探索銀行業信息科技風險監管框架

銀行業信息科技風險核心監管指標

在實施“風險爲本”的監管框架中，需要探索建立一套可量化、相對簡單、可動態監測的核心監管指標體系，來動態監測信息科技風險狀況，直觀評估銀行信息科技風險的管理水平。

核心監管指標作爲監管機構識別和預警銀行風險的重要手段和方法，對健全內部風險制衡機制，完善風險管理政策和流程，優化風險計量工具，進行有效的風險控制起到了積極的促進作用。信息科技風險核心監管指標可以分爲兩類，一類是結果性指標，另一類是過程性指標。結果性指標是以目標爲導向，對已經發生的科技風險事件和信息安全事件進行統計後建立的量化指標，其反映的是風險狀況和發展趨勢。過程性指標主要反映銀行風險控制和管理能力。這樣兩類指標相互補充，起到全面評估機構風險水平的目的。

信息科技風險監管具體目標包括業務連續性、信息安全、公衆滿意度以及合法合規。從信息科技風險監管目標出發，可逐層分解出系統可利用率、業務量等指標，它們相對簡單、直觀、容易測算和計量，可以成爲結果性指標。另外一類是過程性指標，這類指標基於當前銀行業信息科技管理最佳實踐，對信息科技的每個領域都能夠起關鍵控制作用。監管指標一方面可以用來監測銀行業整體風險狀況，評估銀行業風險水平，同時也可以與監管手段相結合，提高信息科技風險監管水平。

銀行業信息科技風險資本計量

信息科技風險是巴塞爾新資本協議全面風險計量框架中的組成部分，科技風險資本計量是科技風險管理的重要手段。

計量信息科技風險可以借鑑當前相對成熟的操作風險的計量方法。但是，直接用操作風險計量方法計量信息科技風險存在挑戰，主要表現如下：一是信息科技風險與總收入、業務交易量、客戶數或業務交易金額等指標的關聯並不密切；二是大部分信息科技風險的損失不是顯性的，除少數信息科技風險事件(如引發客戶索賠、延誤罰息)有“直接損失”外，大部分信息科技風險事件的影響體現爲業務中斷、聲譽受損等“間接損失”；三是信息科技風險損失數據相對較少，極端嚴重事件的數據更少，計量 “尾部風險”面臨挑戰。

基於高級法的計量思路是在操作風險的統一計量框架下對信息科技風險這一類型單獨計量，可將信息風險損失定義爲金額損失和時間損失兩個維度，建立時間與金額的轉換關係，擬合頻率分佈和嚴重度分佈，之後整合爲總損失分佈，根據置信度確定未來一定時期內的非預期損失，最後用內部衡量法進行調整得出計量結果。將科技風險持續時間轉換爲間接損失金額有兩種方法，分別爲解析法和映射法。解析法是考量信息系統對銀行利潤貢獻度，即某個信息系統單位時間對銀行產生的利潤，根據系統中斷時間、影響範圍、系統重要性進行計算，得出信息科技風險事件的間接損失。映射法是根據影響範圍和系統重要程度將影響時間加權計算轉化爲“標準”的影響時間，然後建立標準影響時間與損失金額之間的映射關係，從而確定損失。

未來，隨着信息技術的飛速發展，銀行業對信息科技的依賴越來越大，雲計算、物聯網等新技術既加快了銀行創新發展，對信息科技風險管理提出了更高的要求；快速變化的外部環境，開放的互聯網環境，技術類企業、第三方平臺等非金融機構與銀行業的業務服務不斷融合等，所有這些都使得信息科技風險管理與監管面臨着更加現實的挑戰，需要我們不斷地思考和研究，提高信息科技風險管理能力。

        （本文是中國金融四十人論壇內部課題《銀行業金融機構信息科技風險監管研究》的報告簡本，課題得到中國金融四十人論壇立項資助並組織專家評審）

（文章來源：21世紀經濟報道）