银行业科技项目业务风险管理解析

一、银行业科技项目业务背景

         现阶段商业银行都已经完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,银行业金融机构的信息科技风险有增大的趋势,银行业和监管当局都日益重视信息科技与操作风险的管理和监管。

       银行业科技项目风险管理,旨在加强银行业信息科技风险管理与监管领域重大、战略、前瞻性问题,不断强化银行业信息技术基础研发能力、应用能力和创新能力。

二、银行业科技项目业务风险

    信息科技风险主要是商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。

三、银行业科技项目业务风险解决方案

  维普时代依据IT风险管理原则与IT风险管理生命周期方法论,综合通过差距风险获得的具体需求,设计、规划IT风险管理的目标框架,指导IT风险管理机制与体制建设。

 1、组织体系建设。建立IT风险管理组织,采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队,采用虚拟团队的方式向全行提供IT风险管理专业服务,并设立必要的实体化专业支撑中心。

 2、管理流程制定。融合IT风险管理生命周期与主要IT流程,针对IT操作风险与信息安全风险,建立总体与具体两个层面的风险管理流程,明确各层面IT风险评估流程的触发机制,将风险与安全管理工作制度化、日常化,确保其有效执行。

 3、控制体系建立。根据风险评估结果、IT风险管理原则及控制策略设计控制措施,通过完善的IT风险制度体系加以明确,并通过风险监测与再评估实现对IT风险控制的持续改进。

 4、技术架构完善。完善信息安全规划的基础设施/技术架构,设计IT风险管理技术架构,并推动安全信息管理技术平台的建设以及推广。

 5、三道防线。通过IT风险管理框架,商业银行可以形成三道防线:

 第一道防线:由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施,形成事前防范的第一道防线,为业务运行安全打下良好的基础。

 第二道防线:由运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。

 第三道防线:由应用恢复保障体系与内外部审计构成事后控制的第三道防线。针对各种突发灾难事件,建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。通过内外部审计,保障IT风险管控体系的有效运行。