商業銀行IT風險監管：國際經驗和中國借鑒

　　信息科技和互聯網技術日新月異的發展，為傳統銀行業帶來了革命性的變化，不僅為商業銀行的經營管理、產品創新和風險控制提供了新的思路、方法和工具，也成為銀行在激烈的市場競爭中搶占制高點的關鍵要素。可以說，掌握和運用金融科技如今已經成為銀行的核心競爭力。
　　銀行IT風險的主要特點
　　從風險的屬性來看，信息科技風險是銀行操作風險的重要組成部分，具體而言，就是商業銀行在運用信息科技的過程中，由于受到自然因素、人為因素、技術漏洞和管理缺陷影響而產生的風險。與其他領域的風險相比，信息科技風險具有以下主要特點：
　　信息科技風險具有突發性，應急處置難度大。從科技風險發生的過程來看，外界因素的突然變化往往引致風險事件的觸發，如自然災害、電子元器件故障、電力中斷和網絡癱瘓等。這些因素不但難以預測，而且也經常疏于防范，因此一旦發生，將立即對銀行整體信息科技系統產生巨大的影響。同時，由于信息科技風險的突發性，銀行在處置應急事件時也處于被動地位，需要在短時間內對風險發生的原因、路徑做出分析并找到解決方法，這也給銀行提出了更高的挑戰。2011年3月，日本第二大銀行集團瑞穗金融集團子公司瑞穗銀行的電腦系統受到大地震影響，連續出現大規模故障，行長引咎辭職。
　　信息科技風險具有隱蔽性，日常管理難以發覺。目前，銀行主要業務流程均已實現信息化，業務的開展主要依托信息平臺。但是，由于應用系統的設計者對銀行業務流程的不熟悉，或是對風險點的考慮不周全，往往在系統設計之初就留下了缺陷。這些缺陷往往存在于系統底層，通過日常管理和維護難以發覺，只有經過長期大規模應用后才能逐漸被發覺，體現出較強的隱蔽性。2006年，由于工商銀行紙黃金交易系統存在漏洞，樊某和宋某利用2.7萬元本金，在短短十天內就獲利2100萬元，雖然最后經法院審理撤消了相關交易，但給銀行引發了巨大的聲譽風險。
　　信息科技風險的影響范圍具有廣泛性，破壞性很強。在當前銀行數據大集中的背景下，一旦總行核心系統和主干網絡出現故障或受到攻擊，將立刻傳導到各分支結構引發連鎖反應，造成全行性的業務停頓和與客戶流失的災難性后果。商業銀行的強外部性也使得銀行的風險容易外化，成為個人、企業乃至經濟運行整體的風險，因此一旦信息科技系統出險，也將波及銀行體系外的經濟活動參與者，造成無法估量的損失。2007年12月，招商銀行因運行中心核心網絡設備出現故障，造成業務無法正常進行，中斷營業近1個小時。
　　信息科技風險具有專業性強，復雜程度高。作為金融業務與信息技術結合的產物，信息科技風險不但兼具兩者的專業性特點，而且由于技術交叉，又衍生出了新的特點。特別是近年來，伴隨著新興技術的快速發展，網絡攻擊、木馬釣魚、黑客病毒的技術水平越來越高，銀行的處置的難度也越來越大，需要不斷提升自身防范能力和技術水平，才阻斷風險發生和蔓延的路徑。2011年，荷蘭合作銀行受到分布式拒絕服務（DDoS）攻擊，致使其網絡銀行和移動銀行服務幾乎完全癱瘓，造成客戶無法登陸網銀和手機銀行，嚴重影響了該業務的正常使用。
　　境外銀行IT風險監管的主要做法
　　作為操作風險的重要組成部分，對信息科技風險的監管已成為國外監管當局關注的重點之一。新巴塞爾資本協議明確提出信息科技風險是操作風險的重點，巴塞爾委員會發布的《操作風險管理和監管的良好作法》也同樣適用于對信息科技風險，銀行應建立業務條線管理、獨立的法人操作風險管理部門和獨立的評估與審查這三道防線，對信息科技風險進行全面管理。從實踐經驗來看，各國監管當局主要采取以下做法，加強對信息科技風險的監管：
　　發布監管文件、指引。美國在1999年頒布金融現代化法案，規定金融機構必須實行安全計劃來保護客戶個人信息，是目前眾多信息科技風險監管法規和監管指引的基礎。隨后，美國聯邦存款保險公司（FDIC）發布《信息科技檢查程序》（Information Technology Examination Procedures）和《金融機構使用國外第三方服務提供商指引》（Guidance for Financial Institutions on the Use of Foreign—Based Third—Party Service Providers）等文件，為商業銀行進行科技風險管理提供了指引和框架。新加坡金管局（MAS）也于2008年發布了《網上銀行和科技風險管理指引》（Internet Banking and Technology Risk Management Guidelines）。
　　監管評級。美國聯邦金融機構檢查委員會（FFIEC）制定了統一技術風險評級標準（Uniform Rating System for Information Technology），用于評估金融機構和IT服務提供商的技術風險，詳細了解被監管機構的信息科技風險敞口，從而采取相應的監管政策。荷蘭央行對金融機構采用FIRM（金融機構風險管理）評級，通過綜合評級將金融機構風險由低到高分為T1至T4級別，并據此規劃監管資源、安排監管計劃。
　　加強對外包服務的監管。澳大利亞審慎監管署（APRA）要求被監管機構應當對第三方服務協議和水平進行持續監測，盡職調查服務供應商的服務水平和潛在風險，關注服務協議內容對IT安全框架的影響，并建立服務報告機制。美國銀行服務公司法案（Bank Service Company Act）規定，監管機構對第三方技術服務提供商具有同等的監管權力，多家監管機構“輪流主持”，每兩年確定一個主監管機構，主導對第三方技術服務提供商的監管。
　　現場檢查。香港金管局年報披露，2011年香港金管局共實施了18項針對信息科技、網上銀行及業務操作風險的現場檢查，并計劃于2012年進行專題審查，以評估被監管機構對通過網上銀行、手機銀行及電話銀行服務進行的交易的安全管控，以及對信息科技問題及變更管理程序所實行的管控措施。
　　國內銀行IT風險監管問題
　　銀行間信息科技水平差距較大，基層銀行信息科技風險管理能力薄弱。以工商銀行為代表的大型銀行在信息科技領域進入較早，把大量的人力、物力、財力資源投向信息科技建設，因此在信息科技基礎設施、核心系統建設、系統數據集中建設等方面都取得了非常突出的成績，部分領域還走在了國際前列。但是大部分中小銀行，特別是城市商業銀行和農村金融機構等基層機構，由于受到先天不足等因素的影響，銀行信息科技建設普遍滯后，信息科技風險的防控意識還很淡漠，防控手段也十分有限。
　　董事會、高管層重視不夠，技術、業務、風險部門溝通協調不足。雖然銀行的董事會和高管層已逐漸認識到信息科技對于提高經營效率、防范經營風險的巨大作用，但是在深層次上依然把信息科技風險理解為“技術問題”，沒有把科技治理和信息科技風險防控提高到銀行發展戰略的高度上來。而技術部門、業務部門和風險部門也由于缺乏相應的協調機制，彼此有效溝通不足，因此容易形成“各說各話”的局面，對信息科技風險的認知不夠全面具體，僅僅作為低層次的“操作問題”，缺乏有效的治理架構。
　　科技軟硬件設施基礎薄弱，災備應急能力不足。受技術水平和投入資源的限制，部分國內銀行在科技軟硬件設施建設還存在許多問題，核心設備存在單點故障隱患和性能不足的問題，一旦出現故障，將直接導致核心網絡系統癱瘓。計算機機房、網絡構架、防火墻建設不達標的問題時有發生。同時，作為信息科技風范防范的重要環節，我國銀行在災備中心的建設方面還有很多缺陷，部分銀行認為災備中心建設資金投入大、周期長、運維成本高，因此僅采取初級的方法進行數據的簡單拷貝備份，無法滿足跨平臺、跨系統和業務持續的災備要求，更不具備真正的災難恢復能力。 信息科技風險專業人員缺乏，人員配置比例較低。信息科技系統的開發和應用人員除了要掌握信息系統構架和技術，更要對銀行業務十分熟悉，必須具備綜合運用的能力，而應對突發的信息科技風險，更要由具備豐富技術經驗的人員在第一時間發現問題并予以干預。我國大部分銀行的信息科技建設起步較晚，在人才培養和積累方面還很不夠，信息科技人員占銀行全部員工的比例遠不及國際平均水平，個別銀行信息科技人員兼崗現象嚴重，并無科技背景，只通過短期技術培訓，履職能力更是十分有限，無法滿足銀行系統開發維護的需求。
　　信息科技項目開發水平有限，外包服務依賴性強。信息科技項目的開發具有較強的專業性，部分銀行受制于人力資源約束，因此將大部分項目開發外包給第三方。但是，由于缺乏對外包服務供應商的準入審核，對外包服務的評估和跟蹤也沒有相應的制度安排，銀行員工往往只能掌握系統應用和簡單運維，無法自主進行系統功能拓展，應對突發事件的水平更是難以保證。對外包服務管理的欠缺和對外包服務商的過度依賴，嚴重影響了銀行的業務創新和發展，同時也為客戶資金和信息安全埋下了隱患。
　　從目前國內銀行業整體情況來看，信息科技風險的管理意識已有了較大程度的提高，核心業務系統和數據中心建設不斷完善，應急體系的建設也取得了較大的進步，提升了信息科技風險的管控能力。但是，我國銀行業科技治理的水平不高，科技管理不夠精細，業務連續能力有待進一步加強，在防控信息科技風險方面還有諸多不足。
　　加強銀行IT風險監管的建議
　　“十二五”時期是我國銀行業改革與發展的重要歷史時期，銀行業必須抓住這一有利機遇，促使信息科技在銀行業務領域的快速發展，以進一步發揮信息科技在銀行經營管理中的基礎性作用。當前，我國銀行業面臨復雜多變的國內外經濟環境，金融危機和歐債危機的震蕩影響還遠未消除，穩健可持續經營的壓力不斷增加。信息科技要承擔起對銀行業務發展與創新的支撐作用，進一步強化風險管理的使命，提升銀行經營管理的效率，不斷提高核心競爭力。與此同時，快速發展的信息技術也對銀行信息科技風險管控提出了更高的要求，給監管部門也提出了更嚴峻的挑戰。2009年，銀監會正式頒布實施《商業銀行信息科技風險管理指引》，隨后又組織編寫了《商業銀行信息科技風險現場檢查指南》、《銀行業金融機構重要信息系統投產及變更管理辦法》、《商業銀行數據中心監管指引》等配套手冊和制度，以此為據開展了一系列信息科技風險自查、檢查、整改工作。2011年10月，銀行業信息科技風險管理高層指導委員會成立，在制度建設、工作規劃、專業指導和研究等方面取得很大進展，對銀行業信息化建設和科技風險管理進行研究、指導、咨詢、建議、協調的作用逐步顯現。2012年8月，銀監會宣布設立信息科技監管部，負責銀行業信息科技監管督導和風險防范。可以說，信息科技風險監管工作正在有條不紊地推進。立足當下，著眼未來，銀行業應重點從以下幾個方面入手，加強銀行科技信息風險管理和監管。
　　將信息科技風險納入銀行全面風險管理體系。銀行要把信息科技風險管理作為常態化風險管理工作內容，加強董事會、高管層和專業委員會的科技風險管理履職能力建設，在銀行全體員工中樹立并強化科技風險安全意識，在業務全流程中時刻關注信息科技風險，建立完整的風險識別、計量和處置制度安排和流程設計。監管部門在開展非現場監管和現場檢查時，必須把信息科技風險作為關注重點，把信息科技風險防控納入銀行評級體系。
　　完善信息科技風險治理架構。銀行應按照巴塞爾委員會《操作風險管理和監管的良好作法》的要求，建立起信息科技風險管理的三道防線，特別是要加強銀行內部對信息科技風險的獨立評估審查。監管部門要定期對銀行科技治理情況進行審查，督促銀行建立職責明確、功能互補、相互監督、相互制約的信息科技風險防范的整體架構。
　　加大軟硬件基礎設施投入力度，完善災備應急能力。銀行要建立適度超前的IT基礎設施和統一平臺框架，為核心系統的持續擴展留下空間，建設高效率、低能耗的數據中心，強化系統核心安全機制建設，保障信息安全。要對信息系統的運行狀況進行全程監控，制定應急預案和業務恢復機制，并以較高標準做好數據轉移和備份工作，加強災備演練，以應對突發事件的沖擊。
　　強化對技術外包的風險管理。銀行要建立健全外包服務管理制度，加強對服務供應商的資質審核，選擇適合的服務供應商成為長期合作伙伴，以確保信息系統建設的持續性和應對突發問題的可靠性。監管部門要加強對銀行外包服務的監督檢查，指導銀行科學制定外包管理策略，合理規劃外包服務規模，加強對外包服務風險的防控。
　　努力培養科技人才，做好信息科技人才儲備。銀行要樹立“人才為本”的理念，加強信息科技人才隊伍建設，通過適當的激勵機制，吸引高端人才不斷加入。同時，要建立信息科技定期培訓機制，推動從業人員不斷更新知識體系，強化信息科技風險意識。
　　（作者單位：特華博士后科研工作站、中國銀行業監督管理委員