天天综合一区二区三区_国产日韩综合精品视频_欧美精品一区二区在线_欧美午夜福利大片在线

您當前的位置: 政策發(fā)布  >  政策分析 > 正文
數字金融背景下加強信息科技風險管理研究

「摘要」隨著農發(fā)行數字化改革的不斷深入,信息科技日益成為全行穩(wěn)健運營和高質量發(fā)展的重要支柱,但也帶來信息科技風險隱患。信息科技風險是金融風險的重要組成部分,如何防范信息科技風險已列入農發(fā)行研究的重要課題。本文通過對農發(fā)行信息科技風險體系建設的實踐分析,提出了新形勢下如何更好管控信息科技風險的措施和建議,對構建現代銀行信息科技安全防線提供參考。

「關鍵詞」金融風險?信息科技風險?風險管控

習近平總書記在中央金融工作會議上強調:“防范化解金融風險,是金融工作的永恒主題?!秉h的二十大報告共91次提及安全,16次提及風險,風險防控已經成為國家重要的安全戰(zhàn)略。在農發(fā)行三十年發(fā)展歷程中,總行黨委始終高度重視全面風險管控,統籌推進全面風險管理體系建設和防范化解金融風險雙核驅動,正確處理業(yè)務發(fā)展與風險防控之間的關系,把全面風險管理建設目標由單純滿足監(jiān)管要求向提升全行核心競爭力轉變。2018年,農發(fā)行將數字化轉型戰(zhàn)略及執(zhí)行過程中可能存在的信息科技風險納入全面風險管理體系,持續(xù)提升信息科技風險管理水平。

一、加強信息科技風險管理的必要性

(一)做好信息科技風險管理,是實現高質量發(fā)展的迫切要求。當前農發(fā)行不斷加強技術與金融的深度融合,在信息科技獲得深入應用的同時,也帶來了較大的風險,信息科技風險廣泛存在于系統開發(fā)、測試、上線、運維、使用和管理過程中,具備突發(fā)性強、隱蔽性強、破壞性強的特點,一旦發(fā)生重大信息科技風險事件,可能造成業(yè)務癱瘓、資金損失、客戶流失等災難性后果。有效管控信息科技風險關乎業(yè)務穩(wěn)定運行、金融安全和數字化轉型成效,是科技綜合實力的重要體現,也是實現高質量發(fā)展各項目標的必要前提。 

(二)做好信息科技風險管理,是落實監(jiān)管規(guī)定的客觀需要。中央金融工作會議提出:“監(jiān)管要‘長牙帶刺’、有棱有角,橫向到邊、縱向到底”,強監(jiān)管、嚴監(jiān)督態(tài)勢正在形成。監(jiān)管機構對信息科技風險管理要求更趨精細化、嚴格化、專業(yè)化,先后發(fā)布《商業(yè)銀行信息科技風險管理指引》《商業(yè)銀行操作風險管理指引》等一系列指引和規(guī)范。從信息科技治理、信息安全、開發(fā)測試和生產運行等方面提出具體的風險管理要求。監(jiān)管機構定期開展信息科技監(jiān)管評級,并對發(fā)生重大信息科技風險事件的銀行進行通報或罰款。監(jiān)管管控力度的持續(xù)加大對農發(fā)行信息科技風險管控提出更高標準和更嚴要求。 

(三)做好信息科技風險管理,是完善全面風險管理體系的工作要求。監(jiān)管部門強調農發(fā)行應深入分析“三農”領域風險特點,構建與本行職能定位、風險狀況、業(yè)務規(guī)模和復雜程度相匹配的全面風險管理體系,加強對各類風險的識別、計量、監(jiān)測、控制和處置。信息科技風險是農發(fā)行當前面臨的主要風險之一,建立健全信息科技風險管理體系是落實“十四五”風險管理專項規(guī)劃的重要任務。在金融科技快速發(fā)展的背景下,信息科技風險管理水平影響全行整體風險管理水平,加強信息科技風險管理能夠有效提升風險綜合管理和風險抵御能力,是完善全面風險管理體制機制、筑牢風險管理防線、確保信息系統和業(yè)務安全穩(wěn)健運行不可缺失的部分。 

二、農發(fā)行信息科技風險管理體系建設實踐

農發(fā)行信息科技風險體系建設始終堅持黨的領導,主動順應發(fā)展大勢,有效對接現代理念,穩(wěn)步推進信息科技風險管理機制改革,取得了突出成效,為全行高質量發(fā)展保駕護航。

(一)推進信息科技風險管理模式的革新。根據監(jiān)管要求,參考同業(yè)實踐,結合農發(fā)行自身業(yè)務發(fā)展需要,建立持續(xù)、有效的信息科技風險識別、評估、監(jiān)測、控制機制,形成了“全面、全程、全新、全員”的風險管理模式(詳見表1),有力解決了“從無到有”的問題,有的領域在同業(yè)中實現了“彎道超車”。

 

(二)健全信息科技風險管理制度體系。制度是風險管理機制建設的重要保障。農發(fā)行信息科技風險管理制度體系從上向下分為辦法層和細則層兩個層級。《信息科技風險管理辦法》從全行層面明確了信息科技風險管理目標、治理架構、管理活動等內容。確立以信息科技部門、風險管理部門、審計部門為“三道防線”的工作職責以及協同機制,定義了信息科技風險管理活動各個領域中的工作流程、內容及要求?!缎畔⒖萍硷L險評估實施細則》等相關制度基于信息科技風險管理辦法,具體定義了每項工作的實施參與方、實施流程和工作方法,確保風險管理工作有效落地,高效化解風險。

(三)完善信息科技風險識別和評估機制。風險識別和評估是信息科技風險管理的重要內容。農發(fā)行將監(jiān)管要求、內外部審計發(fā)現的風險、同業(yè)風險事件等納入信息科技風險清單,并建立信息科技風險庫,定期更新。為更好識別風險,風險管理部門牽頭至少每三年完成覆蓋全行范圍、信息科技管理各個領域的風險評估。針對機房搬遷、重要信息系統投產等特定對象開展專項評估。在開展評估過程中,農發(fā)行以緩釋前風險和緩釋措施為主要模型,采用二維矩陣對某一風險點的剩余風險進行評估,綜合考慮風險容忍度的影響、風險處置的成本效益等因素,得出風險點的剩余風險等級,形成信息科技風險問題清單,開展風險控制工作(詳見圖1)。

 

(四)提升信息科技風險監(jiān)測和控制能力。監(jiān)測機制是風險防范的重要保障,農發(fā)行高度重視風險監(jiān)測和控制體系的建設(詳見圖2)。根據識別的關鍵風險信息,不斷補充監(jiān)測指標項,完善指標要素,進一步優(yōu)化信息科技風險監(jiān)測度量指標體系,提升信息科技風險監(jiān)測的精確性和前瞻性。按年度開展信息科技風險監(jiān)測指標評估、評審、匯報與修訂,保存過程記錄,確保預警和風險提示的及時性。對風險監(jiān)測數值變化趨勢和異常情況進行分析,及時更新指標庫。針對風險監(jiān)測發(fā)現的問題,發(fā)布風險提示,啟動應急預案,采取適當的措施控制風險。監(jiān)測部門對風險控制措施的落實情況持續(xù)進行跟蹤,確保相關部門按計劃完成整改,消除風險隱患。

 

(五)提高網絡安全和數據安全管理水平。過去五年,農發(fā)行狠抓網絡安全和數據安全管理工作,安全防護能力逐年提升。建立了“網絡安全縱深防御體系模型”,組織實施了互聯網出口上收、態(tài)勢感知平臺、終端安全統一管控、保密檢查系統等重點項目,補強安全能力基礎。開展勒索病毒防護應急演練、數據安全和供應鏈應急演練、安全意識教育等專項工作。定期開展漏洞排查、問題跟蹤、評估和調研等,識別和處置薄弱領域安全風險,推動解決一些短板問題。建成涵蓋IT運維全流程的一體化運維平臺,實現“橫向到邊、縱向到底”的一體化運維管理目標。進一步健全數據全流程管控機制,開展信息保護分類分級管理,嚴格防控數據泄露風險。

三、新形勢下加強信息科技風險管理的思考與建議

(一)推進信息科技風險管理數字化建設。信息科技風險管理數字化建設程度極大地影響著銀行風險管理的深度和廣度。從技術發(fā)展趨勢看,新一輪技術革新已經來臨,特別是在數字金融時代背景下,農發(fā)行應按照“統一調度、集中管控、協同運作、資源共享”原則,有序推動信息科技風險管理系統建設。建立以“監(jiān)、管、控、治”為核心的成熟完善的信息科技風險管控平臺,實現風險監(jiān)測、處置、跟蹤、報告等全流程管理,提高監(jiān)控的時效性和準確度。

(二)提升新興技術風險防范能力。由于農發(fā)行在數字化轉型過程中不斷嘗試新型技術,信息科技風險會以新的形態(tài)出現,傳統管理模式無法滿足變化頻繁的風險場景,使得數字化模式下管理難度加大。應關注新興技術的發(fā)展趨勢和潛在風險,加強技術研究和創(chuàng)新,提升技術風險防范能力。例如,應加強對云計算、大數據、人工智能等技術的風險識別、評估和監(jiān)控,分析潛在風險因素,確保技術的安全可控。

(三)構建有效的“三道防線”協同機制。“三道防線”是全面風險管理戰(zhàn)略的核心,相互獨立、相互制約、相互促進。農發(fā)行信息科技風險管理的“三道防線”雖已建立,但各道防線在信息科技風險管理的認知方面存在差異,在流程和操作層面,存在管理效率較低、管理流程不可控、溝通不暢、信息無法共享、定位不明確等問題。應將信息風險控制前移,把風險管控貫穿于信息流動的全過程,形成三道防線相互作用的聯動機制,構建風險防控的立體防護網。

(四)推動信息科技風險管理向事前和事中轉變。從農發(fā)行的風險管理體系運行情況來看,主要以事后處置模式為主,缺乏有效的事前、事中管理機制,存在信息科技風險管理和信息科技運行“兩張皮”的情況。中央金融工作會議指出:“要嚴格落實‘四早’風險防控要求,建立風險防控的長效機制?!睉獜娀诙婪谰€在IT項目全流程的風險管控參與力度。從定期開展IT風險專項評估逐步轉變?yōu)椤坝|發(fā)式”的評估方式,在事前、事中識別、控制風險。

(五)加強人才隊伍及風險管理文化的建設。隨著監(jiān)管部門的要求不斷提升及銀行信息系統不斷擴增,二道防線的人才隊伍規(guī)模和專業(yè)性矛盾越發(fā)嚴重。應加強對信息科技風險管理人才的培養(yǎng)和引進,建立一支具備專業(yè)技能和豐富經驗的信息科技風險管理團隊,提升風險應對能力。同時,建立風險文化宣傳機制,定期發(fā)布風險信息,引導員工自覺遵守風險管理規(guī)定,增強風險防控意識。