是时候聊聊风险管理这件事儿了

随着信息科技的快速发展,一方面促进了银行客户服务和管理水平,降低了银行的管理成本和交易费用;另一方面,银行对信息科技的依赖以及由此产生的风险日益加剧。

目前,信息技术已经应用于银行几乎所有产品、流程和经营活动中,信息资源也成为银行发展必不可少的重要生产要素。

近年来,监管部门对信息科技风险管理高度重视,国内各商业银行在信息系统软硬件建设和安全管理方面投入了大量资源,注意防范各类信息科技风险。

信息科技风险管理所需要涉及的领域十分宽泛,在国家发布的《商业银行信息科技风险管理指引》中,所涉及的领域就包括了:信息科技治理、信息安全、系统开发、测试和维护、信息科技运行、业务连续性以及外包管理等六大部分。而其中的每个领域又都可以分为非常多的子领域。

以信息安全为例,其对应的管理办法就可以是整个ISO 27001信息安全管理体系,新版的信息安全管理体系包含了11个控制域,144个控制点,每个控制点都对应有相关的管理要求、控制策略或者技术手段。

而根据德勤等咨询公司的相关建议来看,如果想要更深入的分析信息科技风险领域的各种风险点,信息技术风险还应包括“为支持和实现信息技术运作而关联的其他风险”。因此,需要考虑的风险还将包括战略风险、声誉风险、市场风险、信息风险、法律风险、合规风险和操作风险。

由此可见,想要建立完善信息安全风险管理体系,将是一个系统又庞大的工作。

目前,国内各商业银行依据监管要求,几乎都纷纷建立起了“三道防线”式的科技风险管理模式,“三道防线”分别为:信息科技部门、信息科技风险管理部门、内部审计部门。

然而,在目前信息科技风险管理人员相对紧缺、新增部门编制相对较少,且需要面对如此庞大的工作内容的情况下,如何合理的、适当的控制信息科技风险,成为了待解决的首要问题。

兴业数金作为兴业银行集团信息输出业务的主要力量,为近200家中小银行提供符合监管要求的系统托管运维服务。面对庞大工作内容的情况下,如何合理分配公司资源,不断完善信息科技风险管理,编者作为兴业数金IT风险管理团队的成员,总结了一些自身的经验,希望能够为同业者提供一些参考意见。

一、分清轻重缓急,控制关键节点

如上文所述,信息科技风险管理所涉及的范围非常庞大。如何在如何庞大的体系中以最优的资源控制最大的风险,便是从业者需要着重考虑的问题。

比如,业务连续性管理方面,这个管理体系在美国911事件之后,被全世界广泛的重视起来。从大的方面说,它可以是一整套业务恢复模式,比如发生战争、自然灾害、恐怖袭击等情况下的业务连续性管理;而从小的方面说,它可以是一次事件、一次宕机、一次外部攻击后的故障处理机制。

因此,良好的业务影响分析和应急场景规划将是风险管理者要着重考虑的。关于业务连续性管理到底要做到什么样的程度,这将是结合投资收益比之后做出的决定。

二、重视审计工作,要有形式感

现在网上流行说是两个人的爱情一定要有“形式感”。同样的,风险管理工作也是要有“形式感”。

IT风险管理团队组织编写的各种制度、各种规范,假如没有人去执行,那么这些投入将是毫无意义,对部门、对公司都是资源的浪费,对风险管理将是重大的威胁。而定期审计工作将起到非常好的促进作用。

审计工作要有形式感,审计开始前要发布“通告”,审计过程要展示专业化,让大家知道遵守公司的规范制度是一个非常严肃的事情。如有不规范的情况,一定要“通告批评”,反复的“通告批评”一定可以起到事半功倍的作用。

三、重视复测工作,不可亲信自评估

IT风险管理团队会不定期组织各类型的风险排查、检查、漏洞测试等,并且会出具相应的报告,后续还会督促相关科技人员进行风险整改和跟踪。比如,按照监管要求,每年我们都会组织进行信息安全方面的漏洞测试、渗透测试,并且出具相应的测试报告。当然,如果想要真正落实风险整改,还需要锲而不舍的进行漏洞扫描的复测,确保相关漏洞真正完成整改。

四、管控措施简单化,风险控制流程化

将“复杂的事情简单化,简单的事情标准化,标准的事情流程化”贯彻在日常工作中,应尽量将风险管理的控制节点嵌入到工程师的工作流程当中。比如,变更管理流程。

从行业里发生的历史故障中看,大部分人为因素的重大事件都是由变更不当引起的。如果能够良好设计变更管理流程,则工程师进行的任何变更操作就能够得到相应的风险控制;如果工程师不按照设计流程变更,则其运维操作就无法实施下去。这种以流程控制风险的模式具有强制性,同时也具有显而易见的优势,即操作可记录、可追溯、可归档。

如果能够把各项风险管控都固化到工程师的工作流程当中,那么风险管理就可以做到主动预防与主动监测,避免了传统风险审查只能够事后稽查、亡羊补牢的尴尬局面。

五、写好报告

风险管理虽然说是个技术劳动,但是“门面”重点性也是不言而喻的。把各种运维管理报告、风险评估报告、风险检查报告等编写留痕,能够更好的展示出部门的工作情况,才能够让企业领导和同事真实的了解到公司风险管理现状。

毕竟,各项风险点应该采取何种风险处置措施(风险处置、风险转移、风险接受等等),终究还是需要结合公司各方面资源情况来决定,我们的工作重点在于要需要风险充分的揭示出来,并且能够提供科学的、合理的意见供高层领导参考。

总之,做好平时的日常工作,完成各类风险检查工作,持续按照监管的要求进行督查和整改,收集好各类运维数据,编写完成各种检查报告。这样的话,各种监管的要求、检查都不能从容面对;如果想全靠临时抱佛脚,那就只能一直处于“被动挨打”的局面了。

风险管理如同铁杵磨针,非一日之功。不积跬步无以至千里,只有持续不断的进行优化改进才能够日渐显得成效。然而,千里之堤毁于蚁穴,稍有松懈,便有可能功亏一篑。积水成渊、聚沙成塔、集腋成裘,贵在坚持。

 

本文作者:兴业数金云计算事业部 侯大鹏

分享到: