新闻动态 News

数字化金融与IT风险管理

日期: 2018-01-28
浏览次数: 145
2018 - 1 - 28

编者按:在我国,银行业金融机构是最早开始信息化的行业。经过40年的从无到有,从算盘到键盘,到今天全面信息化,可以说,中国金融从质量到规模已稳居世界前列。同时,信息化带来的是数字金融正在潜移默化地改变着公众消费、投资、理财等方面的行为方式。随着普惠金融、金融服务供给侧加速改革和人民币数字化、国际化快速推进,中国数字金融引领全球的时代即将到来。

对银行业金融机构而言,数字化代表着前所未有的机遇,同时也是一种巨大的挑战。这些挑战既包含以互联网、大数据、云计算等为代表的新兴技术对银行业金融机构业务的数字化改造带来的金融风险,同时也包含金融科技本身具有的固有系统性风险。如何面对这些挑战,是监管机构、银行业金融机构和研究机构共同关注的热点。

数字化金融与IT风险管理

莅临成都研讨会现场领导及嘉宾

11月初,由银行业信息科技风险管理高层指导委员会主办的“数字化转型时期银行金融机构IT风险管理与实务治理研讨会”分别在成都和上海举行。中国银监会银行业信息科技监管领导莅临研讨会并讲话,来自四川银监局、上海市银行同业公会的领导、ISACA、中治研专家、西南五省市银行业监管和金融机构等近70多人、上海地区中、外资银行等28家金融机构共同参与研讨。中治研信息科技风险审计研究中心副主任李长征发表题为“银行业信息科技风险管理研究与建议”的主旨演讲。

数字化金融与IT风险管理

中治研高级研究员、信息科技风险审计研究中心副主任李长征

李长征:中治研(北京)国际信息技术研究院高级研究员,中治研信息科技风险审计研究中心副主任。国资委、劳动保障部信息化管理师高级培训班特聘讲师,北京大学研究生班特聘讲师。专注IT治理、IT风险、IT审计和IT价值管理等领域。参与《实施IT治理:理念、方法与全球最佳实践》、《IT执行力》、《银行3.0:移动互联时代的银行转型之道》、《IT审计:管好信息资产》等书籍的评审工作。参与中国建设银行IT治理咨询项目、中国银行灾备制度流程项目、广东农信信息科技审计项目、东莞银行数据中心审计项目、微众银行IT审计体系建设项目以及徽商银行IT服务管理项目等近20个项目经验。

数字化金融与IT风险管理

李长征老师做主旨演讲

李长征老师主要从以下三个方面进行分享:

■ 银行业信息科技生态环境分析

■ 银行业信息科技面临的几大挑战

■ 对建立IT良好生态的几点建议

一、银行业信息科技生态环境分析

李长征老师首先分析了银行业信息科技生态环境的变化。当下,金融科技、云计算、大数据、物联网等新技术不断涌现和应用,银行业的开放和监管日益深入,跨业竞争者不断涌现,同业竞争也日益激烈,银行客户需求开始向差异化和多元化方向转变。外部政策和市场环境的变化,以及新技术的应用,导致信息科技生态环境出现了诸多变化,这些变化不断传导到信息科技工作,信息科技面临如下变化:

❶ 业务需求的差异化和创新需求的不断涌现

❷ 客观上依赖外包商,外包风险日益增大

❸ 更多系统接入互联网,面临更多入侵风险

❹ 科技预算面临紧缩的可能

数字化金融与IT风险管理

银行信息科技生态环境分析

生态环境变化带来银行盈利的变化,但随着信息科技的发展,非柜面交易占比已达一定规模,信息科技为银行提供了广阔的发展空间,并带来了银行业务的创新发展(如直销银行、微信银行等)。

未来银行将以移动互联网为主要渠道、以客户体验为创新导向、以综合服务为中心,银行的发展将更加依赖科技支撑和科技创新,科技能力将成为未来银行的核心竞争力。

二、银行业信息科技面临的几大挑战

根据中治研研究采样的银行情况,目前银行业存在的信息科技固有风险主要表现在:

所采样的银行大多存在信息科技定位不清,三道防线资源配置不足,工作开展频率不够,系统架构复杂,项目变更较大,运维资源配置不足,灾备场地标准不高,外包依赖程度较大等固有风险。

数字化金融与IT风险管理

固有风险分布

在控制有效性方面,所采样的银行大多存在信息科技治理职责运行机制模糊,制度有待优化,绩效普遍缺失,风险和审计开展不足,审计问题整改力度不够,项目管理精细化不够,测试管理有待加强,问题管理开展不足,运维手册有待加强,灾备体系待完善,外包风险评估和管控不足,数据安全待加强,配置基线管理不足等问题。

数字化金融与IT风险管理

控制有效性分析

— 固有风险指在没有考虑控制的有效性或其他风险缓释措施付诸实施之前就已经存在的风险。

— 控制是指能够减少风险发生的可能性或者风险引发的后果的所有行动、流程或规章制度。

采样银行的信息科技工作中,以下现象或问题表现较为突出:

❶ 需求管理粗放、计划考虑不周、项目延期和调整现象普遍

❷ 架构管控处于起步阶段

❸ 三道防线尚未形成防控网

❹ 信息安全精细化管理有待提升

❺ 信息科技人员投入不够,结构有待优化

❻ 外包依赖度较高,外包风险突出

❼ 互联网金融风险管理体系处于摸索阶段

数字化金融与IT风险管理

莅临上海研讨会现场领导及嘉宾

三、对建立IT良好生态的几点建议

银行未来的发展将更加依赖科技支撑和科技创新,科技能力将成为未来银行的核心竞争力,信息科技风险管理将为银行保驾护航。

银监会在《银行业金融机构全面风险管理指引(征求意见稿)》中已将信息科技风险作为一类风险,与银行信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险并列。

数字化金融与IT风险管理

银行业从BANK1.0到BANK3.0探索和研究

李长征老师认为,银行业信息化能力建设的总体思路应以系统架构为主线,以IT治理为抓手,整合“生态资源”,形成科技与业务的融合发展与创新,实现向“生态银行”(银行3.0)转型,服务于“生态客户”。

数字化金融与IT风险管理

“生态银行”概念图

在移动互联网、大数据、互联网金融快速发展的新常态下,业务创新能力、自主可控能力、风险控制能力、资源组合能力等方面的科技能力的竞争都可能最终转化成银行的整合实力。生态银行是未来银行业转型的必然。

此外,还需从行业的视角加强对银行业信息科技风险管理生态的建设。目前,银行业IT风险监管现状表现为两方面,一方面监管机构除制定监管指引和指南外,也会定期开展现场检查工作;另一方面监管机构要求金融机构建立科技、风险、审计三道防线以建立防控网。然而,存在的问题也是比较突出的,包括各金融机构由于科技风险定位、资源配置差异等原因,风险管理成熟度参差不齐(但由于有监管机构的定期现场检查,在一定程度上保障了不发生底线风险),以及一定程度上的信息不对称问题。

李长征老师认为,定位信息科技“风险”而非“安全”,具有动态、发展和体现价值的特点。在加强对银行业信息科技风险管理生态建设方面,可采用监管、银行和社会化服务协作持续提升科技风险管理水平。监管机构制定监管规则,引导行业生态的建立;银行构建三道防线相协同的科技风险防控网,可引入第三方机构加强审计和风险力量;第三方评估、审计机构开展第三方审计和评估工作,评估与审计质量监督机构对第三方评估、审计机构质量开展监督和检查;协会组织可建立行业规范、行业自律和行业资源的协调和共享机制。

数字化金融与IT风险管理

银行业信息科技风险管理生态

其中,建立行业自律和加强对第三方审计、评估机构的监管,具有多方面的好处。第一,采用“自上而下”的行政型监管和“自下而上”的自律型组织相结合的方式,能够有效降低监管成本,维护良好的生态体系;其次,可帮助建立人员规范和从业人员的职业规划;最后,可实现建立审计、评估报告的质量检查机制,笃实第三方所发挥的作用。

值得一提的是,由中治研等机构发起成立的中国计算机用户协会信息技审计分会(ITRAA)计划联合会员单位建立信息科技风险审计相关标准,规范行业自律,支撑监管合规。

数字化金融与IT风险管理

IT评估/审计生态建设

在引入第三方评估、审计机构开展第三方审计和评估工作时,李长征老师建议可采用治理视角、价值导向型审计模式(IT审计2.0),以改变过去注重监管合规的基于制度导向的审计模式(IT审计1.0)。

数字化金融与IT风险管理

从IT审计1.0到IT审计2.0

IT审计2.0的优势在于将审计置于行业、法律、企业战略、创新技术、监管合规、企业管理、内部控制全生态环境,从各个方面研究环境对审计对象的影响;审计重心前移,将战略分析引进审计,使风险分析走向结构化;自上而下与自下而上相结合,可有效降低监管成本,维护银行业IT治理良好生态。

News / 推荐新闻 More
2018 - 04 - 09
编者按“十二五”期间,中国银行业大力革新,经受了后金融危机时代的一系列考验,整体发展平稳健康。其中,信息科技发挥了关键作用,有力地支持了银行业务的跨越式发展。信息科技参与决策的层面逐步提升,与业务的协同效应进一步增强。信息科技投入增长显著,信息科技制度体系更加规范,架构管控水平不断提高。但是,银行业信息化建设和风险管理能力与进一步创新发展、深化改革、转型升级还存在一些不适应和不匹配,有些已经触及当前银行业发展的深层次问题,亟须在“十三五”期间取得切实进展。业务战略与科技战略联动不足,业务部门与科技部门的协调互动还不够顺畅。对信息科技的认识和重视还不充分,对信息科技部门的定位仍不清晰,科技人员的职业生涯、绩效薪酬与他们所发挥的作用、价值和贡献度还不匹配。数据价值挖掘不充分,数据服务的机制、方式方法与业务发展和创新的需要还不够匹配。内部、同业和跨业的信息共享机制亟须建立。 本书开出了...
2018 - 02 - 05
编者语共建信息科技外包良好生态,促进各行业科技创新、稳健发展。《金融级信息科技外包商风险管理规范》标准编制启动会在京顺利召开。岁末年初之际,中国计算机用户协会信息科技审计分会根据《中华人民共和国标准化法》和《关于培育和发展团体标准的指导意见》中有关鼓励团体标准的法规和意见,正式启动了《金融级信息科技外包商风险管理规范》(以下简称“规范”)标准编制工作,与业内各界同仁达成了推动信息科技外包规范化建设和共建外包良好生态的共识。此前9月22日,信息科技审计分会曾组织召开“金融信息科技外包风险管理研讨会”。研讨会当天最重要的成果是与会者充分认识到了金融行业信息科技外包服务和风险管理的重要性、紧迫性,深刻分析了外包过程中的痛点、难点和价值点。本次外包商风险管理规范得到了近30家会员单位的参与和支持。会上,分会副理事长、规范编制组组长、华夏银行信息科技部副总经理李印波指出,编制本规范的现实意义是为促进...
2018 - 02 - 05
编者按:中国计算机用户协会信息科技审计分会是由从事信息科技、风险控制和审计相关的机构和人员自愿组成的,经国家有关部门正式批准成立的行业性、非经营性的社会组织。分会的宗旨是通过建立信息科技风险控制和审计专业服务平台,共建、共享信息科技风险控制和审计理论研究成果和最佳实践,为提升我国信息科技风险控制和审计专业水平,提升相关行业和机构的信息科技风险控制与审计水平,进而提升相关行业和机构的信息科技治理能力发挥积极作用。2016年12月22日,中国计算机用户协会信息科技审计分会在京正式成立。2017年12月22日是信息科技审计分会成立一周年的日子。分会成立以来已有来自银行、证券、保险、能源、科研、院校、IT企业和社会团体等82家单位正式加入分会。分会理事会坚持“共同建设、共享服务、协同治理、依法营造信息时代我国行业、企业治理良好生态”的发展思路,把“全心全意为会员提供优质、增值服务,共同为各行业信息...
2018 - 01 - 28
编者按:近年来,数字技术变革带动我国金融创新不断迈上新台阶,大数据、云计算以及移动互联等数字技术改变了金融服务触达用户的成本和效率,帮助银行业金融机构、非银机构、金融科技公司等更好地了解客户、辨识风险成本和效率,提供不分时间、地点和方式的7*24小时全天候移动金融服务。可以说,有了技术的改变,今天的金融是不一样的金融。与此同时,移动金融的创新发展与应用安全也成为多方关注的重点。随着国家《网络安全法》的正式出台,对网络安全等级保护、关键信息基础设施安全保护、用户信息保护等制度进行了明确规定。银行业网络和重要信息系统是国家关键信息基础设施,金融机构作为关键信息基础设施的运营者,需高度重视网络安全和风险管理能力,依法创新、循法管理,推动我国移动金融科技安全、普惠发展。2017年12月1日,由中国计算机用户协会信息科技审计分会主办、中治研、梆梆安全承办的“金融级应用安全研讨会”在北京贵都大酒店成功...
--Copyright © 2005 - 2020 中治研(北京)国际信息技术研究院
犀牛云提供企业云服务
地址:北京西城区金融大街广成街4号金宸国际3号楼6-1106
电话:+86 010-66216895
传真:+86 010-66216895
邮编:100032