• 快捷搜索
  • 全站搜索

商业银行IT风险管理三大挑战与应对

2014-11-13 11:12:29作者:中国工商银行股份有限公司数据中心(北京)专家 张晓丹编辑:金融咨询网
商业银行IT风险管理(信息科技风险管理)常谈常新,而从IT风险管理与内控相结合的视角进行剖析并提出解决方案,却不多见。本文属于理论与可操作性兼具,细节显功力。

        在各IT子专业研发协作方面,各IT子专业研发部门一方面配合IT风险二道防线开发投产IT风险管理流程处理系统,并在各自子专业监控管理系统中实现各种自动化的风险检查、分析、挖掘等功能。另一方面,充分发挥自身专业优势,配合二道防线对本专业领域内各级运行单位(数据中心和一级分行)的技术规范执行情况、重要变更方案和应急处理方案进行有效性风险检查。

        在此阶段,IT风险二道防线工作主要由总行IT部门单独设立的IT风险管理二道防线专业团队负责,一道防线按照总分行进行横向行政地域划分。系统、网络、机房环境动力、应用、运行等IT子专业的纵向专业化管理还不能直接承担一道防线职责,而是在辅助二道防线团队开展风险检查管理工作过程中,不断完善本专业的自动化控制管理水平。

        2.中期:专业化IT风险管理阶段

        由于各IT子专业系统的自动化管理水平尚不高,各种信息安全、生产运行有关日志数据尚未集中和有效分析。第一阶段的内外部事件制度规范合规检查工作主要还是手工或半自动开展,事后查出合规问题较多,事前风险预防作用有限,事中流程技术硬控制和实时告警等自动化手段缺乏。各种风险事件根源分析和根本解决控制难以实现。

        随着银行信息科技全国集约化、专业化、标准化、扁平化管理的不断深入,系统、网络、机房环境动力、应用、运维服务等各个IT子专业全行范围的远程纵向垂直化、自动化、一体化管理的组织形式不断成熟,各一级分行以下机房将逐步撤消整合到一级分行,机房运维工作也由总行直管的数据中心各IT子专业部门直接管理,各一级分行的IT风险一道防线风险控制管理职责越来越小,而各IT子专业的一道防线风险控制管理的要求越来越高。

        为此,一道防线将由各IT子专业部门替代分行承担工作职责。一道防线的工作重点也从事后检查向各种专业管理过程中的事中实时风险告警和流程技术硬控制等主动风险管理转变,要求各部门、人员在制定工作计划、实施IT建设和运维工作过程中,具有广泛的风险视角和成熟的风险理念,自觉将IT管理和风险控制结合在一起,确保各项工作计划的有效实现。

        二道防线职责继续由总行IT部门直管的IT风险管理团队承担,但工作重点从每月度全覆盖的风险检查控制,向自动化风险统计和绩效评价以及对一道防线IT风险管理事中事后控制措施的有效性评价方面转变。主要工作职责是,每季度对全行IT风险管理情况进行跨专业的历史趋势和基线分析,并督促各IT子专业部门完善风险自动监测计量、统计分析模型,并开展对各种重大项目专项风险检查评估工作。IT风险管理二道防线工作可以和IT部门的绩效评价、质量控制管理等工作整合在一起,以提高工作的系统性和效率。总行也可以利用IT风险综合风险视图这一有效抓手,不断提高战略规划、架构体系优化、项目群优先级管理等工作的针对性和有效性。

        银行IT风险管理实现从第一阶段到第二阶段的转变,将有效合并裁剪现有多级检查、控制、审核、统计、报告等工作,较为清晰合理地划分界定各IT部门的职责,整合人力资源,减轻各级部门工作量,提高工作质量效率;同时,可以发挥专业部门的专业优势,提高风险管理效率,实现IT全面风险管理的“关口”前移,体现“谁建设、谁管理、谁风控”的全员风险管理思想。

        3.全面IT风险管理阶段

        经过前两个阶段的IT风险管理建设,银行以各IT子专业条线为主的一道防线的事中事后风险控制水平不断提高,各级IT部门的风险管理意识和理念不断加强,能够主动在研发设计、运行维护中运用风险视角,将各种风险控制措施集成内嵌于管理过程中,实现自动的实时告警和事后分析挖掘统计。随着二道防线专业团队的内部控制管理需求不断下降,从银行全面风险管理的整体视角出发,监管审视信息化生命周期的源头一一IT治理和IT战略的风险管理工作变得越来越重要。

        各种IT风险产生的根源,除一部分属于操作执行层面外,大多属于IT治理和IT战略层面的风险。“如何确保IT战略与银行业务战略一致,有效实现IT的业务价值?应该组织哪些业务和IT人员对IT原则、IT架构、IT基础设施、应用系统、IT投资、信息安全等进行决策?采用何种组织形式确保六大类IT决策正确、高效?如何管控占商业银行运营费用较大比例的IT项目投资和运维投资的风险?如何将有限的人员、基础设施、应用系统、信息等IT资源,运用于创造高业务价值和提升核心业务竞争能力的领域?”是IT风险管理最终要解决的问题。

        以上IT治理和战略管理方面的管控问题,已不再适宜由IT部门兼任二道防线来解决。而应由商业银行内控合规部门为主承担IT风险二道防线,进行相对独立、专业化、系统性的控制管理。IT部门内部的IT风险部门将统一作为一道防线,一方面,由各IT子专业部门做好各自部门的事中、事前风险自查控制管理;另一方面由总行专门的IT风险管理团队,对外做好与内控合规部门二道防线的接口,对内做好各IT子专业部门之间的风险总控和相对独立的现场和非现场检查工作。IT风险管理的重点,将转向各种IT重要决策治理的风险分析,各种IT战略对业务发展支持的有效性,各种项目规划立项阶段的投入产出分析,研发生产运行全周期的成本效率风险分析等工作。

        4.商业银行IT风险自动化管理系统建设

        虽然全面IT风险管理涉及IT治理和IT管理的各个领域,但在实施自动化IT风险管理过程中,仍要注意在IT风险管理、IT服务管理(可用性、变更、问题、版本发布等Service Desk系统)、IT基础设施事件性能监控、信息安全日志和事件处理、配置管理数据库、项目申请审批管理、应用开发测试管理、科技投入绩效管理等系统间合理规划部署各种风险管理功能。一是要基于系统、网络、机房动力环境、应用等监控管理系统中的系统日志数据和问题、变更、开发、测试等流程管理系统中的工作流数据,在各个专业系统中制定和运行风险挖掘分析模型,将风险事件发送到IT风险管理系统中进行后续评估控制处理。二是要在IT治理和IT管理系统操作流程中,内嵌各种IT风险实时监测告警处理和流程技术硬控制措施,实现IT风险及时有效的控制管理。三是对于需要跨专业集中的日志、文档等非结构数据(如信息安全日志),可以利用大数据处理平台实现采集集中、分析挖掘、风险预警和告警、统计报告等功能。

        IT风险管理系统只是一个IT风险二道防线的流程管理系统,主要包括风险管理策略、控制目标、制度要求、检查控制矩阵的结构化信息化处理以及风险检查任务的自动生成和下发、风险问题的整改跟踪、特殊风险模型(历史风险趋势分析、跨专业风险关联分析等)处理等功能,其他诸如风险检查、分析挖掘模型构建等功能应在信息安全管理、IT服务管理、IT基础设施监控管理等科技管理系统以及集中的大数据处理平台中实现。

        综上所述,商业银行在信息化、国际化、综合化发展过程中,为有效应对外部各种IT内控和风险管理法规及监管要求,以及有效实施内部IT决策治理、组织管控和资源配置管理,需要借助IT风险全面管理方法理论,进行全面的IT风险控制,有效利用各种IT资源,促进创新并实现业务发展战略,以提高银行的核心竞争能力。只有深刻理解并掌握IT风险管理目标和方法理论,将IT风险管理与IT治理、IT合规、IT内控管理等过程充分融合,实现内嵌在信息化生命周期中的风险控制管理,顺应商业银行组织结构集约化、流程化、专业化、扁平化的发展趋势,分步实施持续推进,才能最终发挥IT风险管理的作用。

(文章来源:《中国金融电脑》杂志)

 

首页 上一页 1 2 3

扫码即可手机
阅读转发此文

本文评论

相关文章