「摘要」随着农发行数字化改革的不断深入,信息科技日益成为全行稳健运营和高质量发展的重要支柱,但也带来信息科技风险隐患。信息科技风险是金融风险的重要组成部分,如何防范信息科技风险已列入农发行研究的重要课题。本文通过对农发行信息科技风险体系建设的实践分析,提出了新形势下如何更好管控信息科技风险的措施和建议,对构建现代银行信息科技安全防线提供参考。
「关键词」金融风险 信息科技风险 风险管控
习近平总书记在中央金融工作会议上强调:“防范化解金融风险,是金融工作的永恒主题。”党的二十大报告共91次提及安全,16次提及风险,风险防控已经成为国家重要的安全战略。在农发行三十年发展历程中,总行党委始终高度重视全面风险管控,统筹推进全面风险管理体系建设和防范化解金融风险双核驱动,正确处理业务发展与风险防控之间的关系,把全面风险管理建设目标由单纯满足监管要求向提升全行核心竞争力转变。2018年,农发行将数字化转型战略及执行过程中可能存在的信息科技风险纳入全面风险管理体系,持续提升信息科技风险管理水平。
一、加强信息科技风险管理的必要性
(一)做好信息科技风险管理,是实现高质量发展的迫切要求。当前农发行不断加强技术与金融的深度融合,在信息科技获得深入应用的同时,也带来了较大的风险,信息科技风险广泛存在于系统开发、测试、上线、运维、使用和管理过程中,具备突发性强、隐蔽性强、破坏性强的特点,一旦发生重大信息科技风险事件,可能造成业务瘫痪、资金损失、客户流失等灾难性后果。有效管控信息科技风险关乎业务稳定运行、金融安全和数字化转型成效,是科技综合实力的重要体现,也是实现高质量发展各项目标的必要前提。
(二)做好信息科技风险管理,是落实监管规定的客观需要。中央金融工作会议提出:“监管要‘长牙带刺’、有棱有角,横向到边、纵向到底”,强监管、严监督态势正在形成。监管机构对信息科技风险管理要求更趋精细化、严格化、专业化,先后发布《商业银行信息科技风险管理指引》《商业银行操作风险管理指引》等一系列指引和规范。从信息科技治理、信息安全、开发测试和生产运行等方面提出具体的风险管理要求。监管机构定期开展信息科技监管评级,并对发生重大信息科技风险事件的银行进行通报或罚款。监管管控力度的持续加大对农发行信息科技风险管控提出更高标准和更严要求。
(三)做好信息科技风险管理,是完善全面风险管理体系的工作要求。监管部门强调农发行应深入分析“三农”领域风险特点,构建与本行职能定位、风险状况、业务规模和复杂程度相匹配的全面风险管理体系,加强对各类风险的识别、计量、监测、控制和处置。信息科技风险是农发行当前面临的主要风险之一,建立健全信息科技风险管理体系是落实“十四五”风险管理专项规划的重要任务。在金融科技快速发展的背景下,信息科技风险管理水平影响全行整体风险管理水平,加强信息科技风险管理能够有效提升风险综合管理和风险抵御能力,是完善全面风险管理体制机制、筑牢风险管理防线、确保信息系统和业务安全稳健运行不可缺失的部分。
二、农发行信息科技风险管理体系建设实践
农发行信息科技风险体系建设始终坚持党的领导,主动顺应发展大势,有效对接现代理念,稳步推进信息科技风险管理机制改革,取得了突出成效,为全行高质量发展保驾护航。
(一)推进信息科技风险管理模式的革新。根据监管要求,参考同业实践,结合农发行自身业务发展需要,建立持续、有效的信息科技风险识别、评估、监测、控制机制,形成了“全面、全程、全新、全员”的风险管理模式(详见表1),有力解决了“从无到有”的问题,有的领域在同业中实现了“弯道超车”。
(二)健全信息科技风险管理制度体系。制度是风险管理机制建设的重要保障。农发行信息科技风险管理制度体系从上向下分为办法层和细则层两个层级。《信息科技风险管理办法》从全行层面明确了信息科技风险管理目标、治理架构、管理活动等内容。确立以信息科技部门、风险管理部门、审计部门为“三道防线”的工作职责以及协同机制,定义了信息科技风险管理活动各个领域中的工作流程、内容及要求。《信息科技风险评估实施细则》等相关制度基于信息科技风险管理办法,具体定义了每项工作的实施参与方、实施流程和工作方法,确保风险管理工作有效落地,高效化解风险。
(三)完善信息科技风险识别和评估机制。风险识别和评估是信息科技风险管理的重要内容。农发行将监管要求、内外部审计发现的风险、同业风险事件等纳入信息科技风险清单,并建立信息科技风险库,定期更新。为更好识别风险,风险管理部门牵头至少每三年完成覆盖全行范围、信息科技管理各个领域的风险评估。针对机房搬迁、重要信息系统投产等特定对象开展专项评估。在开展评估过程中,农发行以缓释前风险和缓释措施为主要模型,采用二维矩阵对某一风险点的剩余风险进行评估,综合考虑风险容忍度的影响、风险处置的成本效益等因素,得出风险点的剩余风险等级,形成信息科技风险问题清单,开展风险控制工作(详见图1)。
(四)提升信息科技风险监测和控制能力。监测机制是风险防范的重要保障,农发行高度重视风险监测和控制体系的建设(详见图2)。根据识别的关键风险信息,不断补充监测指标项,完善指标要素,进一步优化信息科技风险监测度量指标体系,提升信息科技风险监测的精确性和前瞻性。按年度开展信息科技风险监测指标评估、评审、汇报与修订,保存过程记录,确保预警和风险提示的及时性。对风险监测数值变化趋势和异常情况进行分析,及时更新指标库。针对风险监测发现的问题,发布风险提示,启动应急预案,采取适当的措施控制风险。监测部门对风险控制措施的落实情况持续进行跟踪,确保相关部门按计划完成整改,消除风险隐患。
(五)提高网络安全和数据安全管理水平。过去五年,农发行狠抓网络安全和数据安全管理工作,安全防护能力逐年提升。建立了“网络安全纵深防御体系模型”,组织实施了互联网出口上收、态势感知平台、终端安全统一管控、保密检查系统等重点项目,补强安全能力基础。开展勒索病毒防护应急演练、数据安全和供应链应急演练、安全意识教育等专项工作。定期开展漏洞排查、问题跟踪、评估和调研等,识别和处置薄弱领域安全风险,推动解决一些短板问题。建成涵盖IT运维全流程的一体化运维平台,实现“横向到边、纵向到底”的一体化运维管理目标。进一步健全数据全流程管控机制,开展信息保护分类分级管理,严格防控数据泄露风险。
三、新形势下加强信息科技风险管理的思考与建议
(一)推进信息科技风险管理数字化建设。信息科技风险管理数字化建设程度极大地影响着银行风险管理的深度和广度。从技术发展趋势看,新一轮技术革新已经来临,特别是在数字金融时代背景下,农发行应按照“统一调度、集中管控、协同运作、资源共享”原则,有序推动信息科技风险管理系统建设。建立以“监、管、控、治”为核心的成熟完善的信息科技风险管控平台,实现风险监测、处置、跟踪、报告等全流程管理,提高监控的时效性和准确度。
(二)提升新兴技术风险防范能力。由于农发行在数字化转型过程中不断尝试新型技术,信息科技风险会以新的形态出现,传统管理模式无法满足变化频繁的风险场景,使得数字化模式下管理难度加大。应关注新兴技术的发展趋势和潜在风险,加强技术研究和创新,提升技术风险防范能力。例如,应加强对云计算、大数据、人工智能等技术的风险识别、评估和监控,分析潜在风险因素,确保技术的安全可控。
(三)构建有效的“三道防线”协同机制。“三道防线”是全面风险管理战略的核心,相互独立、相互制约、相互促进。农发行信息科技风险管理的“三道防线”虽已建立,但各道防线在信息科技风险管理的认知方面存在差异,在流程和操作层面,存在管理效率较低、管理流程不可控、沟通不畅、信息无法共享、定位不明确等问题。应将信息风险控制前移,把风险管控贯穿于信息流动的全过程,形成三道防线相互作用的联动机制,构建风险防控的立体防护网。
(四)推动信息科技风险管理向事前和事中转变。从农发行的风险管理体系运行情况来看,主要以事后处置模式为主,缺乏有效的事前、事中管理机制,存在信息科技风险管理和信息科技运行“两张皮”的情况。中央金融工作会议指出:“要严格落实‘四早’风险防控要求,建立风险防控的长效机制。”应强化第二道防线在IT项目全流程的风险管控参与力度。从定期开展IT风险专项评估逐步转变为“触发式”的评估方式,在事前、事中识别、控制风险。
(五)加强人才队伍及风险管理文化的建设。随着监管部门的要求不断提升及银行信息系统不断扩增,二道防线的人才队伍规模和专业性矛盾越发严重。应加强对信息科技风险管理人才的培养和引进,建立一支具备专业技能和丰富经验的信息科技风险管理团队,提升风险应对能力。同时,建立风险文化宣传机制,定期发布风险信息,引导员工自觉遵守风险管理规定,增强风险防控意识。