银行业金融机构信息科技风险监管研究

阎庆民　谢翀达　骆絮飞　著

中国金融出版社2013年4月出版 

本书作者

　　阎庆民，中国银行业监督管理委员会党委委员、主席助理，经济学博士、管理学博士，研究员，享受国务院特殊津贴专家。中国金融学会常务理事，中国金融四十人论坛学术委员、成员，上海新金融研究院学术顾问。曾任第十一届全国政协委员。
在《金融研究》、《改革》、《管理世界》等国家核心期刊发表学术论文80余篇，出版学术专著6部。

 
本书目录

第一章　银行业信息科技风险管理概述

第一节　信息科技风险定义、分类及特点
第二节　银行业信息科技风险管理发展历程及现状

第二章　商业银行信息科技风险管理实践分析

第一节　信息科技风险管理架构
第二节　信息科技风险管理流程
第三节　信息安全
第四节　信息系统开发、测试和维护
第五节　信息科技运行
第六节　业务连续性管理
第七节　外包
第八节　内外部审计
第九节　问题与挑战

第三章　银行业信息科技风险与操作风险及全面风险管理的关系

第一节　银行业全面风险管理理论
第二节　信息科技风险管理理论
第三节　银行业信息科技风险管理的重要性和特殊性
第四节　信息科技风险与操作风险及全面风险管理的关系

第四章　银行业信息科技风险监管

第一节　国际银行业信息科技风险监管现状
第二节　中国银监会信息科技监管框架
第三节　信息科技风险监管面临的挑战

第五章　信息科技风险核心监管指标

第一节　信息科技风险核心监管指标研究的必要性和作用
第二节　信息科技风险核心监管指标的概念和分类
第三节　信息科技风险核心监管指标的构建
第四节　信息科技风险核心监管指标应用
第五节　信息科技风险核心监管指标实证研究

第六章　信息科技风险资本计量

第一节　信息科技风险资本计量的背景、意义、目标
第二节　信息科技风险资本计量的思路
第三节　信息科技风险资本计量的数据标准
第四节　信息科技风险资本计量框架及“三大工具冶的作用
第五节　信息科技风险资本计量方法
第六节　信息科技风险资本计量实例

第七章　研究结论及政策启示

第一节　信息科技风险管理与监管的理论价值
第二节　研究总结
第三节　信息科技风险管理与监管的思考和展望

参考文献

附件一　商业银行信息科技风险管理实例

第一节　某国有大型商业银行信息科技风险管理实例
第二节　某股份制商业银行信息科技风险管理实例
第三节　某外资银行信息科技风险管理实例

附件二　Principles for Effective Risk Data Aggregation and RiskReporting

后记

附录一　中国金融四十人论坛简介

附录二　中国金融四十人论坛组织架构与成员名单(2013 年)

序

　　信息科技革命浪潮势不可挡。如果说农业革命将人类从游牧部落变成城市居民，工业革命带来现代机械化经济，那么信息科技革命将彻底改变世界，改变商业、社会和经济。信息科技的重要性已被提升到国家战略高度。党的十八大报告提出，坚持走中国特色信息化道路，建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用，推动信息化和工业化深度融合。

　　银行业作为资金和技术密集型行业，高度依赖信息科技。信息科技对金融基础设施、金融安全网建设发挥着重要的支撑作用，正在急剧改变银行经营模式和服务手段，不断拓展银行服务的空间。当前，信息科技在银行中的作用集中体现在四个方面：一是拓展服务渠道。网上银行、手机银行、自助银行的发展，突破银行经营的地域和时间限制，实现随时随地服务。二是实现业务处理电子化。现在银行业务都要通过信息技术平台实现，其中约有2/3的交易通过电子交易实现，电子交易提升银行服务效率，降低服务成本。三是提升管理能力。银行通过建立客户关系管理、数据分析、风险管理等信息管理系统，提升管理效能和风险控制能力。四是保障信息安全。通过建立灾备系统、集中监控、数据安全等信息安全系统，维护银行信息安全。

　　但是，随着互联网、移动网络、云计算、智能终端等技术的快速发展，信息科技在带来银行服务便利化的同时，引发的风险也日益凸显。当前，我国银行业信息科技风险管理面临诸多挑战：一是核心技术受制于人。国内银行使用的关键硬件和基础软件都是进口的，制造商处于绝对垄断地位，与硬件设备相关的技术服务也集中在少数供应商手中。二是网络安全形势严峻。银行服务体系对网银等电子渠道的依赖程度加深，网络攻击呈组织化规模化利益化态势，任何流程缺陷或者安全漏洞都有可能导致客户信息泄露或不当利用，产生严重后果。三是信息科技外包依赖度和集中度较高。特别是许多中小银行信息科技大量依赖外包，而对外包机构的管理控制不到位，存在风险隐患。四是银行业务快速扩张，新系统上线快，安全管控经验不足，信息科技人才缺乏，管理和维护跟不上，加之信息技术受众面广，一旦业务系统和网络出现故障，很可能导致系统性风险和灾难性后果。

　　鉴于信息科技风险具有复杂性、突发性、破坏性等特征，加强银行信息科技风险监管因此变得十分重要和紧迫。研究银行业信息科技风险监管的理论、工具和方法，加强信息科技风险的预警、识别、评估和度量，也因此成为加强系统性风险防范、提高监管有效性的重要内容。

　　阎庆民同志主持的银行业金融机构信息科技风险监管研究，是中国金融四十人论坛重大研究课题。课题组历时一年，对信息科技风险监管问题进行深入研究，形成高质量的报告。报告并不长，但视野宽广，在银行业信息科技风险监管方面作了有益探索，提出许多新理念、新思想、新措施，有不少突破和创新。一是将信息科技风险从操作风险中分离出来进行独立管理和计量。课题全面论证了信息科技风险特征、与操作风险的区别，认为现有操作风险管理体系没有全面覆盖信息科技风险，提出将信息科技风险从操作风险中拆分并独立管理。二是初步构建了信息科技风险监管框架。研究报告结合银行业信息科技风险特点，将信息科技风险领域划分为若干领域，包括信息科技治理、风险管理、业务连续性、信息科技运行、信息系统研发测试维护、信息安全等。初步建立了涵盖非现场监管、现场检查、风险评估与监管评级等在内的持续监管框架。三是设计信息科技风险核心监管指标，提出了两类信息科技风险监管核心指标。一类是基于结果的核心监管指标，包括信息系统可用率、重大生产事件数、系统交易成功率、信息系统中断导致的资金损失占比、重大信息安全事件数、客户投诉率等；一类是基于过程的核心监管指标，包括信息科技治理、信息科技风险管理、信息系统运行、信息安全、信息系统开发测试维护、业务连续性管理等。四是根据信息科技损失特点设计资本计量方法。研究报告从金额和时间两个维度定义信息科技风险损失，参照操作风险标准法计量的思路，提出用时间加金额的方式量化计算科技风险损失，提出科技风险的计量框架、模型和方法。

　　总体而言，我认为这是一项具有开创意义的研究，必将推动银行业信息科技风险管理和监管工作。当然，信息科技风险监管是个新问题，非常复杂。目前，国际上尚未形成成熟的信息科技风险监管框架。从实践看，各国信息科技风险监管各有侧重，但共同关注的领域包括数据安全、业务持续运营、电子银行安全、跨境风险等。要从根本上提升中国银行业信息科技服务能力和风险管控能力，必须立足国情，实施信息科技自主可控战略、持续发展战略、流程服务创新战略，建立有效的银行信息科技监管框架，坚持过程控制与目标控制相结合，探索有效的信息科技风险监管方法和手段，提升科技支撑作用，维护金融安全。

 
2013年3月
 

 前  言

　　信息科技是银行业务运营的基础平台，也是现代银行必不可少的重要基础设施。当前，信息科技比以往任何时候都更快地改变着银行业的格局，信息技术成倍缩短产品创新速度，优化银行内部专业分工，快速提高管理能力，显著提升客户体验，信息科技已与业务高度融合，成为我国银行业打造核心竞争力、持续发展的关键环节。信息科技创造价值的同时，也衍生风险；随着信息科技在银行业的广泛应用，银行几乎所有的业务运营和管理活动都高度依赖于信息系统，随之而来的信息科技风险对银行业稳健发展带来巨大挑战，资金安全、信息安全、业务中断等风险事件对银行产生全面影响，科技风险甚至成为唯一可能使银行业务在瞬间全部瘫痪的重要风险。随着互联网、移动网络、云计算等技术的快速发展，信息科技还将对金融模式、服务格局、金融市场发展产生深远的影响，并对现有的风险管理与监管理论、模式带来新的挑战。因此，加强银行业信息科技风险的研究，深入思考、探索信息科技风险管理和监管的理论、工具和方法，探讨解决当前银行业信息科技风险管理面临的突出问题，推动银行业将信息科技风险纳入全面的风险管理体系，在当前具有非常重要的现实意义和前瞻价值。

　　虽然信息科技的发展历史悠久，但信息科技风险仍是一个全新的概念，有关信息安全管理理论研究虽已有三十多年的历史，但信息科技风险管理和监管的理论仍处于起步和探索阶段。

　　在中国金融四十人论坛的资助下，我们对“银行业金融机构信息科技风险监管”进行了课题研究。本课题通过对中国银行业信息科技风险监管面临的突出问题、信息科技风险的定义、分类和成因等的深入分析，研究探讨了信息科技风险与操作风险、全面风险管理间的关系，明确了信息科技风险的定位，构建了信息科技风险监管框架，并对信息科技风险核心监管指标和信息科技风险资本计量方法进行了思考和设计。通过本课题的研究，为监管部门不断完善银行业信息科技风险监管理论方法，进一步提高监管有效性，提供参考意见和思路。

后记

　　科技发展造就了信息化社会，大数据时代推动着新一轮的信息化革命。信息技术在为企业创造巨大价值的同时，也迫使我们必须面对信息科技系统失效所带来的巨大风险。银行业近年来开展了一系列风险管理实践活动，但对信息科技风险管理与监管的研究，目前却还处于初级阶段。什么是信息科技风险？它在银行业风险体系中如何定位，特别是与操作风险有着怎样的关系？信息科技风险管理的基本理论和方法是什么？哪些工具可以被用来更科学、有效地管理信息科技风险？科学解答这些问题，是银行业信息科技风险有效管理的基础，也是银行业完善风险管理体系的必备前提。一年多来，笔者对当前国际国内有关银行业信息科技风险的文献进行了认真梳理，在对大量资料分析比较的基础上，通过严格的数据模型测试，反复研究，广泛论证，从而最终形成了《银行业金融机构信息科技风险监管研究》一书。本书对建立包括风险定位、核心监管指标和风险资本计量等要素在内的信息科技风险监管框架进行了探索，尝试设计一整套信息科技风险核心监管指标和风险资本计量方法，并对银行业科技风险监管的发展状况进行了总结与展望。

　　本书由中国银监会主席尚福林作序，副主席郭利根作课题指导，从选题、立项、写作以及出版过程中均得到了中国金融四十人论坛的资助，同时也得到了许多学术咨询机构、商业银行、监管部门的专家和同仁的支持。李丹、张晓朴、刘荣、宋永明、张艳、杨兵兵、程平、金磐石、王燕、陈忠阳、吴永飞、刘逸明、蔡红艳、石蕾、姚红玲、常利红、章晓仁、于乐宽、黄登玺、赵锁柱、张橙艳、曹文中、金建新、陈立节、赵伟、王贵智、杨宝辉、汤阳、焦基林、卢朝阳、程琰、李潇、丁昱英、陈莉、勾凯、刘志洋、宋玉颖、张伟强、梁峰、武娟娟等同志在材料整理和文字校对方面也做了大量工作，在此向上述同志表示衷心的感谢。

　　本书可供从事银行业风险管理研究和实务的人员研读参考，也可供经济、管理和信息科技人员参阅。因成书时间仓促，错误和纰漏在所难免，恳请各位读者批评指正。