银行业金融机构信息科技风险监管研究_阎庆民.docVIP

银行业金融机构信息科技风险监管研究_阎庆民 【金融实务】 银行业金融机构 信息科技风险监管研究*◎阎庆民 摘要:本文全面论述了银行业信息科技风险的特点、重要性和特殊性，通过深入分析中国银行业信息科技风险管理面临的突出问题，探讨了信息科技风险与操作风险、全面风险管理之间的关系，提出将信息科技风险从操作风险中拆分并 “过程控制”为导向独立管理的观点，创新提出了以“目标”和 的信息科技风险核心监管指标构建方法，并对信息科技风险资本单独计量的方法进行了思考和设计。通过本文的研究，为不断完善银行业信息科技风险监管理论方法，进一步提高监管有效性，提供了参考意见和思路。 关键词:信息科技风险管理定位监管指标资本计量 一、引言 信息科技是银行业务运营的基础平台，也是现代银行必不 1 可少的重要基础设施。信息科技已与业务高度融合，成为我国银行业打造核心竞争力、持续发展的关键环节。随着信息科技的广泛应用，银行几乎所有的业务运营和管理活动都高度依赖 作者阎庆民系中国银行业监督管理委员会主席助理。 *本文为中国金融四十人论坛(CF40)内部课题“银行业金融机构信息科技风险监管研究”的部分成果，课题报告得到CF40立项资助并组织专家评审。 新金融评论/ChinaFinanceReview142 银行业金融机构信息科技风险监管研究 于信息系统，随之而来的信息科技风险对银行业稳健发展带来巨大挑战，资金安全、信息安全、业务中断等风险事件对银行产生全面影响，信息科技风险甚至成为唯一可能使银行业务在瞬间全部瘫痪的重要风险。因此，加强对银行业信息科技风险的研究，深入思考、探索信息科技风险管理和监管的理论、工具和方法，探讨解决当前银行业信息科技风险管理面临的突出问题，推动银行业将信息科技风险纳入全面风险管理体系，在当前具有非常重要的现实意义和前瞻价值。 二、银行业信息科技风险管理概述 近年来，在我国银行业向集约化、自动化、流程化、智能化发展的过程中，各银行对信息科技的认识逐步加深，投入 2 不断加大。信息科技已经成为银行业务日常运营的操作平台、业务创新的基础工具和管理决策的重要手段。银行信息科技发展水平及其与银行业务的融合程度，已经成为影响现代银行业务客户服务、衡量经营管理水平高低的重要因素，成为全球各大银行打造核心竞争力的关键领域。相对于信息科技建设的飞速发展，我国银行业科技信息管理方面还比较薄弱，重建设、轻管理，重眼前、轻长远的现象还普遍存在，尚缺乏对信息科技风险的全面认知和信息科技风险管理的统筹考虑。 (一)信息科技风险定义、分类及特点 1.目前业界对于信息科技风险尚缺乏统一认识，信息科技风险的定义国际上存在三种主流的定义。 (1)从逻辑角度给出抽象的定义。如国际标准组织(ISO)指出，信息科技风险是一个给定的威胁(Threat)对一项或者一组信息科技资产的脆弱点进行攻击，并对整个组织造成伤害的一种潜在的可能性，信息科技风险就是该威胁发生的可能性与其造成损失的乘积。 (2)从技术角度给出偏技术化的定义。如美国国家标准技术机构(NationalInstitute弱部位的有意或者无意的攻击，ofStandardsandTechnology及其对组织可能造成的损失。与信息科技相关的风，NIST)指出，信息科技风险是指对信息系统脆险主要是由于非授权的信息披露、验证和信息损坏， 3 无意或者故意泄露信息，以及其他人为的或者自然的因素等原因引起。1432013年第2期(总第4期) 【金融实务】 (3)从应用角度给出偏重于管理的定义。如国际信息系统审计协会(ISACA)对信息科技风险的定义:信息科技风险即组织内使用、获取、操作、参与、应用信息科技所造成的业务风险。 中国银行业监督管理委员会指出，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。从国内银行业信息科技风险管理实践来看，中国银行业监督管理委员会关于信息科技风险的表述更具体，更贴近中国银行业信息科技风险管理的实际情况。 2.业界从多种角度对信息科技风险进行了分类，信息科技风险的分类包括日常管理领域、风险来源、风险影响的对象和风险对组织的影响等。按信息科技日常管理领域可划分为开发风险、运维风险、信息安全风险、外包风险、业务持续性风险等。按信息科技风险来源可划分为自然原因导致的风险、系统风险、管理缺陷导致的风险、人员违规操作引起的操作风险四类。按信息科技风险影响的对象可划分为数据风险、运行平台风险、物理环境风险三类。按信息科技风险对组织的影响可划分为安全风险、可用性风险、绩效风险、合 4 规风险四类。 3.当前，信息科技风险的特点银行业信息科技风险特点及发展趋势主要表现为专业性强，复杂程度高，影响范围