浅谈金融机构信息科技风险管理研究

浅谈金融机构信息科技风险管理研究

张庭筠

上海东华大学　上海　200051

【摘

要】当前,信息科技已成为金融机构实现经营战略管理、业务运营、创新的基础平台以及金融创新的重要手段。随着金融信息技术化程度的日益提高,金融机

构对信息科技的依赖度显著增加,使得信息技术系统的安全性、可靠性和有效性直接关系到整个金融业的安全和金融体系的稳定。信息科技在促进业务发展的同时,信息科技风险也已经成为影响金融行业稳健发展的重要因素。如何提高信息科技风险管理水平是金融机构在信息化建设过程中必须面对的一个问题。为此,防控金融机构信息科技风险刻不容缓,十分重要,在推动金融机构业务创新、提高信息技术应用水平的同时,不断加强信息科技风险管理研究,以促进信息科技风险管理水平持续提升。

【关键词】金融机构信息科技风险管理

根据IT治理模型,信息科技风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构,而且是其中的一个重要方面。随着金融组织信息化建设的深入,对信息科技风险的认识也在逐步加深,从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理,信息科技风险管理水平体现了金融组织的信息化程度和整体的风险管理水平。金融机构应该且已普遍认识到信息科技方面一旦发生风险事件,不仅会影响业务的正常办理,还可能会对其声誉和市值产生负面影响,因此应更加重视信息科技风险管理,并对加强信息科技风险管理提出更高地要求。

金融组织应当结合当地金融监管的要求,逐步探索并发展基于三层风险控制体系的信息科技治理组织,有效融合本地监管法规和自身标准,合理妥善处置各类矛盾,引领金融信息科技风险内空水平向着健康、稳健和可持续性的方向良性发展。

三层风险控制体系模型如下。

（一）就信息科技运营来说,面向企业内部提供信息科技系统和服务的一线岗位、部门就作为内部控制最前沿的第一层风险控制体系。金融组织信息科技岗位各司其职、各负其责,并最终形成相互制约的工作机制,构建了由“自我管理”和“职责分离”的控制作业。

（二）当第一层风险控制体系的自我管理和职责分离可能因内部人员风险意识的缺失情况下。第二层风险控制体系的信息科技业务风险部门对信息科技同级只能部门相关经营管理活动进行监测、检查、督导和纠偏。具体而言,就是各信息科技部门针对条线的目标、计划、标准进行分析,汇报要求的控制点和控制措施,并交由操作风险及内控部门审核监督。

（三）由于金融机构组织具有经营多元化和组织层级制的特点,各分支机构、部门的多元利益并存。因此,需要对职能部门的自我约束和尽职监督进行监督,审计部门拥有专门的信息科技审计人员对信息科技内部控制的有效性进行监督检查,以使董事会和高管层把握信息科技的内部风险控制状况和高风险领域。从这个意义上讲,可以将内部审计部门的再监督作为我行信息管理风险流程控制的第三层风险控制体系。

综上所述,信息科技运营部负责其自身风险控制作为第一层风险控制体系,信息科技业务风险控制管理部作为独立于营运条线的部门负责统筹风控管理和监督作为第二层风险控制体系;内部审计部门则

独立于应允与风险管理部门,作为第三层风险控制体系。

信息科技风险管理的目标是通过建立有效的机制,实现对金融机构信息科技风险的识别、计量、监测和控制,促进金融机构安全、持续、稳健运营,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。

金融机构信息科技风险管理采用最佳实践来确保金融组织信息及相关技术支持业务目标和价值交付,确保资源得到合理使用,风险得到适当管理,绩效得到测评。金融组织在发展业务同时,金融业信息科技风险管理也需要随之动态化地管理。

当前金融监管机构提倡信息化建设,其意义在于降低人为操作风险,随之也产生了金融科技信息风险。所以金融机构要树立并强化信息科技安全风险意识,要从建立良好公司治理、提高风险管理支持可靠性、提高金融创新能力和竞争能力、维护金融体系稳定性等方面,认识加强信息科技风险管理工作的重要性,着力研究和防范信息科技的操作风险、战略风险、法律和声誉风险。金融信息科技风险管理要着重关注和做好信息科技建设与业务发展的协调、信息安全的内部控制体系、信息科技体系变动和发展的管理、信息系统运行和操作管理。

金融机构信息科技风险的管理与研究是一项持续性,创新性地研究课题,最终是实现金融组织业务目标的关键因素之一,金融机构应适时地、周期性地根据金融机构业务目标,并结合金融监管机构最新金融机构信息科技风险管理的政策与意见进行金融机构信息科技风险管理方法的更新。

参考文献

[1]林晓轩,《加强信息科技风险管理打造安全的金融IT平台》,中国金融电脑,2009年第1期.

[2]国际信息系统审计协会,《CISAReviewManual2013》.[3]中国银行业监督管理委员会,《商业银行信息科技风险管理指引》,2009.

作者简介

张庭筠（1984.8-）,男,福建省福州市,东华大学硕士专业学位研究生,项目管理专业,上海。

（上接第472页）性落实。

尽快就有关问题加以规定。即或近期进行相关立法工作的条件尚不成熟,也应由行政机关对其中较为迫切的问题作出决定或出台意见,在行政执法层面给予一定的规制,以期在着力清除市场壁垒,提高资源配置效率和公平性的努力中形成合力,加快形成企业自主经营、公平竞争,消费者自由选择、自主消费,商品和要素自由流动,平等交换的现代市场体系。

四、结语

此次《公司法》修改中存在的内在仓促性及外在不完备性,固然源于一定的政策因素,但不可否认的是,对于《公司法》这样一部在当今市场经济环境下对市场主体能够产生直接、深刻影响的商事基本法律,其完善程度的高低显得至关重要。有鉴于此,笔者以为立法者应

2014.3EconomicVision473