现代商业银行运营高度依赖信息技术，流程银行、电子银行、供应链金融、电子商务等业务模式创新更是信息技术与金融业务结合的产物。信息技术在银行应用的越广泛、越深入，如影随形的信息科技风险也就越大，而且随着信息系统规模和复杂度的增加，信息科技风险的扩大和积聚有呈指数性增长之势，银行信息科技风险不再是星星点点的局部问题，而是涉及信息科技的方方面面，不仅包含于信息系统自身的开发、运行之中，而且始于金融产品和业务流程设计之初，信息技术规划、架构、技术方向选择之时，并伴随着产品和服务交付的整个生命周期。近年来，商业银行切实感受到来自信息科技风险的挑战和压力越来越明显，切实体会到信息科技风险管理的重要性，已开始用全面风险管理的策略应对IT风险管理面临的挑战，不断探索和完善信息科技风险管理框架和方法。

一、信息科技风险管理面临的挑战
　　当前，银行信息科技风险管理面临的挑战主要来自四个方面。
　　一是，来自信息科技风险自身特点。其风险涉及面广，诱发点多，业务设计和技术架构不合理、内部操作失误、外部欺诈攻击、设备失效、外部供应商管理不善等都可能造成风险。首先，风险因素蕴含在信息技术设计、开发、运维的整个生命周期之中，如因技术选择不当导致系统性能不足风险(2012年春节期间铁路售票系统的不良社会影响)；因开发漏洞缺陷和规则错误、控制机制设计不严谨导致的交易堵塞、停顿，甚至账务错误；因日常运维操作失误、变更失误造成的系统大面积故障等。其次，信息系统参数化程度越高、灵活性越强，客户自我服务程度越高，银行业务人员和外部客户误操作的概率就也越大，越容易造成账务错误、交易拥堵等问题，风险防不胜防。
　　再次，信息技术基础设施环境具有低频高损的特点，一旦出现问题影响巨大。最后，随着互联网和移动支付的快速发展，外部欺诈、攻击和信息泄漏等风险越来越严峻。
　　二是，来自业务模式创新的要求。一方面，银行金融产品和流程创新基于信息技术与业务操作、管理理念的结合，如电子银行、供应链管理和融资、快捷支付以及金融电子商务平台等，在产品创新的同时带来新的风险； 另一方面，银行具有信息技术应用领先型特质，常常率先利用信息科技加强内部控制，利用信息技术控制业务操作风险，即将人控转变为“机控” ，增加了系统的复杂性，相应地加大了信息技术风险。
　　三是，来自对供应商的依赖。
　　我国信息技术产业尚处于“学习、消化”阶段，难以为银行提供商业化的成熟软、硬件产品，尤其缺乏适应我国银行大客户量和大交易量特点的软、硬件产品，导致银行业核心系统几乎完全依赖几家国外信息技术供应商，风险可控性较差。
　　同时，随着我国经济的高速发展，银行业务量快速增长，日均交易量和峰值时间单位交易量屡创业界新高，对信息系统的承受能力提出挑战，出现某些IT产品自身缺陷不断暴露，供应商响应延迟的情况。这些问题导致了银行IT风险的不可控和不确定，既影响了我国银行信息技术的选择，也导致IT成本的不可控，更威胁到银行业务连续性。
　　四是，来自监管要求的合规风险。监管部门从维护国家金融稳定，促进金融行业健康发展，代表公众监督银行服务质量和保护客户利益出发，高度重视对商业银行信息科技风险的监管，银监会相继颁发了《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》，明确“商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实” ，明确了董事会、高管层的科技风险管理职责，同时对信息科技全流程提出了明确的管控要求。高标准的监管要求既明确了商业银行信息科技风险管理要求，推动商业银行信息科技风险管理能力提升，也给商业银行信息科技合规管理带来压力。

二、信息科技风险管理策略及应对措施
　　信息科技风险涉及方方面面，信息科技风险内容错综复杂，因此，必须以全面风险管理的策略做好信息科技风险管理。首先，需要将信息科技风险管理纳入企业全面风险管理框架，明确信息科技风险与企业业务发展的关系，明确信息科技风险管理的目标、组织和流程，让信息科技风险管理融入企业日常管理和运营中。其次，遵循风险管理的规律，建立信息科技风险识别、评估、控制、监控、报告的具体流程，引进借鉴国际信息科技风险管理框架，丰富完善信息科技风险管理的内容，加强业务连续性体系建设，完善安全技术防护体系，推进信息科技风险管理的体系化建设。再次，结合信息科技的特点，强化信息科技风险管理中科学技术的运用，以科技的手段提升信息科技风险管理的专业化水准。最后， 贯彻“以人为本” 的管理理念，加强企业信息科技风险教育，推进企业信息科技风险文化建设。
　　遵循上述策略，建设银行信息科技风险管理主要采取了以下措施。
　　1．将信息科技风险管理纳入企业全面风险管理框架在组织结构上，确立董事会、高管层、信息技术委员会负责信息科技风险战略和政策制定、治理结构建立、资源配置等工作，明确IT风险管理机构在全行风险管理组织体系中的定位，明确各业务条线、各业务支持保障部门、各级机构的IT风险管理职责，并参照国际先进银行做法，构建了信息技术管理部门、风险管理部门、各前台业务条线、各中后台业务支持保障部门、各级机构必须充分参与的全行IT风险管理的“三道防线” ；在政策层面，将信息科技风险纳入全行风险管理政策及风险偏好；在流程方面，明确信息技术管理部门作为IT风险管理的主要执行者，向分管行领导和首席风险官实行双线汇报，每周报告信息科技风险动态和重点工作执行情况，每月开展信息科技事件案例分析，指导完善政策制度，推动管理流程改进和重要问题解决，从组织、政策、流程方面切实将信息科技风险纳入全面风险管理框架。
　　2．遵循银行风险管理基本原理，结合信息技术管理方法和流程，着力提升信息科技风险管理的规范性和专业性针对以往信息科技风险管理主要依靠技术解决的问题，近年来，建设银行在企业风险管理政策的指导下，着力建设信息科技风险管理政策和制度，开展风险识别、评估，按照明确的风险偏好确定风险转移、分散、控制和接受策略，规范报告流程，开展信息科技风险场景分析和损失计量。同时，结合信息科技管理领域ITIL、COBIT等国际最佳实践，建立信息科技风险评估、检查和控制方法，使信息科技风险管理逐步步入程序化、专业化。
　　3．抓住信息科技主要风险，大力完善业务连续性管理框架、流程和方法一是建立规划与规章制度，先后发布了业务持续性管理整体规划和实施方案、业务持续性管理政策和指引、突发事件应急响应及恢复管理指引、信息系统灾备等级管理规范、信息系统灾备管理实施细则等政策和制度，明确了业务持续性管理的规划、政策、组织架构、职责和流程。二是开展业务影响分析，通过划分业务功能，总结与评估业务功能之间的关系、业务中断导致的财务和非财务损失、业务最大可容忍中断时间，识别业务中断随时问推移的影响，确定关键业务功能、业务恢复优先顺序和级别，为信息系统高可用性、恢复、灾备策略和预案制定提供依据。三是重检恢复策略和预案，对全行重要信息系统应急预案进行评估，梳理风险因素，制定场景策略。以风险分析为依据，通过对风险及威胁进行梳理，形成了较为全面的风险事件场景，并根据场景制定了分级分类应对策略，修订应急预案，提升应急管理的规范性和有效性。四是开展综合性应急演练，选择典型信息系统，组织总行、分行、外联单位，业务和技术共同参与综合演练，对演练过程进行评估、分析。
　　五是建立应急恢复的后评估制度，由独立的专家小组对应急作业过程进行评估，分析业务连续性策略和应急预案是否得到执行、效率如何以及未生效的原因，进而修订和丰富技术应急急预案，改进操作流程。
　　4．夯牢基础，建立严密的企业级信息安全防控体系目前，互联网攻击、内部盗取和泄露客户以及其他银行敏感信息，进而盗取客户资金的风险不断加大，单项或单个面的信息安全保护措施已经不足以保护信息安全，必须建立一整套企业级、立体的，技术手段和管理措施并举的完整保护体系。一是，建立统一的安全策略和安全技术架构，从银行、客户、第三方合作伙伴三个层面，针对物理环境、网络、系统、应用、终端和数据等安全保护对象，采取身份认证、访问控制、安全加密、系统加固、监控审计、防泄漏、防恶意代码、备份恢复等安全技术措施，以应对各种安全威胁，防范信息科技风险。二是，加强信息安全管理，落实信息安全责任制和“一把手”负责制，建立和完善信息安全规章制度，建立信息“负责人”制度，明确信息的安全保护级别和使用范围，加强检查、监督和问责。三是，针对电子银行、互联网应用以及云计算等新型攻击手段频出的特点，加强新安全防护技术的研究和储备，加强监控和应急响应，以应对突发的各种信息安全事件。
　　5．持续优化，推进量化lT风险管理
　　唯有量化才能考核，唯有考核才能促进管理措施落地。为此，建设银行不断完善IT风险管理指标，推进IT风险量化管理。一是，建立企业级信息科技风险关键指标，将其纳入企业操作风险关键指标体系，通过关键风险信息，使董事会和管理层掌握和了解全行操作风险总体状况。二是，建立信息技术条线内部的信息科技风险管理指标，开发信息技术操作水平协议和供应商支持评价指标。信息系统的安全、稳定运行是银行内部科技规划、设计、开发、运维的各责任单位和各个环节以及外部供应商共同目标，基于此，建设银行开发了以客户为核心、以风险管理目标为导向、以流程控制为基础的“内部操作水平协议”绩效考核系统，制定了事件、问题、变更、故障、容量、发布、可用性、服务检验与测试、信息安全各岗位的操作评测指标，通过定期对信息系统运行过程中的问题进行回顾、分析，及时发现风险点以及流程控制和技术控制盲点，提出改进措施。对供应商制定了责任范围内的服务水平评测指标，纳入合同条款或作为评价服务的依据，实现对内部机构、岗位和供应商的量化考核。三是，建立针对机房环境、信息系统、信息系统业务和技术参数、信息安全等信息科技风险评估检查模板，定期开展内部风险评估，对新建设的重要信息系统由风险管理部门组织进行独立的业务和技术评估，做到最大限度的“知风险”。四是，开展信息科技风险场景分析，定义各类生产事件及其可能产生的损失，为损失计量乃至资本计量提供基础数据。
　　6．以人为本，强化信息科技风险文化建设支付领域监测统计分析，30％以上的交易风险是由于客户信息科技风险意识不足造成的；银行业内部信息科技风险统计分析，由于主观人为因素引起的操作风险占比达N83．06％ 。可以说， “人”是信息科技风险管理中最重要的因素，建设银行长期以来在信息科技风险管理中做到员工合规管理和风险培训两手抓。加强合规管理，以流程管理引导员工做正确的事，以严格制度促使员工规避风险。加强信息科技风险知识培训，培训开发人员安全编码能力，提高软件安全质量；编印员工信息安全知识手册、信息安全实务手册及相关课件，开展全行信息安全知识竞赛，传递信息安全基础知识和基础技能，提高员工安全应用信息系统的能力；加强银监会风险提示宣传和内部风险警示教育，系统整理业界信息安全事件，编制信息安全事件警示录，以典型事件教育、提升全员信息安全意识，以常规化的培训教育，促进信息安全管理文化的建设，营造“人人参与，全员共进” 的良好信息安全管理氛围，保障信息系统的安全运营。
　　信息科技风险管理是一项长期的任务，是一项在实践中动态优化的工作，下阶段，建设银行将根据内外情况变化及管理得失，进一步完善信息科技风险治理结构；持续、深入开展重要基础设施和信息系统的风险评估，明确风险容忍度，完善风险应对策略；加快推进对信息科技风险的计量，加强风险监测；优化应急和灾备体系框架，加快灾备基础设施建设，切实提高业务持续性管理能力；加强新技术研究，提高自主能力，制定供应商管理战略，降低对国外供应商的依赖；持续推进全面信息科技风险管理体系建设。

　　汇韬科索企业咨询（北京）有限公司（www.gscoso.com）是国内知名企业管理咨询公司之一，咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构，服务于跨国公司、中央企业、混合所有制等各类型企业，开展落地、合规的咨询服务和企业内部培训，团队成员具有CIA、CPA、CCSA、CISA等专业资格，具有丰富相关经验。欢迎与我们联系沟通，我们将免费提供专业、可行的咨询建议。
　　风险导向内部控制网（www.china-rmic.com）由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办，专注于风险管理与内部控制，汇聚各方专长，注重理论与实践相结合，积极推动风险管理与内部控制在国内各行业各领域的实践与提升。
【联系方式】
电话：010-68827610
电子邮箱：gsc@gscoso.com
咨询QQ：421183643
地址：北京市石景山区实兴大街科技园3号楼8层