摘 要:随着互联网金融企业的兴起,为促进互联网金融企业安全、持续、稳健运行,有必要加强对信息科技风险的管理,构建信息科技风险管理框架。基于此,提出互联网金融企业应从风险治理、风险评价、风险响应三个方面构建有效的信息科技风险管理框架,从而有效防范信息科技风险。
关键词:互联网金融;信息科技风险管理框架;风险治理;风险评价;风险响应
中图分类号:F832 文献标志码:A 文章编号:1673-291X(2020)07-0011-03
按照2015年7月18日人民银行等十部门发布《关于促进互联网金融健康发展的指导意见》中的定义,“互联网金融是传统金融机构与互联网企业(以下统称‘从业机构)利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。”互联网金融不是互联网和金融业的简单结合,而是在实现安全、移动等网络技术水平上,被用户熟悉接受后(尤其是对电子商务的接受),自然而然为适应新的需求而产生的新模式及新业务,是传统金融行业与互联网精神相结合的新兴领域。
《指导意见》在第17条“网络与信息安全”中明确要求:“从业机构应当切实提升技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。人民银行、银监会、证监会、保监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管,并制定相关监管细则和技术安全标准。”根据指导意见的要求,互联网金融企业应加强对信息科技风险的管理,有效防范信息科技风险。
一、信息科技风险的定义和主要准则
(一)信息科技风险的定义
风险在企业运营管理过程中扮演了一个至关重要的角色,几乎所有的业务决策都需要管理层在风险和商业回报方面进行适当均衡。是否能够有效地管理业务风险对企业来说是至关重要的,但其中的信息科技风险(与使用信息技术有关的业务风险)却往往被忽视。其他的业务风险,例如市场风险、信用风险和运营风险已经早就被整合到公司业务决策过程当中了,而信息科技风险由于其技术专业性往往被局限在管理层以外的技术专业人员的狭窄范围里。
信息科技风险,是指信息科技在互联网金融企业运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
(二)信息科技风险的主要准则
信息科技风险通常包括以下基本准则:总是跟业务目标相关联,与信息科技相关的业务风险从属于企业风险管理的一部分,管理信息科技风险时做到费效比适当均衡,促进信息科技风险的公正和开放式沟通,从顶向下定义人员权责和可接受的风险水平,是一个永不停止的过程和日常活动的一部分。
二、信息科技風险管理框架及其组成部分
(一)信息科技风险管理框架
为了对信息科技风险进行优先排序和有效管理,互联网金融企业管理层需要一个参考框架来对IT的功能和风险进行清晰的理解。然而实际上,这些应该对企业风险管理负责任的董事会成员和管理层,对此却没有一个完整的理解。信息科技风险不仅仅是一个技术问题,尽管经常是IT领域的技术专家来帮助理解和管理IT风险,实际上业务管理者才是最重要的利益相关方。业务管理者来决定信息科技需要做什么来支持他们的业务,设定信息科技工作的目标和对相关的风险管理进行问责。
信息科技风险框架解释什么是信息科技风险,它能使企业做出合适的基于风险的决策,将信息科技风险有机整合在企业的整体风险管理体系当中,以及如何进行适当的风险响应。它能帮助企业理解和管理所有重要的信息科技风险类型,提供一个端到端综合的所有与信息科技技术使用有关的风险视图。
(二)信息科技风险管理框架组成部分
信息科技风险管理框架通常由三个部分组成:风险治理、风险评价和风险响应。风险治理包括建立和维护一个通常的风险视图,将信息科技风险管理与企业风险管理进行集成,做出基于风险的业务决策等。风险评价包括搜集数据、分析数据和维护风险状态信息。风险响应包括指出风险、管理风险,以及对风险事件做出适当反应。
三、构建互联网金融企业的信息科技风险管理框架的策略
由于互联网金融企业诞生时间较短,加上信息科技风险归属于特定的技术领域,导致很多企业的管理层容易只关注于业务风险而忽视了对信息科技风险的管理,往往将其作为一项信息科技工作留给信息科技部门自行处理,或者基于事件驱动的模式,遇到一个事件问题就触发解决一个问题。这样就导致基本上无法对信息科技风险进行系统、有效管理和控制,也给企业的长远稳定发展带来了不小的隐患。管理层要清晰地了解企业在开展业务时所面临的信息科技风险是什么和进一步去进行有效管理,首先需要建立一个能够有效运行的信息科技风险管理框架。
这个框架要清楚地定义所有参与到信息科技风险管理过程中的角色,这些角色分别包括董事会、首席运营官、首席风险官、首席信息官、首席财务官、企业风险委员会、各业务管理部门、各业务流程的责任人、风险控制部门管理者、人力资源部门、合规和审计部门,以及各个角色的清晰职责等。信息科技风险管理不仅仅只是信息科技部门自己的事,它是整个互联网金融企业管理层和各业务部门都应该一起参加和担负相应分工职责的一项工作。
(一)风险治理
风险治理的主要任务有两点,一是帮助管理层做出基于风险的业务决策,二是建立和维护一个常见的风险视图。
首先,互联网金融企业要从建立一个风险管理的分析组织框架,由管理层参与的信息科技风险管理委员会负责对信息科技风险管理职能部门定期或紧急提交的信息科技风险问题进行风险决策,信息科技风险管理职能部门负责日常信息科技风险管理制度、流程等的制定,修改和监督协调各业务部门进行实施,各业务部门需要指定专人代表本部门负责相关信息科技风险的管理和接口工作。
在信息科技风险管理的流程中,通过相关的“负责任的,负责、咨询、通知”(RACI)表可以清晰地表述出企业里各个不同的角色在信息科技风险管理的活动中是如何进行负责任的、负责、咨询、通知的行为或作为行为的结果的。可以参考的角色包括:董事会和首席运营官(CEO)、首席风险官(CRO)、首席信息官(CIO)、首席财务官(CFO)、公司风险委员会、业务部门管理层、业务流程的所有者、风险控制职能部门、人力资源部门、合规和审计部门,包含这些角色的RACI(如表1所示)。
其中,R=Responsible,负责任的,即负责执行任务的角色,他/她具体负责操控项目、解决问题。
A=Accountable,负责,即对任务负全责的角色,只有经他/她同意或签署之后,项目才能得以进行。
C=Consulted,咨询,拥有完成项目所需的信息或能力的人员,即活动执行前或完成前提供顾问咨询的人,通常是该项领域的专家。
I=Informed,通知,即拥有特权、应及时被通知结果的人员,却不必向他/她咨询、征求意见。
(二)风险评价
风险评价的主要任务是搜集数据,分析风险和维持一个风险态势图。常见的风险分析包括定量分析和定性分析两种。各个企业内部使用的分析方法往往各不相同,但大都会参考一些知名的风险分析理论模型和方法。例如,這些常见的方法有:信息及相关技术的控制目标(CobiT)是 ISACA(信息系统审计和控制联合会)制定的面向过程的信息系统审计和评价的标准。CobiT的业务评价标准基于效率、有效性、效果、机密性、一致性、可用性、合规性和可靠性。CobiT的平衡记分卡则主要基于财务、客户、内部和增长等方面。COSO的企业风险管理整合框架则基于战略性、操作、报告和合规四个维度。信息风险因子分析方法(FAIR)基于影响的标准进行分析,这些标准包括生产率、响应、替代性、竞争优势、法律和企业声誉等。
下面以美国国家标准与技术研究院(NIST)风险分析为例,具体如下:
将信息科技资产分为非常重要、重要和一般三个重要性级别,然后对可能性和影响进行详细的定义(见表2和表3)。
确定了信息科技风险的可能性和信息科技风险对企业的影响,就可以通过风险等级矩阵对信息科技风险的定性分析(见表4)。
(三)风险响应
风险响应的任务就是对风险评价的结果做出适当的应对决策,即针对相应的信息科技风险决定做出避免、缓解、转移或接受的决策。信息科技风险管理职能部门负责按照相应的风险管理流程和制度,将风险根据其重要性,对业务和信息资产的影响程度,是否受相关合规等制度和法律法规监管的要求,相应风险响应的可选项,各种应对方式的人力和费用代价,需要花费的时间,应对后的风险是否可以避免或降低到一个可接受的水平等,在公司风险管理委员会上提交相应的风险评价报告和响应建议,经风险委员会在会议上讨论后再做出最后的风险决策。风险决策一旦做出后,信息科技风险管理职能部门就要负责按照公司风险管理委员会的决定协调各业务部门执行相应的风险响应工作,并及时监督跟进记录,直至最后完成再向公司风险管理委员会报告并得到批准后,最终才可以关闭该项风险条目。
四、结语
信息科技风险是企业整体风险管理中的一个重要组成部分,尤其是对互联网金融企业来说,信息科技风险管理的好坏对企业的业务安全和长久稳定发展至关重要。因为互联网金融企业的特殊性,导致其业务面对互联网的信息科技风险问题相对于传统企业来说更为复杂、严峻和困难。
信息科技风险管理的目标是通过建立有效的机制,实现对互联网金融企业信息科技风险的识别、计量、监测和控制,促进互联网金融企业安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
参考文献:
[1] ISACAs Risk IT Framework and Risk Assessment Methodology,Author Phil Schacter,2010.
[2] Risk Management Guide for Information Technology Systems.NIST Special Publication 800-30.
[3] Beating IT Risks,Authors Ernie Jordan and Luke Silcock,Publisher John Wiley&Sons,Ltd.
[责任编辑 吴高君]
收稿日期:2019-09-19
作者简介:曾瑞玲(1973-),女,河南信阳人,副教授,从事金融理论与实务研究。