摘 要：隨著互聯(lián)網(wǎng)金融企業(yè)的興起，為促進(jìn)互聯(lián)網(wǎng)金融企業(yè)安全、持續(xù)、穩(wěn)健運(yùn)行，有必要加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)的管理，構(gòu)建信息科技風(fēng)險(xiǎn)管理框架。基于此，提出互聯(lián)網(wǎng)金融企業(yè)應(yīng)從風(fēng)險(xiǎn)治理、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)響應(yīng)三個(gè)方面構(gòu)建有效的信息科技風(fēng)險(xiǎn)管理框架，從而有效防范信息科技風(fēng)險(xiǎn)。

關(guān)鍵詞：互聯(lián)網(wǎng)金融;信息科技風(fēng)險(xiǎn)管理框架;風(fēng)險(xiǎn)治理;風(fēng)險(xiǎn)評(píng)價(jià);風(fēng)險(xiǎn)響應(yīng)

中圖分類號(hào)：F832??????? 文獻(xiàn)標(biāo)志碼：A????? 文章編號(hào)：1673-291X（2020）07-0011-03

按照2015年7月18日人民銀行等十部門發(fā)布《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》中的定義，“互聯(lián)網(wǎng)金融是傳統(tǒng)金融機(jī)構(gòu)與互聯(lián)網(wǎng)企業(yè)（以下統(tǒng)稱‘從業(yè)機(jī)構(gòu)）利用互聯(lián)網(wǎng)技術(shù)和信息通信技術(shù)實(shí)現(xiàn)資金融通、支付、投資和信息中介服務(wù)的新型金融業(yè)務(wù)模式。”互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡(jiǎn)單結(jié)合，而是在實(shí)現(xiàn)安全、移動(dòng)等網(wǎng)絡(luò)技術(shù)水平上，被用戶熟悉接受后（尤其是對(duì)電子商務(wù)的接受），自然而然為適應(yīng)新的需求而產(chǎn)生的新模式及新業(yè)務(wù)，是傳統(tǒng)金融行業(yè)與互聯(lián)網(wǎng)精神相結(jié)合的新興領(lǐng)域。

《指導(dǎo)意見》在第17條“網(wǎng)絡(luò)與信息安全”中明確要求：“從業(yè)機(jī)構(gòu)應(yīng)當(dāng)切實(shí)提升技術(shù)安全水平，妥善保管客戶資料和交易信息，不得非法買賣、泄露客戶個(gè)人信息。人民銀行、銀監(jiān)會(huì)、證監(jiān)會(huì)、保監(jiān)會(huì)、工業(yè)和信息化部、公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室分別負(fù)責(zé)對(duì)相關(guān)從業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全保障進(jìn)行監(jiān)管，并制定相關(guān)監(jiān)管細(xì)則和技術(shù)安全標(biāo)準(zhǔn)。”根據(jù)指導(dǎo)意見的要求，互聯(lián)網(wǎng)金融企業(yè)應(yīng)加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)的管理，有效防范信息科技風(fēng)險(xiǎn)。

一、信息科技風(fēng)險(xiǎn)的定義和主要準(zhǔn)則

（一）信息科技風(fēng)險(xiǎn)的定義

風(fēng)險(xiǎn)在企業(yè)運(yùn)營(yíng)管理過程中扮演了一個(gè)至關(guān)重要的角色，幾乎所有的業(yè)務(wù)決策都需要管理層在風(fēng)險(xiǎn)和商業(yè)回報(bào)方面進(jìn)行適當(dāng)均衡。是否能夠有效地管理業(yè)務(wù)風(fēng)險(xiǎn)對(duì)企業(yè)來說是至關(guān)重要的，但其中的信息科技風(fēng)險(xiǎn)（與使用信息技術(shù)有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)）卻往往被忽視。其他的業(yè)務(wù)風(fēng)險(xiǎn)，例如市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn)已經(jīng)早就被整合到公司業(yè)務(wù)決策過程當(dāng)中了，而信息科技風(fēng)險(xiǎn)由于其技術(shù)專業(yè)性往往被局限在管理層以外的技術(shù)專業(yè)人員的狹窄范圍里。

信息科技風(fēng)險(xiǎn)，是指信息科技在互聯(lián)網(wǎng)金融企業(yè)運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

（二）信息科技風(fēng)險(xiǎn)的主要準(zhǔn)則

信息科技風(fēng)險(xiǎn)通常包括以下基本準(zhǔn)則：總是跟業(yè)務(wù)目標(biāo)相關(guān)聯(lián)，與信息科技相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)從屬于企業(yè)風(fēng)險(xiǎn)管理的一部分，管理信息科技風(fēng)險(xiǎn)時(shí)做到費(fèi)效比適當(dāng)均衡，促進(jìn)信息科技風(fēng)險(xiǎn)的公正和開放式溝通，從頂向下定義人員權(quán)責(zé)和可接受的風(fēng)險(xiǎn)水平，是一個(gè)永不停止的過程和日?；顒?dòng)的一部分。

二、信息科技風(fēng)險(xiǎn)管理框架及其組成部分

（一）信息科技風(fēng)險(xiǎn)管理框架

為了對(duì)信息科技風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序和有效管理，互聯(lián)網(wǎng)金融企業(yè)管理層需要一個(gè)參考框架來對(duì)IT的功能和風(fēng)險(xiǎn)進(jìn)行清晰的理解。然而實(shí)際上，這些應(yīng)該對(duì)企業(yè)風(fēng)險(xiǎn)管理負(fù)責(zé)任的董事會(huì)成員和管理層，對(duì)此卻沒有一個(gè)完整的理解。信息科技風(fēng)險(xiǎn)不僅僅是一個(gè)技術(shù)問題，盡管經(jīng)常是IT領(lǐng)域的技術(shù)專家來幫助理解和管理IT風(fēng)險(xiǎn)，實(shí)際上業(yè)務(wù)管理者才是最重要的利益相關(guān)方。業(yè)務(wù)管理者來決定信息科技需要做什么來支持他們的業(yè)務(wù)，設(shè)定信息科技工作的目標(biāo)和對(duì)相關(guān)的風(fēng)險(xiǎn)管理進(jìn)行問責(zé)。

信息科技風(fēng)險(xiǎn)框架解釋什么是信息科技風(fēng)險(xiǎn)，它能使企業(yè)做出合適的基于風(fēng)險(xiǎn)的決策，將信息科技風(fēng)險(xiǎn)有機(jī)整合在企業(yè)的整體風(fēng)險(xiǎn)管理體系當(dāng)中，以及如何進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)響應(yīng)。它能幫助企業(yè)理解和管理所有重要的信息科技風(fēng)險(xiǎn)類型，提供一個(gè)端到端綜合的所有與信息科技技術(shù)使用有關(guān)的風(fēng)險(xiǎn)視圖。

（二）信息科技風(fēng)險(xiǎn)管理框架組成部分

信息科技風(fēng)險(xiǎn)管理框架通常由三個(gè)部分組成：風(fēng)險(xiǎn)治理、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)響應(yīng)。風(fēng)險(xiǎn)治理包括建立和維護(hù)一個(gè)通常的風(fēng)險(xiǎn)視圖，將信息科技風(fēng)險(xiǎn)管理與企業(yè)風(fēng)險(xiǎn)管理進(jìn)行集成，做出基于風(fēng)險(xiǎn)的業(yè)務(wù)決策等。風(fēng)險(xiǎn)評(píng)價(jià)包括搜集數(shù)據(jù)、分析數(shù)據(jù)和維護(hù)風(fēng)險(xiǎn)狀態(tài)信息。風(fēng)險(xiǎn)響應(yīng)包括指出風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)，以及對(duì)風(fēng)險(xiǎn)事件做出適當(dāng)反應(yīng)。

三、構(gòu)建互聯(lián)網(wǎng)金融企業(yè)的信息科技風(fēng)險(xiǎn)管理框架的策略

由于互聯(lián)網(wǎng)金融企業(yè)誕生時(shí)間較短，加上信息科技風(fēng)險(xiǎn)歸屬于特定的技術(shù)領(lǐng)域，導(dǎo)致很多企業(yè)的管理層容易只關(guān)注于業(yè)務(wù)風(fēng)險(xiǎn)而忽視了對(duì)信息科技風(fēng)險(xiǎn)的管理，往往將其作為一項(xiàng)信息科技工作留給信息科技部門自行處理，或者基于事件驅(qū)動(dòng)的模式，遇到一個(gè)事件問題就觸發(fā)解決一個(gè)問題。這樣就導(dǎo)致基本上無法對(duì)信息科技風(fēng)險(xiǎn)進(jìn)行系統(tǒng)、有效管理和控制，也給企業(yè)的長(zhǎng)遠(yuǎn)穩(wěn)定發(fā)展帶來了不小的隱患。管理層要清晰地了解企業(yè)在開展業(yè)務(wù)時(shí)所面臨的信息科技風(fēng)險(xiǎn)是什么和進(jìn)一步去進(jìn)行有效管理，首先需要建立一個(gè)能夠有效運(yùn)行的信息科技風(fēng)險(xiǎn)管理框架。

這個(gè)框架要清楚地定義所有參與到信息科技風(fēng)險(xiǎn)管理過程中的角色，這些角色分別包括董事會(huì)、首席運(yùn)營(yíng)官、首席風(fēng)險(xiǎn)官、首席信息官、首席財(cái)務(wù)官、企業(yè)風(fēng)險(xiǎn)委員會(huì)、各業(yè)務(wù)管理部門、各業(yè)務(wù)流程的責(zé)任人、風(fēng)險(xiǎn)控制部門管理者、人力資源部門、合規(guī)和審計(jì)部門，以及各個(gè)角色的清晰職責(zé)等。信息科技風(fēng)險(xiǎn)管理不僅僅只是信息科技部門自己的事，它是整個(gè)互聯(lián)網(wǎng)金融企業(yè)管理層和各業(yè)務(wù)部門都應(yīng)該一起參加和擔(dān)負(fù)相應(yīng)分工職責(zé)的一項(xiàng)工作。

（一）風(fēng)險(xiǎn)治理

風(fēng)險(xiǎn)治理的主要任務(wù)有兩點(diǎn)，一是幫助管理層做出基于風(fēng)險(xiǎn)的業(yè)務(wù)決策，二是建立和維護(hù)一個(gè)常見的風(fēng)險(xiǎn)視圖。

首先，互聯(lián)網(wǎng)金融企業(yè)要從建立一個(gè)風(fēng)險(xiǎn)管理的分析組織框架，由管理層參與的信息科技風(fēng)險(xiǎn)管理委員會(huì)負(fù)責(zé)對(duì)信息科技風(fēng)險(xiǎn)管理職能部門定期或緊急提交的信息科技風(fēng)險(xiǎn)問題進(jìn)行風(fēng)險(xiǎn)決策，信息科技風(fēng)險(xiǎn)管理職能部門負(fù)責(zé)日常信息科技風(fēng)險(xiǎn)管理制度、流程等的制定，修改和監(jiān)督協(xié)調(diào)各業(yè)務(wù)部門進(jìn)行實(shí)施，各業(yè)務(wù)部門需要指定專人代表本部門負(fù)責(zé)相關(guān)信息科技風(fēng)險(xiǎn)的管理和接口工作。

在信息科技風(fēng)險(xiǎn)管理的流程中，通過相關(guān)的“負(fù)責(zé)任的，負(fù)責(zé)、咨詢、通知”（RACI）表可以清晰地表述出企業(yè)里各個(gè)不同的角色在信息科技風(fēng)險(xiǎn)管理的活動(dòng)中是如何進(jìn)行負(fù)責(zé)任的、負(fù)責(zé)、咨詢、通知的行為或作為行為的結(jié)果的。可以參考的角色包括：董事會(huì)和首席運(yùn)營(yíng)官（CEO）、首席風(fēng)險(xiǎn)官（CRO）、首席信息官（CIO）、首席財(cái)務(wù)官（CFO）、公司風(fēng)險(xiǎn)委員會(huì)、業(yè)務(wù)部門管理層、業(yè)務(wù)流程的所有者、風(fēng)險(xiǎn)控制職能部門、人力資源部門、合規(guī)和審計(jì)部門，包含這些角色的RACI（如表1所示）。

其中，R=Responsible，負(fù)責(zé)任的，即負(fù)責(zé)執(zhí)行任務(wù)的角色，他/她具體負(fù)責(zé)操控項(xiàng)目、解決問題。

A=Accountable，負(fù)責(zé)，即對(duì)任務(wù)負(fù)全責(zé)的角色，只有經(jīng)他/她同意或簽署之后，項(xiàng)目才能得以進(jìn)行。

C=Consulted，咨詢，擁有完成項(xiàng)目所需的信息或能力的人員，即活動(dòng)執(zhí)行前或完成前提供顧問咨詢的人，通常是該項(xiàng)領(lǐng)域的專家。

I=Informed，通知，即擁有特權(quán)、應(yīng)及時(shí)被通知結(jié)果的人員，卻不必向他/她咨詢、征求意見。

（二）風(fēng)險(xiǎn)評(píng)價(jià)

風(fēng)險(xiǎn)評(píng)價(jià)的主要任務(wù)是搜集數(shù)據(jù)，分析風(fēng)險(xiǎn)和維持一個(gè)風(fēng)險(xiǎn)態(tài)勢(shì)圖。常見的風(fēng)險(xiǎn)分析包括定量分析和定性分析兩種。各個(gè)企業(yè)內(nèi)部使用的分析方法往往各不相同，但大都會(huì)參考一些知名的風(fēng)險(xiǎn)分析理論模型和方法。例如，這些常見的方法有：信息及相關(guān)技術(shù)的控制目標(biāo)（CobiT）是 ISACA（信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)）制定的面向過程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)。CobiT的業(yè)務(wù)評(píng)價(jià)標(biāo)準(zhǔn)基于效率、有效性、效果、機(jī)密性、一致性、可用性、合規(guī)性和可靠性。CobiT的平衡記分卡則主要基于財(cái)務(wù)、客戶、內(nèi)部和增長(zhǎng)等方面。COSO的企業(yè)風(fēng)險(xiǎn)管理整合框架則基于戰(zhàn)略性、操作、報(bào)告和合規(guī)四個(gè)維度。信息風(fēng)險(xiǎn)因子分析方法（FAIR）基于影響的標(biāo)準(zhǔn)進(jìn)行分析，這些標(biāo)準(zhǔn)包括生產(chǎn)率、響應(yīng)、替代性、競(jìng)爭(zhēng)優(yōu)勢(shì)、法律和企業(yè)聲譽(yù)等。

下面以美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）風(fēng)險(xiǎn)分析為例，具體如下：

將信息科技資產(chǎn)分為非常重要、重要和一般三個(gè)重要性級(jí)別，然后對(duì)可能性和影響進(jìn)行詳細(xì)的定義（見表2和表3）。

確定了信息科技風(fēng)險(xiǎn)的可能性和信息科技風(fēng)險(xiǎn)對(duì)企業(yè)的影響，就可以通過風(fēng)險(xiǎn)等級(jí)矩陣對(duì)信息科技風(fēng)險(xiǎn)的定性分析（見表4）。

（三）風(fēng)險(xiǎn)響應(yīng)

風(fēng)險(xiǎn)響應(yīng)的任務(wù)就是對(duì)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果做出適當(dāng)?shù)膽?yīng)對(duì)決策，即針對(duì)相應(yīng)的信息科技風(fēng)險(xiǎn)決定做出避免、緩解、轉(zhuǎn)移或接受的決策。信息科技風(fēng)險(xiǎn)管理職能部門負(fù)責(zé)按照相應(yīng)的風(fēng)險(xiǎn)管理流程和制度，將風(fēng)險(xiǎn)根據(jù)其重要性，對(duì)業(yè)務(wù)和信息資產(chǎn)的影響程度，是否受相關(guān)合規(guī)等制度和法律法規(guī)監(jiān)管的要求，相應(yīng)風(fēng)險(xiǎn)響應(yīng)的可選項(xiàng)，各種應(yīng)對(duì)方式的人力和費(fèi)用代價(jià)，需要花費(fèi)的時(shí)間，應(yīng)對(duì)后的風(fēng)險(xiǎn)是否可以避免或降低到一個(gè)可接受的水平等，在公司風(fēng)險(xiǎn)管理委員會(huì)上提交相應(yīng)的風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告和響應(yīng)建議，經(jīng)風(fēng)險(xiǎn)委員會(huì)在會(huì)議上討論后再做出最后的風(fēng)險(xiǎn)決策。風(fēng)險(xiǎn)決策一旦做出后，信息科技風(fēng)險(xiǎn)管理職能部門就要負(fù)責(zé)按照公司風(fēng)險(xiǎn)管理委員會(huì)的決定協(xié)調(diào)各業(yè)務(wù)部門執(zhí)行相應(yīng)的風(fēng)險(xiǎn)響應(yīng)工作，并及時(shí)監(jiān)督跟進(jìn)記錄，直至最后完成再向公司風(fēng)險(xiǎn)管理委員會(huì)報(bào)告并得到批準(zhǔn)后，最終才可以關(guān)閉該項(xiàng)風(fēng)險(xiǎn)條目。

四、結(jié)語

信息科技風(fēng)險(xiǎn)是企業(yè)整體風(fēng)險(xiǎn)管理中的一個(gè)重要組成部分，尤其是對(duì)互聯(lián)網(wǎng)金融企業(yè)來說，信息科技風(fēng)險(xiǎn)管理的好壞對(duì)企業(yè)的業(yè)務(wù)安全和長(zhǎng)久穩(wěn)定發(fā)展至關(guān)重要。因?yàn)榛ヂ?lián)網(wǎng)金融企業(yè)的特殊性，導(dǎo)致其業(yè)務(wù)面對(duì)互聯(lián)網(wǎng)的信息科技風(fēng)險(xiǎn)問題相對(duì)于傳統(tǒng)企業(yè)來說更為復(fù)雜、嚴(yán)峻和困難。

信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)金融企業(yè)信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)互聯(lián)網(wǎng)金融企業(yè)安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。

參考文獻(xiàn)：

[1]? ISACAs Risk IT Framework and Risk Assessment Methodology，Author Phil Schacter，2010.

[2]? Risk Management Guide for Information Technology Systems.NIST Special Publication 800-30.

[3]? Beating IT Risks，Authors Ernie Jordan and Luke Silcock，Publisher John Wiley&Sons，Ltd.

[責(zé)任編輯 吳高君]

收稿日期：2019-09-19

作者簡(jiǎn)介：曾瑞玲（1973-），女，河南信陽人，副教授，從事金融理論與實(shí)務(wù)研究。