金融科技时代的信息科技外包风险管理
栏目编辑:梁丽雯 E-mail:liven_01@https://www.360docs.net/doc/c917877748.html,
2019年·第5期
20
金融科技时代的信息科技外包风险管理
■ 广东华兴银行 李 燕
作者简介:?李 燕(1979-),女,湖南浏阳人,管理科学与工程硕士,电子技术工程师、经济师,供职于广东华兴银行,信息科技部 总经理助理,研究方向:信息科技管理、信息安全、金融科技。收稿日期:?2019-03-25
金融机构业务的迅速发展和市场竞争的日益激烈,大大提高了对科技支持能力的要求。金融机构特别是中小型机构普遍存在信息科技人力资源匮乏、技术能力欠缺等问题,人员数量和质量均不能满足业务发展对科技的要求。因此,大部分金融机构大量采用信息科技外包的方式,作为自身科技力量的补充。但凡事均有两面性,信息科技外包是一把“双刃剑”,在给金融机构带来专业化能力、推动科技创新、提高科技效率、实现科技对业务支持的同时,也会引发一系列的外包风险。近年来,金融行业陆续出现的外包风险事件给金融机构和监管机构敲响了警钟。信息科技外包风险管理,成为金融机构信息科技风险管理的重要组成部分,也成为金融行业监管的工作重点
之一。
金融科技时代,随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,金融机构与外包商的合作模式和合作关系也发生了变化。新的机遇意味着新的风险,因此,除了传统外包安全管理手段外,还需要结合新时代的特点,做好外包商合作关系管理和风险管理。
一、外包风险管理的必要性
根据中国银保监会发布的《银行业金融机构信息科技外包风险监管指引》,信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
摘要:
随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,金融机构与外包商的合作模式和合作关系也发生了变化,出现了新的机遇,同时也引发了新的风险。本文阐述了外包风险管理的必要性,总结了金融行业外包的3种模式(与“互联网”金融科技公司合作、与“金融系”金融科技公司合作、与中小型金融科技企业合作),分析了信息科技外包的常见风险,并提出了金融科技规划必须同步考虑风险防控规划、金融机构必须承担外包风险管理的主体责任、要通过技术手段防范风险等建议。
关键词:
金融科技;外包;风险管理
XX银行信息科技外包风险管理办法
XX银行信息科技外包风险管理办法 第一章总则 第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。 第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。 第三条本行外包管理原则包括: (一)自主可控原则。信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。 (二)协调统一原则。符合科技风险管理策略,保持外包风险、成本和效益的平衡。 (三)预防优先原则。审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。 (四)动态优化原则。根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。 第四条本办法适用于本行与信息科技相关外包活动的管理。 第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。 第二章组织架构与职责分工 第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。 第七条董事会承担信息科技外包管理的最终责任。主要职责包括: (一)审议批准信息科技外包战略; (二)审议批准外包管理基本制度;
(三)审议批准本机构的外包范围及相关安排; (四)定期审阅本机构外包活动相关报告; (五)银监会信息科技外包风险监管指引要求的其它工作。 第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。主要职责包括: (一)制定外包战略发展规划; (二)确定外包业务的范围及相关安排; (三)确定科技外包管理团队职责,并对其行为进行有效监督; (四)定期审阅本行外包活动相关报告; (五)指导内部审计部门独立开展外包审计工作; (六)董事会确定的其它职责。 第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。 第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。外包管理执行团队具体负责科技外包项目的执行和管理工作,主要职责包括: (一)信息科技部门实施全行信息科技外包管理战略;执行供应商准入、评价和退出管理;制定保障外包服务连续性的应急管理措施;分析和评估外包存在的潜在风险,制定相应的风险防范措施,监督和管理外包实施过程,定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。 (二)业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作,并参与项目的实施。 (三)计划财务部门是全行信息科技外包项目招投标工作的组织单位,负责科技外包项目的招投标活动的组织协调工作。
维信金科运用金融科技助力风险管理智能化
在金融科技时代,随着传统的金融业务模式正在被颠覆,风险管理的方法也将被改变。主要表现为“一增一减”:“增”指提高业务效率,比如信贷效率、风控效率等;“减”指减少损失、降低行业成本。 金融科技推动传统风险管理的改变 在传统金融信贷服务领域,信息、信用、渠道、成本等难题正在凸显。典型的例子是,传统的银行服务主要依托网点开展,在业务中极其依赖服务对象有无工资流水、征信报告、社保证明等强特征数据,通过这些数据筛选出与风险敞口契合的客户,此类强特征数据是能否获得信贷服务的关键因素。由于传统模式风控手段的限制,很多人被排除在了服务体系之外。据估算,我国传统信贷服务的客群仅占总人口的15%左右。 以用户体验为导向、数据为驱动、互联网为手段的金融科技具有资本集约、资源开放、创新集中的特征,通过技术的积累与突破,筑起传统金融机构无法超越的服务壁垒。通过构建庞大的金融科技服务生态圈,可以实现金融组织形态的多样化,在运行效率、运营成本、传播介质、数据分析等维度对传统金融风险管理形成冲击和变革。 金融科技防范风险、风险管理的机理
金融的核心是风险控制。对于金融企业来说,在新形势下,要实现稳健发展,必须加强科技运用,通过异构异源数据融合、全息画像图谱建立、基于风险因素指标的解读,提升新形势下的风险防控水平。 金融科技加持风控能力是建立在多维、海量、动态的数据基础之上的。通过对自有数据整合、公开数据的抓取、第三方服务商合作、以及渠道开发等,实现了人工智能、大数据、云计算和区块链等领先技术的创新,并应用到了风险模型、企业征信、贷后风控管理等实践领域。 风险控制是金融科技的核心能力。在此,人工智能可以有丰富的运用场景,结合大数据和机器深度学习,通过针对性风险监测模型的搭建,实时抓取和分析用户的抵押物的变动、评估动态偿还能力,可以快速了解到资产的变化,提高平台对于资产的风控能力,引入优质的资产;另外,通过大数据分析可以优化产品组合,满足用户对于个性化产品的需求;最后,在运营和营销环节,人工智能技术可以帮助平台实现精准营销,提高运营的效率,降低对人工的依赖。风险控制是严谨、专业且高难度的工作,需要解决来自技术、信用、法律等多方面的风险难题。 金融科技的目标是实现“风险管理智能化” 人工智能等新技术和科技手段的突破和应用,驱动了现阶段金融的智能化,也让风险管理的实现方式呈现新的变化,通过新技术甄别风险和信用比传统的手段更加精密科学。此类技术在贷前、贷中和贷后都能发挥较大的作用。贷前,大
金融业信息科技风险管理
信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责 第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中小银行信息科技管理中存在的问题及改进建议
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
银行信息科技外包风险管理办法
. .. . .. .. 大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
商业银行信息科技风险动态监测规程
商业银行信息科技风险动态监测规程 (征求意见稿) 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力; (二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况; (三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况; (四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人设立一个由来自高级管理层、信息科技(五)员对信息科技风险管理重要性的认识。. 部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向
(整理)信息科技外包风险监管指引.
银行业金融机构信息科技外包风险监管指引 第一章总则 第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。 第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型: (一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。 第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险: (一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断; (三)信息泄露:包含客户信息在内的银行业金融机构非公开数据
被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。 第十条银行业金融机构在实施信息科技外包时应当坚持以下原则: (一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡; (三)强调外包风险的事前控制,保持管控力度; (四)根据外包管理及技术发展趋势,持续改进外包策略和措施。 第十一条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。 第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。 第二章外包管理组织架构 第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管
信息科技风险专项检查自查报告总结.doc
********商业银行行股份有限公司********银行信息科技风险专项自查报告 ************中心: 为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神,充分做好做好国庆期间金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引(试行)》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组,于8月19日-23日开展自查工作。现将自查情况汇报如下: 一、总体情况 随着当前信息化建设步伐不断加快,我行各项业务对于信息系统的依赖日益加深,随之而来的系统和网络安全已成为安全管理的关键环节,其中薄弱环节成为信息科技风险的重要内容,网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓信息化建设,一手抓风险防范。截至报告日,全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。
二、组织架构、制度建设及管理情况 (一)信息科技治理组织架构 1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会,定期或不定期履行职责,审议信息科技相关重大事件,本年度共计召开信息科技管理会议2次。 2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策,确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。 3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作,各支行设立兼职或专职计算机管理员,配合信息技术部开展应用推广、故障处理、设备维护工作;合规与风险管理部负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面;内部审计部负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划。 (二)信息科技管理制度建设 1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度,制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》,安全管理办法经信息科技管理委员会审定,审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订。 2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》,
人工智能时代我国商业银行金融科技业务风险管理研究
人工智能时代我国商业银行金融科技业务风险管理研究 作者:赵娟 来源:《全国流通经济》2020年第20期 摘要:随着我国信息网络的不断发展,人工智能时代已经来临,对各个领域造成了不同程度的冲击。商业银行作为我国银行业的主体,在人工智能的加持下,推出了诸多金融科技业务,使得目前的银行业务朝着智能化和电子化的方向发展,推动了商业银行的产业结构升级。同时,这种智能化也为商业银行带来了一定的经营风险,需要商业银行在未来加强风险控制。基于此本文对我国商业银行金融科技业务的风险管理展开研究。 关键词:商业银行;金融科技业务;风险管理 中图分类号:F275 ;文献识别码:A ;文章编号:2096-3157(2020)20-0146-02 一、引言 通过结合各种智能化设备以及技术,我国的商业银行金融科技业务得到了广泛的发展。这种发展并不是商业银行自身决定的,而是为了满足市场的需求而推出的一种顺应时代发展的业务。目前商业银行的金融科技业务涉及环节众多,主要涉及信息系统的运营以及维护、风险控制、风险管理等诸多环节。因为这种智能化给商业银行带来的风险与传统商业银行发展的风险不同,所以在未来的发展过程中要格外重视,不断提高风险管理水平和管理质量,以此来推动商业银行稳定发展。 二、风险管理面临挑战 1.信息安全方面 信息安全是商业银行发展的核心,同时信息安全的风险管理也是商业银行金融科技风险管理的重中之重。就目前商业银行金融科技发展情况而言,其安全方面主要出现了以下几个问题。 (1)缺乏完善化的风险监管规则。人工智能也是近几年才发展起来,相关的法律约束还没有完全跟上,部分领域内的规章制度仍然呈现空白状态,数据信息的安全并不能完全得以保障。除了缺乏硬性的法律规定之外,在金融系统整个行业内部,尚没有形成完善的行业准则和具体规定,金融科技的安全标准仍然没有统一,这也就意味着整个行业的数据信息安全处在一
信息科技风险管理策略分析
附件:信息科技风险管理分类应对策略 根据信息科技风险分类情况,以二级风险为限,制定信息科技风险分类应对策略如下: A1.信息科技治理风险应对策略 信息科技治理风险包括三个二级风险:信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下: 风险 编号 风险名称风险描述风险应对策略 1.1信息科技组织 在信息科技风险管理机构及专建立完善的信息科技治理架构。以法风险业委员会设置、履职等方面的定代表人为第一责任人,囊括理事 不确定因素,以及在部门/岗位 会、监事会、风险管理委员会、信息 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、理等方面的不确定因素所带来 稽核审计部、风险管理部、人力资源的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责; 每个部门根据在信息科技风险管 理中的职责设立相应的岗位,合理 分配相应的责、权、利,执行信息 科技风险管理工作; 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。 1.2道德文化风险在文化培育、融合、再造等过 在建立道德、诚信、公正的氛围,对 程中的不确定因素,以及员工 员工进行相关的培训,作为员工日常 在价值观认同、行为规范遵循 工作的行为准则之一; 等方面的不确定因素所带来的影响。建立畅通的沟通渠道,任何与陕西省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反映,并被立即调查和纠正。 1.3人员管理风险在从人员聘用到离职整个服务 建立完善的人员招聘、培训、考核、 期间内的不确定因素所带来的激励、离职等制度和流程,并确保得 影响。 到有效执行; 加强信息科技风险管理专业人员 配备,提高信息科技风险管理水 平;
商业银行信息科技风险管理指引(银监发2009[1].19)
-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
《商业银行信息科技风险管理指引》WORD版
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
互联网金融风险控制论文.pdf
一、互联网金融的风险种类 信用风险。互联网金融双方有一方在合同到期时不履行其义务就会导致信用风险。互联网金融的一切业务都是在虚拟的网络世界中开展的。这种虚拟性的服务方式使得业务开展的双方可以在不同地点不见面就能发声联系,这使双方的身份以及业务开展的真实性的验证难度增加了很多。增大了在身份确认、信用评级方面的信息不对称,从而增加了信用风险。流动性风险。流动性风险是互联网金融机构因没有足额的流动资金满足客户随时随地对现金的需求而导致的风险。风险的测量主要考虑电子货币的规模和余额。因为电子货币是在现有实际货币的前提下发行的,是一种虚拟的数字化了的交易媒介。客户在收到这种虚拟的货币后,并没有完成最终的支付,还要等收到等额的在现实社会中流通的实际货币才称得上完成了交易。这就需要电子货币的发行机构即互联网金融机构满足流动性要求。支付和结算风险。互联网的快速发展使得互联网金融机构的经营活动都在网络上进行成为可能,甚至产生了国际化的支付和结算系统,突破了传统金融的地点限制;随着上网人数的增加,互联网金融的客户群体也逐步扩大,这也使得其经营业务环境具有很大的地域开放性,从而大大增加了支付和结算风险。法律风险。互联网金融发展迅猛,各种产品层出不穷,因此总是缺少对其的监管或监管立法模糊不清。目前的相关立法也主要聚焦于传统金融业务,缺乏有关互联网和金融业相结合的配套法律法规。因此,如果签订了互联网金融方面的合同就很可能陷入不必要的纠纷,增加了交易成本,甚至会影响该行业的持续发展。 二、互联网金融风险特点 一是并存性。即传统金融风险与新兴金融风险并存,互联网金融的出现甚至能改变金融的功能和本质,传统金融的系统性风险流动性风险仍然存在。同时,互联网金融又有可能有新的风险相伴而生,这样互联网金融风险是传统风险与新兴风险并存。二是多样性。因为互联网金融内涵丰富类型较多,而且呈现不断成长发展新兴业态,其风险的类别和内含也呈多样性的特点,随着互联网金融的不断创新和反风险的增强,还可能会出现新的风险。三是虚拟性。网络经济互联网金融都有虚拟性的特点,金融业本来就具有虚拟经济的特点,互联网金融交易又几乎全部在网上进行,交易的虚拟化更加突出,其风险也在虚拟化中发生,因此互联网金融风险具有很强的隐含性,这也给治理增加了难度。四是速发性。互联网金融风险可能会迅速发生,其业务具有远程快速发生完成的特点,资金运转速度更快范围更广,支付结算更加快捷,因而其风险事故的可能性也越大,一旦出现了失误,回旋余地很小,补救成本却相当大。 三、互联网金融的风险控制 这里讨论的是互联网金融所特有的风险控制方法:技术性风险、信用风险、法律风险和系统性风险。 (一)互联网金融技术性风险的控制方法 一是改进互联网金融业务开展环境。加大对计算机硬件设施的安全保障投入,提高整个计算机系统的防入侵、防病毒能力;在网络方面应用身份验证和分级授权等安全注册登录方式,并且对非法用户加以限制以实现对互联网金融的门户网站的安全访问。二是加强数据管理。将互联网金融的发展纳入到整个金融体系发展规划中,视其为金融体系中重要的一部分,制定统一的技术标准,使互联网金融系统内相互协调,提升对各项风险的检测水平;通过数字证书的办法为其业务主体提供最基本的安全保障。三是开发具有自主知识产权的信息技术。信息技术在互联网金融的有序开展过程中有着十分重要的作用,为降低技术风险,应着力开发一些新型的防攻击防病毒能力强的技术手段。 (二)互联网金融信用风险的控制方法 充分利用互联网时代大数据建立征信平台。想要从根本上解决互联网金融模式下的信用风险,第一要务是大力推动以大数据为基础的征信平台,实现全社会信用信息,比如主体的履约能力,交易记录等的收集、匹配和数据化。建立一个全社会通用的信用查询和调用体系。做到互联网金融机构能根据该征信平台进行信用风险评估,并通过一定的专业化征信数据降低信用违约风险。创新监管体系。互联网金融是金融体系的重要组成部分,所以监管方法和力度应适应它的发展,针对它与传统金融的区别对现有法规进行完善、创新。形成既有专业分工又能够统一治理的机制。培育信息公开透明,保护以消费者利益为核心的金融市场环境。提高互联网金融行业的信息透明度主要在于实现财务数据和风险信息的强制披露。另外,向消费者进行知识教育,使消费者能充分认识到互联网金融与传统金融的不同之处,增强其对新兴金融模式的风险认识。 (三)互联网金融法律风险的控制方法 首先,正当收集和保护信息。互联网金融行业的从业人员在收集客户信息时应严格遵守相关法律法规,得到客户信息后要给予适当保护。根据2007年公安部颁发的《信息安全等级保护管理办法》,按照信息系统破坏后所造成的损失程度分成五个等级,并对信息系统的不同安全等级进行分级保护管理。从业人员应熟知相关法律法规,在安全程度达标的平台上操作。只有这样,当计算机网络系统被破坏导致信息泄露时,才能在一定程度上减免违法责任。其次,要强制规范互联网金融行业的自律规章适度。面对正在飞速发展的互联网金融各产品领域,国家法律制定显然不能紧跟其步伐。因此,将行业章程对该行业的有效规范强制起来就显得尤为重要,自律规章制度作为社会自生规则也应该发挥其规范价值。此外,监管机构应适当的宽容。中国近几十年来长期压制民间的金融发展,如果继续之前的政策,互联网金融会发展的很缓慢。监管者应在金融创新和金融监管间找到平衡点。以前中国金融业依靠政策保护现象严重,形成了高度垄断
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南
目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 :董事会 (18) 检查项2 :信息科技管理委员会 (19) 检查项3 :首席信息官(CIO) (20) 2.2 信息科技部门 (21) 检查项1 :信息科技部门 (21) 检查项2 :信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 :信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 :信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 :知识产权保护 (26) 检查项2 :信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 :风险管理策略 (28) 检查项2 :风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 :风险防范措施 (29) 检查项2 :风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1:信息分类和保护体系 (32) 检查项2:安全管理机制 (33) 检查项3:信息安全策略 (34) 检查项4:信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1:规章制度 (35) 检查项2:制度合规 (36)
4.3 人员管理 (38) 检查项1:人员管理 (38) 4.4 安全评估报告 (39) 检查项1:安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1:宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1:管理架构 (41) 检查项2:制度建设 (43) 检查项3:项目控制体系 (44) 检查项4:系统开发的操作风险 (45) 检查项5:数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1:系统测试 (47) 检查项2:系统验收 (49) 检查项3:投产上线 (49) 5.3系统下线 (50) 检查项1:系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1:职责分离 (52) 检查项2:值班制度 (53) 检查项3:操作管理 (53) 检查项4:人员管理 (54) 6.2 访问控制策略 (55) 检查项1:物理访问控制策略 (55) 检查项2:逻辑访问控制策略 (56) 检查项3:账号及权限管理 (57) 检查项4:用户责任及终端管理 (58) 检查项5:远程接入的控制 (59) 6.3 日志管理 (60) 检查项1:审计日志检查 (60) 检查项2:日志信息的保护 (60) 检查项3:操作日志的检查 (61) 检查项4:错误日志的检查 (61) 6.4系统监控 (62) 检查项1:基础环境监控 (62) 检查项2:系统性能监控 (62) 检查项3:系统运行监控 (63) 检查项4:测评体系 (64) 6.5 事件管理 (65)
商业银行信息科技风险管理指引英文版
Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the