安言咨询信息科技风险管理解决方案

通过开展信息科技风险管理咨询工作，全面、准确地了解银行的信息科技风险管理现状，基于银监会发布的《商业银行信息科技风险管理指引》、《数据中心监管指引》、《业务连续性管理指引》、《信息科技外包风险监管指引》等监管合规要求，结合商业银行自身现状，完善信息科技治理架构，涉及信息科技风险管理合规框架，开展信息科技风险评估并建立风险持续检测机制，指导商业银行在信息安全、信息系统开发维护、科技运行、业务连续性、信息科技外包等领域建立并完善各类风险控制措施，有效满足监管要求。

以《商业银行信息科技风险管理指引》为框架，关联映射各类内外部合规要求，包括但不限于内部现有制度文件、ISO27001、ISO20000、CMMI等。确保各类合规要求均被有效整合在信息科技风险合规框架内。基于整体合规框架的要求，指导银行完善现有信息科技风险管理组织架构，进一步明确信息科技风险管理职责归属，优化跨部门协调工作机制。

规划科技风险建设蓝图

依据巴塞尔委员会的观点，我们可以将风险管理过程分为四个步骤，包括识别、评估、监测、控制/缓释。这一过程需要使用不同的工具和方法来实现，主要包括风险的识别和评估工具-风险和控制自我评估、风险监测工具-关键风险指标、对低频高损极端风险的应对工具-业务连续性计划，以及其他的基础性工具，如损失数据收集和分析，风险损失报告等。在《操作风险管理与监管的稳健做法》和《管理指引》中，列举出的一些商业银行管理操作风险的具体方法，包括操作风险和内部控制的评估、损失事件报告和损失数据收集、关键风险指标监测、新产品和新业务的风险评估、操作风险报告等。这些方法或工具在管理操作风险的过程中发挥着不同的作用。

风险管理体系框架

信息科技风险管理制度划分为信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包以及审计八个风险管理域。

信息科技风险管理制度分类示例

由于银行业务的高速增长以及信息技术的飞速发展，使得信息科技风险具有不断变化的特性。比如，通过充分风险论证的生产系统，短期内无风险隐患，而随着生产环境的压力逐步扩大，系统的脆弱性就会逐步暴露出来；一个具有很高安全性的电子银行，随着病毒的不断变种，黑客技术的提高，新的安全问题就会暴露出来；一台装有最新防护设备的ATM，犯罪分子通过对ATM的刻意研究揣摩，并采取一定的手段避开防护设备，就有可能采用新的手段进行犯罪。因此，信息科技的风险评估工作要求更加严格，不仅要充分考虑当前情况，更应该对将来可能发生的情况作全面而充分的考虑。

信息科技风险库组成

信息科技风险库更新频率

在风险评估流程的设计和实施过程中，要对流程进行不断的改进，以期取得最佳的效果。因此，安言咨询将在风险评估后续工作规划中协助客户建立评估流程优化完善机制，对现有风险评估工作流程的梳理、完善和改进。

风险评估流程优化的主要途径是环节简化和时序调整。对于某些效率低下或逻辑不合理的流程，也可以完全推翻原有流程，运用重新设计的方法获得流程的优化。