国外银行信息科技风险监管机制的启示

　　信息科技风险是指商业银行在运用信息科技过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。信息科技风险与其它领域的风险相比，破坏性大、影响面广、隐蔽性高、专业性强，其风险管控的难度更大。正因如此，《巴塞尔新资本协议》将其作为操作风险中的重点进行防控。美国、荷兰、新加坡等国在信息科技风险监管防控方面积累了丰富经验，值得我国学习借鉴。

　　信息科技风险监管的国际经验

　　(一)美国经验

　　注重构建科学有效的监管模式。美联储、货币监理署、储蓄机构监理署、联邦存款保险公司、国家信用合作社联盟等各监管机构一般都设有IT监管员，其职责是研究分析技术风险对业务的影响程度，有效识别那些会影响到金融机构安全的信息科技风险，并向金融机构发出风险提示。例如，联邦存款保险公司(FDIC)在监管与消费者保护部门下设有专门的信息科技风险检查团队，负责统筹管理信息科技风险监管工作。信息科技风险监管人员占FDIC全部监管人员的20%左右，其中10%的信息科技风险检查员能够承担一般性的IT检查工作，另有10%承担专业信息科技风险检查。

　　注重相关法律法规建设。1999年，美国颁布Gramm-Leach-Bliley Act(GLBA)，这是美国历史上第一部要求监管机构建立客户信息管理、物理防护体系的法律，是目前众多信息科技风险监管法规和监管指引的基础。2001年，美国五大监管机构联合制定了有关客户信息安全指引，要求银行业金融机构实施风险评估，制定安全措施，并在选择技术服务供应商时做到尽职调查。FDIC还制定了监管手册《Supervison of TSPS》，它是专门针对技术服务商的监管指引。2005年，针对日益增多的客户信息泄漏问题，监管机构进一步发布了信息安全监管指引，要求发生客户信息非授权访问及滥用时，银行机构必须及时通知客户。

　　注重监管评级。美国银行业监管机构制定了统一技术风险评级标准(URSIT)。URSIT 由单项评级和综合评级两部分组成，单项评级是对被检查机构在审计、管理、开发与采购、支持与交付等四个方面执行情况的评估;综合评级根据金融机构和IT 服务提供商在单项评级中的表现，从总体印象、管理纠错能力、风险管理程序、战略计划、管理者水平等方面对其进行综合评价并划分等级。利用URSIT评级体系，监管机构系统地评价金融机构和IT 服务提供商的整体风险及风险管理情况，详细了解被监管机构的IT风险敞口，从而采取相应的监管政策。URSIT评级结果最终会反馈给被监管机构的董事会和高管层，并将评级结果纳入CAMEL评级体系。

　　注重监管延伸。美国银行业技术服务外包非常普遍，数据中心、灾备中心、信用卡、ATM设备等都可以外包给第三方技术服务提供商(TSP)，特别是有些大型TSP同时为多达几十家乃至上百家银行提供服务，相应的技术风险也集中到这些技术服务提供商，促使美国监管机构不断加强对TSP的监管。根据美国银行服务公司法案规定，监管机构对TSP具有同等的监管权力。

　　(二)新加坡经验

　　新加坡金管局2000年设立了科技风险处。在监管制度方面，颁布了《网上银行和技术风险管理指引》，包括风险管理框架、安全和控制目标、安全准则、系统开发和测试、外包管理、新兴网络威胁、银行信息披露和客户宣传教育等内容。此外，新加坡金管局还发布了《移动银行业支付安全指引》、《外包管理指引》以及网上银行网络安全、网上银行密码验证、无线局域网、网络钓鱼、间谍软件、双因素认证、终端安全与数据保护等安全建议文件。

　　在监管体系方面，新加坡金管局将科技风险列为金融机构面临的八个风险类别之一，开发了通用风险评估框架技术(ECRAFT)系统进行风险评估和信息管理。首先通过核心系统更换/老化、信息科技基础建设的规模/复杂性、系统稳定性、数据中心业务、IT项目、区域化/重组、外包/离岸外包、系统恢复策略等八个方面情况，判断机构的信息科技固有风险;再采用“6C”标准：科技风险管理、系统安全、系统完整性、系统控制、系统恢复性、审计和法规遵从，为机构科技风险控制能力评分;然后通过固有风险程度和控制措施强度，综合判断该机构的信息科技净风险，通过机构之间净风险的比较实施差异化监管。

　　(三)荷兰经验

　　荷兰中央银行也是国际上较早开始关注科技风险的监管机构之一，在上世纪90年代就有针对电子数据处理的审计检查。2010年之前整个荷兰央行的监管目标主要关注防止单家机构倒闭风险，对机构进行持续有效、以风险为导向的监管。而从2010年开始，监管目标更加关注整个银行业的风险，并开始思考企业文化和管理者行为对风险的影响。在科技监管策略上，荷兰央行认为监管者必须确认金融机构具备识别并采取适当措施管理信息科技相关风险的能力。具体而言，荷兰央行提出金融机构风险管理应具备“三道防线”：一是管理和控制措施的拥有者;二是内控、风险、合规部门;三是内部审计。整个风险管理过程还必须受到监事会和审计委员会的监督。

　　荷兰有各类金融机构1500家。在监管资源分配上，荷兰央行将专业化的科技监管集中在其中300家较大型金融机构上，特别是对25家大型机构，指定了科技主监管员，并进行年度检查;对275家中等规模机构，原则上每三年进行一次检查;而对于其余1200家规模较小的机构，通过内部培训，使机构监管人员掌握科技监管基本要求，并纳入其日常监管中。

　　监管手段上，荷兰央行对金融机构采用金融机构风险管理(FIRM)评级，通过综合评级将金融机构风险由低到高分为T1至T4级别，并据此规划监管资源、安排监管计划。科技风险是FIRM中的十类风险之一，包括四个方面，战略和策略、安全、可控性、连续性。与新加坡金管局类似，荷兰央行也采取评估固有风险、控制措施的方式来判断信息科技净风险。

　　在现场检查方面，荷兰央行将检查分为两类，概要性检查和详细的现场检查。对于中小机构多采取概要性检查方式，借助CobiT中的控制点直接进行风险评分(由低到高分别为0至4分)，并在报告中附上对应控制点的行业平均、最佳实践标准和监管最低要求分数，使机构对其需改进方面一目了然。现场检查则相对正式，会涉及部分实质性测试内容，最终报告不仅提交金融机构管理层、抄送外部审计师，必要时还会抄送机构监事会，以督促落实整改。

　　对我国的启示

　　(一)加强信息科技风险监管组织建设。我国银行业信息科技风险监管工作刚刚起步，信息科技风险监管人力资源与监管工作要求不相匹配矛盾较为突出，建议借鉴美国、新加坡监管机构的做法，一是建立专门的信息科技风险监管部门，制定信息科技风险监管政策、法规、指引和工作流程，协调开展信息科技非现场监管和现场检查;二是加大力度培养复合型的信息科技风险监管人员，采用在职培训、岗位轮换、专业培训等多种方式提高科技人员的业务监管能力，为应对日益艰巨的信息科技风险监管工作做好人才储备;三是推动业务监管人员掌握信息科技监管知识，使一定比例的业务监管人员具备开展基础的信息科技风险监管能力，缓解人力资源紧张的矛盾。

　　(二)制定信息科技风险评级标准。要在积累历史数据、汇总分析的基础上，尽快建立健全信息科技风险评估体系，识别银行在信息科技方面面临的固有风险，系统性地分析银行业机构在IT治理、信息安全、业务连续性计划、内外部审计以及IT外包管理等领域采取的风险防控措施的有效性，客观地评价银行业机构信息科技风险管理水平。在此基础上，认真研究制定银行业机构信息科技风险评级方法和标准，逐步开展信息科技风险评级，根据评级结果确定监管的频度和范围，制定差别化的监管对策。

　　(三)建立健全IT外包监管体系。尽快出台银行业IT外包管理指引，完善IT外包的监管法规，建立IT外包监管流程。要求各银行业机构建立健全IT外包服务商的风险评估机制，加强外包风险的识别和监控，在银行与IT外包服务商的服务合同中明确监管部门对IT外包服务商的延伸检查权，确保IT外包风险得到有效管控。

　　(四)探索建立适合我国国情的信息科技风险监管模式。银监会信息科技风险监管主要针对自建信息系统的法人银行业机构。我国法人银行业机构状况存在地域性差异，具体而言，东部经济发达地区在法人机构数量、规模、信息科技发展水平等方面明显高于西部地区，各大型银行、股份制商业银行总行也基本集中在东部地区，特别是一线城市，而目前各地银监局信息科技人员配置并未体现东西部差异。因此，在监管模式上，东部地区、法人银行业机构较多的省市可借鉴新加坡、荷兰监管机构的经验，对辖内机构建立信息科技风险概览，按照风险导向有重点地开展现场检查;西部地区、法人银行业机构较少的地区则保持对被监管机构的经常性检查。

　　(五)加强信息科技风险监管的国际合作。一是加强与国外监管机构的交流合作，学习、借鉴并逐步消化转换，形成自己的监管体系;二是尝试与国外监管机构之外的机构合作，如参加ISACA等国际专业性组织的活动等，掌握信息科技风险前沿动态，不断提升我国信息科技风险监管水平。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。