一、金融机构数字化转型面临的风险
金融机构数字化转型过程中,新技术、新模式等的探索和应用,使得其在IT治理、IT架构信息安全等方面,面临着新的风险。如图1所示,当前金融机构在数字化转型过程中,面临如下几点突出的IT风险:
图1 数字化转型面临的IT风险
1.IT治理面临的风险。包括大部分的城市商业银行和中小型银行等在内的金融机构对新技术影响传统业务发展的分析不到位,未做好业务模式变革创新的准备,导致新的业务不能实现既定变革目标;未能做好数字化基础建设,IT治理结构不健全,或是治理措施落地不到位,导致IT治理未能实现其应有的风险管控职能;IT适速、创新能力不足,导致IT建设落后于业务创新发展;互联网技术与传统业务结合的理论及方法尚未成熟,新业务的可行性分析不够全面详尽,导致新业务不能快速实现各项预期指标,需要不断的变更和重复开发,不仅延长了实现周期的也增加了技术及管理上的风险可能性;大多数的金融机构在数字化转型过程中,不能及时调整内部的组织结构以适应新的运营管理模式,使得管理与业务发展脱节,大幅增加了IT管理过程中的风险可能性;人才引进、培养与激励机制不够健全,导致优秀人才紧缺,人员流失严重,严重影响了IT建设与发展的连续性和可持续性,增加了由于人员变动引发的技术风险、管理风险。
2.IT架构面临的风险。很多金融机构特别是城市商业银行和中小型银行,对新技术架构的理解不深入全面,无法在应用新技术时建立起与新技术新业务相匹配的IT架构,导致机构数字化转型过程中不必要的架构变更和重组,增加了IT机构建设过程中带来的安全风险;很多金融机构,不具备自主快速研发、测试及部署能力,多大部分的工作需要通过外包来实现,增加了技术风险、管理风险;当前各金融机构正在进行大数据、云计算等技术的研究和应用,在数据治理、数据分析方面还未建立起全面系统的数据管理体系,以数据为导向的业务流程还未建立,数据分析能力还很缺乏;大多数的金融机构在用户需求调研能力、需求分析能力、可行性分析能力等方面都存在较大缺陷,用户体验不佳;
3.信息安全面临的风险。对新技术及其应用环境缺乏有效的风险监测、识别、评估及处理方法,如网上银行、手机银行、微信银行、人工智能、大数据等;金融机构最重要的信息资产就是数据,而伴随数字化转型的深入,越来越多的重要数据流转于互联网,面对如此迅速的数据应用变革,相应的数据隐私保护措施还很不足,才有了越来越多的数据泄露、篡改、利用等安全事件;伴随着金融机构数字化的转型,在数字化环境下的各项业务风险也日益增加,当前大多数的金融机构面对新业务新风险的控制能力严重缺乏;很多金融机构在数字化IT建设过程中,未能很好地开展风险分析、预测和控制,使得看似坚固的生产网络环境,不能够抵御重大的网络攻击,一次大规模的拒绝服务攻击就可能导致生产网络环境的全面瘫痪;
通过各方信息安全厂商、安全咨询服务商的报告,目前包括金融机构在内的很多企业,均存在人员安全意识不高,安全技术急需提升的问题。
二、数字经济时代的IT审计新定义
随着金融机构数字化转型的不断深入,越来越多的管理层对数字风险的关注度在不断地提高,IT风险控制的方法也经历着变革,因此数字化应用环境下,IT审计方法,很难在沿用传统的“由监管要求和传统安全保障要求主导,通过建立一系列符合监管要求和安全保障要求的IT控制措施,再定期实施合规检查及评估”的方法,互联网新思维的崛起、新技术的广泛应用、市场快速的变化,使得IT审计陷入了“无规”可循的境地,如图2所示,传统信息安全措施在互联网新思维的催化下,必将得出新的IT审计模式。
图2 IT审计新模式的催化
传统的IT审计更关注合规和信息安全,但在互联网金融发展的新时期,我国金融机构还基本处于数字化转型阶段,IT审计依旧是IT风险管理体系中的重要一环,IT审计的定位要从注重合规建设和传统信息安全的方法中逐步回归到从企业管理层面出发的风险导向和价值导向的新型IT审计,如图3所示,新的IT审计在审计要点、审计维度及审计时段上均有变化,新的IT审计将会纳入更多、更新与企业数字化建设相关的内容:发展战略中数字化进程的设定、IT治理组织机构、机制、方法等的优化、IT支持能力的提升、IT适速业务创新的能力、客户需求和用户体验、快速开发、快速测试与部署的方法及能力、新技术、新环境的安全控制措施及能力等;而审计维度也有所扩大,包括了风险控制生命周期内IT风险及控制、IT价值、新环境下的资源利用率以及风险控制措施的有效性、合理性、周期性。
图3 IT审计新定义