商业银行突围科技风险管理初级阶段.docx

商业银行突围科技风险管理初级阶段 商业银行突围科技风险管理初级阶段 商业银行突围科技风险管理初级阶段 银监会新《指引》颁布1周年记 虽然人们对全面开放金融市场后内资银行的竞争力的担忧，因为外资银行在世界金融危机中受到重创而没有成为现实。内资银行反倒在此涨彼消中身价倍增，跻身世界前列，甚至名列前茅。但随着金融危机的阴霾逐渐散去，世界金融巨头开始“咸鱼翻身”，可以预见国内金融市场的竞争将更加激烈。在风险管理方面“先天不足”的内资银行如果想要保持目前的地位，则必需补上风险管理（包括信息科技风险管理）这一课。 在银监会颁布《商业银行信息科技风险管理指引》1周年之际，记者愿意与您一起关注银行信息科技风险管理的总体情况和存在的难题，关注迅速崛起的中小银行如何在信息化建设的同时兼顾风险管理，关注规模巨大而“失去了模子”的大型银行如何构建“特色”的信息科技风险管理体系。 银监会：加强监管促提高 201*年8月7日，银监会颁布了《银行业金融机构信息系统风险管理指引》（以下简称“原《指引》”），对银行业金融机构的信息系统风险管理提出了基本的、原则性的要求，填补了我国银行业信息系统监管领域的空白。从实施效果来看，很多银行在信息系统风险防范方面取得了长足进步。 然而，银行业信息化发展非常迅速，信息科技的作用从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱，同时科技由分散走向集中也让银行的科技风险进一步积聚。这让银监会意识到，原《指引》已难以满足商业银行信息科技风险管理的需要，必须制订高标准、高要求，且更加全面、系统、可操作的指引。于是，在原《指引》颁布后不久，银监会即开始广泛征求银行业金融机构的意见，并参照国际经验对原《指引》进行细化、深化和充实。201*年3月3日，银监会历时1年多制定的《商业银行信息科技风险管理指引》（以下简称“新《指引》”）正式颁布实施，原《指引》同时废止。与此同时，银监会还组织银监系统的众多技术骨干编写了《商业银行信息科技风险现场检查指南》、《银行业金融机构重要信息系统投产及变更管理办法》、《商业银行数据中心监管指引》等配套手册和制度。此后，围绕新《指引》和有关监管要求而进行的自查、检查、整改、提高在全国商业银行系统内拉开了序幕，并将持续深入进行。 据了解，201*年，银监会及其分支机构对近百家国内银行业金融机构开展了信息科技风险现场检查，重点对主要风险点和相关的管理环节进行了彻底检查，以促进银行业金融机构将信息科技风险管理纳入银行的总体风险管理框架中。针对现场检查中发现的重大风险隐患和实际发生的重大信息科技事故，银监会通过下发风险提示的形式向全国银行业金融机构进行了通报并提出了相应的管理要求。 某省银监局一位不愿意透露姓名的知情人士说：“从现场检查的情况来看，无论是大型商业银行还是中小型商业银行，都存在不同程度的信息科技风险，人员、制度、流程都存在一些问题，特别是有些银行高管层的IT治理意识比较薄弱，对信息科技风险管理重视不够。不过，可喜的是，通过贯彻落实新《指引》，一些银行已经开展了全面的信息科技风险评估，并制定了长远的发展规划，管理力度明显加大。” 从近1年来新《指引》的落实情况来看，成效是显而易见的。 首先，信息科技治理开始引起重视。公开的资料显示，一些银行已经设立了信息科技管理委员会、首席信息官或功能类似的部门，其中有些是原来就设有的，有些则是按新《指引》的要求设立的。例如，中国工商银行的信息科技管理委员会，中国农业银行的电子化建设委员会，招商银行的信息规划委员会，中信银行的信息技术委员会，华夏银行的科技与创新委员会，渤海银行的资讯科技委员会；交通银行、华夏银行、渤海银行、吉林银行等设立了首席信息官。同时，一些银行还明确了风险管理部门和审计部门的信息科技风险管理职责。 其次，灾备体系建设取得新进展。大型银行进一步完善了同城和异地灾备中心建设，初步实现了同城中心间业务处理的切换和接管，基本建成全面的灾备体系。一些中小银行也建成了同城灾备中心，实现了重要信息系统的切换和接管，并开始着手建设异地灾备中心。此外，一些外资银行的生产中心和灾备中心也相继落成。 再次，应急管理体系不断完善。银行应急预案更加完善，应急演练更加注重规范性、真实性和非计划性，灾难恢复演练范围也从核心业务系统、信用卡等重要信息系统扩大到网银、自助业务灾难恢复处理，应急管理水平进一步提高。 据银监会信息中心信息科技风险监管处陈文雄处长介绍，银监会预计用3年时间，按照属地监管的原则，对全国的商业银行按照新《指引》进行一遍现场检查，具体检查信息科技风险管理状况，以推动我国银行业信息科技风险防控水平不断提高。 中小银行：“鱼”与“熊掌”能兼得 201*年的6月和7月，各商业银行按照新《指引》的要求相继完成了第一次的自查，其中有些银行是由内部风险管理和审计部门独立完成的，也有部分的银行请外部的公司协助完成的，并结合自身的实际情况进行了整改。 “收到银监会下发的新《指引》后，我们做的第一项工作就是召集科技、风险、审计等部门的业务骨干认真研究和部署相关工作，并按要求进行了认真的整改。”某城商行信息科技部负责人向记者表示，“为了使员工掌握信息科技风险防控知识，培养信息科技风险管理意识，提高管理水平，我们还特别邀请外部咨询公司的专家对相关人员等进行了严格的培训，并补充了信息科技风险审计人员。” 在科技建设和风险管理的双重压力下，一些中小银行演绎了一场“鱼”与“熊掌”兼得的“好戏”。其中，吉林银行从战略和信息科技治理入手，制定科技发展规划，重点防控主要风险点的做法值得借鉴。 吉林银行成立于201*年10月，是由长春市商业银行更名为吉林银行，并吸收合并吉林市商业银行及若干城信社而设立的股份制商业银行。在“科技先行”的科技战略和“整体外包”的信息化策略指导下，在2年多的时间里，吉林银行的信息化建设快速发展，完成了数据大集中及众多信息系统建设，在只有45名科技人员的情况下创造了同时管理近70个项目的“奇迹”，实现了科技由制约业务发展、与业务同步发展向引领业务发展的飞跃，而且从未出现大的纰漏和安全事故。 据吉林银行信息科技部总经理李贵宾介绍，在高层领导的重视下，吉林银行已经建立了比较完善的信息科技治理结构：明确了董事会、监事会、相关业务部门及科技部门的职责分工（包括汇报路线）；成立了以行长为组长的“吉林银行信息科技工作领导小组”，主要负责全行的信息科技资源整合，以及当前信息系统运营的风险控制等；设立了首席信息官，直接向行长汇报工作；风险管理部和审计部也设立了专门的信息科技风险管理和信息科技审计岗位；信息科技部则负责规范和执行日常的项目管理、运行管理等。同时，吉林银行还制定了符合业务发展的科技发展规划，并重点加强了项目的管理和外包风险的控制。 另据了解，某全国性股份制商业银行在按新《指引》的要求完善信息科技管理的同时，启动了一个加强信息科技风险管理的项目，希望以科技手段提高信息科技风险管理的效率，准确识别、计量、监测和控制风险，并将信息科技风险管理融入到银行整体风险管理中去，构筑高效、立体的银行风险管理体系。 大型银行：探索特色科技风险管理 目前，国内一些大型银行无论是规模还是盈利能力都已经走在世界前列，其用户数量和IT规模同样如此，并处于快速发展之中。而随着国内大型银行国际化战略的实施，其规模还将进一步扩大。 在快速发展过程中，大型银行或多或少都发生过一些事故甚至是影响全国的大事故，其信息科技风险管理也都存在事故推动的痕迹。与国外大型银行相比，国内大型银行在信息科技管理方面还存在较大的差距。 但是，经过多年的发展，国内大型银行已逐步认识到信息科技风险管理的重要性，普遍引入ITIL，ISO201*0，ISO27001，COBIT，CMM等国际标准和最佳实践，管理水平有了较大的提升，并正迈向标准化、规范化、精细化的信息科技管理。 新《指引》颁布实施后，大型银行在原来相对完善的信息科技风险管理体系基础上，进一步改进了其信息科技风险管理：设立了专门的信息科技管理委员会；完善了相关制度、标准和流程；加强信息科技风险评估和内外部审计，等等。特别是国内银行业信息化程度最高的中国工商银行并没有因为管理水平较高而有所懈怠，而是积极响应新《指引》，在大型银行中率先设立了信息科技管理委员会，专门负责对信息科技发展战略和年度计划，信息科技重大工程建设及信息科技风险管理、信息安全管理等重大决策事项进行管理。并将加强信息科技治理和完成“两地三中心”建设等。 在国内，中国工商银行是最早旗帜鲜明地以“科技引领”为科技战略、以“自主创新”为信息化策略的银行之一，其信息科技建设和管理都走在国内同业前面，并深受同业肯定和褒扬，成为国内众多银行纷纷仿效的对象。 在科技队伍建设方面，全行的科技人员超过11000人，其中总行直管的科技人员达4500人。在知识产权保护方面，目前已拥有的专利数量近百项，国内同业占比第一。 在组织体系方面，建成了适应全行统一经营管理要求的集约化的科技组织体系，总行层面形成管理、研发、运行分工协作的科技体系，分行则负责特色应用开发、总行系统推广、运行管理、市场支持等科技工作。 在制度和标准规范建设方面，建成了包括运行管理、项目管理、综合管理在内的三大类制度，内容涵盖了信息系统生产运行、应用开发和测试、科技综合管理等各个工作环节；制定发布了涉及信息安全、系统、应用、网络、设备和机房等6大类、71项技术规范。 可以说，中国工商银行在信息科技建设和管理的很多方面都独树一帜，特色鲜明。此外，一些大型银行已经开始重视信息科技治理文化的形成，探索建设融合西方管理标准与最佳实践，以及国内文化和本行实际情况的信息科技风险管理体系。 多方合力：突围科技风险管理初级阶段 风险管理一直都是国内银行业金融机构的弱项，信息科技风险管理也不例外。 陈文雄认为，目前国内银行业金融机构在信息科技风险管理上整体处于初级阶段。虽然部分银行的信息科技风险管理工作做得比较好，但总体上“信息科技管理”、“信息科技风险管理”、“信息科技风险审计”三道防线都没有建立起来，没有形成立体屏障，尤其是在IT治理、风险管理等方面还存在不足。虽然新《指引》的贯彻落实在很大程度上促进了国内银行业金融机构的信息科技风险管理，但在实践过程中，也遇到了一些亟待解决的问题。 一是差异化监管的问题。虽然新《指引》在适用范围上体现了差异化监管的思想，但由于目前国内银行之间差异极大，即使同是法人商业银行之间的信息科技建设和管理水平也存在巨大的差距，若要求那些实力较小的城商行也严格按照新《指引》进行信息科技风险管理，目前还存在非常多的客观困难。如果要实行进一步的差异化监管，那又应该如何实施呢？ 二是监管力度大小问题。由于银行的影响力大小不同，同样的系统故障对社会的影响差异也很大，大银行可能影响全国，城商行则只影响某一个城市。此外，信息科技风险管理内容非常多，对不同内容的重要性如何判断，对不同银行、不同内容的监管力度如何确定，轻重缓急如何呢？三是银行达标时间问题。目前，无论是大型银行还是中小银行，其信息科技风险管理都与新《指引》的要求存在不同程度的差距，尤其是IT治理方面几乎没有银行能够达标，比如设立信息科技管理委员会、首席信息官等。那么，银监会是否应该对不同的银行和不同的内容设立一个达标时间表呢？ 银监会信息中心主任吴跃撰文表示，银监会将进一步推进信息科技治理和非现场监管工作，加强准入环节信息科技风险和外包风险管理，不断提高信息科技风险现场检查的有效性。在信息科技风险管理上，银监会只是外因，银行信息科技风险管理水平的提高主要还要靠银行自身的努力。 而以目前的情况来看，银行要解决的首要问题是高层领导对信息科技风险管理的重要性认识问题，并从信息科技治理入手，自上而下地推动信息科技风险管理，确保银行持续、安全、稳定运行。 商业银行信息科技风险管理指引（英文版） 201*-6-110:20【大中小】【我要纠错】发文单位：中国银行业监督管理委员会 发布日期：201*-6-1执行日期：201*-6-1ChapterIGeneralProvisions Article1.PursuanttotheLawofthePeoplesRepublicofChinaonBankingRegulationandSupervision，theLawofthePeople"sRepublicofChinaonCommercialBanks，theRegulationsofthePeoplesRepublicofChinaonAdministrationofForeign-fundedBanks，andotherapplicablelawsandregulations，theGuidelinesontheRiskManagementofCommercialBanksInformationTechnology（hereinafterreferredtoastheGuidelines）isformulated.Article2.TheGuidelinesapplytoallthecommercialbankslegallyincorporatedwithinthe territoryofthePeoplesRepublicofChina. TheGuidelinesmayapplytootherbankinginstitutionsincludingpolicybanks，ruralcooperativebanks，urbancreditcooperatives，ruralcreditcooperatives，villagebanks，loancompanies，financialassetmanagementcompanies，trustandinvestmentcompanies，financefirms，financialleasingcompanies，automobilefinancialcompaniesandmoneybrokers.Article3.Theterm“informationtechnology”statedintheGuidelinesshallrefertothesystembuiltwithcomputer，communicationandsoftwaretechnologies，andemployedbycommercialbankstohandlebusinesstransactions，operationmanagement，andinternalcommunication，collaborativeworkandcontrols.ThetermalsoincludeITgovernance，IT organizationstructureandITpoliciesandprocedures. Article4.Theriskofinformationtechnologyreferstotheoperationalrisk，legalriskandreputationriskthatarecausedbynaturalfactor，humanfactor，technologicalloopholesor managementdeficiencieswhenusinginformationtechnology. Article5.Theobjectiveofinformationsystemriskmanagementistoestablishaneffectivemechanismthatcanidentify，measure，monitor，andcontroltherisksofcommercialbanksinformationsystem，ensuredataintegrity，availability，confidentialityandconsistency，providetherelevantearlywarning，andtherebyenablecommercialbanksbusinessinnovations，uplifttheircapabilityinutilizinginformationtechnology，improvetheircorecompetitivenessand capacityforsustainabledevelopment.ChapterIIITgovernance Article6.Thelegalrepresentativeofcommercialbankshouldberesponsibletoensure complianceofthisguideline.Article7.Theboardofdirectorsofcommercialbanksshouldhavethefollowing responsibilitieswithrespecttothemanagementofinformationsystems： （1）Implementingandcomplyingwiththenationallaws，regulationsandtechnicalstandardspertainingtothemanagementofinformationsystems，aswellastheregulatoryrequirementssetbytheChinaBankingRegulatoryCommission（hereinafterreferredtoasthe “CBRC”）； （2）PeriodicallyreviewingthealignmentofITstrategywiththeoverallbusinessstrategiesandsignificantpoliciesofthebank，assessingtheoveralleffectivenessandefficiencyoftheIT organization. （3）ApprovingITriskmanagementstrategiesandpolicies，understandingthemajorITrisksinvolved，settingacceptablelevelsfortheserisks，andensuringtheimplementationofthe measuresnecessarytoidentify，measure，monitorandcontroltheserisks. （4）Settinghighethicalandintegritystandards，andestablishingaculturewithinthebankthatemphasizesanddemonstratestoalllevelsofpersonneltheimportanceofITriskmanagement.（5）EstablishinganITsteeringcommitteewhichconsistsofrepresentativesfromseniormanagement，theITorganization，andmajorbusinessunits，tooverseetheseresponsibilitiesandreporttheeffectivenessofstrategicITplanning，theITbudgetandactualexpenditure，and theoverallITperformancetotheboardofdirectorsandseniormanagementperiodically.（6）EstablishingITgovernancestructure，propersegregationofduty，clearroleandresponsibility，maintainingcheckandbalancesandclearreportingrelationship.StrengtheningIT professionalstaffbydevelopingincentiveprogram. （7）EnsuringthatthereisaneffectiveinternalauditoftheITriskmanagementcarriedoutbyoperationallyindependent，well-trainedandqualifiedstaff.Theinternalauditreportshouldbe submitteddirectlytotheITauditcommittee； （8）SubmittinganannualreporttotheCBRCanditslocalofficesoninformationsystem riskmanagementthathasbeenreviewedandapprovedbytheboardofdirectors；（9）EnsuringtheappropriatingfundingnecessaryforITriskmanagementworks；（10）EnsuringthatallemployeesofthebankfullyunderstandandadheretotheITrisk managementpoliciesandproceduresapprovedbytheboardofdirectorsandthesenior management，andareprovidedwithpertinenttraining. （11）Ensuringcustomerinformation，financialinformation，productinformationandcorebankingsystemofthelegalentityareheldindependentlywithintheterritory，andcomplyingwiththeregulatoryon-siteexaminationrequirementsofCBRCandguardingagainstcross-border risk.（12）ReportinginatimelymannertotheCBRCanditslocalofficesanyseriousincidentofinformationsystemsorunexpectedevent，andquicklyrespondtoitinaccordancewiththe contingencyplan； （13）CooperatingwiththeCBRCanditslocalofficesinthesupervisoryinspectionoftheriskmanagementofinformationsystems，andensurethatsupervisoryopinionsarefollowedup； and （14）PerformingotherrelatedITriskmanagementtasks. Article8.TheheadoftheITorganization，commonlyknownastheChiefInformationOfficer（CIO）shouldreportdirectlytothepresident.RolesandresponsibilitiesoftheCIO shouldincludethefollowing： （1）Playingadirectroleinkeydecisionsforthebusinessdevelopmentinvolvingtheuseof ITinthebank； （2）TheCIOshouldensurethatinformationsystemsmeettheneedsofthebank，andITstrategies，inparticularinformationsystemdevelopmentstrategies，complywiththeoverall businessstrategiesandITriskmanagementpoliciesofthebank； （3）TheCIOshouldalsoberesponsiblefortheestablishmentofaneffectiveandefficientIT organizationtocarryouttheITfunctionsofthebank.TheseincludetheITbudgetandexpenditure，ITriskmanagement，ITpolicies，standardsandprocedures，ITinternalcontrols，professionaldevelopment，ITprojectinitiatives，ITprojectmanagement，informationsystemmaintenanceandupgrade，IToperations，ITinfrastructure，Informationsecurity，disaster recoveryplan（DRP），IToutsourcing，andinformationsystemretirement；（4）EnsuringtheeffectivenessofITriskmanagementthroughouttheorganizationincluding allbranches. （5）Organizingprofessionaltrainingstoimprovetechnicalproficiencyofstaff. （6）PerformingotherrelatedITriskmanagementtasks. Article9.CommercialbanksshouldensurethatacleardefinitionoftheITorganizationstructureanddocumentationofalljobdescriptionsofimportantpositionsarealwaysinplaceand updatedinatimelymanner.Staffineachpositionshouldmeetrelevantrequirementsonprofessionalskillsandknowledge.Thefollowingriskmitigationmeasuresshouldbeincorporated inthemanagementprogramofrelatedstaff： （1）Verificationofpersonalinformationincludingconfirmationofpersonalidentificationissuedbygovernment，academiccredentials，priorworkexperience，professionalqualifications；（2）EnsuringthatITstaffcanmeettherequiredprofessionalethicsbycheckingcharacter reference；（3）SigningofagreementswithemployeesaboutunderstandingofITpoliciesandguidelines，non-disclosureofconfidentialinformation，authorizeduseofinformationsystems， andadherencetoITpoliciesandprocedures；and （4）EvaluationoftheriskoflosingkeyITpersonnel，especiallyduringmajorITdevelopmentstageorinaperiodofunstableIToperations，andtherelevantriskmitigation measuressuchasstaffbackuparrangementandstaffsuccessionplan. Article10.CommercialbanksshouldestablishordesignateaparticulardepartmentforITriskmanagement.ItshouldreportdirectlytotheCIOandtheChiefRiskOfficer（orriskmanagementcommittee），serveasamemberoftheITincidentresponseteam，andberesponsibleforcoordinatingtheestablishmentofpoliciesregardingITriskmanagement，especiallytheareasofinformationsecurity，BCP，andcompliancewiththeCBRCregulations，advisingthebusinessdepartmentsandITdepartmentinimplementingthesepolicies，providingrelevantcomplianceinformation，conductingon-goingassessmentofITrisks，andensuringthefollow-upofremediationadvice，monitoringandescalatingmanagementofITthreatsand non-complianceevents. Article11.CommercialbanksshouldestablishaspecialITauditroleandresponsibilitywithininternalauditfunction，whichshouldputinplaceITauditpoliciesandprocedures， developandexecuteITauditplan. Article12.Commercialbanksshouldputinplacepoliciesandprocedurestoprotectintellectualpropertyrightsaccordingtolawsregardingintellectualproperties，ensurepurchaseoflegitimatesoftwareandhardware，preventionoftheuseofpiratedsoftware，andtheprotectionoftheproprietaryrightsofITproductsdevelopedbythebank，andensurethatthesearefully understoodandcompliedbyallemployees. Article13.Commercialbanksshould，inaccordancewithrelevantlawsandregulations， disclosetheriskprofileoftheirITnormativelyandtimely. ChapterIIIITRiskManagement Article14.CommercialbanksshouldformulateanITstrategythatalignswiththeoverallbusinessplanofthebank，ITriskassessmentplanandanIToperationalplanthatcanensureadequatefinancialresourcesandhumanresourcestomaintainastableandsecureITenvironment. Article15.CommercialbanksshouldputinplaceacomprehensivesetofITrisk managementpoliciesthatincludethefollowingareas：（1）Informationsecurityclassificationpolicy（2）Systemdevelopment，testingandmaintenancepolicy （3）IToperationandmaintenancepolicy （4）Accesscontrolpolicy（5）Physicalsecuritypolicy（6）Personnelsecuritypolicy （7）BusinessContinuityPlanningandCrisisandEmergencyManagementprocedureArticle16.Commercialbanksshouldmaintainanongoingriskidentificationandassessmentprocessthatallowsthebanktopinpointtheareasofconcerninitsinformationsystems，assessthepotentialimpactoftherisksonitsbusiness，ranktherisks，andprioritizemitigationactionsandthenecessaryresources（includingoutsourcingvendors，productvendorsandservice vendors）。 Article17.CommercialbanksshouldimplementacomprehensivesetofriskmitigationmeasurescomplyingwiththeITriskmanagementpoliciesandcommensuratewiththerisk assessmentofthebank.Thesemitigationmeasuresshouldinclude： （1）AsetofclearlydocumentedITriskpolicies，technicalstandards，andoperationalprocedures，whichshouldbecommunicatedtothestafffrequentlyandkeptuptodateinatimely manner； （2）Areasofpotentialconflictsofinterestshouldbeidentified，minimized，andsubjecttocareful，independentmonitoring.Alsoitrequiresthatanappropriatecontrolstructureissetuptofacilitatechecksandbalances，withcontrolactivitiesdefinedateverybusinesslevel，which shouldinclude：-Toplevelreviews； -Controlsoverphysicalandlogicalaccesstodataandsystem；-Accessgrantedon“needtoknow”and“minimumauthorization”basis； -Asystemofapprovalsandauthorizations；and-Asystem