信息科技和互聯(lián)網(wǎng)技術(shù)日新月異的發(fā)展，為傳統(tǒng)銀行業(yè)帶來了革命性的變化，不僅為商業(yè)銀行的經(jīng)營管理、產(chǎn)品創(chuàng)新和風(fēng)險控制提供了新的思路、方法和工具，也成為銀行在激烈的市場競爭中搶占制高點的關(guān)鍵要素?？梢哉f，掌握和運用金融科技如今已經(jīng)成為銀行的核心競爭力。
　　銀行IT風(fēng)險的主要特點
　　從風(fēng)險的屬性來看，信息科技風(fēng)險是銀行操作風(fēng)險的重要組成部分，具體而言，就是商業(yè)銀行在運用信息科技的過程中，由于受到自然因素、人為因素、技術(shù)漏洞和管理缺陷影響而產(chǎn)生的風(fēng)險。與其他領(lǐng)域的風(fēng)險相比，信息科技風(fēng)險具有以下主要特點：
　　信息科技風(fēng)險具有突發(fā)性，應(yīng)急處置難度大。從科技風(fēng)險發(fā)生的過程來看，外界因素的突然變化往往引致風(fēng)險事件的觸發(fā)，如自然災(zāi)害、電子元器件故障、電力中斷和網(wǎng)絡(luò)癱瘓等。這些因素不但難以預(yù)測，而且也經(jīng)常疏于防范，因此一旦發(fā)生，將立即對銀行整體信息科技系統(tǒng)產(chǎn)生巨大的影響。同時，由于信息科技風(fēng)險的突發(fā)性，銀行在處置應(yīng)急事件時也處于被動地位，需要在短時間內(nèi)對風(fēng)險發(fā)生的原因、路徑做出分析并找到解決方法，這也給銀行提出了更高的挑戰(zhàn)。2011年3月，日本第二大銀行集團瑞穗金融集團子公司瑞穗銀行的電腦系統(tǒng)受到大地震影響，連續(xù)出現(xiàn)大規(guī)模故障，行長引咎辭職。
　　信息科技風(fēng)險具有隱蔽性，日常管理難以發(fā)覺。目前，銀行主要業(yè)務(wù)流程均已實現(xiàn)信息化，業(yè)務(wù)的開展主要依托信息平臺。但是，由于應(yīng)用系統(tǒng)的設(shè)計者對銀行業(yè)務(wù)流程的不熟悉，或是對風(fēng)險點的考慮不周全，往往在系統(tǒng)設(shè)計之初就留下了缺陷。這些缺陷往往存在于系統(tǒng)底層，通過日常管理和維護難以發(fā)覺，只有經(jīng)過長期大規(guī)模應(yīng)用后才能逐漸被發(fā)覺，體現(xiàn)出較強的隱蔽性。2006年，由于工商銀行紙黃金交易系統(tǒng)存在漏洞，樊某和宋某利用2.7萬元本金，在短短十天內(nèi)就獲利2100萬元，雖然最后經(jīng)法院審理撤消了相關(guān)交易，但給銀行引發(fā)了巨大的聲譽風(fēng)險。
　　信息科技風(fēng)險的影響范圍具有廣泛性，破壞性很強。在當(dāng)前銀行數(shù)據(jù)大集中的背景下，一旦總行核心系統(tǒng)和主干網(wǎng)絡(luò)出現(xiàn)故障或受到攻擊，將立刻傳導(dǎo)到各分支結(jié)構(gòu)引發(fā)連鎖反應(yīng)，造成全行性的業(yè)務(wù)停頓和與客戶流失的災(zāi)難性后果。商業(yè)銀行的強外部性也使得銀行的風(fēng)險容易外化，成為個人、企業(yè)乃至經(jīng)濟運行整體的風(fēng)險，因此一旦信息科技系統(tǒng)出險，也將波及銀行體系外的經(jīng)濟活動參與者，造成無法估量的損失。2007年12月，招商銀行因運行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進(jìn)行，中斷營業(yè)近1個小時。
　　信息科技風(fēng)險具有專業(yè)性強，復(fù)雜程度高。作為金融業(yè)務(wù)與信息技術(shù)結(jié)合的產(chǎn)物，信息科技風(fēng)險不但兼具兩者的專業(yè)性特點，而且由于技術(shù)交叉，又衍生出了新的特點。特別是近年來，伴隨著新興技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊、木馬釣魚、黑客病毒的技術(shù)水平越來越高，銀行的處置的難度也越來越大，需要不斷提升自身防范能力和技術(shù)水平，才阻斷風(fēng)險發(fā)生和蔓延的路徑。2011年，荷蘭合作銀行受到分布式拒絕服務(wù)（DDoS）攻擊，致使其網(wǎng)絡(luò)銀行和移動銀行服務(wù)幾乎完全癱瘓，造成客戶無法登陸網(wǎng)銀和手機銀行，嚴(yán)重影響了該業(yè)務(wù)的正常使用。
　　境外銀行IT風(fēng)險監(jiān)管的主要做法
　　作為操作風(fēng)險的重要組成部分，對信息科技風(fēng)險的監(jiān)管已成為國外監(jiān)管當(dāng)局關(guān)注的重點之一。新巴塞爾資本協(xié)議明確提出信息科技風(fēng)險是操作風(fēng)險的重點，巴塞爾委員會發(fā)布的《操作風(fēng)險管理和監(jiān)管的良好作法》也同樣適用于對信息科技風(fēng)險，銀行應(yīng)建立業(yè)務(wù)條線管理、獨立的法人操作風(fēng)險管理部門和獨立的評估與審查這三道防線，對信息科技風(fēng)險進(jìn)行全面管理。從實踐經(jīng)驗來看，各國監(jiān)管當(dāng)局主要采取以下做法，加強對信息科技風(fēng)險的監(jiān)管：
　　發(fā)布監(jiān)管文件、指引。美國在1999年頒布金融現(xiàn)代化法案，規(guī)定金融機構(gòu)必須實行安全計劃來保護客戶個人信息，是目前眾多信息科技風(fēng)險監(jiān)管法規(guī)和監(jiān)管指引的基礎(chǔ)。隨后，美國聯(lián)邦存款保險公司（FDIC）發(fā)布《信息科技檢查程序》（Information Technology Examination Procedures）和《金融機構(gòu)使用國外第三方服務(wù)提供商指引》（Guidance for Financial Institutions on the Use of Foreign—Based Third—Party Service Providers）等文件，為商業(yè)銀行進(jìn)行科技風(fēng)險管理提供了指引和框架。新加坡金管局（MAS）也于2008年發(fā)布了《網(wǎng)上銀行和科技風(fēng)險管理指引》（Internet Banking and Technology Risk Management Guidelines）。
　　監(jiān)管評級。美國聯(lián)邦金融機構(gòu)檢查委員會（FFIEC）制定了統(tǒng)一技術(shù)風(fēng)險評級標(biāo)準(zhǔn)（Uniform Rating System for Information Technology），用于評估金融機構(gòu)和IT服務(wù)提供商的技術(shù)風(fēng)險，詳細(xì)了解被監(jiān)管機構(gòu)的信息科技風(fēng)險敞口，從而采取相應(yīng)的監(jiān)管政策。荷蘭央行對金融機構(gòu)采用FIRM（金融機構(gòu)風(fēng)險管理）評級，通過綜合評級將金融機構(gòu)風(fēng)險由低到高分為T1至T4級別，并據(jù)此規(guī)劃監(jiān)管資源、安排監(jiān)管計劃。
　　加強對外包服務(wù)的監(jiān)管。澳大利亞審慎監(jiān)管署（APRA）要求被監(jiān)管機構(gòu)應(yīng)當(dāng)對第三方服務(wù)協(xié)議和水平進(jìn)行持續(xù)監(jiān)測，盡職調(diào)查服務(wù)供應(yīng)商的服務(wù)水平和潛在風(fēng)險，關(guān)注服務(wù)協(xié)議內(nèi)容對IT安全框架的影響，并建立服務(wù)報告機制。美國銀行服務(wù)公司法案（Bank Service Company Act）規(guī)定，監(jiān)管機構(gòu)對第三方技術(shù)服務(wù)提供商具有同等的監(jiān)管權(quán)力，多家監(jiān)管機構(gòu)“輪流主持”，每兩年確定一個主監(jiān)管機構(gòu)，主導(dǎo)對第三方技術(shù)服務(wù)提供商的監(jiān)管。
　　現(xiàn)場檢查。香港金管局年報披露，2011年香港金管局共實施了18項針對信息科技、網(wǎng)上銀行及業(yè)務(wù)操作風(fēng)險的現(xiàn)場檢查，并計劃于2012年進(jìn)行專題審查，以評估被監(jiān)管機構(gòu)對通過網(wǎng)上銀行、手機銀行及電話銀行服務(wù)進(jìn)行的交易的安全管控，以及對信息科技問題及變更管理程序所實行的管控措施。
　　國內(nèi)銀行IT風(fēng)險監(jiān)管問題
　　銀行間信息科技水平差距較大，基層銀行信息科技風(fēng)險管理能力薄弱。以工商銀行為代表的大型銀行在信息科技領(lǐng)域進(jìn)入較早，把大量的人力、物力、財力資源投向信息科技建設(shè)，因此在信息科技基礎(chǔ)設(shè)施、核心系統(tǒng)建設(shè)、系統(tǒng)數(shù)據(jù)集中建設(shè)等方面都取得了非常突出的成績，部分領(lǐng)域還走在了國際前列。但是大部分中小銀行，特別是城市商業(yè)銀行和農(nóng)村金融機構(gòu)等基層機構(gòu)，由于受到先天不足等因素的影響，銀行信息科技建設(shè)普遍滯后，信息科技風(fēng)險的防控意識還很淡漠，防控手段也十分有限。
　　董事會、高管層重視不夠，技術(shù)、業(yè)務(wù)、風(fēng)險部門溝通協(xié)調(diào)不足。雖然銀行的董事會和高管層已逐漸認(rèn)識到信息科技對于提高經(jīng)營效率、防范經(jīng)營風(fēng)險的巨大作用，但是在深層次上依然把信息科技風(fēng)險理解為“技術(shù)問題”，沒有把科技治理和信息科技風(fēng)險防控提高到銀行發(fā)展戰(zhàn)略的高度上來。而技術(shù)部門、業(yè)務(wù)部門和風(fēng)險部門也由于缺乏相應(yīng)的協(xié)調(diào)機制，彼此有效溝通不足，因此容易形成“各說各話”的局面，對信息科技風(fēng)險的認(rèn)知不夠全面具體，僅僅作為低層次的“操作問題”，缺乏有效的治理架構(gòu)。
　　科技軟硬件設(shè)施基礎(chǔ)薄弱，災(zāi)備應(yīng)急能力不足。受技術(shù)水平和投入資源的限制，部分國內(nèi)銀行在科技軟硬件設(shè)施建設(shè)還存在許多問題，核心設(shè)備存在單點故障隱患和性能不足的問題，一旦出現(xiàn)故障，將直接導(dǎo)致核心網(wǎng)絡(luò)系統(tǒng)癱瘓。計算機機房、網(wǎng)絡(luò)構(gòu)架、防火墻建設(shè)不達(dá)標(biāo)的問題時有發(fā)生。同時，作為信息科技風(fēng)范防范的重要環(huán)節(jié)，我國銀行在災(zāi)備中心的建設(shè)方面還有很多缺陷，部分銀行認(rèn)為災(zāi)備中心建設(shè)資金投入大、周期長、運維成本高，因此僅采取初級的方法進(jìn)行數(shù)據(jù)的簡單拷貝備份，無法滿足跨平臺、跨系統(tǒng)和業(yè)務(wù)持續(xù)的災(zāi)備要求，更不具備真正的災(zāi)難恢復(fù)能力。 信息科技風(fēng)險專業(yè)人員缺乏，人員配置比例較低。信息科技系統(tǒng)的開發(fā)和應(yīng)用人員除了要掌握信息系統(tǒng)構(gòu)架和技術(shù)，更要對銀行業(yè)務(wù)十分熟悉，必須具備綜合運用的能力，而應(yīng)對突發(fā)的信息科技風(fēng)險，更要由具備豐富技術(shù)經(jīng)驗的人員在第一時間發(fā)現(xiàn)問題并予以干預(yù)。我國大部分銀行的信息科技建設(shè)起步較晚，在人才培養(yǎng)和積累方面還很不夠，信息科技人員占銀行全部員工的比例遠(yuǎn)不及國際平均水平，個別銀行信息科技人員兼崗現(xiàn)象嚴(yán)重，并無科技背景，只通過短期技術(shù)培訓(xùn)，履職能力更是十分有限，無法滿足銀行系統(tǒng)開發(fā)維護的需求。
　　信息科技項目開發(fā)水平有限，外包服務(wù)依賴性強。信息科技項目的開發(fā)具有較強的專業(yè)性，部分銀行受制于人力資源約束，因此將大部分項目開發(fā)外包給第三方。但是，由于缺乏對外包服務(wù)供應(yīng)商的準(zhǔn)入審核，對外包服務(wù)的評估和跟蹤也沒有相應(yīng)的制度安排，銀行員工往往只能掌握系統(tǒng)應(yīng)用和簡單運維，無法自主進(jìn)行系統(tǒng)功能拓展，應(yīng)對突發(fā)事件的水平更是難以保證。對外包服務(wù)管理的欠缺和對外包服務(wù)商的過度依賴，嚴(yán)重影響了銀行的業(yè)務(wù)創(chuàng)新和發(fā)展，同時也為客戶資金和信息安全埋下了隱患。
　　從目前國內(nèi)銀行業(yè)整體情況來看，信息科技風(fēng)險的管理意識已有了較大程度的提高，核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)中心建設(shè)不斷完善，應(yīng)急體系的建設(shè)也取得了較大的進(jìn)步，提升了信息科技風(fēng)險的管控能力。但是，我國銀行業(yè)科技治理的水平不高，科技管理不夠精細(xì)，業(yè)務(wù)連續(xù)能力有待進(jìn)一步加強，在防控信息科技風(fēng)險方面還有諸多不足。
　　加強銀行IT風(fēng)險監(jiān)管的建議
　　“十二五”時期是我國銀行業(yè)改革與發(fā)展的重要歷史時期，銀行業(yè)必須抓住這一有利機遇，促使信息科技在銀行業(yè)務(wù)領(lǐng)域的快速發(fā)展，以進(jìn)一步發(fā)揮信息科技在銀行經(jīng)營管理中的基礎(chǔ)性作用。當(dāng)前，我國銀行業(yè)面臨復(fù)雜多變的國內(nèi)外經(jīng)濟環(huán)境，金融危機和歐債危機的震蕩影響還遠(yuǎn)未消除，穩(wěn)健可持續(xù)經(jīng)營的壓力不斷增加。信息科技要承擔(dān)起對銀行業(yè)務(wù)發(fā)展與創(chuàng)新的支撐作用，進(jìn)一步強化風(fēng)險管理的使命，提升銀行經(jīng)營管理的效率，不斷提高核心競爭力。與此同時，快速發(fā)展的信息技術(shù)也對銀行信息科技風(fēng)險管控提出了更高的要求，給監(jiān)管部門也提出了更嚴(yán)峻的挑戰(zhàn)。2009年，銀監(jiān)會正式頒布實施《商業(yè)銀行信息科技風(fēng)險管理指引》，隨后又組織編寫了《商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查指南》、《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》、《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》等配套手冊和制度，以此為據(jù)開展了一系列信息科技風(fēng)險自查、檢查、整改工作。2011年10月，銀行業(yè)信息科技風(fēng)險管理高層指導(dǎo)委員會成立，在制度建設(shè)、工作規(guī)劃、專業(yè)指導(dǎo)和研究等方面取得很大進(jìn)展，對銀行業(yè)信息化建設(shè)和科技風(fēng)險管理進(jìn)行研究、指導(dǎo)、咨詢、建議、協(xié)調(diào)的作用逐步顯現(xiàn)。2012年8月，銀監(jiān)會宣布設(shè)立信息科技監(jiān)管部，負(fù)責(zé)銀行業(yè)信息科技監(jiān)管督導(dǎo)和風(fēng)險防范?？梢哉f，信息科技風(fēng)險監(jiān)管工作正在有條不紊地推進(jìn)。立足當(dāng)下，著眼未來，銀行業(yè)應(yīng)重點從以下幾個方面入手，加強銀行科技信息風(fēng)險管理和監(jiān)管。
　　將信息科技風(fēng)險納入銀行全面風(fēng)險管理體系。銀行要把信息科技風(fēng)險管理作為常態(tài)化風(fēng)險管理工作內(nèi)容，加強董事會、高管層和專業(yè)委員會的科技風(fēng)險管理履職能力建設(shè)，在銀行全體員工中樹立并強化科技風(fēng)險安全意識，在業(yè)務(wù)全流程中時刻關(guān)注信息科技風(fēng)險，建立完整的風(fēng)險識別、計量和處置制度安排和流程設(shè)計。監(jiān)管部門在開展非現(xiàn)場監(jiān)管和現(xiàn)場檢查時，必須把信息科技風(fēng)險作為關(guān)注重點，把信息科技風(fēng)險防控納入銀行評級體系。
　　完善信息科技風(fēng)險治理架構(gòu)。銀行應(yīng)按照巴塞爾委員會《操作風(fēng)險管理和監(jiān)管的良好作法》的要求，建立起信息科技風(fēng)險管理的三道防線，特別是要加強銀行內(nèi)部對信息科技風(fēng)險的獨立評估審查。監(jiān)管部門要定期對銀行科技治理情況進(jìn)行審查，督促銀行建立職責(zé)明確、功能互補、相互監(jiān)督、相互制約的信息科技風(fēng)險防范的整體架構(gòu)。
　　加大軟硬件基礎(chǔ)設(shè)施投入力度，完善災(zāi)備應(yīng)急能力。銀行要建立適度超前的IT基礎(chǔ)設(shè)施和統(tǒng)一平臺框架，為核心系統(tǒng)的持續(xù)擴展留下空間，建設(shè)高效率、低能耗的數(shù)據(jù)中心，強化系統(tǒng)核心安全機制建設(shè)，保障信息安全。要對信息系統(tǒng)的運行狀況進(jìn)行全程監(jiān)控，制定應(yīng)急預(yù)案和業(yè)務(wù)恢復(fù)機制，并以較高標(biāo)準(zhǔn)做好數(shù)據(jù)轉(zhuǎn)移和備份工作，加強災(zāi)備演練，以應(yīng)對突發(fā)事件的沖擊。
　　強化對技術(shù)外包的風(fēng)險管理。銀行要建立健全外包服務(wù)管理制度，加強對服務(wù)供應(yīng)商的資質(zhì)審核，選擇適合的服務(wù)供應(yīng)商成為長期合作伙伴，以確保信息系統(tǒng)建設(shè)的持續(xù)性和應(yīng)對突發(fā)問題的可靠性。監(jiān)管部門要加強對銀行外包服務(wù)的監(jiān)督檢查，指導(dǎo)銀行科學(xué)制定外包管理策略，合理規(guī)劃外包服務(wù)規(guī)模，加強對外包服務(wù)風(fēng)險的防控。
　　努力培養(yǎng)科技人才，做好信息科技人才儲備。銀行要樹立“人才為本”的理念，加強信息科技人才隊伍建設(shè)，通過適當(dāng)?shù)募顧C制，吸引高端人才不斷加入。同時，要建立信息科技定期培訓(xùn)機制，推動從業(yè)人員不斷更新知識體系，強化信息科技風(fēng)險意識。
　?。ㄗ髡邌挝唬禾厝A博士后科研工作站、中國銀行業(yè)監(jiān)督管理委員