商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理

摘 要：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理有兩個(gè)重要目標(biāo)：一是保證銀行業(yè)務(wù)的穩(wěn)定和連續(xù)；二是保護(hù)客戶信息安全。防范信息科技風(fēng)險(xiǎn)，關(guān)鍵是管理要到位。商業(yè)銀行可以從完善風(fēng)險(xiǎn)治理架構(gòu)、健全管理制度體系、合理規(guī)劃系統(tǒng)資源、密切監(jiān)測系統(tǒng)運(yùn)行、落實(shí)業(yè)務(wù)連續(xù)計(jì)劃、推進(jìn)科技隊(duì)伍建設(shè)等方面入手有效防控信息科技風(fēng)險(xiǎn)。

關(guān) 鍵 詞： 商業(yè)銀行；信息科技；風(fēng)險(xiǎn)管理

中圖分類號(hào)： F830.33 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-3544（2013）05-0031-02

一、商業(yè)銀行信息科技風(fēng)險(xiǎn)

在信息技術(shù)與銀行業(yè)務(wù)深度融合的今天，信息科技風(fēng)險(xiǎn)事件往往涉及范圍廣、客戶多、金額大，在給銀行造成經(jīng)濟(jì)損失的同時(shí)，也會(huì)帶來很大的聲譽(yù)損失。銀監(jiān)會(huì)前主席劉明康曾表示：“如果銀行系統(tǒng)中斷1小時(shí)，將直接影響該行的基本支付業(yè)務(wù)；中斷1天，將對其聲譽(yù)造成極大傷害；中斷2～3天以上不能恢復(fù)，將直接危及其他銀行乃至整個(gè)金融系統(tǒng)的穩(wěn)定?！币虼耍梢院敛豢鋸埖卣f信息科技安全運(yùn)行和健康發(fā)展是銀行業(yè)務(wù)正常開展的重要保障和基本前提， 關(guān)乎銀行聲譽(yù)、金融安全和社會(huì)穩(wěn)定。表1顯示了近年來商業(yè)銀行發(fā)生的幾起典型信息科技風(fēng)險(xiǎn)事件。

根據(jù)中國銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，信息科技風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。在巴塞爾新資本協(xié)議體系中，信息科技風(fēng)險(xiǎn)被視為操作風(fēng)險(xiǎn)的一種。它具有區(qū)別于一般操作風(fēng)險(xiǎn)的特殊性：（1）風(fēng)險(xiǎn)因素復(fù)雜，大量使用外包和新技術(shù)使得風(fēng)險(xiǎn)控制的復(fù)雜度大幅提高。（2）潛伏性、偶發(fā)性和不確定性突出。比如，通過充分風(fēng)險(xiǎn)論證的生產(chǎn)系統(tǒng)，短期內(nèi)無風(fēng)險(xiǎn)隱患，而隨著生產(chǎn)環(huán)境的壓力逐步擴(kuò)大， 系統(tǒng)的脆弱性就會(huì)逐步暴露；一個(gè)具有很高安全性的電子銀行，隨著病毒的不斷變種，黑客技術(shù)的提高，新的安全問題就會(huì)出現(xiàn)。（3）信息科技風(fēng)險(xiǎn)一般不直接造成經(jīng)濟(jì)損失，其造成的間接損失難以計(jì)量且極可能引發(fā)聲譽(yù)風(fēng)險(xiǎn)。（4）影響范圍廣。單個(gè)信息系統(tǒng)的故障就可能影響銀行多項(xiàng)業(yè)務(wù)。 在銀行數(shù)據(jù)大集中的形勢和背景下，信息科技風(fēng)險(xiǎn)也趨于集中，成為惟一能使銀行瞬間癱瘓的風(fēng)險(xiǎn)。

從國內(nèi)的監(jiān)管導(dǎo)向看，筆者認(rèn)為信息科技風(fēng)險(xiǎn)管理有兩個(gè)重要的目標(biāo)：一是保證銀行業(yè)務(wù)的穩(wěn)定和連續(xù)；二是保護(hù)客戶信息安全。如果不能實(shí)現(xiàn)這兩個(gè)目標(biāo)，則可能引發(fā)直接或間接的經(jīng)濟(jì)損失以及聲譽(yù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。

二、信息科技風(fēng)險(xiǎn)的影響因素

從前述信息科技風(fēng)險(xiǎn)管理的兩個(gè)目標(biāo)出發(fā)，可以通過分析影響目標(biāo)實(shí)現(xiàn)的因素來了解引致信息科技風(fēng)險(xiǎn)的原因。影響銀行業(yè)務(wù)的穩(wěn)定和連續(xù)的因素主要有軟硬件故障、人員誤操作、關(guān)鍵人員離崗、系統(tǒng)超負(fù)荷運(yùn)行、網(wǎng)絡(luò)癱瘓、電力中斷、病毒傳播、應(yīng)用系統(tǒng)及版本出現(xiàn)異常、數(shù)據(jù)缺失或丟失、外包服務(wù)不到位、自然災(zāi)害或人為損壞設(shè)備、缺少業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)備基礎(chǔ)設(shè)施不健全、日常應(yīng)急演練不充分，等等。影響客戶信息安全的因素主要有內(nèi)部人員利用流程、權(quán)限漏洞盜用客戶數(shù)據(jù)；外部人員運(yùn)用技術(shù)手段侵入系統(tǒng)盜用客戶信息；內(nèi)外勾結(jié)盜用客戶信息、外包服務(wù)商泄密等等。

以上這些因素在巴塞爾新資本協(xié)議中也有相關(guān)的描述。巴塞爾新資本協(xié)議對操作風(fēng)險(xiǎn)的損失事件形態(tài)分為7個(gè)類型，吳博（2010）將其中與信息科技風(fēng)險(xiǎn)的損失事件有關(guān)的三個(gè)類型整理后大致覆蓋了引發(fā)信息科技風(fēng)險(xiǎn)的因素，見表2。

當(dāng)然，上述這些影響信息科技風(fēng)險(xiǎn)管理目標(biāo)實(shí)現(xiàn)的因素仍只是引發(fā)信息科技風(fēng)險(xiǎn)的中間變量，其本身也可被視作信息科技風(fēng)險(xiǎn)的表現(xiàn)形式。透過這些表現(xiàn)可以很容易發(fā)現(xiàn)管理不到位才是導(dǎo)致信息科技風(fēng)險(xiǎn)的最根本原因。

從實(shí)踐來看，近年來信息科技快速發(fā)展有力支持了商業(yè)銀行各項(xiàng)業(yè)務(wù)的快速擴(kuò)張。但同時(shí)，管理、運(yùn)行維護(hù)跟不上的矛盾也日漸突出，“重建設(shè)、輕管理、重開發(fā)、輕運(yùn)維”的現(xiàn)象較為普遍。有監(jiān)管部門研究表明，近年來發(fā)生的信息科技風(fēng)險(xiǎn)事件中，多數(shù)事件發(fā)生都源于制度不健全、流程不完善、落實(shí)不到位，很少有純粹技術(shù)原因引發(fā)的事件。因此，可以說管理到位是防范信息科技風(fēng)險(xiǎn)的關(guān)鍵。

三、信息科技風(fēng)險(xiǎn)管理措施

信息科技風(fēng)險(xiǎn)管理應(yīng)貫穿于信息科技工作的全流程，涉及到信息科技風(fēng)險(xiǎn)管理的“三道防線”，需要由信息科技部門和各業(yè)務(wù)部門共同完成。具體管理措施如下：

1. 完善風(fēng)險(xiǎn)治理架構(gòu)，各司其職。構(gòu)建和完善信息科技風(fēng)險(xiǎn)管理的三大防線，即信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技風(fēng)險(xiǎn)審計(jì)，從三個(gè)不同角度、不同緯度，對風(fēng)險(xiǎn)進(jìn)行立體防控。需要注意的是三大防線的安排不應(yīng)是簡單的對應(yīng)信息科技風(fēng)險(xiǎn)管理的事前、事中、事后三階段，風(fēng)險(xiǎn)管理部門、審計(jì)部門應(yīng)積極參與到業(yè)務(wù)連續(xù)性計(jì)劃制定、應(yīng)急演練、系統(tǒng)開發(fā)、外包管理等信息科技日常風(fēng)險(xiǎn)管理工作中，實(shí)現(xiàn)風(fēng)險(xiǎn)管理的前移。

2. 健全管理制度體系，重在執(zhí)行。建立、健全信息科技管理制度和業(yè)務(wù)操作流程并認(rèn)真執(zhí)行。制度建設(shè)要從新產(chǎn)品上線或新系統(tǒng)投產(chǎn)前開始，要建立完善的上線或投產(chǎn)方案以及上線或投產(chǎn)后相關(guān)的管理制度和業(yè)務(wù)流程，并制定回退機(jī)制或應(yīng)急預(yù)案以應(yīng)對意外情況。同時(shí)，要積極研究各類信息安全風(fēng)險(xiǎn)案例，總結(jié)歸納新的風(fēng)險(xiǎn)點(diǎn)，有針對性地完善制度。要建立制度執(zhí)行的監(jiān)督評(píng)價(jià)機(jī)制，商業(yè)銀行的董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層以及審計(jì)部門要切實(shí)監(jiān)督評(píng)價(jià)信息科技各項(xiàng)制度的執(zhí)行情況，對制度執(zhí)行不到位的責(zé)任人要進(jìn)行問責(zé)或處罰。

3. 合理規(guī)劃系統(tǒng)資源， 未雨綢繆。（1） 縱向規(guī)劃發(fā)展進(jìn)度。在系統(tǒng)規(guī)劃設(shè)計(jì)階段就要評(píng)估能否滿足未來較長時(shí)間的業(yè)務(wù)需求，合理安排系統(tǒng)升級(jí)、版本切換等工作。（2）橫向匹配系統(tǒng)資源。在系統(tǒng)資源短期內(nèi)不變的情況下，合理分配資源，通過系統(tǒng)分級(jí)，將資源優(yōu)先分配給等級(jí)高的系統(tǒng)以保障重要系統(tǒng)的穩(wěn)健運(yùn)行。

4. 密切監(jiān)測系統(tǒng)運(yùn)行，防患未然。通過技術(shù)平臺(tái)對信息系統(tǒng)的運(yùn)行狀況進(jìn)行全程監(jiān)控。一、二級(jí)骨干網(wǎng)是否暢通、網(wǎng)點(diǎn)終端和自助設(shè)備是否運(yùn)行正常、應(yīng)用系統(tǒng)是否正常服務(wù)、是否有異常交易、網(wǎng)絡(luò)是否遭到非法入侵等，都必須納入實(shí)時(shí)監(jiān)控范圍，以確保在第一時(shí)間發(fā)現(xiàn)問題和風(fēng)險(xiǎn)點(diǎn)，及時(shí)采取應(yīng)對措施，防患于未然。

5. 落實(shí)業(yè)務(wù)連續(xù)計(jì)劃，加強(qiáng)演練。要在全行層面建立和完善可操作性強(qiáng)、覆蓋各信息科技系統(tǒng)的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急預(yù)案，包括業(yè)務(wù)恢復(fù)機(jī)制、風(fēng)險(xiǎn)化解和轉(zhuǎn)移措施、數(shù)據(jù)備份以及應(yīng)對媒體的統(tǒng)一策略等。針對新發(fā)生的突發(fā)事件以及新發(fā)現(xiàn)的薄弱環(huán)節(jié)，要及時(shí)對預(yù)案進(jìn)行總結(jié)更新。加強(qiáng)應(yīng)急預(yù)案演練，以保障銀行在突發(fā)重大事件面前，能從容應(yīng)對，迅速恢復(fù)生產(chǎn)運(yùn)營，盡可能降低損失。

6. 推進(jìn)科技隊(duì)伍建設(shè)，提升能力。首先，要明確崗位職責(zé)，因崗定人，崗位匹配，并落實(shí)崗位制衡。其次，要完善激勵(lì)約束機(jī)制，以激發(fā)員工的主觀能動(dòng)性，并使科技隊(duì)伍保持基本穩(wěn)定。最后，要加強(qiáng)培訓(xùn)，培養(yǎng)員工風(fēng)險(xiǎn)防范意識(shí)和風(fēng)險(xiǎn)防范能力，提高員工的信息科技業(yè)務(wù)水平。

（責(zé)任編輯：李丹；校對：郄彥平）