1.2 金融机构信息科技风险管理整体架构
当前,金融机构信息科技风险管理整体上分为信息科技治理、信息科技风险管理、信息科技审计管理、信息安全管理、信息科技开发及测试、信息科技运行及维护、业务连续性管理和信息科技外包管理八大领域。监管部门对每一个领域均有非常严格的合规要求。为了满足各个领域的合规要求,金融机构从业人员要持续努力。我们将努力方向总结为两个词:守正,出奇。
“守正”就是要加强监管合规理论的学习,认同监管合规的管理要求,能够从自身意识上提高认识,在信息化建设过程中通过建立标准化的管理流程真正落地信息科技风险的合规管理。
“出奇”则是要借助信息技术的手段,帮助IT部门实现信息科技风险的自动化、流程化管控,甚至随着金融科技应用能力的提升,通过数字化、智能化的手段努力提升自身的风险管控水平,在监管合规方面做到主动先行,进而提升组织机构的信息科技管理水平。下面我们对上述两个方面做一简略论述。
1.2.1 八大领域的监管合规
我们先从“守正”的角度了解金融机构信息科技风险管理八大领域的要求以及我们需要努力的方向。
1.信息科技治理
信息科技治理领域主要包含两方面要求。
(1)信息科技组织架构方面,要求做到以下几点。
❑设立信息科技管理委员会,董事会、高管层具备信息科技管理、决策所需的能力和经验,能够有效履行信息科技治理的职责。
❑配置首席信息官,作为高管参与重大决策。
(2)信息科技对业务发展的专业支持和匹配度方面,要求做到以下几点。
❑建立明确的科技战略规划,并与业务战略规划协调一致。
❑信息系统技术架构满足业务架构。
❑信息科技人员具备自主可控的能力,保持人员稳定性,在信息科技方面的投入能够满足本机构信息科技发展的需要。
2.信息科技风险管理
信息科技风险管理领域主要包含两方面要求。
(1)信息科技风险管理体系方面,要求做到以下几点。
❑信息科技风险纳入全面风险管理,并由风险管理部统一负责。
❑风险管理部配备一定数量的具备专业背景和技能的专职信息科技风险管理人员,形成信息科技风险管理的组织架构,并向董事会汇报。
❑建立信息科技风险管理策略和管理制度,管理策略和管理制度完备,并建立信息科技风险评估及风险处置工作机制、流程和方法。
(2)信息科技风险管理日常运作方面,要求做到以下几点。
❑开展信息科技风险识别工作,监测关键风险点指标,并定期评审、改进,及时向高管层及有关部门报告风险监测结果。
❑要求开展信息科技风险评估工作,并进行风险处置。
3.信息科技审计管理
信息科技审计管理领域主要包含两方面的要求。
(1)信息科技审计管理体系方面,要求做到以下几点。
❑将信息科技审计职责落实到审计部门,审计制度涵盖信息科技审计相关内容。
❑信息科技审计岗位的人员具备足够的能力水平,并保持审计工作的独立性和汇报路线的合理性。
(2)信息科技内外部审计活动方面,要求做到以下几点。
❑确保近三年重要信息系统审计、数据中心审计、重大项目审计覆盖率达到100%。
❑确保近两年信息科技审计整改率接近100%。
❑确保近三年信息科技专项审计占比达到100%。
4.信息安全管理
信息安全管理领域主要包含两方面的要求。
(1)信息安全管理及执行力方面,要求做到以下几点。
❑要求建立合理的信息安全组织架构,设立专职信息安全岗位,明确信息安全管理职责。
❑确保信息安全管理体系的完整性,明确信息安全的总体方针和安全策略,说明安全工作的总体目标、范围、原则和安全框架等。
❑确保安全管理制度健全,须涵盖物理安全管理、人员安全管理、系统建设安全管理、系统运维安全管理、终端安全管理、数据安全管理等方面的要求。
❑信息安全管理制度须定期评价并修订,信息安全管理各项措施须严格落实,执行过程中不得存在重大缺陷。
❑减少和控制信息安全事件的发生。对当年发生的造成一定损失或影响(如经济损失、数据篡改、重大舆情、监管通报、系统宕机、业务中断等)的信息安全事件,须严格区分管理责任和技术性问题。
(2)信息安全技术保障能力方面,要求做到以下几点。
❑信息安全技术体系必须完整,安全保障措施必须有效,包括物理安全、网络安全、主机安全、应用安全、数据安全、终端安全等。
❑确保重要信息系统、互联网系统的安全性,对重要信息系统、互联网系统进行安全评估(如交易类系统的全面风险评估、互联网系统的渗透测试检测等)情况,及时对安全漏洞进行修补。
5.信息科技开发及测试
信息科技开发及测试领域主要包含两方面的要求。
(1)信息科技开发测试管理体系方面,要求做到以下几点。
❑确保开发测试项目管理组织架构的合理性。
❑建立规范的信息科技开发测试管理制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等管理要求。
❑要求项目生命周期管理流程必须包括需求分析、设计、开发或外购、测试、试运行、部署、维护和退出等环节,系统开发方法与信息科技项目的规模、性质和复杂度必须匹配。
❑确保本年度重大项目计划完成率达到100%。
(2)信息科技开发测试管理中的风险控制方面,要求做到以下几点。
❑信息科技风险管理须涵盖信息科技项目生命周期管理的各重要环节。
❑必须建立必要的开发测试安全隔离措施,包括生产系统与开发系统、测试系统的有效隔离,生产系统与开发系统、测试系统的管理职能隔离,应用程序开发和测试人员未经允许不可进入生产系统,测试环节如使用生产数据需要经过严格脱敏等。
❑确保业务部门在信息系统开发及测试相关阶段的参与度。
6.信息科技运行及维护
信息科技运行及维护领域主要包含两方面的要求。
(1)信息科技运行及维护管理系统方面,要求建立规范的信息科技运行及维护管理制度和流程,涵盖事件管理、问题管理、配置管理、容量管理、变更管理、服务水平管理、可用性管理,并确保信息科技运行维护管理制度和流程落实到位。
(2)信息科技运行及维护方面,要求做到以下几点。
❑实施运行维护管理平台(工具)和监控管理平台(工具)等信息化措施,提高运行与维护管理效率。
❑实现对运行维护全流程的管理和关键基础设施、网络、主机、系统运行情况的监控及运维管理。
❑确保重要信息系统应用层面监控覆盖率、考察重要信息系统可用率、核心业务系统交易成功率均满足监管要求的较高水平。
7.业务连续性管理
业务连续性管理领域主要包含两方面的要求。
(1)业务连续性管理体系方面,要求做到以下几点。
❑建立日常业务连续性管理组织,业务连续性管理组织的职责必须清晰且完善,业务连续性管理相关部门的设置必须合理,并制定业务连续性管理政策和制度。
❑必须开展业务影响分析,明确业务的恢复优先级和恢复目标。
❑制订业务连续性计划并建立信息科技突发事件应急处置机制。
❑定期开展业务连续性演练,并评估与改进,确保重要业务的业务连续性演练覆盖率达标。
(2)业务连续性管理日常运作效果方面,要求做到以下几点。
❑信息科技基础设施必须满足当前及未来3~5年的业务发展需要,生产中心、灾备中心建设必须符合相关监管要求,不得存在重大隐患。
❑确保重要信息系统灾备覆盖率达到100%。
8.信息科技外包管理
信息科技外包管理领域主要包含三方面的要求。
(1)外包管理组织架构和外包战略方面,要求做到以下几点。
❑建立清晰的外包管理组织架构,明确高管层、信息科技外包管理主管部门和执行部门的风险管理职责。
❑制定与自身规模、市场地位相适应的外包战略,并有针对性地获取或提升管理及技术能力,降低对外包服务提供商的依赖。
(2)信息科技外包管理方面,要求做到以下几点。
❑外包项目立项前须进行风险评估,满足合理的外包服务提供商准入标准,并对重要外包服务提供商开展尽职调查。
❑外包合同条款必须完整、明确,必须包括对外包服务提供商的必要约束条款,并且签订外包保密协议。
❑对外包服务的过程进行监控,并对外包服务提供商进行评价,督促其不断提升外包服务水平。
❑对重点外包服务提供商的风险管理、年度审计工作提出明确要求。
❑建立恰当的应急预案,应对外包服务提供商可能出现的重大问题。
(3)跨境、关联及非驻场外包管理方面,要求做到以下几点。
❑对于跨境外包服务,外包过程中须充分考虑跨境外包带来的国别风险,必须有相应的风险处置措施。
❑对于关联外包服务,外包过程中须建立关联外包服务的内部控制及风险管理标准和机制,确保关联外包有关决策的独立性,加强对关联外包管理的约束力,确保对关联外包活动的风险控制水平。
❑对于非驻场外包,须制定非驻场外包的内部控制及风险管理标准和机制。
以上是从“守正”角度分析的金融机构信息科技风险监管八大领域的要求,对于上述要求,我们必须建立标准化、制度化的工作流程,通过严格的分级管控以及标准的工作规范,确保相关的措施得以落地执行。
1.2.2 监管合规的技术辅助
借助数字化、智能化的手段,我们可以更加主动地提升信息科技风险管控的水平,达到“出奇”的效果,具体包括如下方面。
1.科技治理数字化转型
在努力提升自身科技治理水平的过程中,我们可以通过建立完整的科技管理工具体系,实现科技治理的线上化和数字化。与其他业务系统架构一样,科技管理工具也应具备完整的体系架构,根据科技治理的各个领域要求各司其职。
打破信息孤岛,形成信息科技治理完整的决策链,持续提升信息科技治理的水平。其中最典型的是信息科技项目管理工具和架构管理工具的实施,有效提升信息科技的项目管理水平和整体架构规划的管控能力。
2.风险管理技术化
信息科技风险千变万化,简单通过人为的信息科技风险管理显然已经不合时宜。开发简单有效的日常监测工具,实现信息科技风险的实时与准实时监测,并对信息科技管理的关键点进行动态计算和监测,可以及时、有效地发现潜在的风险,提升信息科技风险管理的水平。同时,针对信息科技的监管报送要求,可以借鉴业务日常监测的监管数据报送方式,通过自动化的方式完成数据采集和数据报送,确保数据报送的准确性和及时性。
3.审计管理信息化
对于审计管理,无论现场审计还是非现场审计,我们可以通过信息化的手段,开发系统工具,完成信息科技审计的管理,提升信息科技审计的效能。
4.安全技术架构
对于信息科技安全技术管理,墨守成规地比照各类制度规范和标准,可以说是舍本逐末。信息科技安全技术管理的根本在于构建完善的安全技术体系,包括机房安全、网络安全、系统安全、应用安全、终端安全和数据安全等。通过构建安全技术体系,明确职责清晰的安全组织架构,推动良性的安全运营,提升信息科技安全管理水平。
5.开发和测试管理信息化
开发和测试的效能一直以来是信息科技从业人员所追求的,开发和测试管理领域的信息科技风险把控也是不容忽视的。开发和测试管理工具体系在于有效控制开发和测试风险的同时,协助提升开发、测试效能。同时,对于金融业务系统的开发,质量把控是尤为重要的,那么如何利用技术手段有效把控系统质量风险,同样也是信息科技人员应考虑的问题。
6.运行和维护管理信息化
生产的运行和维护往往是信息科技风险管控的关键。对于金融机构而言,生产运行和维护的压力十分繁重,如果不借助信息化的管理工具,基本上不可能有效应对运行和维护风险。建立管监控一体化的生产运维工具体系,并在标准化运维的基础上进一步实现自动化运维,在运维数据充分积累的基础上进一步实现智能化运维,已经成了当前各大金融机构努力的重点方向。
7.业务连续性技术体系
业务连续性领域的风险管理同样不能纯粹靠人工管理去实现,这样无异于守株待兔。好的业务连续性风险管理一定是建立在好的业务连续性技术体系之上的。本地高可用、同城双活、异地灾备已经是当前金融机构业务连续性体系的基本要求。同时,对于系统运行过程中的业务连续性保证,例如联机7×24小时运行的技术研究,也是提升业务连续性水平的基本要求。
8.外包管理的信息化
对于繁重又难以管理的外包风险,同样要借鉴信息化的管理思路,通过建立外包舆情监测系统、外包管理系统、外包信息共享平台,达到提升外包管理效能的目的。通过技术化的手段提升外包管理效能,是外包管理风险管控的最重要的手段。
9.金融科技相关技术与风险管理
近年来,随着人工智能、区块链、云计算、大数据、5G和物联网等技术的普及,各机构的金融科技能力逐步提升,已经充分改变了金融机构的业务流程和服务模式。那么新技术的运用能否在信息科技风险管理领域发挥作用呢?新技术运用过程中,有没有潜在的风险呢?我们不应忽略对这些问题的探索。
10.业务风险的技术防范能力建设
对于潜在的业务风险,简单地通过人为手段无法及时发现和解决。通过技术手段,可以及时发现和防范潜在的业务风险,对于渠道类、客户管理类、产品服务类、财产管理类和管理信息类的风险,均可以在第一时间发现和解决。有效发挥科技的效能,金融机构可以全面控制业务风险。
11.信息技术自主可控
近年来,科技能力自主可控的要求已经上升到一定的高度。金融行业作为掌握国家经济命脉的重要行业,信息技术的自主可控更是需要放在第一位。对于金融机构而言,信息技术自主可控面临着哪些困难,我们应该如何突破等,是必须面对的问题,也是需要不惜代价去付诸努力的方向。