一種電子銀行安全評估方法的實現(xiàn)與研究

劉杰

摘要：本文以某銀行的電子銀行安全評估項目為研究背景，提出了一種電子銀行安全評估方法。該方法按照該行電子銀行業(yè)務的發(fā)展目標和風險管理目標，結(jié)合外部監(jiān)管要求，即中國銀行業(yè)監(jiān)督管理委員會（以下稱“銀監(jiān)會”）要求，參考業(yè)內(nèi)最佳實踐標準，對該行電子銀行進行安全評估，旨在發(fā)現(xiàn)存在的主要問題并提出改進建議。通過深入分析，對電子銀行安全評估分為3個層面和4個具體化執(zhí)行階段，成功高效地完成了電子銀行安全評估工作，為各銀行同業(yè)提供了參照方法和工作思路。

關(guān)鍵詞：電子銀行安全評估；現(xiàn)狀調(diào)研；業(yè)務流程風險識別；電子銀行業(yè)務連續(xù)性管理

1、引言

電子銀行的安全評估，是指金融機構(gòu)在開展電子銀行業(yè)務過程中，對電子銀行的安全策略、內(nèi)控制度、風險管理、系統(tǒng)安全、客戶保護等方面進行的安全測試和管控能力的考察與評價。開展電子銀行業(yè)務的金融機構(gòu)，應根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對電子銀行進行一次全面的安全評估[1]。 本文以國內(nèi)某大型股份制銀行為電子銀行安全評估分析對象，提出了一種開展電子銀行安全評估方法，并對該方法作了深入分析和研究；通過實踐驗證，該方法切實可行、達到了預期目標。

2、項目背景介紹及電子銀行安全評估實施方法

本文所提出的一種安全評估方法其背景是某行的電子銀行安全評估項目，分析研究的目的為以下兩個方面：（1）在以監(jiān)管要求及標準為依據(jù)，基于該行現(xiàn)有管理制度，綜合參考風險庫及同業(yè)實踐，執(zhí)行包含該行電子銀行技術(shù)安全、業(yè)務操作與管理領(lǐng)域在內(nèi)的安全評估工作，識別風險控制缺陷，提出可實施的整改建議，并出具安全評估報告；針對評估中發(fā)現(xiàn)的可以快速體現(xiàn)風險管控實效的控制措施，設(shè)計管理工具或制度，提高該行電子銀行的風險管控水平，完善電子銀行風險管理體系，包括：建立電子銀行業(yè)務風險模型、風險評價機制，完善電子銀行業(yè)務連續(xù)性管理制度；（2）通過項目實施過程中的交流和知識轉(zhuǎn)移活動，協(xié)助電子銀行風險管理相關(guān)人員掌握風險現(xiàn)狀，了解風險管控要求，提高該行電子銀行風險管理團隊技術(shù)能力。

根據(jù)電子銀行業(yè)務發(fā)展方面及現(xiàn)有業(yè)務重要程度分析，本項目的評估范圍包括網(wǎng)上銀行、手機銀行、電子支付三個業(yè)務領(lǐng)域[2]。按照項目執(zhí)行的時序、項目特點等綜合因素，采用分階段完成其項目。具體將評估方法分為這樣四個階段：項目計劃、安全評估、風險管理優(yōu)化、報告及建議，各階段的主要工作簡述如下：

（1）項目計劃階段：確定詳細項目范圍和制定安全評估工作計劃，監(jiān)管要求差距分析；（2）安全評估階段：執(zhí)行該行電子銀行安全評估，包括治理、業(yè)務和科技層面；（3）風險管理優(yōu)化階段：建立電子銀行業(yè)務風險模型以及風險評價機制；（4）報告及建議階段：編制安全評估報告并提出改進建議，建立電子銀行業(yè)務連續(xù)性管理機制。

本次電子銀行安全評估不僅為滿足監(jiān)管要求，更以全面了解電子銀行風險全貌為目標，因此在評估要求的設(shè)計過程中，充分參考了監(jiān)管要求、該行電子銀行管理制度與國內(nèi)外同業(yè)最佳實踐。

為全面評估電子銀行風險狀況，根據(jù)本次項目評估目標和評估范圍，本文設(shè)計了三層評估框架，以保證電子銀行安全評估的全面性，包括：治理層面、業(yè)務層面及科技層面。電子銀行安全評估框架如圖1所示：

圖1 電子銀行安全評估框架

三層評估的具體執(zhí)行目標為：（1）電子銀行治理層面評估主要針對電子銀行安全策略、內(nèi)控制度建設(shè)、風險管理狀況進行設(shè)計，根據(jù)框架可對治理層工作的有效性、充分性、合理性進行評估；（2）電子銀行業(yè)務層面評估主要從電子銀行產(chǎn)品的需求調(diào)研、產(chǎn)品設(shè)計、系統(tǒng)研發(fā)、投產(chǎn)上線到市場營銷的整個生命周期流程及具體電子銀行產(chǎn)品業(yè)務操作兩個層面出發(fā)，對電子銀行業(yè)務的風險進行評估；（3）電子銀行科技層面評估重點關(guān)注電子銀行業(yè)務相關(guān)系統(tǒng)的整體運營及維護情況，主要通過檢查電子銀行業(yè)務運營相關(guān)應用系統(tǒng)的部署及配置發(fā)現(xiàn)安全隱患。

3、項目階段化及具體工作描述

根據(jù)上述評估方法的具體工作思路，并結(jié)合安全評估框架圖，現(xiàn)將劃分為4個階段的相關(guān)工作具體化，各個階段的具體工作如下所述：

3.1第一階段具體工作描述

第一階段是項目計劃階段，其階段目標是了解該行電子銀行業(yè)務運作方式與主要環(huán)境，制訂項目詳細計劃與范圍，并與該行成員討論確定項目的詳細實施計劃和范圍。對現(xiàn)有國內(nèi)和國際監(jiān)管要求、指引和參考進行收集整理，評估其對該項目的適用性，形成電子銀行風險矩陣；同時，還將對各類相關(guān)資料進行前期收集和查閱，包括電子銀行業(yè)務資料、電子銀行系統(tǒng)相關(guān)資料、電子銀行往期評估資料。

3.2第二階段具體工作描述

第二階段是安全評估階段，治理層面評估的目標是確定評估戰(zhàn)略機制、職責分離和制度體系化程度。首先收集電子銀行發(fā)展戰(zhàn)略、組織架構(gòu)及職責分工、電子銀行管理制度等資料；然后梳理電子銀行制度體系，明確制度間上下層級和相互關(guān)系，尤其關(guān)注制度覆蓋面的缺失或重疊，以及與其他部門相關(guān)制度的銜接；最后梳理電子銀行管理組織架構(gòu)，評估其完整性和職責分離有效性。在完成基礎(chǔ)工作之后，對電子銀行治理層面管理機制進行完整評估，包括電子銀行戰(zhàn)略管理機制、電子銀行制度管理機制等。

業(yè)務層面評估的目標是評估重點產(chǎn)品的全業(yè)務風險控制情況。首先收集電子銀行產(chǎn)品資料，訪談產(chǎn)品設(shè)計和管理人員，整理詳細業(yè)務操作流程圖，同時參考風險框架梳理業(yè)務層面風險；對于電子渠道實現(xiàn)傳統(tǒng)產(chǎn)品的情況，重點關(guān)注電子渠道相關(guān)風險；對于電子銀行創(chuàng)新產(chǎn)品的情況，全面關(guān)注產(chǎn)品本身和渠道相關(guān)風險；對所有產(chǎn)品都關(guān)注市場營銷、產(chǎn)品研發(fā)、運行維護和自律監(jiān)管等方面的風險。然后識別現(xiàn)有風險控制措施和控制措施類型，評估業(yè)務層面安全管理狀況。

科技層面評估的目標是明確相關(guān)信息系統(tǒng)，并對科技管理機制進行評估。梳理出支持電子銀行業(yè)務運行的信息系統(tǒng)，整理電子銀行系統(tǒng)安全評估要點，并對相關(guān)系統(tǒng)環(huán)境進行評估[3]。

在該電子銀行安全評估工作過程中，為了解電子銀行安全情況，其間采用了人員訪談，資料查閱，檢查風險控制執(zhí)行記錄、系統(tǒng)管理及配置情況等方法，對該行電子銀行安全情況進行評估。整個評估過程分為三個步驟完成，其三個步驟的具體工作為：

（1）通過資料搜集和訪談調(diào)研全面了解現(xiàn)狀。本次評估工作中，對電子銀行業(yè)務相關(guān)部門人員進行了廣泛的訪談，包括對電子銀行部、信息科技部、辦公室、法律合規(guī)部、風險管理部等進行訪談。通過訪談了解電子銀行業(yè)務管理相關(guān)現(xiàn)狀，評估電子銀行各類安全策略、管理制度、操作手冊的要求是否在日常工作中有效落實，評估人員的安全意識水平及對自身崗位職責的理解水平。在評估工作中，對該行電子銀行的組織架構(gòu)、人員分工、安全策略、管理制度，業(yè)務連續(xù)性計劃等資料進行調(diào)閱，并查閱了涉及電子銀行業(yè)務運行的科技運行標準及操作手冊。通過對資料的查閱，評估該行電子銀行安全策略、管理制度、操作手冊等文檔的完整性及設(shè)計的合理性和有效性。

（2）通過流程梳理和現(xiàn)場檢查全面識別現(xiàn)存風險。具體為：梳理該行電子銀行業(yè)務流程，包括電子銀行產(chǎn)品管理生命周期和具體電子銀行產(chǎn)品操作流程：電子銀行產(chǎn)品管理生命周期涵蓋電子銀行產(chǎn)品的需求調(diào)研、產(chǎn)品設(shè)計、系統(tǒng)研發(fā)、投產(chǎn)上線、市場營銷等環(huán)節(jié)；根據(jù)產(chǎn)品特點和重要程度，從個人電子銀行業(yè)務和企業(yè)電子銀行業(yè)務中選定若干業(yè)務作為評估樣本，繪制業(yè)務流程圖，并逐一分析業(yè)務流程中各個處理環(huán)節(jié)，相關(guān)部門、處室或崗位，涉及的記錄和數(shù)據(jù)等，評估電子銀行產(chǎn)品業(yè)務流程中是否存在安全隱患，識別具體風險點。

（3）梳理清單、確定風險，判斷風險問題等級。整理風險評估結(jié)果，逐一評估風險等級。本次評估從風險發(fā)生可能性和影響程度兩個方面，依據(jù)風險發(fā)生可能性與影響程度等，判斷風險級別，形成評估結(jié)果。

3.3 第三階段具體工作描述

第三階段是風險管理優(yōu)化階段，其目標是建立電子銀行業(yè)務風險模型，形成業(yè)務風險評價機制。針對發(fā)現(xiàn)的缺陷，與該行項目組討論對電子銀行安全風險的影響程度，并確定風險等級。本階段應全面梳理電子銀行產(chǎn)品業(yè)務流程以及風險控制點，建立電子銀行風險管理模型，并依據(jù)風險管理模型，建立電子銀行業(yè)務風險評價機制。

3.4 第四階段具體工作描述

第四階段報告及建議階段，其目標是形成安全評估報告，分析未來趨勢。本階段應根據(jù)評估情況和各部門反饋情況編制安全評估報告，并提出切實有效的安全風險管控建議。此外，編制電子銀行業(yè)務連續(xù)性管理規(guī)范制度，滿足合規(guī)要求，為電子銀行業(yè)務連續(xù)性管理奠定基礎(chǔ)。

4、項目方法實施經(jīng)驗

在整個項目的實施過程中，業(yè)務流程圖的繪制與風險點識別是整個電子銀行安全評估非常關(guān)鍵的一環(huán)。針對這一關(guān)鍵點，首先應從銀行現(xiàn)有的個人電子銀行業(yè)務和企業(yè)電子銀行業(yè)務中選取較為重要或具有代表性的若干業(yè)務作為評估樣本，繪制水平流程圖。繪制流程圖時應注意包含的客體，具體如客戶、營業(yè)網(wǎng)點柜臺、各相關(guān)部門、信息科技部或外部支撐系統(tǒng)，各客體之間以清晰的動作節(jié)點串聯(lián)起來，并在兩節(jié)點中間標明信息的傳遞情況，清晰地反映實際的業(yè)務流程與涉及的各部門職能。

繪制流程圖時可參考銀行現(xiàn)有的業(yè)務流程相關(guān)制度，對訪談結(jié)果進行分析和梳理，在銀行官網(wǎng)上查看演示版模擬真實業(yè)務操作流程，最具有實際意義的措施是采用切身實際去柜臺辦理一張儲蓄卡的辦法，并開通個人網(wǎng)銀的相關(guān)功能，在其相關(guān)功能的范圍內(nèi)，進行網(wǎng)銀和手機上進行相關(guān)實際操作，這樣才能夠真實、全面地了解業(yè)務流程并繪制出能反映實際業(yè)務流程的流程圖，為進行全面風險識別奠定良好的基礎(chǔ)。在進行風險識別時，應考慮各種風險類型，可參考本行或同業(yè)的風險庫，必要時亦可召集小組成員一起進行討論分析，力求全面識別電子銀行各業(yè)務流程中的風險點，并在圖中對風險點進行標識：標識的方法是在風險點處標明風險名稱與風險描述。在完成風險點標識后，將其進行歸納統(tǒng)計，最終將業(yè)務流程所有識別出來的風險匯總形成風險矩陣和風險清單。在此基礎(chǔ)上，對所統(tǒng)計的風險進行分類，判斷每個風險點的風險等級、是否重要、是否緊急，并提出相應的風險控制措施。

在評估中，針對評估對象和評估要點，查閱該行電子銀行風險控制相關(guān)文檔記錄，其查閱記錄文檔的范圍涉及業(yè)務風險控制記錄以及科技類風險控制記錄。通過對風險控制記錄的查閱，了解電子銀行相關(guān)管控措施實施情況，除了用于評估該行的風險控制措施設(shè)計的有效性和合理性，還用于評估風險控制措施執(zhí)行的有效性和及時性等方面。對該行電子銀行業(yè)務相關(guān)系統(tǒng)配置及涉及業(yè)務系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全管理設(shè)備、日志監(jiān)控設(shè)備、數(shù)據(jù)庫及中間件配置進行查看，查看范圍涉及開發(fā)環(huán)境及運維環(huán)境。通過對信息系統(tǒng)管理及配置的查看，評估電子銀行相關(guān)信息系統(tǒng)和信息環(huán)境安全控制措施的有效性。

5、項目實施總結(jié)

本文通過將電子銀行安全評估框架劃分為3個層面，以及按照工作的先后順序劃分為4個階段，經(jīng)過實踐驗證，其成功高效、順利地完成了該行開展的電子銀行安全評估工作，滿足了銀監(jiān)會《電子銀行安全評估指引》及其他相關(guān)的監(jiān)管要求，并為該行或相同行業(yè)在今后的電子銀行安全評估工作奠定了良好的基礎(chǔ)，并提供了全面、細致的工作指導。

參考文獻：

[1]中國銀監(jiān)會.電子銀行安全評估指引[Z].

[2]王發(fā)紅，朱鋒.我國商業(yè)銀行創(chuàng)新問題研究[J].濟南金融，2001（8）.

[3]張勤.積極推動業(yè)務創(chuàng)新，提高銀行競爭力[J].金融觀察，2006（5）.