一、中小银行IT风险特征

近年来，各中小银行不断转型升级催生一系列新理念、新技术、新产品、新渠道、新业态，致使IT风险衍生新特征。一是复杂程度高。在银行业务飞速发展阶段，信息系统运行环境越来越庞大复杂，科技、风险组织架构、制度和流程应时而变，增加了原有风险的复杂程度。二是影响范围广。信息技术广泛应用于银行经营及管理的诸多环节，扩大了IT风险影响范围，可能对公民、法人、社会稳定甚至国家金融安全造成较大影响。三是破坏性强。数据大集中背景下，一旦核心系统或主干网络出现故障或受到攻击，将立刻传导至下属机构，造成全行业务停运及无法估量的损失和社会影响，可能产生声誉与法律风险，甚至引发客户挤兑与流动性风险。四是突发性强。外部因素突然变化往往引发风险事件的发生，如自然灾害、电力中断、网络瘫痪等。这些因素变化难以预测，但事后对科技系统影响巨大。五是隐蔽性强。银行主要业务流程高度依赖信息平台，系统设计过程中存在的缺陷或隐患往往存在于系统底层，日常管理和维护难以发现，需经长期运行或环境变化暴露出来。另外，IT风险管理组织、制度与流程的缺陷和薄弱环节也不易于发现。六是监管态势日趋严峻。近年，随着IT风险监管领域与范围的不断延伸，监管思路也越来越清晰，监管颗粒度和覆盖面明显提升，监管政策与罚单频出，透露出明显的监管风向，即IT风险监管力度趋于精细化、问责化。

上述特征为IT风险管理带来的诸多挑战，无疑对中小银行传统IT风险管理体系提出了更高要求，促使中小银行必须提升风险管控能力和技术水平。

二、中小银行IT风险管理面临实际痛点

目前，各中小银行IT风险管理的总体架构、运行机制基本形成，正在进一步探索建立更加科学化、信息化的风险识别、监测、评估等机制，着力推动IT风险管理由“被动触发”向“主动管控”方向过渡，但在探索过程中，仍然普遍存在急需解决的实际痛点与不足。

（一）管理工具不足，缺乏有效抓手

1.风险管理缺乏独立性。因IT风险固有特征，“二道防线”在得不到“一道防线”有效信息、数据支撑的情况下，难以实现独立监测、及时、直观感知并预警。

2.量化指标体系不完善。多数商业建立的操作风险（KRI）指标库设计了少部分IT风险定量指标或在指标设计中仍停留于监管指标，指标数量与量化覆盖率低，远不足以满足各大领域IT风险日常监测需求，且多数量化指标依赖手工统计与填报，存在统计不及时、准确性难保证、风险管控滞后等问题。

3.风险评估缺乏统一标准。风险评估通常以多维度（如固有风险、风险影响程度、控制措施有效性等）对评估对象进行风险等级划分，并为风险排序，多数中小银行缺少统一评估标准，评估模式存在较大主观性。

4.风险库数据积累不足。多数中小银行风险管理过程数据信息仍停留于纸质层面，历史风险事件、风险损失、内外部检查、日常监测等风险数据尚未实现有效积累，未形成风险库，在风险评估、监测、预警机制建设中因缺少数据支撑导致建设周期延长。

（二）停留于传统手工处理，管理质效过低

1.风险披露质效无法保证。IT风险监管及日常管理报告、报表工作较为繁重，需投入较多人员参与风险信息与数据采集，勉强保证风险披露及报告时效性，但存在风险信息分析不充分的可能，大大降低风险披露质效。

2.风险评估效率偏低。在缺乏信息化手段支持下，风险评估需要人工梳理评估底稿及涵盖各领域上百项风险点，难以统计和分析风险点、控制现状及剩余风险的演进等，故很难有针对性、有目的性地安排风险评估工作且整体效率偏低。

3.难以实现闭环管理。一方面在指标运行、数据分析、流程与信息管理等关键环节缺少成熟的信息化工具与自动化处理机制，难以彻底实现贯穿IT风险全生命周期闭环管理；另一方面伴随着承载业务运行的关键资源不断增多，IT风险分布将越来越广，其管理范围已经由仅面向信息科技部逐渐扩展到全行各个部门甚至各层级机构，在传统管理方式下，其管理的全面性与深入性更难兼顾。

综上痛点与不足为中小银行深入推进科学的IT风险管理机制建设进程与提升精细化管理水平带来诸多阻碍，亟待解决。因此笔者从管理角色、工具标准、基础安全与科技赋能方面有针对性地提出对策建议。

三、中小银行IT风险管理应对之道

（一）优化角色定位，抓好各级管控责任

具备稳健的IT风险治理架构，发挥全行IT风险防控职责，形成群防群控态势，是保证一切风险管控活动正确且有效开展的前提和基础。一是借鉴优秀实践经验，优化“三道防线”角色定位。由中小银行信息科技部作为第1道防线及第1.5道防线。第1道防线是风险所有者，也是风险控制、实施、评估、内部和外包过程/员工监督的执行者。第1.5道防线是信息科技部门的风险服务职能组织，负责统筹、验证、检查与评估1道防线的风险管理、定义风险框架、执行风险监测、设计风险控制措施等。由独立的风险管理部门作为第2道防线，承担独立的风险监测、风险评估、报告流程、风险提示、验证1.5道风险管理的设计和运行机制有效性并督导、指导整改，确保风险得到有效理解、管理和控制。由内部审计部门作为第3道防线，独立履行信息科技内部审计职能。二是以横向、纵向两个维度，抓好IT风险管理建设。横向推动IT风险管理“三道防线”的持续完善，包括一道防线信息科技的自我管控，二道防线的风险管理，以及三道防线的审计和监督；纵向层层抓好专业条线的IT风险管理责任，提升合规意识，确保IT风险各领域机制落地落实。三是推进文化宣贯，树立全员风险意识。对IT风险体系建设成果宣贯，持续推动信息科技条线乃至全行各专业条线IT风险管理参与意识，着力提升中小银行人员的能力，积累实践经验。

（二）创建量化工具，改变传统监测模式

为着力破解IT风险监测独立性不强、无从下手的问题，笔者建议中小银行以本行IT风险特征与容忍度作为量化工具，结合IT风险关键风险领域研发、设计具综合性、代表性、可获取的关键风险指标，将可能存在的风险隐患表达为可量化的数字与比例，并将风险容忍度作为风险指标阈值设定与重检的重要依据，划分安全与警戒区域，使指标体系对风险隐患具备良好的敏感性与可靠性，可真实反映IT风险隐患、发展趋势与控制能力，并以量化指标为依托建立包含指标运行、数据收集、监测预警、风险报告、管控跟踪与指标重检的全生命周期监测与管理机制，充分规避人工分析、判断的主观性，有效提高独立监测、主动感知与预警能力。

（三）规范评估标准，推动风险化降落实

笔者建议中小银行建立健全IT风险评估框架，设计覆盖IT风险各大领域综合评估模型，以固有风险与控制有效性为评估维度，合理设计评估规则与计量公式，对IT风险进行等级划分，为实现贯穿IT风险识别、评估、报告、管控、监督闭环管理提供有力支撑。一是根据监管及本行规定、信息科技评级关注重点与导向、IT风险管理现状、日常监测问题及事件等识别、梳理固有风险，综合风险的发生频率和（损失）影响程度维度评定科技活动固有风险等级并赋值。二是以固有风险为评估范围，通过梳理本行规章制度、标准规范、执行报告、数据报表等相关材料，综合控制设计有效性与执行有效性评定控制综合有效性等级与分值。三是综合固有风险及控制有效性识别IT风险控制缺陷与剩余风险，评定等级与分值，实现IT风险分类分级，最终形成风险清单。四是结合风险清单，掌握IT风险管理过程存在的薄弱环节，督促中小银行各级机构以评估缺陷为导向，强化落实整改，进而推动IT风险化降工作全面落实。

（四）强化基础安全，落实重点防控建设 

结合近年IT风险趋势与监管导向，笔者建议中小银行重点加强网络安全、数据安全、IT外包及业务连续性等基础安全管控。一是深化网络安全纵深防御体系建设。中小银行应强化互联网安全规范和技术标准落地，加强互联网安全团队建设，并重点推进安全系统间的协同防御和智能化监控分析能力建设，完善互联网安全防控技术，提升威胁情报应用能力。二是重点加强数据全流程的安全管控。着力加强数据治理和数据安全体系建设工作，健全数据全流程管控机制，加快建立个人信息保护机制，从法律、业务及科技层面，完善个人信息的收集、传输、使用及销毁全流程管控机制，并有针对性的实施分类分级保护措施，严防数据泄露及不当使用风险。三是建立健全IT外包管理体系。以2022年初银保监会下发的《银行保险机构信息科技外包风险监管办法》为重要依据，调整建立运转高效、制衡充分的IT外包管理制度体系与组织架构，精细化IT外包日常管理机制，扩展管理外延，强化管控力度。四是强化业务连续性应急处置能力。中小银行应优化业务影响分析规则与模型，以分析结论为重要基础指导关键资源建设，以业务恢复目标为依据差异化重要业务与信息系统应急机制建设，并以多种演练形式验证灾备保障及应急恢复能力，形成完整、有序、畅通的应急处置通道，切实增强中小银行运营中断高效找准原因、科学有效处理的应急处置软硬实力。

（五）推进科技赋能，总体提升管理水平

面临不断趋严的监管形势变化的同时，“数字化”转型伴随着较强的IT风险管理内生需求，故对IT风险管理手段和实施质效提出了更高的要求，笔者建议中小银行建立以风险库管理、风险监测/预警管理、风险评估、风险提示、风险检查、风险/问题整改跟踪、风险报表/报送管理、风险视图、辅助决策管理等为主要功能的IT风险管理系统，不仅能够充分满足监管管理要求，同时能够高效解决IT风险管理过程中长期存在的各类问题，为中小银行IT风险“预防在先、有效监测、精准预警、科学计量、及时应对、合理处置、赋能决策”提供有力保障，充分助力中小银行“数字化”转型及业务安全运营。

★文/吉林银行风险管理部  徐铭蔚