编者按:在我国,银行业金融机构是最早开始信息化的行业。经过40年的从无到有,从算盘到键盘,到今天全面信息化,可以说,中国金融从质量到规模已稳居世界前列。同时,信息化带来的是数字金融正在潜移默化地改变着公众消费、投资、理财等方面的行为方式。随着普惠金融、金融服务供给侧加速改革和人民币数字化、国际化快速推进,中国数字金融引领全球的时代即将到来。
对银行业金融机构而言,数字化代表着前所未有的机遇,同时也是一种巨大的挑战。这些挑战既包含以互联网、大数据、云计算等为代表的新兴技术对银行业金融机构业务的数字化改造带来的金融风险,同时也包含金融科技本身具有的固有系统性风险。如何面对这些挑战,是监管机构、银行业金融机构和研究机构共同关注的热点。
莅临成都研讨会现场领导及嘉宾
11月初,由银行业信息科技风险管理高层指导委员会主办的“数字化转型时期银行金融机构IT风险管理与实务治理研讨会”分别在成都和上海举行。中国银监会银行业信息科技监管领导莅临研讨会并讲话,来自四川银监局、上海市银行同业公会的领导、ISACA、中治研专家、西南五省市银行业监管和金融机构等近70多人、上海地区中、外资银行等28家金融机构共同参与研讨。中治研信息科技风险审计研究中心副主任李长征发表题为“银行业信息科技风险管理研究与建议”的主旨演讲。
中治研高级研究员、信息科技风险审计研究中心副主任李长征
李长征:中治研(北京)国际信息技术研究院高级研究员,中治研信息科技风险审计研究中心副主任。国资委、劳动保障部信息化管理师高级培训班特聘讲师,北京大学研究生班特聘讲师。专注IT治理、IT风险、IT审计和IT价值管理等领域。参与《实施IT治理:理念、方法与全球最佳实践》、《IT执行力》、《银行3.0:移动互联时代的银行转型之道》、《IT审计:管好信息资产》等书籍的评审工作。参与中国建设银行IT治理咨询项目、中国银行灾备制度流程项目、广东农信信息科技审计项目、东莞银行数据中心审计项目、微众银行IT审计体系建设项目以及徽商银行IT服务管理项目等近20个项目经验。
李长征老师做主旨演讲
李长征老师主要从以下三个方面进行分享:
■ 银行业信息科技生态环境分析
■ 银行业信息科技面临的几大挑战
■ 对建立IT良好生态的几点建议
李长征老师首先分析了银行业信息科技生态环境的变化。当下,金融科技、云计算、大数据、物联网等新技术不断涌现和应用,银行业的开放和监管日益深入,跨业竞争者不断涌现,同业竞争也日益激烈,银行客户需求开始向差异化和多元化方向转变。外部政策和市场环境的变化,以及新技术的应用,导致信息科技生态环境出现了诸多变化,这些变化不断传导到信息科技工作,信息科技面临如下变化:
❶ 业务需求的差异化和创新需求的不断涌现
❷ 客观上依赖外包商,外包风险日益增大
❸ 更多系统接入互联网,面临更多入侵风险
❹ 科技预算面临紧缩的可能
银行信息科技生态环境分析
生态环境变化带来银行盈利的变化,但随着信息科技的发展,非柜面交易占比已达一定规模,信息科技为银行提供了广阔的发展空间,并带来了银行业务的创新发展(如直销银行、微信银行等)。
未来银行将以移动互联网为主要渠道、以客户体验为创新导向、以综合服务为中心,银行的发展将更加依赖科技支撑和科技创新,科技能力将成为未来银行的核心竞争力。
根据中治研研究采样的银行情况,目前银行业存在的信息科技固有风险主要表现在:
所采样的银行大多存在信息科技定位不清,三道防线资源配置不足,工作开展频率不够,系统架构复杂,项目变更较大,运维资源配置不足,灾备场地标准不高,外包依赖程度较大等固有风险。
固有风险分布
在控制有效性方面,所采样的银行大多存在信息科技治理职责运行机制模糊,制度有待优化,绩效普遍缺失,风险和审计开展不足,审计问题整改力度不够,项目管理精细化不够,测试管理有待加强,问题管理开展不足,运维手册有待加强,灾备体系待完善,外包风险评估和管控不足,数据安全待加强,配置基线管理不足等问题。
控制有效性分析
— 固有风险指在没有考虑控制的有效性或其他风险缓释措施付诸实施之前就已经存在的风险。
— 控制是指能够减少风险发生的可能性或者风险引发的后果的所有行动、流程或规章制度。
采样银行的信息科技工作中,以下现象或问题表现较为突出:
❶ 需求管理粗放、计划考虑不周、项目延期和调整现象普遍
❷ 架构管控处于起步阶段
❸ 三道防线尚未形成防控网
❹ 信息安全精细化管理有待提升
❺ 信息科技人员投入不够,结构有待优化
❻ 外包依赖度较高,外包风险突出
❼ 互联网金融风险管理体系处于摸索阶段
莅临上海研讨会现场领导及嘉宾
银行未来的发展将更加依赖科技支撑和科技创新,科技能力将成为未来银行的核心竞争力,信息科技风险管理将为银行保驾护航。
银监会在《银行业金融机构全面风险管理指引(征求意见稿)》中已将信息科技风险作为一类风险,与银行信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险并列。
银行业从BANK1.0到BANK3.0探索和研究
李长征老师认为,银行业信息化能力建设的总体思路应以系统架构为主线,以IT治理为抓手,整合“生态资源”,形成科技与业务的融合发展与创新,实现向“生态银行”(银行3.0)转型,服务于“生态客户”。
“生态银行”概念图
在移动互联网、大数据、互联网金融快速发展的新常态下,业务创新能力、自主可控能力、风险控制能力、资源组合能力等方面的科技能力的竞争都可能最终转化成银行的整合实力。生态银行是未来银行业转型的必然。
此外,还需从行业的视角加强对银行业信息科技风险管理生态的建设。目前,银行业IT风险监管现状表现为两方面,一方面监管机构除制定监管指引和指南外,也会定期开展现场检查工作;另一方面监管机构要求金融机构建立科技、风险、审计三道防线以建立防控网。然而,存在的问题也是比较突出的,包括各金融机构由于科技风险定位、资源配置差异等原因,风险管理成熟度参差不齐(但由于有监管机构的定期现场检查,在一定程度上保障了不发生底线风险),以及一定程度上的信息不对称问题。
李长征老师认为,定位信息科技“风险”而非“安全”,具有动态、发展和体现价值的特点。在加强对银行业信息科技风险管理生态建设方面,可采用监管、银行和社会化服务协作持续提升科技风险管理水平。监管机构制定监管规则,引导行业生态的建立;银行构建三道防线相协同的科技风险防控网,可引入第三方机构加强审计和风险力量;第三方评估、审计机构开展第三方审计和评估工作,评估与审计质量监督机构对第三方评估、审计机构质量开展监督和检查;协会组织可建立行业规范、行业自律和行业资源的协调和共享机制。
银行业信息科技风险管理生态
其中,建立行业自律和加强对第三方审计、评估机构的监管,具有多方面的好处。第一,采用“自上而下”的行政型监管和“自下而上”的自律型组织相结合的方式,能够有效降低监管成本,维护良好的生态体系;其次,可帮助建立人员规范和从业人员的职业规划;最后,可实现建立审计、评估报告的质量检查机制,笃实第三方所发挥的作用。
值得一提的是,由中治研等机构发起成立的中国计算机用户协会信息技审计分会(ITRAA)计划联合会员单位建立信息科技风险审计相关标准,规范行业自律,支撑监管合规。
IT评估/审计生态建设
在引入第三方评估、审计机构开展第三方审计和评估工作时,李长征老师建议可采用治理视角、价值导向型审计模式(IT审计2.0),以改变过去注重监管合规的基于制度导向的审计模式(IT审计1.0)。
从IT审计1.0到IT审计2.0
IT审计2.0的优势在于将审计置于行业、法律、企业战略、创新技术、监管合规、企业管理、内部控制全生态环境,从各个方面研究环境对审计对象的影响;审计重心前移,将战略分析引进审计,使风险分析走向结构化;自上而下与自下而上相结合,可有效降低监管成本,维护银行业IT治理良好生态。