【课题研究（深度）】《财务机器人风险与控制研究》（三）之财务机器人风险分析篇

本课题主要涉及艺赛旗课题组成员对财务机器人在核心技术、应用场景、转型机制、风险管控等方面的研究。课题内容较长，我会分系列为大家发出，今天接着上次为大家分享的《财务机器人风险与控制研究》的第二部分“财务机器人应用总结分析”内容，今天继续为大家分享第三部分——“财务机器人风险分析篇”，欢迎大家阅读。

01

左中括号

财务机器人应用风险分类分级

左中括号

1. 风险分类

前文提到, 财务机器人可以分别按部署方式、操作场景、运行方式等进行分类。而不同的 分类模式中, 财务机器人应用中所面临的风险是不同的, 对应的风险分类描述如表 1 所示。

表 1 财务机器人风险分类表

2. 常见的风险事件

基于以上财务机器人风险的类型, 结合行业应用实践, 总结常见的风险事件如下:

1) 监管合规风险

应用架构不符合监管要求; 未对财务机器人执行的情况做全程监控导致异常无法溯源; 缺少对财务机器人的复核机制; 未能及时向监管机构报送数据或报送的数据不准确等。

2) 内部管控风险

应用架构不符合企业内部信息管理要求; 财务机器人平台不符合公司软件入网要求; 财务机器人权限设置过大过小或是权限冲突。

3) 数据准确性风险

财务机器人运行环境不稳定或相关信息系统发生变更导致机器人执行异常中断; 财务机器人误操作或执行不准确。

4) 信息安全风险

财务机器人被恶意攻击; 财务机器人数据未加密存储和传输; 财务机器人的运行载体未做安全管控, 导致财务信息数据泄露; 财务机器人平台存在信息安全漏洞。

3. 风险分级

风险分级采用 LEC 原则, 根据风险点辨识确定的危害及影响程度与危害及影响事件发生可能性的乘积确定风险大小。

定量计算每一种风险类型的风险级别采用如下方法:

D =LEC

其中:D——— 代表风险值;

L——— 代表发生的可能性;

 E——— 暴露于危险环境的情况;

 C——— 发生事故产生的后果。

当用概率来表示事故发生的可能性大小 (L) 时, 绝对不可能发生的事故概率为 0 , 必然发生的事故概率为 1。从系统安全角度考虑, 绝对不发生事故是不可能的, 所以人为地将发生事故的可能性极小的分数取值 0.1 , 而必然发生的事故分数定为 10 , 介于这两种情况之间的情况指定为若干中间值。

表 2

当确定暴露于危险环境的情况时 (E) 时, 财务机器人暴露于危险环境的时间越久, 则危险性越大, 规定持续暴露在危险环境的情况定为 10 , 而非常罕见地暴露在危险环境中定位 0.5 , 介于两者之间的各种情况规定若干中间值。

表 3

关于发生事故产生的后果 (C), 由于每类风险最严重均会为企业造成不同程度的损失, 把造成企业大型的安全 / 生产事件分数定为 100 , 其他情况的数值均 1 与 100 之间。

表 4

根据风险值 D 进行风险等级划分。

表 5

02

左中括号

按部署方式进行风险分析

左中括号

财务机器人由于其部署模式不同, 面临的按照机器人的运行环境能否连接外部网络和 是否与控制台和其他机器人联动, 可分为公网单机版机器人、公网联机版机器人、内网单机版机器人以及内网联机版机器人四种类型。

表 6

由于财务机器人部署方式带来的风险中, 主要集中在机器人部署的网络位置带来的数 据泄露和恶意攻击风险。对于不同类型的财务机器人风险评级建议如下:

表 7

1. 公网单机机器人

公网部署的机器人是将机器人频繁暴露在互联网的环境中, 在互联网的机器人无法得到诸如防火墙、防病毒、网络隔离等安全手段的保护, 仅靠自身操作系统的防护, 被恶意攻  击、数据泄露的风险系数是比较高的。但是对于大部分企业来说, 在公网的需求交互业务系  统 (诸如各银行系统、人行系统) 都会配置专线进行业务交互, 因此实际还是会像在内网环境中得到保护。而真要在完全公网中交互的业务流程一  般数据价值都不会太大, 所以风险事故引发的后果并不是非常严重。

2. 公网联机机器人

在公网单机机器人的基础上, 由于存在更多的交互节点, 所以频繁暴露的可能性会

增加。

3. 内网单机机器人

依赖于企业内部的安全防护情况, 所以在保障内网安全的情况下数据泄露和恶意攻击 发生的情况还是极小的。但企业内部的数据会更有价值更敏感, 一  旦泄露将会带来较大的企业损失。

4. 内网联机机器人

依赖于企业内部的安全防护情况, 所以在保障内网安全的情况下数据泄露和恶意攻击发生的情况还是极小的。但企业内部的数据会更有价值更敏感, 一  旦泄露将会带来较大的企业损失。