商业银行信息科技风险管理.docVIP

商业银行信息科技风险管理 　　摘 要：商业银行信息科技风险管理有两个重要目标：一是保证银行业务的稳定和连续；二是保护客户信息安全。防范信息科技风险，关键是管理要到位。商业银行可以从完善风险治理架构、健全管理制度体系、合理规划系统资源、密切监测系统运行、落实业务连续计划、推进科技队伍建设等方面入手有效防控信息科技风险。 关 键 词： 商业银行；信息科技；风险管理 中图分类号： F830.33 文献标识码：A 文章编号：1006-3544（2013）05-0031-02 一、商业银行信息科技风险 在信息技术与银行业务深度融合的今天，信息科技风险事件往往涉及范围广、客户多、金额大，在给银行造成经济损失的同时，也会带来很大的声誉损失。银监会前主席刘明康曾表示：“如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2～3天以上不能恢复，将直接危及其他银行乃至整个金融系统的稳定。”因此，可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提， 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。 根据中国银监会发布的《商业银行信息科技风险管理指引》，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中，信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性：（1）风险因素复杂，大量使用外包和新技术使得风险控制的复杂度大幅提高。（2）潜伏性、偶发性和不确定性突出。比如，通过充分风险论证的生产系统，短期内无风险隐患，而随着生产环境的压力逐步扩大， 系统的脆弱性就会逐步暴露；一个具有很高安全性的电子银行，随着病毒的不断变种，黑客技术的提高，新的安全问题就会出现。（3）信息科技风险一般不直接造成经济损失，其造成的间接损失难以计量且极可能引发声誉风险。（4）影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下，信息科技风险也趋于集中，成为惟一能使银行瞬间瘫痪的风险。 从国内的监管导向看，笔者认为信息科技风险管理有两个重要的目标：一是保证银行业务的稳定和连续；二是保护客户信息安全。如果不能实现这两个目标，则可能引发直接或间接的经济损失以及声誉风险和法律风险。 二、信息科技风险的影响因素 从前述信息科技风险管理的两个目标出发，可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分，等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据；外部人员运用技术手段侵入系统盗用客户信息；内外勾结盗用客户信息、外包服务商泄密等等。 以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型，吴博（2010）将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素，见表2。 当然，上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量，其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。 从实践来看，近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时，管理、运行维护跟不上的矛盾也日渐突出，“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明，近年来发生的信息科技风险事件中，多数事件发生都源于制度不健全、流程不完善、落实不到位，很少有纯粹技术原因引发的事件。因此，可以说管理到位是防范信息科技风险的关键。 三、信息科技风险管理措施 信息科技风险管理应贯穿于信息科技工作的全流程，涉及到信息科技风险管理的“三道防线”，需要由信息科技部门和各业务部门共同完成。具体管理措施如下： 1. 完善风险治理架构，各司其职。构建和完善信息科技风险管理的三大防线，即信息科技管理、信息科技风险管理、信息科技风险审计，从三个不同角度、不同纬度，对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段，风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中，实现风险管理的前移。 2. 健全管理制度体系，重在执行。建立、健