中国银行信息科技部总经理 刘秋万
当前,传统商业银行正面临着宏观经济转型、金融市场改革、全球化进程加速、客户需求更加复杂多元、跨界竞争不断加剧的生存挑战与历史性发展机遇。从金融的本质而言,商业银行的核心价值在于经营“风险”、提供基于“信用”的金融服务。信息技术的蓬勃发展,正为商业银行发挥自身优势,深度挖掘数据价值,迎接数字化时代挑战,创造了难得的历史性机遇。随着信息技术与金融的深度融合,金融科技(FinTech)逐渐成为一门新的学科,信息科技已成为现代银行创新发展的催化剂,推动商业银行进入科技引领的新时代。信息科技获得广泛深入应用的同时,银行业也面临着巨大的信息科技风险,一旦信息科技出现问题,轻则影响银行业务运营和客户服务,严重时可能危及银行的生存和发展,甚至会影响国家安全和社会稳定。有效防范信息科技风险,已成为维护国家金融安全、保障商业银行安全稳定运营的重要任务。人民银行和银监会等监管部门高度重视银行信息科技风险管控,先后发布了多项法规和一系列管理指引,要求银行加强IT风险管控水平。
中国银行高度重视信息科技风险管理,近年来进行了一系列有益的探索与实践,从传统的信息安全管理升级为全面的科技风险管控,随着管理范围的拓展和深入,管控的难度也越来越大。中国银行根据监管指引,结合自身实际情况,逐步建立了科技风险管理体系,以下是关于信息科技风险管理的一些思考和实践。
商业银行信息科技风险概述
根据《商业银行信息科技风险管理指引》(银监发【2009】19号),信息科技风险是指“信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”。根据定义,银行信息科技风险主要来自四个方面:一是自然因素导致的风险,如:因地震、台风、水灾等自然灾害造成银行系统服务中断;二是人员违规或错误操作造成的风险,如:网络攻击、泄露敏感信息、冒用他人身份登入系统等事件;三是技术原因带来的风险,如:软硬件BUG、设备老化等;四是因制度缺失、内控制衡机制不完善等管理缺陷导致的风险,如:安全检查与BCP演练缺失、外包管理不到位等。值得注意的是,在实际工作中,信息科技风险事件往往是上述多种风险因素相互叠加、共同作用的结果,例如:黑客利用系统漏洞植入木马病毒盗窃客户信息的事件,不仅涉及到技术漏洞(感染病毒)和人为因素(黑客入侵),也可能与管理缺陷有关(客户信息管理不善)。
《商业银行信息科技风险管理指引》将信息科技风险划分为IT治理、IT风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、IT审计等领域,该指引对各领域风险管控工作提出了明确要求,并强调商业银行信息科技风险管理不只是信息科技部门的事,而需要董事会、管理层、各部门、各级机构的直接参与,齐抓共管才能取得实效。
IT风险的特点及其管控难点
商业银行信息科技风险具有以下四个特点:一是全局性。信息技术已经渗透到商业银行的每一个角落,IT风险贯穿于各级机构、各部门和各条线的管理和业务流程之中,IT风险是客观存在的,需要正确认识和科学管理。二是隐蔽性。科技风险如同长期潜伏在人体内的病毒,一般情况下并不会影响日常的运转,但随着内外部环境的发展和变化,如果不采取风险缓释措施,可能会衍生风险事件。三是突发性。信息科技风险是唯一能够导致银行瞬间瘫痪的风险,信息科技风险事件往往伴随着自然环境的改变或人的主观错误而发生,例如地震、火灾、网络攻击等,具有一定的偶然性,很难预测,一旦发生就可能失去控制、迅速蔓延。四是灾难性。由于信息科技风险的普遍性,风险事件的影响范围和后果也各不相同,一些全局性的重大科技风险事件往往造成服务中断、资金损失和客户流失,甚至可能导致机构倒闭等严重后果。
信息科技风险的上述特点,使商业银行在防范信息科技风险时面临着以下三个难点。
第一个难点是“三道防线”的有效协同。“三道防线”是现代银行全面风险管理战略的核心,承担信息科技风险管理的“三道防线”是一个整体,每一道防线都不是孤立的,而是相互独立、相互制约、相互促进的关系。“三道防线”以科技治理、内控机制和管理流程为载体,以企业风险文化和员工信息安全意识为保障。第一道防线需要重点关注的问题是科技风险管理的全面性,通常容易疏忽的问题有:信息安全政策在基层单位的落实、业务合作与业务外包中的信息科技管控等。第二道防线一般由商业银行的内控或风险管理部门承担,第三道防线一般由审计部门承担,容易出现的问题是对IT风险管控的专业性不足。过去,商业银行通常将科技风险纳入操作风险进行管理,随着银行信息科技的飞速发展和广泛应用,传统的操作风险管理方法和工具已经难以适应信息科技风险管理的需要。第二、三道防线也需要专业化的信息科技人员和管理工具,才能承担信息科技风险管理的主体责任,与第一道防线部门相互制约、相互促进,有效落实商业银行全面风险管理战略。
第二个难点是风险文化建设和安全意识的提升。人永远都是风险管理最为关键的因素,所有的风险管理策略、制度和流程最终都需要通过“人”才能发挥作用。商业银行的风险文化是企业文化的重要组成部分,一般由风险理念、制度和知识三个层次组成,其中风险理念是风险文化的核心,与制度、知识相比,具有更深刻的影响。建立良好的企业风险文化和敏锐的信息安全意识是长期、渐进的任务,非一朝一夕之功,只有不断加强每一位员工的主人翁意识、责任承担和安全意识,使风险理念入脑入心,才能从根本上有效遏制风险,风险管理体系的作用才能得到有效发挥。
第三个难点是科技风险的计量与监测。信息科技风险不是一成不变的,它会随着银行业务的发展、技术的进步而变化,即便是相同的问题,在不同的系统环境、业务场景会产生不一样的风险。商业银行应根据当前的业务环境和科技状况,分析存在隐患的区域,评价风险对业务的潜在影响,确定风险防范措施及优先级别,并通过建立持续的信息科技风险计量和监测机制,努力将风险控制到可以接受的范围和程度。尽管信息科技风险计量和监测都是比较困难的,但对信息科技风险实施“量化”管理,是商业银行风险专业化和精细化管理的必然趋势。
根据信息科技风险特点,商业银行应将信息科技风险纳入全面风险管理体系进行专业化管控,在风险偏好与风险容忍度设定、风险识别、评估、处置、监测、报告等环节与业务部门充分沟通融合。信息科技风险管理并非一个时点的工作,而是一个持续改进的循环流程:通过全面性风险识别、专业化风险评估、定制化风险处置、实时性风险监测与报告等环节,不断更新信息科技风险库,并根据专业性的评估结果更新关键风险监测指标,持续改进并提高“人”对信息科技风险的认知水平和风险事件的应对能力。
中国银行信息科技风险管理实践
中国银行结合IT风险管理的实际需要,按照监管机构要求,在信息科技风险管理方面进行了积极探索和实践,逐步建立了一套适合中国银行特点的信息科技风险“量化”管理体系。经过多年努力,已建立起以定量指标为基础,以风险监测为主线,以风险缓释为目标的信息科技风险量化指标管理体系。整个体系采用“三步走”方式落地实施:第一步,建立适应中国银行特色的科技风险量化指标管理体系;第二步,全行各层面、各部门对指标管理体系的有效性进行验证,以“风险管理、人人有责”的理念动员全行人员对体系进行持续改进;第三步,建设全行一体化的量化指标管理平台,实现量化指标的自动化收集、汇总、分析、报告及数据质量自动校验等功能。通过“三步走”战略,有效提升全行信息科技风险管控水平。
1.建设风险量化指标管理体系,夯实风险监测基础能力。信息科技风险量化指标管理体系建设,旨在全行范围内建立涵盖信息科技决策层、管理层和操作层的多层级关键风险指标库,以及配套的指标收集、分析和监测机制,以夯实信息科技整体风险监测基础。在具体实施上,从信息科技关键风险基础指标库、信息科技风险高阶指标库及指标管理机制三方面开展,形成完整的信息科技风险量化指标管理体系。以全面风险评估为切入点,根据评估结果识别关键风险,针对关键风险建立监测指标,以此实现全面信息科技风险监测,不遗漏任何一个能够“引发重大疾病”的风险点。图1为工厂风险类别实例。
图1 风险类别实例
参照全面风险管理理念,将指标管理层级分为三层,即部门层/分行层、全行层及高级管理层。在部门层/分行层指标建设中,所有基础指标监测职责被分配到总行及各一级分行相应部门;对于跨机构指标、业务相关指标、以及和监管重要要求相关的指标,作为全行层指标由总行信息科技风险牵头管理部门进行深度管理。从总行深度管理的全行级指标中抽取某些类型指标,按照一定规则组成高阶指标,供高级管理层使用。三层指标管理层级关系如图2所示。
图2 指标管理层级示意
在指标层级确定后,采用自上而下和自下而上相结合的方式设立高阶指标。自上而下方式为,根据全行科技战略规划以评估分析管理层最关注的风险管控领域,进而确定相应的高阶指标,如系统稳定运行能力、业务持续运营能力、安全可控能力、外包风险管控能力等,并将这些高阶指标层层向下拆解为基础指标。自下而上方式为,统筹评估所有基础指标的关联关系,将能够反映某一领域风险水平的指标归结为一类指标,进而一层层组建成高阶指标。图3以“系统稳定运行能力”高阶指标为例,简述了高阶指标和基础指标的关系及展示方式。
图3 高阶指标和基础指标关系示例
为保障整套信息科技风险量化指标管理体系的有效运转,中国银行建设了相应的管理机制,明确了信息科技风险管理组织架构、职责、管理要求以及工作流程。
在量化指标管理办法和实施细则中,明确了指标生命周期管理,以及指标监测和分析管理流程。其中,指标生命周期管理包括:指标的新建、变更、废止和重检流程及管理要求;指标监测和分析管理流程包括总行、分行及全行的指标监测、分析、报告流程和管理要求。同时,为确保指标报送工作的规范性,并减少各部门的报送工作量,明确了指标监测和分析的各类模板,包括总分行各部门使用的指标数据收集、监测和分析报告模板等。
2.全面实施量化指标体系,持续监测、评估和改进。通过开展信息科技风险量化指标体系建设,在总行层面评估并分析了近600条科技风险,设立了240余项监测指标;在境内一级分行层面评估并分析了近400条科技风险,设立了60余项监测指标。为有效验证此套体系的完整性和可用性,为全行推广打下扎实基础,于2015年在总行三个部门及两家分行进行试运行,并于2016年正式推广到全辖,经过一年多的运行,取得了以下效果。
一是提升了信息科技风险管理的力度和深度。根据量化指标管理体系试运行情况进行了重检,重检后全辖共设置了200余个关键信息科技风险量化指标,总分行信息科技风险管理部门通过及时统计指标数值,监测指标变化,可有效监测全行信息科技风险。通过让风险可视化,可量化,可监测,有效提升了IT风险管理力度和深度。
二是提高了风险监测的精准性。指标管理体系对每个风险点均通过相应的定量指标进行监测,且分别针对容忍、干预和预警区间设置了阈值,监测指标数值可真实反映出风险水平,屏蔽了人为主观判断,有效提高了风险监测的直观、准确及科学性。
三是提高了风险监测和缓释工作效率。每个量化指标均明确了相应的总分行责任监测部门,对于部分重要风险指标还定义了双层监测机制。当风险监测指标达到阈值时,相应监测部门能够及时发现并启动风险处置工作,有效提高了风险监测和风险缓释的工作效率。
四是提高了管理层对科技风险的掌握能力及决策水平。高阶指标报告数据依托于各定量指标基础数据,可帮助管理层一目了然地了解关键科技领域的风险管控水平,使高层管理人员更加关注风险管理过程,更加有“抓手”推动信息科技风险管理,提升了科技风险管理科学化决策水平。
3.建立风险量化指标管理平台,实现IT风险管理流程自动化。在信息科技风险量化指标管理体系建设过程中,中国银行将整套体系的方法和管理机制整合形成IT风险量化指标管理平台需求,同步开展了平台建设,旨在实现科技风险量化指标的自动化管理,即自动化的指标数据收集、自动化的指标监测和分析、自动化的风险预警和提示。
根据规划,该平台主要由三部分功能模块组成,一是核心应用功能模块,实现基础指标库维护、指标新建、指标变更、指标废止、指标监控和分析、指标监测报告及高阶指标管理的功能;二是应用支撑功能模块,实现机构管理、部门管理、用户管理、角色管理、权限管理、日志管理、参数管理、通知管理等功能;三是风险展现功能模块,实现包括指标统计、风险统计、风险趋势分析、风险地图、高管驾驶舱等功能。其中,“驾驶舱”实现了信息科技风险状况、风险监测指标的集中、动态展现,可以为管理层决策提供全方面的数据支撑。目前,中国银行正结合量化指标管理体系推广经验,对该平台进行持续的优化和完善。图4 为中国银行指标管理平台高管驾驶舱示意图。
图4 指标管理平台高管驾驶舱示意
4.持续优化风险量化指标体系,适应金融技术的快速发展变化。信息科技是金融行业生存和发展的根基,信息科技新技术日新月异,中国银行信息科技风险管理体系必须随着新技术的进步和内外部环境的变化不断探索、实践和优化。一方面需要与时俱进,研究新技术发展和运用带来的信息科技风险形势变化,根据新技术特点以及实际应用落地的情况,根据内外部安全形势的变化和监管部门的新要求,定期重检、修订、增减风险指标,及时调整指标阈值,持续完善风险量化指标体系,使之更符合国家和监管部门的要求,更符合中国银行的风险偏好。例如:研究增加大数据、云计算、区块链等新技术的风险量化指标,及时反应新技术、新平台、新运维模式下的信息科技风险状况。另一方面,利用新技术提高信息科技风险管理自动化水平,将新技术运用到信息科技风险管理工作中,利用云计算、大数据等和人工智能技术进行风险数据归集、挖掘、分析和建模,开展安全态势感知及风险趋势分析,用智能化手段实现风险预警和辅助决策。