淺析商業銀行信息科技風控合規體系建設

隨著商業銀行數字化轉型進程加快，移動互聯、云計算、大數據、人工智能等一系列前沿技術與商業銀行的業務創新正在深度融合。銀行依托信息科技為客戶提供3A（Anytime、Anywhere、Anyway）標準模式金融服務的同時，與之相關的信息科技風險已日益成為影響商業銀行穩健發展的重要因素，這對信息科技風險防控與合規體系建設提出了更高的要求。本文對商業銀行信息科技風險管控工作面臨的新形勢進行了分析，基于對信息科技風險特性及管控重點與難點的分析，探究并給出了商業銀行信息科技風險管控與合規體系建設的對策建議。

商業銀行信息科技風險管控工作面臨的新形勢

風險管控是銀行經營與管理的重點內容，更是銀行穩健發展的生命線。隨著商業銀行業務種類及其復雜程度的增加，銀行越來越依賴系統和網絡拓寬客戶、產品、區域，使得業務交易突破時間、空間、渠道的限制。信息科技作為全面融入銀行業務經營的重要環節，對其進行有效的風險管控已成為現代商業銀行長治久安和可持續發展的重要基礎。

由于銀行業數字化轉型進程的加速，以及內外部安全形勢的日趨復雜，銀行信息科技條線不僅需要應對內部的管理、系統漏洞缺陷等引發的風險隱患，還需要及時識別外部新增的業務欺詐、網絡攻擊等多類型風險并進行響應處置，以避免大規模網絡攻擊、信息泄露、系統中斷等事件的發生。

商業銀行信息科技風險管控的重點與難點分析

1.商業銀行信息科技風險管控的重點分析

縱觀近年來金融機構發生的案件和重大風險事件，因信息科技支撐不足或系統故障引發的業務中斷事件，以及利用職務便利或管理漏洞泄露、倒賣客戶信息，利用系統漏洞非法侵入計算機信息系統、違法獲利等案件屢見不鮮。

結合對歷年重大風險發生情況的分析，可將信息科技風險管控重點主要分為：業務中斷風險、數據安全風險、系統漏洞風險、IT外包風險等四大類，詳見圖1。業務中斷的風險主要體現在軟硬件故障、系統運行維護不當、機房物理環境遭受破壞、網絡癱瘓或設備配置異常等方面；數據安全的風險主要體現在系統備份數據異常、生產數據脫敏不足、數據獲取權限設置不當、黑客竊取威脅、員工惡意查詢泄露等方面；系統漏洞的風險主要體現在流程架構設計不當、應用程序編碼漏洞、底層操作系統漏洞、修復加固不當引發風險等方面；外包集中的風險主要體現在外包戰略失當、外包人員過度授權、外包管理要求缺失、服務過程管理不足等方面。

圖1    四大類主要信息科技風險

隨著全球個人信息保護立法的加速和趨嚴，由于掌握著大量客戶高度敏感的賬號、資金等信息數據，金融機構如因保護不善導致客戶信息泄露，將導致巨大的法律風險和資金處罰。此外，銀行用戶對金融服務獲取的便利性、及時性要求逐步提高，信息科技支撐對銀行的生存和發展起到著舉足輕重的作用，從商業銀行全行角度來看，如科技運維能力不足以應對企業業務發展要求，或將引發大規模全局性、系統性風險。信息科技風險已日益成為影響商業銀行業務發展的重要因素，商業銀行持續加強對相關信息科技風險的管控、提升自身風險管控能力迫在眉睫。

2.商業銀行信息科技風險特性及管控難點剖析

隨著信息技術的長足發展及業務創新的不斷深化，銀行業信息科技風險的誘因、影響范圍、表現形式等也在發生顯著變化，對其總結分析主要體現有以下特性。

一是泛在性。信息科技風險在科技運營、業務運營和外部合作等各類日常管理經營活動過程中廣泛存在，內嵌于各級機構、各條線部門的管理和業務流程。

二是隱蔽性。在一定情況下風險隱患容易被忽視，但隨著內外部環境的變化會逐步暴露出來。例如，信息系統在訪問量激增時崩潰，內部操作、管理漏洞在獲利誘惑下易被內部人員惡意利用等。

三是復雜性。引發信息科技風險的因素復雜多樣，不限于自然因素、人為因素、技術漏洞、管理缺陷等，加之銀行多部門之間信息的不對稱，風險的發生具有一定的偶然性、難以預測，相關情況如未得到及時、充分、有效地傳遞，將使得突發信息科技風險的發現、排查、處置等更趨于復雜。

四是嚴重性。因金融機構服務對象復雜、分布廣泛，提供的服務與國計民生息息相關，信息科技風險一旦發生影響范圍和后果嚴重，重大風險事件將可能導致銀行服務中斷、資金損失和客戶流失，甚至可能導致機構聲譽受損、受到嚴厲監管處罰等嚴重后果。

信息科技風險的上述特點，使商業銀行在防范信息科技風險時主要面臨有以下難點。

一是合理的風險管理目標和容忍度確立。在金融科技驅動銀行業務發展的浪潮下，銀行為增強競爭力在加速推進數字化轉型工作，隨著銀行先試先行的探索、業務模式的轉變、技術重心的轉移，信息科技風險高發領域、表現形式等也在改革與發展中不斷變化。由于風險容忍度決定了信息科技風險的管理策略、管控重點和控制強度，合理的風險管理目標和容忍度確立，要在穩健經營與長足發展中取得平衡，并對信息科技風險監控要點動態補充和更新，以避免老舊信息科技風險點不適用，而新的信息科技風險點又未納入風險監控而與實際脫節情況的發生。

二是各機構、各條線、各部門的有效協同。國家金融監督管理總局《商業銀行信息科技風險管理指引》強調，商業銀行信息科技風險管理不只是信息科技部門的事，而需要董事會、管理層、各部門、各級機構的直接參與，齊抓共管才能取得實效。其中，商業銀行信息科技風險防范中“三道防線”的設置是落實全面風險管理戰略的重要組成機制，若角色不清晰、職責不明確，各方資源將不能有效整合、形成合力，風險管控質量和效率將難以提升。“三道防線”中科技部門作為第一道防線，承擔著信息科技治理、科技風險管理的直接責任，要避免“重開發運維、輕風險管理”的思想，在加快信息化建設和做好系統運行管理的同時，更應將風險識別、控制和檢查監測在源頭把好關；作為第二道防線的風險管理部門和內控合規管理部門，以及作為第三道防線的審計部門，也亟需專業化的信息科技人員、管理工具、機制方法，方能更好地承擔信息科技風險管理的主體責任，進而與第一道防線部門相互制約、相互促進。

三是合規文化建設和安全意識的提升。企業整體安全水平往往取決于其短板，人是風險管理中最為關鍵的因素、也是合規管控中潛在的最薄弱一環；內部員工一旦誤操作或是惡意破壞，看似完善的內控機制也將被打開缺口，后果必將是災難性的。商業銀行員工合規文化是企業文化的重要組成部分，所有的風險管理策略、管理規范、管理措施最終都需要人的加入才能發揮作用，只有不斷加強每一位員工的主人翁意識、敏銳的安全意識和擔當作為精神，通過常態化風險宣貫與運動式教育活動等方式，久久為功使員工牢固樹立“我的合規我負責、他人合規我有責”的理念,自覺與違反法律法規、職業操守、規章制度的各種行為作斗爭,才能從根本上有效遏制風險，風險管理體系才能切實發揮出期望的作用。

商業銀行加強科技風控合規體系建設的對策與建議

1.信息科技風控合規體系的建設原則

根據信息科技風險特點，商業銀行應將信息科技風險納入全面風險管理體系進行專業化管控，打破傳統的條線壁壘和“部門銀行”思維，通力合作管控風險。結合信息科技風險特性，商業銀行風險管控與合規管理工作應堅持理性管控、合規先行、量化考核、合作共治四大原則。

理性管控：理性認知風險是客觀且廣泛存在的，不追求不計成本的絕對安全，避免無限制的管控阻礙新技術的使用和業務的創新，有效保障風險管理與業務發展兩不誤。

合規先行：確定合理的風險管理目標和容忍度，從合規角度出發，守住風險底線，確保不發生長時間大范圍的系統中斷、大規模信息泄露等科技風險事件或違法違規案件。

量化考核：根據監管要求、風險形勢、系統等級等實施差異化量化考核，對監管或企業內部專項治理領域，或是特殊時期、特定類型信息科技風險可適當提高相關考核力度。

合作共治：既要加強銀行機構內部條線、部門之間的交流，又要加強與監管部門、安全機構、外部合作伙伴的合作交流，建立信息安全情報、正反面典型案例等信息通報分享機制，共同打造金融機構安全生態。

2.信息科技風控合規體系的管控方法流程

在確定信息科技風控合規體系建設原則的基礎上，應進一步運用風險管理的方法科學管控信息科技風險。因信息科技風險管理并非一個時點的工作，而是一個持續改進的循環流程，用經典的PDCA循環（戴明環）這一通用模型對其進行概括，主要可劃分為以下“四步”。

一是要運用科學的風險管理方法加強頂層設計，根據企業風險偏好合理設置風險管理目標和容忍度，在充分識別法律法規和監管機構要求等內容基礎上，制定詳細的信息科技風險管理標準和策略，建立保障制度和機制，并合理設置風險計量量化考核指標，加強考核導向，助力各項風險管理策略有效落實。

二是以科技部門作為信息科技治理實施主體，在全行范圍內逐層逐級組織落實好生產運行、信息安全、業務連續性、科技外包等方面管控內容，重點關注新技術新架構引入、系統開發測試、投產變更、外部安全態勢監控、漏洞缺陷修復、供應商合作、信息科技外包等風險高發領域。

三是與業務部門、二三道防線部門、相關外部機構在風險識別、評估、監測、報告等環節充分溝通，通過全面性或專項性風險檢查評估、信息科技審計、關鍵風險監測指標自動化分析報告等手段，持續提升企業信息科技風險揭示發現能力。

四是建立并動態更新信息科技風險庫，針對確認為風險的情況，及時推動開展相關處置、改進、驗證工作；同時，根據行業監管重點、科技發展調整情況、階段檢查評估結果等，做好信息科技風險管理策略、制度規范、量化考核指標、關鍵風險監測指標等的動態調整，持續提高對重大信息科技風險的管控水平。

3.加強科技風控合規體系建設的對策與建議

結合信息科技風險的四個主要分類，本文重點從信息科技部門角度對加強生產運行、數據安全、業務連續性、科技外包等過程中的風險管控，通過對管理與技術并重的管控措施的介紹，對做好信息科技風險防控措施與案件事件防控工作給出如下對策建議。

（1）自頂向下加強風險管理制度建設、改進監測與考核管理，讓制度要求發力生威。

一是按照企業戰略規劃與風險偏好，制定發布適應的信息科技風險管理策略，通過風險管理頂層制度建設，確定合理的風險管理目標和容忍度，強化對重點領域的風險管控，以提高業務連續性保障水平。信息科技風險管理策略是信息科技風險管理的基準，具體可包括研發測試風險管理、生產運行風險管理、網絡安全防護、應急容災管理、IT外包管理、供應鏈安全等。

二是完善IT風險自動監測平臺建設，提升對重要風險指標的識別預警與改進監督，詳見圖2。建立和完善IT風險自動監測平臺需要一、二道防線通力合作，在充分識別、評估重點領域各流程環節關鍵風險的基礎上，可將包括交易成功率、重要系統可用率、投產變更成功率、網絡安全事件數等關鍵信息科技風險指標納入自動化監測范圍，動態設置合理的預警閾值并做好持續監測，及時預警處置系統運行、網絡安全、基礎設施等各類重要風險，提高風險事件的預警效率、響應速度和處置效果。

圖2 商業銀行信息科技風險監測流程

三是根據監管要求和風險形勢開展好信息科技重點領域、關鍵環節的檢查評價，并做好評價結果的應用傳導，通過考核導向督促加強信息科技風險防控的主動性。例如商業銀行可自主對照監管要求，組織開展如關鍵基礎設施、商用密碼應用安全、IT外包管理等專項檢查評價，并強化對重點領域檢查評價結果的量化考核，促進制度要求的有效落實執行；尤其對監管或企業內部專項治理領域、或特殊時期、特定類型信息科技風險提高考核力度，謹慎防范重大信息科技風險事件的發生。

（2）修煉提升內部功底，持續加強產品研發及生產運營環節的基礎風險管控。

一是審慎做好企業技術架構規劃設計。適時審慎地引入并應用新技術棧、新系統架構，提供信息系統“需要即切、切則可用、用可持續”的強效異地多活能力，從系統架構的魯棒性角度消減業務連續性風險。

二是強化項目流程管控，產品研發安全先行。在需求分析、產品設計、編程開發、軟件測試等各環節嚴格遵照標準和制度要求：在產品分析設計階段既考慮業務功能的實現，也要進行軟件安全需求分析、設計，如防范SQL注入、跨站腳本攻擊，以及業務流程上的邏輯缺陷等；通過源代碼安全檢查、Web應用安全掃描等技術手段，加強終端APP、后臺應用等的安全保障，降低系統帶病運行的風險。同時，也應注意軟件供應鏈安全，如安全開發環境的搭建，使用正版開發工具，確保開發過程的安全可控，避免類似XcodeGhost事件的發生。

三是做好生產系統及IT基礎設施的運行維護，將投產變更管理、生產運行監控、漏洞缺陷修復、外部威脅監測、應急響應處置等各個環節落到實處。其中，充分預判和挖掘新技術引入的新風險，并充分運用新技術應對新問題也尤為必要，如可積極研究大數據、人工智能在安全態勢感知、威脅情報分析、安全策略集中管控等外部威脅監測領域的應用等。

四是打破“部門銀行”思維，加強業務部門與科技部門在產品研發及生產運營等環節的聯動協作。通過懂科技又懂業務的人員靠前參與，如聯合開展系統正式上線前的合規性審查等，共同運用風險識別、控制、檢測等手段來實現信息科技風險管控目標，避免因產品業務流程設計缺陷、風險評估不全面等，引入外部惡意業務欺詐、敏感信息泄露等風險，防范信息科技風險演變為金融業務風險等可能。同時，建立暢通的外部溝通聯系機制，加強與監管部門、同業機構、合作供應商等在威脅風險信息收集、分析、通報和應急處置等方面的溝通、交流與合作，化被動為主動，為預防化解外源性、行業性、供應鏈等領域的威脅風險提供助力。

（3）加強信息科技風險管理團隊建設，強化對全體員工的合規宣貫與行為管控。

一是商業銀行應健全專業的風險管控團隊，有效夯實“三道防線”管控機制。無論信息科技工作的環境發生什么樣的變化，信息科技工作的本質和基本原理并不會變；無論何時何地，人永遠是風險防控的核心，只有高超的偵察員才有高超的反偵察能力。在第一道防線上，應從制度、規劃、運維、安全、應急、外包、合規等職能角度設置必要崗位，完善各專業條線的相關團隊，形成協同聯動管理機制；在第二、三道防線配備具有信息科技工作經驗的員工，強化信息科技風險監控，充分發揮獨立性、專業化和系統性的風險管理能力。

二是增強全體員工的風險合規引導管控，塑造合規審慎的工作氛圍。定期對全體員工進行意識宣傳倡導、技術培訓輔導、技能考核引導等，提高全員安全從業意識、風險防控意識和實操能力，并將系統用戶權限控制、不相容崗位分離、高危操作管控等人員風險控制措施嵌入第一道防線的各流程系統中，通過“教育考核+系統管控”的管理途徑，解決好員工對違規行為“不想做”“不敢做”“不能做”的三個問題，有效防范類似光大“烏龍指”等人員誤操作事件的發生，切實提升安全風險管控能力和員工行為管控有效性。

三是不斷夯實科技案防體系建設，鼓勵在內部形成敢于揭示、主動消除從業人員風險隱患的合規文化。結合對過往案例的分析，我們會發現內部員工引發的風險威脅或是企業風控合規體系中最短的一塊板。企業發展、業務創新給IT從業人員帶來了巨大的挑戰與機遇，但另一方面，IT員工長期處于高壓緊張、身心疲憊等狀態，如企業對員工缺乏人文關懷，則易引發操作失誤甚至如“微盟刪庫”的蓄意破壞事件，或因缺乏資金販賣客戶信息等網絡安全事件。為及早識別出潛在的人員威脅，商業銀行可構建基于全流程數據分析驅動的案件風險排查機制，應用集成有大數據監測模型的智能化案防管理平臺，堅持問題導向，部署開展精細化、網格化的案件風險排查，及早發現揭示員工潛在的行為風險并開展相關的關懷化解，降低誘發IT風險事件、案件的可能，牢牢把安全合規管理主動權抓在自己手里。