我國銀行信息科技風險監管研究

張浩

摘要：信息技術和網絡技術的發展，改變了銀行機構的業務流程和管理方式，同時也給銀行帶來了技術方面和管理方面的風險——信息科技風險。本文先介紹了銀行信息科技風險的含義及特征，然后對我國銀行信息技術風險監管中存在的問題做了分析，最后針對各項問題提出了風險監管措施。

關鍵詞：銀行；信息科技風險；監管

現代金融行業在信息技術的推動下已經發生了飛躍式變化，對信息技術的依賴性也不斷提高，從業務電子化到管理信息化，從數據大集中到信息集成系統，信息技術已經滲透到銀行的各個方面，成為現代銀行正常經營的基礎，極大的提高了銀行的經營效率；信息技術與銀行業務的融合在促進了業務的發展的同時，還帶來了風險隱患，若不對其進行有效監管，則可能引發系統風險，甚至會危及整個金融經濟體系，因此，對銀行信息科技風險監管進行研究，具有重要的社會意義。

1 銀行信息科技風險分析

1.1 信息科技風險概述

銀行信息科技風險是指銀行在使用計算機、網絡等技術進行產品、服務或信息傳輸時，所產生或引發的不確定性因素。我國銀監會出臺的《商業銀行信息科技風險管理指引》中對此做了如下界定：信息科技在銀行運行過程中，由于自然因素、人為因素、技術漏洞以及管理缺陷產生的操作、法律或聲譽等風險。可見，科技信息風險不僅涉及銀行內部程序和流程，還關系到銀行的組織結構、政策以及操作風險的管理流程。

1.2 銀行信息科技風險特征分析

銀行信息科技風險兼具信息技術和銀行業務的特點，可從風險屬性和管理角度對其進行分類。

第一，從屬性方面分析，銀行信息科技風險具有技術含量高、突發性強、快速蔓延和覆蓋面廣的特點。與傳統風險相比，信息科技涉及計算機技術、網絡通信技術和安全技術，因此其技術含量較高；信息技術風險多數是由于自然災害或不可抗力造成技術設備被破壞，從而導致業務連續性風險；信息技術的任何一個環節出現故障，都會迅速蔓延，加劇風險的嚴重性；信息科技風險故障源責任無法準確確認，電信部門、電力部門或外包服務商都可能對其正常運行產生影響。

第二，從管理方面分析，信息科技風險具有歷史短、范圍廣、標準化不足、評估和計量困難的特點。信息科技在銀行業務中的應用歷史較短，因此僅被視作業務處理技術手段，而未上升到戰略決策的高度；信息科技與銀行業務層、操作層、管理層和決策層有不同程度的關聯，增大了管理范圍；信息科技的硬件、軟件、網絡等沒有形成標準化，不同銀行的實現方式不同，增大了管理難度；信息科技風險引發的財產損失無法衡量，而與之相關的法律風險、戰略風險更是難以進行評估和計量。

可見，銀行信息科技風險具有自身特點，若不對其進行嚴格的防范和管理，將嚴重影響銀行企業的運行，甚至對國家的經濟穩定產生威脅，因此，加強銀行信息科技風險的監督管理意義重大。

2 我國銀行信息科技風險監管存在的問題

2.1 監管法規和政策方面

首先，銀監會出臺的一系列政策并不含國際監管準則的基本要素，僅對監管目標進行了籠統的概述，還沒有建立明確的監管程序和監管要求，這些要素的缺失，降低了監管的可操作性。其次，目前的信息技術風險監管多是發布風險提示，如針對“網銀安全問題”發布的“網上銀行安全風險提示”，這種做法存在的主要弊端是銀行和監管人員不清楚違反要求操作，會給業務帶來哪些不利影響，因此降低了監管的有效性。最后，信息科技風險監管法律法規的框架已經具備，但建立的不同法規之間會存在重復或遺漏問題，對科技信息重點問題缺乏監管和指引，需要進一步的協調和完善。

2.2 監管手段和方法

目前，我國銀行還未建立有效的信息科技風險評估方法和評價體系。傳統風險可用特定方法進行度量，但科技信息風險具有極強的不確定性，且造成的損失存在隱蔽性，難以估量，因此還沒有建立比較完善的評價體系。風險評估手段的缺失，導致銀行部門無法利用傳統的方法對信息科技風險進行抵御和防范；在非現場監管方面，無法有進一步的作為，只能對科技投入進行監測，無法對由于內部操作引起的損失進行全面掌握，監管處于事后應對的被動階段。信息科技風險監管不僅缺乏量化指標，還缺少有效的評價體系，難以對銀行信息科技風險形成較為全面的理解，監管處于割裂、無序的狀態。

2.3 監管人力資源

我國銀行信息科技風險監管人員配備上存在很大不足，據統計，全國銀監會系統內專職從事信息科技風險監管工作的專業人員僅為總數的0.4%左右，與國外發達國家相比，存在很大差距；從人員素質方面上看，我國銀行信息科技風險監管人員多為計算機專業，對銀行業務了解不多，因此只能承擔著本單位內部系統維護的職能；銀行信息科技風險監管是需要懂技術、懂業務的復合型人才，否則難以發現信息科技系統內存在的風險隱患。

3 加強我國銀行信息科技風險監管的對策研究

3.1 完善銀行信息科技風險監管機制

3.1.1 健全銀行信息科技風險監管的法律法規體系

監管機構應積極學習國外銀行的先進理念，結合我國國情制定完善的法律法規體系。為有效應對我國銀行機構在信息科技方面治理缺失、重視不夠、規劃不足和管理不到位等原因，帶來的系統性風險不斷增大等問題，將風險管理關口前移，監管機構應在機構、業務和信息準入方面加大管理力度，將信息科技準入納入相關的行政許可法規中，確保銀行在金融機構設立、業務開辦與系統運行之前就能符合業務發展的需要，為業務的正常運行提供安全的環境；要制定銀行信息科技風險治理意見，從組織結構、戰略規劃、運行機制、激勵約束等方面明確監管要求，指導銀行建立完善的風險管理組織結構。制定銀行信息安全管理規范，組織銀行金融機構總結經驗，明確目標，制定符合我國銀行發展實際的信息安全管理規范，從安全策略、管理體系、技術要求、風險評價與監督四個方面形成完善的信息安全管理體系。

3.1.2 增加信息科技風險監管資本投入力度

信息科技與銀行業務高度融合，這就要求我們不僅要從科技角度對其風險進行識別、評估和處理，還應將信息科技與監管資本密切聯系。首先，將信息科技風險納入銀行機構全面風險管理框架中，使信息科技風險得到量化評估；其次，建立信息科技風險監管協作機制，將風險專業評估結果納入風險評估報告中，在機構、高管和業務準入及退出環節增加信息科技條件，防止信息科技風險防控不達標的機構、高級管理人員和有關業務進入；最后，將信息科技風險與監管資本結合，提高機構對信息科技管理及風險防控的重視力度。

3.1.3 完善信息科技風險評估體系

信息科技風險評估的有效開展是以非現場監管為基礎的，建立一套科學、合理的監管風險體系可為監管人員的業務開展提供便利，促使其準確識別、監測、評估和分析信息科技風險，并為風險預警、監管評級、分類管理和持續改善提供參考和依據。我國科技信息風險監管處于起步階段，要盡快積累歷史數據，對其進行分析，然后根據不同機構的特點制定一套標準模型分值和權重，使其在實際應用過程中不斷完善和修正；充分發揮信息監管人員的積極性，鼓勵他們不斷學習，提高自身的學習的積極性；學習國內外企業的先進監管經驗，吸收和借鑒最新的實踐成果，對現有的評價體系進行調整和補充。

3.2 提升信息科技風險監管科技水平

銀行機構應建立信息技術實驗室，為監管人員模擬銀行業務操作，近距離了解信息科技風險提供條件。信息技術實驗室主要職能有：信息科技風險培訓，實驗室可由兩部分組成，其中一部分為小型的數據中心，配備網絡、服務器等設備，同時安裝銀行業務模擬系統，供監管人員了解二維碼、云計算、家庭銀行、在線測試技術的發展情況，保障監管機構在技術風險管理領域處于領先地位。

3.3 強化信息科技風險監管隊伍建設

信息科技風險監管專業性強、進入門檻高，是否具備足夠的高素質專業人才是決定監管有效性的重要因素。我國銀行業信息科技風險監管人才匱乏，應大力加強人才隊伍的建設。建立學習型團隊，將監管人員從大量、繁雜的技術維護工作中解放出來，使其能夠繼續學習專業技能；進一步加強合作交流，可派技術骨干前往其他機構學習考察，學習先進的管理經驗和預防技巧；通過交流，分享經驗，探討形勢及其應對策略；鼓勵業務監管人員掌握信息科技監管知識，增加信息科技風險監管人員的來源途徑，減輕人力資源緊張問題。

4 結束語

綜上所述，信息技術、網絡技術和通信技術與銀行業務的融合，一定程度上促進了銀行業務的拓展，方便了人們的消費，提高了銀行工作效率；同時我們也應該意識到，信息技術的應用也會給銀行業務造成威脅，應從監管體系、資本投入以及人才培養三個方面采取措施，降低信息科技風險帶來的損失，提升我國銀行應對信息科技風險的能力，保障我國金融行業的穩定發展。

參考文獻：

[1]孫一飛.商業銀行信息科技風險管理研究[D].上海交通大學，2013.

[2]潘勇，邢燕.論我國網上銀行的監管及其完善[J].河南省政法管理干部學院學報，2010（05）.

[3]王海潁.銀行信息科技風險現狀研究與對策建議[J].時代金融，2015（21）.

[4]張曉丹.商業銀行信息科技風險管理理論分析與實踐[J].中國金融電腦，2013（12）.