信息科技風險管控的海外經驗與借鑑

 作者：中國人民銀行丹東市中心支行 紀瑞樸 陶傳盛

信息科技風險破壞性大、影響面廣、隱蔽性高、專業性強，對其管控存在難度。國外在信息科技風險監管防控方面積累的豐富經驗，具有一定的借鑑意義。

信息科技風險是指商業銀行在運用信息科技過程中，由於自然因素、人爲因素、技術漏洞和管理缺陷產生的風險。信息科技風險與其它領域的風險相比，一是破壞性大，信息科技處理的實時性，加上商業銀行數據大集中，使得風險擴散更爲迅速，破壞性更爲劇烈；二是影響面廣，信息科技的應用和普及加快了商業銀行與同業機構和外部市場的風險傳導，放大了科技風險的影響範圍；三是隱蔽性高，信息科技處理的虛擬性使得風險潛伏更爲隱蔽，風險出現具有不確定性；四是專業性強，因此對其管控的難度更大。美國、荷蘭、新加坡等國在這方面積累了豐富經驗，值得我國學習借鑑。

國外信息科技風險監管的成功經驗

(一)美國
注重構建科學有效的監管模式。美聯儲、貨幣監理署、儲蓄機構監理署、聯邦存款保險公司、國家信用合作社聯盟等監管機構一般都設有IT監管員，其職責是研究分析技術風險對業務的影響程度，有效識別那些會影響金融機構安全的信息科技風險，並向金融機構發出風險提示。例如，聯邦存款保險公司(FDIC)在監管與消費者保護部門下設有專門的信息科技風險檢查團隊，負責統籌管理信息科技風險監管工作。信息科技風險監管人員佔FDIC全部監管人員的20％左右．其中10％的信息科技風險檢查員能夠承擔一股性的IT檢查工作，另有10％承擔專業信息科技風險檢查。

注重相關法律法規建設。1999年，美國頒佈了歷史上第—部要求監管機構建立客戶信息管理、物理防護體系的法律Gramm-Leach-Bliley Act(GLBA),是目前衆多信息科技風險監管法規和監管指引的基礎。2001年，美國五大監管機構聯合制定了有關客戶信息的安全指引，要求銀行業金融機構實施風險評估，制定安全措施，並在選擇技術服務供應商時做到盡職調查。聯邦存款保險公司(FDIC)制定了專門針對技術服務商的監管指引手冊《Supervison of TSPS》2005年，針對日益增多的客戶信息泄漏問題，監管機構發佈了信息安全監管指引。

注重監管評級。美國銀行業監管機構制定了統—技術風險評級標準(以下簡稱“URSlT”)。URSIT由單項評級和綜合評級兩部分組成，單項評級是對被檢查機構在審計、管理、開發與採購、支持與交付四個方面執行情況的評估；綜合評級根據金融機構和IT服務提供商在單項評級中的表現，從總體印象、管理糾錯能力、風險管理程序、戰略計劃、管理者水平等方面對其進行綜合評價並劃分等級。利用URSIT評級體系，監管機構系統地評價金融機構和IT服務提供商的整體風險及風險管理情況，詳細瞭解被監管機構的IT風險敞口，從而採取相應的監管政策。

注重監管延伸。美國銀行業技術服務外包非常普遍．數據中心、災備中心、信用卡、ATM設備等都可以外包給第三方技術服務提供商(TSP)，特別是有些大型TSP同時爲多達幾十家乃至上百家銀行提供服務，相應的技術風險也集中到這些技術服務提供商上，促使美國監管機構不斷加強對TSP的監管。

(二)新加坡
新加坡金管局2000年設立了科技風險處。在監管制度方面，頒佈了《網上銀行和技術風險管理指引》，包括風險管理框架、安全和控制目標、安全準則、系統開發和測試、外包管理、新興網絡威脅、銀行信息披露和客戶宣傳教育等內容。此外，新加坡金管局還發布了《移動銀行業支付安全指引》、《外包管理指引》等一系列安全建議文件。

在監管體系方面，新加坡金管局將科技風險列爲金融機構面臨的八個風險類別之一，開發了通用風險評估框架技術系統(ECRAFT)進行風險評估和信息管理。首先通過系統恢復策略、系統穩定性、數據中心業務、IT項目等八個方面倩況，判斷機構的信息科技固有風險；再採用“6C”標準：科技風險管理、系統安全、系統完整性、系統控制、系統恢復性、審計和法規遵從，爲機構科技風險控制能力評分；然後通過固有風險程度和控制措施強度，綜合判斷該機構的信息科技淨風險，通過機構之、司淨風險的比較實施差異化監管。

(三)荷蘭
荷蘭中央銀行也是國際上較早開紹關注科技風險的監管機構之一，在上世紀90年代就有針對電子數據處理的審計檢查。201O年之前整個荷蘭央行的監管目標主要是防止單家機構倒閉風險，對機構進行持續有效的以風險爲導向的監管。從2010年開始，監管目標更加關注整個銀行業的風險，並開始思考企業文化和管理者行爲對風險的影響。在科技監管策略上，荷蘭央行認爲監管者必須確認金融機構具備識別並採取適當措施管理信息科技相關風險的能力。具體而言，荷蘭央行提出金融機構風險管理應具備“三道防線”，包括管理和控制措施的擁有者，內控、風險、合規部門以及內部審計，同時整個風險管理過程還必須受到監事會、審計委員會的監督。