毕节证券投资联盟

[原创]由浅入深:金融行业科技风险之入门篇(二)

智安社2020-08-15 14:00:57

聚合安全资讯,洞察安全本质

导读

本文是系列文章第二篇,旨在由浅入深地向从事科技风险相关职业的初级、中级人员科普基础知识,抛砖引玉,助力金融机构建立合规、完善、高效的科技风险管理体系。下一篇专业篇中,我们将对信息科技风险管理平台进行全面的讲解。

Source |  智安社原创            

Tag | 金融,信息科技风险

 

金融机构建设信息科技风险管控体系的驱动力是什么?

上次文章我们提到个完善的、面面俱到的科技风险体系并不一定对你的企业就是最好的实践那么金融机构应该怎样建立一个好的、合理的、高效的、落地的科技风险管理机制呢?

首先,我们需要了解是什么驱动着金融构建信息科技风险管理体系,根据笔者滚滚萌在金融IT风险管理领域多年的从业经验,总结有以下原因:

  • 监管驱动:银监会、证监会等监管机构每年都会对其所管辖的金融机构开展形式不一、领域各异的检查,并且要求金融机构按照其要求报送各类报表和指标,尤其对于银行业来讲,在年度银行监管评级中,科技风险管理占10%的分数。

  • 事件驱动:除了正向监管驱动以外,还有部分金融机构在一段时间内并没有重视IT风险管理的重要性,而是在发生例如电子银行数据泄露、系统宕机、交易数据不一致等风险事件之后,才引起了机构对于IT风险的重视。

  • 自身驱动:这类企业一般对于自身内部管理的完善性要求比较高,或者其高级管理层在该方面具有前瞻的观点,亦或者在长期的管理过程中发现存在IT风险管理效率低、针对性差、缺少管理抓手等问题,继而迫切需要建设并不断完善和优化其IT风险管理体系。

怎样构建一个合理的信息科技风险管控体系?

那么,金融企业应该如何入手建设其IT管理体系呢?
无论是监管驱动、事件驱动、自身驱动也好,如果想从根本上解决问题,可以考虑从“搭组织、提要求、抓落实”三个角度入手:

  • 搭组织:事情都是人做出来的,因此,在决定要建设一个完整的体系后的第一步就是解决人的问题。无论机构大小,必须首先要明确一个IT风险管理的专职岗位甚至部门。该岗位或者部门的设置方法有三种形式:

形式

优势

劣势

设置在风险管理部门之下

能够与机构的全面风险管理体系和方法良好融合

难以全面了解IT部门真实风险所在

设置在信息科技部门之下

能够及时了解IT问题所在

容易和全面风险管理体系脱节,且难以良好履行“二道防线”的职责,“IT风险管理”极易变为“IT部门的风险管理”

具体执行团队在科技部门之下,IT风险负责人为风险管理部派出

仅仅能够良好的和总体风险管理进行融合,统一风险偏好,履行“二道防线“职责,并且能够及时了解真实问题,并且落实管理要求

对于IT风险负责人和IT风险管理执行团队之间的协同和配合性要求较高

 人员的选择也有三种形式:

形式

优势

劣势

从原IT部门调任

了解和熟悉机构IT人员、方法和流程等

难以脱离IT部门的本位思维,站在“二道防线“的位置上进行思考和管理

从原风险部门调任

了解和熟悉总体风险管理的要求和风险偏好,且相对独立于IT部门

可能不具备IT相关知识

从外部聘请专家

具备风险管理和IT技术相关知识储备,对于IT风险管理的要求、难点、方法等十分专业,且相对独立于IT部门

对于企业内部的管理风格、人员和信息系统架构和技术需要不够了解


  • 提要求:人员到位后的第一件事情就是需要明确管理要求,搭建管理机制。具体对于IT风险的管理要求可以从以下几个关键领域入手:

    • 系统开发、测试和上线

    • 系统运行和维护

    • 基础设施和灾备建设

    • 信息安全和数据安全

    • IT外包

    这里需要注意的是,IT风险管理是从风险的角度对整体的IT活动中存在的风险进行识别,并且提出管控要求,IT风险管理和IT本身的活动的管理有着本质的不同

    建立管理机制也就是明确管理抓手,形成一个常态化和周期性的管理机制。具体的方法除了我们老生常态的搭建制度和流程之外,还需要通过定期的、多角度的风险识别、风险评估、风险整改形成IT风险管理的闭环。除此之外,借助管理和监控平台以及各类工具优化管理方法、提升管理效率也是在信息科技风险管理领域一个全新的探索和趋势

  • 抓落实:信息科技风险管理作为整个风险管控中的“第二道防线”,除了在“提要求“的方面明确信息科技一线人员的风险管理相关职责之外,还应该的深入到一线之中,开展”嵌入式“的管理,尽管这样的模式在今天的金融企业并不常见

    金融机构的二道防线由于人手不够等诸多原因,往往是以检查或者追责的方式在事后对IT风险进行管理,部分也做到了通过风险指标、数据分析、管理驾驶舱等方式对风险进行监控,但互联网的模式下,风控人员能够嵌入到一线中,帮助一线人员进行风险的辨别、管理和整改。例如,在重大项目的需求评审中,风控人员亦会参与其中,从风控的角度提出管理的要求;又例如,在关键功能的测试中,风控人员也会从风险的角度去审阅测试脚本甚至参与测试工作。

信息科技风险管理平台是不是真的有用

本期文章中,我们概括性的聊了金融企业为什么要建立IT风险管理体系,以及如何构建一个IT风险管理体系。其中,我们提到了借助工具提升IT风险管理效率,在金融行业科技风险之专业篇中,我们将聊一聊关于信息科技风险管理平台的构建思路和模型。 未完待续,敬请期待。


系列文章链接:

由浅入深:金融行业科技风险之入门篇(一

作者滚滚萌,秉承着老公负责赚钱养家,我负责貌美如花的信念,在风险管理、信息安全等领域具有近7年的工作经验。毕业于米国Marietta College后,在Deloitte匹兹堡分所风险咨询部门任职,3年后突然觉得好山好水好无聊,思家心切,回到祖国母亲怀抱后一直从事相关领域的咨询工作。热爱工作,热爱生活,热爱我们公众号的所有粉丝:)

 

 

友情链接

Copyright © 毕节证券投资联盟@2017