普华永道：银行保险机构如何有效应对数字化转型中的信息科技风险

近年来，随着越来越多的金融机构投身于数字化转型的浪潮中，在“数”、“智”、“化”方面持续发力，积极探索适合自身的发展路径。数字化转型落地工作集中体现为业务和管理领域一系列的金融科技创新与实践，以及为更好发挥金融科技创新而进行的组织、流程和体系方面的改革与优化。

在此过程中，金融机构信息科技风险管理成为了重中之重，面临来自技术发展、监管合规、开放生态和自身机制等各方面的巨大冲击和挑战。

普华永道认为，金融机构需要从更广阔的视野重新审视现有信息科技风险管理机制和内容，做好拓宽思路、完善体系和工具落地等应对措施。

数字化转型中金融机构信息科技风险管理的诸多挑战

信息系统安全运行是金融业务正常开展的重要保障和基本前提，关乎金融机构声誉、金融安全和社会稳定。普华永道结合同业经验，认为金融业信息科技风险的特点可概括为“宽”（影响广泛、易扩散、损失难以预计）与“专”（复杂性、隐蔽性、变化性）两大方面，对管理能力提出了较高要求。

如何有效把控数字化转型过程中的金融科技风险、应对快速变化的风险态势与行业环境、持续提升管理能力、顺势而为调整管理机制和抓手，已成为金融机构信息科技风险管理需要回答的重要问题。

金融机构信息科技风险管理面临的主要挑战

《关于银行业保险业数字化转型的指导意见》对信息科技风险管理的指导意义

为加快数字经济建设，全面推进银行业和保险业数字化转型，推动金融高质量发展，更好服务实体经济和满足人民群众需要，中国银保监会印发了《关于银行业保险业数字化转型的指导意见》（以下简称《指导意见》），要求银行保险机构全面贯彻“十四五”规划要求，以数字化转型推动银行业和保险业高质量发展，构建适应现代经济发展的数字金融新格局，不断提高金融服务实体经济的能力和水平，有效防范化解金融风险。

《指导意见》提出将数字化转型相关风险纳入全面风险管理体系，并在第六章“风险防范”中阐述了相关各类风险在数字化转型中的管理要求，表明了监管对银行保险机构传统风险的特征变化和新型风险因素的积累予以高度重视。普华永道初步分析了《指导意见》中信息科技风险管理相关内容和提升管理能力的思路。

1.强化网络安全防护，加强数据安全和隐私保护

我国网络安全法、数据安全法和个人信息保护法的出台，《个人金融信息保护技术规范》的发布，以及监管就客户信息保护不到位的一系列处罚，将网络安全、数据安全和隐私保护的重要性提升到了前所未有的高度。

《指导意见》第二十七条重点关注了银行保险机构在数字化转型过程中，网络安全管理方面所面临的一系列新挑战，以及相应的提升方向，包括构建云环境、分布式架构下的技术安全防护体系，强化与外部合作的网络安全风险监测与隔离，加强开放平台、开源软件等方面安全管理，以及建立安全运营中心等。普华永道建议银行保险机构可从如下四方面拓展原有网络安全体系和建设计划。

网络安全体系和建设拓展建议

根据《指导意见》第二十八条要求，银行保险机构应尽快完善数据安全和隐私保护体系，从管理和技术方面持续加强，分别从自身和对外合作角度出发覆盖主要风险要素，包括建立数据分级分类管理体系，强化安全访问控制和全生命周期安全闭环管理，加强对外合作中的数据安全管理等。

从自身和对外合作角度加强数据安全管控

此外，中国人民银行会同国家市场监督管理总局、银保监会、证监会近日联合印发了《金融标准化“十四五”发展规划》，提出标准化引领金融业数字生态建设，要求稳步推进金融科技标准建设，系统完善金融数据要素标准，健全金融信息基础设施标准，强化金融网络安全标准防护，推进金融业信息化核心技术安全可控标准建设。

近年内已有一系列网络安全、数据安全和新技术应用相关的金融标准发布，普华永道建议银行保险机构在网络安全、数据安全和隐私保护体系的完善过程中参考相关标准的内容，规划建设方向，有效把握管理要点。

以《金融数据安全数据安全分级指南》（JR/T 0197-2020）为例，该《指南》为金融机构数据安全定级工作流程和数据安全定级规则提供了参考。结合《个人金融信息保护技术规范》（JR/T 0171-2020），根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，《指南》将数据安全级别从高到低划分为5级至1级，并对金融业机构典型数据给出定级规则参考。标准将数据安全定级过程划分为数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准，并就数据汇聚融合和脱敏等场景下，数据安全级别的调整要求做出规范。

数据安全定级规则参考表

注：1. 5至1代表重要性逐步递减；2. C1、C2、C3的标准请参见《JR/T 0171-2020 个人金融信息保护技术规范》中定义，“根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别”

数据安全定级工作流程

2.着力加强数字化风控能力建设，防范模型和算法风险

《指导意见》第十三条要求加强数字化转型的风险控制体系和管理平台、模型算法管理等，将数字化风控工具嵌入业务流程。第二十六条要求建立对模型和算法风险的全面管理机制，加强对模型数据、以及参数的验证和评估，并强调模型管理的自主性。

模型算法以及其驱动的自动化决策是金融科技从信息化迈向智能化的进化之匙，也是数字化转型实施的核心要素。以往由于模型算法专业性较高，针对模型算法的风险管理范围和深度相对受限。数字化转型过程中，银行保险机构需从多方面出发，统筹构建模型算法的系统性管理体系，通过管控机制的落地和平台工具的建设，实现对模型算法运行效果、准确性、安全性和合规性的有效监督评估，确保模型算法风险可控。

模型算法风控框架

3.加强操作风险及外包风险管理

《指导意见》第二十五条要求建立符合数字化环境中开放式价值链风险特征的操作风险管理体系，有效管控对外合作的集中度风险、供应链风险，加强业务连续性和应急管理等。

银行保险机构在数字化转型环境中的相关方及风险要素可能包括：

数字化转型环境中的相关方及风险要素

银行保险机构在构建开放金融生态工作中，应对原有操作风险评估与管控框架予以拓展。拓展过程需结合外包风险管理体系，以及具体管理措施，如风险和内部控制评估、关键风险指标监测、损失事件报告和数据收集等，并充分考虑新形势下银行保险机构与其他相关方机构在开放式价值链中所处位置与各方互动机制、潜在风险因素等。

风控机制应覆盖合作方机构自身运营状况、与银行保险机构的业务往来和合作开展情况、以及银行保险机构内部技术、项目和人员等各类情况，还包括不限于集中度风险、供应链风险、业务连续性、数据安全与网络安全等领域。

对外合作中银行保险机构需坚持“以我为主”，积极主动吸收和掌握核心技术，有效监控合作过程，及时识别风险变化并加强事前规划与应对部署，以及重视安全管理。

普华永道建议银行保险机构完善相关管控体系过程中应考虑覆盖如下内容：

对外合作操作风险及外包风险管控框架

综上所述，以往银行保险机构信息科技风险管理多从传统管理视角出发，如今则需要结合行业变化、技术发展和各类监管指引的出台等背景，加强信息科技风险管理体系的完备性和管理能力建设，从战略高度出发实施风险管控，关注网络安全、数据安全等合规热点，及时响应操作风险和外包风险管理的客体变化趋势，并对数字化转型促使重要性日益凸显的新型风险（如模型算法风险）予以重视。

银行保险机构未来需从如下方面加强信息科技风险管理：

• 充分识别数字化转型过程中的信息科技潜在风险与变化。

• 拓宽信息科技风险管理覆盖面，关注流程间和管理领域重叠部分的衔接效果。

• 加强信息科技风险管理理念传导和风险管控技术工具落地。

普华永道可在金融科技风险管理、合规管理体系的建设及完善、智能风险及合规工具建设、个人金融信息保护等方面提供帮助与支持，助力金融机构稳妥推进数字化转型落地。

附录 监管动向

近年来，监管部门和行业协会针对金融行业相关个人信息保护、网络和数据安全、新技术应用等主题发布了一系列文件，对相关领域的规范在逐步完善。银行保险机构如何有效响应监管要求，完善管理体系、夯实自身安全基础成为现阶段重要课题。

近期部分下发和施行的法律法规和监管指引