银行业金融机构信息科技风险监管研究_阎庆民.pdf

【金融实务】 银行业金融机构 信息科技风险监管研究* ◎阎庆民 摘要：本文全面论述了银行业信息科技风险的特点、重要性和特殊性，通过深入分 析中国银行业信息科技风险管理面临的突出问题，探讨了信息科技风险与操作风险、全 面风险管理之间的关系，提出将信息科技风险从操作风险中拆分并独立管理的观点，创 新提出了以“目标”和“过程控制”为导向的信息科技风险核心监管指标构建方法，并对 信息科技风险资本单独计量的方法进行了思考和设计。通过本文的研究，为不断完善 银行业信息科技风险监管理论方法，进一步提高监管有效性，提供了参考意见和思路。 关键词：信息科技风险 管理定位 监管指标 资本计量 一、引 言 信息科技是银行业务运营的基础平台，也是现代银行必不可少的重要基础设 施。信息科技已与业务高度融合，成为我国银行业打造核心竞争力、持续发展的关键 环节。随着信息科技的广泛应用，银行几乎所有的业务运营和管理活动都高度依赖 作者阎庆民系中国银行业监督管理委员会主席助理。 *本文为中国金融四十人论坛（CF40）内部课题“银行业金融机构信息科技风险监管研究”的部分成果，课题 报告得到CF40立项资助并组织专家评审。 新金融评论/ChinaFinanceReview 142 银行业金融机构信息科技风险监管研究 于信息系统，随之而来的信息科技风险对银行业稳健发展带来巨大挑战，资金安全、 信息安全、业务中断等风险事件对银行产生全面影响，信息科技风险甚至成为唯一可 能使银行业务在瞬间全部瘫痪的重要风险。因此，加强对银行业信息科技风险的研 究，深入思考、探索信息科技风险管理和监管的理论、工具和方法，探讨解决当前银行 业信息科技风险管理面临的突出问题，推动银行业将信息科技风险纳入全面风险管 理体系，在当前具有非常重要的现实意义和前瞻价值。 二、银行业信息科技风险管理概述 近年来，在我国银行业向集约化、自动化、流程化、智能化发展的过程中，各银行 对信息科技的认识逐步加深，投入不断加大。信息科技已经成为银行业务日常运营 的操作平台、业务创新的基础工具和管理决策的重要手段。银行信息科技发展水平 及其与银行业务的融合程度，已经成为影响现代银行业务客户服务、衡量经营管理水 平高低的重要因素，成为全球各大银行打造核心竞争力的关键领域。相对于信息科 技建设的飞速发展，我国银行业科技信息管理方面还比较薄弱，重建设、轻管理，重眼 前、轻长远的现象还普遍存在，尚缺乏对信息科技风险的全面认知和信息科技风险管 理的统筹考虑。 （一）信息科技风险定义、分类及特点 1. 信息科技风险的定义 目前业界对于信息科技风险尚缺乏统一认识，国际上存在三种主流的定义。 （1）从逻辑角度给出抽象的定义。如国际标准组织（ISO）指出，信息科技风险是 一个给定的威胁（Threat）对一项或者一组信息科技资产的脆弱点进行攻击，并对整个 组织造成伤害的一种潜在的可能性，信息科技风险就是该威胁发生的可能性与其造 成损失的乘积。 （2）从技术角度给出偏技术化的定义。如美国国家标准技术机构（National Institute of Standards and Technology，NIST）指出，信息科技风险是指对信息系统脆 弱部位的有意或者无意的攻击，及其对组织可能造成的损失。与信息科技相关的风 险主要是由于非授权的信息披露、验证和信息损坏，无意或者故意泄露信息，以及其 他人为的或者自然的因素等原因引起。 143 2013年第2期（总第4期） 【金融实务】 （3）从应用角度给出偏重于管理的定义。如国际信息系统审计协会（ISACA）对 信息科技风险的定义：信息科技风险即组织内使用、获取、操作、参与、应用信息科技 所造成的业务风险。 中国银行业监督管理委员会指出，信息科技风险是指信息科技在商业银行运用 过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风 险。从国内银行业信息科技风险管理实践来看，中国银行业监督管理委员会关于信