信息科技和互聯(lián)網(wǎng)技術(shù)日新月異的發(fā)展，為傳統(tǒng)銀行業(yè)帶來了革命性的變化，不僅為商業(yè)銀行的經(jīng)營(yíng)管理、產(chǎn)品創(chuàng)新和風(fēng)險(xiǎn)控制提供了新的思路、方法和工具，也成為銀行在激烈的市場(chǎng)競(jìng)爭(zhēng)中搶占制高點(diǎn)的關(guān)鍵要素?？梢哉f，掌握和運(yùn)用金融科技如今已經(jīng)成為銀行的核心競(jìng)爭(zhēng)力。
　　銀行IT風(fēng)險(xiǎn)的主要特點(diǎn)
　　從風(fēng)險(xiǎn)的屬性來看，信息科技風(fēng)險(xiǎn)是銀行操作風(fēng)險(xiǎn)的重要組成部分，具體而言，就是商業(yè)銀行在運(yùn)用信息科技的過程中，由于受到自然因素、人為因素、技術(shù)漏洞和管理缺陷影響而產(chǎn)生的風(fēng)險(xiǎn)。與其他領(lǐng)域的風(fēng)險(xiǎn)相比，信息科技風(fēng)險(xiǎn)具有以下主要特點(diǎn)：
　　信息科技風(fēng)險(xiǎn)具有突發(fā)性，應(yīng)急處置難度大。從科技風(fēng)險(xiǎn)發(fā)生的過程來看，外界因素的突然變化往往引致風(fēng)險(xiǎn)事件的觸發(fā)，如自然災(zāi)害、電子元器件故障、電力中斷和網(wǎng)絡(luò)癱瘓等。這些因素不但難以預(yù)測(cè)，而且也經(jīng)常疏于防范，因此一旦發(fā)生，將立即對(duì)銀行整體信息科技系統(tǒng)產(chǎn)生巨大的影響。同時(shí)，由于信息科技風(fēng)險(xiǎn)的突發(fā)性，銀行在處置應(yīng)急事件時(shí)也處于被動(dòng)地位，需要在短時(shí)間內(nèi)對(duì)風(fēng)險(xiǎn)發(fā)生的原因、路徑做出分析并找到解決方法，這也給銀行提出了更高的挑戰(zhàn)。2011年3月，日本第二大銀行集團(tuán)瑞穗金融集團(tuán)子公司瑞穗銀行的電腦系統(tǒng)受到大地震影響，連續(xù)出現(xiàn)大規(guī)模故障，行長(zhǎng)引咎辭職。
　　信息科技風(fēng)險(xiǎn)具有隱蔽性，日常管理難以發(fā)覺。目前，銀行主要業(yè)務(wù)流程均已實(shí)現(xiàn)信息化，業(yè)務(wù)的開展主要依托信息平臺(tái)。但是，由于應(yīng)用系統(tǒng)的設(shè)計(jì)者對(duì)銀行業(yè)務(wù)流程的不熟悉，或是對(duì)風(fēng)險(xiǎn)點(diǎn)的考慮不周全，往往在系統(tǒng)設(shè)計(jì)之初就留下了缺陷。這些缺陷往往存在于系統(tǒng)底層，通過日常管理和維護(hù)難以發(fā)覺，只有經(jīng)過長(zhǎng)期大規(guī)模應(yīng)用后才能逐漸被發(fā)覺，體現(xiàn)出較強(qiáng)的隱蔽性。2006年，由于工商銀行紙黃金交易系統(tǒng)存在漏洞，樊某和宋某利用2.7萬(wàn)元本金，在短短十天內(nèi)就獲利2100萬(wàn)元，雖然最后經(jīng)法院審理撤消了相關(guān)交易，但給銀行引發(fā)了巨大的聲譽(yù)風(fēng)險(xiǎn)。
　　信息科技風(fēng)險(xiǎn)的影響范圍具有廣泛性，破壞性很強(qiáng)。在當(dāng)前銀行數(shù)據(jù)大集中的背景下，一旦總行核心系統(tǒng)和主干網(wǎng)絡(luò)出現(xiàn)故障或受到攻擊，將立刻傳導(dǎo)到各分支結(jié)構(gòu)引發(fā)連鎖反應(yīng)，造成全行性的業(yè)務(wù)停頓和與客戶流失的災(zāi)難性后果。商業(yè)銀行的強(qiáng)外部性也使得銀行的風(fēng)險(xiǎn)容易外化，成為個(gè)人、企業(yè)乃至經(jīng)濟(jì)運(yùn)行整體的風(fēng)險(xiǎn)，因此一旦信息科技系統(tǒng)出險(xiǎn)，也將波及銀行體系外的經(jīng)濟(jì)活動(dòng)參與者，造成無(wú)法估量的損失。2007年12月，招商銀行因運(yùn)行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無(wú)法正常進(jìn)行，中斷營(yíng)業(yè)近1個(gè)小時(shí)。
　　信息科技風(fēng)險(xiǎn)具有專業(yè)性強(qiáng)，復(fù)雜程度高。作為金融業(yè)務(wù)與信息技術(shù)結(jié)合的產(chǎn)物，信息科技風(fēng)險(xiǎn)不但兼具兩者的專業(yè)性特點(diǎn)，而且由于技術(shù)交叉，又衍生出了新的特點(diǎn)。特別是近年來，伴隨著新興技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊、木馬釣魚、黑客病毒的技術(shù)水平越來越高，銀行的處置的難度也越來越大，需要不斷提升自身防范能力和技術(shù)水平，才阻斷風(fēng)險(xiǎn)發(fā)生和蔓延的路徑。2011年，荷蘭合作銀行受到分布式拒絕服務(wù)（DDoS）攻擊，致使其網(wǎng)絡(luò)銀行和移動(dòng)銀行服務(wù)幾乎完全癱瘓，造成客戶無(wú)法登陸網(wǎng)銀和手機(jī)銀行，嚴(yán)重影響了該業(yè)務(wù)的正常使用。
　　境外銀行IT風(fēng)險(xiǎn)監(jiān)管的主要做法
　　作為操作風(fēng)險(xiǎn)的重要組成部分，對(duì)信息科技風(fēng)險(xiǎn)的監(jiān)管已成為國(guó)外監(jiān)管當(dāng)局關(guān)注的重點(diǎn)之一。新巴塞爾資本協(xié)議明確提出信息科技風(fēng)險(xiǎn)是操作風(fēng)險(xiǎn)的重點(diǎn)，巴塞爾委員會(huì)發(fā)布的《操作風(fēng)險(xiǎn)管理和監(jiān)管的良好作法》也同樣適用于對(duì)信息科技風(fēng)險(xiǎn)，銀行應(yīng)建立業(yè)務(wù)條線管理、獨(dú)立的法人操作風(fēng)險(xiǎn)管理部門和獨(dú)立的評(píng)估與審查這三道防線，對(duì)信息科技風(fēng)險(xiǎn)進(jìn)行全面管理。從實(shí)踐經(jīng)驗(yàn)來看，各國(guó)監(jiān)管當(dāng)局主要采取以下做法，加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)的監(jiān)管：
　　發(fā)布監(jiān)管文件、指引。美國(guó)在1999年頒布金融現(xiàn)代化法案，規(guī)定金融機(jī)構(gòu)必須實(shí)行安全計(jì)劃來保護(hù)客戶個(gè)人信息，是目前眾多信息科技風(fēng)險(xiǎn)監(jiān)管法規(guī)和監(jiān)管指引的基礎(chǔ)。隨后，美國(guó)聯(lián)邦存款保險(xiǎn)公司（FDIC）發(fā)布《信息科技檢查程序》（Information Technology Examination Procedures）和《金融機(jī)構(gòu)使用國(guó)外第三方服務(wù)提供商指引》（Guidance for Financial Institutions on the Use of Foreign—Based Third—Party Service Providers）等文件，為商業(yè)銀行進(jìn)行科技風(fēng)險(xiǎn)管理提供了指引和框架。新加坡金管局（MAS）也于2008年發(fā)布了《網(wǎng)上銀行和科技風(fēng)險(xiǎn)管理指引》（Internet Banking and Technology Risk Management Guidelines）。
　　監(jiān)管評(píng)級(jí)。美國(guó)聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)（FFIEC）制定了統(tǒng)一技術(shù)風(fēng)險(xiǎn)評(píng)級(jí)標(biāo)準(zhǔn)（Uniform Rating System for Information Technology），用于評(píng)估金融機(jī)構(gòu)和IT服務(wù)提供商的技術(shù)風(fēng)險(xiǎn)，詳細(xì)了解被監(jiān)管機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)敞口，從而采取相應(yīng)的監(jiān)管政策。荷蘭央行對(duì)金融機(jī)構(gòu)采用FIRM（金融機(jī)構(gòu)風(fēng)險(xiǎn)管理）評(píng)級(jí)，通過綜合評(píng)級(jí)將金融機(jī)構(gòu)風(fēng)險(xiǎn)由低到高分為T1至T4級(jí)別，并據(jù)此規(guī)劃監(jiān)管資源、安排監(jiān)管計(jì)劃。
　　加強(qiáng)對(duì)外包服務(wù)的監(jiān)管。澳大利亞審慎監(jiān)管署（APRA）要求被監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)對(duì)第三方服務(wù)協(xié)議和水平進(jìn)行持續(xù)監(jiān)測(cè)，盡職調(diào)查服務(wù)供應(yīng)商的服務(wù)水平和潛在風(fēng)險(xiǎn)，關(guān)注服務(wù)協(xié)議內(nèi)容對(duì)IT安全框架的影響，并建立服務(wù)報(bào)告機(jī)制。美國(guó)銀行服務(wù)公司法案（Bank Service Company Act）規(guī)定，監(jiān)管機(jī)構(gòu)對(duì)第三方技術(shù)服務(wù)提供商具有同等的監(jiān)管權(quán)力，多家監(jiān)管機(jī)構(gòu)“輪流主持”，每?jī)赡甏_定一個(gè)主監(jiān)管機(jī)構(gòu)，主導(dǎo)對(duì)第三方技術(shù)服務(wù)提供商的監(jiān)管。
　　現(xiàn)場(chǎng)檢查。香港金管局年報(bào)披露，2011年香港金管局共實(shí)施了18項(xiàng)針對(duì)信息科技、網(wǎng)上銀行及業(yè)務(wù)操作風(fēng)險(xiǎn)的現(xiàn)場(chǎng)檢查，并計(jì)劃于2012年進(jìn)行專題審查，以評(píng)估被監(jiān)管機(jī)構(gòu)對(duì)通過網(wǎng)上銀行、手機(jī)銀行及電話銀行服務(wù)進(jìn)行的交易的安全管控，以及對(duì)信息科技問題及變更管理程序所實(shí)行的管控措施。
　　國(guó)內(nèi)銀行IT風(fēng)險(xiǎn)監(jiān)管問題
　　銀行間信息科技水平差距較大，基層銀行信息科技風(fēng)險(xiǎn)管理能力薄弱。以工商銀行為代表的大型銀行在信息科技領(lǐng)域進(jìn)入較早，把大量的人力、物力、財(cái)力資源投向信息科技建設(shè)，因此在信息科技基礎(chǔ)設(shè)施、核心系統(tǒng)建設(shè)、系統(tǒng)數(shù)據(jù)集中建設(shè)等方面都取得了非常突出的成績(jī)，部分領(lǐng)域還走在了國(guó)際前列。但是大部分中小銀行，特別是城市商業(yè)銀行和農(nóng)村金融機(jī)構(gòu)等基層機(jī)構(gòu)，由于受到先天不足等因素的影響，銀行信息科技建設(shè)普遍滯后，信息科技風(fēng)險(xiǎn)的防控意識(shí)還很淡漠，防控手段也十分有限。
　　董事會(huì)、高管層重視不夠，技術(shù)、業(yè)務(wù)、風(fēng)險(xiǎn)部門溝通協(xié)調(diào)不足。雖然銀行的董事會(huì)和高管層已逐漸認(rèn)識(shí)到信息科技對(duì)于提高經(jīng)營(yíng)效率、防范經(jīng)營(yíng)風(fēng)險(xiǎn)的巨大作用，但是在深層次上依然把信息科技風(fēng)險(xiǎn)理解為“技術(shù)問題”，沒有把科技治理和信息科技風(fēng)險(xiǎn)防控提高到銀行發(fā)展戰(zhàn)略的高度上來。而技術(shù)部門、業(yè)務(wù)部門和風(fēng)險(xiǎn)部門也由于缺乏相應(yīng)的協(xié)調(diào)機(jī)制，彼此有效溝通不足，因此容易形成“各說各話”的局面，對(duì)信息科技風(fēng)險(xiǎn)的認(rèn)知不夠全面具體，僅僅作為低層次的“操作問題”，缺乏有效的治理架構(gòu)。
　　科技軟硬件設(shè)施基礎(chǔ)薄弱，災(zāi)備應(yīng)急能力不足。受技術(shù)水平和投入資源的限制，部分國(guó)內(nèi)銀行在科技軟硬件設(shè)施建設(shè)還存在許多問題，核心設(shè)備存在單點(diǎn)故障隱患和性能不足的問題，一旦出現(xiàn)故障，將直接導(dǎo)致核心網(wǎng)絡(luò)系統(tǒng)癱瘓。計(jì)算機(jī)機(jī)房、網(wǎng)絡(luò)構(gòu)架、防火墻建設(shè)不達(dá)標(biāo)的問題時(shí)有發(fā)生。同時(shí)，作為信息科技風(fēng)范防范的重要環(huán)節(jié)，我國(guó)銀行在災(zāi)備中心的建設(shè)方面還有很多缺陷，部分銀行認(rèn)為災(zāi)備中心建設(shè)資金投入大、周期長(zhǎng)、運(yùn)維成本高，因此僅采取初級(jí)的方法進(jìn)行數(shù)據(jù)的簡(jiǎn)單拷貝備份，無(wú)法滿足跨平臺(tái)、跨系統(tǒng)和業(yè)務(wù)持續(xù)的災(zāi)備要求，更不具備真正的災(zāi)難恢復(fù)能力。 信息科技風(fēng)險(xiǎn)專業(yè)人員缺乏，人員配置比例較低。信息科技系統(tǒng)的開發(fā)和應(yīng)用人員除了要掌握信息系統(tǒng)構(gòu)架和技術(shù)，更要對(duì)銀行業(yè)務(wù)十分熟悉，必須具備綜合運(yùn)用的能力，而應(yīng)對(duì)突發(fā)的信息科技風(fēng)險(xiǎn)，更要由具備豐富技術(shù)經(jīng)驗(yàn)的人員在第一時(shí)間發(fā)現(xiàn)問題并予以干預(yù)。我國(guó)大部分銀行的信息科技建設(shè)起步較晚，在人才培養(yǎng)和積累方面還很不夠，信息科技人員占銀行全部員工的比例遠(yuǎn)不及國(guó)際平均水平，個(gè)別銀行信息科技人員兼崗現(xiàn)象嚴(yán)重，并無(wú)科技背景，只通過短期技術(shù)培訓(xùn)，履職能力更是十分有限，無(wú)法滿足銀行系統(tǒng)開發(fā)維護(hù)的需求。
　　信息科技項(xiàng)目開發(fā)水平有限，外包服務(wù)依賴性強(qiáng)。信息科技項(xiàng)目的開發(fā)具有較強(qiáng)的專業(yè)性，部分銀行受制于人力資源約束，因此將大部分項(xiàng)目開發(fā)外包給第三方。但是，由于缺乏對(duì)外包服務(wù)供應(yīng)商的準(zhǔn)入審核，對(duì)外包服務(wù)的評(píng)估和跟蹤也沒有相應(yīng)的制度安排，銀行員工往往只能掌握系統(tǒng)應(yīng)用和簡(jiǎn)單運(yùn)維，無(wú)法自主進(jìn)行系統(tǒng)功能拓展，應(yīng)對(duì)突發(fā)事件的水平更是難以保證。對(duì)外包服務(wù)管理的欠缺和對(duì)外包服務(wù)商的過度依賴，嚴(yán)重影響了銀行的業(yè)務(wù)創(chuàng)新和發(fā)展，同時(shí)也為客戶資金和信息安全埋下了隱患。
　　從目前國(guó)內(nèi)銀行業(yè)整體情況來看，信息科技風(fēng)險(xiǎn)的管理意識(shí)已有了較大程度的提高，核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)中心建設(shè)不斷完善，應(yīng)急體系的建設(shè)也取得了較大的進(jìn)步，提升了信息科技風(fēng)險(xiǎn)的管控能力。但是，我國(guó)銀行業(yè)科技治理的水平不高，科技管理不夠精細(xì)，業(yè)務(wù)連續(xù)能力有待進(jìn)一步加強(qiáng)，在防控信息科技風(fēng)險(xiǎn)方面還有諸多不足。
　　加強(qiáng)銀行IT風(fēng)險(xiǎn)監(jiān)管的建議
　　“十二五”時(shí)期是我國(guó)銀行業(yè)改革與發(fā)展的重要?dú)v史時(shí)期，銀行業(yè)必須抓住這一有利機(jī)遇，促使信息科技在銀行業(yè)務(wù)領(lǐng)域的快速發(fā)展，以進(jìn)一步發(fā)揮信息科技在銀行經(jīng)營(yíng)管理中的基礎(chǔ)性作用。當(dāng)前，我國(guó)銀行業(yè)面臨復(fù)雜多變的國(guó)內(nèi)外經(jīng)濟(jì)環(huán)境，金融危機(jī)和歐債危機(jī)的震蕩影響還遠(yuǎn)未消除，穩(wěn)健可持續(xù)經(jīng)營(yíng)的壓力不斷增加。信息科技要承擔(dān)起對(duì)銀行業(yè)務(wù)發(fā)展與創(chuàng)新的支撐作用，進(jìn)一步強(qiáng)化風(fēng)險(xiǎn)管理的使命，提升銀行經(jīng)營(yíng)管理的效率，不斷提高核心競(jìng)爭(zhēng)力。與此同時(shí)，快速發(fā)展的信息技術(shù)也對(duì)銀行信息科技風(fēng)險(xiǎn)管控提出了更高的要求，給監(jiān)管部門也提出了更嚴(yán)峻的挑戰(zhàn)。2009年，銀監(jiān)會(huì)正式頒布實(shí)施《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，隨后又組織編寫了《商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南》、《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》、《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》等配套手冊(cè)和制度，以此為據(jù)開展了一系列信息科技風(fēng)險(xiǎn)自查、檢查、整改工作。2011年10月，銀行業(yè)信息科技風(fēng)險(xiǎn)管理高層指導(dǎo)委員會(huì)成立，在制度建設(shè)、工作規(guī)劃、專業(yè)指導(dǎo)和研究等方面取得很大進(jìn)展，對(duì)銀行業(yè)信息化建設(shè)和科技風(fēng)險(xiǎn)管理進(jìn)行研究、指導(dǎo)、咨詢、建議、協(xié)調(diào)的作用逐步顯現(xiàn)。2012年8月，銀監(jiān)會(huì)宣布設(shè)立信息科技監(jiān)管部，負(fù)責(zé)銀行業(yè)信息科技監(jiān)管督導(dǎo)和風(fēng)險(xiǎn)防范?？梢哉f，信息科技風(fēng)險(xiǎn)監(jiān)管工作正在有條不紊地推進(jìn)。立足當(dāng)下，著眼未來，銀行業(yè)應(yīng)重點(diǎn)從以下幾個(gè)方面入手，加強(qiáng)銀行科技信息風(fēng)險(xiǎn)管理和監(jiān)管。
　　將信息科技風(fēng)險(xiǎn)納入銀行全面風(fēng)險(xiǎn)管理體系。銀行要把信息科技風(fēng)險(xiǎn)管理作為常態(tài)化風(fēng)險(xiǎn)管理工作內(nèi)容，加強(qiáng)董事會(huì)、高管層和專業(yè)委員會(huì)的科技風(fēng)險(xiǎn)管理履職能力建設(shè)，在銀行全體員工中樹立并強(qiáng)化科技風(fēng)險(xiǎn)安全意識(shí)，在業(yè)務(wù)全流程中時(shí)刻關(guān)注信息科技風(fēng)險(xiǎn)，建立完整的風(fēng)險(xiǎn)識(shí)別、計(jì)量和處置制度安排和流程設(shè)計(jì)。監(jiān)管部門在開展非現(xiàn)場(chǎng)監(jiān)管和現(xiàn)場(chǎng)檢查時(shí)，必須把信息科技風(fēng)險(xiǎn)作為關(guān)注重點(diǎn)，把信息科技風(fēng)險(xiǎn)防控納入銀行評(píng)級(jí)體系。
　　完善信息科技風(fēng)險(xiǎn)治理架構(gòu)。銀行應(yīng)按照巴塞爾委員會(huì)《操作風(fēng)險(xiǎn)管理和監(jiān)管的良好作法》的要求，建立起信息科技風(fēng)險(xiǎn)管理的三道防線，特別是要加強(qiáng)銀行內(nèi)部對(duì)信息科技風(fēng)險(xiǎn)的獨(dú)立評(píng)估審查。監(jiān)管部門要定期對(duì)銀行科技治理情況進(jìn)行審查，督促銀行建立職責(zé)明確、功能互補(bǔ)、相互監(jiān)督、相互制約的信息科技風(fēng)險(xiǎn)防范的整體架構(gòu)。
　　加大軟硬件基礎(chǔ)設(shè)施投入力度，完善災(zāi)備應(yīng)急能力。銀行要建立適度超前的IT基礎(chǔ)設(shè)施和統(tǒng)一平臺(tái)框架，為核心系統(tǒng)的持續(xù)擴(kuò)展留下空間，建設(shè)高效率、低能耗的數(shù)據(jù)中心，強(qiáng)化系統(tǒng)核心安全機(jī)制建設(shè)，保障信息安全。要對(duì)信息系統(tǒng)的運(yùn)行狀況進(jìn)行全程監(jiān)控，制定應(yīng)急預(yù)案和業(yè)務(wù)恢復(fù)機(jī)制，并以較高標(biāo)準(zhǔn)做好數(shù)據(jù)轉(zhuǎn)移和備份工作，加強(qiáng)災(zāi)備演練，以應(yīng)對(duì)突發(fā)事件的沖擊。
　　強(qiáng)化對(duì)技術(shù)外包的風(fēng)險(xiǎn)管理。銀行要建立健全外包服務(wù)管理制度，加強(qiáng)對(duì)服務(wù)供應(yīng)商的資質(zhì)審核，選擇適合的服務(wù)供應(yīng)商成為長(zhǎng)期合作伙伴，以確保信息系統(tǒng)建設(shè)的持續(xù)性和應(yīng)對(duì)突發(fā)問題的可靠性。監(jiān)管部門要加強(qiáng)對(duì)銀行外包服務(wù)的監(jiān)督檢查，指導(dǎo)銀行科學(xué)制定外包管理策略，合理規(guī)劃外包服務(wù)規(guī)模，加強(qiáng)對(duì)外包服務(wù)風(fēng)險(xiǎn)的防控。
　　努力培養(yǎng)科技人才，做好信息科技人才儲(chǔ)備。銀行要樹立“人才為本”的理念，加強(qiáng)信息科技人才隊(duì)伍建設(shè)，通過適當(dāng)?shù)募?lì)機(jī)制，吸引高端人才不斷加入。同時(shí)，要建立信息科技定期培訓(xùn)機(jī)制，推動(dòng)從業(yè)人員不斷更新知識(shí)體系，強(qiáng)化信息科技風(fēng)險(xiǎn)意識(shí)。
　?。ㄗ髡邌挝唬禾厝A博士后科研工作站、中國(guó)銀行業(yè)監(jiān)督管理委員