商业银行IT风险监管-国际经验及中国借鉴.docVIP

商业银行IT风险监管:国际经验及中国借鉴信息科技和互联网技术日新月异的发展，为传统银行业带来了革命性的变化，不仅为商业银行的经营管理、产品创新和风险控制提供了新的思路、方法和工具，也成为银行在激烈的市场竞争中抢占制高点的关键要素。可以说，掌握和运用金融科技如今已经成为银行的核心竞争力。 银行IT风险的主要特点 从风险的属性来看，信息科技风险是银行操作风险的重要组成部分，具体而言，就是商业银行在运用信息科技的过程中，由于受到自然因素、人为因素、技术漏洞和管理缺陷影响而产生的风险。与其他领域的风险相比，信息科技风险具有以下主要特点： 信息科技风险具有突发性，应急处置难度大。从科技风险发生的过程来看，外界因素的突然变化往往引致风险事件的触发，如自然灾害、电子元器件故障、电力中断和网络瘫痪等。这些因素不但难以预测，而且也经常疏于防范，因此一旦发生，将立即对银行整体信息科技系统产生巨大的影响。同时，由于信息科技风险的突发性，银行在处置应急事件时也处于被动地位，需要在短时间内对风险发生的原因、路径做出分析并找到解决方法，这也给银行提出了更高的挑战。2011年3月，日本第二大银行集团瑞穗金融集团子公司瑞穗银行的电脑系统受到大地震影响，连续出现大规模故障，行长引咎辞职。 信息科技风险具有隐蔽性，日常管理难以发觉。目前，银行主要业务流程均已实现信息化，业务的开展主要依托信息平台。但是，由于应用系统的设计者对银行业务流程的不熟悉，或是对风险点的考虑不周全，往往在系统设计之初就留下了缺陷。这些缺陷往往存在于系统底层，通过日常管理和维护难以发觉，只有经过长期大规模应用后才能逐渐被发觉，体现出较强的隐蔽性。2006年，由于工商银行纸黄金交易系统存在漏洞，樊某和宋某利用2.7万元本金，在短短十天内就获利2100万元，虽然最后经法院审理撤消了相关交易，但给银行引发了巨大的声誉风险。 信息科技风险的影响范围具有广泛性，破坏性很强。在当前银行数据大集中的背景下，一旦总行核心系统和主干网络出现故障或受到攻击，将立刻传导到各分支结构引发连锁反应，造成全行性的业务停顿和与客户流失的灾难性后果。商业银行的强外部性也使得银行的风险容易外化，成为个人、企业乃至经济运行整体的风险，因此一旦信息科技系统出险，也将波及银行体系外的经济活动参与者，造成无法估量的损失。2007年12月，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行，中断营业近1个小时。 信息科技风险具有专业性强，复杂程度高。作为金融业务与信息技术结合的产物，信息科技风险不但兼具两者的专业性特点，而且由于技术交叉，又衍生出了新的特点。特别是近年来，伴随着新兴技术的快速发展，网络攻击、木马钓鱼、黑客病毒的技术水平越来越高，银行的处置的难度也越来越大，需要不断提升自身防范能力和技术水平，才阻断风险发生和蔓延的路径。2011年，荷兰合作银行受到分布式拒绝服务（DDoS）攻击，致使其网络银行和移动银行服务几乎完全瘫痪，造成客户无法登陆网银和手机银行，严重影响了该业务的正常使用。 境外银行IT风险监管的主要做法 作为操作风险的重要组成部分，对信息科技风险的监管已成为国外监管当局关注的重点之一。新巴塞尔资本协议明确提出信息科技风险是操作风险的重点，巴塞尔委员会发布的《操作风险管理和监管的良好作法》也同样适用于对信息科技风险，银行应建立业务条线管理、独立的法人操作风险管理部门和独立的评估与审查这三道防线，对信息科技风险进行全面管理。从实践经验来看，各国监管当局主要采取以下做法，加强对信息科技风险的监管： 发布监管文件、指引。美国在1999年颁布金融现代化法案，规定金融机构必须实行安全计划来保护客户个人信息，是目前众多信息科技风险监管法规和监管指引的基础。随后，美国联邦存款保险公司（FDIC）发布《信息科技检查程序》（Information Technology Examination Procedures）和《金融机构使用国外第三方服务提供商指引》（Guidance for Financial Institutions on the Use of Foreign—Based Third—Party Service Providers）等文件，为商业银行进行科技风险管理提供了指引和框架。新加坡金管局（MAS）也于2008年发布了《网上银行和科技风险管理指引》（Internet Banking and Technology Risk Management Guidelines）。 监管评级。美国联邦金融机构检查委员会（FFIEC）制定了统一技术风险评级标准（Uniform Rating System for Information Technology），用于评估金融机构和IT服