刘杰
摘要:本文以某银行的电子银行安全评估项目为研究背景,提出了一种电子银行安全评估方法。该方法按照该行电子银行业务的发展目标和风险管理目标,结合外部监管要求,即中国银行业监督管理委员会(以下称“银监会”)要求,参考业内最佳实践标准,对该行电子银行进行安全评估,旨在发现存在的主要问题并提出改进建议。通过深入分析,对电子银行安全评估分为3个层面和4个具体化执行阶段,成功高效地完成了电子银行安全评估工作,为各银行同业提供了参照方法和工作思路。
关键词:电子银行安全评估;现状调研;业务流程风险识别;电子银行业务连续性管理
1、引言
电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估[1]。 本文以国内某大型股份制银行为电子银行安全评估分析对象,提出了一种开展电子银行安全评估方法,并对该方法作了深入分析和研究;通过实践验证,该方法切实可行、达到了预期目标。
2、项目背景介绍及电子银行安全评估实施方法
本文所提出的一种安全评估方法其背景是某行的电子银行安全评估项目,分析研究的目的为以下两个方面:(1)在以监管要求及标准为依据,基于该行现有管理制度,综合参考风险库及同业实践,执行包含该行电子银行技术安全、业务操作与管理领域在内的安全评估工作,识别风险控制缺陷,提出可实施的整改建议,并出具安全评估报告;针对评估中发现的可以快速体现风险管控实效的控制措施,设计管理工具或制度,提高该行电子银行的风险管控水平,完善电子银行风险管理体系,包括:建立电子银行业务风险模型、风险评价机制,完善电子银行业务连续性管理制度;(2)通过项目实施过程中的交流和知识转移活动,协助电子银行风险管理相关人员掌握风险现状,了解风险管控要求,提高该行电子银行风险管理团队技术能力。
根据电子银行业务发展方面及现有业务重要程度分析,本项目的评估范围包括网上银行、手机银行、电子支付三个业务领域[2]。按照项目执行的时序、项目特点等综合因素,采用分阶段完成其项目。具体将评估方法分为这样四个阶段:项目计划、安全评估、风险管理优化、报告及建议,各阶段的主要工作简述如下:
(1)项目计划阶段:确定详细项目范围和制定安全评估工作计划,监管要求差距分析;(2)安全评估阶段:执行该行电子银行安全评估,包括治理、业务和科技层面;(3)风险管理优化阶段:建立电子银行业务风险模型以及风险评价机制;(4)报告及建议阶段:编制安全评估报告并提出改进建议,建立电子银行业务连续性管理机制。
本次电子银行安全评估不仅为满足监管要求,更以全面了解电子银行风险全貌为目标,因此在评估要求的设计过程中,充分参考了监管要求、该行电子银行管理制度与国内外同业最佳实践。
为全面评估电子银行风险状况,根据本次项目评估目标和评估范围,本文设计了三层评估框架,以保证电子银行安全评估的全面性,包括:治理层面、业务层面及科技层面。电子银行安全评估框架如图1所示:
图1 电子银行安全评估框架
三层评估的具体执行目标为:(1)电子银行治理层面评估主要针对电子银行安全策略、内控制度建设、风险管理状况进行设计,根据框架可对治理层工作的有效性、充分性、合理性进行评估;(2)电子银行业务层面评估主要从电子银行产品的需求调研、产品设计、系统研发、投产上线到市场营销的整个生命周期流程及具体电子银行产品业务操作两个层面出发,对电子银行业务的风险进行评估;(3)电子银行科技层面评估重点关注电子银行业务相关系统的整体运营及维护情况,主要通过检查电子银行业务运营相关应用系统的部署及配置发现安全隐患。
3、项目阶段化及具体工作描述
根据上述评估方法的具体工作思路,并结合安全评估框架图,现将划分为4个阶段的相关工作具体化,各个阶段的具体工作如下所述:
3.1第一阶段具体工作描述
第一阶段是项目计划阶段,其阶段目标是了解该行电子银行业务运作方式与主要环境,制订项目详细计划与范围,并与该行成员讨论确定项目的详细实施计划和范围。对现有国内和国际监管要求、指引和参考进行收集整理,评估其对该项目的适用性,形成电子银行风险矩阵;同时,还将对各类相关资料进行前期收集和查阅,包括电子银行业务资料、电子银行系统相关资料、电子银行往期评估资料。
3.2第二阶段具体工作描述
第二阶段是安全评估阶段,治理层面评估的目标是确定评估战略机制、职责分离和制度体系化程度。首先收集电子银行发展战略、组织架构及职责分工、电子银行管理制度等资料;然后梳理电子银行制度体系,明确制度间上下层级和相互关系,尤其关注制度覆盖面的缺失或重叠,以及与其他部门相关制度的衔接;最后梳理电子银行管理组织架构,评估其完整性和职责分离有效性。在完成基础工作之后,对电子银行治理层面管理机制进行完整评估,包括电子银行战略管理机制、电子银行制度管理机制等。
业务层面评估的目标是评估重点产品的全业务风险控制情况。首先收集电子银行产品资料,访谈产品设计和管理人员,整理详细业务操作流程图,同时参考风险框架梳理业务层面风险;对于电子渠道实现传统产品的情况,重点关注电子渠道相关风险;对于电子银行创新产品的情况,全面关注产品本身和渠道相关风险;对所有产品都关注市场营销、产品研发、运行维护和自律监管等方面的风险。然后识别现有风险控制措施和控制措施类型,评估业务层面安全管理状况。
科技层面评估的目标是明确相关信息系统,并对科技管理机制进行评估。梳理出支持电子银行业务运行的信息系统,整理电子银行系统安全评估要点,并对相关系统环境进行评估[3]。
在该电子银行安全评估工作过程中,为了解电子银行安全情况,其间采用了人员访谈,资料查阅,检查风险控制执行记录、系统管理及配置情况等方法,对该行电子银行安全情况进行评估。整个评估过程分为三个步骤完成,其三个步骤的具体工作为:
(1)通过资料搜集和访谈调研全面了解现状。本次评估工作中,对电子银行业务相关部门人员进行了广泛的访谈,包括对电子银行部、信息科技部、办公室、法律合规部、风险管理部等进行访谈。通过访谈了解电子银行业务管理相关现状,评估电子银行各类安全策略、管理制度、操作手册的要求是否在日常工作中有效落实,评估人员的安全意识水平及对自身岗位职责的理解水平。在评估工作中,对该行电子银行的组织架构、人员分工、安全策略、管理制度,业务连续性计划等资料进行调阅,并查阅了涉及电子银行业务运行的科技运行标准及操作手册。通过对资料的查阅,评估该行电子银行安全策略、管理制度、操作手册等文档的完整性及设计的合理性和有效性。
(2)通过流程梳理和现场检查全面识别现存风险。具体为:梳理该行电子银行业务流程,包括电子银行产品管理生命周期和具体电子银行产品操作流程:电子银行产品管理生命周期涵盖电子银行产品的需求调研、产品设计、系统研发、投产上线、市场营销等环节;根据产品特点和重要程度,从个人电子银行业务和企业电子银行业务中选定若干业务作为评估样本,绘制业务流程图,并逐一分析业务流程中各个处理环节,相关部门、处室或岗位,涉及的记录和数据等,评估电子银行产品业务流程中是否存在安全隐患,识别具体风险点。
(3)梳理清单、确定风险,判断风险问题等级。整理风险评估结果,逐一评估风险等级。本次评估从风险发生可能性和影响程度两个方面,依据风险发生可能性与影响程度等,判断风险级别,形成评估结果。
3.3 第三阶段具体工作描述
第三阶段是风险管理优化阶段,其目标是建立电子银行业务风险模型,形成业务风险评价机制。针对发现的缺陷,与该行项目组讨论对电子银行安全风险的影响程度,并确定风险等级。本阶段应全面梳理电子银行产品业务流程以及风险控制点,建立电子银行风险管理模型,并依据风险管理模型,建立电子银行业务风险评价机制。
3.4 第四阶段具体工作描述
第四阶段报告及建议阶段,其目标是形成安全评估报告,分析未来趋势。本阶段应根据评估情况和各部门反馈情况编制安全评估报告,并提出切实有效的安全风险管控建议。此外,编制电子银行业务连续性管理规范制度,满足合规要求,为电子银行业务连续性管理奠定基础。
4、项目方法实施经验
在整个项目的实施过程中,业务流程图的绘制与风险点识别是整个电子银行安全评估非常关键的一环。针对这一关键点,首先应从银行现有的个人电子银行业务和企业电子银行业务中选取较为重要或具有代表性的若干业务作为评估样本,绘制水平流程图。绘制流程图时应注意包含的客体,具体如客户、营业网点柜台、各相关部门、信息科技部或外部支撑系统,各客体之间以清晰的动作节点串联起来,并在两节点中间标明信息的传递情况,清晰地反映实际的业务流程与涉及的各部门职能。
绘制流程图时可参考银行现有的业务流程相关制度,对访谈结果进行分析和梳理,在银行官网上查看演示版模拟真实业务操作流程,最具有实际意义的措施是采用切身实际去柜台办理一张储蓄卡的办法,并开通个人网银的相关功能,在其相关功能的范围内,进行网银和手机上进行相关实际操作,这样才能够真实、全面地了解业务流程并绘制出能反映实际业务流程的流程图,为进行全面风险识别奠定良好的基础。在进行风险识别时,应考虑各种风险类型,可参考本行或同业的风险库,必要时亦可召集小组成员一起进行讨论分析,力求全面识别电子银行各业务流程中的风险点,并在图中对风险点进行标识:标识的方法是在风险点处标明风险名称与风险描述。在完成风险点标识后,将其进行归纳统计,最终将业务流程所有识别出来的风险汇总形成风险矩阵和风险清单。在此基础上,对所统计的风险进行分类,判断每个风险点的风险等级、是否重要、是否紧急,并提出相应的风险控制措施。
在评估中,针对评估对象和评估要点,查阅该行电子银行风险控制相关文档记录,其查阅记录文档的范围涉及业务风险控制记录以及科技类风险控制记录。通过对风险控制记录的查阅,了解电子银行相关管控措施实施情况,除了用于评估该行的风险控制措施设计的有效性和合理性,还用于评估风险控制措施执行的有效性和及时性等方面。对该行电子银行业务相关系统配置及涉及业务系统的网络设备、安全管理设备、日志监控设备、数据库及中间件配置进行查看,查看范围涉及开发环境及运维环境。通过对信息系统管理及配置的查看,评估电子银行相关信息系统和信息环境安全控制措施的有效性。
5、项目实施总结
本文通过将电子银行安全评估框架划分为3个层面,以及按照工作的先后顺序划分为4个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的电子银行安全评估工作,满足了银监会《电子银行安全评估指引》及其他相关的监管要求,并为该行或相同行业在今后的电子银行安全评估工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献:
[1]中国银监会.电子银行安全评估指引[Z].
[2]王发红,朱锋.我国商业银行创新问题研究[J].济南金融,2001(8).
[3]张勤.积极推动业务创新,提高银行竞争力[J].金融观察,2006(5).