商业银行信息科技风险管理系统建设实践.docxVIP

商业银行信息科技风险管理系统建设实践 信息科技风险管理系统以提升银行信息科技风险管理核心能力为目标，充分发挥“三道防线”协同作用，专注于风险管理视角，提供标准化、自动化、可度量、可预知的全方位信息科技风险管理服务，实现对全行信息科技风险的集中化管理。 近年来，云计算、大数据、区块链、人工智能等新技术与金融业务深度融合，信息技术变革在推动着金融业迅猛发展的同时，也给信息科技风险管理带来了前所未有的挑战。面对内外部网络及信息安全的严峻形势，为满足监管机构的高标准、严要求，商业银行不断加大信息科技风险管理力度，建立和完善信息科技风险管理体系，落实信息科技风险管理职责，强化信息科技风险管理能力。 中信银行一直高度重视信息科技风险管理，以监管要求及全行发展战略为指导，通过不断探索与实践，在满足本行全面风险管理体系的要求下，融合信息科技治理、风险管理策略、风险偏好及容忍度、风险理念与文化、组织体系、制度体系、信息科技管理“三道防线”等内容，逐步建立了一套切实有效的信息科技风险管理体系，落地于《中信银行信息科技风险管理体系手册》，并配套建设了信息科技风险管理系统，推动信息科技风险管理的数字化转型。 信息科技风险管理系统以提升银行信息科技风险管理核心能力为目标，充分发挥“三道防线”协同作用，专注于风险管理视角，提供标准化、自动化、可度量、可预知的全方位信息科技风险管理服务，实现对全行信息科技风险的集中化管理。 一、系统建设理论 信息科技风险管理体系由一组互相关联、互相作用、互相影响的信息科技风险管理活动构成，其生命周期是一个端到端的循环过程。每个信息科技风险管理活动都是一个相对独立的个体，依据PDCA循环管理模型，有规律地交互联动，形成风险识别、监控、分析、改进的管理闭环。信息科技风险管理系统是信息科技风险管理活动的集中管理平台，设计理念遵循PDCA管理模型，将所有系统功能模块有机地联系起来，彼此协同运转、循环往复。信息科技风险管理系统建设模型如图1所示。 图1 信息科技风险管理系统建设模型 1.P(Plan)计划 依据信息科技风险管理策略，制定信息科技风险管理计划，通过信息科技风险管理系统实现风险数据库、知识库以及制度库的固化，为后续阶段各种活动提供行动指南。 2.D(Do)执行 依据信息科技风险管理策略，围绕信息科技风险管理计划，实施日常信息科技风险管理活动，包括风险指标监测、信息安全监控、风险事件管理、信息科技监管报表报送等。 3.C(Check)检查 结合信息科技风险日常管理情况，开展信息科技风险管理现状的检查，具体活动包括风险评估、科技检查、问题管理、考核评价等。 4.A(Action)改进 对检查阶段的结果进行处理，将成功的风险管理经验继续沿用，并予以标准化;对于发现的问题进行整改处置，并根据识别出的新风险，不断完善、优化信息科技风险管理策略与标准。 信息科技风险管理系统有别于专门从事传统检查监督的内控系统，不仅仅是日常处理风险管理事务流程的节点，也不只是单纯提供风险管理视图的报表工具，信息科技风险管理系统的投入使用，会使银行信息科技风险的管理理念、管理形式、管理方法发生巨大变革，极大提升风险管理效能。 一是体系固化：对现有信息科技风险管理体系进行固化，将信息科技风险数据库、指标库、知识库、标准库等纳入系统管理，并在风险监测、风险评估、科技检查等模块深度应用。 二是事务联动：全面实现信息科技风险管理活动的协同联动，例如内部科技检查、风险评估发现的问题，直接无缝衔接问题整改，实现信息科技风险及问题的闭环管理。 三是规范流程：通过标准化清单、模板，保证风险管理事务处理方式的一致性，规范信息科技风险管理流程。 四是风险传导：借助信息科技风险管理系统，实时监测信息科技风险，及时、全面地掌握全行信息科技风险信息。 五是管控增效：形成信息科技风险管理工作的常态化，提升信息科技风险线上化、标准化、流程化管理水平，实现事前预防，事中监测、事后检查的全方位风险管控体系。 六是全局统筹：具备全局风险展示功能，打造风险管理驾驶舱，实现风险的集中化、可视化，持续深化风险管理能力。 二、体系架构 根据银行信息科技风险管理策略，遵循信息科技风险管理系统建设理论，信息科技风险管理系统将众多信息科技风险管理活动集中管理，聚成风险管控合力。在体系架构设计时，应从业务数据共有、基础资源共享、功能组件共用的角度出发，并充分考虑系统的扩展性及与现有系统的兼容性。 系统具体功能包括：管理驾驶舱、信息科技检查管理、信息科技风险评估、信息科技风险指标监测、问题处置及整改管理、信息科技风险事件管理、信息安全管理、信息科技风险报送管理、考核评价、知识库、法规制度等，以及个人工作台和系统管理两个辅助模块。具体系统架构如图2所示。 图2 信息科技风险管理系统体系架构 其中，风险数据库