鄔俊斌

（中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)上海監(jiān)管局，上海 200135）

一、前言

隨著信息技術(shù)向大數(shù)據(jù)、云計(jì)算、智能化、移動(dòng)化的方向發(fā)展，銀行業(yè)務(wù)對(duì)信息科技的依賴(lài)性越來(lái)越強(qiáng)、信息系統(tǒng)架構(gòu)越來(lái)越復(fù)雜、外部性特征越來(lái)越顯著；銀行的信息科技發(fā)展水平、科技與業(yè)務(wù)的融合程度，已經(jīng)日益成為影響銀行業(yè)務(wù)服務(wù)能力及經(jīng)營(yíng)管理水平高低的重要評(píng)判標(biāo)準(zhǔn)。

巴塞爾新資本協(xié)議將原來(lái)單一的信用風(fēng)險(xiǎn)監(jiān)控范圍拓展到了信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)并列的全面風(fēng)險(xiǎn)監(jiān)控，信息科技風(fēng)險(xiǎn)默認(rèn)為操作風(fēng)險(xiǎn)的一部分?！百Y本監(jiān)管”作為巴塞爾新資本協(xié)議的核心思想，其要求通過(guò)資本限制來(lái)控制銀行業(yè)務(wù)的規(guī)模，進(jìn)而控制風(fēng)險(xiǎn)。因此，巴塞爾新資本協(xié)議側(cè)重于從資本的角度來(lái)計(jì)量市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)及操作風(fēng)險(xiǎn)的損失，強(qiáng)制銀行計(jì)提相應(yīng)的資本準(zhǔn)備。

因巴塞爾委員會(huì)未對(duì)處于操作風(fēng)險(xiǎn)項(xiàng)中的信息科技風(fēng)險(xiǎn)提出具體要求，為了應(yīng)對(duì)日益突出的信息科技風(fēng)險(xiǎn)，一些國(guó)際組織和國(guó)家的監(jiān)管機(jī)構(gòu)都相繼出臺(tái)了相應(yīng)的信息科技風(fēng)險(xiǎn)管理框架、監(jiān)管指引和評(píng)級(jí)細(xì)則。例如，美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)提出了COBIT框架和Risk IT框架；國(guó)際標(biāo)準(zhǔn)組織 (ISO)提出了ISO 2700n系列標(biāo)準(zhǔn)；美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)(COSO)頒布了《企業(yè)風(fēng)險(xiǎn)管理——整合框架》；卡內(nèi)基梅隆大學(xué)提出了OCTAVE框架，以及國(guó)家監(jiān)管機(jī)構(gòu)中國(guó)銀監(jiān)會(huì)(CBRC)發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》；美國(guó)金融檢查委員會(huì)(FFIEC)制定了《URSIT技術(shù)風(fēng)險(xiǎn)評(píng)級(jí)體系》；英國(guó)金融服務(wù)管理局(FSA)制定了《金融服務(wù)中的數(shù)據(jù)安全》、《業(yè)務(wù)持續(xù)性操作指引》；香港金融管理局(HKMA)制定了《科技風(fēng)險(xiǎn)管理的一般原則》等。

但是，這些框架和指引都沒(méi)有建立定量化的風(fēng)險(xiǎn)識(shí)別、評(píng)估和管理機(jī)制。而在銀行業(yè)的風(fēng)險(xiǎn)管理框架中，資本計(jì)量又偏偏是最為重要的一環(huán)，所以，對(duì)于現(xiàn)有的信息科技風(fēng)險(xiǎn)管理理論還需要補(bǔ)充風(fēng)險(xiǎn)計(jì)量的方法，以與銀行的總體風(fēng)險(xiǎn)資本相配套。

二、計(jì)量框架及其管理工具

閻慶民（2013）提出了一種信息科技風(fēng)險(xiǎn)資本計(jì)量的框架，由管理工具、計(jì)量數(shù)據(jù)、計(jì)量方法、計(jì)量產(chǎn)出、應(yīng)用五個(gè)部分組成。風(fēng)險(xiǎn)識(shí)別評(píng)估、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KPI）、損失數(shù)據(jù)庫(kù)三個(gè)管理工具在計(jì)量框架中具有基礎(chǔ)性地位，是數(shù)據(jù)的來(lái)源，也是管理的武器。本節(jié)基于此框架?chē)L試進(jìn)行闡述引申。

信息科技風(fēng)險(xiǎn)的識(shí)別評(píng)估是風(fēng)險(xiǎn)監(jiān)管的有效前提。在信息科技開(kāi)發(fā)及運(yùn)維中的問(wèn)題和風(fēng)險(xiǎn)的識(shí)別與評(píng)估中，最常用的思路是魚(yú)骨分析法和德?tīng)柗品ā?/p>

魚(yú)骨分析法通過(guò)問(wèn)題流程對(duì)已發(fā)生或可能發(fā)生的事故的原因不斷列舉及深究，通過(guò)模擬回測(cè)等手段，盡可能多而全地找出可能的原因，并把原因分層歸類(lèi)，尋求事故的主要關(guān)鍵原因；德?tīng)柗品ㄍㄟ^(guò)分別對(duì)專(zhuān)家們咨詢(xún)產(chǎn)生事故的原因，確定主要風(fēng)險(xiǎn)因素，制定風(fēng)險(xiǎn)因素評(píng)估調(diào)查表，再通過(guò)專(zhuān)家和相關(guān)人員對(duì)風(fēng)險(xiǎn)的出現(xiàn)概率和影響程度進(jìn)行定性評(píng)估，經(jīng)過(guò)開(kāi)放式、評(píng)價(jià)式、重審式、復(fù)核式數(shù)輪調(diào)研，識(shí)別出各個(gè)風(fēng)險(xiǎn)要素的概率分布和影響度。調(diào)研的輪數(shù)可以根據(jù)實(shí)際情況進(jìn)行精簡(jiǎn)。

信息科技的風(fēng)險(xiǎn)的評(píng)估還可以借鑒操作風(fēng)險(xiǎn)的“風(fēng)險(xiǎn)與控制自評(píng)估法”(RCSA)，即銀行信息科技風(fēng)險(xiǎn)管理機(jī)構(gòu)對(duì)系統(tǒng)開(kāi)發(fā)、系統(tǒng)運(yùn)維、數(shù)據(jù)管理等信息科技各條業(yè)務(wù)流程進(jìn)行分析，識(shí)別評(píng)估風(fēng)險(xiǎn)點(diǎn)，對(duì)現(xiàn)有的控制措施的合理性和有效性進(jìn)行評(píng)價(jià)。RCSA先對(duì)信息科技工作條線的主流程及包含的子流程進(jìn)行梳理，再對(duì)流程中采取控制措施后的剩余風(fēng)險(xiǎn)進(jìn)行打分，在描繪風(fēng)險(xiǎn)發(fā)生的可能性和損失嚴(yán)重性的“風(fēng)險(xiǎn)地圖”矩陣上繪點(diǎn)，接著識(shí)別和評(píng)估風(fēng)險(xiǎn)可能性和嚴(yán)重程度較大的部分，立即采取進(jìn)一步控制措施，對(duì)問(wèn)題原因進(jìn)行追溯。

關(guān)鍵風(fēng)險(xiǎn)指標(biāo)是反映風(fēng)險(xiǎn)變化的預(yù)警指標(biāo)，用于監(jiān)測(cè)可能造成損失的事件的風(fēng)險(xiǎn)及控制措施，是一種定量指標(biāo)。關(guān)鍵風(fēng)險(xiǎn)指標(biāo)超過(guò)設(shè)定的閾值的時(shí)候則需要采取一定的措施，以減輕或回避重大科技風(fēng)險(xiǎn)事故的發(fā)生。這些關(guān)鍵風(fēng)險(xiǎn)指標(biāo)可能包括某系統(tǒng)的重大事件發(fā)生頻次、系統(tǒng)中斷時(shí)間、對(duì)外服務(wù)滿意度評(píng)價(jià)指標(biāo)、回退變更頻次、測(cè)試缺陷未探測(cè)率、人員離職率等。針對(duì)觸發(fā)關(guān)鍵風(fēng)險(xiǎn)的事故應(yīng)該進(jìn)行回顧和總結(jié)，持續(xù)改進(jìn)。

損失數(shù)據(jù)收集是信息科技風(fēng)險(xiǎn)計(jì)量的基礎(chǔ)，信息科技風(fēng)險(xiǎn)事件收集范圍的確定是數(shù)據(jù)收集工作的前提。損失數(shù)據(jù)的收集、回顧、整理，有助于全面反思執(zhí)行層面、流程層面、技術(shù)層面的問(wèn)題，以達(dá)到持續(xù)改進(jìn)的目的。結(jié)合實(shí)踐與谷歌SRE的思想，異常事件回顧應(yīng)該包括以下因素：所在系統(tǒng)、事件概要（簡(jiǎn)述事件及其處理過(guò)程）、故障現(xiàn)象（事件告警或外部保障等）、業(yè)務(wù)影響（影響時(shí)間段，交易筆數(shù)，損失金額）、原因分析、事件處理時(shí)間線、經(jīng)驗(yàn)教訓(xùn)（執(zhí)行層面，流程層面，技術(shù)層面，舉一反三）、改進(jìn)計(jì)劃（措施，時(shí)間點(diǎn)，責(zé)任人，措施類(lèi)型，跟蹤單據(jù)號(hào)）、回顧檢查表（執(zhí)行層面，流程層面，技術(shù)層面，舉一反三）。

三、資本計(jì)量方法

何茂春（2009）主張信息系統(tǒng)量化定級(jí)利用戴明環(huán)模型，通過(guò)PDCA循環(huán)不斷提升管理水平。通過(guò)信息系統(tǒng)的安全屬性，即機(jī)密性、完整性、可用性，對(duì)信息系統(tǒng)資產(chǎn)價(jià)值進(jìn)行五級(jí)定級(jí)；通過(guò)發(fā)生事件的影響度和緊急度量化因子對(duì)事件進(jìn)行五級(jí)定級(jí)。

在實(shí)踐中，可以根據(jù)影響因子和緊急度因子量化對(duì)觸發(fā)事件評(píng)級(jí)進(jìn)行劃分，以實(shí)現(xiàn)對(duì)信息系統(tǒng)事故的分級(jí)管理，滿足特定的響應(yīng)速度、通知范圍、升級(jí)條件等。在影響-緊急度因子矩陣中，可以設(shè)立相應(yīng)的主觀資本影響值，作為該事件資本損失的計(jì)量。歷史統(tǒng)計(jì)數(shù)據(jù)可以作為信息科技風(fēng)險(xiǎn)資本計(jì)量的重要參考。

楊濤（2010）提出可以考慮利用投資組合理論均值-方差模型和資本資產(chǎn)定價(jià)模型來(lái)度量銀行的信息科技風(fēng)險(xiǎn)。在應(yīng)用均值-方差模型的時(shí)候，其思路一是，將信息科技投資區(qū)分為設(shè)備、軟件、人力資本等不同項(xiàng)的投資，假定已知各項(xiàng)的投資額及預(yù)期收益，則信息科技的風(fēng)險(xiǎn)計(jì)量就表現(xiàn)為實(shí)際收益與預(yù)期收益的偏離程度；思路二是把信息科技投資當(dāng)作一個(gè)單獨(dú)的投資整體，通過(guò)估計(jì)信息科技的投資收益可能值及其相應(yīng)的概率，來(lái)得到預(yù)期信息科技收益，風(fēng)險(xiǎn)同樣表現(xiàn)為實(shí)際收益與預(yù)期收益的偏離。楊濤論證銀行信息科技的投資收益應(yīng)該由無(wú)風(fēng)險(xiǎn)收益和承受系統(tǒng)性風(fēng)險(xiǎn)得到風(fēng)險(xiǎn)收益組成。

閻慶民（2013）提出了信息科技風(fēng)險(xiǎn)資本計(jì)量的標(biāo)準(zhǔn)法和基于損失分布法的計(jì)量方法。其中，標(biāo)準(zhǔn)法通過(guò)計(jì)算信息科技投入的一定比例計(jì)算風(fēng)險(xiǎn)暴露；損失分布法設(shè)計(jì)了“時(shí)間+金額”的信息科技風(fēng)險(xiǎn)損失量化方法，建立影響時(shí)間與金額損失的對(duì)應(yīng)關(guān)系，使得信息系統(tǒng)事故產(chǎn)生的間接損失可計(jì)量；損失分布法通過(guò)歷史損失數(shù)據(jù)，擬合頻率分布和嚴(yán)重度分布，并運(yùn)用內(nèi)部衡量法對(duì)資本計(jì)量結(jié)果進(jìn)行了調(diào)整，再根據(jù)置信區(qū)間來(lái)確定一定時(shí)間內(nèi)的非預(yù)期損失。

作為銀行業(yè)信息科技監(jiān)管的絕對(duì)權(quán)威，該論文提出了完整的框架和可行的實(shí)施辦法，此后討論信息科技風(fēng)險(xiǎn)量化的相關(guān)文章較少出現(xiàn)。

四、結(jié)論與建議

作為在巴塞爾協(xié)議操作風(fēng)險(xiǎn)下的信息科技風(fēng)險(xiǎn)的資本計(jì)量方法，因?yàn)槠鋰L試對(duì)間接損失量化計(jì)入，所以往往只能通過(guò)分級(jí)分類(lèi)、分組計(jì)量的方式來(lái)擬合。在何茂春的論文中，強(qiáng)調(diào)的是對(duì)事件發(fā)生后的量化分級(jí)處理，尚未明確提出資本計(jì)量的概念；在楊濤的論文中，投資收益的預(yù)估具有較大的主觀性，特別是信息系統(tǒng)往往帶來(lái)的是間接收益，難以衡量；在閻慶民的論文中，重新定義了信息科技風(fēng)險(xiǎn)損失的定義，創(chuàng)造性地提出了基于標(biāo)準(zhǔn)法和高級(jí)法計(jì)量信息科技風(fēng)險(xiǎn)資本的計(jì)量框架和系統(tǒng)性方法，由此在信息科技資本計(jì)量方面達(dá)到了較高的水平。此后也鮮有信息科技資本計(jì)量相關(guān)論文出現(xiàn)。

近些年來(lái)，隨著金融科技和開(kāi)發(fā)運(yùn)維理念的迅猛發(fā)展，可以看到銀行業(yè)的信息科技業(yè)態(tài)已經(jīng)有了較大的變化。

在互聯(lián)網(wǎng)金融業(yè)務(wù)的沖擊下，銀行業(yè)信息科技客戶服務(wù)意識(shí)不強(qiáng)，交互設(shè)計(jì)能力差，科技部門(mén)墻明顯，決策路徑冗長(zhǎng)，技術(shù)能力不夠先進(jìn)等問(wèn)題日益影響了銀行業(yè)傳統(tǒng)業(yè)務(wù)的盈利水平。因此，對(duì)于信息科技的“尾部風(fēng)險(xiǎn)”突出、損失隱性的特點(diǎn)，除了繼續(xù)完善組織架構(gòu)、風(fēng)險(xiǎn)管理制度、事件風(fēng)險(xiǎn)庫(kù)、監(jiān)測(cè)預(yù)警機(jī)制、外包管理等傳統(tǒng)手段外，還應(yīng)該注意到國(guó)內(nèi)外新的技術(shù)和管理概念的引入。

深化DevOps理念，強(qiáng)調(diào)信息科技運(yùn)維人員的開(kāi)發(fā)能力，推進(jìn)信息系統(tǒng)云計(jì)算、容器化、自動(dòng)化、智能化的建設(shè)，系統(tǒng)容量自伸縮、事件故障自愈、版本快速發(fā)布；推進(jìn)精益理念，減少八大浪費(fèi)，應(yīng)用版本按需生產(chǎn)，以小而快取代大而慢，減少大規(guī)模版本更新的科技風(fēng)險(xiǎn)；實(shí)踐微服務(wù)理念，減少系統(tǒng)間的相互依賴(lài)，以接口調(diào)用實(shí)現(xiàn)松耦合；加快實(shí)現(xiàn)去IOE化，多使用開(kāi)源工具實(shí)現(xiàn)自主可控；嘗試建立數(shù)據(jù)中心虛擬利潤(rùn)的概念，推動(dòng)技術(shù)部門(mén)從成本中心向利潤(rùn)中心轉(zhuǎn)型；實(shí)行監(jiān)管沙盒政策，給予一定領(lǐng)域或地域的創(chuàng)新者有一定的時(shí)間開(kāi)發(fā)產(chǎn)品、改善能力等等。對(duì)于切實(shí)使用新技術(shù)和管理理念降低了信息科技風(fēng)險(xiǎn)的，可以參考谷歌SRE設(shè)立的差錯(cuò)預(yù)算的概念，給予信息科技風(fēng)險(xiǎn)資本計(jì)量方面有差錯(cuò)容忍度的鼓勵(lì)政策。