商业银行的信息科技风险管理

舍融教　与研究　２０１３年第５期（总第１５１期）　商业银行的信息科技风险管理　陆　丰　（中国农业银行北京市分行，北京１０００￣）　摘要：商业银行信息科技风险管理有两个重要目标：一是保证银行业务的稳定和连续；二是保护客户信息安全。防　范信息科技风险，关键是管理要到位。商业银行可以从完善风险治理架构、健全管理制度体系、合理规划系统资源、密　切监测系统运行、落实业务连续计划、推进科技队伍建设等方面入手有效防控信息科技风险。　关键词：商业银行；信息科技；风险管理　文献标识码：Ａ　文章编号：１００６—３５４４（２０１３）０５—００３１—０２　中图分类号：Ｆ８３０．３３　一、商业银行信息科技风险　表１信息科技风险事件案例　在信息技术与银行业务深度融合的今天，信息科技风险　事件往往涉及范围广、客户多、金额大，在给银行造成经济损　失的同时，也会带来很大的声誉损失。银监会前主席刘明康　曾表示：“如果银行系统中断１小时，将直接影响该行的基本　支付业务；中断１天，将对其声誉造成极大伤害；中断２－３天　以上不能恢复，将直接危及其他银行乃至整个金融系统的稳　定。”因此，可以毫不夸张地说信息科技安全运行和健康发展　是银行业务正常开展的重要保障和基本前提，关乎银行声　誉、金融安全和社会稳定。表１显示了近年来商业银行发生　的几起典型信息科技风险事件。　根据中国银监会发布的《商业银行信息科技风险管理指　引》，信息科技风险是指信息科技在商业银行运用过程中，由　于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法　律和声誉等风险。在巴塞尔新资本协议体系中，信息科技风　险被视为操作风险的一种。它具有区别于一般操作风险的特　殊性：（１）风险因素复杂，大量使用外包和新技术使得风险控　制的复杂度大幅提高。（２）潜伏性、偶发性和不确定性突出。　比如，通过充分风险论证的生产系统，短期内无风险隐患，而　随着生产环境的压力逐步扩大，系统的脆弱性就会逐步暴　露；一个具有很高安全性的电子银行，随着病毒的不断变种，　黑客技术的提高，新的安全问题就会出现。（３）信息科技风险　一般不直接造成经济损失，其造成的间接损失难以计量且极　可能引发声誉风险。（４）影响范围广。单个信息系统的故障就　可能影响银行多项业务。在银行数据大集中的形势和背景　下，信息科技风险也趋于集中，成为惟一能使银行瞬间瘫痪　的风险。　从国内的监管导向看，笔者认为信息科技风险管理有两　收稿日期：２０１３—０５—２７　个重要的目标：一是保证银行业务的稳定和连续；二是保护　客户信息安全。如果不能实现这两个目标，则可能引发直接　或间接的经济损失以及声誉风险和法律风险。　３１　作者简介：陆丰，男，中国农业银行北京市分行经济师。　含触教学与研究　二、信息科技风险的影响因素　从前述信息科技风险管理的两个目标出发，可以通过分　析影响目标实现的因素来了解引致信息科技风险的原因。影　响银行业务的稳定和连续的因素主要有软硬件故障、人员误　操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、　病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包　服务不到位、自然灾害或人为损坏设备、缺少业务连续性计　划、灾备基础设施不健全、日常应急演练不充分，等等。影响　客户信息安全的因素主要有内部人员利用流程、权限漏洞盗　用客户数据；外部人员运用技术手段侵入系统盗用客户信　息；内外勾结盗用客户信息、外包服务商泄密等等。　以上这些因素在巴塞尔新资本协议中也有相关的描述。　巴塞尔新资本协议对操作风险的损失事件形态分为７个类　型，吴博（２ｏｌｏ）将其中与信息科技风险的损失事件有关的三　个类型整理后大致覆盖了引发信息科技风险的因素，见表２。　表２有关信息科技风险的损失事件形态　一级目录　定义　二级目录　三级目录　故意骗取、盗　牟利性破坏系统安全（如内　用财产或违反　部人员窃取、篡改客户信息　监管规章、法　和银行数据，越权或盗用权　律或公司政策内部系统　内部欺诈导致的损失限进行交易）　，安全　此类事件至少　非牟利性破坏系统安全（如　涉及内部一　系统设备损毁或者遗失）　方。　其他　第三方故意骗　黑客攻击损失　取、盗用财产破坏系统　外部欺诈或逃避法律导安全　盗窃信息　致的损失。　其他（如恐怖袭击）　硬件　软件　羹塞　萎磊信息系统　网络与通信线路　动力输送损耗／中断　其他　水电煤气供应中断　其他　当然，上述这些影响信息科技风险管理目标实现的因素　仍只是引发信息科技风险的中间变量，其本身也可被视作信　息科技风险的表现形式。透过这些表现可以很容易发现管理　不到位才是导致信息科技风险的最根本原因。　从实践来看，近年来信息科技快速发展有力支持了商业　银行各项业务的快速扩张。但同时，管理、运行维护跟不上的　矛盾也日渐突出，“重建设、轻管理、重开发、轻运维”的现象　较为普遍。有监管部门研究表明，近年来发生的信息科技风　险事件中，多数事件发生都源于制度不健全、流程不完善、落　实不到位，很少有纯粹技术原因引发的事件。因此，可以说管　３２　２０１３年第５期（总第１５１期）　理到位是防范信息科技风险的关键。　三、信息科技风险管理措施　信息科技风险管理应贯穿于信息科技工作的全流程，涉　及到信息科技风险管理的“三道防线”，需要由信息科技部门　和各业务部门共同完成。具体管理措施如下：　１．完善风险治理架构，各司其职。构建和完善信息科技　风险管理的三大防线，即信息科技管理、信息科技风险管理、　信息科技风险审计，从ｉ个不同角度、不同纬度，对风险进行　立体防控。需要注意的是三大防线的安排不应是简单的对应　信息科技风险管理的事前、事中、事后三阶段，风险管理部　门、审计部门应积极参与到业务连续性计划制定、应急演练、　系统开发、外包管理等信息科技日常风险管理工作中，实现　风险管理的前移。　２．健全管理制度体系，重在执行。建立、健全信息科技管　理制度和业务操作流程并认真执行。制度建设要从新产品上　线或新系统投产前开始，要建立完善的上线或投产方案以及　上线或投产后相关的管理制度和业务流程，并制定回退机制　或应急预案以应对意外情况。同时，要积极研究各类信息安　全风险案例，总结归纳新的风险点，有针对性地完善制度。　要建立制度执行的监督评价机制，商业银行的董事会、监事　会、高级管理层以及审计部门要切实监督评价信息科技各项　制度的执行情况，对制度执行不到位的责任人要进行问责或　处罚。　３．合理规划系统资源，未雨绸缪。（１）纵向规划发展进　度。在系统规划设计阶段就要评估能否满足未来较长时间的　业务需求，合理安排系统升级、版本切换等工作。（２）横向匹　配系统资源。在系统资源短期内不变的情况下，合理分配资　源，通过系统分级，将资源优先分配给等级高的系统以保障　重要系统的稳健运行。　４．密切监测系统运行，防患未然。通过技术平台对信息　系统的运行状况进行全程监控。一、二级骨干网是否畅通、网　点终端和自助设备是否运行正常、应用系统是否正常服务、　是否有异常交易、网络是否遭到非法入侵等，都必须纳入实　时监控范围，以确保在第一时间发现问题和风险点，及时采　取应对措施，防患于未然。　５．落实业务连续计划，加强演练。要在全行层面建立和　完善可操作性强、覆盖各信息科技系统的业务连续性计划和　应急预案，包括业务恢复机制、风险化解和转移措施、数据备　份以及应对媒体的统一策略等。针对新发生的突发事件以及　新发现的薄弱环节，要及时对预案进行总结更新。加强应急　预案演练，以保障银行在突发重大事件面前，能从容应对，迅　速恢复生产运营，尽可能降低损失。　６．推进科技队伍建设，提升能力。首先，要明确岗位职　责，因岗定人，岗位匹配，并落实岗位制衡。其次，要完善激励　约束机制，以激发员工的主观能动性，并使科技队伍保持基　本稳定。最后，要加强培训，培养员工风险防范意识和风险防　范能力，提高员工的信息科技业务水平。　（责任编辑：李丹；校对：郄彦平）