银行业金融机构信息科技风险监管研究_阎庆民

【金融实务】新金融评论/ChinaFinanceReview◎阎庆民一、引言信息科技是银行业务运营的基础平台，也是现代银行必不可少的重要基础设施。信息科技已与业务高度融合，成为我国银行业打造核心竞争力、持续发展的关键环节。随着信息科技的广泛应用，银行几乎所有的业务运营和管理活动都高度依赖摘要：本文全面论述了银行业信息科技风险的特点、重要性和特殊性，通过深入分析中国银行业信息科技风险管理面临的突出问题，探讨了信息科技风险与操作风险、全面风险管理之间的关系，提出将信息科技风险从操作风险中拆分并独立管理的观点，创新提出了以“目标”和“过程控制”为导向的信息科技风险核心监管指标构建方法，并对信息科技风险资本单独计量的方法进行了思考和设计。通过本文的研究，为不断完善银行业信息科技风险监管理论方法，进一步提高监管有效性，提供了参考意见和思路。关键词：信息科技风险管理定位监管指标资本计量作者阎庆民系中国银行业监督管理委员会主席助理。*本文为中国金融四十人论坛（CF40）内部课题“银行业金融机构信息科技风险监管研究”的部分成果，课题报告得到CF40立项资助并组织专家评审。银行业金融机构信息科技风险监管研究*142银行业金融机构信息科技风险监管研究2013年第2期（总第4期）于信息系统，随之而来的信息科技风险对银行业稳健发展带来巨大挑战，资金安全、信息安全、业务中断等风险事件对银行产生全面影响，信息科技风险甚至成为唯一可能使银行业务在瞬间全部瘫痪的重要风险。因此，加强对银行业信息科技风险的研究，深入思考、探索信息科技风险管理和监管的理论、工具和方法，探讨解决当前银行业信息科技风险管理面临的突出问题，推动银行业将信息科技风险纳入全面风险管理体系，在当前具有非常重要的现实意义和前瞻价值。二、银行业信息科技风险管理概述近年来，在我国银行业向集约化、自动化、流程化、智能化发展的过程中，各银行对信息科技的认识逐步加深，投入不断加大。信息科技已经成为银行业务日常运营的操作平台、业务创新的基础工具和管理决策的重要手段。银行信息科技发展水平及其与银行业务的融合程度，已经成为影响现代银行业务客户服务、衡量经营管理水平高低的重要因素，成为全球各大银行打造核心竞争力的关键领域。相对于信息科技建设的飞速发展，我国银行业科技信息管理方面还比较薄弱，重建设、轻管理，重眼前、轻长远的现象还普遍存在，尚缺乏对信息科技风险的全面认知和信息科技风险管理的统筹考虑。（一）信息科技风险定义、分类及特点1.信息科技风险的定义目前业界对于信息科技风险尚缺乏统一认识，国际上存在三种主流的定义。（1）从逻辑角度给出抽象的定义。如国际标准组织（ISO）指出，信息科技风险是一个给定的威胁（Threat）对一项或者一组信息科技资产的脆弱点进行攻击，并对整个组织造成伤害的一种潜在的可能性，信息科技风险就是该威胁发生的可能性与其造成损失的乘积。（2）从技术角度给出偏技术化的定义。如美国国家标准技术机构（NationalInstituteofStandardsandTechnology，NIST）指出，信息科技风险是指对信息系统脆弱部位的有意或者无意的攻击，及其对组织可能造成的损失。与信息科技相关的风险主要是由于非授权的信息披露、验证和信息损坏，无意或者故意泄露信息，以及其他人为的或者自然的因素等原因引起。143【金融实务】新金融评论/ChinaFinanceReview（3）从应用角度给出偏重于管理的定义。如国际信息系统审计协会（ISACA）对信息科技风险的定义：信息科技风险即组织内使用、获取、操作、参与、应用信息科技所造成的业务风险。中国银行业监督管理委员会指出，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。从国内银行业信息科技风险管理实践来看，中国银行业监督管理委员会关于信息科技风险的表述更具体，更贴近中国银行业信息科技风险管理的实际情况。2.信息科技风险的分类业界从多种角度对信息科技风险进行了分类，包括日常管理领域、风险来源、风险影响的对象和风险对组织的影响等。按信息科技日常管理领域可划分为开发风险、运维风险、信息安全风险、外包风险、业务持续性风险等。按信息科技风险来源可划分为自然原因导致的风险、系统风险、管理缺陷导致的风险、人员违规操作引起的操作风险四类。按信息科技风险影响的对象可划分为数据风险、运行平台风险、物理环境风险三类。按信息科技风险对组织的影响可划分为安全风险、可用性风险、绩效风险、合规风险四类。3.信息科技风险的特点当前，银行业信息科技风险特点及发展趋势主要表现为专业性强，复杂程度高，影响范围广，破坏性加强，突发性和隐蔽性强，应急处置难度增大，同时，新技术运用产生了新的风险。银行业信息科技特点及其风险管理的重要性主要体现在：银行业务高度依赖信息科技，系统环境日益复杂，业务与信息科技不断融合，外部性特点显著，信息科技对银行业运行和金融稳定有着特殊的重要性，信息科技风险不仅关系银行业务经营，关系消费者资金安全，更关系国家金融安全与社会稳定。银行业信息科技风险管理的特殊性主要体现在：风险因素复杂，不确定性突出，损失难以计量，影响范围广，风险外延性广，风险层级多。如何更好地实现对信息科技风险的管理，需要一个契合信息科技风险基本特征的框架，在该框架下，信息科技风险的特殊性都能够被有效考虑，并能持续优化。（二）银行业信息科技风险管理发展现状银行业经过多年的探索实践，信息科技风险管理框架、技术保障体系建设、业务144银行业金融机构信息科技风险监管研究2013年第2期（总第4期）连续性管理、外包管理都取得明显的进步，生产系统稳定性不断增强。主要体现在：1.初步建立信息科技风险管理体系。我国大型银行业金融机构正在逐步完善信息科技风险管理制度、建立健全信息科技管理组织体系和信息科技风险管理体系，并将信息科技风险管理纳入银行总体风险管理框架。个别银行已开始探索科学化、体系化的信息科技风险识别、监测和处置方法。2.信息安全技术保障日趋完善。银行业金融机构已制定了信息安全架构和等级化保护标准，明确分级保护策略及等级保护管理流程，细化物理、系统、网络、应用及数据的安全技术措施，完善信息系统需求、设计、开发、测试等环节的安全评估机制，建立了等级化的信息安全技术纵深保障体系。3.信息系统稳定性不断增强。我国银行业金融机构高度注重基础设施投入，加强信息系统开发管控、系统测试管理、系统运维标准建设和生产安全管理，信息系统生产运行的稳定性不断提升，领先银行的信息系统可用性总体保持在99.9%以上。4.逐步重视业务连续性管理。大多数银行业金融机构已意识到信息系统运行的稳定性对日常业务运营和管理的影响，开始着手建设并完善业务连续性管理和外包管理，包括制定全行范围的业务持续性计划，建立供应商准入、服务过程管理及退出机制，业务持续性和外包管理能力不断增强。另一方面，大型商业银行已推进“两地三中心”建设，业务应急与技术应急协调能力不断增强，银行业与电力、公安等部门协调机制不断强化，突发事件应急能力不断提升。（三）我国银行业信息科技风险管理存在的不足1.对信息科技风险认识尚不到位。银行业金融机构仍然存在重信息科技建设、轻信息科技风险管理；重信息系统开发、轻信息系统运行；重眼前业务发展、轻长期科技发展规划等问题，缺乏对信息科技风险的持续关注和统筹安排。2.信息科技管理框架的风险导向仍显不足。信息科技风险防范重要性日益凸显，我国部分银行已在内部初步建立了规范化的信息科技开发和运维体系以规避风险，但是能够基于以风险为导向的理念开展信息科技风险管理工作的银行较少，缺乏明确的风险偏好与风险容忍度，尚未建立体系化的涵盖风险识别、评估、应对、监测、计量等的风险管理框架。造成上述现状的原因是多方面的，但缺乏能够与银行业特点密切结合的风险管理理论和框架是其重要原因之一。国际上虽然有信息科技风险管理的相关理论，但多为通用的方法论而并非针对银行业，因此还不能够直接被国内145【金融实务】新金融评论/ChinaFinanceReview银行采用以构建有效的银行业信息科技风险管理体系。3.信息科技风险管理机制仍不完善。我国银行业信息科技风险管理机制仍不完善，存在信息科技风险汇报路线和决策机制不明确，专业从事信息科技风险管理的人员不足等问题。少数银行即使已经建立起信息科技风险管理的专门组织机构，但信息科技风险管理制度和流程的完整性亦存在不足，缺乏清晰的人员岗位角色、有效的汇报和沟通机制等。4.缺乏有效的信息科技风险管理工具。现有信息科技风险管理理论阐述了信息科技风险的控制和应对，但其往往侧重于提供一套行业通用的方法论和工具，并未对银行业信息科技风险特点，如风险资本计量的方式进行探讨和研究。而银行全面风险管理理论对控制信息科技风险的具体方法手段阐述较少。因此，制定一套既适用于银行业，又能够兼顾信息科技风险管理和风险计量要求的信息科技风险管理框架体系十分必要。三、银行业信息科技风险与操作风险及全面风险管理的关系银行业对风险的认识是伴随银行业市场的发展而发展的，巴塞尔委员会出台银行业风险的各项监管协议过程大致反映了这一发展历程。在银行业，主要类型的风险管理发展先后次序为信用风险、市场风险、操作风险，风险管理逐渐由单一的信用风险向信用风险、市场风险、操作风险以及全面风险管理转变。在巴塞尔新资本协议关注的信用风险、市场风险、操作风险三大风险中，信息科技风险仅仅被默认为操作风险的一部分，巴塞尔委员会并未对信息科技风险的管理进行特别关注，或提出任何具体要求。鉴于巴塞尔新资本协议对银行业的深远影响，银行业对风险的统一认识和管理理论目前还未体现出对日益突出的信息科技风险的特别考虑，从信息科技风险管理的重要性和特殊性出发，这已引起了多个银行业监管机构和银行的注意和重视，许多银行从汇报路线、管理框架等多方面为信息科技风险设置了专门的管理体系，以弥补新资本协议框架对信息科技风险考虑不足的问题。（一）信息科技风险与其他操作风险的比较1.信息科技风险与其他操作风险的差异146银行业金融机构信息科技风险监管研究2013年第2期（总第4期）信息科技风险与操作风险当前处在不同的发展阶段，其管理理论、管理方法等方面有着一定的差异性，具体体现在：（1）管理体系操作风险的管理方法在新资本协议提出后得到不断的完善和发展，其管理流程包括风险识别、风险评估和量化、风险管理和风险转移、风险监测和风险报告五个环节。它依托于KRI（关键风险指标体系）、RCSA（风险与控制自评估）和损失数据库三大管理工具，使用风险控制自评估工具进行风险的识别与评估，使用关键风险指标对风险水平进行持续监测和预警，使用损失数据对风险损失持续地跟踪、分析，并结合这些工具的输出结果进行风险计量。操作风险管理通常依赖各业务条线内部管理，管理的具体标准和方法随着业务流程的特点不同而不同，还未形成每类业务普适性的标准化管理和控制规范。信息科技风险管理的理论和方法论历史相对久远，经历了技术导向的信息安全管理方法、控制导向的内部控制方法等发展阶段，在最近几年，特别是COSO框架提出以后，开始进入风险导向的信息科技风险管理阶段。其中，技术导向和控制导向的风险管理体系，以及以风险为导向的识别、评估和应对的风险管理体系均相对比较成熟，但是在风险的监测、计量方面尚不成熟，缺乏独立的信息科技风险监测和计量的理论、方法和工具支持。（2）管理方法操作风险管理方法通常是从银行的业务运营和管理角度梳理与流程、人员和系统相关的风险，在具体执行中通常是将银行按照八大业务条线进行分解，分析各业务条线在每一个流程环节上面临的操作风险以及现有的风险管理措施，并找出存在风险管控缺陷和不足的领域，进而确定应该采取的管理措施及其先后顺序。信息科技风险管理同样关注业务流程中的信息科技风险，也会在业务流程梳理的过程中识别与信息科技相关的风险点和控制点，评估风险的级别以及控制的有效性。但是，信息科技风险的特殊性在于除了需关注上述业务经营和管理的流程风险外，信息科技治理层面以及具体信息技术层面的风