商业银行 | 商业银行信息科技风险管理—基于数字金融时代背景

作者：徐文洁 马瑾花 司文婷

2022年，原中国银保监会办公厅发布的《关于银行业保险业数字化转型的指导意见》明确要求，到2025年，银行业保险业数字化转型取得明显成效。数字化金融产品和服务方式广泛普及，数字化经营管理体系基本建成，风险管理水平全面提升。

 

2023年，中央金融工作会议明确提出“要加快建设金融强国”；强调“推动我国金融高质量发展”，“做好科技金融、绿色金融、普惠金融、养老金融、数字金融五篇大文章”。金融从业人员要坚定“金融报国”“金融为民”理念，投身加快建设金融强国的工作。

 

为提升信息科技风险管理驾驭能力，做好数字金融这篇大文章，本文就信息科技风险管理在上海农商银行的实践做一些分享和交流。

 

数字金融时代下的主要信息科技风险威胁

 

随着信息技术的飞速发展和智能设备的普及，银行业迫切需要进行数字化转型，帮助银行实现业务流程的自动化和优化，促进产品和服务创新，提升客户满意度。

 

从国内银行业的数字金融发展来看，国有大行起到了引领作用，大型民营银行更具备活跃的创新力，将人工智能、大数据、区块链等技术应用到不同的智能化场景，推进银行业务的多元化发展。区域性中小型银行也在积极探索适合区域特点的数字化路径，实现金融场景的布局，加大与流量平台、金融科技公司的合作，补上自身能力不足的短板。

 

但数字金融时代下的信息科技风险往往具有破坏性大、影响面广、隐秘性高、突发性强、专业性强、变化大等特点。银行业主要面临的风险威胁有如下几个方面：第一，信息安全风险。银行面临更多来自内外部的网络和数据安全威胁，如客户信息泄露、安全漏洞网络攻击、源代码泄露、非法授权等。第二，外包管理风险。对银行业务的需求在不断更新和变化，科技工作的体量和难度也在不断加码，同步加大了银行对外部厂商的依赖度，由此增加了外包相关风险，如核心能力丧失、信息泄漏、非授权访问、商业诉讼等。第三，新技术应用风险。技术创新和应用，如分布式架构、云计算、开源工具等，也给银行带来了新技术应用风险，引发系统或业务中断、数据错误、操作错误等。同时，中小银行自主可控的能力有限，在知识、资金和人才等多个领域面临风险挑战。

 

传统信息科技风险管理的挑战

 

数字化模式下管理难度加大。银行在数字化转型过程中不断尝试新型技术、外购模型及采用开放式合作生态以扩大业务范围，信息科技风险不断以新的形态出现，传统管理模式的灵活性和适应性可能无法满足变化频繁的风险场景。银行应根据不断变化的科技环境及时识别和分析潜在风险，完善评估机制。

 

信息科技风险管理专业人员严重不足。随着监管部门的要求不断提升及银行信息系统不断扩增，二道防线的人才队伍规模和专业性矛盾越发严重。缺乏人员必然导致风险管控工作难以全方位开展，缺乏专业技术人才及培训机制，必然导致风控人员缺乏对前沿技术（如大数据、区块链、人工智能、云计算）的理解，无法深入剖析技术应用中存在的风险。

 

“三道防线”缺乏有效的协同机制。“三道防线”是全面风险管理战略的核心，相互独立、相互制约、相互促进。但各道防线在信息科技风险管理的认知方面存在差异，在流程和操作层面存在沟通困难、定位不明确等问题。

 

信息科技风险管理的事前和事中机制欠缺。传统的风险管理体系主要以事后处置模式为主，缺乏有效的事前、事中管理机制，尤其是第二道防线在IT项目全流程的风险管控参与力度较弱，导致无法第一时间了解并分析风险动态从而进行实时干预、及时规避风险、防范于未然，风险管理工作浮于表面。

 

信息科技风险管理数字化建设程度较弱。目前，银行业的信息科技风险管理数字化建设普遍处于起步阶段，存在管理效率较低、管理流程不可控、沟通不畅、信息无法共享等弊端。同时，风险监控技术手段的缺失易造成监控不及时和精准度较差。信息科技风险管理数字化建设程度极大地影响着银行风险管理的深度和广度。

 

上海农商银行信息科技风险管理的探索和实践

 

信息科技风险管理模式革新

 

上海农商银行在信息科技风险管理方面不断积极探索和实践，基于行业发展和科技风险的特点，提出风险管理“往前走”，强调“风险视角”和“价值导向”，形成了全面、深入、专业、生态、动态、主动的管理模式（见表1）。

 

上海农商银行建设了一套全新的信息科技风险管理体系。该体系以制度体系为依据、以指标体系为基础，以风险评估为主导、以风险监测为助力、以风险缓释为目标，以数字化平台为工具，具有功能齐全、精细化度量、知识易转移、适应性强等特点（见图1）。

 

强化信息科技风险管理制度建设

 

上海农商银行明确信息科技风险管理目标、厘清组织架构（包括董事会、高级管理层、各职能部室）层级体系及工作职能、确定风险策略和风险偏好、规范信息科技风险管理工作流程。

 

       整个制度管理体系从上向下分为政策层、办法层和实施细则三个层级的制度。作为纲领性文件，《信息科技风险管理政策》主要明确信息科技风险管理的目标和原则，《信息科技风险管理办法》进一步明确“三道防线”的工作职责以及协同工作的机制，并规定了信息科技风险管理涵盖的各项工作内容，以及每项工作的总体要求和基本流程。《信息科技风险管理实施细则》相关的制度是结合实际工作开展按需制定的，明确规定每项工作的实施参与方及职责、实施目标、实施流程和工作方法，确保风险管理工作在全行有效落地。

 

构建信息科技风险指标体系

 

推动风险评估指标体系的量化发展

 

风险评估指标体系是识别风险和计量风险的重要工具，分为风险库、计量模型、计量指标三方面，构成以风险库为基础、评估方法为依据、计量指标为标准的风险评估框架（见图2）。

 

风险库表的建立是对信息科技治理、信息安全、信息科技风险管理、信息系统开发测试、信息科技运行维护、业务连续性管理、信息科技外包、信息科技审计八大风险领域中存在的固有风险进行有效识别的过程。通过风险库表的建立，可明确表述风险及产生的影响，在具体实践过程中，可根据评估场景对风险库表进行适当裁剪，开展一些专项的风险评估或风险排查。

计量模型是建立风险计量的评估方法，主要采用了剩余风险计量法对固有风险的风险等级进行评估，通过综合影响度和风险发生可能性分析，得出风险等级。

 

计量指标是在计量模型的基础上进行量化设置，由两部分组成。一部分是对计量模型本身进行参数设置，可结合风险偏好对影响度、风险发生可能性的权重和评分标准进行设置；另一部分是针对具体每条固有风险设置量化的评估标准。每条风险会预先设计控制有效性的检查点以及统一的得分指标，促使更精准地计算风险等级，有助于风险评估的知识转移，促进银行不同层级自行组织开展风险评估。

 

持续完善风险监测指标体系

 

风险监测指标体系是实现事前、事中控制的重要控制手段，从指标定义、指标计量、指标监测三个方面，构建出动态、分层的指标监测量化指标，通过阈值的设定及变化趋势来揭示风险（见图3）。

 

指标定义主要以风险评估为切入点，分析银行面临的关键风险，制定指标的属性和指标级别，指标可根据应用范围进行分层管理，如全行层、分支行层、子公司层等。

 

指标计量是采用量化的方式制定指标口径，并明确指标的采集频率和采集方式。根据采集频率和采集方式不同，分为动态指标和静态指标。动态指标适合具备自动化采集条件且变化频繁的数据，依赖于运维监控类平台进行底层数据的采集、清洗和分析，例如，CPU使用率、文件系统容量、交易成功率等运维类指标；静态指标适合时间跨度较长且对实时性要求较低的统计数据，主要通过人工填报的方式进行采集，例如，科技人员流失率、信息科技风险问题整改率、重大信息科技风险事件。

 

指标监测是通过设定阈值或制定预警规则，对采集数据和统计结果进行分析和风险分类，并联动风险管理的第一道防线进行风险排查及整改跟踪。同时，通过历史数据的积累，也可以为多指标关联的问题进行趋势分析。指标监测阈值或规则并非固定不变，会随着实际风险状况进行动态调整，以提高监测指标逻辑的敏感度。

 

深入推进信息科技风险管理实施

风险评估实施工作是经过多年实践和完善，逐步形成“三道防线”协同，采用由“面”至“点”的方式进行全方位的管理实施。改变传统第二道防线评估工作往往浮于表面、无法深入科技的困境，发挥第二道防线的风控力量，将风险评估落到细处。

 

“面”包括信息科技八大风险领域定期的全面评估和回顾。评估方式不局限于调阅资料、访谈等常规手段，可分场景地采用穿行测试等技术工具，更具渗透性地挖掘潜在风险。

 

“点”采用嵌入式的风险管理，包括各项风险审核、专项评估、风险排查等。信息科技风险审核将风险管控深入到项目建设全生命周期的重要环节，采用一、二道防线联动的方式开展，第一道防线配合第二道防线在项目建设过程中对风险进行监控和处置；专项评估针对重点风险领域深入开展；风险排查针对监管要求或风险事件进行排查，风险排查工作相对专业化更强，采用一、二道防线联动的方式，以第一道防线自查为主，第二道防线进行督促和后评估。

 

风险监测工作从由第一道防线统计和上报数据逐步转变为由第二道防线主动监控、动态采集数据并进行风险分析，与第一道防线联动，对发现的风险进行及时排查和整改，有效掌握风险动态，将风险管控往“事前”和“事中”前移。

 

开展风险监测数字化平台建设

 

上海农商银行在同业率先建设生产运营风险监控平台（见图4），有助于一、二道防线实时掌控行内重要信息系统的健康程度，形成“事前预警、事中管控、事后分析”的风险防控体系，让风险监测插上智能化、实时化、自动化的翅膀。生产运营风险监控平台主要实现以下三个主要功能场景。

 

实时监控管理及模型化监测。第一，梳理系统对于业务交易的支撑关系，实现对业务功能所关联的重要系统、主机等进行实时监控，用户可以通过运维监测指标的异常，快速定位系统存在的风险点及发生的故障影响范围。第二，健康分模型化计算。通过汇聚运维监控数据和信息，从风险管理视角出发，计算应用系统运行健康分，实时监控信息系统的可用性及对业务的支撑能力，发现潜在生产事件及故障风险，避免重大事件发生，同时也有利于平台监控机制及模型的持续完善。第三，容量趋势预测。能够基于业务指标、系统指标的历史数据进行学习，生成符合系统平稳运行要求的基线值，并且支持匹配周期性、季节性等场景。

 

智能告警管理。第一，通过底层的分析引擎提供的特征模型，可以对不同类型的监控指标提供智能预判，当采集的运行数据不符合底层分析引擎的预警模型时，进行实时告警。第二，分析引擎支持将相同、类似、可能相关的告警进行自动关联或合并，通过机器学习算法，自动化实现告警的压缩，并根据告警的多维度信息，对告警开始及恢复的情况、告警严重度进行判断。第三，对告警的发生率、重要性、误报率等进行多样性的统计分析，持续对特征模型及告警策略进行调优。

 

风险场景化分析及可视化展示。通过前台预设的监控模板及统计视图，对风险监测的结果进行综合展现，主要有以下四个方面：第一，全景应用墙。通过对各应用系统的健康度进行实时监控及历史回溯，实现对全行的系统级交易量及生产事件的统计展示，为管理层快速掌控信息系统的运行情况提供支撑。第二，单系统页面。通过全景应用墙对单系统进行下钻，为管理人员提供更深层次业务受影响范围的视图，同时也可作为技术人员定位故障点的有效工具。第三，生产运维中心。对运维过程中的告警、事件、问题进行可视化及分类展示，对告警时间分布、事件数量变化态势等进行感知，对系统及运维情况、风险趋势进行快速识别。第四，监控统计中心。设有系统风险热力图，支持以日、周、月的频率对系统风险度落点进行汇总统计，对所有纳管系统的风险度分布进行总体把控。

 

对未来的思考和建议

 

未来，信息科技风险管理可结合数字化转型和前沿的风控手段，从管理手段智能化、组织架构专业化等角度进一步开展探索和创新，同步强化信息科技风险文化建设。

 

加强信息科技风险管理数智化探索

 

信息科技风险管理数智化建设可以实现高效的协作化、科学的标准化、直观的可视化，加强“三道防线”彼此间的协同，风控理念和管理标准的统一，并为银行提供丰富的知识积累。

 

信息科技风险管理数智化构建应重点规划四大方面的功能：第一，“三道防线”的相互协作的流程规划、不同层级组织架构间（如：子公司、分支行）的相互协作的流程规划。流程设计应以管理增效为目标，遵循PDCA（计划、实施、检查、改进）模型设计理念，将功能模块有机地衔接起来。第二，风险评估模块的规划。风险评估应包含体系层和实施层两方面，体系层规划风险库、计量模型、指标设计的合理落地，实施层规划风险评估计划安排、评估情况反馈和风险结果自动计算，以及后续风险处置措施的整改计划、责任部门落实情况跟踪。第三，风险监测模块的规划。风险监测应包括数据采集、指标设置、预警规则设置、动态趋势、多人多面界面设计等规划，实现事前预警、事中控制的能力。第四，知识库的规划。智能检索“内外规”文件，提升知识转移能力。

 

提升信息科技风险管理组织的实力

 

在组织架构的设置上应将职能进一步细化，根据工作性质可细分为制度建设类、风险评估类、风险监测类、政策研究类、风险培训类。

 

在人员配置上，应扩大科技风险复合型专业人员的储备，根据专业领域细分，培养不同信息科技风险领域的专家级的风控人才，包括业务连续性管理类、外包风险管理类、信息安全类、开发运行管理类等风控专家，确保风控工作做“精”做“专”。同时，确保人员规模可匹配科技发展规模。发挥二道防线作为科技风险管理中枢的作用。

 

强化信息科技风险管理文化建设

 

健康全面的风险管理文化包括精神、制度、行为和物质四个层面的文化内涵，即以风险意识为基础，尊重制度，规范行为准则，形成风险价值。

 

信息科技风险管理文化的建设可从如下几方面着手：一是将风险管理文化融入企业文化，引导广大员工树立正确的风险意识，让员工有居安思危、危机防范意识，在工作中自觉养成良好的行为习惯，坚守底线原则，自上而下地形成统一风险认识；二是提供必要的培训和警示教育，形成浓厚的学习氛围，提升员工信息科技风险管理研究能力，强化风险意识，从专业性上了解风险、关注风险、杜绝风险；三是健全信息科技风险管理的考核评价制，通过考核制度有效传导风险管理压力，提升责任意识，相互协作，相互监督，有效落实各项规章制度，杜绝侥幸心理。

 

（作者单位：上海农商银行风险管理部，其中徐文洁系该部门副总经理）

 

责任编辑：张志敏