盛邦观察丨中小银行业金融机构信息科技风险管理现状(1)

发布时间:2020-04-27 11:53   来源:中国科技资讯    编辑:柒品
字号:

用手机扫描二维码 在手机上继续观看

手机查看

基于对当前银行业金融机构,尤其是中小银行业金融机构信息科技风险管理的现状较为深入的了解,盛邦安全将在本年度陆续发布针对中小金融机构信息科技风险管理现状观察的系列文章,旨在基于对中小银行信息科技风险管理整体现状的认知,提炼和分享当前行业信息科技风险管理体系建设面临的问题和良好实践,以期启发更多的行业思考和讨论。

本期讨论的主题是金融行业信息科技治理,将围绕《商业银行信息科技风险管理指引》(以下简称《指引》)第二章信息科技治理中的几个关键监管要求,分享当前中小银行信息科技治理的现状和行业内的一些卓有成效的实践。

《指引》中的要求一:商业银行法定代表人是本机构信息科技风险管理的第一责任人

理论上商业银行法定代表人(通常是董事长)是该机构所有事务的第一责任人, 但是商业银行业务复杂而繁琐,法定代表人关注的管理领域必然会有轻重缓急,如何让第一责任人真正关注和重视信息科技风险?

监管机构推动的信息科技监管评级是推动金融机构开展信息科技风险管理的重要制度保障,也是有力的“监管抓手”。我们在同中小银行客户沟通的过程中发现,监管评级虽然在一定程度上会促进机构的决策和管理层重视信息科技风险,但是管理层的意识仍然停留在保证“合规”的层面,目的是不让信息科技风险拉低机构整体评级。这种意识造成的结果是信息科技风险管理从顶层设计上是面向“合规”而不是面向“业务需要”,这样会造成机构的信息科技风险管理工作缺乏一个重要的推动引擎,就是“保障业务”。

推动决策层和高管层重视信息科技风险管理,首先要提升高层的信息科技风险管理意识。由于银行运营对金融科技的高度依赖,信息科技风险是可以导致银行业金融机构瞬间停业的风险因素,最近几年已经发生过多起因为信息系统故障或数据中心机房运维事故而导致的银行业务停摆事件,少则几个小时,多则几天,不仅直接影响业务收入,也给银行带来声誉、法律、合规等一系列间接风险。发生重大中断事件的机构也不可避免地面临罚款和高管撤职等监管处罚,给银行正常运营带来重大影响。

目前各级监管机构发布的风险提示,尤其是行业内重大的风险事件,很多时候并不能传递给银行决策层和高管层,这也是影响银行高层提升意识和更好决策的一个因素。行业内领先的银行业机构会借助行内信息科技风险管理相关沟通机制(如全行风险管理委员会、行长办公会、信息科技管理委员会等)及时准确地开展内外部信息的沟通,推动银行高层在信息科技风险管理领域的意识提升,对于同业中发生的重大事件组织专项研讨和临时组织扩大会议,用别人的“教训”警醒自己。通过采取这些活动,也可以从另外一个层面作为印证高层在信息科技风险管理领域履职和作为的证据,以便提供给监管和外部评估和审计机构。

《指引》中的要求二:应设立信息科技管理委员会

《指引》在董事会应履行的信息科技职责里明确要求,要设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

盛邦安全发现,几乎所有的中小银行业金融机构都设置了信息科技管理委员会,部分机构不仅在经营管理层,也在董事会下设置了信息科技管理委员会,并制定了相关的议事规则。但以信息科技管理委员会名义发起的专题会议普遍不是很多,会议频率也比较低。很多中小银行业金融机构的信息科技相关议题是通过行长办公会决议和审批的,“虚拟”机构信息科技管理委员会彻底变“虚无”了。一些外部机构开展的信息科技评估或审计,可能连一份信息科技管理委员会的会议纪要或者决议都找不到。

此外,监管机构在信息科技的一些专项监管指引或办法里明确要求,银行业金融机构要成立相关专题的管理委员会或者领导小组,涉及的专题包括但不限于业务连续性管理、信息安全管理、应急管理等。部分中小银行在设置相关专题委员会方面普遍存在滞后和不到位的情况;滞后的原因是,各个专业委员会或者领导小组成员基本都是银行的中高层成员,再分别设置会导致委员会过多,同时会议举行的频率又不高,因此没有得到应有的重视。严格来说这存在合规的风险,尤其是如果发生类似相关事件或者事故,这个责任就要管理层来承担了。

针对类似顾虑,有些中小银行在这方面有些善巧的方法,即按照合规要求或者业务需求发文成立监管要求的相关委员会或者领导小组,明确规定哪些议题必须通过委员会组织商议,同时在相关的议事规则中明确可以同其他会员或领导小组共同组织联席会议,一个会议可能会涉及多个相关专题,会后形成联席会议纪要;这样既保证了合规,又解决了多个委员会或领导小组分别牵头组织专题会议的问题。

《指引》中的要求三:商业银行应设立首席信息官(CIO)

《指引》第八条中要求商业银行应设立首席信息官,直接向行长汇报并参与决策;并明确了首席信息官的职责,包括但不限于参与本银行与信息科技运用有关的业务发展决策;确保科技战略与业务战略同步;负责建立信息科技部门;确保信息科技风险管理有效性等。

在中小银行,明确设立了首席信息官的金融机构占比很小,大多数中小银行业机构还是由传统的(副)行长分管的模式,而分管信息科技管理的高层领导,绝大多数并不具备信息科技的背景,这样《指引》要求的对于首席信息官的职责的落地就很难达到理想的治理效果,信息科技建设停留在信息科技部门的高度。

此外,已经设立了首席信息官的中小金融机构通常存在两个情况:一是首席信息官并不直接分管信息科技部门,很多时候成为一个“咨询”的角色,并不具备推动和把握信息科技建设的权限,也并不能实质性协调业务和科技的关系;二是,首席信息官虽然负责信息科技部门的一部分管理工作,但是和信息科技部门负责人存在管理边界和职责分工,在具体工作的协调和目标的一致性方面存在分歧,或者存在各自为政的现象,尤其是在CIO和分管科技的行长角色并存的情况下。

我们发现,设立了首席信息官职位并且首席信息官分管信息科技部门或兼任信息科技部门负责人的银行业金融机构,在开展信息科技规划和推动信息科技建设过程中,发挥科技和业务协调的桥梁作用的机制就会顺畅很多。同时,首席信息官承担了科技规划支撑业务规划的战略任务和职责,信息科技部门的执行力将大大提高。

《指引》中的要求四:商业银行应设立或指派一个特定部门负责信息科技风险管理工作

《指引》第十条规定商业银行应设立或指派一个特定部门负责信息科技风险管理工作。信息科技风险管理部门承担的信息科技风险管理工作,归纳起来包括协调制定信息科技风险管理策略、提供信息科技风险管控建议、实施风险评估、问题整改跟踪、日常威胁监控等核心职能。

首先,金融机构要制定一个特定的部门来负责信息科技风险管理,至于这个部门设在银行的科技部门还是风险管理部门,在监管要求中并没有明确,存在执行的弹性;这个弹性从监管要求的直接汇报对象中也能看出来,就是直接向首席信息官或首席风险官汇报,监管为机构留下了执行过程中的可选项。

同时,我们观察到一部分银行业金融机构把信息科技风险管理部门设置在信息科技部,由单独的部门和岗位来承担这部分职责,或者由负责安全管理的部门来承担信息科技风险管理的职责;这种设置更多的工作重心是面向监管合规层面的工作落实;这种机制的优点是风险管理没有脱离一线业务,弊端主要是信息科技风险管理工作的开展会或多或少缺乏一定的独立自主性。

从行业实践来看,大多数中小银行业金融机构把信息科技风险管理工作职责分配给风险管理部门承担,这也符合银行业金融机构“三道防线”的顶层设计原则,做到了咨询、监督、实施等职责的分离;目前出现比较多的一个机制是“一二道防线融合”,风险管理部门将信息科技风险管理条线派驻到信息科技部门开展工作,向风险管理部门和信息科技部门双线或单线汇报,这种机制对于贴近信息科技部门业务开展信息科技风险管理、与时俱进的了解当前行内金融科技的新技术和新架构并研究相关风险控制机制提供了环境和土壤;不脱离一线业务,对于提升信息科技风险管理能力有更大的帮助。

对于信息科技风险管理部门的岗位设置和人员配备,对于中小银行业金融机构一直是一个比较大的挑战,需要既精通风险管理体系,又有比较强的信息科技背景的复合型人才;要跨部门和跨岗位沟通,对沟通协调能力也有一定的要求。这样的人才在行业内比较紧缺,需要金融机构通过时间去培养和积累或者从外部引入。

人才的积累和培养依赖于金融机构的决策者和高层管理者的高度重视。从合规的角度看,很多银行设置了信息科技风险管理岗(大多是从信息科技部门选择适合人员跨部门调动的方式),但是在实际工作中这些岗位又存在兼职兼岗的情况,对人才的培训和培养也缺乏相应机制;这从一个侧面反映了部分管理者对这个领域还是没有引起足够的重视。我们发现在人才培养方面,很多银行已经针对性地采取一些措施,例如信息科技风险岗位参加职业认证考试,促进一线技术部门的技术交流,了解当前的技术演进和具体风险管控机制,参加外部机构组织的行业研讨和交流,加入行业协会获取相关培训和资源等。

金融机构信息科技风险管理体系的建设和运营非一朝一夕之功,是需要信息科技风险管理专业人员在监管机构的引领和监督下,在金融机构自身业务安全稳定运营的内需推动下,持续投入和建设,不断优化,不断进步。

本文内容来自盛邦安全对中小金融机构信息科技风险管理现状的观察与调研,难免管中窥豹,其中不全面或不当之处欢迎大家交流指正。针对中小金融机构信息科技风险管理现状观察的系列文章将陆续发布,敬请期待。

 

图说天下

生活态度
互联网
网络通信
数码
人工智能