作者：徐文潔 馬瑾花 司文婷

2022年，原中國銀保監會辦公廳發布的《關于銀行業保險業數字化轉型的指導意見》明確要求，到2025年，銀行業保險業數字化轉型取得明顯成效。數字化金融產品和服務方式廣泛普及，數字化經營管理體系基本建成，風險管理水平全面提升。

 

2023年，中央金融工作會議明確提出“要加快建設金融強國”；強調“推動我國金融高質量發展”，“做好科技金融、綠色金融、普惠金融、養老金融、數字金融五篇大文章”。金融從業人員要堅定“金融報國”“金融為民”理念，投身加快建設金融強國的工作。

 

為提升信息科技風險管理駕馭能力，做好數字金融這篇大文章，本文就信息科技風險管理在上海農商銀行的實踐做一些分享和交流。

 

數字金融時代下的主要信息科技風險威脅

 

隨著信息技術的飛速發展和智能設備的普及，銀行業迫切需要進行數字化轉型，幫助銀行實現業務流程的自動化和優化，促進產品和服務創新，提升客戶滿意度。

 

從國內銀行業的數字金融發展來看，國有大行起到了引領作用，大型民營銀行更具備活躍的創新力，將人工智能、大數據、區塊鏈等技術應用到不同的智能化場景，推進銀行業務的多元化發展。區域性中小型銀行也在積極探索適合區域特點的數字化路徑，實現金融場景的布局，加大與流量平臺、金融科技公司的合作，補上自身能力不足的短板。

 

但數字金融時代下的信息科技風險往往具有破壞性大、影響面廣、隱秘性高、突發性強、專業性強、變化大等特點。銀行業主要面臨的風險威脅有如下幾個方面：第一，信息安全風險。銀行面臨更多來自內外部的網絡和數據安全威脅，如客戶信息泄露、安全漏洞網絡攻擊、源代碼泄露、非法授權等。第二，外包管理風險。對銀行業務的需求在不斷更新和變化，科技工作的體量和難度也在不斷加碼，同步加大了銀行對外部廠商的依賴度，由此增加了外包相關風險，如核心能力喪失、信息泄漏、非授權訪問、商業訴訟等。第三，新技術應用風險。技術創新和應用，如分布式架構、云計算、開源工具等，也給銀行帶來了新技術應用風險，引發系統或業務中斷、數據錯誤、操作錯誤等。同時，中小銀行自主可控的能力有限，在知識、資金和人才等多個領域面臨風險挑戰。

 

傳統信息科技風險管理的挑戰

 

數字化模式下管理難度加大。銀行在數字化轉型過程中不斷嘗試新型技術、外購模型及采用開放式合作生態以擴大業務范圍，信息科技風險不斷以新的形態出現，傳統管理模式的靈活性和適應性可能無法滿足變化頻繁的風險場景。銀行應根據不斷變化的科技環境及時識別和分析潛在風險，完善評估機制。

 

信息科技風險管理專業人員嚴重不足。隨著監管部門的要求不斷提升及銀行信息系統不斷擴增，二道防線的人才隊伍規模和專業性矛盾越發嚴重。缺乏人員必然導致風險管控工作難以全方位開展，缺乏專業技術人才及培訓機制，必然導致風控人員缺乏對前沿技術（如大數據、區塊鏈、人工智能、云計算）的理解，無法深入剖析技術應用中存在的風險。

 

“三道防線”缺乏有效的協同機制。“三道防線”是全面風險管理戰略的核心，相互獨立、相互制約、相互促進。但各道防線在信息科技風險管理的認知方面存在差異，在流程和操作層面存在溝通困難、定位不明確等問題。

 

信息科技風險管理的事前和事中機制欠缺。傳統的風險管理體系主要以事后處置模式為主，缺乏有效的事前、事中管理機制，尤其是第二道防線在IT項目全流程的風險管控參與力度較弱，導致無法第一時間了解并分析風險動態從而進行實時干預、及時規避風險、防范于未然，風險管理工作浮于表面。

 

信息科技風險管理數字化建設程度較弱。目前，銀行業的信息科技風險管理數字化建設普遍處于起步階段，存在管理效率較低、管理流程不可控、溝通不暢、信息無法共享等弊端。同時，風險監控技術手段的缺失易造成監控不及時和精準度較差。信息科技風險管理數字化建設程度極大地影響著銀行風險管理的深度和廣度。

 

上海農商銀行信息科技風險管理的探索和實踐

 

信息科技風險管理模式革新

 

上海農商銀行在信息科技風險管理方面不斷積極探索和實踐，基于行業發展和科技風險的特點，提出風險管理“往前走”，強調“風險視角”和“價值導向”，形成了全面、深入、專業、生態、動態、主動的管理模式（見表1）。

 

上海農商銀行建設了一套全新的信息科技風險管理體系。該體系以制度體系為依據、以指標體系為基礎，以風險評估為主導、以風險監測為助力、以風險緩釋為目標，以數字化平臺為工具，具有功能齊全、精細化度量、知識易轉移、適應性強等特點（見圖1）。

 

強化信息科技風險管理制度建設

 

上海農商銀行明確信息科技風險管理目標、厘清組織架構（包括董事會、高級管理層、各職能部室）層級體系及工作職能、確定風險策略和風險偏好、規范信息科技風險管理工作流程。

 

       整個制度管理體系從上向下分為政策層、辦法層和實施細則三個層級的制度。作為綱領性文件，《信息科技風險管理政策》主要明確信息科技風險管理的目標和原則，《信息科技風險管理辦法》進一步明確“三道防線”的工作職責以及協同工作的機制，并規定了信息科技風險管理涵蓋的各項工作內容，以及每項工作的總體要求和基本流程。《信息科技風險管理實施細則》相關的制度是結合實際工作開展按需制定的，明確規定每項工作的實施參與方及職責、實施目標、實施流程和工作方法，確保風險管理工作在全行有效落地。

 

構建信息科技風險指標體系

 

推動風險評估指標體系的量化發展

 

風險評估指標體系是識別風險和計量風險的重要工具，分為風險庫、計量模型、計量指標三方面，構成以風險庫為基礎、評估方法為依據、計量指標為標準的風險評估框架（見圖2）。

 

風險庫表的建立是對信息科技治理、信息安全、信息科技風險管理、信息系統開發測試、信息科技運行維護、業務連續性管理、信息科技外包、信息科技審計八大風險領域中存在的固有風險進行有效識別的過程。通過風險庫表的建立，可明確表述風險及產生的影響，在具體實踐過程中，可根據評估場景對風險庫表進行適當裁剪，開展一些專項的風險評估或風險排查。

計量模型是建立風險計量的評估方法，主要采用了剩余風險計量法對固有風險的風險等級進行評估，通過綜合影響度和風險發生可能性分析，得出風險等級。

 

計量指標是在計量模型的基礎上進行量化設置，由兩部分組成。一部分是對計量模型本身進行參數設置，可結合風險偏好對影響度、風險發生可能性的權重和評分標準進行設置；另一部分是針對具體每條固有風險設置量化的評估標準。每條風險會預先設計控制有效性的檢查點以及統一的得分指標，促使更精準地計算風險等級，有助于風險評估的知識轉移，促進銀行不同層級自行組織開展風險評估。

 

持續完善風險監測指標體系

 

風險監測指標體系是實現事前、事中控制的重要控制手段，從指標定義、指標計量、指標監測三個方面，構建出動態、分層的指標監測量化指標，通過閾值的設定及變化趨勢來揭示風險（見圖3）。

 

指標定義主要以風險評估為切入點，分析銀行面臨的關鍵風險，制定指標的屬性和指標級別，指標可根據應用范圍進行分層管理，如全行層、分支行層、子公司層等。

 

指標計量是采用量化的方式制定指標口徑，并明確指標的采集頻率和采集方式。根據采集頻率和采集方式不同，分為動態指標和靜態指標。動態指標適合具備自動化采集條件且變化頻繁的數據，依賴于運維監控類平臺進行底層數據的采集、清洗和分析，例如，CPU使用率、文件系統容量、交易成功率等運維類指標；靜態指標適合時間跨度較長且對實時性要求較低的統計數據，主要通過人工填報的方式進行采集，例如，科技人員流失率、信息科技風險問題整改率、重大信息科技風險事件。

 

指標監測是通過設定閾值或制定預警規則，對采集數據和統計結果進行分析和風險分類，并聯動風險管理的第一道防線進行風險排查及整改跟蹤。同時，通過歷史數據的積累，也可以為多指標關聯的問題進行趨勢分析。指標監測閾值或規則并非固定不變，會隨著實際風險狀況進行動態調整，以提高監測指標邏輯的敏感度。

 

深入推進信息科技風險管理實施

風險評估實施工作是經過多年實踐和完善，逐步形成“三道防線”協同，采用由“面”至“點”的方式進行全方位的管理實施。改變傳統第二道防線評估工作往往浮于表面、無法深入科技的困境，發揮第二道防線的風控力量，將風險評估落到細處。

 

“面”包括信息科技八大風險領域定期的全面評估和回顧。評估方式不局限于調閱資料、訪談等常規手段，可分場景地采用穿行測試等技術工具，更具滲透性地挖掘潛在風險。

 

“點”采用嵌入式的風險管理，包括各項風險審核、專項評估、風險排查等。信息科技風險審核將風險管控深入到項目建設全生命周期的重要環節，采用一、二道防線聯動的方式開展，第一道防線配合第二道防線在項目建設過程中對風險進行監控和處置；專項評估針對重點風險領域深入開展；風險排查針對監管要求或風險事件進行排查，風險排查工作相對專業化更強，采用一、二道防線聯動的方式，以第一道防線自查為主，第二道防線進行督促和后評估。

 

風險監測工作從由第一道防線統計和上報數據逐步轉變為由第二道防線主動監控、動態采集數據并進行風險分析，與第一道防線聯動，對發現的風險進行及時排查和整改，有效掌握風險動態，將風險管控往“事前”和“事中”前移。

 

開展風險監測數字化平臺建設

 

上海農商銀行在同業率先建設生產運營風險監控平臺（見圖4），有助于一、二道防線實時掌控行內重要信息系統的健康程度，形成“事前預警、事中管控、事后分析”的風險防控體系，讓風險監測插上智能化、實時化、自動化的翅膀。生產運營風險監控平臺主要實現以下三個主要功能場景。

 

實時監控管理及模型化監測。第一，梳理系統對于業務交易的支撐關系，實現對業務功能所關聯的重要系統、主機等進行實時監控，用戶可以通過運維監測指標的異常，快速定位系統存在的風險點及發生的故障影響范圍。第二，健康分模型化計算。通過匯聚運維監控數據和信息，從風險管理視角出發，計算應用系統運行健康分，實時監控信息系統的可用性及對業務的支撐能力，發現潛在生產事件及故障風險，避免重大事件發生，同時也有利于平臺監控機制及模型的持續完善。第三，容量趨勢預測。能夠基于業務指標、系統指標的歷史數據進行學習，生成符合系統平穩運行要求的基線值，并且支持匹配周期性、季節性等場景。

 

智能告警管理。第一，通過底層的分析引擎提供的特征模型，可以對不同類型的監控指標提供智能預判，當采集的運行數據不符合底層分析引擎的預警模型時，進行實時告警。第二，分析引擎支持將相同、類似、可能相關的告警進行自動關聯或合并，通過機器學習算法，自動化實現告警的壓縮，并根據告警的多維度信息，對告警開始及恢復的情況、告警嚴重度進行判斷。第三，對告警的發生率、重要性、誤報率等進行多樣性的統計分析，持續對特征模型及告警策略進行調優。

 

風險場景化分析及可視化展示。通過前臺預設的監控模板及統計視圖，對風險監測的結果進行綜合展現，主要有以下四個方面：第一，全景應用墻。通過對各應用系統的健康度進行實時監控及歷史回溯，實現對全行的系統級交易量及生產事件的統計展示，為管理層快速掌控信息系統的運行情況提供支撐。第二，單系統頁面。通過全景應用墻對單系統進行下鉆，為管理人員提供更深層次業務受影響范圍的視圖，同時也可作為技術人員定位故障點的有效工具。第三，生產運維中心。對運維過程中的告警、事件、問題進行可視化及分類展示，對告警時間分布、事件數量變化態勢等進行感知，對系統及運維情況、風險趨勢進行快速識別。第四，監控統計中心。設有系統風險熱力圖，支持以日、周、月的頻率對系統風險度落點進行匯總統計，對所有納管系統的風險度分布進行總體把控。

 

對未來的思考和建議

 

未來，信息科技風險管理可結合數字化轉型和前沿的風控手段，從管理手段智能化、組織架構專業化等角度進一步開展探索和創新，同步強化信息科技風險文化建設。

 

加強信息科技風險管理數智化探索

 

信息科技風險管理數智化建設可以實現高效的協作化、科學的標準化、直觀的可視化，加強“三道防線”彼此間的協同，風控理念和管理標準的統一，并為銀行提供豐富的知識積累。

 

信息科技風險管理數智化構建應重點規劃四大方面的功能：第一，“三道防線”的相互協作的流程規劃、不同層級組織架構間（如：子公司、分支行）的相互協作的流程規劃。流程設計應以管理增效為目標，遵循PDCA（計劃、實施、檢查、改進）模型設計理念，將功能模塊有機地銜接起來。第二，風險評估模塊的規劃。風險評估應包含體系層和實施層兩方面，體系層規劃風險庫、計量模型、指標設計的合理落地，實施層規劃風險評估計劃安排、評估情況反饋和風險結果自動計算，以及后續風險處置措施的整改計劃、責任部門落實情況跟蹤。第三，風險監測模塊的規劃。風險監測應包括數據采集、指標設置、預警規則設置、動態趨勢、多人多面界面設計等規劃，實現事前預警、事中控制的能力。第四，知識庫的規劃。智能檢索“內外規”文件，提升知識轉移能力。

 

提升信息科技風險管理組織的實力

 

在組織架構的設置上應將職能進一步細化，根據工作性質可細分為制度建設類、風險評估類、風險監測類、政策研究類、風險培訓類。

 

在人員配置上，應擴大科技風險復合型專業人員的儲備，根據專業領域細分，培養不同信息科技風險領域的專家級的風控人才，包括業務連續性管理類、外包風險管理類、信息安全類、開發運行管理類等風控專家，確保風控工作做“精”做“專”。同時，確保人員規模可匹配科技發展規模。發揮二道防線作為科技風險管理中樞的作用。

 

強化信息科技風險管理文化建設

 

健康全面的風險管理文化包括精神、制度、行為和物質四個層面的文化內涵，即以風險意識為基礎，尊重制度，規范行為準則，形成風險價值。

 

信息科技風險管理文化的建設可從如下幾方面著手：一是將風險管理文化融入企業文化，引導廣大員工樹立正確的風險意識，讓員工有居安思危、危機防范意識，在工作中自覺養成良好的行為習慣，堅守底線原則，自上而下地形成統一風險認識；二是提供必要的培訓和警示教育，形成濃厚的學習氛圍，提升員工信息科技風險管理研究能力，強化風險意識，從專業性上了解風險、關注風險、杜絕風險；三是健全信息科技風險管理的考核評價制，通過考核制度有效傳導風險管理壓力，提升責任意識，相互協作，相互監督，有效落實各項規章制度，杜絕僥幸心理。

 

（作者單位：上海農商銀行風險管理部，其中徐文潔系該部門副總經理）

 

責任編輯：張志敏