信息科技风险管理构建.docVIP

信息科技风险管理构建 随着银行业对信息技术的依赖程度日益提升，信息科技风险亦随之上升。信息科技风险具有影响范围广、突发性强、技术含量高、复杂度高、隐藏性深等特点，直接影响商业银行的稳健经营，关乎商业银行声誉、金融安全和社会稳定，是商业银行面临的主要风险。如何在快速推进信息系统建设的同时，加强信息科技风险管理，减少或杜绝银行因信息科技而给自身或客户带来损失，是银行目前信息化建设需要研究的重要课题。信息科技风险管理现状作为第一家从农信社成功改制的北京农商银行，与四大行及股份制商业银行相比，信息科技基础十分薄弱。 近几年来，在领导高度重视下，我们加大了信息科技建设的推进力度，大大缩小了与同业科技差距：建成了现代化、高标准的信息系统数据中心，初步形成同城生产和灾备两中心模式；全面开展网络改造，将广域网三级架构改为二级架构，各营业网点配置2条专线，分别直接上联生产中心和同城灾备中心，实现了业务网与互联网专网进行物理隔离，增强了网络系统的稳定性和安全性；建设完善了网上银行、银行卡系统、资金债券系统、信贷系统等应用系统，形成了结构清晰、业务功能基本满足业务发展和经营管理需要的应用系统体系。相对于信息化建设发展水平的快速提高，我行的信息科技风险管理水平略显滞后，也与监管当局的要求存在一定的差距。开发测试体系建设需进一步完善，代码质量管理、Bug管理、开发过程管理、测试管理需进一步加强；系统运行管理有待改进，生产系统监控和流程管理自动化管理手段不足，逻辑访问控制有待加强；业务连续性管理及应急体制建设有待加强，应制订全行性的业务连续性规划及应急演练方案，并定期更新，切实发挥相关部门职能，按要求组织开展应急预案的演练，提高应急演练的有效性和覆盖面。李秀生:北京农商银行的信息科技风险管理制度体系涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度，每年进行一次评估和修订，并在全行范围内印发执行，确保制度的科学性、合理性和可操作性。信息科技风险管理进展为了提升信息科技风险管理水平，北京农商银行根据监管要求，结合信息科技建设实际情况，不断完善科技风险管理治理架构，初步建立了科技风险防控体系，有效预防和消除了科技风险事件的发生，确保了生产安全稳定运行和信息安全。 1.完善信息科技风险治理结构，明确信息科技风险“三道防线”的职责。成立了信息科技管理委员会，除了审议信息科技战略规划、推动信息科技建设的职能外，着重加强审议信息科技风险管理、信息安全策略、信息安全重大事项和信息安全评估报告等科技风险管理职能，强化了科技风险管理体系建设中高层的推动作用；设置了首席信息官，直接参与跟信息科技运用有关的业务发展决策，确保信息科技各项工作的有效开展和落实；形成了由信息科技部门、风险管理部门及审计部门组成的信息科技风险“三道防线”。 2.持续建立健全信息科技风险管理制度体系。对现有信息科技制度体系进行了整体评估，重新梳理确定信息科技制度体系架构，建立包括制度、实施细则及技术规范（标准）三层架构的制度体系。同时规范对现有制度的管理，形成了《信息科技制度汇编》，涵盖开发测试、运行维护、设备管理、安全管理、风险管理等方面计31项制度，每年进行一次评估和修订，并在全行范围内印发执行，确保制度的科学性、合理性和可操作性，有效指导信息化建设和风险管理工作的开展。 3.事前、事中、事后管理并重，提升信息科技风险管理水平。一是强化风险防控意识，防范于未然。持续对全体科技员工进行风险意识教育，树立对风险防控的高度敏感性和责任心，积极向员工传导遵守法律法规和实施内部控制的重要性，培养员工的诚信和道德，规范员工职业行为，从源头上控制、减少潜在风险的发生。二是健全内控机制，规范事中管理。科学合理设置科技岗位，明确每个岗位的职责、权限，建立了逐级授权和审批机制，并制定相应控制措施；规范岗位操作流程，重要操作如版本迁移、数据修改等实行双人制，一人操作，一人复核，防止出现控制真空，产生风险；同时重视利用技术手段来强化风险管理，如批量作业自动化系统、系统和网络监控系统监控系统的建成有效地提升了系统运维风险管理水平。三是加强信息科技风险的识别和检查，持续督促、跟踪整改，深入挖掘信息科技运行及管理存在的问题和潜在风险，制订整改措施并积极整改。建立内部定期专项检查机制，根据每年年初制订检查计划，进行检查，详细记录检查结果，建立风险整改台账，定期对整改情况进行监督及跟踪。除加强上述自查工作之外，还积极配合监管当局开展各项检查，积极借助外部的力量帮助发现问题，查找隐患，从而提升科技风险防范能力。 4.加强信息安全体系建设，强化信息安全管理。完成了信息安全体系规划，建立科学合理的信息安全体系框架，制定较为完善的信息安全策略；通过实施网络边