【深度】聊聊职业信息技能危险办理

　　环绕《证券基金运营安排信息技能办理方法》（以下简称《方法》），上两篇别离讲了“CIO”、“信息技能合规”要害词，收到不少读者来信，在此对认可和支撑深表感谢！需求阐明的是，信息技能合规是个大出题，一篇文章必定难以言透，这也仅仅研讨成果的一小部分，本系列亦然。这就比方《证券基金运营安排信息技能办理方法》虽短短64条，10016字，但作为职业信息技能范畴威望部分规章，其每个字每个标点都通过长时刻打磨，作者虽测验逐个环绕单个要害词去讲，但仍感未讲透、意犹未尽。

　　其实，任何法规都不能仅仅简略的依据外表文字去解读，都值得咱们掰开揉碎了去了解和领会。本篇环绕“信息技能危险”打开，这也是职业现在很具应战的范畴，抛砖引玉。需求阐明两点，一是本文不方案堕入详细方法或技能，而重在结合职业去谈；二是信息技能危险不是孤立的，尽量测验结合合规、内控、全面风控去谈。

　　名不正则言不顺。不同职业，不同视点甚至不一起期均对信息技能危险赋予了不同的界说和内在。现在证券基金职业暂无官方一致界说，摩根士丹利公司将技能危险（Technology Risk）界说为公司信息、体系和基础设施遭到网络和内部要挟；《巴塞尔协议》将其界说为“任何因为运用计算机硬件、软件、网络等体系所引发的晦气状况，包含程序过错、体系宕机、软件缺点、操作失误、硬件毛病、容量缺乏、网络缝隙及毛病康复等”，该表述更多的是从技能的视点去界说，对技能进行分类；2009年银监会发布的《商业银行信息科技危险办理指引》（以下简称《办理指引》）将信息技能危险界说为“是指信息科技在商业银行运用进程中，因为天然要素、人为要素、技能缝隙和办理缺点产生的操作、法令和名誉等危险”，该表述更多的是从危险的视点去界说，用其他危险界说该危险。因为上述界说已好久，作者测验结合证券基金职业实践进行如下分析和界说。

　　“信息技能危险”外表上就有3个要害词：危险、信息、（信息）技能。词典中，“危险”是指遭受丢失、损伤、晦气或消灭的或许性，也即不幸事情产生的概率（*不是纯学术，这儿不考虑超越预期的正面影响）；理论上讲，只需不是仅有成果就会有概率，就存在危险。“信息”，除了信息论创始人香农的拗口界说外，经济学家以为“信息是供给决议方案的有用数据”；“（信息）技能”是指用于办理和处理信息所选用的各种技能的总称，包含但不限于：信息体系、硬件、基础设施、网络、研制东西、测验东西、办理东西等等；在公司办理层面，结合麻省理工学院斯隆办理学院比较知名的研讨成果，将上述要素概括统称为公司6大要害财物的“信息和IT财物”类（未来在聊IT办理时会讲）。至此，再结合证券基金职业实践（比方名誉危险、合规危险、后续分类评级影响等），作者将“信息技能危险”开始界说为“在信息技能运用进程中，信息和IT财物遭遭到丢失、损伤、晦气或消灭，从而给公司带来负面影响的或许性”。

　　需求指出的，信息技能危险，在国内外职业全面危险办理体系建造中一般归于操作危险范畴，因为其内在、复杂性和重要性的不断提高，近些年，证券职业逐步将其从操作危险中剥离出来予以要点重视。这相似商场危险中的利率危险（银行账户利率危险）被银职业拿出来作为9大危险之一进行要点着重。

　　尽管职业2014年协会发布的《证券职业全面危险办理标准》暂未明晰将信息科技危险独自拉出来讲，但早在2003年，证监会发布的《证券公司内部操控指引》第十八条就现已要求运营安排要“树立业务危险辨认、评价和操控的完结体系……对操作危险、技能危险……进行继续监控”；2016年银监会发布的《银职业金融安排全面危险办理指引》也已明晰将信息科技危险作为9大要点危险项之一。高盛、摩根士丹利、国内少量运营安排也早已将信息技能危险（或网络安全危险）作为公司层面要点危险重视项。需求指出的是，有些金融安排也会将网络安全危险和信息技能危险并排，这有其前史、内部办理或呼应特定监管要求的原因，究竟网络安全的概念由来更久。

　　弄清楚了信息技能危险的界说，信息技能危险分类就比较简略些了。从相关主体、进程、生命周期、规模等，结合职业实践，作者罗列职业常见将信息技能危险如下（因视点不同，有的有堆叠，没有明晰边界；且尽量用浅显词替代专业词），需求指出的是信息技能危险的细分类别也不是原封不动的，它跟着信息技能、运用打开而不断扩大。

　　摩根士丹利要点重视的技能危险包含信息安全危险、诈骗危险、供货商危险、数据维护危险、业务连续性危险、网络安全危险、信息技能合规危险等;高盛要点重视客户及业务数据危险、业务连续性危险、信息安全（包含网络安全）危险、合规危险等。

　　信息技能危险特色有许多，比方复杂性、广泛性、变化性等等，相似文章也许多，这儿只从职业视点聊聊几类。

　　危险是金融商场的内在特点，证券基金业务本身就游走在各类危险中。而技能本身便是个扩大器，能够极速扩大各类业务危险，带来的结果之一便是信息技能相关部分更简略“被当”背锅侠，一点小的程序缺点甚至能影响整个商场。2013年8月16日的乌龙指事情，其背面不是单纯的体系缺点问题，但信息技能危险在该事情中反常刺眼。

　　运营安排一切业务体系都由总部会集布置管控，优点不讲，害处便是一旦出问题，便是公司等级的大问题，是关系到功用能否正常运营的问题。而信息技能产生毛病过后，给与处置的时刻窗口很少，需求快速的决议方案应对，时刻越往后延，信息安全事情等级就会越大，运营安排丢失也就会越大，当事人处在极度高压下，有种在玩“俄罗斯转盘”的感觉。

　　信息安全事情视严峻程度、产生次数等会对运营安排分类评级带来不同程度的影响，也或许面对更严厉的合规查看，分类评级又会影响到运营安排出资者维护基金的交纳金额，还或许影响新业务资质的请求，银行贷款授信、券商债券业务、新业务请求等等。所以信息技能危险处置不妥结果不是能即时彻底反映出来的、也让本来就难以量化的技能危险愈加难以量化。

　　即使测验万千遍，每轮牛市都或多或少暴露出一些体系缺点。此外，证券基金职业门槛高的原因之一是细分业务品种太多，有些业务未必继续存在，比方揭露增发业务在2015-2019没产生过，2019拓斯达揭露增发事例中，就暴露了单个运营安排的体系缺点。

　　信息技能危险往往背面还紧紧跟着名誉危险、合规危险、法令危险等。各种体系问题导致运营安排客户投诉、索赔的事情在业界也不少见。

　　咱们对《方法》的了解应从逐条到大局再到结合职业现状、打开趋势、监管导向打开，《方法》第三章“信息技能合规与危险办理”对信息技能危险管控做了明晰要求，但《方法》对信息技能危险管控的要求贯穿全文。

　　《方法》发布前，监管揭露数据显现，2018年，职业90%以上的证券公司将信息技能危险办理的牵头部分设在信息技能相关部分，10%以下证券公司设在运营办理部分或危险办理部分。

　　虽没详细字眼，从内控视点，《方法》全文其实提出了构建信息技能危险管控三道防地的要求，比方第二章信息技能办理章节归于第一道防地范畴；第三十二、三十七条归于第二道防地范畴；第十六条归于第三道防地范畴。信息技能办理部分，有对信息、（信息）技能的天然优势，危险办理部有对危险管控逻辑和方法的专业优势，稽核/审计部有其独立性、客观性的检查和评价优势，三道防地有用分工、信息同享、协同打开，在安排架构层，也契合职业界控要求（比方《内控指引》第十三条）。

　　怎么协同？稽核/审计相对独立和明晰，一般直接向董事会报告和担任，坚持独立性，这儿不谈，首要从安排架构和责任上，谈谈需求加强协同，定时交流的一二道防地。世界经历看，摩根士丹利、高盛等均在公司层面建立了相似技能危险委员会的安排。

　　摩根士丹利，建立操作和技能委员会（BOTC），BOTC定时向董事会报告作业。从技能视点，首要担任把控信息技能战略、信息技能打开趋势，批阅信息技能预算和出资；把控技能危险办理和技能危险评价的体系和方法论；检查公司首要技能危险敞口，包含信息安全危险、网络安全危险等；检查办理层为监控和操控这些危险敞口所采纳的方法；检查业务连续性方案；技能部分下设技能危险部作为信息技能危险第一道防地。

　　高盛，在公司级企业危险办理委员会下设公司级技能危险委员会，该委员会担任检查与技能设计、开发、布置、运用有关的事项；检查各类网络安全事情、技能危险办理结构和方法并监测其有用性；核心成员包含两位CIO（高盛是联席制）、首席操作危险官、全球出资研讨担任人等，其间CIO和全球出资研讨担任人一起担任委员会主席。

　　根据上述世界投行运作经历，结合职业实践现状，作者以为，当时能够将信息技能危险管控的首要领导和管控功能明晰放在《方法》中提及的信息技能办理委员会。

　　《方法》第十二条明晰要求运营安排应当将信息技能运用状况归入危险办理体系。

　　这一句话最简略但其实最难。因为背面直接衔接了别的一个重要法规和体系。本文篇幅有限，择机再打开。需求指出的是，运营安排全面危险办理内在不断丰富，华锐金融科技研讨所计算了世界投行和国内几家运营安排全面危险办理要点项的变化图如下，比照也可看出，B显然在危险办理范畴在职业抢先。跟着现代信息技能的打开，金融和科技的交融，比方与建模有关的模型危险、危机延伸危险或更细分的危险也在不断涌现。

　　危险办理有其老练的方法论和体系结构，这儿不赘述。结合职业全面危险办理标准要求，信息技能危险防控，需求从办理准则、安排架构、评价体系、指标体系、人才队伍、信息同享、分类分级、应急处置等方面下手，结合运营安排现状，并不断完善。

　　《方法》第九条、第十六条别离在IT办理（第一道防地）、IT审计（第二道防地）做了相关阐明。借外力（外脑）这事，不是因为华锐金融科技研讨院、技能实验室在与运营安排打开“外脑”协作，才提起这事，其实许多相关方针文件也都有答应性阐明。作者以为，关于绝大多数运营安排，尤其是中小运营安排，跟着金融科技的快速打开，许多细分范畴的业务越来越多，内部人员和资源短少的问题愈加杰出。其实，许多细分专业业务在合规的前提下不需求亲力亲为亦或亲力亲为价值更大，重心应该是把各个细微事项拆分出来，凭借外力，然后做好整合。长于凭借各细分范畴专业的外脑（外力）是快速打开“捷径”之一，也能更好的节约本钱。

　　金融科技打开的今日，咱们都在讲生态，构建生态，其实也在假势、在进行各类资源整合，比方不少运营安排也延聘了外部安全厂商对公司重要体系进行安全评价和浸透测验，收购了专业测验报告来补偿内部测验环境缺失，测验人员缺乏难题；活跃做好专业第一道防地。也有运营安排延聘专业咨询安排做好信息技能危险防控体系建造；延聘专业信息技能外部审计安排帮忙做好第三道防地等等。

　　需求指出的是，《方法》之后，信息技能危险防控的第三道防地与之前服务财审为意图的信息技能审计彻底不同，以往的信息技能审计交给物也无法满意监管要求。第三道防地，应防止“走过场”，满意监管要求是底线，应以发现问题、提高危险防控才能为导向，为终究完善管控为方针，只要这样才能将三道防地构成杰出闭环。当然，这一起也对外部专业服务安排也提出了更高要求。

　　做好信息技能危险防控，需求一二级防地加强协同。因为之前地点壕沟不一样，需求另个部分都朝对方伸伸手。对信息技能部来讲，信息技能危险管控方法和理念应该交融、内嵌到信息技能相关的各类日常作业及活动中，比方准则建造、体系建造、体系运维、信息安全保证等等，定时打开信息技能危险自查。必定体量的安排，也能够考虑设置信息技能危险岗（团队，不单纯是网络安全），全职担任相关作业。

　　以高盛为例,工程部（Engineering）是公司一级部分，下面设有技能部二级部分（Technology Dvision），再下面设有金融和危险工程部三级部分，再下面设有技能危险部（四级部分），该部分由公司首席信息安全官办理(CISO),技能危险部下面设有技能危险办理团队、技能危险监督和审计和谐团队、监管方针和战略团队等。危险办理部一方面应该活跃从过后走向事前（比方参加到体系建造前的危险评定）、事中（比方参加到应急处置）；另一方面，也要择机装备有信息技能作业经历的人才，坚持独立性的一起更好协同信息技能办理部。现在，业界部分运营安排危险办理部已在招聘信息技能危险办理相关专业人才。

　　《方法》虽没有明晰提出将信息科技危险归入公司文明，但全面危险办理标准对危险文明有了明晰要求，应结合本身禀赋在全公司推广合规、稳健的信息技能危险文明，两部分联合、协同打开信息技能危险文明宣传作业，定时凭借内外部资源打开相关训练，更新信息科技危险范畴专业知识。

上一篇:信息化危险及危险办理研讨
下一篇:信息安全危险点评浅析