構建互聯網金融企業的信息科技風險管理框架

摘 要：隨著互聯網金融企業的興起，為促進互聯網金融企業安全、持續、穩健運行，有必要加強對信息科技風險的管理，構建信息科技風險管理框架。基于此，提出互聯網金融企業應從風險治理、風險評價、風險響應三個方面構建有效的信息科技風險管理框架，從而有效防范信息科技風險。

關鍵詞：互聯網金融;信息科技風險管理框架;風險治理;風險評價;風險響應

中圖分類號：F832??????? 文獻標志碼：A????? 文章編號：1673-291X（2020）07-0011-03

按照2015年7月18日人民銀行等十部門發布《關于促進互聯網金融健康發展的指導意見》中的定義，“互聯網金融是傳統金融機構與互聯網企業（以下統稱‘從業機構）利用互聯網技術和信息通信技術實現資金融通、支付、投資和信息中介服務的新型金融業務模式。”互聯網金融不是互聯網和金融業的簡單結合，而是在實現安全、移動等網絡技術水平上，被用戶熟悉接受后（尤其是對電子商務的接受），自然而然為適應新的需求而產生的新模式及新業務，是傳統金融行業與互聯網精神相結合的新興領域。

《指導意見》在第17條“網絡與信息安全”中明確要求：“從業機構應當切實提升技術安全水平，妥善保管客戶資料和交易信息，不得非法買賣、泄露客戶個人信息。人民銀行、銀監會、證監會、保監會、工業和信息化部、公安部、國家互聯網信息辦公室分別負責對相關從業機構的網絡與信息安全保障進行監管，并制定相關監管細則和技術安全標準。”根據指導意見的要求，互聯網金融企業應加強對信息科技風險的管理，有效防范信息科技風險。

一、信息科技風險的定義和主要準則

（一）信息科技風險的定義

風險在企業運營管理過程中扮演了一個至關重要的角色，幾乎所有的業務決策都需要管理層在風險和商業回報方面進行適當均衡。是否能夠有效地管理業務風險對企業來說是至關重要的，但其中的信息科技風險（與使用信息技術有關的業務風險）卻往往被忽視。其他的業務風險，例如市場風險、信用風險和運營風險已經早就被整合到公司業務決策過程當中了，而信息科技風險由于其技術專業性往往被局限在管理層以外的技術專業人員的狹窄范圍里。

信息科技風險，是指信息科技在互聯網金融企業運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

（二）信息科技風險的主要準則

信息科技風險通常包括以下基本準則：總是跟業務目標相關聯，與信息科技相關的業務風險從屬于企業風險管理的一部分，管理信息科技風險時做到費效比適當均衡，促進信息科技風險的公正和開放式溝通，從頂向下定義人員權責和可接受的風險水平，是一個永不停止的過程和日常活動的一部分。

二、信息科技風險管理框架及其組成部分

（一）信息科技風險管理框架

為了對信息科技風險進行優先排序和有效管理，互聯網金融企業管理層需要一個參考框架來對IT的功能和風險進行清晰的理解。然而實際上，這些應該對企業風險管理負責任的董事會成員和管理層，對此卻沒有一個完整的理解。信息科技風險不僅僅是一個技術問題，盡管經常是IT領域的技術專家來幫助理解和管理IT風險，實際上業務管理者才是最重要的利益相關方。業務管理者來決定信息科技需要做什么來支持他們的業務，設定信息科技工作的目標和對相關的風險管理進行問責。

信息科技風險框架解釋什么是信息科技風險，它能使企業做出合適的基于風險的決策，將信息科技風險有機整合在企業的整體風險管理體系當中，以及如何進行適當的風險響應。它能幫助企業理解和管理所有重要的信息科技風險類型，提供一個端到端綜合的所有與信息科技技術使用有關的風險視圖。

（二）信息科技風險管理框架組成部分

信息科技風險管理框架通常由三個部分組成：風險治理、風險評價和風險響應。風險治理包括建立和維護一個通常的風險視圖，將信息科技風險管理與企業風險管理進行集成，做出基于風險的業務決策等。風險評價包括搜集數據、分析數據和維護風險狀態信息。風險響應包括指出風險、管理風險，以及對風險事件做出適當反應。

三、構建互聯網金融企業的信息科技風險管理框架的策略

由于互聯網金融企業誕生時間較短，加上信息科技風險歸屬于特定的技術領域，導致很多企業的管理層容易只關注于業務風險而忽視了對信息科技風險的管理，往往將其作為一項信息科技工作留給信息科技部門自行處理，或者基于事件驅動的模式，遇到一個事件問題就觸發解決一個問題。這樣就導致基本上無法對信息科技風險進行系統、有效管理和控制，也給企業的長遠穩定發展帶來了不小的隱患。管理層要清晰地了解企業在開展業務時所面臨的信息科技風險是什么和進一步去進行有效管理，首先需要建立一個能夠有效運行的信息科技風險管理框架。

這個框架要清楚地定義所有參與到信息科技風險管理過程中的角色，這些角色分別包括董事會、首席運營官、首席風險官、首席信息官、首席財務官、企業風險委員會、各業務管理部門、各業務流程的責任人、風險控制部門管理者、人力資源部門、合規和審計部門，以及各個角色的清晰職責等。信息科技風險管理不僅僅只是信息科技部門自己的事，它是整個互聯網金融企業管理層和各業務部門都應該一起參加和擔負相應分工職責的一項工作。

（一）風險治理

風險治理的主要任務有兩點，一是幫助管理層做出基于風險的業務決策，二是建立和維護一個常見的風險視圖。

首先，互聯網金融企業要從建立一個風險管理的分析組織框架，由管理層參與的信息科技風險管理委員會負責對信息科技風險管理職能部門定期或緊急提交的信息科技風險問題進行風險決策，信息科技風險管理職能部門負責日常信息科技風險管理制度、流程等的制定，修改和監督協調各業務部門進行實施，各業務部門需要指定專人代表本部門負責相關信息科技風險的管理和接口工作。

在信息科技風險管理的流程中，通過相關的“負責任的，負責、咨詢、通知”（RACI）表可以清晰地表述出企業里各個不同的角色在信息科技風險管理的活動中是如何進行負責任的、負責、咨詢、通知的行為或作為行為的結果的。可以參考的角色包括：董事會和首席運營官（CEO）、首席風險官（CRO）、首席信息官（CIO）、首席財務官（CFO）、公司風險委員會、業務部門管理層、業務流程的所有者、風險控制職能部門、人力資源部門、合規和審計部門，包含這些角色的RACI（如表1所示）。

其中，R=Responsible，負責任的，即負責執行任務的角色，他/她具體負責操控項目、解決問題。

A=Accountable，負責，即對任務負全責的角色，只有經他/她同意或簽署之后，項目才能得以進行。

C=Consulted，咨詢，擁有完成項目所需的信息或能力的人員，即活動執行前或完成前提供顧問咨詢的人，通常是該項領域的專家。

I=Informed，通知，即擁有特權、應及時被通知結果的人員，卻不必向他/她咨詢、征求意見。

（二）風險評價

風險評價的主要任務是搜集數據，分析風險和維持一個風險態勢圖。常見的風險分析包括定量分析和定性分析兩種。各個企業內部使用的分析方法往往各不相同，但大都會參考一些知名的風險分析理論模型和方法。例如，這些常見的方法有：信息及相關技術的控制目標（CobiT）是 ISACA（信息系統審計和控制聯合會）制定的面向過程的信息系統審計和評價的標準。CobiT的業務評價標準基于效率、有效性、效果、機密性、一致性、可用性、合規性和可靠性。CobiT的平衡記分卡則主要基于財務、客戶、內部和增長等方面。COSO的企業風險管理整合框架則基于戰略性、操作、報告和合規四個維度。信息風險因子分析方法（FAIR）基于影響的標準進行分析，這些標準包括生產率、響應、替代性、競爭優勢、法律和企業聲譽等。

下面以美國國家標準與技術研究院（NIST）風險分析為例，具體如下：

將信息科技資產分為非常重要、重要和一般三個重要性級別，然后對可能性和影響進行詳細的定義（見表2和表3）。

確定了信息科技風險的可能性和信息科技風險對企業的影響，就可以通過風險等級矩陣對信息科技風險的定性分析（見表4）。

（三）風險響應

風險響應的任務就是對風險評價的結果做出適當的應對決策，即針對相應的信息科技風險決定做出避免、緩解、轉移或接受的決策。信息科技風險管理職能部門負責按照相應的風險管理流程和制度，將風險根據其重要性，對業務和信息資產的影響程度，是否受相關合規等制度和法律法規監管的要求，相應風險響應的可選項，各種應對方式的人力和費用代價，需要花費的時間，應對后的風險是否可以避免或降低到一個可接受的水平等，在公司風險管理委員會上提交相應的風險評價報告和響應建議，經風險委員會在會議上討論后再做出最后的風險決策。風險決策一旦做出后，信息科技風險管理職能部門就要負責按照公司風險管理委員會的決定協調各業務部門執行相應的風險響應工作，并及時監督跟進記錄，直至最后完成再向公司風險管理委員會報告并得到批準后，最終才可以關閉該項風險條目。

四、結語

信息科技風險是企業整體風險管理中的一個重要組成部分，尤其是對互聯網金融企業來說，信息科技風險管理的好壞對企業的業務安全和長久穩定發展至關重要。因為互聯網金融企業的特殊性，導致其業務面對互聯網的信息科技風險問題相對于傳統企業來說更為復雜、嚴峻和困難。

信息科技風險管理的目標是通過建立有效的機制，實現對互聯網金融企業信息科技風險的識別、計量、監測和控制，促進互聯網金融企業安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。

參考文獻：

[1]? ISACAs Risk IT Framework and Risk Assessment Methodology，Author Phil Schacter，2010.

[2]? Risk Management Guide for Information Technology Systems.NIST Special Publication 800-30.

[3]? Beating IT Risks，Authors Ernie Jordan and Luke Silcock，Publisher John Wiley&Sons，Ltd.

[責任編輯 吳高君]

收稿日期：2019-09-19

作者簡介：曾瑞玲（1973-），女，河南信陽人，副教授，從事金融理論與實務研究。