银行业信息技术风险的监管

信息技术的运用也使金融风险的不确定因素增多，引发技术风险、财务风险、操作风险和安全风险等。尤其是信息技术风险，可能导致银行经营不稳定，并最终致使银行资金、财产、信誉遭受损失。

随着信息技术在银行业应用的深入，其对银行业的发展从“技术支持”转向“技术驱动”，逐渐成为提升银行核心竞争力的关键要素。但信息技术的运用也带来一些负面效应，使金融风险的不确定因素增多，复杂性加大，引发技术风险、财务风险、操作风险和安全风险等。尤其是信息技术风险，可能导致银行经营不稳定，并最终致使银行资金、财产、信誉遭受损失。

信息技术风险特点及成因

信息技术的缺陷使风险不可避免。信息技术诱发的风险主要表现在以下几方面：由于网络设备生产技术不过关、网络通讯技术不够先进、网络设备管理水平不到位等因素，导致网络出现故障，从而影响到银行业务的正常进行，给银行带来损失。由于操作系统或者数据库管理系统漏洞原因，导致数据损坏、系统受到攻击或者应用系统无法正常运行等问题，从而给银行带来风险。由于各类应用系统设计的不科学、不合理，或者隐藏未发现的瑕疵，致使业务运行中断或者数据错误，导致出现风险。安全技术运用不当或者安全技术不过关，也是诱发风险的一个主要原因。由于认证技术不过关，导致出现资金丢失或被骗取等问题，给银行和客户造成损失。

信息化的广阔性使风险面扩大。一方面，银行几乎所有的业务都使用了信息技术，使得信息技术在银行经营中无处不在。另一方面，信息技术的使用使得银行业务延伸的广度和深度发生了很大变化，特别是网络技术的应用和电子银行的发展，使得银行的业务操作不再仅仅局限于银行内部员工，银行业务的操作已成为全社会的行为。

正是由于这些特性，使得银行出现了一些新的风险因素：一是由于客户的误操作造成诸如信息泄露等问题，导致银行或客户财产损失。二是由于网络和银行的各类终端面向全社会，不法分子利用网络漏洞进行攻击盗取银行资金或者进行恶意破坏，给银行造成损失。三是容易受到计算机病毒的攻击和破坏，从而造成损失。

自然灾害使风险难免出现。自然灾害的破坏力往往是惊人的，它可以破坏银行信息化过程中的一些关键场所和关键设备，如机房、各类设备、通讯设施以及关键的银行业务数据等，从而导致银行无法正常经营，财产受到直接和间接损失。

制度措施不到位形成风险隐患。制度因素体现在四个方面：一是外部法律法规不健全。信息技术的发展往往先于法律法规，当银行使用一项新的信息技术时，如果没有相关法律法规的及时跟进，就会在行为出现争议时没有法律依据，从而导致银行面临诉讼、赔偿和合同失效等法律风险，特别是目前电子银行的快速发展，使这一问题显得更加突出。二是内部管理措施不到位。银行大量使用信息技术以后，其业务流程发生很大变化，如果银行管理方式不跟着改变，内部管理制度不及时跟进，就会出现因为内部人员钻制度漏洞而作案的风险。三是安全措施风险。安全技术不到位会给银行造成风险，但如果与之配套的安全管理规章制度能够到位，可以大大减少此类风险。四是因技术外包导致风险。随着银行信息化的发展，银行出于技术人员短缺和降低经营成本两方面的考虑，会将技术外包给专业的信息技术服务商，由其代为开发、维护和管理等，这样的做法可能会导致信息系统失控、服务不能满足需要和商业信息泄露给竞争对手的风险。

监管建议

建立和完善监管的法律法规体系。为保障信息技术风险监管的有效实施，应借鉴发达国家已出台的相关法律法规，结合我国的具体情况，逐步建立和完善我国银行信息技术风险监管法律法规体系。

在制定银行信息技术风险监管的法规时应当注意五个方面的问题：由于信息技术的发展瞬息万变，监管法规应该避免规定过细。要充分权衡对商业银行的安全、成本、交易规模的利弊，如果安全措施使交易速度下降，或者妨碍了客户的其他金融服务，金融服务的质量就会受到影响。应当努力在技术上保持中立，以鼓励和推动技术创新。必须考虑公众的利益。在系统安全与服务费用、服务质量及客户隐私保护等方面达到平衡。应根据电子银行信息技术风险的特点，动态地提出原则性的监管要求，明确要求银行重视对新技术的跟踪，以及对系统的及时更新。

建立我国银行信息技术风险评级体系。为了使监管当局更全面、更直接地掌握被监管机构的信息技术风险程度，评估其在控制各种信息技术风险时的总体有效程度，需要建立信息技术风险评级体系。首先对信息技术风险进行系统地识别和分析，对引发信息技术风险的各种因素进行归类和细分。其次是在定性分析的基础上，设计与各信息技术风险因素相关的指标项，规定各指标项的权重，然后汇总，从而设计出总的信息技术风险评级框架。最后，根据各指标项的意义确定其打分原则，规定级别计算方法以及各级别的标准。

实行银行信息技术风险分级监管策略。银行信息系统既涉及到计算机、通信和网络技术，也涉及金融理论与实务、现代金融管理等多个学科，其风险随着计算机犯罪手段和形式的变化而更为复杂。加之，我国银行信息技术风险监管人员的数量非常有限，能力亟待提高。因此，要区分信息系统的类型，不同类型的信息系统由于所面临风险的复杂性和程度不同，需要的监管程度和重点也就不同。从我国目前银行信息技术风险的实际情况看，传统银行信息系统由于其软硬件环境相对封闭，业务应用相对成熟，风险较低，信息技术风险监管的要求也比较低，重点应该放在系统灾难备份和恢复上。对电子银行系统，由于具有开放性和虚拟性的特点，面临的风险较大，信息技术风险监管的要求也就较高。

在电子银行信息技术风险监管中，首先应对所有开办网上银行业务的银行进行评估，然后区别情况对待，对问题严重的银行首先集中监管力量进行监管，即实行分级监管策略。信息技术风险分级监管建立在银行信息技术风险评级的基础之上，对不同风险级别的银行的检查程序、检查频率、检查内容以及检查人员等都体现出差异性。如评级最差的银行要受到最为严格的监管，检查程序最为全面具体，检查频率也最高。而评级最优的网上银行甚至可以享受免检的待遇，由商业银行进行自查即可。

信息技术风险评级的主体应当是银行监管当局，但在评级时可以参考外部评估机构的评估报告。评定的级别不是一成不变的，一般每个检查周期完成之后要根据检查结果重新确定级别，在检查之前，也应根据两次相临检查期间内银行信息技术风险的变化情况，对前次级别作适当调整。而监管的级别实际上是以调整后的级别为依据的。

建立银行信息技术风险预警系统。通过对银行信息技术风险因素的识别和分析，建立科学的信息技术风险监管指标体系，并尽可能进行量化。建立银行信息技术风险预警数据库。根据信息技术风险指标体系广泛采集国内外有关银行，甚至相关行业(如商业、财税、会计等)安全性风险的数据，建立银行信息技术风险预警数据库。建立银行信息技术风险预警模型。尽可能采用数学方法，在对大量信息技术风险问题的模式和规律进行深入分析和研究的基础上，建立数据模型，估计参数值。进行风险预警。通过实时、动态的监控，借助风险预警模型，对我国现行银行信息系统的风险因素和可能面临的威胁预警，并定期向商业银行银行信息技术风险预警信息。

建立银行信息技术风险报告制度。对各种银行系统的运行情况、业务数据、资金规模、各种风险的暴露情况、规章制度的执行情况、系统的更新改造情况等基本情况进行报告。对重大安全事件进行报告，要求商业银行对发生在其各类系统内的安全事故提供准确的信息，包括银行信息系统遭到入侵、遭受“拒绝服务”、客户资金被盗用、客户的隐私受到侵害等犯罪行为，以及系统服务中断、数据遭到破坏、数据失窃、违反银行安全制度等安全事故。对未及时报告或未报告行为进行严厉的惩罚。除了报告安全事故本身外，各商业银行还应针对每个事故写出详细的分析报告，内容包括事故所属的系统、该系统的基本情况及安全措施、事故的原因、事故的性质、改进办法等。

加强各金融监管部门之间的协调。信息技术的应用，使银行产品进一步综合化，银行业、证券业和保险业之间的交叉程度加深，分业监管的难度加大，监管的边界更加模糊，需要银监会、证监会和保监会三大监管机构加大协同监管。另一方面，网络的开放性使得跨国金融犯罪迅速增加，加强各国金融监管当局之间的合作成为必然的要求。

（作者单位：湖北经济学院 湖北银监局）