1. 客服熱線:400-615-8698
    多特蒙德中文

    浙商銀行信息科技風險監控官制度的探索

    2013年04月25日 TAG: 本站

    浙商銀行信息科技風險監控官制度的探索
    作者:浙商銀行信息科技風險監控官 駱鑑 來源:金融資訊網

    如何在有效控制信息科技風險的同時,促進信息科技建設和業務發展是銀行信息科技管理工作的重點。浙商銀行於2007年建立信息科技風險監控官制度,通過不斷的實踐,取得了一定成效。

     

    爲落實全面風險管理理念和要求,加強信息科技風險管理,保障信息系統安全運行,浙商銀行於2007年建立信息科技風險監控官制度,由行長向信息科技部派駐信息科技風險監控官,實施駐地辦公,兼任總行信息科技部副總經理職務,獨立開展相關信息科技風險管理工作。

    從職位和工作職責上看,浙商銀行信息科技風險監控官類似於首席信息安全官(CISOChief Information Security Officer),也稱信息科技安全主管、信息科技風險主管等,主要負責機構內的信息科技風險策略制定、風險識別、風險評估和風險控制等,通常直接向首席執行官(CEO)、首席信息官(CIO)、首席風險官(CRO)或董事會報告。據報道,早在10年前,IBM就宣佈任命了其全球首任首席信息安全官。目前,越來越多的企業開始設置相關的職位,如微軟、柯達、花旗、Facebook、寶潔等,韓國從2009年開始已要求大型企業必須設置CISO職位,而對於中國企業而言,首席信息安全官制度尚在起步階段。

    一、信息科技風險監控官制度建設

    如何在有效控制信息科技風險的同時,促進信息科技建設和業務發展是銀行信息科技管理工作的重點。浙商銀行在實踐中不斷推進信息科技風險監控官制度建設,取得了一定成效。

    一是制度安排。信息科技風險監控官對行長負責,崗位設置在風險管理部。信息科技風險監控官在制度框架內,負責組織開展全行信息科技風險的識別、計量、監測、控制和報告,擁有相應的評判權、評價權、知情權、同意權等。

    二是日常履職。總行實行信息科技風險監控官例會制度,每季度向行長或分管風險管理的行領導報告全行信息科技風險評價與管理狀況;總行實行風險監控官參加行務例會制度,每月向高級管理層報告信息科技風險管理情況。風險監控官參加信息科技部的月度工作例會及相關部門會議,有權隨時對風險管理和信息安全工作進行指導、檢查和監督。

    三是獨立評判與執行。信息科技風險監控官負責向全行傳播信息科技風險管理理念和文化,通過對運行管理、開發過程管理等的評判以及現場風險監控與識別,及時發現或預警風險,並有針對性地提出相關防範建議,化解風險。

    四是獨立考覈。對信息科技風險監控官的考覈,由人力資源部會同風險管理部在綜合信息科技部意見,形成考覈評價報告,提交總行分管風險管理行領導審查後,報行長審定。

    二、信息科技風險監控官制度的實施成效

    浙商銀行信息科技風險監控官制度實施5年多來,取得較好成效,主要體現在以下幾個方面。

    一是建立了良好的風險信息傳導機制。信息科技風險監控官以其獨特的地位和視角,既領會銀行高層領導的風險理念和風險偏好,又瞭解銀行信息科技風險的實際情況;能將風險控制的理念通過培訓、講座、宣傳等方式傳播到全行,培育全員信息科技風險理念,又能將信息科技相關風險隱患、故障、風險事件及時彙報給高層領導。

    二是實施全面的信息科技風險管理。總行通過派駐風險監控官與風險管理部共同執行對信息科技風險的全面管理,將信息科技風險納入全行全面風險管理體系範圍,實施對信息科技風險的監測、監控、評估、控制與報告。風險監控官作爲風險管理現場駐點人員,負責獲取第一手材料,全面瞭解信息科技風險的真實情況,開展現場風險評判,既能避免風險被忽視,又能避免過度的風險控制,量力而行,適度控制,有效提高了二道防線執行和防控的有效性、及時性,實現風險把關前移,強化了風險的事中控制和監督。

     

    三是全面推動全行業務連續性管理。業務連續性管理涉及風險管理部門、業務主管部門、信息科技部門、後勤保障部門、新聞宣傳部門等各條線管理職責與業務聯動,通過風險監控官協調與推動,從理念、工作機制、應急響應機制、恢復機制、危機處理機制等方面層層推進落實,做細各項預案,做實各項措施,有效提升了銀行業務連續性管理能力。

    四是有效開展信息科技風險識別、計量、處置和監控。風險監控官直接面對業務一線、信息科技一線工作,能全面、完整、準確地獲取相關信息,從源頭上控制系統風險,使信息科技風險管理的半徑縮短,項目評判更加貼近實際,溝通交流更加順暢,方案更加優化,風險管控的有效性得到提高。更可通過結合實際,分析判斷各類風險隱患的苗頭、趨勢、業務影響情況,及時提出相應的安全策略與建議,提前預警或堵塞風險漏洞,有效規避重大風險隱患或事件的發生。

    五是銀行高層及時掌握信息科技風險狀況。風險監控官通過信息安全週報、信息安全月報、信息科技風險評價報告(季報)、重大風險提示報告、重大事項請求報告等,及時向高層領導彙報相關風險情況。董事會和高級管理層能及時全面掌握全行信息科技風險管理狀況。

    六是信息科技風險信息更加透明。信息科技風險監控官對外聯繫監管部門,瞭解相關監管政策,將相關監管要求融入本行的安全策略、日常管理工作之中,有效滿足監管合規性要求;對內掌握本行信息系統運行的第一手資料與信息,一旦發生風險事件,可以及時瞭解事件的真實原因、根源、影響範圍等,及時報告和處置,避免事態的進一步擴散或惡化。在這種管理體制下,由於信息、透明、處置過程規範化,即使發生風險事件,也有助於信息科技部門與高層領導的溝通,有助於銀行與監管機構的溝通。

    三、信息科技風險監控官制度建設的探索與完善

    浙商銀行通過信息科技風險監控官制度,在信息科技風險主管履職和實踐上進行了探索。然而,由於理念、觀念、環境、體制、機制等主客觀條件的限制,信息科技風險監控官的作用還有待進一步提升,該項制度本身也有一些需要進一步完善的地方,主要表現在以下兒方面。

    一是如何提高風險監控官的履職能力?信息科技風險監控官的履職需要相應的制度保障,離不開高層領導,特別是一把手的支持;同時,信息科技風險監控官需要具有較高的職業素養,既要熟諳銀行業務、信息科技、風險管理等知識,又要具備對內對外、對上對下的溝通與管理能力,這需要實踐積累、總結提升。

    二是如何建立全面風險管理體系?現代銀行離不開信息系統,信息科技風險也已滲透到各業務條線、各工作崗位,任何新業務、新產品的推出均涉及系統建設、業務安全、敏感信息保護、業務連續性等方面的風險,尤其是涉及互聯網應用的網上銀行、手機銀行、網上支付等的新業務應用。信息科技風險監控官應適應當前的風險形勢,建立一套完整的工作機制,參與到各相關部門的業務需求、業務審查和運行監控工作中,持續性地開展信息安全和風險評估,全過程地有效識別、預警、監控、防範風險。

    三是如何確保風險管理機制的獨立性?信息科技風險的識別與控制策略必須依據銀行的風險偏好和管理原則,依據銀行業務發展戰略需要,既不能脫離實際過度強調風險,更不能爲了業務發展忽視風險,對風險的分析和評判要保持獨立性,堅持實事求是、客觀公正,不畏懼權威、不盲目跟風、不人雲亦雲。因此,信息科技風險監控官應堅持原則、公正獨立地開展工作。與此同時,銀行應建立完善的信息科技風險管理機制,營造獨立監督信息科技風險開展的工作氛圍,確保高級管理層通過信息科技風險監控官第一時間獲知信息科技風險隱患和風險事件。

    四是如何平衡業務發展與風險控制的關係?風險防範的目的是爲了促發展,不發展是最大的風險,故銀行應通過建立績效考覈機制,規範風險監控官行爲準則,在評判風險時,既要從業務角度瞭解信息科技風險帶來的影響,更要注意信息科技風險控制不能背離業務發展需求,開展適度的風險控制。

    五是如何協調與相關部門的關係?信息科技風險監控官作爲信息科技風險主管,需要與各相關部門協同開展工作,其中與風險管理部和信息科技部的聯繫最爲緊密。風險管理部作爲信息科技風險控制的第二道防線,負責信息科技風險的督查、評估、跟蹤和報告,而風險監控官作爲現場駐點人員,掌握第一手材料,通過信息科技風險監控官的現場風險評判,進一步增強了風險管理部對信息科技風險的監控能力,增強了二道防線執行和防控的有效性、及時性;信息科技部作爲信息科技風險控制的第一道防線,應更多地注重系統功能的可用性、技術性控制和信息安全管理,而信息科技風險監控官更應關注系統的保密性和完整性,並通過不同的視角,評判系統控制有效性和對業務產生的風險影響,防範相關風險信息在信息科技部門形成孤島,及時揭示與預警風險隱患,提升一道防線控制的有效性和安全性。

    本文鏈接:http://www.sicklycat.com/product/html/26.html轉載請註明!
    掃描加入
    Copyright © 2015 - 2024 上海多特蒙德中文實業股份有限公司    滬ICP備11027956號