銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管研究
閻慶民 謝翀達(dá) 駱絮飛 著
中國金融出版社2013年4月出版
本書作者
閻慶民,中國銀行業(yè)監(jiān)督管理委員會(huì)黨委委員、主席助理,經(jīng)濟(jì)學(xué)博士、管理學(xué)博士,研究員,享受國務(wù)院特殊津貼專家。中國金融學(xué)會(huì)常務(wù)理事,中國金融四十人論壇學(xué)術(shù)委員、成員,上海新金融研究院學(xué)術(shù)顧問。曾任第十一屆全國政協(xié)委員。
在《金融研究》、《改革》、《管理世界》等國家核心期刊發(fā)表學(xué)術(shù)論文80余篇,出版學(xué)術(shù)專著6部。
本書目錄
第一章 銀行業(yè)信息科技風(fēng)險(xiǎn)管理概述
第一節(jié) 信息科技風(fēng)險(xiǎn)定義、分類及特點(diǎn)
第二節(jié) 銀行業(yè)信息科技風(fēng)險(xiǎn)管理發(fā)展歷程及現(xiàn)狀
第二章 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理實(shí)踐分析
第一節(jié) 信息科技風(fēng)險(xiǎn)管理架構(gòu)
第二節(jié) 信息科技風(fēng)險(xiǎn)管理流程
第三節(jié) 信息安全
第四節(jié) 信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)
第五節(jié) 信息科技運(yùn)行
第六節(jié) 業(yè)務(wù)連續(xù)性管理
第七節(jié) 外包
第八節(jié) 內(nèi)外部審計(jì)
第九節(jié) 問題與挑戰(zhàn)
第三章 銀行業(yè)信息科技風(fēng)險(xiǎn)與操作風(fēng)險(xiǎn)及全面風(fēng)險(xiǎn)管理的關(guān)系
第一節(jié) 銀行業(yè)全面風(fēng)險(xiǎn)管理理論
第二節(jié) 信息科技風(fēng)險(xiǎn)管理理論
第三節(jié) 銀行業(yè)信息科技風(fēng)險(xiǎn)管理的重要性和特殊性
第四節(jié) 信息科技風(fēng)險(xiǎn)與操作風(fēng)險(xiǎn)及全面風(fēng)險(xiǎn)管理的關(guān)系
第四章 銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管
第一節(jié) 國際銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管現(xiàn)狀
第二節(jié) 中國銀監(jiān)會(huì)信息科技監(jiān)管框架
第三節(jié) 信息科技風(fēng)險(xiǎn)監(jiān)管面臨的挑戰(zhàn)
第五章 信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)
第一節(jié) 信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)研究的必要性和作用
第二節(jié) 信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)的概念和分類
第三節(jié) 信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)的構(gòu)建
第四節(jié) 信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)應(yīng)用
第五節(jié) 信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)實(shí)證研究
第六章 信息科技風(fēng)險(xiǎn)資本計(jì)量
第一節(jié) 信息科技風(fēng)險(xiǎn)資本計(jì)量的背景、意義、目標(biāo)
第二節(jié) 信息科技風(fēng)險(xiǎn)資本計(jì)量的思路
第三節(jié) 信息科技風(fēng)險(xiǎn)資本計(jì)量的數(shù)據(jù)標(biāo)準(zhǔn)
第四節(jié) 信息科技風(fēng)險(xiǎn)資本計(jì)量框架及“三大工具冶的作用
第五節(jié) 信息科技風(fēng)險(xiǎn)資本計(jì)量方法
第六節(jié) 信息科技風(fēng)險(xiǎn)資本計(jì)量實(shí)例
第七章 研究結(jié)論及政策啟示
第一節(jié) 信息科技風(fēng)險(xiǎn)管理與監(jiān)管的理論價(jià)值
第二節(jié) 研究總結(jié)
第三節(jié) 信息科技風(fēng)險(xiǎn)管理與監(jiān)管的思考和展望
參考文獻(xiàn)
附件一 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理實(shí)例
第一節(jié) 某國有大型商業(yè)銀行信息科技風(fēng)險(xiǎn)管理實(shí)例
第二節(jié) 某股份制商業(yè)銀行信息科技風(fēng)險(xiǎn)管理實(shí)例
第三節(jié) 某外資銀行信息科技風(fēng)險(xiǎn)管理實(shí)例
附件二 Principles for Effective Risk Data Aggregation and RiskReporting
后記
附錄一 中國金融四十人論壇簡介
附錄二 中國金融四十人論壇組織架構(gòu)與成員名單(2013 年)
序
信息科技革命浪潮勢(shì)不可擋。如果說農(nóng)業(yè)革命將人類從游牧部落變成城市居民,工業(yè)革命帶來現(xiàn)代機(jī)械化經(jīng)濟(jì),那么信息科技革命將徹底改變世界,改變商業(yè)、社會(huì)和經(jīng)濟(jì)。信息科技的重要性已被提升到國家戰(zhàn)略高度。黨的十八大報(bào)告提出,堅(jiān)持走中國特色信息化道路,建設(shè)下一代信息基礎(chǔ)設(shè)施,發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系,健全信息安全保障體系,推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用,推動(dòng)信息化和工業(yè)化深度融合。
銀行業(yè)作為資金和技術(shù)密集型行業(yè),高度依賴信息科技。信息科技對(duì)金融基礎(chǔ)設(shè)施、金融安全網(wǎng)建設(shè)發(fā)揮著重要的支撐作用,正在急劇改變銀行經(jīng)營模式和服務(wù)手段,不斷拓展銀行服務(wù)的空間。當(dāng)前,信息科技在銀行中的作用集中體現(xiàn)在四個(gè)方面:一是拓展服務(wù)渠道。網(wǎng)上銀行、手機(jī)銀行、自助銀行的發(fā)展,突破銀行經(jīng)營的地域和時(shí)間限制,實(shí)現(xiàn)隨時(shí)隨地服務(wù)。二是實(shí)現(xiàn)業(yè)務(wù)處理電子化?,F(xiàn)在銀行業(yè)務(wù)都要通過信息技術(shù)平臺(tái)實(shí)現(xiàn),其中約有2/3的交易通過電子交易實(shí)現(xiàn),電子交易提升銀行服務(wù)效率,降低服務(wù)成本。三是提升管理能力。銀行通過建立客戶關(guān)系管理、數(shù)據(jù)分析、風(fēng)險(xiǎn)管理等信息管理系統(tǒng),提升管理效能和風(fēng)險(xiǎn)控制能力。四是保障信息安全。通過建立災(zāi)備系統(tǒng)、集中監(jiān)控、數(shù)據(jù)安全等信息安全系統(tǒng),維護(hù)銀行信息安全。
但是,隨著互聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、云計(jì)算、智能終端等技術(shù)的快速發(fā)展,信息科技在帶來銀行服務(wù)便利化的同時(shí),引發(fā)的風(fēng)險(xiǎn)也日益凸顯。當(dāng)前,我國銀行業(yè)信息科技風(fēng)險(xiǎn)管理面臨諸多挑戰(zhàn):一是核心技術(shù)受制于人。國內(nèi)銀行使用的關(guān)鍵硬件和基礎(chǔ)軟件都是進(jìn)口的,制造商處于絕對(duì)壟斷地位,與硬件設(shè)備相關(guān)的技術(shù)服務(wù)也集中在少數(shù)供應(yīng)商手中。二是網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。銀行服務(wù)體系對(duì)網(wǎng)銀等電子渠道的依賴程度加深,網(wǎng)絡(luò)攻擊呈組織化規(guī)?;婊瘧B(tài)勢(shì),任何流程缺陷或者安全漏洞都有可能導(dǎo)致客戶信息泄露或不當(dāng)利用,產(chǎn)生嚴(yán)重后果。三是信息科技外包依賴度和集中度較高。特別是許多中小銀行信息科技大量依賴外包,而對(duì)外包機(jī)構(gòu)的管理控制不到位,存在風(fēng)險(xiǎn)隱患。四是銀行業(yè)務(wù)快速擴(kuò)張,新系統(tǒng)上線快,安全管控經(jīng)驗(yàn)不足,信息科技人才缺乏,管理和維護(hù)跟不上,加之信息技術(shù)受眾面廣,一旦業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)出現(xiàn)故障,很可能導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)和災(zāi)難性后果。
鑒于信息科技風(fēng)險(xiǎn)具有復(fù)雜性、突發(fā)性、破壞性等特征,加強(qiáng)銀行信息科技風(fēng)險(xiǎn)監(jiān)管因此變得十分重要和緊迫。研究銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管的理論、工具和方法,加強(qiáng)信息科技風(fēng)險(xiǎn)的預(yù)警、識(shí)別、評(píng)估和度量,也因此成為加強(qiáng)系統(tǒng)性風(fēng)險(xiǎn)防范、提高監(jiān)管有效性的重要內(nèi)容。
閻慶民同志主持的銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管研究,是中國金融四十人論壇重大研究課題。課題組歷時(shí)一年,對(duì)信息科技風(fēng)險(xiǎn)監(jiān)管問題進(jìn)行深入研究,形成高質(zhì)量的報(bào)告。報(bào)告并不長,但視野寬廣,在銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管方面作了有益探索,提出許多新理念、新思想、新措施,有不少突破和創(chuàng)新。一是將信息科技風(fēng)險(xiǎn)從操作風(fēng)險(xiǎn)中分離出來進(jìn)行獨(dú)立管理和計(jì)量。課題全面論證了信息科技風(fēng)險(xiǎn)特征、與操作風(fēng)險(xiǎn)的區(qū)別,認(rèn)為現(xiàn)有操作風(fēng)險(xiǎn)管理體系沒有全面覆蓋信息科技風(fēng)險(xiǎn),提出將信息科技風(fēng)險(xiǎn)從操作風(fēng)險(xiǎn)中拆分并獨(dú)立管理。二是初步構(gòu)建了信息科技風(fēng)險(xiǎn)監(jiān)管框架。研究報(bào)告結(jié)合銀行業(yè)信息科技風(fēng)險(xiǎn)特點(diǎn),將信息科技風(fēng)險(xiǎn)領(lǐng)域劃分為若干領(lǐng)域,包括信息科技治理、風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性、信息科技運(yùn)行、信息系統(tǒng)研發(fā)測(cè)試維護(hù)、信息安全等。初步建立了涵蓋非現(xiàn)場(chǎng)監(jiān)管、現(xiàn)場(chǎng)檢查、風(fēng)險(xiǎn)評(píng)估與監(jiān)管評(píng)級(jí)等在內(nèi)的持續(xù)監(jiān)管框架。三是設(shè)計(jì)信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo),提出了兩類信息科技風(fēng)險(xiǎn)監(jiān)管核心指標(biāo)。一類是基于結(jié)果的核心監(jiān)管指標(biāo),包括信息系統(tǒng)可用率、重大生產(chǎn)事件數(shù)、系統(tǒng)交易成功率、信息系統(tǒng)中斷導(dǎo)致的資金損失占比、重大信息安全事件數(shù)、客戶投訴率等;一類是基于過程的核心監(jiān)管指標(biāo),包括信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息系統(tǒng)運(yùn)行、信息安全、信息系統(tǒng)開發(fā)測(cè)試維護(hù)、業(yè)務(wù)連續(xù)性管理等。四是根據(jù)信息科技損失特點(diǎn)設(shè)計(jì)資本計(jì)量方法。研究報(bào)告從金額和時(shí)間兩個(gè)維度定義信息科技風(fēng)險(xiǎn)損失,參照操作風(fēng)險(xiǎn)標(biāo)準(zhǔn)法計(jì)量的思路,提出用時(shí)間加金額的方式量化計(jì)算科技風(fēng)險(xiǎn)損失,提出科技風(fēng)險(xiǎn)的計(jì)量框架、模型和方法。
總體而言,我認(rèn)為這是一項(xiàng)具有開創(chuàng)意義的研究,必將推動(dòng)銀行業(yè)信息科技風(fēng)險(xiǎn)管理和監(jiān)管工作。當(dāng)然,信息科技風(fēng)險(xiǎn)監(jiān)管是個(gè)新問題,非常復(fù)雜。目前,國際上尚未形成成熟的信息科技風(fēng)險(xiǎn)監(jiān)管框架。從實(shí)踐看,各國信息科技風(fēng)險(xiǎn)監(jiān)管各有側(cè)重,但共同關(guān)注的領(lǐng)域包括數(shù)據(jù)安全、業(yè)務(wù)持續(xù)運(yùn)營、電子銀行安全、跨境風(fēng)險(xiǎn)等。要從根本上提升中國銀行業(yè)信息科技服務(wù)能力和風(fēng)險(xiǎn)管控能力,必須立足國情,實(shí)施信息科技自主可控戰(zhàn)略、持續(xù)發(fā)展戰(zhàn)略、流程服務(wù)創(chuàng)新戰(zhàn)略,建立有效的銀行信息科技監(jiān)管框架,堅(jiān)持過程控制與目標(biāo)控制相結(jié)合,探索有效的信息科技風(fēng)險(xiǎn)監(jiān)管方法和手段,提升科技支撐作用,維護(hù)金融安全。
2013年3月
前 言
信息科技是銀行業(yè)務(wù)運(yùn)營的基礎(chǔ)平臺(tái),也是現(xiàn)代銀行必不可少的重要基礎(chǔ)設(shè)施。當(dāng)前,信息科技比以往任何時(shí)候都更快地改變著銀行業(yè)的格局,信息技術(shù)成倍縮短產(chǎn)品創(chuàng)新速度,優(yōu)化銀行內(nèi)部專業(yè)分工,快速提高管理能力,顯著提升客戶體驗(yàn),信息科技已與業(yè)務(wù)高度融合,成為我國銀行業(yè)打造核心競爭力、持續(xù)發(fā)展的關(guān)鍵環(huán)節(jié)。信息科技創(chuàng)造價(jià)值的同時(shí),也衍生風(fēng)險(xiǎn);隨著信息科技在銀行業(yè)的廣泛應(yīng)用,銀行幾乎所有的業(yè)務(wù)運(yùn)營和管理活動(dòng)都高度依賴于信息系統(tǒng),隨之而來的信息科技風(fēng)險(xiǎn)對(duì)銀行業(yè)穩(wěn)健發(fā)展帶來巨大挑戰(zhàn),資金安全、信息安全、業(yè)務(wù)中斷等風(fēng)險(xiǎn)事件對(duì)銀行產(chǎn)生全面影響,科技風(fēng)險(xiǎn)甚至成為唯一可能使銀行業(yè)務(wù)在瞬間全部癱瘓的重要風(fēng)險(xiǎn)。隨著互聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、云計(jì)算等技術(shù)的快速發(fā)展,信息科技還將對(duì)金融模式、服務(wù)格局、金融市場(chǎng)發(fā)展產(chǎn)生深遠(yuǎn)的影響,并對(duì)現(xiàn)有的風(fēng)險(xiǎn)管理與監(jiān)管理論、模式帶來新的挑戰(zhàn)。因此,加強(qiáng)銀行業(yè)信息科技風(fēng)險(xiǎn)的研究,深入思考、探索信息科技風(fēng)險(xiǎn)管理和監(jiān)管的理論、工具和方法,探討解決當(dāng)前銀行業(yè)信息科技風(fēng)險(xiǎn)管理面臨的突出問題,推動(dòng)銀行業(yè)將信息科技風(fēng)險(xiǎn)納入全面的風(fēng)險(xiǎn)管理體系,在當(dāng)前具有非常重要的現(xiàn)實(shí)意義和前瞻價(jià)值。
雖然信息科技的發(fā)展歷史悠久,但信息科技風(fēng)險(xiǎn)仍是一個(gè)全新的概念,有關(guān)信息安全管理理論研究雖已有三十多年的歷史,但信息科技風(fēng)險(xiǎn)管理和監(jiān)管的理論仍處于起步和探索階段。
在中國金融四十人論壇的資助下,我們對(duì)“銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管”進(jìn)行了課題研究。本課題通過對(duì)中國銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管面臨的突出問題、信息科技風(fēng)險(xiǎn)的定義、分類和成因等的深入分析,研究探討了信息科技風(fēng)險(xiǎn)與操作風(fēng)險(xiǎn)、全面風(fēng)險(xiǎn)管理間的關(guān)系,明確了信息科技風(fēng)險(xiǎn)的定位,構(gòu)建了信息科技風(fēng)險(xiǎn)監(jiān)管框架,并對(duì)信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)和信息科技風(fēng)險(xiǎn)資本計(jì)量方法進(jìn)行了思考和設(shè)計(jì)。通過本課題的研究,為監(jiān)管部門不斷完善銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管理論方法,進(jìn)一步提高監(jiān)管有效性,提供參考意見和思路。
后記
科技發(fā)展造就了信息化社會(huì),大數(shù)據(jù)時(shí)代推動(dòng)著新一輪的信息化革命。信息技術(shù)在為企業(yè)創(chuàng)造巨大價(jià)值的同時(shí),也迫使我們必須面對(duì)信息科技系統(tǒng)失效所帶來的巨大風(fēng)險(xiǎn)。銀行業(yè)近年來開展了一系列風(fēng)險(xiǎn)管理實(shí)踐活動(dòng),但對(duì)信息科技風(fēng)險(xiǎn)管理與監(jiān)管的研究,目前卻還處于初級(jí)階段。什么是信息科技風(fēng)險(xiǎn)?它在銀行業(yè)風(fēng)險(xiǎn)體系中如何定位,特別是與操作風(fēng)險(xiǎn)有著怎樣的關(guān)系?信息科技風(fēng)險(xiǎn)管理的基本理論和方法是什么?哪些工具可以被用來更科學(xué)、有效地管理信息科技風(fēng)險(xiǎn)?科學(xué)解答這些問題,是銀行業(yè)信息科技風(fēng)險(xiǎn)有效管理的基礎(chǔ),也是銀行業(yè)完善風(fēng)險(xiǎn)管理體系的必備前提。一年多來,筆者對(duì)當(dāng)前國際國內(nèi)有關(guān)銀行業(yè)信息科技風(fēng)險(xiǎn)的文獻(xiàn)進(jìn)行了認(rèn)真梳理,在對(duì)大量資料分析比較的基礎(chǔ)上,通過嚴(yán)格的數(shù)據(jù)模型測(cè)試,反復(fù)研究,廣泛論證,從而最終形成了《銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管研究》一書。本書對(duì)建立包括風(fēng)險(xiǎn)定位、核心監(jiān)管指標(biāo)和風(fēng)險(xiǎn)資本計(jì)量等要素在內(nèi)的信息科技風(fēng)險(xiǎn)監(jiān)管框架進(jìn)行了探索,嘗試設(shè)計(jì)一整套信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)和風(fēng)險(xiǎn)資本計(jì)量方法,并對(duì)銀行業(yè)科技風(fēng)險(xiǎn)監(jiān)管的發(fā)展?fàn)顩r進(jìn)行了總結(jié)與展望。
本書由中國銀監(jiān)會(huì)主席尚福林作序,副主席郭利根作課題指導(dǎo),從選題、立項(xiàng)、寫作以及出版過程中均得到了中國金融四十人論壇的資助,同時(shí)也得到了許多學(xué)術(shù)咨詢機(jī)構(gòu)、商業(yè)銀行、監(jiān)管部門的專家和同仁的支持。李丹、張曉樸、劉榮、宋永明、張艷、楊兵兵、程平、金磐石、王燕、陳忠陽、吳永飛、劉逸明、蔡紅艷、石蕾、姚紅玲、常利紅、章曉仁、于樂寬、黃登璽、趙鎖柱、張橙艷、曹文中、金建新、陳立節(jié)、趙偉、王貴智、楊寶輝、湯陽、焦基林、盧朝陽、程琰、李瀟、丁昱英、陳莉、勾凱、劉志洋、宋玉穎、張偉強(qiáng)、梁峰、武娟娟等同志在材料整理和文字校對(duì)方面也做了大量工作,在此向上述同志表示衷心的感謝。
本書可供從事銀行業(yè)風(fēng)險(xiǎn)管理研究和實(shí)務(wù)的人員研讀參考,也可供經(jīng)濟(jì)、管理和信息科技人員參閱。因成書時(shí)間倉促,錯(cuò)誤和紕漏在所難免,懇請(qǐng)各位讀者批評(píng)指正。