第五章 信息系统运行过程中风险监控
银行信息科技风险监管是银行监管当局依照国家有关法律法规的授权对银行业信息科技应用过程中的风险实施监督管理职能。银行体系的高度信息化趋势已经把风险监管列入重要监管对象,从业务处理信息化到建立信息系统风险管理体系以便识别风险、估计风险、评价风险从而形成应对措施、最终能够监控风险以供决策参考。
信息科技部通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施监控安全事件,并利用指标预防安全事件,以此确定信息系统风险管理所采取的措施是否有效。
5.1 信息系统风险监控的内容和方法
风险监控我行信息系统运行过程中,持续对风险的发展与变化情况进行全程监督,并根据需要进行应对策略的调整。因为风险是随着内部外部环境的变化而变化的,因此产生的风险可能会随着信息系统运行增大或者衰退乃至消失,也可能由于环境的变化又生成新的风险。其目的是核对风险管理策略和措施的实际效果是否与预见的相同,寻找机会改善和细化风险应对策略。
5.1.1 信息系统风险监控的内容
信息系统风险监控工作大致分为两个层面:(1)对五种风险进行安全性检查,搭建监控体系。通常由风险管理部门牵头,在信息科技部门主管下,业务部门一起参与制定方针策略及时发现已知风险和未知的潜在风险保证业务的顺利开展。(2)对信息系统进行 IT 审计,也就是对应对措施是否完备的一种鉴证过程。既有信息系统本身的审计也有对各个部门实施方针是否合乎规定的一种监控。起到监督的作用。此过程的实施可以由我行内部的审计部门和合规部门联合开展,聘请第三方审计专家进行指导并给出最后的审计报告。
5.1.2 信息系统风险监控的方法
风险监控目前并没有形成一套可以独立使用的技术软件,但就目前金融系统对一些柜面信息系统的监控措施看,鉴于其风险的复杂程度、突发性频率、隐蔽性等特点,风险监控工作主要由人工识别为主,系统检测为辅。人工识别主要指对软件方面的风险监控,而系统检测主要基于对运行中的硬件设施系统承受的压力集中预警。通过本文在上述章节中已识别的五类风险要素和未知的新风险,对风险信息进行采集处理,建立有效的风险预警系统和应急计划,确定监控组织及其人员,制定风险监控行动流程从而达到实施高效的风险监控目的。
(1)对风险信息进行采集包括对已识别的五类风险的风险源、风险因素变化信息和对五类风险的修正和增加。风险处理主要指预处理,也就是将零散的信息提示和风险源组合成为整体的具有预报性的可靠信息,利用现有的信息推断其他信息并做出应对反应。
(2)建立风险预警体系和应急计划通常能够通过持续的监控过程发现风险发生的症状及时采取应对措施发出预警信号,最大限度的控制损失。应急计划不仅是对自然风险的最大限度预防同时还能使监控活动更具规范性并有章可循。
(3)风险监控的组织形式通常不仅包括信息科技部门还需要风险管理部门,审计部门和业务部门的联合配合才能完成。以下是为本行设计的风险监控组织图(图 5.1):
(4)制定风险监控行动流程是对实施行动的一种流程确立。明确专业分工协作统一。按照组织图 5.2 分别监控已识别风险和未知潜在风险,并设立每个层级的负责人落实责任制和上报部门流程。
5.2 吉林银行信息系统运行风险管理监控的组织实施
5.2.1 建立信息系统风险监控预警系统
风险预警系统是我行通过采集风险源监控五种风险因素的变动趋势,并评价各种已发生和未发生危害向风险管理者发出预警信号并提前采取预控对策的系统。将五类风险分别识别的风险源分割出不同的风险预警等级,将每个预警等级加入应对方案和处理措施以达到预警结果处理的目的,甚至通过大量的应对方案积累,自动匹配风险源通过预警系统主动给出合理的解决方案使风险控制在一般水平内,使得风险管理在监测阶段既能节省人力成本的分析,又能克服实施的延迟性。对于动态数据的处理过程属于持续性监控,其优势在于能够对隐蔽性风险加以分析,具有主观性。
我行目前没有这样的计算机监控管理系统,建议引入一种叫 CLPM 集中监控管理平台,能够对操作系统,中间件、数据库、应用进程、系统日志等系统运行状况实时监控的管理系统。因为此系统应用了一种事件关联分析工具确认是否发生安全事件。监控人员可以根据响应的安全事件作初步分析,确定风险源头来自哪个环节。监控人员及时汇报给组织图中的各组负责人更具发生的事件安全级别应急处理。
5.2.2 建立信息系统风险监控 IT 审计制
根据《指引》商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。针对我行内部的信息系统状况和信息化高速发展面临的各方面挑战,建议我行审计次数应为一年两次,可以进行单独项目的审计也可以进行全面审计。信息系统审计包括:通用系统审计、应用系统审计和专项审计。通用系统审计是指对信息系统的基础结构和共用部分进行的审计。主要包括对数据中心操作控制、系统软件获得和维护控制、安全访问控制、应用系统开发和维护控制的审计。探索深入信息系统内部,主要是就其信息系统运行过程中已识别的高风险源进行审计,包括业务处理功能与业务规章的适应性、安全漏洞、程序缺陷、设计弱点等等方面进行审计。(1)建立 IT 审计管理模式通常可以采用非现场审计和现场审计相配合,形成互补。灵活有效的对 IT 运行中面临的风险进行分析,可以从通过识别、估计和评价等方式形成审计报告。
(2)审计人员具有一定的专业性和与审计内容相关的从业经验。审计组领导可以由独立的行内审计部门高级职员担任,其成员组成要有相关业务管理部门人员、信息科技人员,必要时可以聘请专家给予适当建议从而进一步提高内审质量。结合我行目前实际情况,IT审计工作不适于外包,还是应有行内人员自行承担。(3)审计内容应该可以为独立的某一方面也可以是对 IT 系统全面审计。对已识别风险源和未知潜在风险中包含的风险事件,例如应用软件程序、系统本身、网络环境、硬件条件及运行效果等按照行内标准框架和规范体系进行专业化 IT 审计,同时在收集有关数据时应遵守一定权限管理进行资料分析、计算,得出审计结果。
更要值得注意的是审计人员需要行内从事相关工作的专业人员,并从业务部门选派骨干人员提供审计过程中涉及到业务知识作为参考意见最终形成审计报告。审计报告要做到有法可依、有章可循、有理可立;审计的目的是要为风险管理者提供改进意见,为决策者提供正确决策,因此审计报告不应该包含专业术语,以利于管理者有效整改反馈,决策者能够全面了解信息系统运行状况。
从风险管理角度信息科技部应设置专人配合审计全过程,审计的要求和审计范围必须得到授权。审计人员的访问控制应只停留在只读的范围内,若需要额外的行为,要予以上报审批并在审计稿中注明数据来源权限,同时按实际情况设置秘密等级。信息系统审计工具(如软件和数据文件)应与开发和运行系统分开。如果审计活动包含了对生产系统的检查,应当进行制定周密详尽的计划和风险控制,将风险降到最低。安全审计应当由吉林银行安全审计人员或可信的、独立的第三方机构来执行。如果由第三方审计,应当与其签署安全保密协议,并要实施控制措施降低外部审计可能存在的风险。
5.2.3 建立信息系统风险监控权责划分制
吉林银行信息科技管理机构由信息科技委员会、信息科技部组成,同时根据相应的责任分配信息科技部对风险管理负主要职责。审计部门负责信息系统审计,信息科技部门提供相关技术支持,也可聘请经监管部门认定资质的中介机构进行信息系统外部审计。根据组织图,首席风险管理官承担风险监管的最终责任人,高级 IT 风险监控人负责对五种风险和未知风险监控进行分组,并接受 IT 审计。根据风险管理体系的要求,关于我行信息系统风险管理监控工作主要应由信息科技部和业务相关部门共同承担责任。
根据流程图,原则上应设置高级 IT 风险监控人,主要负责对全行 IT 系统出现的风险全面监控,也是最终负责人,直接对行内首席风险管理官负责。负责部门全面风险管理工作,制定部门整体风险管理策略、中长期科技风险管理规划和年度风险管理计划。
负责部门日常运营管理工作,组织制定并不断完善全行产品创新和项目管理的规章制度、计算机生产系统安全运行的规章制度、计算机系统开发及应用的相关制度,不断改进工作流程以技术为依托,进行新产品设计,定期对本行产品创新工作进行监控。其监控形式可以由下级定期呈交风险监控报告,也可采用实地调研的形式对已识别风险和尚未发生的潜在隐患风险做出适当的监控,还可通过生产上实际操作人员上报故障提交给运维中心做记录。定位风险源后决定分配给相关部门,每个相关部门设置多名中级 IT风险监控人担负风险监控责任,大致可从已识别的五种风险种类按照涉及范围划定监控责任,同时中级风险监控人需对一般性风险发生后应对策略做出决定。然后责成具体实施人,也是第一责人对其监控后的风险进行处理应对通过反馈机制反馈给运维故障中心。IT 风险监控实施人要对其职责范围内的工作负责并承担后果即监控实施策略的准确性和及时性。此外,对 IT 风险监控的各级责任人应明确划分其负责比例方便日后纳入绩效考核。
实行风险管理监控责任制,首先要建立和健全风险管理责任制度,划分人员责任界限,明确任务和人员分配。其次,以任务定制岗位,以岗位定人员,以人员素质和专业度定薪酬。责任落实到人,各尽其职,达到事事有人负责的目标,改变以往对 IT 风险发生只重视亡羊补牢而忽视监控防范工作的观念,避免信息系统风险现象发生时无人承担的“抓瞎”局面。
责任制能够帮助提升风险管理工作的科学化、制度化管理从而达到风险管控的实际目的。
