浅析农业银行信息科技风险管理策略

(整期优先)网络出版时间:2018-12-22
/ 2

浅析农业银行信息科技风险管理策略

王勇

中国农业银行股份有限公司攀枝花炳草岗支行四川攀枝花617000

摘要:为了适应银行业务现代化、信息化的要求,信息时代的多种新型科学技术都被广泛应用于银行业务的管理之中。银行的金融服务信息化虽然使得用户体验得到极大的提升,但信息化带来的风险管控也是银行应当仔细分析并进行全方位规划的战略问题。为了有效提高银行的风险防控水平,维护信息科技在银行业务中使用的安全性,本文从风险管理的角度出发,详细分析并提出了农业银行信息科技风险管理的策略。

关键字:农业银行;信息科技;风险管理;策略

引言

信息系统安全运行是任何银行业务正常开展的必要前提和基本保障,它不仅影响到银行的声誉和金融安全问题,若银行的信息系统失去安全保障,还会在未来银行的客户来源和社会经济稳定发展方面造成一定损失。笔者详细分析了农业银行的信息科技风险管理策略,旨在为农业银行信息科技风险管理的安全性提高做出微薄的贡献。

1银行信息科技风险管理架构

1.1IT治理

银行的信息科技风险管控任务直接由IT部门来直接管理,对信息安全存在的风险进行防范和管控,制定相应的预警指标,掌握好技术控制的同时,建立科学的应急处理系统,对可能发生的安全问题都要做好防备工作。

1.2IT风险管理

IT风险管理应由内控合规管理和风险管理部门进行合作。先由风险管理部门将所有的银行信息科技风险整合成一个体系,建立信息科技的风险控制标准,做好统计信息科技风险的事件数量以及事件发生后的反思和再评估等工作。为了有利于对信息科技风险的评估和监测,还应当对不同事件进行分类和分级处理。内控合规管理部门则负责对风险管理部门的风险控制制度进行督察和审核,同时监督他们的内部控制、合规管理工作。

1.3IT审计

审计部门要根据银行的相关监管要求,对风险状况做出判断,属于进行信息科技风险管理和评估的独立第三方机构,对风险管理工作、内部控制工作是否有效开展进行监控和评估,能够更好的促进银行的信息科技风险管理。

2农业银行信息科技风险的主要特点

2.1复杂性

造成农业银行信息科技风险升高的要素有很多,这就使得农业银行的信息科技风险管理存在一定的复杂性。如在系统升级、运营维护过程中,不仅涉及到系统的程序复杂,同时考虑到信息系统的建立需要多人管控的人员负责性,信息科技的风险不仅来源于人员的操作失误,也来源于复杂的计算机技术本身,因此,要建立好完善的银行信息科技风险管理体制,保障信息安全的同时,维护银行业务的可靠性。

2.2广泛性

农业银行的信息科技风险事件一旦发生,将会对社会产生广泛的影响,无论是对个人、企业还是国家经济来说,都会是一次重大的打击。信息安全的问题往往会产生连锁反应,不仅会使得银行的声誉受到损害,同时也可能会对国家信息机密的安全造成巨大影响。

2.3隐蔽性

由于信息技术本身存在复杂性,若在银行的信息科技系统中出现了漏洞,可能不会很快被监测到,也就是银行信息科技风险存在一定的隐蔽性。而这种特性就给银行的信息科技风险管理带来了难度和挑战,为此,要建全完善的风险管理系统,对信息科技部门的工作进行有效的监督,防止内部人员操作失误的同时,降低银行的信息科技风险。

3农业银行信息科技风险管理难点

3.1信息科技风险管理辩解定位认识的差异

在信息科技风险管理过程中,信息科技部门常把工作重点放在加快信息化建设和做好系统运行管理方面,对信息科技的风险控制和检查监测工作有时重视不够,没能够将各种风险控制措施内化到日常管理活动中,实现更有效的事先风险控制。有效的运用风险管理方法,能够降低各种风险的威胁和影响。若风险管控部门没有危机预防意识,就难以充分发挥信息科技风险管理的价值,造成信息科技风险管理工作重点不突出、考核管理导向偏差、工作效率不高等问题。

3.2信息沟通和分享缺乏有效监管渠道

从风险管理考核制度方面来说,如果清晰地上报了IT管理中的风险隐患,将“不利于”其部门的绩效考核,故常存在以“半封闭、半遮掩”应对考核监督部门的信息科技风险监控检查工作,掩盖存在的风险隐患。在信息科技部门内部消除的风险隐患不能如实报告,存在漏报、少报甚至降低等级报告风险隐患的现象,导致各个部门之间获取的信息不一致的问题;在监控检查过程中提供的IT资料内容失真,不能充分反映信息科技风险隐患的真实情况。

信息科技部门日常运维过程中,存在用技术性问题掩盖管理和人为操作错误的情况,导致风险隐患的根源问题得不到彻底解决。同时这些信息科技风险事件和隐患没能及时、充分地传递到监管考核部门,导致其无法对该类事件和隐患进行统计、分析并及时给出修进建议,从而会造成更加严重的后果。

3.3各个对部门信息科技风险管理功能认识不全

信息科技部门内设的各种科室都存在认知不充分的问题,浅显地认为信息科技风险管理应由信息安全管理科室承担,而信息安全管理科室则认为应由信息科技各子专业科室承担其相关风险管理职责,这种职责认识不清的现象使得各科室信息科技风险责任边界不够明确,相关部门之间的资源不能有效整合,风险管控质量和效率难以提升。

3.4监管部门的信息科技风险理念缺乏

由于信息科技风险管理涉及专业知识深,对技术人员的知识面要求广,监控人员需要具备良好的专业知识和综合实践能力。在技术和监管部门若缺乏具有相关专业的信息科技风险监控人员,就难以保证对信息科技风险的防控和合理操作的有效性。

4农业银行信息科技风险的管理策略

4.1合理运用风险管理的方法

4.1.1确定农业银行的信息科技风险管理目标

对于不同的信息科技银行服务,要有不同的管理办法。在关键的信息科技领域,如涉及国家重大活动的信息等重要的敏感机密,以及关乎社会经济稳定发展的核心信息,应当实行零容忍的管理体制,并将关键信息科技风险容忍度指标纳入操作风险经济资本计量体系。而类似于局部网点程序存在威胁不大的小漏洞导致系统暂停运行的情况,其容忍度是高于前一种情况的,但也要在事件发生时及时的安抚客户情绪,向他们耐心的解释并得到客户的理解,维护农业银行的声誉。

4.1.2制定信息科技风险管理标准

为实现银行信息科技风险的科学管理,分类分级的原则是基础。对于信息系统要进行科学的分类,将其划分为不同重要程度的几个类别,有利于对科技风险管理的分类。而科技风险要实行分级管理的原则,按照严重程度和发生频次的不同划分等级,对于不同等级的风险事件,采取不同时限的处理方式,使得银行业务能够尽快恢复,损失也减小到最小。

4.1.3计量和考核

信息科技的防控要主动化,按照操作风险高级计量法管理方式,建立信息科技风险计量标准和模型,通过模型的数据分析,制定中断时长与损失的转化关系标准,从而实现风险计量化。而考核,则要根据监管要求和风险形式来进行不同程度的考核,对于特殊机密领域的风险事件考核,要大幅度提高信息科技风险经济资本计量标准。

4.2实现以排查和预防为主的信息科技风险管控

无论是IT部门还是管理部门都要落实风险防控的具体措施和手段,做好自我监督和检查,同时要重点注意对关键风险控制措施和执行情况的检查和评估,根据评估结果检查IT部门的风险管理水平,将信息科技风险事件扼杀在摇篮里,完善制度同时预先排查和解决风险隐患。

4.3完善信息科技风险信息的有效沟通和共享

银行内部有多个部门对银行的信息科技风险进行监督和管理,各部门之间应当实现信息的沟通和共享,及时组织会议对管理制度进行讨论分析和更新,提高全员的信息科技风险意识。同时,对于IT监控评估的报告,应当做到横向沟通,从而加强对银行的信息科技风险管理。对于发现的风险隐患,也要将其进行风险分析和检查,以及自评估和监管评级,将详细的隐患分析资料及时传递到上级监管部门,实现信息的纵向传递。

4.4提高风险识别和评估的时效性

为了提高风险识别和评估的效率,要组建专业的信息科技风险评估团队,建立常态的信息科技风险评估机制,评估检查团队成员应由风险管理条线、信息科技条线、内控合规条线人员组成,成员应覆盖机房、网络、主机、开放平台、应用、信息安全等专业领域。评估检查团队要考察重点领域的风险要素,制定风险评估手册,制定信息科技的明确评估标准。此外,IT部门还应当按时定期进行信息科技风险自评估,主动查找风险隐患和改进薄弱环节,优化信息科技风险管理策略。

5.结语

实现对于农业银行的信息科技有效风险管理是农业银行的业务有序进行的基础,完善的银行信息科技风险管理体系,不仅是提高农业银行在行业中综合竞争力的有效手段,同时也是为用户提供稳定、安全的金融服务的重要保障。

参考文献:

[1]丁光华.关注中小银行信息科技外包风险和安全管理——中小银行信息科技外包分析及应对策略[J].时代金融,2016(24):106+109.

[2]戴庸鸣.农业银行信息科技风险管理策略研究[D].华东师范大学,2016.

[3]钱峰.适应信息化建设的商业银行信息科技风险管理策略[J].现代管理科学,2017(02):33-35.