險(xiǎn)管理目標(biāo)、治理架構(gòu)、管理活動等內(nèi)容。確立以信息科技部門、風(fēng)險(xiǎn)管理部門、審計(jì)部門為“三道防線”的工作職責(zé)以及協(xié)同機(jī)制,定義了信息科技風(fēng)險(xiǎn)管理活動各個(gè)領(lǐng)域中的工作流程、內(nèi)容及要求?!缎畔⒖萍硷L(fēng)險(xiǎn)評估實(shí)施細(xì)則》等相關(guān)制度基于信息科技風(fēng)險(xiǎn)管理辦法,具體定義了每項(xiàng)工作的實(shí)施參與方、實(shí)施流程和工作方法,確保風(fēng)險(xiǎn)管理工作有效落地,高效化解風(fēng)險(xiǎn)。
(三)完善信息科技風(fēng)險(xiǎn)識別和評估機(jī)制。風(fēng)險(xiǎn)識別和評估是信息科技風(fēng)險(xiǎn)管理的重要內(nèi)容。農(nóng)發(fā)行將監(jiān)管要求、內(nèi)外部審計(jì)發(fā)現(xiàn)的風(fēng)險(xiǎn)、同業(yè)風(fēng)險(xiǎn)事件等納入信息科技風(fēng)險(xiǎn)清單,并建立信息科技風(fēng)險(xiǎn)庫,定期更新。為更好識別風(fēng)險(xiǎn),風(fēng)險(xiǎn)管理部門牽頭至少每三年完成覆蓋全行范圍、信息科技管理各個(gè)領(lǐng)域的風(fēng)險(xiǎn)評估。針對機(jī)房搬遷、重要信息系統(tǒng)投產(chǎn)等特定對象開展專項(xiàng)評估。在開展評估過程中,農(nóng)發(fā)行以緩釋前風(fēng)險(xiǎn)和緩釋措施為主要模型,采用二維矩陣對某一風(fēng)險(xiǎn)點(diǎn)的剩余風(fēng)險(xiǎn)進(jìn)行評估,綜合考慮風(fēng)險(xiǎn)容忍度的影響、風(fēng)險(xiǎn)處置的成本效益等因素,得出風(fēng)險(xiǎn)點(diǎn)的剩余風(fēng)險(xiǎn)等級,形成信息科技風(fēng)險(xiǎn)問題清單,開展風(fēng)險(xiǎn)控制工作(詳見圖1)。
(四)提升信息科技風(fēng)險(xiǎn)監(jiān)測和控制能力。監(jiān)測機(jī)制是風(fēng)險(xiǎn)防范的重要保障,農(nóng)發(fā)行高度重視風(fēng)險(xiǎn)監(jiān)測和控制體系的建設(shè)(詳見圖2)。根據(jù)識別的關(guān)鍵風(fēng)險(xiǎn)信息,不斷補(bǔ)充監(jiān)測指標(biāo)項(xiàng),完善指標(biāo)要素,進(jìn)一步優(yōu)化信息科技風(fēng)險(xiǎn)監(jiān)測度量指標(biāo)體系,提升信息科技風(fēng)險(xiǎn)監(jiān)測的精確性和前瞻性。按年度開展信息科技風(fēng)險(xiǎn)監(jiān)測指標(biāo)評估、評審、匯報(bào)與修訂,保存過程記錄,確保預(yù)警和風(fēng)險(xiǎn)提示的及時(shí)性。對風(fēng)險(xiǎn)監(jiān)測數(shù)值變化趨勢和異常情況進(jìn)行分析,及時(shí)更新指標(biāo)庫。針對風(fēng)險(xiǎn)監(jiān)測發(fā)現(xiàn)的問題,發(fā)布風(fēng)險(xiǎn)提示,啟動應(yīng)急預(yù)案,采取適當(dāng)?shù)拇胧┛刂骑L(fēng)險(xiǎn)。監(jiān)測部門對風(fēng)險(xiǎn)控制措施的落實(shí)情況持續(xù)進(jìn)行跟蹤,確保相關(guān)部門按計(jì)劃完成整改,消除風(fēng)險(xiǎn)隱患。
(五)提高網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理水平。過去五年,農(nóng)發(fā)行狠抓網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作,安全防護(hù)能力逐年提升。建立了“網(wǎng)絡(luò)安全縱深防御體系模型”,組織實(shí)施了互聯(lián)網(wǎng)出口上收、態(tài)勢感知平臺、終端安全統(tǒng)一管控、保密檢查系統(tǒng)等重點(diǎn)項(xiàng)目,補(bǔ)強(qiáng)安全能力基礎(chǔ)。開展勒索病毒防護(hù)應(yīng)急演練、數(shù)據(jù)安全和供應(yīng)鏈應(yīng)急演練、安全意識教育等專項(xiàng)工作。定期開展漏洞排查、問題跟蹤、評估和調(diào)研等,識別和處置薄弱領(lǐng)域安全風(fēng)險(xiǎn),推動解決一些短板問題。建成涵蓋IT運(yùn)維全流程的一體化運(yùn)維平臺,實(shí)現(xiàn)“橫向到邊、縱向到底”的一體化運(yùn)維管理目標(biāo)。進(jìn)一步健全數(shù)據(jù)全流程管控機(jī)制,開展信息保護(hù)分類分級管理,嚴(yán)格防控?cái)?shù)據(jù)泄露風(fēng)險(xiǎn)。
三、新形勢下加強(qiáng)信息科技風(fēng)險(xiǎn)管理的思考與建議
(一)推進(jìn)信息科技風(fēng)險(xiǎn)管理數(shù)字化建設(shè)。信息科技風(fēng)險(xiǎn)管理數(shù)字化建設(shè)程度極大地影響著銀行風(fēng)險(xiǎn)管理的深度和廣度。從技術(shù)發(fā)展趨勢看,新一輪技術(shù)革新已經(jīng)來臨,特別是在數(shù)字金融時(shí)代背景下,農(nóng)發(fā)行應(yīng)按照“統(tǒng)一調(diào)度、集中管控、協(xié)同運(yùn)作、資源共享”原則,有序推動信息科技風(fēng)險(xiǎn)管理系統(tǒng)建設(shè)。建立以“監(jiān)、管、控、治”為核心的成熟完善的信息科技風(fēng)險(xiǎn)管控平臺,實(shí)現(xiàn)風(fēng)險(xiǎn)監(jiān)測、處置、跟蹤、報(bào)告等全流程管理,提高監(jiān)控的時(shí)效性和準(zhǔn)確度。
(二)提升新興技術(shù)風(fēng)險(xiǎn)防范能力。由于農(nóng)發(fā)行在數(shù)字化轉(zhuǎn)型過程中不斷嘗試新型技術(shù),信息科技風(fēng)險(xiǎn)會以新的形態(tài)出現(xiàn),傳統(tǒng)管理模式無法滿足變化頻繁的風(fēng)險(xiǎn)場景,使得數(shù)字化模式下管理難度加大。應(yīng)關(guān)注新興技術(shù)的發(fā)展趨勢和潛在風(fēng)險(xiǎn),加強(qiáng)技術(shù)研究和創(chuàng)新,提升技術(shù)風(fēng)險(xiǎn)防范能力。例如,應(yīng)加強(qiáng)對云計(jì)算、大數(shù)據(jù)、人工智能等技術(shù)的風(fēng)險(xiǎn)識別、評估和監(jiān)控,分析潛在風(fēng)險(xiǎn)因素,確保技術(shù)的安全可控。
(三)構(gòu)建有效的“三道防線”協(xié)同機(jī)制。“三道防線”是全面風(fēng)險(xiǎn)管理戰(zhàn)略的核心,相互獨(dú)立、相互制約、相互促進(jìn)。農(nóng)發(fā)行信息科技風(fēng)險(xiǎn)管理的“三道防線”雖已建立,但各道防線在信息科技風(fēng)險(xiǎn)管理的認(rèn)知方面存在差異,在流程和操作層面,存在管理效率較低、管理流程不可控、溝通不暢、信息無法共享、定位不明確等問題。應(yīng)將信息風(fēng)險(xiǎn)控制前移,把風(fēng)險(xiǎn)管控貫穿于信息流動的全過程,形成三道防線相互作用的聯(lián)動機(jī)制,構(gòu)建風(fēng)險(xiǎn)防控的立體防護(hù)網(wǎng)。
(四)推動信息科技風(fēng)險(xiǎn)管理向事前和事中轉(zhuǎn)變。從農(nóng)發(fā)行的風(fēng)險(xiǎn)管理體系運(yùn)行情況來看,主要以事后處置模式為主,缺乏有效的事前、事中管理機(jī)制,存在信息科技風(fēng)險(xiǎn)管理和信息科技運(yùn)行“兩張皮”的情況。中央金融工作會議指出:“要嚴(yán)格落實(shí)‘四早’風(fēng)險(xiǎn)防控要求,建立風(fēng)險(xiǎn)防控的長效機(jī)制?!睉?yīng)強(qiáng)化第二道防線在IT項(xiàng)目全流程的風(fēng)險(xiǎn)管控參與力度。從定期開展IT風(fēng)險(xiǎn)專項(xiàng)評估逐步轉(zhuǎn)變?yōu)椤坝|發(fā)式”的評估方式,在事前、事中識別、控制風(fēng)險(xiǎn)。
(五)加強(qiáng)人才隊(duì)伍及風(fēng)險(xiǎn)管理文化的建設(shè)。隨著監(jiān)管部門的要求不斷提升及銀行信息系統(tǒng)不斷擴(kuò)增,二道防線的人才隊(duì)伍規(guī)模和專業(yè)性矛盾越發(fā)嚴(yán)重。應(yīng)加強(qiáng)對信息科技風(fēng)險(xiǎn)管理人才的培養(yǎng)和引進(jìn),建立一支具備專業(yè)技能和豐富經(jīng)驗(yàn)的信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì),提升風(fēng)險(xiǎn)應(yīng)對能力。同時(shí),建立風(fēng)險(xiǎn)文化宣傳機(jī)制,定期發(fā)布風(fēng)險(xiǎn)信息,引導(dǎo)員工自覺遵守風(fēng)險(xiǎn)管理規(guī)定,增強(qiáng)風(fēng)險(xiǎn)防控意識。