解读_商业银行信息科技风险管理指引_.pdf

撇免网解读《商业银行信息科技风险管理指引》兴业银行信息科技部侯澄年月,中国银行业监督管理委员会以下简称“银监会”正式印发《商业银行信息科技风险管理指引》以下简称“新《指引》”,以取代年发布的《银行业金融机构信息系统风险管理指引》以下简称“旧《指引》”新《指引》以建立有效的机制,实现对信息科技风险识别、计量、监测与控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息科技应用水平,增强核心竞争力和可持续发展能力为目标,并从治理、风险管理、信息系统开发、信息科技运行、业务连续性管理、外包、内外部审计等方面,对商业银行的风险管理进行规范鉴于银监会“管法人、管风险、管内控、提高透明度”的监管理念,可以毫不夸张地说,新《指引》是银监会对商业银行信息科技风险管理的重要法规新《指引》共十一章七十六条,分为总则,治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计,附则与旧《指引》比较,名称发生较大改变,更贴近中国银行业的通用说法就内容而言,增加了业务连续性管理章节,原审计章节拆分为内部审计与外部审计两章,原组织职责章节做了较大的调整,并更名为治理,其他章节的名称也有所调整。

形式和内容的变化说明通过两年多的实践,银监会对信息科技风险管理从“洋为中用”转变为“以我为主”,从借鉴香港及国外同业经验,转变为具有鲜明中国特色的、符合本国国情的自有体系同时,新《指引》还大量借鉴了、等服务管理理论和实践,为其构筑了较为坚固的理论基础本文旨在通过新《指引》与旧《指引》内容的对比分析,深入理解新《指引》的内涵一、全面风险管理的理念更加清晰首先,除了明确商业银行董事会对信息科技风险的职责以及法定代表人为本机构信息科技风险管理的第一责任人外,旧《指引》表述为“法定代表人或主要负责人为信息系统风险管理责任人”,新《指弓对商业银行信息科技部门、风险管理部门、审计部门在信息科技风险管理方面的职责做了较为明确的划分,要求信息科技风险管理应与总体业务规划相适应,这与银监会要求商业银行建立科技部门安全检查、风险部门风险监控、审计部门审计监督的信息科技风险“三道防线”的思路一脉相承新《指引》要求风险部门与审计部门提前介入信息科技工作,比如第五十四条规定,“商业银行的业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认”第六十二条规定,“商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过”第六十六条规定,“商业银行进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准”。

这些条款既为商业银行风险管理部门、审计部门参与信息科技日常风险管理、实现风险管理前移提供了依据,也督促这些部门有效履行其风险管理职责其次,就内容而言,新《指引》体现了对信息科技所需人财物等资源以及信息资产整个生命周期与相关重要环节的管理在人财物方面,第七条在董事会职责方面指出,“确保信息科技风险管理工作所需的资金”第十四条指出,“商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险回热被究‘叉能理评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境”在信息资产生命周期及相关重大环节管理方面,除了信息系统开发、测试和维护以及信息科技运行外,当前的焦点问题如业务连续性管理与外包都有专门的章节进行规范再次,在方法论方面与现代银行风险管理的一般方法保持一致新《指引》将风险管理划分为识别、计量、监测和控制四个关键过程,与商业银行信用风险、市场风险、操作风险、流动性风险的管理方法在大的框架方面相同,在需要时可比较容易地融为一体,形成商业银行全面风险管理的体系文件二、高度重视信息科技治理旧《指引》并没有信息科技治理的章节,而只以比较含混的“组织职责”章节对金融机构内部各单位承担的信息科技风险管理进行了描述,新《指引》第二章“信息科技治理”旗帜鲜明地提出治理的内容,将信息科技治理作为信息科技风险管理的基石,意义深远。

首先,新《指引》第六条指出,“商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实”,而旧《指引》的要求则是法定代表人或主要负责人这说明信息科技风险管理是毫无疑问的“一把手”工程,要求商业银行把信息科技凤险管理放到与信用风险、市场风险等同等重要的位置其次,新《指引》对董事会的职责有了明确规定,比如审查批准信息科技战略、确定可接受的风险级别、设立信息科技管理委员会、建立良好的信息科技治理组织结构等,而在旧《指引》中,上述部分内容只是含混的表述为“银行业金融机构应认真履行信息系统管理职责”,明确涉及董事会的只是“每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告、银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理”这些改变,不仅是明确职责,避免商业银行在执行过程中各行其是,同时也释放出一个信号,就是强调商业银行的最高决策机构与权力机构—董事会,将治理与公司治理充分结合,同时推进董事会介入信息科技风险管理将极大促进商业银行对信息科技及其风险管理的重视再次,新《指引》明确要求商业银行设立首席信息官职位,第八条指出,“商业银行应设立首席信息官,直接向行长汇报,并参与决策”,旧《指引》中则没有相关的内容。

首席信息官的设立是治理中至关重要的一个环节,无论从加强信息科技与业务战略的一致性、防范信息科技风险,或者是提高信息科技部门在商业银行中的地位而言,都具有相当重要的意义这也是国内银行与国际先进银行接轨的一个重要表现目前国内只有个别的银行设立了该职位银监会提出这个要求,说明其充分认识到的设立对健全、优化信息科技治理的积极推动作用三、高度重视人员在信息科技风险管理中的作用新《指引》多处提到与员工相关的内容,主要是三个方面,一是确保员工理解信息科技风险管理的相关制度与流程二是加强员工风险防范及安全管理的意识三是配置足够的人力资源,以确保稳定、安全的信息科技环境以上内容说明银监会充分认识到人员既是信息科技风险的最大来源,也是防范信息科技风险的主要力量新《指引》十分强调员工的培训,如第七条指出,“确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训”第九条指出,“各岗位人员应具有相应的专业指示和技能,重要岗位应制定详细完整的工作手册并适时更新”第二十条指出,“商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程”第三十一条指出,“商业银行应对所有员工进行必要的培训,时期充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策”。

新《指引》特别强调了“评估关键岗位信息科技中国金融电脑“ ”·囚员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施在员工岗位发生变化后及时变更相关信息”在当前商业银行人员流动相对频繁的情况下,这一点具有很强的现实指导意义四、高度重视业务连续性管理旧《指引》只在第四章“研发风险控制”第四十条中才提到“银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练”整个文件中仅有此处提到业务连续性计划,而在新旨引》中,业务连续性管理占据独立的一个章节进行阐述,可见银监会对此问题的重视最近几年中国银行业可以说是“有惊无险”,虽然每年总有银行发生信息科技故障,但好在影响都不大,没有出现像美国“”事件那样的大规模系统性的事件,年我国的雨雪冰冻灾灾和四川坟川大地震以及奥运期间也没有出现大范围的银行业信息科技故障但是,人无远虑必有近忧,银监会要求各家银行加强业务连续性管理十分必要,而且具有战略眼光,特别是在当前国际形势错综复杂、国内自然灾害频发的情况下新《指引》第五十一条指出,“商业银行应评估因意外事件导致其业务运行中断的可能性及影响,包括评估可能因下述事件导致的破坏一内外部资源的故障或缺失 如系统、人员或其他资产。

二信息丢失或受损三外部事件如战争、地震或台风等”同时指出,业务连续性规划应定期进行演练以确认其有效性,业务连续性计划及年度演练结果应由风险管理部门或信息科技管理委员会确认五、高度重视对外包风险的防范认识到,公司都有自身的商业利益特别是在目前应用软件市场规范化程度不高,硬件全面受制于国外供应商的情况下,外包潜在的风险不言而喻近几年,国内银行在大型应用软件开发外包方面失败的案例屡见不鲜,因此,银监会在新《指引》中以更加严格的条款规范商业银行的外包行为就具有很强的针对性与时代意义总体而言,笔者认为银监会对外包持非常审慎的态度新《指引》在外包章节的第一条开宗明义指出,“商业银行不得将其信息科技管理职责外包,应合理谨慎监督外包职能的履行”这里面有两层意思,一是商业银行必须履行管理外包的职责,二是若出现信息科技风险,商业银行不得以“外包”为理由推卸责任,搪塞监管部〕这个规定合情合理,虽然商业银行可以通过合同或保险的方式对外包内容的风险进行控制,但由于商业银行及其信息科技的特殊性,出现事故往往造成较大的经济损失与社会影响,甚至影响到国民经济体系的安全,因此不可能通过合同或保险来规避银监会对商业银行的审慎外包,还表现为要求“放纵”的外包行为有所收敛。

新《指引》第五十六条规定,“商业银行实施重要外包如数据中心或信息科技基础设施等 应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构”这的确提高了外包的政策门槛具有新意的是,考虑到商业银行外包供应商比较集中,新《指引》特别提示商业银行“关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的潜在业务连续性风险”同时,为加强外包风险的应急处理,第六十一条规定,“商业银行应建立恰当的应急措施,应对外包商在服务中可能出现的重大缺失尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要的人员变动,以及外包协议的意外终止”近几年,国内商业银行的信息科技外包可谓风生水起,几乎在各个领域都有外包商的身影,个别银行甚至走向全面外包之路一些国内外知名公司起了推波助澜的作用,他们从理论、方法到实践应用说的天花乱坠,真是“乱花渐欲迷人眼”但是,我们应该清醒地六、高度重视审计的作用新《指引》非常重视审计的作用,第九和第十两个章节专门对内外部审计进行规定在内部审计方面,规定至少应三年进行一次全面审计特别是第六十六条规,,任,一回热翩究‘风肺理定,“商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本行信息科技风险管理标准”。

此项规定给商业银行提出了新的课题,即在系统开发时,风险管理部门及内部审计部门应如何介入以及与信息科技部门如何协同,需进一步研究落实在外部审计方面,第七十条规定,“银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查”第七十一条规定,“外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商业银行应根据该审计报告提出整改计划,并在规定的时间内实施整改”关于这两条内容,银监会已开始实行,年银监会已委托安永会计师事务所开展对商业银行的审计这也是当前弥补银监会专业力量不足的最佳方案,具有很强的操作性同时,相比旧《指引》,新《指引》附则中增加了监督检查的内容,第七十四条规定,“银监会依法对商业银行的信息科技风险管理实施监督检查”,强化了新《指引》的效力与权威性我们可以推断,外部审计结果将成为银监会实施监督检查的重要依据细的应急方案,并定期进行修订和演练数据备份应当做到异地存放,应当建立异地计算机灾难备份中心”异地灾备是商业银行防范信息科技风险的最后堡垒,是商业银行风险防。