摘 要：隨著互聯(lián)網(wǎng)金融企業(yè)的興起，為促進互聯(lián)網(wǎng)金融企業(yè)安全、持續(xù)、穩(wěn)健運行，有必要加強對信息科技風險的管理，構(gòu)建信息科技風險管理框架?；诖?，提出互聯(lián)網(wǎng)金融企業(yè)應(yīng)從風險治理、風險評價、風險響應(yīng)三個方面構(gòu)建有效的信息科技風險管理框架，從而有效防范信息科技風險。

關(guān)鍵詞：互聯(lián)網(wǎng)金融;信息科技風險管理框架;風險治理;風險評價;風險響應(yīng)

中圖分類號：F832??????? 文獻標志碼：A????? 文章編號：1673-291X（2020）07-0011-03

按照2015年7月18日人民銀行等十部門發(fā)布《關(guān)于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導意見》中的定義，“互聯(lián)網(wǎng)金融是傳統(tǒng)金融機構(gòu)與互聯(lián)網(wǎng)企業(yè)（以下統(tǒng)稱‘從業(yè)機構(gòu)）利用互聯(lián)網(wǎng)技術(shù)和信息通信技術(shù)實現(xiàn)資金融通、支付、投資和信息中介服務(wù)的新型金融業(yè)務(wù)模式。”互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡單結(jié)合，而是在實現(xiàn)安全、移動等網(wǎng)絡(luò)技術(shù)水平上，被用戶熟悉接受后（尤其是對電子商務(wù)的接受），自然而然為適應(yīng)新的需求而產(chǎn)生的新模式及新業(yè)務(wù)，是傳統(tǒng)金融行業(yè)與互聯(lián)網(wǎng)精神相結(jié)合的新興領(lǐng)域。

《指導意見》在第17條“網(wǎng)絡(luò)與信息安全”中明確要求：“從業(yè)機構(gòu)應(yīng)當切實提升技術(shù)安全水平，妥善保管客戶資料和交易信息，不得非法買賣、泄露客戶個人信息。人民銀行、銀監(jiān)會、證監(jiān)會、保監(jiān)會、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室分別負責對相關(guān)從業(yè)機構(gòu)的網(wǎng)絡(luò)與信息安全保障進行監(jiān)管，并制定相關(guān)監(jiān)管細則和技術(shù)安全標準?！备鶕?jù)指導意見的要求，互聯(lián)網(wǎng)金融企業(yè)應(yīng)加強對信息科技風險的管理，有效防范信息科技風險。

一、信息科技風險的定義和主要準則

（一）信息科技風險的定義

風險在企業(yè)運營管理過程中扮演了一個至關(guān)重要的角色，幾乎所有的業(yè)務(wù)決策都需要管理層在風險和商業(yè)回報方面進行適當均衡。是否能夠有效地管理業(yè)務(wù)風險對企業(yè)來說是至關(guān)重要的，但其中的信息科技風險（與使用信息技術(shù)有關(guān)的業(yè)務(wù)風險）卻往往被忽視。其他的業(yè)務(wù)風險，例如市場風險、信用風險和運營風險已經(jīng)早就被整合到公司業(yè)務(wù)決策過程當中了，而信息科技風險由于其技術(shù)專業(yè)性往往被局限在管理層以外的技術(shù)專業(yè)人員的狹窄范圍里。

信息科技風險，是指信息科技在互聯(lián)網(wǎng)金融企業(yè)運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

（二）信息科技風險的主要準則

信息科技風險通常包括以下基本準則：總是跟業(yè)務(wù)目標相關(guān)聯(lián)，與信息科技相關(guān)的業(yè)務(wù)風險從屬于企業(yè)風險管理的一部分，管理信息科技風險時做到費效比適當均衡，促進信息科技風險的公正和開放式溝通，從頂向下定義人員權(quán)責和可接受的風險水平，是一個永不停止的過程和日?；顒拥囊徊糠?。

二、信息科技風險管理框架及其組成部分

（一）信息科技風險管理框架

為了對信息科技風險進行優(yōu)先排序和有效管理，互聯(lián)網(wǎng)金融企業(yè)管理層需要一個參考框架來對IT的功能和風險進行清晰的理解。然而實際上，這些應(yīng)該對企業(yè)風險管理負責任的董事會成員和管理層，對此卻沒有一個完整的理解。信息科技風險不僅僅是一個技術(shù)問題，盡管經(jīng)常是IT領(lǐng)域的技術(shù)專家來幫助理解和管理IT風險，實際上業(yè)務(wù)管理者才是最重要的利益相關(guān)方。業(yè)務(wù)管理者來決定信息科技需要做什么來支持他們的業(yè)務(wù)，設(shè)定信息科技工作的目標和對相關(guān)的風險管理進行問責。

信息科技風險框架解釋什么是信息科技風險，它能使企業(yè)做出合適的基于風險的決策，將信息科技風險有機整合在企業(yè)的整體風險管理體系當中，以及如何進行適當?shù)娘L險響應(yīng)。它能幫助企業(yè)理解和管理所有重要的信息科技風險類型，提供一個端到端綜合的所有與信息科技技術(shù)使用有關(guān)的風險視圖。

（二）信息科技風險管理框架組成部分

信息科技風險管理框架通常由三個部分組成：風險治理、風險評價和風險響應(yīng)。風險治理包括建立和維護一個通常的風險視圖，將信息科技風險管理與企業(yè)風險管理進行集成，做出基于風險的業(yè)務(wù)決策等。風險評價包括搜集數(shù)據(jù)、分析數(shù)據(jù)和維護風險狀態(tài)信息。風險響應(yīng)包括指出風險、管理風險，以及對風險事件做出適當反應(yīng)。

三、構(gòu)建互聯(lián)網(wǎng)金融企業(yè)的信息科技風險管理框架的策略

由于互聯(lián)網(wǎng)金融企業(yè)誕生時間較短，加上信息科技風險歸屬于特定的技術(shù)領(lǐng)域，導致很多企業(yè)的管理層容易只關(guān)注于業(yè)務(wù)風險而忽視了對信息科技風險的管理，往往將其作為一項信息科技工作留給信息科技部門自行處理，或者基于事件驅(qū)動的模式，遇到一個事件問題就觸發(fā)解決一個問題。這樣就導致基本上無法對信息科技風險進行系統(tǒng)、有效管理和控制，也給企業(yè)的長遠穩(wěn)定發(fā)展帶來了不小的隱患。管理層要清晰地了解企業(yè)在開展業(yè)務(wù)時所面臨的信息科技風險是什么和進一步去進行有效管理，首先需要建立一個能夠有效運行的信息科技風險管理框架。

這個框架要清楚地定義所有參與到信息科技風險管理過程中的角色，這些角色分別包括董事會、首席運營官、首席風險官、首席信息官、首席財務(wù)官、企業(yè)風險委員會、各業(yè)務(wù)管理部門、各業(yè)務(wù)流程的責任人、風險控制部門管理者、人力資源部門、合規(guī)和審計部門，以及各個角色的清晰職責等。信息科技風險管理不僅僅只是信息科技部門自己的事，它是整個互聯(lián)網(wǎng)金融企業(yè)管理層和各業(yè)務(wù)部門都應(yīng)該一起參加和擔負相應(yīng)分工職責的一項工作。

（一）風險治理

風險治理的主要任務(wù)有兩點，一是幫助管理層做出基于風險的業(yè)務(wù)決策，二是建立和維護一個常見的風險視圖。

首先，互聯(lián)網(wǎng)金融企業(yè)要從建立一個風險管理的分析組織框架，由管理層參與的信息科技風險管理委員會負責對信息科技風險管理職能部門定期或緊急提交的信息科技風險問題進行風險決策，信息科技風險管理職能部門負責日常信息科技風險管理制度、流程等的制定，修改和監(jiān)督協(xié)調(diào)各業(yè)務(wù)部門進行實施，各業(yè)務(wù)部門需要指定專人代表本部門負責相關(guān)信息科技風險的管理和接口工作。

在信息科技風險管理的流程中，通過相關(guān)的“負責任的，負責、咨詢、通知”（RACI）表可以清晰地表述出企業(yè)里各個不同的角色在信息科技風險管理的活動中是如何進行負責任的、負責、咨詢、通知的行為或作為行為的結(jié)果的?？梢詤⒖嫉慕巧ǎ憾聲褪紫\營官（CEO）、首席風險官（CRO）、首席信息官（CIO）、首席財務(wù)官（CFO）、公司風險委員會、業(yè)務(wù)部門管理層、業(yè)務(wù)流程的所有者、風險控制職能部門、人力資源部門、合規(guī)和審計部門，包含這些角色的RACI（如表1所示）。

其中，R=Responsible，負責任的，即負責執(zhí)行任務(wù)的角色，他/她具體負責操控項目、解決問題。

A=Accountable，負責，即對任務(wù)負全責的角色，只有經(jīng)他/她同意或簽署之后，項目才能得以進行。

C=Consulted，咨詢，擁有完成項目所需的信息或能力的人員，即活動執(zhí)行前或完成前提供顧問咨詢的人，通常是該項領(lǐng)域的專家。

I=Informed，通知，即擁有特權(quán)、應(yīng)及時被通知結(jié)果的人員，卻不必向他/她咨詢、征求意見。

（二）風險評價

風險評價的主要任務(wù)是搜集數(shù)據(jù)，分析風險和維持一個風險態(tài)勢圖。常見的風險分析包括定量分析和定性分析兩種。各個企業(yè)內(nèi)部使用的分析方法往往各不相同，但大都會參考一些知名的風險分析理論模型和方法。例如，這些常見的方法有：信息及相關(guān)技術(shù)的控制目標（CobiT）是 ISACA（信息系統(tǒng)審計和控制聯(lián)合會）制定的面向過程的信息系統(tǒng)審計和評價的標準。CobiT的業(yè)務(wù)評價標準基于效率、有效性、效果、機密性、一致性、可用性、合規(guī)性和可靠性。CobiT的平衡記分卡則主要基于財務(wù)、客戶、內(nèi)部和增長等方面。COSO的企業(yè)風險管理整合框架則基于戰(zhàn)略性、操作、報告和合規(guī)四個維度。信息風險因子分析方法（FAIR）基于影響的標準進行分析，這些標準包括生產(chǎn)率、響應(yīng)、替代性、競爭優(yōu)勢、法律和企業(yè)聲譽等。

下面以美國國家標準與技術(shù)研究院（NIST）風險分析為例，具體如下：

將信息科技資產(chǎn)分為非常重要、重要和一般三個重要性級別，然后對可能性和影響進行詳細的定義（見表2和表3）。

確定了信息科技風險的可能性和信息科技風險對企業(yè)的影響，就可以通過風險等級矩陣對信息科技風險的定性分析（見表4）。

（三）風險響應(yīng)

風險響應(yīng)的任務(wù)就是對風險評價的結(jié)果做出適當?shù)膽?yīng)對決策，即針對相應(yīng)的信息科技風險決定做出避免、緩解、轉(zhuǎn)移或接受的決策。信息科技風險管理職能部門負責按照相應(yīng)的風險管理流程和制度，將風險根據(jù)其重要性，對業(yè)務(wù)和信息資產(chǎn)的影響程度，是否受相關(guān)合規(guī)等制度和法律法規(guī)監(jiān)管的要求，相應(yīng)風險響應(yīng)的可選項，各種應(yīng)對方式的人力和費用代價，需要花費的時間，應(yīng)對后的風險是否可以避免或降低到一個可接受的水平等，在公司風險管理委員會上提交相應(yīng)的風險評價報告和響應(yīng)建議，經(jīng)風險委員會在會議上討論后再做出最后的風險決策。風險決策一旦做出后，信息科技風險管理職能部門就要負責按照公司風險管理委員會的決定協(xié)調(diào)各業(yè)務(wù)部門執(zhí)行相應(yīng)的風險響應(yīng)工作，并及時監(jiān)督跟進記錄，直至最后完成再向公司風險管理委員會報告并得到批準后，最終才可以關(guān)閉該項風險條目。

四、結(jié)語

信息科技風險是企業(yè)整體風險管理中的一個重要組成部分，尤其是對互聯(lián)網(wǎng)金融企業(yè)來說，信息科技風險管理的好壞對企業(yè)的業(yè)務(wù)安全和長久穩(wěn)定發(fā)展至關(guān)重要。因為互聯(lián)網(wǎng)金融企業(yè)的特殊性，導致其業(yè)務(wù)面對互聯(lián)網(wǎng)的信息科技風險問題相對于傳統(tǒng)企業(yè)來說更為復雜、嚴峻和困難。

信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對互聯(lián)網(wǎng)金融企業(yè)信息科技風險的識別、計量、監(jiān)測和控制，促進互聯(lián)網(wǎng)金融企業(yè)安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。

參考文獻：

[1]? ISACAs Risk IT Framework and Risk Assessment Methodology，Author Phil Schacter，2010.

[2]? Risk Management Guide for Information Technology Systems.NIST Special Publication 800-30.

[3]? Beating IT Risks，Authors Ernie Jordan and Luke Silcock，Publisher John Wiley&Sons，Ltd.

[責任編輯 吳高君]

收稿日期：2019-09-19

作者簡介：曾瑞玲（1973-），女，河南信陽人，副教授，從事金融理論與實務(wù)研究。