我国银行信息科技风险监管研究
现代金融行业在信息技术的推动下已经发生了飞跃式变化,对信息技术的依赖性也不断提高,从业务电子化到管理信息化,从数据大集中到信息集成系统,信息技术已经渗透到银行的各个方面,成为现代银行正常经营的基础,极大的提高了银行的经营效率;信息技术与银行业务的融合在促进了业务的发展的同时,还带来了风险隐患,若不对其进行有效监管,则可能引发系统风险,甚至会危及整个金融经济体系,因此,对银行信息科技风险监管进行研究,具有重要的社会意义。
1 银行信息科技风险分析
1.1 信息科技风险概述
银行信息科技风险是指银行在使用计算机、网络等技术进行产品、服务或信息传输时,所产生或引发的不确定性因素。我国银监会出台的《商业银行信息科技风险管理指引》中对此做了如下界定:信息科技在银行运行过程中,由于自然因素、人为因素、技术漏洞以及管理缺陷产生的操作、法律或声誉等风险。可见,科技信息风险不仅涉及银行内部程序和流程,还关系到银行的组织结构、政策以及操作风险的管理流程。
1.2 银行信息科技风险特征分析
银行信息科技风险兼具信息技术和银行业务的特点,可从风险属性和管理角度对其进行分类。
第一,从属性方面分析,银行信息科技风险具有技术含量高、突发性强、快速蔓延和覆盖面广的特点。与传统风险相比,信息科技涉及计算机技术、网络通信技术和安全技术,因此其技术含量较高;信息技术风险多数是由于自然灾害或不可抗力造成技术设备被破坏,从而导致业务连续性风险;信息技术的任何一个环节出现故障,都会迅速蔓延,加剧风险的严重性;信息科技风险故障源责任无法准确确认,电信部门、电力部门或外包服务商都可能对其正常运行产生影响。
第二,从管理方面分析,信息科技风险具有历史短、范围广、标准化不足、评估和计量困难的特点。信息科技在银行业务中的应用历史较短,因此仅被视作业务处理技术手段,而未上升到战略决策的高度;信息科技与银行业务层、操作层、管理层和决策层有不同程度的关联,增大了管理范围;信息科技的硬件、软件、网络等没有形成标准化,不同银行的实现方式不同,增大了管理难度;信息科技风险引发的财产损失无法衡量,而与之相关的法律风险、战略风险更是难以进行评估和计量。
可见,银行信息科技风险具有自身特点,若不对其进行严格的防范和管理,将严重影响银行企业的运行,甚至对国家的经济稳定产生威胁,因此,加强银行信息科技风险的监督管理意义重大。
2 我国银行信息科技风险监管存在的问题
2.1 监管法规和政策方面
首先,银监会出台的一系列政策并不含国际监管准则的基本要素,仅对监管目标进行了笼统的概述,还没有建立明确的监管程序和监管要求,这些要素的缺失,降低了监管的可操作性。其次,目前的信息技术风险监管多是发布风险提示,如针对“网银安全问题”发布的“网上银行安全风险提示”,这种做法存在的主要弊端是银行和监管人员不清楚违反要求操作,会给业务带来哪些不利影响,因此降低了监管的有效性。最后,信息科技风险监管法律法规的框架已经具备,但建立的不同法规之间会存在重复或遗漏问题,对科技信息重点问题缺乏监管和指引,需要进一步的协调和完善。
2.2 监管手段和方法
目前,我国银行还未建立有效的信息科技风险评估方法和评价体系。传统风险可用特定方法进行度量,但科技信息风险具有极强的不确定性,且造成的损失存在隐蔽性,难以估量,因此还没有建立比较完善的评价体系。风险评估手段的缺失,导致银行部门无法利用传统的方法对信息科技风险进行抵御和防范;在非现场监管方面,无法有进一步的作为,只能对科技投入进行监测,无法对由于内部操作引起的损失进行全面掌握,监管处于事后应对的被动阶段。信息科技风险监管不仅缺乏量化指标,还缺少有效的评价体系,难以对银行信息科技风险形成较为全面的理解,监管处于割裂、无序的状态。
2.3 监管人力资源
我国银行信息科技风险监管人员配备上存在很大不足,据统计,全国银监会系统内专职从事信息科技风险监管工作的专业人员仅为总数的0.4%左右,与国外发达国家相比,存在很大差距;从人员素质方面上看,我国银行信息科技风险监管人员多为计算机专业,对银行业务了解不多,因此只能承担着本单位内部系统维护的职能;银行信息科技风险监管是需要懂技术、懂业务的复合型人才,否则难以发现信息科技系统内存在的风险隐患。
3 加强我国银行信息科技风险监管的对策研究
3.1 完善银行信息科技风险监管机制
3.1.1 健全银行信息科技风险监管的法律法规体系
监管机构应积极学习国外银行的先进理念,结合我国国情制定完善的法律法规体系。为有效应对我国银行机构在信息科技方面治理缺失、重视不够、规划不足和管理不到位等原因,带来的系统性风险不断增大等问题,将风险管理关口前移,监管机构应在机构、业务和信息准入方面加大管理力度,将信息科技准入纳入相关的行政许可法规中,确保银行在金融机构设立、业务开办与系统运行之前就能符合业务发展的需要,为业务的正常运行提供安全的环境;要制定银行信息科技风险治理意见,从组织结构、战略规划、运行机制、激励约束等方面明确监管要求,指导银行建立完善的风险管理组织结构。制定银行信息安全管理规范,组织银行金融机构总结经验,明确目标,制定符合我国银行发展实际的信息安全管理规范,从安全策略、管理体系、技术要求、风险评价与监督四个方面形成完善的信息安全管理体系。 3.1.2 增加信息科技风险监管资本投入力度
信息科技与银行业务高度融合,这就要求我们不仅要从科技角度对其风险进行识别、评估和处理,还应将信息科技与监管资本密切联系。首先,将信息科技风险纳入银行机构全面风险管理框架中,使信息科技风险得到量化评估;其次,建立信息科技风险监管协作机制,将风险专业评估结果纳入风险评估报告中,在机构、高管和业务准入及退出环节增加信息科技条件,防止信息科技风险防控不达标的机构、高级管理人员和有关业务进入;最后,将信息科技风险与监管资本结合,提高机构对信息科技管理及风险防控的重视力度。
3.1.3 完善信息科技风险评估体系
信息科技风险评估的有效开展是以非现场监管为基础的,建立一套科学、合理的监管风险体系可为监管人员的业务开展提供便利,促使其准确识别、监测、评估和分析信息科技风险,并为风险预警、监管评级、分类管理和持续改善提供参考和依据。我国科技信息风险监管处于起步阶段,要尽快积累历史数据,对其进行分析,然后根据不同机构的特点制定一套标准模型分值和权重,使其在实际应用过程中不断完善和修正;充分发挥信息监管人员的积极性,鼓励他们不断学习,提高自身的学习的积极性;学习国内外企业的先进监管经验,吸收和借鉴最新的实践成果,对现有的评价体系进行调整和补充。
3.2 提升信息科技风险监管科技水平
银行机构应建立信息技术实验室,为监管人员模拟银行业务操作,近距离了解信息科技风险提供条件。信息技术实验室主要职能有:信息科技风险培训,实验室可由两部分组成,其中一部分为小型的数据中心,配备网络、服务器等设备,同时安装银行业务模拟系统,供监管人员了解二维码、云计算、家庭银行、在线测试技术的发展情况,保障监管机构在技术风险管理领域处于领先地位。
3.3 强化信息科技风险监管队伍建设
信息科技风险监管专业性强、进入门槛高,是否具备足够的高素质专业人才是决定监管有效性的重要因素。我国银行业信息科技风险监管人才匮乏,应大力加强人才队伍的建设。建立学习型团队,将监管人员从大量、繁杂的技术维护工作中解放出来,使其能够继续学习专业技能;进一步加强合作交流,可派技术骨干前往其他机构学习考察,学习先进的管理经验和预防技巧;通过交流,分享经验,探讨形势及其应对策略;鼓励业务监管人员掌握信息科技监管知识,增加信息科技风险监管人员的来源途径,减轻人力资源紧张问题。
4 结束语
综上所述,信息技术、网络技术和通信技术与银行业务的融合,一定程度上促进了银行业务的拓展,方便了人们的消费,提高了银行工作效率;同时我们也应该意识到,信息技术的应用也会给银行业务造成威胁,应从监管体系、资本投入以及人才培养三个方面采取措施,降低信息科技风险带来的损失,提升我国银行应对信息科技风险的能力,保障我国金融行业的稳定发展。
- 上一篇:中国村镇银行发展研究
- 下一篇:我国农村合作银行上市条件与路径选择
