银行信息风险评估实证研究.docx

银行信息风险评估实证研究 随着信息技术在商业银行的逐步进展和应用,信息科技风险治理日益被商业银行提上日程,成为一门新兴的应用治理学科,对信息科技风险的治理也已成为商业银行全面风险治理中的一个重要组成局部。由于在信息科技业务开展过程中缺乏客观而完整的风险治理视图,各项工作受人员个人阅历或偏好影响,造成信息科技风险治理的随便性,以及常规定性为主的风险评估方法尚欠科学性,评估输入项不标准、不全面,评估结果也不全都,对同一场景的定性评估也因人而异。2023年6月,银监会商业银行信息科技风险治理指引,对商业银行进展信息科技风险的非现场监管与建立信息科技风险评估体系提出了要求。 中国商业银行信息科技风险治理评估还处在讨论进展阶段,为了使中国商业银行对信息科技的使用状况进展评估,使商业银行更全面、更科学地把握自身信息科技风险状况,评估其在防控各种信息科技风险方面的总体效果,从而对商业银行的信息科技风险表现形态和内在风险掌握力量进展的科学、审慎的评估与推断,制定相应的治理措施,到达防范信息科技风险的目的。本文在借鉴美国金融业统一的技术风险评估体系URSIT(UniformRatingSys-temInformationTechnology)和国际公认的信息系统安全与技术治理和掌握标准COBIT(ControlObjectivesforInformationandRelatedTechnolo-gy)的阅历、方法和成果根底之上,结合中国商业银行风险评估的特点,特殊是商业银行信息科技风险关注点,构造了适合中国商业银行信息科技风险的评估模型、指标体系。 一、信息科技风险评估体系设计思想 URSIT是美国联邦机构金融检查委员会(FederalFinancialInstitutionsExaminationCoun-cil,FFIEC)制定的与骆驼(CAMELS)评级体系相全都的美国金融业统一的技术风险评级体系1。1978年,FFIEC首次推举各金融机构采纳URSIT,它作为一套特地的技术风险监管工具被美国的金融机构以及IT效劳供应商广泛应用在技术风险检查中2。 随着信息技术的不断进步与进展,URSIT也进展了屡次相应的修改。1998年,FFIEC在参考了COBIT根底之上,结合金融行业的特点,增加了衡量执行效果的推断标准,使URSIT更科学,也更易于执行3。 中国商业银行信息科技风险评估体系在表达上与商业银行信息科技风险治理指引和股份制商业银行风险评级体系保持全都4153-167,首先确定若干评估度量域,每一个度量域包含若干度量类,在确定评估度量域时,借鉴银监会商业银行信息科技风险治理指引的九个方面:信息科技治理,信息科技风险治理,信息安全,系统开发、测试与维护,信息科技运行,业务连续性治理,外包治理,内部审计和外部审计,同时结合中国商业银行信息科技风险特征进展设置。 二、多级指标体系的构建 考虑到评级指标有多个类别和多个层次的特性,中国商业银行信息科技风险指标体系构造可以采纳多级指标形式,即在每一父类指标下又包含若干个子类指标5。根据附属关系依次分为度量域、度量类、度量项等。假如一个指标下又包含多个指标,则该指标称为一个指标项,否则成为一个指标。信息科技风险评级指标体系以ISO27001标准所商定的信息安全治理体系的框架,采纳域、类、指标划分的三层构造,从上到下分别包含9个域、46类和841项度量指标6。详细的商业银行信息科技风险评级指标体系构造如表1所示。 我们把综合评级中的九评级单项指标称为“一级指标”。综合评级的分值由九个“一级指标”分值加权汇总求得。从单项评级模型上看,每个单项评级指标(一级指标)的分值又由其下的多个指标(二级指标)分值加权汇总得出。“三级指标”分值加权汇总得出“二级指标”的分值。假如“三级指标”仍不能独立说明状况,还需要其他多个指标来帮助,那么就需要制定“四级指标”。单项评级模型中的指标级数可依据需要来确定。 三、评估模型的设计 中国商业银行信息科技风险评估模型是由单项评估模型和综合评估模型组成,各项指标归属于不同的信息科技域、相关主题和责任部门,通过对各单项指标评估数据的汇总,可以形成对商业银行信息科技风险的整体评估7。 单项评估模型为: 在进展信息科技风险单项评估时,依据根据已经设定好的单项指标评分标准进展评分,并给予不同的指标相应的权重属性,最终进展加权求和得出单项评估分值。 评估信息科技风险治理工作成效,需要考虑掌握措施定义、掌握措施执行状况和工作记录状况三个方面,结合掌握缺失造成风险的凹凸,最终进展综合评估。为此,我们假设单项指标的评分标准为0、1、2、3、4、5共六个级别。例如,单项评估中A域的“信息安全治理体系”,包含有n个度量类;Ai表示为A域中第i个度量类的分值,它是一个05之间的值,此评估标准综合评估模型为:Risk=A×WA+B×WB+J×WJ其中,变量Risk表示为商业银行信息科技风险总量;变量A,B,X表示为商业银行信息科技风险中相关的度量域;变量WA,WB,WX表示A,B,X各度量域的综合评估权重值。 四、评估中应留意的问题 (一)权重确实定 指标权重的选取对最终的评级结果很重要,不同指标在技术风险监管中的重要程度不尽一样8。因此应当依据详细状况考虑给不同的指标给予适当的权重,以说明其重要性。 指标权重确实定方法可分为主观赋权法和客观赋权法9。主观赋权法是依据人们主观上对各指标的重要程度理解来打算权重的方法,如Delphi方法;而客观赋权法就是依据各指标间的相关关系或各指标值的差异程度来确定权重,如主成分分析法、熵值法、相关系数法等。另外,还有层次分析法,它实际上是一种主客观相结合的赋权方法。笔者建议将多种赋权方法组合使用,即以Delphi法通过反复征求专家意见得到不同指标权重的初值;再通过层次分析法依据各指标权重的相对重要性构造推断矩阵,计算出各层次指标的组合权重;最终利用熵值法对得到的组合权重进展修正。 应当说明的是,随着中国对银行信息科技风险监管的加强和重视,不同指标的权重大小应随着银行信息科技风险的变化和监管的重点与难点的变化而适时做出调整。 (二)筛选形成信息科技风险评估掌握表和信息科技风险评估表 对于信息科技风险评估掌握表和信息科技风险评估表的筛选应按以下步骤进展:1.筛选工具。选用Excel2023或Excel2023作为筛选工具。Excel2023可以满意一般的筛选功能,Excel2023在进展多项条件(两项以上)筛选时更加便利。 2.分状况筛选。在确定信息科技风险评估对象所涉及单位、参加评估的人员岗位、一级掌握域和二级掌握域后,可根据以下步骤对信息科技风险评估掌握矩阵进展筛选。 (1)依据评估对象所属掌握域对“一级掌握域”和“二级掌握域”列进展筛选。假定评估对象所属的一级掌握域为“信息安全”,二级掌握域为“物理及环境的安全治理”,筛选时应选择一级掌握域列为“信息安全”并且二级掌握域列为“物理及环境的安全治理”的筛选条件,完成筛选。 (2)依据评估对象所涉及单位,对“适用单位”列进展筛选。 假定评估对象是所涉及的单位是数据中心(上海),筛选时应选择“适用单位”列包含“全部单位”或“数据中心(上海)”的筛选条件,完成筛选。选择多项条件时通过“自定义”设置选项。在弹出的自定义自动筛选方式窗口中,适用单位选择的设置。假如使用Excel2023,可直接勾选多项条件。 (3)依据评估对象涉及的人员岗位,对“适用角色”列进展筛选。 假定评估对象是所涉及的人员岗位包括“工程经理”和“全部岗位”,筛选时应选择“适用角色”列包含“全部岗位”或“工程经理”的筛选条件,完成筛选。 3.形成信息科技风险评估掌握表和信息科技 风险评估表。在完成上述筛选工作后,还需要根据以下步骤形成信息科技风险评估掌握表和信息科技风险评估表。 (1)将从信息科技风险评估掌握矩阵中筛选出来的行和表头全部都拷贝到一个新表中,形成信息科技风险评估掌握表,作为单独文件保存。 (2)以信息科技风险评估掌握表为根底,删除表中的“风险值”、“参考文件”、“参考文件章节”、“适用单位”、“适用角色”列的内容,形成信息科技风险评估表,作为单独文件保存。 (3)应根据模板要求调整信息科技风险评估掌握表和信息科技风险评估表格式,包含模版中的根本要素,并且尽量美观,便利填写。 五、实证分析 对某行的运行治理领域开展信息科技风险评估,下面为应用此评估模型实证检验的结果(见表3)及分析。 1.变更治理。变更治理包括版本投产变更和运行变更治理两局部,共包括20个风险点,126个题目,存在差异项28个,占评估要点的22.22%。评估发觉的差异项主要表达在变更申请、变更方案的制定等方面。 在变更要素的标准性方面,某行存在的差异主要包括变更申请时间不符合要求、变更回退方案不够具体、变更审批流程不标准等方面,要求加强变更治理,严格执行科技制度的有关规定。 2.操作治理。本次操作治理领域风险评估共包括14个风险点,29个题目,存在差异项13个,占评估要点的44.83%。评估发觉的差异项主要表达在操作培训、操作预备、操作实施、操作记录方面的风险。 在操作实施方面,由于分行操作人员有限,目前无法对全部生产操作内容做到全部双人操作,局部操作只能做到事后检查复核,可能存在肯定的操作风险。建议基于现状加强事后检查复核的力度,通过补偿掌握措施降低操作风险。 3.大事治理。本次大事治理领域风险评估共包括14个风险点,53个题目,存在差异项9个,占评估要点的16.98%。评估发觉的差异项主要表达在生产故障大事报告、生产故障大事受理、生产故障大事解决、生产故障大事反应方面的风险。某行在生产故障大事反应环节对于一些业务部门提交的大事单,在大事解决后由于各种缘由无法准时联系到业务部门人员,无法根据制度要求在一个工作日内关闭大事。 4.数据治理。本次数据治理领域风险评估共包括13个风险点,61个题目,存在差异项10个,占评估要点的16.39%。评估发觉的差异项主要表达在数据存储介质和数据抽检治理、数据保密治理、数据变形策略等方面。其中数据变形策略在某行实际工作中尚未开展,主要缘由是某行缺乏成熟的数据变形策略,目前暂未下发过某行数据变形工具,某行无法对数据实施变形。 5.问题治理。本次问题治理领域风险评估共包括6个风险点,14个题目,存在差异项2个,占评估要点的14.29%。评估发觉的差异项主要表达在问题反应、问题汇总、分析方面。生产问题已经纳入ServiceDesk系统统一治理,但目前某行未根据制度规定将问题资料统一编号、整理、归档。 6.应急治理。应急治理包括应急治理和远程应急治理两局部,本事域风险评估共包括11个风险点,32个题目,存在差异项2个,占评估要点的6·25%。差异项主要表达在应急预备、应急接收环境的日常维护方面。经评估组分析,本事域发觉的差异项对实际工作影响较小,风险可承受。