商业银行的信息科技风险管理

摘 要：商业银行信息科技风险管理有两个重要目标：一是保证银行业务的稳定和连续；二是保护客户信息安全。防范信息科技风险，关键是管理要到位。商业银行可以从完善风险治理架构、健全管理制度体系、合理规划系统资源、密切监测系统运行、落实业务连续计划、推进科技队伍建设等方面入手有效防控信息科技风险。

关 键 词： 商业银行；信息科技；风险管理

中图分类号： F830.33 文献标识码：A 文章编号：1006-3544（2013）05-0031-02

一、商业银行信息科技风险

在信息技术与银行业务深度融合的今天，信息科技风险事件往往涉及范围广、客户多、金额大，在给银行造成经济损失的同时，也会带来很大的声誉损失。银监会前主席刘明康曾表示：“如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2～3天以上不能恢复，将直接危及其他银行乃至整个金融系统的稳定。”因此，可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提， 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。

根据中国银监会的《商业银行信息科技风险管理指引》，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中，信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性：（1）风险因素复杂，大量使用外包和新技术使得风险控制的复杂度大幅提高。（2）潜伏性、偶发性和不确定性突出。比如，通过充分风险论证的生产系统，短期内无风险隐患，而随着生产环境的压力逐步扩大， 系统的脆弱性就会逐步暴露；一个具有很高安全性的电子银行，随着病毒的不断变种，黑客技术的提高，新的安全问题就会出现。（3）信息科技风险一般不直接造成经济损失，其造成的间接损失难以计量且极可能引发声誉风险。（4）影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下，信息科技风险也趋于集中，成为惟一能使银行瞬间瘫痪的风险。

从国内的监管导向看，笔者认为信息科技风险管理有两个重要的目标：一是保证银行业务的稳定和连续；二是保护客户信息安全。如果不能实现这两个目标，则可能引发直接或间接的经济损失以及声誉风险和法律风险。

二、信息科技风险的影响因素

从前述信息科技风险管理的两个目标出发，可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分，等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据；外部人员运用技术手段侵入系统盗用客户信息；内外勾结盗用客户信息、外包服务商泄密等等。

以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型，吴博（2010）将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素，见表2。

当然，上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量，其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。

从实践来看，近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时，管理、运行维护跟不上的矛盾也日渐突出，“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明，近年来发生的信息科技风险事件中，多数事件发生都源于制度不健全、流程不完善、落实不到位，很少有纯粹技术原因引发的事件。因此，可以说管理到位是防范信息科技风险的关键。

三、信息科技风险管理措施

信息科技风险管理应贯穿于信息科技工作的全流程，涉及到信息科技风险管理的“三道防线”，需要由信息科技部门和各业务部门共同完成。具体管理措施如下：

1. 完善风险治理架构，各司其职。构建和完善信息科技风险管理的三大防线，即信息科技管理、信息科技风险管理、信息科技风险审计，从三个不同角度、不同纬度，对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段，风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中，实现风险管理的前移。

2. 健全管理制度体系，重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始，要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程，并制定回退机制或应急预案以应对意外情况。同时，要积极研究各类信息安全风险案例，总结归纳新的风险点，有针对性地完善制度。要建立制度执行的监督评价机制，商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况，对制度执行不到位的责任人要进行问责或处罚。

3. 合理规划系统资源， 未雨绸缪。（1） 纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求，合理安排系统升级、版本切换等工作。（2）横向匹配系统资源。在系统资源短期内不变的情况下，合理分配资源，通过系统分级，将资源优先分配给等级高的系统以保障重要系统的稳健运行。

4. 密切监测系统运行，防患未然。通过技术平台对信息系统的运行状况进行全程监控。一、二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等，都必须纳入实时监控范围，以确保在第一时间发现问题和风险点，及时采取应对措施，防患于未然。

5. 落实业务连续计划，加强演练。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案，包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等。针对新发生的突发事件以及新发现的薄弱环节，要及时对预案进行总结更新。加强应急预案演练，以保障银行在突发重大事件面前，能从容应对，迅速恢复生产运营，尽可能降低损失。

6. 推进科技队伍建设，提升能力。首先，要明确岗位职责，因岗定人，岗位匹配，并落实岗位制衡。其次，要完善激励约束机制，以激发员工的主观能动性，并使科技队伍保持基本稳定。最后，要加强培训，培养员工风险防范意识和风险防范能力，提高员工的信息科技业务水平。