银行信息科技风险的治理途径

第一篇：银行信息科技风险的治理途径银行信息科技风险的治理途径中国农业发展银行总行营运中心李小庆信息科技风险治理的主要目标是为了采取一定的有效措施，规避信息科技风险带来的损失，同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。257信息化建设一直是现代银行发展战略的重要组成部分。最近十年，银行信息化建设一直在高速向前发展。随着数据大集中工程的启动及完成，银行信息化从信息基础设施到业务系统的建设，都取得了较为明显的成效，信息化总体架构已经成熟，各类业务应用系统已经初具规模。各类信息系统已经成为银行提供客户服务、获取市场价值、培育核心竞争力的重要途径。但是，随着银行信息化规模的日益扩大，信息科技风险的防控及治理始终是银行信息化建设和管理的薄弱环节。2009年，银监会发布《商业银行信息科技风险治理指引》（以下简称《指引》），从信息安全、信息系统开发和信息科技运行等多个层面对信息科技风险治理进行了清晰规定。从《指引》中，我们可以解读到，信息科技风险治理是以可接受的成本识别、控制、降低可能影响信息系统风险的过程，通过风险识别，制定信息科技风险治理策略，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。信息科技风险治理体系主要包含信息科技风险识别、分析与评价，信息科技风险的计量，信息科技的治理思路和控制措施。一、信息科技风险识别、分析与评价信息科技风险治理的主要目标是在可接受成本的范围内，分析信息系统面临的潜在风险，并采取一定措施控制和防御风险的过程。风险识别是指对组成信息科技风险因素在系统中潜在可能性认识的过程，风险分析是指系统化地识别和分析风险来源和风险类型，风险评价是指按组织制定的风险标准计算风险水平，确定风险严重性。1．风险识别信息科技风险的组成因素，一般包含价值信息资产、信息资产面临的威胁、信息资产的脆弱性等。信息资产是对组织具有价值的信息资源，是风险控制措施保护的对象。信息资产面临的威胁是可能对信息资产或组织造成损害的潜在因素。信息资产脆弱性是信息资产可能被威胁利用的弱点。风险识别是对信息系统和信息基础设施的威胁、脆弱性和风险的识别，它包含以下元素：被特定威胁利用的信息资产的一种或一组脆弱性，导致信息资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的集合。风险识别过程是综合分析信息科技风险各组成因素，包含信息资产的价值、对信息资产的威胁和威胁发生的可能性、信息资产脆弱性、现有的风险控制提供的保护等，从而导出风险的过程。银行对信息科技风险一般具有偏好性考虑，其结果受到业务需求及战略目标、文化、业务流程、风险要求、信息规模和结构的影响，因此在风险识别实施前，应确定风险识别的范围和目标，建立适当的组织结构，建立系统化的风险识别方法，获得管理者对风险识别工作的批准。2．风险分析在进行风险识别之后，必须就各项风险对整个信息系统的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数、众数等方法。但无论是哪一种工具，都各有长短，而且不可避免地会受到分析者的主观影响。可以通过多维度、多人员分析或者采取头脑风暴法等尽可能避免。此外，应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分精确和可靠的。所有的风险分析都只有一个目的，即尽量为避免信息系统提供的服务失控和为具体的信息系统开发和运行中突发问题预留足够的后备措施和缓冲空间。3．风险评价信息科技风险评价方法有两种：定量方法和定性方法。定量分析是试图从财务价值上对构成风险的信息资产的各项要素进行量化分析评价的一种方法，由于定量分析所依赖的数据的可靠性和有效性很难保证，加之对数据统计缺乏长期性，所以，定量分析方法在银行信息科技风险评价中并不常用，取而代之的是更容易实施的定性分析方法。定性风险评价并不强求对构成风险的各个要素进行精确的量化评价，它有赖于评价者的经验判断、业界惯例以及组织自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出优先顺序即可。事实上，银行最关心的是业务活动的持续性，对于影响业务活动持续性的各种风险问题，在有限的资源支持情况下，只需要抓住最突出的问题，有针对性地采取措施即可。二、信息科技风险计量方法风险计量是在风险识别的基础上，根据信息科技风险组成要素的相关属性进行赋值，进行综合计算最终获得信息科技风险值。信息资产的属性主要是资产价值，威胁的属性主要是威胁主体、影响程度、影响范围等，脆弱性的属性主要是信息资产缺陷的严重程度。风险计量的主要内容是对信息资产进行识别，并