完善資訊科技治理架構提升IT風險管理水平論文
記者近日採訪了廣東發展銀行股份有限公司(以下簡稱“廣發行”)資訊科技部負責人徐徽,透過她的介紹可深入瞭解目前國內商業銀行的風險規避之道。
記者:為什麼說資訊科技風險管理對於商業銀行是特別重要的一環?
徐徽:近年來,風險管理已成為商業銀行經營管理活動的主旋律,資訊科技風險作為銀行風險的重要組成部分,受到越來越多的重視。從商業銀行的角度看,這源於兩方面的驅動因素。
一是內在驅動因素。目前資訊科技已深入到商業銀行經營管理的各個領域,幾乎所有的改革發展任務都與資訊科技密切相關,不管是業務的發展,還是管理的提升,都需要資訊科技的配套支援。但是,資訊科技固有的風險,包括資訊系統軟硬體本身的脆弱性、資料集中導致的風險集中等,是客觀存在且難以完全規避的。由於技術原因造成區域性和系統性的金融風險進而帶來嚴重的社會影響,在國內外都有很多案例。因此,資訊科技在促進銀行業務發展、推動金融創新的同時,也使銀行業務面臨巨大的安全隱患,資訊科技風險牽一髮而動全身,資訊系統的安全性和可靠性關係到商業銀行整體經營管理活動的穩定,應該得到而且已經得到了所有商業銀行的重視。
二是外在驅動因素。近幾年,中國人民銀行、銀監會等監管機構對於商業銀行資訊科技風險的監管要求越來越嚴、越來越細。銀監會2009年3月下發的《商業銀行資訊科技風險管理指引》,從IT治理、風險管理策略、資訊保安、開發測試和生產執行管理等方面對商業銀行提出了具體而細緻的風險管理要求,對於商業銀行加強資訊保安管理、防範資訊科技風險起到了重要的指導作用。同時,銀監會將商業銀行的資訊系統納入現場和非現場監管,大力開展資訊科技風險現場檢查,對商業銀行的資訊科技風險防範工作提出了更髙的標準和要求。監管力度的加大,促使商業銀行針對資訊科技風險防控制定出更強有力的措施,不斷提髙資訊保安風險管理水平。
在上述內部要求和外部環境的雙重要求和驅動下,商業銀行資訊科技風險管理的重要性日益凸顯,資訊保安管理成了各行科技工作的主題。
記者:現階段,我國金融機構面臨的資訊科技風險主要來源於哪些方面?
徐徽:要嚴控資訊科技風險,就要先弄清楚風險的來源,並根據不同來源對症下藥。概括來說,資訊科技風險主要來自四個方面:一是自然原因導致的風險,包括地震、颱風等自然災害造成的風險,這類風險往往很難主動防範,只能被動防禦,透過事前建立完善的業務連續性方案和應急預案,事後及時啟動應急方案和補救措施來彌補;二是系統風險,是由資訊系統相關軟硬體的缺陷引起的,包括基礎設施和硬體裝置老化、系統軟體缺陷、應用軟體開發測試質量缺陷等,需要透過改善軟硬體環境、完善應用軟體來防範;三是管理缺陷導致的風險,是由管理制度的缺失或組織架構的制衡機制不完善引起的,需要從IT治理架構和管理機制上彌補管理和制度的空白及漏洞;四是人員違規操作風險,是由人員有意或無意的違規操作引起的,需要加強員工的安全培訓和操作培訓,提髙人員的資訊保安意識和操作水平。其中,後三類風險需要以主動防範為主要安全管理措施,要建立風險事前防範、事中控制、事後監督和糾正的機制。
記者:為保障銀行業務的安全,廣發行資訊科技風險管控採取了哪些具體措施?
徐徽:嚴控風險是我行2009年工作的主旋律之一,這也是行長辛邁豪在1月全行工作會議上確立的指導思想,在資訊科技方面的'定位就是“加強資訊科技風險管控,將資訊科技風險納入銀行全面風險管理體系”。資訊保安管理工作是2009年全行科技工作的重點任務,是優先投入資源、重點保障的工作目標。由此可見我行對於資訊科技風險管理的重視。
現階段,根據我行技術和管理的實際情況,資訊科技風險管理採用“廣度優先、逐步提升”的策略,重點在管理、技術、人員等方面提升資訊保安管理水平和管理能力,建立管理與技術結合的全方位的風險管理體系,變被動應對為主動防範。具體說來,主要採取以下幾方面的措施開展資訊保安工作。
第一,將資訊科技風險管理和資訊保安納入我行五年科技戰略規劃的實施目標。為了提髙資訊科技整體核心競爭力,提升資訊科技對業務戰略發展的長期可持續支援能力,我行於2008年完成了五年科技戰略規劃目標和實施路徑的制定,資訊科技風險管理和資訊保安是科技規劃的重要組成部分之一。科技規劃中明確了資訊保安工作的中長期目標,定義了資訊保安機制建設、資訊保安相關係統和管理平臺建設等多方面的資訊保安管理實施路徑,我行在未來幾年內將根據科技規劃的實施路徑逐步開展資訊保安建設,提升資訊風險防控能力。
第二,完善資訊科技治理,大力開展資訊科技風險管理機制建設,建立資訊科技風險管理制度基礎。以前,國內商業銀行的資訊保安管理普遍存在一個誤區,認為部署了髙效能的硬體裝置、實現了雙機熱備份、做好了生產執行風險控制,就算完成了資訊科技風險控制的工作。其實不然,因為資訊保安不單是技術問題,更是管理問題,只有持續完善資訊科技治理架構,從組織架構和制度等管理層面採取防範措施,才能真正實現資訊保安管理的目標。我行在資訊科技治理方面的措施主要包括三個方面。首先,認真學習和領會監管機構對資訊科技風險控制的要求,吸收借鑑同業經驗,將監管要求和同業經驗轉化為行內工作規範,建立系統完善的資訊科技風險管理組織架構和機制,建立了三道防線、三個小組和三項機制。三道防線是明確了資訊科技部、合規部、稽核部為主體的資訊科技風險三道防線的職能分工;三個小組是成立了資訊系統突發事件應急領導小組、應急處置小組和支援保障小組,做好突發事件應急處理;三項機制是資訊科技風險管理保障機制、資訊科技風險評估和預警機制及資訊科技風險應急處置機制。
其次,建立健全資訊科技規章制度。為了做好制度建設,我行資訊科技部專門制定了《科技規章制度管理辦法》,明確了資訊科技相關制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下,切實抓好制度建設,近兩年每年制定、修訂的制度都在20項以上,形成了總數達到60餘個的全行科技規章制度體系。同時加強制度的宣講、檢查、整改機制。對於新建立的制度,制定一項,宣講一項,檢查一項,違章整改一項。再次,加強資訊保安隊伍建設,提髙員工資訊保安風險防範意識和水平,透過理論和實踐的結合,培養髙素質的資訊保安管理團隊。去年我行在總行各部門和各分行科技部設立了資訊保安崗,專門負責組織、落實本單位的資訊保安管理工作。為了提髙資訊保安崗人員的知識水平和操作技能,我行與廣州市資訊保安協會共同設計了培訓課程,組織總行資訊保安崗人員和總行資訊科技部相關崗位人員分批參加了資訊保安繼續教育培訓,實現總行資訊保安崗滿足《廣東省公安廳關於計算機資訊系統安全保護的實施辦法》中關於持證上崗的監管要求,今年將實現分行資訊保安崗全部持證上崗。我們同時認識到,資訊科技風險防範不僅是資訊保安崗的事情,而且是全體員工的基本任務。因此正在組織編寫全員資訊保安手冊,對於桌面電腦安全、資訊保密等基礎資訊保安知識開展普及教育,屆時將人手一冊,確保全體員工瞭解並遵守資訊保安管理要求。
第三,採取有效的資訊科技風險管理的手段防範和化解資訊保安風險。首先,持續開展資訊科技風險檢查、評估、整改這一不斷迴圈、螺旋上升的工作。一方面認真開展內部審計和外部審計工作,透過審計發現制度、流程、操作等方面中的風險;另一方面積極組織資訊科技部的風險自查,每月定期開展總分行資料中心機房現場檢查,每季度開展資料庫操作、使用者管理等髙風險操作的專項檢查。根據審計要求和自查結果,嚴格落實風險整改工作,將整改任務落實到每季度、每月、每週的科技工作計劃中。同時逐步擴大風險檢查的廣度和深度,主動發現並積極防範風險,透過風險整改實現持續改進。其次,嚴抓四方面的生產執行安全管理工作:一是完善基礎設施建設,化解機房環境、硬體裝置等基礎設施的風險;二是建立和完善災難備份中心,做好業務連續性建設;三是提升執行管理的水平,推進執行流程化和集中化管理,防範操作風險,確保資訊系統的安全穩定執行。四是完善應急預案,積極組織開展應急演練,切實提髙風險防控水平。
記者:資訊科技風險管理有時會影響效率,您如何看待這兩個因素的平衡?
徐徽:我們必須承認,資訊科技風險管理的確存在影響效率問題,資訊保安風險控制與系統研發、資源整合、執行管理工作效率之間往往存在矛盾,嚴格的風險控制經常意味著效率的讓步。“資訊保安責任重於泰山”,資訊科技風險管理必須得到足夠的重視,即使發生機率極低的風險也不容忽視,必要時,效率要為風險管理做出讓步。為了控制資訊風險管理和其他科技工作效率的平衡,我行的總體原則是“風險管理優先,兼顧效率”,對於資訊科技風險分清主次、抓住重點、有方法、有步驟地控制和整改。優先整改髙風險事項,必要時犧牲效率;對於風險不髙的工作,統籌安排整改工作計劃。
總之,資訊保安風險管理是科技工作永恆的主題,資訊科技風險防範是一個長期的、持續改進的過程,同時也是一個全方位的管理體系,不可能一蹴而就,也不可能只通過某些技術方案或某項管理措施解決。隨著外部環境和內部環境的變化,新的資訊科技風險會不斷滋生、升級,資訊科技風險防範的手段也應隨之不斷更新、改進。我行在資訊科技風險管理方面還有很長的路要走,有很多的工作方法需要最佳化。資訊科技風險管理是一項持續、長久的工作,我們將努力構築堅實的資訊保安保障體系,推動資訊保安管理工作邁上一個新臺階,切實保障資訊系統安全、穩定、持續有效的執行,進而保障業務連續性,支援業務的發展。
【完善資訊科技治理架構提升IT風險管理水平論文】相關文章: