基于對當前銀行業(yè)金融機構(gòu)，尤其是中小銀行業(yè)金融機構(gòu)信息科技風險管理的現(xiàn)狀較為深入的了解，盛邦安全將在本年度陸續(xù)發(fā)布針對中小金融機構(gòu)信息科技風險管理現(xiàn)狀觀察的系列文章，旨在基于對中小銀行信息科技風險管理整體現(xiàn)狀的認知，提煉和分享當前行業(yè)信息科技風險管理體系建設面臨的問題和良好實踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期討論的主題是金融行業(yè)信息科技風險管理體系實操。盛邦觀察系列文章的第一期中提到，《商業(yè)銀行信息科技風險管理指引》（以下簡稱《指引》）第十條規(guī)定“商業(yè)銀行應設立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應為信息科技突發(fā)事件應急響應小組的成員之一，負責協(xié)調(diào)制定有關信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務部門和信息科技部門提供建議及相關合規(guī)性信息，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生”。可以看出，信息科技風險管理部門的核心職能包括但不限于“協(xié)調(diào)制定信息科技風險管理策略、提供信息科技風險管控建議、實施風險評估、問題整改跟蹤、日常威脅監(jiān)控”等，我們將重點圍繞這些核心職能并結(jié)合《指引》第三章信息科技風險管理中的幾個關鍵監(jiān)管要求，分享當前中小銀行信息科技信息科技風險管理實操的現(xiàn)狀和一些有效實踐。

本期的現(xiàn)狀觀察，主要圍繞信息科技風險管理“二道防線”的工作落地機制來展開，信息科技風險管理“一道防線”的管控現(xiàn)狀，以及外包管理、業(yè)務連續(xù)性管理、信息科技審計（“三道”防線）等領域的現(xiàn)狀我們將在后續(xù)系列文章中進行分享。

一、關于制定信息科技風險管理策略

《指引》第十五條規(guī)定，商業(yè)銀行應制定全面的信息科技風險管理策略；在監(jiān)管的推動下，大多數(shù)中小銀行金融機構(gòu)在制度體系里面基本都制定了信息科技風險管理相關的制度，其名稱各不同，有的叫策略，有的叫管理辦法或者規(guī)程；涵蓋的管理領域一般也都比較全面。但很多銀行的信息科技制度體系并沒有把策略、管理辦法、規(guī)程以及細則等不同名稱的文檔內(nèi)容界定清楚；從文檔實質(zhì)內(nèi)容來看，也區(qū)分不出策略、管理辦法等界定內(nèi)容的區(qū)別；甚至有個別銀行的制度體系里面既有策略又有管理辦法，文檔里規(guī)定的內(nèi)容重復，存在“為定制度而定制度”的情況。

金融行業(yè)對于信息科技制度歷來非常重視，制度體系建立和維護良好的銀行機構(gòu)一般都會在全行層面建立一個“管制度”的制度，用來指導各個部門和條線來建立適當?shù)闹贫葋硪?guī)范相關業(yè)務。我們看到，一些銀行把信息科技管理策略定位成高階的信息科技管理綱領，統(tǒng)領信息科技相關的所有領域；而信息科技風險管理辦法，主要是界定對信息科技風險管理二道防線的工作要求；具體的信息科技風險管理策略里面，一個較好的做法是明確信息科技風險管理的治理模型（重用RACI模型來梳理和展示），即把信息科技風險管理工作進行活動劃分，每一項工作活動明確主責部門、負責部門、配合部門以及匯報和知會路線。這樣，在頂層設計上就解決了信息科技風險管理涉及多部門、多條線協(xié)同的問題。

此外，好的信息科技風險管理策略也明確了各個領域的信息科技風險管控目標和高階的要求。這樣統(tǒng)領性的信息科技風險管理策略就成為銀行開展信息科技風險管理的“憲法”，是信息科技風險管理各相關部門開展工作的“尚方寶劍”。如果作為“根本大法”的定位，有些銀行在策略里面規(guī)定了具體到甚至是某年度的信息科技風險管理工作計劃就顯得不太適宜；圍繞信息科技風險管理策略，可以制定相對應的配套領域管理辦法以及其他下位制度。

二、關于制定風險評估計劃

《指引》第十五條規(guī)定：商業(yè)銀行應制定符合銀行總體業(yè)務規(guī)劃的信息科技風險評估計劃。通常這項工作的落實是作為信息科技風險管理牽頭部門（“二道防線”，即風險管理部門），根據(jù)“一道防線”（通常指信息科技部門）的具體業(yè)務規(guī)劃，結(jié)合監(jiān)管要求來制定年度信息科技風險評估計劃。

大多數(shù)中小銀行金融機構(gòu)的風險管理部門，都會制定年度的信息科技風險評估計劃，風險評估計劃中，會包含全面的信息科技風險評估以及一些專項的信息科技風險評估，評估執(zhí)行一般會通過組織行內(nèi)人員自行開展評估或者借助外部第三方專業(yè)咨詢機構(gòu)。

在中小銀行業(yè)金融機構(gòu)在信息科技風險評估計劃的環(huán)節(jié)，我們發(fā)現(xiàn)了一些比較好的實踐：其一，某些金融機構(gòu)梳理了來自不同監(jiān)管機構(gòu)的所有監(jiān)管文件中規(guī)定的開展信息科技風險評估的場景以及評估頻率，通過建立和維護“評估場景表格”，確保評估計劃的場景考慮不留評估死角；而我們發(fā)現(xiàn)，確實存在很多金融機構(gòu)每年開展的信息科技風險評估沒有完全涵蓋監(jiān)管文件要求的所有場景；很多中小機構(gòu)認為，完全按照監(jiān)管要求執(zhí)行還不具備條件（人力/財力），但是依照“評估場景表格”可以較大程度地去做好“計劃”。其二，信息科技風險評估很多評估場景是每年度例行評估，因此每年重復開展某一個專題的評估會讓評估人員和被評估對象產(chǎn)生“審美疲勞”。因此，部分機構(gòu)在制定評估計劃的時候，明確要求開展該次評估的優(yōu)化和改進事項，即同上次或者上一年度的同類評估，本次或者本年度的優(yōu)化項和改進點計劃有哪些，優(yōu)化項可以是評估風險庫優(yōu)化、評估方法和手段的改變、信息獲取方式的多樣、訪談不同層級的人員等等；通過這種機制明確每次評估的差異點和亮點，可以一定程度上避免信息科技風險評估過程中的“七年之癢”問題。

三、關于實施信息科技風險評估

《指引》第十六條規(guī)定， 商業(yè)銀行應制定持續(xù)的風險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序并確定風險防范措施及所需資源的優(yōu)先級別（包括外包供應商、產(chǎn)品供應商和服務商）。

當前，銀行業(yè)金融機構(gòu)信息科技風險評估的開展，大多是根據(jù)監(jiān)管要求，由風險管理部門或者科技部門牽頭，通過組織自行評估或者聘請第三方評估機構(gòu)評估等方式開展，形成全面或者專項的信息科技風險評估報告，主要面臨的問題包括：一、評估專題多，評估方和被評估方疲于應對，同樣的風險點或者評估項，可能被不同的評估項目組反復評估和測試，評估過程成果不能復用，增加了溝通成本和降低了效率；二、評估過程不可審查和回溯，缺乏評估過程管控，對一個風險點的評估現(xiàn)狀和差異只能依賴評估人的判斷和結(jié)論，缺乏標準化的評估方法和執(zhí)行標準，不同的評估人員針對一個專題評估，可能評估的風險點的范圍，差距分析的尺度都會有差距，尤其是銀行業(yè)金融機構(gòu)信息科技風險評估人員和能力缺乏的背景下，這個問題尤其突出；三、信息科技風險評估在缺乏信息化手段支持下，風險評估底稿和報告完全需要人工梳理、編制，效率低下；此外，缺乏數(shù)據(jù)統(tǒng)計分析，風險管理部門很難統(tǒng)計和分析不同風險點開展的評估次數(shù)，在哪些評估項目中涉及到該風險的評估以及該風險點控制現(xiàn)狀的演進，缺乏這些基礎數(shù)據(jù)和信息，很難有針對性、有目的性地安排風險評估工作。

部分銀行已經(jīng)意識到信息科技風險評估所面臨的這些挑戰(zhàn)，將信息科技風險評估過程信息化，通過線上方式開展信息科技風險評估，具體舉措包括：

◆ 根據(jù)監(jiān)管要求或者行業(yè)相關標準梳理信息科技風險庫（或者稱評估基線），信息化平臺可以支持風險庫的輸入、導入，以及增、刪、改、查等基本操作；

◆ 基于具體業(yè)務要求，可以在系統(tǒng)內(nèi)形成專項和全面的的風險基線庫，例如信息科技外包管理、數(shù)據(jù)安全管理、業(yè)務連續(xù)性管理等不同類型的評估基線庫；存在將某一個監(jiān)管指引的具體條款作為監(jiān)管合規(guī)的評估基線的情況；

◆ 根據(jù)金融機構(gòu)實際的評估需要，在信息科技風險庫中選擇某一個領域（專題）的風險點開展本機構(gòu)的信息科技風險評估，評估每個風險點的控制機制以及其執(zhí)行的有效性；

◆ 評估工作通過流程管控，由風險評估牽頭部門，將風險評估點分發(fā)給對應部門的相關人員開展風險評估，提供現(xiàn)狀描述和差距分析；風險評估任務的具體接收人，自行評估收到的風險點，或在部門內(nèi)部進行評估任務的轉(zhuǎn)派。風險評估牽頭部門根據(jù)各部門反饋的評估結(jié)果，識別風險點，形成問題列表；經(jīng)流程確認后，問題自動進入問題庫，后續(xù)開展問題的整改跟蹤。

四、關于問題整改跟蹤

《指引》第十七條規(guī)定，商業(yè)銀行應依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的風險防范措施。該條規(guī)定要求，對于“二道防線”的信息科技風險管理部門，對評估發(fā)現(xiàn)的問題要建立問題臺賬，并開展問題的整改跟蹤，實現(xiàn)問題的閉環(huán)管理。

銀行業(yè)為重監(jiān)管行業(yè)，每年內(nèi)外部各類信息科技風險評估項目、各級監(jiān)管機構(gòu)現(xiàn)場或者非現(xiàn)場檢查、各類安全評估和等保測評項目，均會產(chǎn)生各類信息科技風險問題，目前中小銀行業(yè)金融機構(gòu)對上述各類風險問題臺賬的管理，一般通過各種文檔進行保存，建立問題整改跟蹤機制的銀行，其風險管理人員會每月或者每季度開展一次風險問題的整改跟蹤活動，記錄問題整改狀態(tài)；目前通過人工線下方式開展問題整改跟蹤，普遍存在風險問題不能統(tǒng)一歸口管理、風險問題管理不閉環(huán)、查詢和統(tǒng)計分析難度大等問題。

目前，領先的銀行機構(gòu)通常采取信息化的手段來建立和管理信息科技風險問題臺賬，對問題進行持續(xù)的查詢、跟蹤、整改、關閉以及統(tǒng)計分析，實現(xiàn)風險問題全生命周期閉環(huán)管理。具體如何落實？一是將各類、歷年信息科技風險內(nèi)外部評估、檢查的問題清單統(tǒng)一歸口管理，實現(xiàn)問題外部導入以及針對問題庫的增、刪、改、查等基本操作；二是為風險問題在系統(tǒng)中指定整改責任部門和崗位，定期或者按照問題整改計劃時間智能的開展問題整改跟蹤，收集整改過程信息和整改進度；通過建立流程管控，對于滿足關閉條件的風險問題進行審批、關閉和歸檔；三是通過信息化方式，為歷年歷次風險問題清單建立歷史記錄，積累數(shù)據(jù)源，按照年度、風險問題領域、風險問題來源、風險問題所屬部門、風險問題整改狀態(tài)、風險問題嚴重程度等不同維度開展風險問題分析。

五、關于日常風險監(jiān)控

《指引》第十八條規(guī)定，商業(yè)銀行應建立持續(xù)的信息科技風險計量和監(jiān)測機制。我們發(fā)現(xiàn)在信息科技風險監(jiān)測方面，建立了信息科技日常風險監(jiān)控機制的機構(gòu)普遍采用關鍵風險指標(KRI)這個管理工具，對識別的關鍵信息科技風險指標開展持續(xù)數(shù)據(jù)收集和監(jiān)測。

當前銀行關鍵風險指標管理主要有兩種情況，第一種情況是同監(jiān)管報送相關的關鍵風險指標（信息系統(tǒng)相關指標），大多是通過系統(tǒng)平臺的對接，輔助以人工填報的方式來完成，這類指標主要用來滿足監(jiān)管合規(guī)的要求；第二種情況是銀行業(yè)金融機構(gòu)根據(jù)自身信息科技風險管理實踐，梳理出重要信息科技風險，并梳理出針對這些重要風險點的監(jiān)控指標，這些指標很多是管理類指標，而不僅僅是第一種情況中的系統(tǒng)技術指標，例如信息科技人員離職率、安全意識培訓覆蓋率等。這類指標大多是通過人工、線下、定期的方式來進行管理，存在管理效率低、數(shù)據(jù)統(tǒng)計不及時、缺乏流程管控等問題。

領先的銀行機構(gòu)會通過信息化手段來對KRI進行管理，提升信息科技關鍵風險指標管理的自動化、實時性和準確性；具體落地方面，一是實現(xiàn)對關鍵風險指標進行增、刪、改、查等基本功能；二是關鍵風險指標的監(jiān)控數(shù)據(jù)可以通過指標責任部門自行填寫、分配他人填寫、從系統(tǒng)自動抓取自動運算等模式開展監(jiān)控，所有填寫數(shù)據(jù)可以配套審批流程管控；三是按照指標監(jiān)控頻率，通過時間觸發(fā)自動指標監(jiān)控流程，改變了只能定期人工線下或線上流程的監(jiān)控管理方式，通過智能化提升效率和監(jiān)控效果。

另外，在日常監(jiān)控環(huán)節(jié)，風險管理部門將從眾多渠道獲取的風險信息，包括但不限于監(jiān)管發(fā)布的風險提示或者通報、安全權(quán)威機構(gòu)或者廠商發(fā)布的重大風險提示、同業(yè)重大事件或案件等，及時發(fā)送給科技部門開展排查；通過信息化手段，將風險提示職能線上化，線上發(fā)布風險提示給對應的部門或者條線，由相應處置部門按照處置要求進行風險的排查和反饋，如提示風險問題，則線上生成問題清單，納入風險問題臺賬管理。

六、關于信息科技非現(xiàn)場報表管理

銀行業(yè)金融機構(gòu)信息科技風險非現(xiàn)場監(jiān)管報表（以下簡稱非現(xiàn)場監(jiān)管報表），是銀行業(yè)監(jiān)管機構(gòu)信息科技風險監(jiān)管體系的重要組成部分，旨在通過收集和監(jiān)測銀行業(yè)金融機構(gòu)信息科技風險相關數(shù)據(jù)，來識別和評估行業(yè)內(nèi)潛在的系統(tǒng)性信息科技風險；幾乎所有的銀行業(yè)金融機構(gòu)都要求按照月度、季度和年度等報送頻率，通過監(jiān)管機構(gòu)的報送終端軟件開展報送，是銀行業(yè)金融機構(gòu)日常必須要滿足的基本合規(guī)要求。

當前各銀行業(yè)金融機構(gòu)在組織填報非現(xiàn)場監(jiān)管報表的過程中，存在如下主要問題：

• 非現(xiàn)場監(jiān)管報表涉及表單眾多，涵蓋信息科技風險管理的全部領域（含治理、管理、技術），涉及填報大量信息，完成填報需要銀行業(yè)金融機構(gòu)跨部門、跨信息科技各業(yè)務條線的分工協(xié)作，工作量大，溝通成本高；

• 目前填報主要依賴人工收集數(shù)據(jù)并匯總統(tǒng)一填報，缺乏統(tǒng)一的數(shù)據(jù)復核、驗證機制和填報流程管控機制難以保證數(shù)據(jù)的準確和一致性；現(xiàn)實中因為填報人員變更、填報數(shù)據(jù)未經(jīng)嚴格驗證和審批，導致填報數(shù)據(jù)差錯的情況經(jīng)常出現(xiàn)；此外，缺乏同往期數(shù)據(jù)的比對機制，在眾多的填報項中也很難發(fā)現(xiàn)潛在的數(shù)據(jù)差錯點；

• 目前的填報機制導致歷史填報數(shù)據(jù)很難保存，文檔管理不規(guī)范的機構(gòu)，很難查詢或者參考往期的填報數(shù)據(jù)，從長遠來看，也不具備對本機構(gòu)的非現(xiàn)場監(jiān)管報送數(shù)據(jù)開展有效的數(shù)據(jù)分析，會浪費寶貴的數(shù)據(jù)資源。

   

銀行業(yè)金融機構(gòu)按照各個報送表單要素要求，在本地進行了通監(jiān)管報表完全一致得數(shù)據(jù)庫設計和開發(fā)，確保了報送要素可通過本地信息化平臺填報；具體方式上，通過填報發(fā)起人發(fā)起填報任務，可分發(fā)給預設的填報部門和崗位并設定時間進行填報；各部分的填報任務可通過流程管控，即指定復核人員進行復核或?qū)徟?；其中復核環(huán)節(jié)，可自動進行前期的環(huán)比分析，來發(fā)現(xiàn)重大的差異填報項，便于進行核實和數(shù)據(jù)準確性確認；此外，對于一些可以通過系統(tǒng)自動提供數(shù)據(jù)的報送指標，可以通過符合行方要求的應用或者數(shù)據(jù)集成，自動獲取數(shù)據(jù)；這樣的信息化方式可顯著提升報送效率，第一次填報后，以后各期的填報可以參考前期填報結(jié)果，如無重大變更的填報項，可以直接調(diào)用；通過數(shù)據(jù)抓取獲取的填報項，可以節(jié)省人工填報成本；借助流程管控和前期數(shù)據(jù)自動環(huán)比比對，可快速定位填報差錯可疑點，確保最終填報數(shù)據(jù)的準確性，而且規(guī)避了在不同時期填報人員變更帶來的數(shù)據(jù)差錯問題。借助信息化手段，銀行業(yè)金融機構(gòu)推動信息科技風險管理大數(shù)據(jù)分析成為可能，歷次填報的數(shù)據(jù)完全保存在機構(gòu)本地數(shù)據(jù)庫，為行內(nèi)數(shù)據(jù)倉庫和BI系統(tǒng)提供信息科技風險數(shù)據(jù)。

本文內(nèi)容來自盛邦安全對中小金融機構(gòu)信息科技風險管理現(xiàn)狀的觀察與調(diào)研，難免管中窺豹，其中不全面或不當之處歡迎大家交流指正，也請各位不要對號入座。針對中小金融機構(gòu)信息科技風險管理現(xiàn)狀觀察的系列文章將陸續(xù)發(fā)布，敬請期待。