基于对当前银行业金融机构，尤其是中小银行业金融机构信息科技风险管理的现状较为深入的了解，盛邦安全将在本年度陆续发布针对中小金融机构信息科技风险管理现状观察的系列文章，旨在基于对中小银行信息科技风险管理整体现状的认知，提炼和分享当前行业信息科技风险管理体系建设面临的问题和良好实践，以期启发更多的行业思考和讨论。

本期讨论的主题是金融行业信息科技风险管理体系实操。盛邦观察系列文章的第一期中提到，《商业银行信息科技风险管理指引》（以下简称《指引》）第十条规定“商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。该部门应为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生”。可以看出，信息科技风险管理部门的核心职能包括但不限于“协调制定信息科技风险管理策略、提供信息科技风险管控建议、实施风险评估、问题整改跟踪、日常威胁监控”等，我们将重点围绕这些核心职能并结合《指引》第三章信息科技风险管理中的几个关键监管要求，分享当前中小银行信息科技信息科技风险管理实操的现状和一些有效实践。

本期的现状观察，主要围绕信息科技风险管理“二道防线”的工作落地机制来展开，信息科技风险管理“一道防线”的管控现状，以及外包管理、业务连续性管理、信息科技审计（“三道”防线）等领域的现状我们将在后续系列文章中进行分享。

一、关于制定信息科技风险管理策略 

《指引》第十五条规定，商业银行应制定全面的信息科技风险管理策略；在监管的推动下，大多数中小银行金融机构在制度体系里面基本都制定了信息科技风险管理相关的制度，其名称各不同，有的叫策略，有的叫管理办法或者规程；涵盖的管理领域一般也都比较全面。但很多银行的信息科技制度体系并没有把策略、管理办法、规程以及细则等不同名称的文档内容界定清楚；从文档实质内容来看，也区分不出策略、管理办法等界定内容的区别；甚至有个别银行的制度体系里面既有策略又有管理办法，文档里规定的内容重复，存在“为定制度而定制度”的情况。

金融行业对于信息科技制度历来非常重视，制度体系建立和维护良好的银行机构一般都会在全行层面建立一个“管制度”的制度，用来指导各个部门和条线来建立适当的制度来规范相关业务。我们看到，一些银行把信息科技管理策略定位成最高阶的信息科技管理纲领，统领信息科技相关的所有领域；而信息科技风险管理办法，主要是界定对信息科技风险管理二道防线的工作要求；具体的信息科技风险管理策略里面，一个较好的做法是明确信息科技风险管理的治理模型（重用RACI模型来梳理和展示），即把信息科技风险管理工作进行活动划分，每一项工作活动明确主责部门、负责部门、配合部门以及汇报和知会路线。这样，在顶层设计上就解决了信息科技风险管理涉及多部门、多条线协同的问题。

此外，好的信息科技风险管理策略也明确了各个领域的信息科技风险管控目标和高阶的要求。这样统领性的信息科技风险管理策略就成为银行开展信息科技风险管理的“宪法”，是信息科技风险管理各相关部门开展工作的“尚方宝剑”。如果作为“根本大法”的定位，有些银行在策略里面规定了具体到甚至是某年度的信息科技风险管理工作计划就显得不太适宜；围绕信息科技风险管理策略，可以制定相对应的配套领域管理办法以及其他下位制度。 

二、关于制定风险评估计划

《指引》第十五条规定：商业银行应制定符合银行总体业务规划的信息科技风险评估计划。通常这项工作的落实是作为信息科技风险管理牵头部门（“二道防线”，即风险管理部门），根据“一道防线”（通常指信息科技部门）的具体业务规划，结合监管要求来制定年度信息科技风险评估计划。

大多数中小银行金融机构的风险管理部门，都会制定年度的信息科技风险评估计划，风险评估计划中，会包含全面的信息科技风险评估以及一些专项的信息科技风险评估，评估执行一般会通过组织行内人员自行开展评估或者借助外部第三方专业咨询机构。

在中小银行业金融机构在信息科技风险评估计划的环节，我们发现了一些比较好的实践：其一，某些金融机构梳理了来自不同监管机构的所有监管文件中规定的开展信息科技风险评估的场景以及评估频率，通过建立和维护“评估场景表格”，确保评估计划的场景考虑不留评估死角；而我们发现，确实存在很多金融机构每年开展的信息科技风险评估没有完全涵盖监管文件要求的所有场景；很多中小机构认为，完全按照监管要求执行还不具备条件（人力/财力），但是依照“评估场景表格”可以最大程度地去做好“计划”。其二，信息科技风险评估很多评估场景是每年度例行评估，因此每年重复开展某一个专题的评估会让评估人员和被评估对象产生“审美疲劳”。因此，部分机构在制定评估计划的时候，明确要求开展该次评估的优化和改进事项，即同上次或者上一年度的同类评估，本次或者本年度的优化项和改进点计划有哪些，优化项可以是评估风险库优化、评估方法和手段的改变、信息获取方式的多样、访谈不同层级的人员等等；通过这种机制明确每次评估的差异点和亮点，可以一定程度上避免信息科技风险评估过程中的“七年之痒”问题。

 三、关于实施信息科技风险评估

《指引》第十六条规定， 商业银行应制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序并确定风险防范措施及所需资源的优先级别（包括外包供应商、产品供应商和服务商）。

当前，银行业金融机构信息科技风险评估的开展，大多是根据监管要求，由风险管理部门或者科技部门牵头，通过组织自行评估或者聘请第三方评估机构评估等方式开展，形成全面或者专项的信息科技风险评估报告，主要面临的问题包括：一、评估专题多，评估方和被评估方疲于应对，同样的风险点或者评估项，可能被不同的评估项目组反复评估和测试，评估过程成果不能复用，增加了沟通成本和降低了效率；二、评估过程不可审查和回溯，缺乏评估过程管控，对一个风险点的评估现状和差异只能依赖评估人的判断和结论，缺乏标准化的评估方法和执行标准，不同的评估人员针对一个专题评估，可能评估的风险点的范围，差距分析的尺度都会有差距，尤其是银行业金融机构信息科技风险评估人员和能力缺乏的背景下，这个问题尤其突出；三、信息科技风险评估在缺乏信息化手段支持下，风险评估底稿和报告完全需要人工梳理、编制，效率低下；此外，缺乏数据统计分析，风险管理部门很难统计和分析不同风险点开展的评估次数，在哪些评估项目中涉及到该风险的评估以及该风险点控制现状的演进，缺乏这些基础数据和信息，很难有针对性、有目的性地安排风险评估工作。部分银行已经意识到信息科技风险评估所面临的这些挑战，将信息科技风险评估过程信息化，通过线上方式开展信息科技风险评估，具体举措包括：

1、根据监管要求或者行业相关标准梳理信息科技风险库（或者称评估基线），信息化平台可以支持风险库的输入、导入，以及增、删、改、查等基本操作；

2、基于具体业务要求，可以在系统内形成专项和全面的的风险基线库，例如信息科技外包管理、数据安全管理、业务连续性管理等不同类型的评估基线库；存在将某一个监管指引的具体条款作为监管合规的评估基线的情况；

3、根据金融机构实际的评估需要，在信息科技风险库中选择某一个领域（专题）的风险点开展本机构的信息科技风险评估，评估每个风险点的控制机制以及其执行的有效性；

4、评估工作通过流程管控，由风险评估牵头部门，将风险评估点分发给对应部门的相关人员开展风险评估，提供现状描述和差距分析；风险评估任务的具体接收人，自行评估收到的风险点，或在部门内部进行评估任务的转派。风险评估牵头部门根据各部门反馈的评估结果，识别风险点，形成问题列表；经流程确认后，问题自动进入问题库，后续开展问题的整改跟踪。

 四、关于问题整改跟踪

《指引》第十七条规定，商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。该条规定要求，对于“二道防线”的信息科技风险管理部门，对评估发现的问题要建立问题台账，并开展问题的整改跟踪，实现问题的闭环管理。
银行业为重监管行业，每年内外部各类信息科技风险评估项目、各级监管机构现场或者非现场检查、各类安全评估和等保测评项目，均会产生各类信息科技风险问题，目前中小银行业金融机构对上述各类风险问题台账的管理，一般通过各种文档进行保存，建立问题整改跟踪机制的银行，其风险管理人员会每月或者每季度开展一次风险问题的整改跟踪活动，记录问题整改状态；目前通过人工线下方式开展问题整改跟踪，普遍存在风险问题不能统一归口管理、风险问题管理不闭环、查询和统计分析难度大等问题。
目前，领先的银行机构通常采取信息化的手段来建立和管理信息科技风险问题台账，对问题进行持续的查询、跟踪、整改、关闭以及统计分析，实现风险问题全生命周期闭环管理。具体如何落实？一是将各类、历年信息科技风险内外部评估、检查的问题清单统一归口管理，实现问题外部导入以及针对问题库的增、删、改、查等基本操作；二是为风险问题在系统中指定整改责任部门和岗位，定期或者按照问题整改计划时间智能的开展问题整改跟踪，收集整改过程信息和整改进度；通过建立流程管控，对于满足关闭条件的风险问题进行审批、关闭和归档；三是通过信息化方式，为历年历次风险问题清单建立历史记录，积累数据源，按照年度、风险问题领域、风险问题来源、风险问题所属部门、风险问题整改状态、风险问题严重程度等不同维度开展风险问题分析。

五、关于日常风险监控

《指引》第十八条规定，商业银行应建立持续的信息科技风险计量和监测机制。我们发现在信息科技风险监测方面，建立了信息科技日常风险监控机制的机构普遍采用关键风险指标(KRI)这个管理工具，对识别的关键信息科技风险指标开展持续数据收集和监测。

当前银行关键风险指标管理主要有两种情况，第一种情况是同监管报送相关的关键风险指标（信息系统相关指标），大多是通过系统平台的对接，辅助以人工填报的方式来完成，这类指标主要用来满足监管合规的要求；第二种情况是银行业金融机构根据自身信息科技风险管理实践，梳理出重要信息科技风险，并梳理出针对这些重要风险点的监控指标，这些指标很多是管理类指标，而不仅仅是第一种情况中的系统技术指标，例如信息科技人员离职率、安全意识培训覆盖率等。这类指标大多是通过人工、线下、定期的方式来进行管理，存在管理效率低、数据统计不及时、缺乏流程管控等问题。
领先的银行机构会通过信息化手段来对KRI进行管理，提升信息科技关键风险指标管理的自动化、实时性和准确性；具体落地方面，一是实现对关键风险指标进行增、删、改、查等基本功能；二是关键风险指标的监控数据可以通过指标责任部门自行填写、分配他人填写、从系统自动抓取自动运算等模式开展监控，所有填写数据可以配套审批流程管控；三是按照指标监控频率，通过时间触发自动指标监控流程，改变了只能定期人工线下或线上流程的监控管理方式，通过智能化提升效率和监控效果。
另外，在日常监控环节，风险管理部门将从众多渠道获取的风险信息，包括但不限于监管发布的风险提示或者通报、安全权威机构或者厂商发布的重大风险提示、同业重大事件或案件等，及时发送给科技部门开展排查；通过信息化手段，将风险提示职能线上化，线上发布风险提示给对应的部门或者条线，由相应处置部门按照处置要求进行风险的排查和反馈，如提示风险问题，则线上生成问题清单，纳入风险问题台账管理。

 六、关于信息科技非现场报表管理

银行业金融机构信息科技风险非现场监管报表（以下简称非现场监管报表），是银行业监管机构信息科技风险监管体系的重要组成部分，旨在通过收集和监测银行业金融机构信息科技风险相关数据，来识别和评估行业内潜在的系统性信息科技风险；几乎所有的银行业金融机构都要求按照月度、季度和年度等报送频率，通过监管机构的报送终端软件开展报送，是银行业金融机构日常必须要满足的基本合规要求。
当前各银行业金融机构在组织填报非现场监管报表的过程中，存在如下主要问题：

1、非现场监管报表涉及表单众多，涵盖信息科技风险管理的全部领域（含治理、管理、技术），涉及填报大量信息，完成填报需要银行业金融机构跨部门、跨信息科技各业务条线的分工协作，工作量大，沟通成本高；

2、目前填报主要依赖人工收集数据并汇总统一填报，缺乏统一的数据复核、验证机制和填报流程管控机制难以保证数据的准确和一致性；现实中因为填报人员变更、填报数据未经严格验证和审批，导致填报数据差错的情况经常出现；此外，缺乏同往期数据的比对机制，在众多的填报项中也很难发现潜在的数据差错点；

3、目前的填报机制导致历史填报数据很难保存，文档管理不规范的机构，很难查询或者参考往期的填报数据，从长远来看，也不具备对本机构的非现场监管报送数据开展有效的数据分析，会浪费宝贵的数据资源。

银行业金融机构按照各个报送表单要素要求，在本地进行了通监管报表完全一致得数据库设计和开发，确保了报送要素可通过本地信息化平台填报；具体方式上，通过填报发起人发起填报任务，可分发给预设的填报部门和岗位并设定时间进行填报；各部分的填报任务可通过流程管控，即指定复核人员进行复核或审批；其中复核环节，可自动进行前期的环比分析，来发现重大的差异填报项，便于进行核实和数据准确性确认；此外，对于一些可以通过系统自动提供数据的报送指标，可以通过符合行方要求的应用或者数据集成，自动获取数据；这样的信息化方式可显著提升报送效率，第一次填报后，以后各期的填报可以参考前期填报结果，如无重大变更的填报项，可以直接调用；通过数据抓取获取的填报项，可以节省人工填报成本；借助流程管控和前期数据自动环比比对，可快速定位填报差错可疑点，确保最终填报数据的准确性，而且规避了在不同时期填报人员变更带来的数据差错问题。借助信息化手段，银行业金融机构推动信息科技风险管理大数据分析成为可能，历次填报的数据完全保存在机构本地数据库，为行内数据仓库和BI系统提供信息科技风险数据。

本文内容来自盛邦安全对中小金融机构信息科技风险管理现状的观察与调研，难免管中窥豹，其中不全面或不当之处欢迎大家交流指正，也请各位不要对号入座。针对中小金融机构信息科技风险管理现状观察的系列文章将陆续发布，敬请期待。