银行信息科技风险现状研究与对策建议

作者
作者

【摘要】本文通过对银行信息科技风险特点以及国外管理经验的研究,分析我国商业银行在信息科技风险管理方面的现状,总结出在信息科技治理、信息安全、业务连续性和业务外包管理等方面存在的重点问题。通过分析目前我国银行业信息科技风险管理相对薄弱的原因,从信息科技风险治理、信息系统风险控制机制、加强运维和提升国产信息化产品应用等方面,提出增强我国银行信息科技风险管理能力的对策与建议。

【关键词】商业银行 风险管理 信息科技

随着信息化社会的发展和技术快速进步,信息科技对银行的价值将进一步凸显,银行对信息科技的依赖度将持续加强,并与业务深度融合,对银行业战略发展产生更加深远的影响。信息科技系统作为银行的基础设施,不断对商业银行产生全局性影响,并成为重要的操作风险之一。目前,在我国商业银行的日常管理方面,信息科技风险仍没有完全融入到银行全面风险管理之中。

一、银行信息科技风险的业界标准

陈阳、程建华等学者在各自研究中,将风险的特征概括为:客观性、突发性、多变性、相对性、无形性。Ernie 和 Luke 将信息科技风险定义为对业务造成负面影响的 IT 失效,将 IT 风险分为 IT 战略与新技术风险、IT 资产风险、IT 基础设施风险、IT 应用风险、IT 系统交付风险、IT 服务连续性风险和 IT 服务外包风险等七类。Westman 和 Richard 认为应该从 IT 基础设施、风险治理流程、风险意识文化三个方面对企业信息科技进行管理,才能帮助企业实现战略目标。美国 COSO(Committee of Sponsoring Organizations)认为信息化是企业活动的重要行为,对信息科技风险管理应从识别、评估与计量、监测与控制的管理过程等方面着手,减小信息科技风险对企业目标带来负面影响的可能性。

国际监管方面,新《巴塞尔资本协议》对信息科技风险完善了定义,同时对银行风险分类和定义进行重新修订,并在银行全面风险管理框架的操作风险中重点加入了信息科技风险。国内监管方面,近几年中国银监会先后制定印发了《商业银行信息科技风险管理指引》、《银行、证券跨行业信息系统突发事件应急处置工作指引》、《银行业重要信息系统突发事件应急管理规范》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》等指引和规范性文件。从以上规范中可以看出监管部门对信息科技风险的日益重视,并有将信息科技风险从操作风险中独立出来并单独计量其风险资本的趋势。同时,在针对重要信息系统和突发事件管理方面,给出了具体的指导性意见。

表 1 巴塞尔委员会对电子银行的风险分类

在分类方面,在巴塞尔委员会的《电子银行风险管理原则》中,对电子银行中与技术相关的风险分为以下几类:操作风险、信用风险、流动性风险、声誉风险和法律风险等,如表 1 所示。从内部和外部风险的视角看,银行信息科技的风险如表 2 所示。

表 2 银行信息科技风险的内外部分类

二、国外银行信息科技风险管控状况

英国作为欧洲金融业的核心国家,其对银行信息科技风险控制最为严格。无论是监管机构还是银行自身,都对防控信息科技风险有针对性的标准和制度。具体分为以下几方面:一是制定有效可行的风险管理制度,将现有制度与行业标准进行比较以确保有效,同时对比现有工作流程以确保实施的可行性,并制定更新机制以保证可以循环改进,这些被文档化的制度都与业务需求保持一致并不断测试;二是在系统设计阶段,引入自动化和标准化的设计流程,最大限度减少人工参与性来降低复杂性和主观性,以确保后期的系统可维护性;三是设置风险控制的专职部门,提高管理效率,制定风控制度,设立专职审查人员确保制度的实施;四是对信息安全的加大投入,通过对数据的机密性、可用性,可获取性和可记录性进行严格控制,来确保银行信息系统的可用性和敏感信息不外泄;五是对意外事故的快速响应和后续处理方面,制定相应的应急解决方案和快速处理流程,并对意外事件发生做详细记录和分析报告,制定防范机制来尽量减小后续发生的可能性。

美国的 IT 风险监管机构在建立信息系统评级体系方面起步较早,其信息科技监管评级体系 URSIT(Uniform Rating System for Information Technology)要求银行每年进行一次评级,从管理、获取与部署、交付与部署和审计等方面来评价信息科技对银行整体风险及经营状况的影响,其中包括对银行信息化的规划与组织、网络管理、平台架构、业务解决方案以及群组软件等环节做出的评价。2002 年美国颁布了《联邦信息安全管理法案》(FISMA),为有效实现目标,FISMA 指定美国国家标准与技术研究所(NIST)开发和发布相关的标准、指导方针以及其他出版物,帮助联邦机构实现联邦信息安全管理法案,以保护其信息和信息系统。作为 FISMA 第一阶段的成果,NIST 提供了一套有效的信息安全保障框架和机制,提供了保护信息和信息系统的有效方法和手段,这套信息安全标准体系,对美国金融机构设计和实现有效的信息安全项目具有十分重要的意义。

三、国内银行信息科技风险现状与问题

现阶段我国商业银行已经基本完成了信息化建设,随着网上银行、手机银行等在商业银行的普遍使用,信息科技为银行创造了越来越多的利润,已经逐渐成为商业银行核心竞争力的重要支撑,可以说银行的信息化水平直接影响其经营实力。但是,信息科技作为一把双刃剑也给商业银行带来了相应的负面影响,导致银行业务的被迫中断,并最终致使银行受到资金、财产、声誉等损失,严重的会导致银行的破产。然而,信息科技风险对银行整体风险及经营状况的影响,银行管理层和监管人员难以准确把握,信息科技风险的管控对我国银行业来说是一个新的挑战。一方面,相对与信用风险和市场风险等银行常规风险而言,信息科技风险难以预测,风险源涉及广泛而造成风险事件不断发生、难以预测,而目前业界仍然缺少成熟有效的管理理论和风险预测模型;另一方面,信息科技风险涉及到的标准规范种类众多,无论是国内外银行业监管部门还是国际信息安全标准化组织,目前还没有一个一致认可的计量和评估标准,增加了监管部门和银行管理者在执行层面的操作难度。如何更好地检测信息科技风险,保证安全生产运营,成为银行的一大难题。

2009 年我国银监会颁布了《商业银行信息科技风险管理指引》,对照该指引中所划分的风险类别,我国商业银行在信息科技治理、信息安全管理、业务连续性运作和外部管理等方面,目前出现的问题较多,针对这些问题做出具体分析如下。

(一)信息科技治理有待提高

部分国内商业银行信息科技风险管理人员配置不足,人员兼岗现象较为普遍,信息科技风险检查人员同时兼任管理和审查岗,工作质量难以保证,日常管理工作落实不到位,信息科技风险损失数据收集较少。

(二)信息安全管理不足

网银系统与客户使用的终端和会经常受到非法攻击(如钓鱼网站、木马、黑客攻击等),由此引发安全事故带来的客户损失常有报道。另外,在国内银行硬件投入充足的情况下,软件和专业人才培养方面有待提高。在自主可控方面,国内银行目前存在严重依赖「IOE」相关产品,银行信息系统整体上存在安全隐患。

(三)缺乏业务连续性运作

从 911 恐怖袭击、汶川地震等突发性灾难事件的发生可以看出,对于突发事件而言,业务连续性管理可以最大限度的避免损失。目前很多银行尚未建立相关各部门协调联动的业务连续性运行机制,灾备中心的建设停留在科技人员的技术层面较多,而切换演练实施较少,应急预案更新不够,难以保证灾难备份中心的有效性。

(四)外包业务管理问题较多

目前我国银行信息系统的大量硬件产品和软件开发需要外包,过于依赖外包服务会造成核心技术受制于人,产品服务维护和更新难,产权不明晰等问题,导致出现的安全隐患包括:紧急情况发生时业务中断,维护服务不及时;没有将服务质量以及服务时效等约束签订在服务协议中;对外包人员管理困难,人员更换或离职无法提前预知,造成出现情况时无法第一时间解决;对签订的保密条款缺乏定期审核与评估机制;对第三方使用的设备缺乏有效的监督和管理制度。

四、对策与建议

针对以上国内商业银行信息科技风险的主要问题,银行管理层除了满足对信息安全技术层面的要求,在风险管理和控制方面还应注重以下几点。

(一)将信息科技风险治理纳入制度化管理轨道

风险管理系统能否贯彻执行,必须得到银行高层管理者足够高的重视,在投资巨大、更新速度快、安全风险高且与客户关系密切的 IT 领域,更需要正确的决策和完善的日常管理。因此,在治理层面,应参照 COBIT 等国际先进信息科技治理标准,建立起符合我国商业银行现状和特点的信息科技治理架构。制度层面,应以我国《商业银行信息科技风险管理指引》为依据,加快推进信息科技风险治理方面的建设,为信息科技风险管理提供领导负责、组织合理、资金支持的制度保障。同时,加强信息科技风险度量和风险数据的收集,建立全面的信息科技风险评估体系。

(二)实施银行信息系统风险控制机制

应用风险控制模型,从物理环境安全、访问控制、系统开发和维护、信息安全事件和业务联系性管理等方面,进行全面的信息安全建设,风险控制机制主要通过以下几个模块进行实施。

1.系统建设风险控制:审阅系统建设计划和阶段状况报告;审阅系统建设风险控制机制;审阅系统建设范围、实施方式变更和里程碑日期延期。

2.系统数据完备性:审阅数据对账检查方法和技术工具;基于业务流程风险控制,分析数据对账检查原则;运用审计工具进行样本数据测试。

3.系统/数据接口:审阅系统/数据接口技术问题和业务问题;审阅测试系统/数据接口的流程;审阅数据转移完备性控制功能;审阅数据迁移测试和审核流程。

4.数据迁移:审阅数据迁移技术问题和业务问题和对业务运行影响;审阅数据迁移方式、数据清理计划以及数据匹配技术和流程;审阅数据迁移异常情况处理流程。

5.业务流程风险和控制:审阅业务流程和控制;评估业务流程风险并确认高风险领域;评估 IT 控制有效性;确认控制缺陷并按风险及影响度排序。

6.系统功能实现:审阅系统对银行商业目标和商业战略的支撑;审阅商业需求管理和审核流程;审阅预算和费用管理和审核流程。

(三)加强业务连续性运作,保障日常运维

着眼于提升银行信息系统抗风险能力,进一步优化生产运行流程,建设生产中心的同城热备中心,分阶段启动异地灾备中心的工程建设。同时,成立固定的灾难恢复应急演练组织,制定灾难恢复和应急演练的实施步骤,制定全面可行的灾难恢复方案。

在运维保障方面,对设备巡检工作进行定期抽查,及时消除各项隐患。同时,严格落实各级机房工作制度,确保银行信息基础设施平稳安全运行,确保各级机构避免发生由于管理工作不到位而引发的严重安全事件。加强系统升级的风险管理、重要信息系统的容量管理以及电源、环境设备的应急管理等。

(四)全面推进国产信息技术在银行业的应用

目前我国已有一些大的互联网公司实现去「IOE」化,对银行等金融企业具有很好的示范作用。当然,由于银行信息系统的特殊性和重要程度,在国产化方面应该采取严格检验、分步实施的策略,逐步使用已得到验证的国产设备和软件来减少对国外技术服务的依赖。对国内大中型商业银行而言,应自主开发研制具有完全知识产权的核心业务系统,以降低对国外产品的依赖性风险。同时,力争建立符合我国自身特点的金融行业信息技术标准与规范,进而形成与之适应的银行信息科技风险管理体系和制度,为我国金融行业的快速健康发展保驾护航。

参考文献

[1]陈阳.产品创新项目风险评估方法及应用研究[D].长沙:国防科学技术大学,2007.

[2]程建华.信息安全风险管理、评估与控制研究[D].长春:吉林大学,2008:17-18.

[3]Ernie Jordan,Luke Silcock.汤大马译.IT 风险:基于 IT 治理的风险管理之道[M].北京:清华大学出版社,2006.

[4]Westman George,Richard Hunter.IT Risk: Turning Business Threats into Competitive Advantage[M].Harvard Business School Press,2007.

[5]COSO.方红星,王宏译.企业风险管理——整合框架[M].大连:东北财经大学出版社,2005.

[6]中国银监会.《商业银行信息科技风险管理指引》全文[Z]. http://www.cbrc.gov.cn/chinese/home/docDOC_ReadView/200906 01FC296F80D3957B65FFFA9EDA836D7300.html,2009.12.1.

项目基金:中国博士后科学基金第五十七批面上资助(资助编号 2015M571164)。

作者简介:王海颍(1977-),男,汉族,辽宁大连人,北京大学经济学院博士后,高级工程师,供职于中国民生银行,研究方向:风险管理、信息科技治理等。


作者 王海颍