中小银行信息科技风险预警模型研究_风险管理

当前我国银行业信息科技风险管理和监管面临的主要挑战是如何及时、动态监控机构单体或行业整体风险。本文主要围绕这一问题，研究中小银行信息科技风险的动态监测和预警。

一、信息科技风险管理和监管面临的挑战

　　当前我国银行业信息科技风险管理和监管面临的两个挑战：一是如何及时、动态监控机构单体或行业整体风险；二是如何对信息科技风险进行资本计量。本文主要围绕第一个问题，研究中小银行信息科技风险的动态监测和预警。

　　从境外金融监管情况看，美国联邦金融机构检查委员会(FFIEC)于1999年发布了信息技术统一评级体系(uniform Rating System for Information Technology，URSIT)，系统地评价金融机构和IT服务提供商的整体风险及风险管理情况。荷兰央行制定了金融机构风险管理方法论(Financial Institution Risk Management，FIRM)，采取评估固有风险、控制措施的方式判断净风险。香港金管局开发了信息科技风险概览，按年度收集分析信息科技风险趋势，并将所有金融机构报告的信息科技风险事故分类保存在信息科技事故管理系统中。新加坡金管局开发了通用风险分析框架与技术(Common Risk Assessment Framework and Techniques，CRAFT)，将科技风险列为金融机构面临的八个风险类别之一，进行内在风险和控制因素的评估。

　　从国内监管实践看，银监会自2009年建立信息科技非现场监管报表体系，用于银行业金融机构风险识别和监测。2010年，实施了信息科技风险评估，通过评估机构信息科技固有风险水平、控制措施有效性，对机构的整体风险进行评估。2013年，开展了商业银行信息科技监管评级。2014年，发布了《商业银行信息科技风险动态监测规程》(征求意见稿)，对信息科技风险实施动态监测。值得说明的是银监会特别提出以“目标”和“过程控制”为导向的信息科技风险核心监管指标，并建立了一套指标体系，用于监管部门对银行业金融机构信息科技风险的动态监测和预警。

　　从国内银行实践看，在风险识别方面，国内大型银行和一些股份制银行、城商行制定了信息科技风险识别和评估流程，结合本行历史信息科技风险事件、日常检查发现的问题，综合运用专家调查法、情景分析法等方法，将影响生产运行、开发测试、信息安全等方面的风险因素识别出来，形成风险清单。在风险监测方面，先进银行针对关键信息科技风险设置相应的指标和阈值，采用信息化手段进行日常监测，并每年结合风险变化，对指标和阈值进行调整优化。如光大银行、北京银行、浙商银行等，已经按一定周期对信息科技风险进行监测。
　　
二、中小银行信息科技风险成因

　　对商业银行信息科技风险形成原因的分析，既要考虑银行的金融特性，也要考虑信息科技本身特点，有多种分类方法(见表1)，如从风险性质角度和管理领域角度等。

中小银行信息科技风险预警模型研究-表1.jpg

　　在对2008年以来国内银行业信息科技事件进行的统计汇总(如图1所示)的基础上，结合中小银行特点，从风险预警的角度，按照信息科技管理领域将信息科技风险分为五类，分别是资源类、开发类、运行类、安全类和外包类，基本涵盖了目前形成中小银行信息科技事件和案件的主要因素。

中小银行信息科技风险预警模型研究-图1.jpg

　　1．资源类

　　近年来，中小银行处于快速发展时期，各类业务需求呈现爆发式增长，以山东省为例，截至2014年9月末，法人机构手机银行开户259.56万户，同比增长89.05％；3季度，手机银行交易笔数1149.22万笔，较上季增长31.78％，交易金额700.64亿元，较上季增长9.98％。与此同时，快速增长的业务需求和交易量对中小银行信息化建设和信息系统运行的压力越来越大，尤其是网上银行、手机银行等新兴电子渠道表现更突出。中小银行资源类风险因素有：灾备系统建设滞后、信息科技人员变动率高、系统承载的业务规模发展过快等。

　　2．外包类

　　信息科技外包是银行业普遍采用的信息科技建设和管理模式。与大型银行相比，中小银行由于地域、规模和资源的限制，中小银行信息系统开发能力普遍不足，信息科技外包依赖度较高。外包类型不仅包括系统开发、测试和运行维护，还包括信息科技咨询和业务外包中的信息科技活动等，这些外包活动在优化银行自身信息科技资源配置、提高信息科技对于业务发展的支持效率方面发挥了重要作用。同时，外包风险也成为中小银行信息科技风险的重要方面，具体表现为：对外包服务商缺乏话语权和谈判能力、缺乏安全管理措施、外包监控手段较弱、知识产权管理存在缺陷。比如2014年，公安机关查获一起银行卡伪卡犯罪案件，银行ATM设备维护服务商的工作人员利用工作之便，在所维护的银行ATM设备上复制交易数据，并批量制作伪卡，导致多家银行的客户资金被盗。

　　3．开发类

　　开发管理不到位也成为导致信息科技风险的重要原因，常见的风险因素有：行方的系统开发和项目管理人员不足、系统开发生命周期管理制度不完善、操作流程与控制手段不健全、需求分析缺少风险和安全需求、压力测试和用户验收测试不足、部分开发人员兼职运行维护等，比如2009年，某银行第三方存管系统出现故障，与券商的交易无法正常进行，事故持续2个小时，直至证券交易收盘后才恢复正常。该问题出现的原因在于该行第三方存管系统需求定义不准确，同时与多家券商进行银证转账业务处理，不同券商系统的接口数据标准不同，对不同券商系统的接入参数定义不清晰。

　　4．运行类

　　中小银行运行类风险来源于基础设施、硬件设备和软件系统等方面，其中，基础设施包括供电、通信、消防等；硬件设备包括主机、存储、网络设备等；软件系统包括核心系统、网银系统、银行卡系统等。主要问题有架构设计不完善、运行操作不当、监控不到位、系统投产及变更不审慎等。尤其是中小银行对于系统运行关键指标的日常监控重视不够，没有长期积累系统运行数据，尚未形成科学有效的运维管理机制。比如2014年，某银行核心系统宕机，由于操作不当且长期没有购买维保，故障得不到及时处置，造成全行业务中断较长时间。

　　5．安全类

　　从内部看，中小银行对于各类外部威胁的敏感性和防范能力不高，是造成安全事件发生的重要因素。与先进银行相比，中小银行受限于信息科技的整体资源投入，网络架构设计不严密，仅配置简单的防火墙与入侵检测设备，对入侵行为的分析与处置存在缺失，同时，中小银行一般不会采购终端安全管理系统或者数据防泄漏系统，对终端安全的管控力度不够。从外部看，利用系统漏洞、网络缺陷等进行攻击的事件越来越多，而中小银行对网络攻击的发生情况、漏洞扫描的结果以及终端安全措施执行到位率缺乏及时、有效的改进措施。
　　
三、中小银行信息科技风险预警模型

　　基于本文第二部分的分析，参考ISACA COBIT、RISK IT，银监会信息科技监管评级体系等，针对信息科技风险特点和现有数据基础，构建中小银行信息科技风险关键指标体系，然后运用模糊评价法构建出信息科技风险预警模型。

　　1．指标体系

　　(1)关键指标选取原则

　　符合中小银行实际，动态性与前瞻性相结合，兼顾结果性与控制性，应涵盖为达到预警目标所需的各类内容，能反映信息科技风险的主要信息

　　(2)关键指标层次和类别

　　根据上述对中小银行的信息科技风险成因的分析，我们将关键指标分为资源类、外包类、开发类、运行类、安全类5个一级指标；每个一级指标细分为3～5个二级指标(见表2)。

中小银行信息科技风险预警模型研究-表2.jpg