全流程风险管理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇全流程风险管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
全流程风险管理范文第1篇
文 陈卫国
从战略高度部署业务流程与信息化融合,防范企业运营风险
中建三局一公司制定了投资建造两轮驱动、打造“管理领先、技术领先、服务领先”的核心能力的发展战略,其中风险防范是管理领先的核心内容。围绕企业战略,经过广泛调研和深入研讨,确定了实现“管控一致、过程受控、知识共享、系统集成”风险控制和管理提升目标,将风险控制用信息化手段融入业务管理活动中,按照“业务流程化、流程标准化、标准信息化、信息集成化”的思路,建立业务流程与信息化深度融合的全面风险管理系统。
按照风险控制点和信息化要求梳理业务流程,完善制度体系
业务流程再造。按照在业务活动过程中控制风险的原则,以单项业务活动的清理为切入点,对公司现有管理活动进行清理,在此基础上,梳理出企业实现战略目标核心业务活动,对原有流程进行全面的功能和效率分析,发现其存在的风险;设计新的流程改进方案并加以评估;制定与流程改进方案相配套的组织结构。通过对各项业务活动的清除、简化、整合和自动化过程,重点解决以下难点。
一是围绕企业的整体发展战略来定位核心业务流程,从清理的大量原始业务活动中,分析、评估和判断出企业的核心业务活动及过程风险。
二是解决原来条块分割的问题,打通业务活动纵横向的沟通。原有的管理体系更多地局限于各专业系统从上至下纵向的“条”和公司一分公司纵向的“块”,缺少横向的标准接口和体系化的沟通机制,通过清理,提高系统之间的沟通效率,解决系统之间信息传递失真的风险。
三是解决原来各自为阵的管理问题,增加整体管理的系统性。通过流程清理,将较多局部的、孤立的管理活动实行联动,提高业务的整体性和风险管理的系统性。
四是解决原来管理职责不清的问题,将各项管理职责进行量化。与流程清理相结合,将以往抽象的、模糊的管理职能和风险责任用量化的流程描述进行明确,解决了很多以往互相扯皮、职责不清的问题。
五是根据流程清理和再造的结果,对原有组织机构进行整体优化,对一些职责和权限进行了重新划分和调整。
六是结合流程清理的结果,制定企业新的人力资源配置、绩效考核方式和业务管理规范。
管理标准化提升。在业务流程再造的基础上,结合企业管理现状,开展管理标准化研究。
是通过梳理和调整,对全公司针对同一管理活动的行为准则和过程表格进行标准化。即统做什么、怎么做的问题。
二是通过岗位职责的梳理、优化以及岗位标准的建立,对全公司针对同一管理活动的执行职责进行标准化。即统一谁去做的问题。
三是通过对现有授权体系的梳理和规范,对各个管理层级的执行权限进行规范。
四是建立执行过程中的问题反映机制,定期进行问题收集和汇总,并按要求进行解决。公司每月召开由总经理主持,各单位经理书记参加的系统推进专题会,讨论解决与系统执行相关的重要问题,对管理和风险控制体系进行动态完善和优化。
建立风险管理的制度保障体系。公司建立了“以制约监督权力为核心、以廉政风险防控机制建设为抓手、以反腐倡廉制度建设为载体、大力推进权力公开透明阳光运行”的风险防控体系。
一是制订《“三重一大”决策管理实施办法》《总经理办公会议议事规则》《党委会议议事规则》等制度,有效规范决策形式和程序,保证决策科学合理,预防决策风险。
二是制订《干部选拔任用及管理暂行规定》《岗位说明书》和《部门职责说明书》,建立健全了科学的干部选拔任用机制、管理考核机制和激励约束机制,预防用人风险。
三是制订《全面风险管理办法》《内部审计办法》、《竣工项目审计办法》等制度,形成了以法务、审计、纪监为主体的风险监控体系。
建设管理信息系统,固化流程和制度要求,防止人为因素带来的风险
综合管理信息系统以公司标准化的流程手册为开发依据,围绕项目全过程管理,从市场管理到现场管理、采购管理、成本管理、资金管理等,以成本控制为核心,以资金支付控制为抓手,对企业运营管控和业务管控进行了系统化管理、集成化应用。主要功能模块包括以下方面。
企业层面——市场管理:信息跟踪管理、投标管理、签约管理,并由客户管理、投标资料管理提供支持;资源管理分包方准入、分包方招标、财务资金管理、知识管理。
项目部层面——项目策划、合同管理、经济活动分析、进度管理、质量管理、安全管理、环境管理、技术管理、分包管理、财务核算、资金管理、材料管理、设备管理、竣工管理、综合管理。
强化信息管理,严格合同评审,源头把控市场风险
公司在市场营销上实施“三高”战略,即在大市场中聚焦高端市场,在大业主中精选高端客户,在大项目上重玫高端项目;制订《客户管理办法》,建立了客户管理数据库,从企业诚信、资金实力、投资规模、计价水平、现场管理、工程结算等方面对客户进行评价和分级评定,对项目承接实行底线管理,对合同签约实行红线控制.从源头把控市场风险。
实行底线管理。规定履约不诚信的客户、付款比例低于80%或付款周期超过2个月、投标纯利率6%以下、住宅项目工程造价低于3亿元的项目禁止承接,彻底杜绝联营挂靠项目。
实行红线控制。公司制订了《项目法律风险防控工作管理办法》,对招投标、合同签订阶段的各类常见风险及控制措施建立了知识库,明确红线标准,突破红线的不允许投标或签订合同;合同谈判前精心进行策划,减少合同风险。
严格过程审批。从信息跟踪开始,到招标文件、投标文件和合同都必须通过信息系统经分公司、公司相关职能部门和领导评审。系统进行逻辑关联控制,没有信息评审就无法进行招标文件评审,没有招标文件评审就无法投标,没有投标评审就无法签订合同。
通过业务流程与信息化融合,确保信息通畅,控制运营风险
信息纵横贯通。综合管理信息系统固化制度要求,按业务逻辑进行数据强制关联,解决传统管理方式下信息不对称的问题。
在信息纵向传递方面,一是通过流程引擎,使公司总部、区域公司及项目部之间纵向沟通顺畅,业务事项处理及时;二是通过系统的数据自动关联,实现了业务系统内部的前后逻辑关联。如物资管理,从前期策划的总需用计划、月度需用计划、采购计划、招标采购、验收入库、领用出库、材料盘点、成本分析,到付款申请,整个材料管理业务线前后贯通,环环相扣。前一步没做,后面的工作就无法开展;总计划里没有的物资,月计划里就做不了该物资的计划:采购的数量不能大于计划量,否则无法录入,这种刚性约束使得管理人员必须按公司相关制度办,改变了工作随意的不良习惯,提高了制度执行力,大大减少了管理漏洞。
质量管理和安全管理:公司建立统一的质量监控和安全危害因素知识库,项目部在策划阶段识别质量监控点和安全危害因素清单,实施过程中,质检员和安全员根据监控点和危险因素清单按照实际进度进行过程监督,对发现的司题自动形成整改单,策划、检查、整改全程闭合,确保质量和安全受控。
在信息横向传递方面,通过系统中的数据自动关联,使业务部门之间的横向沟通顺畅,避免了各自为政、口径不、相互矛盾的问题。
对运营风险进行动态管控。信息系统按照业务逻辑强化数据之间的关联关系,保证每一项管理活动中每个步骤的先后衔接关系;通过最终的约束限制条件,确保每个活动步骤的真实、及时和有效。
一是以成本为核心,以项目兑现为约束条件,运营管理过程受控。从投标成本测算开始,到中标后确定责任成本、过程中的成本分析、完工后的成本确认到项目竣工结算。最终以项目兑现作为刚生约束条件;其中任何一个管理步骤没有完成就没法进入下一个步骤,最终导致无法兑现。
二是以合同为基础,以资金支付为约束条件,业务管理过程受控。系统中对资金支付进行刚性约束,任何一个管理步骤没有完成就没法进入下一个步骤,最终的结果是导致资金无法支付,通过资金支付的刚性约束来保证管理活动的及时、真实和有效,业务管理过程受控。
三是通过系统运行监控,确保业务活动透明可视。系统设置监控权限,纪检、审计及其它相关人员可以随时监督审查授权范围内的业务活动开展情况,包括从管理活动发起的源头到任何一个环节的所有审批意见和背景材料,对业务活动过程监控可以做到实时可视,完全透明。
四是通过系统预警,及时处理异常状况。系统设置预警阀值,出现偏差自动预警,可以让各个管理环节及时发现过程中出现的各种异常状况,通过预警响应功能.及时对相关问题在过程中进行处理。如.商务管理中自动对上交比例低于6%、成本分析出现亏损等项目进行预警;资金管理中根据月度对外报量登记应收账款台账,及时记录报量和收款情况,自动计算拖欠天数和拖欠金额,进行拖欠分级预警。
五是通过目标值设定和数据关联,确保数据真实可控。系统设置目标值,并进行刚性数据关联,确保数据不超出目标值。如 资金支付数不能大于结算数;结算数不能超出合同限定数;材料领用数不能超出库存数等。一旦超出,数据将无法填入,系统自动提醒并拒绝保存。
实现资源集中管理,减少风险环节
实现资金的集中管理。信息系统的应用实现了真正意义上的资金集中管理。一是通过合同——结算——资金计划——分配方案——支付申请——资金拨付——网银支付的层层关联,实现资金集中支付。二是系统设置控制功能,当期无结余无收款的项目无法支付款项,只有经过借款且承担资金占用利息的情况下才能支付,“以收定支”和“有偿使用”的原则得以落实。三是通过资金策划——资金计划——资金支付——资金台账的数据关联,总部对项目部从开工到竣工结算的全过程现金流实现预算管理和动态监控,资金核算到项目部。
实现供方的集中管理。通过信息系统,在对供方进行考察评审后,由公司对供方进行统一编码,建立集中的合格供方库,通过系统的强制关联,只能从合格供方库中选取队伍进行招标,实现了供方的集中管理。
实现物资采购集中管理。通过信息系统按期间和组织机构分级汇总各类主材的总需用计划后,由企业在合格供应商范围内进行年度集中招标,确定总体的供应商数量及供应价格、结算方式、付款方式。在具体的项目提出招标申请以后,只能在集中采购结果的范围以内选择供应商具体执行。
知识共享、智能决策,风险管理持续改进
知识共享传承,防止风险重复出现。综合管理信息系统固化了公司相关制度要求,本身就是企业知识的重要组成部分,没有经验的新员工,按系统提供的业务帮助和操作帮助就可以很容易开展工作,成为企业知识的共享者,能少走弯路少犯锚。另一方面,系统建立专门的知识库模块,将企业的各项经验、教训进行归纳和总结后分门别类进行归集,企业知识不断丰富并共享传承,降低风险重复发生的可能。
决策信息实时智能,风险管理持续改进。通过信息系统,一是所有决策支持信息均由系统从各个业务活动中自动获取,保证了原始数据的及时和真实,且数据可以追溯。二是数据来源和口径由系统在后台设置好,确保一致,对各项业务的发展趋势分析更加客观和准确。三是实现了实时决策。任意时点、任意期间的数据可以进行实时分析。通过系统决策支持数据实时监控企业运营状况,企业管理者能及时发现风险进行处理,并对潜在风险进行分析,对风险管理系统进行动态完善。
全流程风险管理范文第2篇
关键词:大数据 小微业务 风险管理 数据管理
中图分类号:F830.4 文献标识码:A
文章编号:1004-4914(2016)08-182-02
引言
大数据在国内外商业银行已广泛应用于授信欺诈识别、准入筛选、授信额度审定、贷款定价等各种风险决策管理领域,并有许多成功运用案例。如:美国富国银行利用大数据拦截客户欺诈和评估贷后风险,VISA组织利用大数据巧妙化解信用卡诈骗、盗刷等事件侵扰;建设银行利用大数据技术挖掘客户融资需求并建立风险决策模型;中信银行利用大数据技术实现授信额度审批和贷款定价的自动化;工商银行通过与沃尔玛建立供应链互联网金融,对物流、信息流、资金流封闭管理,有效降低信息不对称风险,提升风险管理的效率和效果。
大数据对商业银行风险管理的借鉴价值在于,通过数据信息分析、挖掘、聚类、建模,可应用于风险管理的防欺诈、授信额度核定、违约预警等各方面,简化流程,提高效率,有效提升风险决策智能化水平,强化风险管理效果,大量节省人工成本。
一、大数据对提升银行小微风险管理的意义
银行小微风险管理手段仍较落后,技术提升迫在眉睫。主要体现在对已有各种系统利用不充分,对现有各类数据挖掘利用不足,风险管理自动化、智能化程度不高,手工操作占比大、环节多,严重依赖人工,使风险管理与人员不足的矛盾较为突出。本文认为,大数据对银行小微风险管理的意义主要有以下几点:
(一)完整绘制客户数据图谱
全方位解读与识别客户风险基于大数据可将碎片化信息关联、整合、还原,构建以客户为中心的基本信息、资产负债信息、行为信息整体视图,做到360度全方位了解和识别小微客户,有利于洞察每个客户的需求偏好,提前察觉潜在风险并做好防范。
(二)有效解决信息不对称问题,实现风险精准定位
小微授信业务的风险很大程度上来源于信息不对称。通过数据分析和数据挖掘技术在风险管理领域的大量应用,整合内、外部丰富的数据资源,进行勾稽关系逻辑印证,可以有效判定信息的真实性、可靠性,精准定位、识别和量化风险。
(三)变事后的被动管理为事前的主动管理
小微风险管理滞后的结果是,事后发现风险,效率低下、损失率高,成本难以控制。基于大数据的风险管理,将各种风险规则嵌入生产流程,可实现批量化、自动化,实时、主动识别风险,及时预警,有效解决小微风险管理的被动局面。
(四)实现全覆盖、全自动的批量化风险管理
不同于传统的单一抽检,基于大数据可将各种风险管理规则、数据模型与业务流程紧密结合,建立覆盖全业务流程、闭环式风险管理体系,将全量数据进行跑批,有效识别业务模块风险点,克服以往对全量数据进行抽检而遗漏部分风险的可能。
因此,全行上下须积极拥抱大数据,改变风险管理决策依据,形成数据决策的习惯,建设小微数据化、模型化、批量化、自动化、智能化的主动风险管理体系。
二、小微风险管理中系统开发、数据管理及应用现状
(一)系统开发的规划和前瞻性不足
目前某银行与零售业务有关并已上线的应用系统共计63个,其中与小微业务密切相关的有28个,主要分为授信、渠道、产品、客户服务、账户流水和结算六大类。但总体呈现多、散、乱、杂等特征,系统性规划和前瞻性深入思考不足,系统间关联性不足,自动化、智能化不足,需要人工逐笔处理的环节较多,解决问题的效果不理想。
另外,部分业务流程尚未纳入科技系统支持,全流程的电子化、痕迹化管理尚未实现。如项目下资金流向批量监测和预警,不良资产打包转让等处置和核销流程,后督管理、合作社管理尚未纳入系统管理,销售系统尚无法自动进行客户结构分析、客户行为分析等。
(二)数据归口管理与团队建设有待加强
一是目前全行数据处于多渠道共管状态,全行数据统筹管理部门不明确。
二是银行已初步意识到数据对商业银行经营管理的重要性,在小微风险管理中也开始尝试,但自动化程度不高,未覆盖小微业务全流程,尚未搭建全行统一、高度共享、方便获取的小微大数据平台。
三是数据分析、数据挖掘人才缺乏,目前团队建设仍严重滞后,整体速度有待加快,效果有待提升。
(三)数据质量和共享程度亟待提高
内部数据管理尚待提高。
一是银行内部数据信息维度已较丰富,但系统间、条线间整合、共享不足。如小微客户在银行公司、零售、小微、私银、信用卡等各条线信息尚未完全共享;小微系统贷前、贷中和贷后信息无法全面、自动共享,有的模块需人工逐笔查询,对人工耗用较大。此外,部分数据如部分信用卡数据尚未纳入数据仓库统一管理,数据维度完整性不足。
二是数据缺乏管控,数据质量较差,行业等维度数据真实性、有效性不足。部分数据内容不完整,如小微企业名称等关键维度数据缺失严重,导致数据分析难以有效进行。三是部分数据规则标准不统一,给跨系统整合带来困难。四是数据结构化程度低,对现有非结构化数据利用不足,数据价值未充分被挖掘。
外部数据管理也待规范。
一是银行已引进“人行征信”、“工商登记”、“法院执行”等第三方数据,但尚未与银联、生活缴费事业单位、移动、电信、交通运输部门、第三方核心企业ERP、互联网电商平台和社交网络等数据实现对接和共享,数据维度有待于进一步丰富。
二是未建立外部数据获取、共享的管理机制和操作流程,个别条线已引进的、对小微有用的第三方信息查询平台未与小微共享,造成该类数据缺失或与其他条线重复购置形成浪费。
(四)模型管理方面有较大提升空间
一是目前银行已开发上线并用于小微风险管理的数据模型只有“授信申请评分模型”和“授信行为评分模型”两类,模型数量较少,体系性不足。先进同业基本都已开始应用的授信定价、反欺诈、违约预测、催收评分等模型在银行仍处于需求分析或开发设计阶段,一直未能上线应用。
二是模型设计技术有待提升,未加入行业、区域等个性化因素,模型依赖的基础数据质量较差,严重影响了模型精准性,加之分行业绩驱动等因素,导致模型总体应用程度不高,模型中的绝大部分功能基本处于闲置状态。
三是银行审批阶段的客户准入、额度计算及定价均非系统自动给出而是由人工逐笔审批,贷后管理阶段的风险监测、预警、催清收、处置等风险管理策略也均未实现数据模型批量自动化处理,存在大量人工行为,模型智能化成分也有待提高。
这些既影响了小微风险管理的效果与效率,也是风险管理成本长期居高不下的原因所在。
三、利用大数据优化银行小微风险管理模式的建议
(一)文化理念与管理机制方面
一是银行应进一步强化“数据就是资产”和“数据治行”的理念,科技信息管理委员会应进一步强化对全行数据信息的管理职能,全行努力实现小微业务全流程电子化,实现跨部门通力合作与数据共享机制。
二是数据管理机制必须与小微业务流程再造紧密结合。
三是必须明确权责清晰的数据管控机构,负责全行大数据顶层设计与统筹规划,出台数据标准化指导手册,建立数据质量管理与考评体系。
四是引进人才,建立专业高效的数据分析与挖掘团队,并进行持续培训和提升。
五是强化大数据时代的信息安全管理,严防数据泄密风险和声誉风险。
(二)数据管理方面
在内部数据管理方面:一是要尽快搭建全行统一、高度共享、包含多维度数据的内部管理平台。二是应对全行各生产作业系统和数据库进行全面梳理,丰富并完善数据仓库信息。三是搭建并完善全行小微数据分析平台,强化培训,提升全员数据分析应用能力。四是深化已有数据的挖掘利用,尤其要注重非结构化数据的应用。五是推出适当激励措施,提高客户准确、完整提供数据的积极性。
在外部数据管理方面:一是积极加强与第三方平台、银联、公共缴费事业单位、交通运输管理部门、移动电信、电商平台、微信、微博等社交网络等“大数据平台”的合作和共享,引入在逃、吸毒人员信息库、国证通系统(可查阅客户学历、房产、车产状况)、社保系统、企业ERP系统等外部数据,进一步丰富小微客户数据维度,丰富风险视角,全方位了解小微客户行为特征。二是在全行范围内搭建外部数据采购和行内共享平台,减少风险盲区。三是结合银行客户现状、关键风险控制环节、落地难易程度、迫切程度和成本效益等因素,实施分步规划、逐步落地的策略,不断丰富外部数据获取渠道和数据类型。
(三)模型管理方面
在模型建设方面,一是尽快建立贯穿小微业务全流程、覆盖关键控制节点、体系化的公共风险管理数据模型,供全行使用,模型构建思路应紧密与小微业务相结合。具体而言,贷前可建立目标客户敏感度、客户准入反欺诈模型;贷中可建立客户评分、授信额度核定、贷款定价、违约预测模型;贷后可建立资金交易特征预警、贷款催收、损失预测、资产转让定价模型;售后综合提升方面可建立续授信、售后维护与提升、客户流失预警模型。二是以各种方式鼓励小微条线数据专业团队发挥创造性思维,研究、创新、构建各类对区域性、行业性风险控制有益的个性化模型供经营机构使用。三是进一步丰富模型应用技术与工具,充实模型指标维度。四是根据紧迫程度优先推出反欺诈/防骗贷模型及违约预测模型。五是将模型与业务逻辑按照一定规则嵌入生产系统决策引擎,作为业务操作必经环节,减少人工干预成分,提高系统批量化、自动化决策成分,提高决策效率。
根据银行小微风险管理实际,建议优先开发反欺诈模型和违约预测模型。反欺诈模型设计时,可运用公安部联网核查系统数据验证借款人及关联人身份真实性,利用工商登记查询系统验证小微主名下小微企业注册信息及经营简况,核查企业经营真实情况及关联人信息,利用人行征信系统核查借款人及其关联人和小微企业的信用记录,利用社保信息、税务信息、行内账户交易流水、客户提供的他行账户信息、车辆和房产信息核查借款人资产实力,判断其还款能力。
设计违约预测模型时,可利用现场贷后检查、工商登记信息变化和行政处罚信息、人行征信违约信息、在逃吸毒人员库等公安、司法法院执行数据、黑名单库等核大负面舆情与其他负面信息。还可利用小贷公司共享数据、网络爬虫技术获取非结构数据核查客户重大负面舆情和其他负面信息,提前预判客户违约信号,及早采取补救措施。
在模型应用方面,建议一是数据模型要随着小微业务发展及风险形势变化与时俱进,及时更新,融入最新元素。二是尽快建立系统内数据模型的应用、验证、反馈、优化的良性互动循环机制,总、分行合力确保模型运行效果在实践中不断得到检验、优化和提升。
参考文献:
[1] 苏玉峰.大数据时代商业银行应对策略[J].当代经济,2014(20)
[2] 缪志平,李芳.大数据时代商业银行应对策略[J].现代金融,2013(11)
全流程风险管理范文第3篇
关键词:绿色建筑项目;风险管理;生命周期理论
在文章中主要是通过绿色建筑项目风险管理的特征、内容进行描述,创建了在生命周期理论基础上的绿色建筑项目,对绿色建筑体系的用处进行了描述。绿色建筑是传统建筑改变的转折点,比一般建筑的要求更高,对传统建筑进行了提升,成为了一种可持续建筑的主导。
1绿色建筑
1.1绿色建筑定义
绿色建筑的含义为在建筑生命周期中,让资源能够最大限度的被节省下来,做到节能、节材、节水、节地,还可以减少污染,将环境进行更好的保护,争取做到与自然和谐相处,创建和谐绿色建筑。(1)绿色建筑特征。一般建筑项目都有着复杂性、实施性、特殊性、一次性以及投入资金多,所以这就让风险管理有着重要意义。而绿色建筑在一般传统型建筑的基础上,对成本、质量以及工期有着更多的目标扩展,这就包括了建筑耗能、材料、环境保护以及安全舒适等目标,管理目标的扩大增加了绿色建筑项目风险的增加。(2)绿色建筑内容。针对于绿色建筑有以下几个方面:①对于绿色的特征创建风险清单;②实行评估对绿色建筑;③对绿色建筑项目实行了有关的研究。
1.2绿色建筑建筑内涵
绿色型建筑内涵主要可以归纳为:①将建筑对环境的负荷减轻,大意就是将资源、能源进行节约;②为用户提供健康、温暖、舒适的生活环境;③和自然环境亲近融合,争取将人与建筑、环境的和谐相处做到持续性发展。(1)绿色建筑节能理念。将太阳能进行充分使用,使用节能型建筑将结构、空调进行围护,缩减空调与采暖的使用次数。按照自然通风的原理设置冷风体系,让建筑可以使用夏季主导风向。建筑使用的是与当地天气相对应的总体布局、平面形式。(2)绿色建筑优点。绿色建筑主要优势就是和四周环境相照应,达到内外一致,动静相互照应,将自然生态环境做好。创造一种舒适型、健康型的生活氛围,让人们感受到居住良好,身心健康。
2绿色建筑项目使用全生命周期风险管理
2.1绿色建筑项目使用全生命周期风险管理
全生命周期风险管理定义为,在项目全生命周期内实现对风险管理进行策划工作,识别每一个时期的风险,使用合理的策略对风险进行评价,将有关的风险属性进行分析,对整体的影响进行评估、制定有关解决措施并且实施,是风险管理工作的一系列集合。绿色建筑项目生命周期主要包括5个阶段:制定决策、设计、施工、实行、维护。在这5个时期重要性是依次递增,其意思就是项目时间越长,对于风险管理成败越重要。在风险管理中主要时期就是---投资决策时期,其内容主要有项目使用书、技术评估等。
2.2绿色建筑项目风险管理的内容
绿色建筑项目管理的含义是开发商的项目的全生命周期进程中,避免或者是减少很多不利影响,确保项目的成功,在进行投资、施工、运行等一系列阶段对实施项目的风险管理工作识别、规划以及整个过程中。按照我们国家建筑项目在风险管理方面的状况来看,可以分为5个方面:风险规划、风险判断、风险猜测、风险处理、风险看管,共五个时期。
2.3绿色建筑项目风险管理的性能
与其他建筑项目来说,绿色建筑项目有着特殊特征,总而言之归纳为下面几点:①项目最开始的时候投资金额高。在经济性能角度看,承包商要比其他建筑承包商在初始值的时候投入资金多,成本增量也比其他的高,算是外部性经济产品,期舒适程度、对环境有利,不能通过资金体现出来,并且回收时间长,另外绿色建筑项目与其他建筑项目比,技术复杂,要求也高,还可能会出现延长工期的状况,伴随而来的就是成本的提升,让项目在短时期内没有回报率,导致项目风险增加;②目标的延伸。通常性的建筑工程三大目标是:成本、工期、质量,而绿色建筑项目与建筑工程相比则有着更多延伸目标,比如室内环境舒服、建筑不耗能、节约资源、保护环境等,扩展建设目标越多,会导致风险范围增大,最后一定会增加风险的可能性。根据上面的描述,绿色建筑项目中的绿色管理是困难且繁杂的系统,应该参考其他方面的有关书籍,对一些控制要素也应该实行综合管理、分析并提出有关的策略,使用科学性的策略实行风险管理,方便能够在同一条框中实行绿色建筑管理工作的目的,目的就是让项目不利的风险达到最低。
3绿色建筑项目风险管理系统
绿色建筑项目风险管理的含义就是说项目在开始到完成全部过程,使用计划、协调、实施等一系列的管理方法。对于项目的风险,是根据项目创建的管理策略与目标互相作用的要素总定义,就是对风险实行管理政策。
3.1在霍尔三维结构基础上建立绿色建筑项目风险管理系统
“霍尔三维结构”是由美国工程家提出来得,它的主要定义对复杂系统工程有着比较重要的意义,这篇文章也根据学习“霍尔三维结构”,创建一个生命周期维、评价因素维、管理过程维“三维”结构体系。在这样的体系中,使用管理的办法确定工具在三维空间分布点,通过类比的方法,将文章内容进行解析,让建筑可以得到更好的发展。(1)生命周期维。生命周期维主要是指在绿色建筑项目中,整个工程的阶段序列(比如技术预算、设计时期、项目使用书等)是通过生命周期动态时间所体现出来的。按照生命周期维的改变、评价因素、管理流程创建了“评价因素-风险管理”平面,主要体现的就是:对于不同的项目目标(类似质量、成本、建筑),风险管理需要根据风险管理流程顺序进行,由此按照时间变化,对其他两个维度就可以一目了然。(2)评价因素维。通常情况下,在项目立项的时候项目目标就应该被确定下来,但应该注意的是项目不同时期,目标就会不同。按照评价要素维的改变情况来说,其他两个维度创建了“评价因素-风险管理”平面,可以体现的就是在绿色建筑生命时期风险管理应该谨遵流程,这样便于工作人员的观察,让工作顺利进行。(3)管理过程维。风险管理流程维主要指的就是在实行建筑项目时的一般步骤(主要有规划、评估、监控等)在实际的工作当中,对于生命的流程有所改变的。按照风险管理的变化,其他两个维度创建了“评价因素-风险管理”平面,通过两个维度反应出来的是风险管理应该谨遵流程,这样便于观察工程。
3.2绿色建筑项目的用途
创建绿色建筑体系是由一个对风险管理的计划与框架,只有将绿色建筑实行下去,才可以构建一个良好的环境。这篇文章主要是对有发展前景的绿色建筑类型创建了三维风险管理系统,体现的就是绿色建筑管理研究方向、管理内容。主要在以下几个方面有着重要作用:①对项目开发商的能力给予肯定工作;②便于绿色建筑项目的评价;③对风险管理的集成性能有用处;④对项目管理理论的丰富性能有利。
4结束语
绿色建筑中比较有效管理措施就是风险管理,风险管理能够将绿色建筑实行良好的管理,让建筑行业为城市的环保做一份贡献,它也是确保了项目能够顺利完成的主要保障。这篇文章主要根据绿色建筑项目实行风险管理特征、内容,创建了绿色管理系统,构建了绿色环境保护体系,说明绿色建筑其重要性与意义。对这篇文章的研究与分析,希望能够为以后的建筑带来学习的经验。
参考文献
[1]祁华,侯海方.基于AHP-模糊综合评价的绿色建筑设计阶段风险评价研究[J].价值工程,2015(30):82-84.
[2]陈帆,谢洪涛.建筑技术创新风险的贝叶斯网络模型分析--以绿色建筑技术创新项目为例[J].计算机工程与应用,2014(18):33-38,49.
[3]章梦平,何亚伯,杨琳等.基于RBS故障树和改进粗糙集信息熵的绿色建筑项目施工进度风险评估[J].项目管理技术,2016,14(12):34-37.
全流程风险管理范文第4篇
1.巴塞尔协议II奠定基础
2006年6月颁布的巴塞尔协议II的重要一项修订就是将操作风险引入风险资本计量框架。巴塞尔协议II将涉及以下几类事件的风险因素纳入操作风险的识别体系:由非市场和信用风险引致的金融风险、日常操作失误导致的任何风险、机构内部因素导致的任何风险、由于低效或无法胜任的系统、人力资源或外部事件导致的直接或间接损失(不含商业风险)。倡导金融机构建立完善的内部风险管理体系是巴塞尔协议的重要原则,各国制定的相关的监管法规也基本秉承这一精神,我国《商业银行操作风险管理指引》中也未对操作风险的识别方式进行具体的规定。因此各金融机构应根据自身特点对全部业务条线进行梳理以建立完备的操作风险识别体系,并根据经营环境和业务发展的变化及时进行修正。巴塞尔协议II对于操作风险最低资本要求的计量有三个层次的计量方法。一是基本指标法,即商业银行所应持有的操作风险资本等于前三年总收入的平均值乘以一个固定比例(以α表示);二是标准法,又分为标准法I和标准法II。前者将银行业务分为8个类别,选取8个银行基本财务指标代表每一项类别,各用一个适当的系数(以β表示)反映上述财务指标与该类别面临操作风险的关系。整个机构需要的总的资本要求即为上述8个乘积的代数和。后者对前者进行了有限修正,将零售银行和商业银行两类业务单独进行了计量;三是高级计量法,分为内部计量法、损失分布法、记分卡法等,其中内部计量法为巴塞尔委员会较为认可的计量方法。内部计量法将标准法的一维计量方法拓展到二维矩阵,共m类业务中的每一类需要对应共n项操作风险因素中的每一项。内部计量法使用每一类业务的预期损失(EL)乘以风险系数γ(由监管当局指定)获得单一的操作风险资本,而EL等于风险指标(EI)、发生概率(PE)和损失程度(LGE)三者的三者的乘积。三个层次的资本计量方法在复杂性和对风险的敏感程度上都依次增强,同时巴塞尔委员会也制定了详细地计量方法的选择和实施方案。
2.巴塞尔协议III的新要求
2008年国际金融危机的爆发是出台巴塞尔协议III的直接原因。在风险资本的框架方面,巴塞尔协议III进行了重新调整,尤其是提出建立资本留存缓冲和使用逆周期资本缓冲作为经济下行期吸收损失的准备。同样为了缓解巴塞尔协议早期版本资本充足率的顺周期问题,巴塞尔协议III也提出了对杠杆比率(即核心资本对全部非权重资产的比率)的限制。巴塞尔协议III对操作风险管理方面的修正内容较少,操作风险管理的框架基本上仍参照巴塞尔协议II及后续相关补充文件。然而,巴塞尔协议III对风险资本要求的收紧意味着操作风险监管方面须要同步做出相应的强化。
二、巴塞尔协议与财务公司操作风险管理实践
构成金融安全网的三道屏障分别是资本充足率、监管检查和市场约束,其中与财务公司操作风险管理关系最为密切的是资本充足率和监管检查。一方面,由于巴塞尔委员会对操作风险与市场约束之间的阐述并不充分,银行业金融机构对操作风险信息的披露制度还有待于监管机构进一步建立和完善;另一方面,信息披露是否充分也关系到相关数据的丰富程度,对于第一支柱风险资本的计量也有着重要的意义。第一支柱资本充足率是资本、风险加权资产及市场风险和操作风险资本要求的函数。巴塞尔委员会对操作风险等敞口给予更高的权重反映了其相对于其他风险类型给予操作风险更为保守的监管方向。不同于信用风险资本最低要求仅为风险加权资产的8%,市场风险、操作风险的最低资本要求都按照其风险敞口的100%的提取。虽然,2007年中国银监会颁布的《商业银行资本充足率管理办法》未将操作风险敞口纳入资本充足率进行考量,但是包括财务公司在内的银行业金融机构只有为操作风险敞口准备充足的资本金才有可能对冲未来发生的风险。而在监管机关未出台明确规定之前,选择合适的操作风险敞口(或操作风险最低资本要求)计量方法对于不同金融机构也变得尤为重要。第二支柱强调监管机构应对银行类机构操作风险管理措施具有完备的监督检查规范,因此银行类机构应建立包含操作风险识别、计量、监控等行之有效的内部控制体系。首先,银行类机构应建立完备的操作风险管理架构。董事会及风险管理委员会应当承担风险管理的最终责任和制定风险管理战略与政策,推动风险管理工作自上而下进行。管理层的责任是执行风险管理政策,制定风险管理程序和操作规程,及时掌控风险水平和管理状况,确保银行的人力、物力和恰当的组织结构及信息技术能够有效识别、计量和监控各项风险。风险管理部门应与业务部门保持相对独立,主要负责组织、协调、推进风险管理政策在全行内的实施。其次,银行类机构应具备顺畅的风险管理流程。有关业务部门和支持部门应当按照规定的时限和程序向管理层、风险管理委员会和董事会报告界定明确的操作风险事件及其损失信息。为此,银行应当制定全行内通用的操作风险事件定义体系和损失数据的核定标准。风险管理部门根据操作风险事件的性质和损失大小进行风险评估,同时可以在有限的范围内为操作风险计量提供参照。风险管理部门根据操作风险计量和评估的结果采取保险、服务外包或金融衍生品等风险缓释工具和风险转移技术对操作风险进行缓释。近年来,监管机关通过定期的现场检查和非现场监管手段加大了对财务公司等非银行金融机构的监管力度。各种监管方式的日益丰富客观上促进了财务公司从内控建设上更加重视对操作风险的管理。越来越多的财务公司出台了相关的操作风险识别、报告、评估、资本计量、缓释制度和措施。然而,财务公司对操作风险的管理距离国际标准仍具有一定差距。造成这些差距的客观原因可以归结为操作风险事件低频高损的特殊性质和财务公司经营的特殊环境。然而有些主观原因也不可忽视,例如风险管理人才队伍薄弱和风险意识有待提升等。
三、构建具有财务公司特色的操作风险管理框架
2007年5月,中国银监会《商业银行操作风险管理指引》,该《指引》将财务公司也纳入了实施范围。商业银行和财务公司共同面临的信用风险、市场风险和操作风险中,由于财务公司信用风险的集团内部关联特点及其业务类别较为单一导致市场风险的边际化,使得操作风险成为财务公司与商业银行最为趋同的风险类别。因此财务公司对操作风险的管理可以将巴塞尔新资本协议作为指导相关工作的蓝本。以下结合我国商业银行实施巴塞尔新资本协议的情况谈谈几点财务公司操作风险管理的建议。
1.建立完备的操作风险管理战略和政策
当前我国财务公司对操作风险的管理普遍缺乏完整的战略规划和政策支持,以及对操作风险的流程化管理。首先,财务公司应明确和解决有关操作风险的公司治理结构问题,尤其是董事会和管理层相关义务和职责的落实;其次,操作风险管理政策应有助于财务公司进行识别、监测、度量和控制所有业务活动中的风险,并且操作风险管理政策应成为财务公司全面风险管理政策中的有机组成部分;再次,财务公司应通过流程优化和再造形成有效、完整的操作风险管理流程,打破目前按照业务部门建立的管理模式,将操作风险管理框架有效嵌入业务流程的优化再造。
2.制定涵盖全品种全流程的操作风险识别标准
我国目前很多银行类机构对操作风险的识别工作仍停留在较为初级的阶段。譬如按照监管法规将操作风险分为若干大类,再从各大类中细分小类,直至划分到末梢,分别对应经营的所有品种或者业务岗位,对照自身情况查找可能存在的操作风险点。这种在“部门银行”模式下产生的操作风险识别方式的优点在于简单直观、便于操作,但是无法适应“流程银行”以客户服务为中心、以市场为导向,实现银行最终的发展战略目标。包括财务公司在内的银行类机构应当将业务流程、管理流程、支持流程的梳理和优化作为切入点,突出核心业务流程和业务的多样化,借助信息系统技术,实现财务公司操作风险识别工作在全品种和全流程的覆盖。
3.选择适当的操作风险计量手段
巴塞尔委员会要求操作风险敞口较高的商业银行应选择高于基本指标法的标准法或高级计量法。在我国银监会公布的《商业银行操作风险监管资本计量指引》中也只规定了不含基本指标法的三种较高的计量方法。银行类机构出于审慎管理的理念,同样应根据自身的情况选择更为敏感的操作风险计量方法。然而,业界运用高级计量法的难度普遍在于低频高损数据的缺乏,财务公司受制于经营规模及发展历史等情况使这块短板更为明显。但是,由于高级计量法本身能够根据内部数据建模,利用外部数据进行情景分析,这就使机构在计量时具有更大的自由度和灵活性。因此财务公司当前可立足于《计量指引》规定的前两类方法,但是也应当为未来实施高级计量法做好准备。
4.适当引入多样化的操作风险缓释手段
大型跨国银行采用多样化的操作风险缓释手段降低风险的损失频率或影响程度,主要包括金融衍生产品、服务外包和保险等。能够进行操作风险对冲的金融衍生产品大都在场外市场进行交易,目前我国尚不具备符合条件的交易市场,根据调查我国商业银行出于此项目地而涉足的境外市场交易也寥寥无几。我国商业银行目前已经能够熟练地通过服务外包利用彼方的比较优势在明确质量标准和工作成本的条件下将自身不擅长的业务领域的操作风险进行有效的控制。在欧美发达国家,面向银行机构各类操作风险的保险产品已经非常成熟,银行机构采购各种保险非常普遍。例如在欧美市场,一家大的商业银行投保银行机构综合犯罪保险需要缴纳的保费尽管动辄几百万美元,但对银行机构的保险保障即达几十亿甚至上百亿美元,同时也使得银行的资本准备金大大减少。我国保险市场最近几年已经开始尝试操作风险的保险转移。目前中国的保险市场根据商业银行几大类操作风险分别设计出了相关的保险产品,如董事和高管责任保险、职业责任险、信用卡保险、银行责任险、银行机构综合犯罪保险、信用保证保险等。但是,目前我国对操作风险的保险实践尚处于起步阶段,风险数据积累不够充分,保险精算精度较低,风险保障范围和费率厘定还处于探索阶段。因此,操作风险的保险产品为银行机构提供的保障额度还有待实践检验。
5.将操作风险因素纳入经济资本分配和绩效度量
全流程风险管理范文第5篇
随着商业银行业务的快速发展,信息系统在促进商业银行提高工作效率、提升服务水平、拓展业务范围等方面的作用越来越明显。信息系统在带来便利的同时,也带来了一定的风险。信息系统安全问题日渐成为商业银行内、外部监管的重点。研发风险是在信息系统研发阶段可能引入的,导致信息系统出现安全性问题的风险。研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,旨在保障和提高新研发信息系统的安全性。
研发风险管理工作特点
商业银行信息系统所承载的业务服务和数据都很重要,一旦受到破坏将对商业银行及其客户的利益造成严重损害。因此商业银行对信息系统的安全性、稳定性要求很高。但随着业务的快速发展,商业银行信息系统的种类和数量也在快速增加。这些信息系统需要采用不同的语言、平台和架构来实现,其关联关系和技术复杂度越来越高。同时,随着IT技术的发展和互联网开放程度的加深,新的攻击手段不断出现,安全攻防技术不断演变,且有愈演愈烈之势。因此商业银行研发风险管理工作具有管理要求高,管理难度大的特点。
为加强对商业银行的风险管理,人民银行、银监会等监管机构了一系列指引,其中包括了信息系统研发相关的合规性要求。这些要求也是监管机构进行检查的重点,如果未能在研发阶段落实,信息系统上线后仍需进行整改,将增加不必要的成本和变更风险。因此,研发风险管理工作不但应落实信息系统的安全性要求,还应将合规性要求纳入考虑范围之内。
研发风险的分类
《巴塞尔新资本协议》已将操作风险纳入资本监管,并将信息科技风险划归操作风险范畴。研发风险属于信息科技风险的组成部分,具体细分,又可以分为管理风险和技术风险。
管理类风险是指由于未做好研发风险管理相关工作,间接对信息系统安全性造成影响的风险,主要有合规性风险、管理环节缺失、管理力度不足等。合规性风险是指未落实监管部门关于研发风险的监管要求而形成的风险,例如未落实《银监会非现场监管报表》对“项目代码安全检查完成率”、“代码安全检查方法”的要求等。
技术类风险是指因各种技术原因引入的,影响信息系统安全性的风险,主要包括安全设计问题、代码漏洞。安全设计问题是指信息系统安全设计不到位,例如用户口令复杂度不足、敏感数据未加密存储等;代码漏洞是指由于开发人员疏忽或者编程语言的局限性,导致程序存在可以被黑客利用的逻辑错误,例如SQL注入、跨站脚本、缓冲区溢出等。
我国商业银行研发风险管理工作现状
我国商业银行虽然在规模、业务特性与管理模式上存在差异,但由于同处于我国经济大环境下,其信息系统研发风险管理工作面临相似的环境和挑战。目前我国银行的系统研发模式有自主研发、合作开发、外包和外购等几种。大型国有商业银行一般以自主研发为主,大中型股份制商业银行一般采用合作开发方式为主,大多数小型和地方性金融机构则主要采用外包或外购的方式。
随着我国商业银行信息化建设的不断深入,目前大多数商业银行都加强了信息科技风险管理,建立了包括组织、制度、技术等方面的信息科技风险管理体系,涵盖了基础架构、研发、测试、运维、外包、应急等各方面。在研发风险管理方面,采用了必要的管理和技术手段,加强了系统安全设计,在一定程度上满足了业务连续性需求。但是由于起步较晚和重视程度不够,研发风险管理水平整体滞后于信息科技管理水平,因安全设计不充分所引发的安全事件或整改仍不时出现,危害着商业银行的安全。因此,我国商业银行信息系统研发风险管理水平还有待进一步提高。
存在的问题和不足
研发风险管理组织不完善、流程机制不健全。研发风险管理工作的开展需要相关的组织和角色作为支撑。目前,各商业银行的整体信息科技风险管理组织较为完善,但很少能够深入到研发风险管理环节,主要表现在缺少研发风险管理的统筹部门,缺少对研发风险管理进行决策的组织机构,项目组中缺少研发风险管理角色等方面。我国商业银行信息系统研发工作大多以项目的形式进行,普遍拥有完整的项目管理流程,但流程中涉及安全和风险的内容较少,对系统安全设计、实现的审核机制不健全,难以保证在研发阶段提高信息系统安全性。
研发风险管理依据多、信息系统安全设计不规范。当前商业银行的信息系统面临着多方面的监管要求,既有行内的,也有行外的;既有监管机构的,也有业界的;既有管理要求,也有技术要求。这些要求的来源不同,侧重点不同,粗细颗粒度不同,甚至有的相互冲突,给研发人员造成一定困扰,亟待统筹规范。现有信息系统一般都有身份鉴别、访问控制等设计,能够满足基本的安全需要。但由于缺乏整体规范指导,信息系统研发过程中难以避免安全需求不完整,安全设计水平良莠不齐,安全编码不规范等问题,导致信息系统仍然可能存在安全漏洞。
安全技术不能重复利用、安全技术支持服务不足。商业银行信息系统具有一些共性的安全设计,例如身份认证、数据加密、日志审计等。在现有模式下,各个项目组缺少沟通协调,往往自行开发,造成重复开发和资源浪费,也不利于企业安全架构整合与管理。研发出安全的信息系统,必须以相应的技术手段作为支撑,但现有商业银行研发团队往往缺少这方面的支持和服务,影响了信息系统安全研发水平。
此外, 为了应对业务的发展变化,商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量的压力下,研发团队往往会不自觉地重效率轻安全,形成了安全工作人员的数量不足,开发人员的安全意识和安全技能不足等问题。
研发风险管理目标及主要依据
研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,主要目标是提升信息系统的安全性,避免安全事件发生,保证商业银行业务连续性。同时,也应关注信息系统合规性,避免系统上线后因各类检查发现问题而进行整改,减少不必要的变更。商业银行开展研发风险管理工作的最理想状态,是实现对所有信息系统研发风险的统筹管理和良性循环,实现外部监管要求、信息安全技术发展变化与信息系统研发之间的有效衔接,做到对最新安全要求的快速响应、准确解读、全程跟踪、有效落地。
为做好研发风险管理工作,有效提升信息系统的安全性、合规性,商业银行在信息系统研发过程中需遵从多方面的要求。这些要求一方面是对研发风险管理工作的指导和规范,另一方面也是开展研发风险管理工作的依据。从大的方面来说,我国关于商业银行信息安全、保密等方面的法律法规均属于研发风险管理依据范围,这些法律法规的层次较高,不适合指导具体工作开展。从执行角度来看,研发风险管理工作的依据主要有监管要求和信息安全标准,同时还应参考业界最佳实践。
监管要求。《巴塞尔新资本协议》将信息科技风险划归操作风险,而研发风险属于信息科技风险范畴。因此,当前我国商业银行遵从的信息科技风险监管要求,包括:《商业银行信息科技风险管理指引》、《商业银行内部控制指引》、《中国银行业信息科技“十二五”发展规划监管指导意见》等,通常涵盖研发风险管理相关内容,是开展研发风险管理工作的有力依据。人民银行、银监会等监管机构对商业银行开展的信息科技检查,以及商业银行接受的其他内外部科技审计、风险评估发现的问题,是从各个角度对现有监管要求的细化和解读,属于未来新建信息系统应规避的问题,也应纳入研发风险管理工作依据范围。
信息安全标准。信息系统安全问题是整个IT行业普遍关注的问题,经过业界多年探索和经验积累形成的信息安全标准,是商业银行开展信息系统研发风险管理工作的另一重要依据。目前国内外信息安全标准种类、数量较多,比较有代表性和有指导意义的包括:信息系统安全等级保护标准、ISO27001标准、CC标准、Cobit标准等。此外,我国国家密码管理部门、人民银行等部委针对各专业技术领域颁布的标准,例如《网上银行系统信息安全通用规范》、《银行卡联网联合安全规范》、国产加密算法标准等,可作为各专业领域信息系统研发风险管理的工作依据。
业界最佳实践。随着IT行业对信息系统安全问题的越来越重视,各大公司和机构纷纷进行了广泛而积极的探索,积累了许多最佳实践和解决方案,对商业银行信息系统研发风险管理工作具有一定的启发和借鉴意义。其中,微软的SDL方法关于全生命周期安全管理的理念,值得研发风险管理工作借鉴;OWASP的CLASP方法将安全融入现有项目开发流程的理念,与商业银行在现有条件下推动研发风险管理工作开展的需求相吻合;McGraw的TouchPoints方法在关键点切入安全管理的理念,对研发风险管理工作具有借鉴意义。
研发风险管理策略分析
构建研发风险管理体系、全生命周期防范研发风险。针对商业银行研发过程风险管理工作特点和现状,要想从根本上解决当前存在的问题,应统筹考虑,博采众长,从体系化的角度进行整体规划,构建符合商业银行自身实际情况的研发风险管理体系。在具体操作上,建议从组织、管理、技术三个方面入手。其中,组织方面应由专职部门牵头,设置项目安全员、安全专家等角色,分别履行评审、督导、执行等工作职责;管理方面做好管理制度、安全开发标准的制定维护,以及培训考核等整体推动工作;技术方面要采取多种手段,为项目组提供安全公共组件、安全技术平台、安全工具等技术支持和服务。信息系统安全问题是整个系统级的问题,包括物理、网络、系统、应用等很多方面。同时,安全问题也是一个连续不断地出现的问题,在信息系统研发生命周期的每一个阶段都有可能引入风险,无论是选择的工具、实现技术还是编码的质量。因此,研发风险防控工作应贯穿信息系统建设全生命周期,在信息系统研发过程中同步做好安全需求分析、安全设计、安全编码、安全测试、安全审核等工作,使研发风险管理活动与项目管理流程紧密结合,避免引入风险隐患。
做好关键阶段的安全审核、坚持定制化和个性化原则。商业银行信息系统种类多、数量多,从安全和合规的角度来看,每个信息系统均应落实研发风险管理要求,但商业银行的投入和能力毕竟有限,必须结合信息系统研发工作特点,准确把握工作重点。在信息系统研发生命周期中,需求分析阶段处于初始阶段,且与业务联系紧密,并为后续工作量估算、系统设计等工作奠定基础。做好需求分析阶段的安全评审,能够保证安全要求在后续工作中得到贯彻执行,具有特别的重要性。同时,在信息系统测试阶段,应对信息系统整体安全情况进行审核,以验证安全需求实现情况,及时修复发现的问题。通过一头一尾两个关键阶段的安全审核,有效保证新研发信息系统的安全性。
虽然研发风险管理工作的管理依据多,可参考标准多,但是现代商业银行发展迅速,信息科技发展也是日新月异,任何一个标准或指引均不能保证普遍适用,永不过时。商业银行在开展研发过程风险管理工作中,应准确把握和灵活运用各类工作依据和标准,坚持定制化和个性化原则,结合自身工作特点,制定符合自身实际情况的管理办法和技术标准。对于各类安全工具或服务,也应根据工作需要做出选择,并在实际工作中进行个性化改进,尤其是对安全工具的个性化配置维护,将成为研发风险管理工作的主要内容之一。
安全与效率兼顾、管理和技术相结合。商业银行的业务扩张和发展速度很快。为抢占市场先机,商业银行信息科技服务的变化速度也很快,且时效性要求很高。这就使得商业银行必须提高信息系统研发效率。研发风险管理工作属于提升信息系统安全性的强化工作,主要表现在增加信息系统的非功能性需求,增加研发工作量,因此可能会影响研发效率。商业银行在开展研发过程风险管理工作时,要紧紧围绕信息系统研发这个核心工作任务,坚持服务研发、防控风险的原则,妥善处理安全和效率之间的关系,找到安全和效率之间的最佳结合点,争取以最小的投入产生最大的安全效益。
研发风险管理工作的主要落脚点是加强信息系统研发全生命周期的风险管理,做好需求、设计、编码、测试等阶段风险管理工作,落实安全技术措施。因此,与传统的项目风险管理不同,研发风险管理不但重视风险管理,还重视安全技术设计和实现。这就要求在开展研发风险管理工作过程中,必须将管理和技术相结合,在提出研发风险管理要求的同时,必须为项目组提供安全技术支持和服务,指导和协助项目组解决技术难题,使研发风险管理要求得到切实贯彻执行。
