鄔俊斌

（中國銀行業(yè)監(jiān)督管理委員會上海監(jiān)管局，上海 200135）

一、前言

隨著信息技術(shù)向大數(shù)據(jù)、云計算、智能化、移動化的方向發(fā)展，銀行業(yè)務對信息科技的依賴性越來越強、信息系統(tǒng)架構(gòu)越來越復雜、外部性特征越來越顯著；銀行的信息科技發(fā)展水平、科技與業(yè)務的融合程度，已經(jīng)日益成為影響銀行業(yè)務服務能力及經(jīng)營管理水平高低的重要評判標準。

巴塞爾新資本協(xié)議將原來單一的信用風險監(jiān)控范圍拓展到了信用風險、市場風險和操作風險并列的全面風險監(jiān)控，信息科技風險默認為操作風險的一部分?！百Y本監(jiān)管”作為巴塞爾新資本協(xié)議的核心思想，其要求通過資本限制來控制銀行業(yè)務的規(guī)模，進而控制風險。因此，巴塞爾新資本協(xié)議側(cè)重于從資本的角度來計量市場風險、信用風險及操作風險的損失，強制銀行計提相應的資本準備。

因巴塞爾委員會未對處于操作風險項中的信息科技風險提出具體要求，為了應對日益突出的信息科技風險，一些國際組織和國家的監(jiān)管機構(gòu)都相繼出臺了相應的信息科技風險管理框架、監(jiān)管指引和評級細則。例如，美國信息系統(tǒng)審計與控制協(xié)會(ISACA)提出了COBIT框架和Risk IT框架；國際標準組織 (ISO)提出了ISO 2700n系列標準；美國反虛假財務報告委員會下屬的發(fā)起人委員會(COSO)頒布了《企業(yè)風險管理——整合框架》；卡內(nèi)基梅隆大學提出了OCTAVE框架，以及國家監(jiān)管機構(gòu)中國銀監(jiān)會(CBRC)發(fā)布了《商業(yè)銀行信息科技風險管理指引》；美國金融檢查委員會(FFIEC)制定了《URSIT技術(shù)風險評級體系》；英國金融服務管理局(FSA)制定了《金融服務中的數(shù)據(jù)安全》、《業(yè)務持續(xù)性操作指引》；香港金融管理局(HKMA)制定了《科技風險管理的一般原則》等。

但是，這些框架和指引都沒有建立定量化的風險識別、評估和管理機制。而在銀行業(yè)的風險管理框架中，資本計量又偏偏是最為重要的一環(huán)，所以，對于現(xiàn)有的信息科技風險管理理論還需要補充風險計量的方法，以與銀行的總體風險資本相配套。

二、計量框架及其管理工具

閻慶民（2013）提出了一種信息科技風險資本計量的框架，由管理工具、計量數(shù)據(jù)、計量方法、計量產(chǎn)出、應用五個部分組成。風險識別評估、關(guān)鍵風險指標（KPI）、損失數(shù)據(jù)庫三個管理工具在計量框架中具有基礎性地位，是數(shù)據(jù)的來源，也是管理的武器。本節(jié)基于此框架嘗試進行闡述引申。

信息科技風險的識別評估是風險監(jiān)管的有效前提。在信息科技開發(fā)及運維中的問題和風險的識別與評估中，最常用的思路是魚骨分析法和德爾菲法。

魚骨分析法通過問題流程對已發(fā)生或可能發(fā)生的事故的原因不斷列舉及深究，通過模擬回測等手段，盡可能多而全地找出可能的原因，并把原因分層歸類，尋求事故的主要關(guān)鍵原因；德爾菲法通過分別對專家們咨詢產(chǎn)生事故的原因，確定主要風險因素，制定風險因素評估調(diào)查表，再通過專家和相關(guān)人員對風險的出現(xiàn)概率和影響程度進行定性評估，經(jīng)過開放式、評價式、重審式、復核式數(shù)輪調(diào)研，識別出各個風險要素的概率分布和影響度。調(diào)研的輪數(shù)可以根據(jù)實際情況進行精簡。

信息科技的風險的評估還可以借鑒操作風險的“風險與控制自評估法”(RCSA)，即銀行信息科技風險管理機構(gòu)對系統(tǒng)開發(fā)、系統(tǒng)運維、數(shù)據(jù)管理等信息科技各條業(yè)務流程進行分析，識別評估風險點，對現(xiàn)有的控制措施的合理性和有效性進行評價。RCSA先對信息科技工作條線的主流程及包含的子流程進行梳理，再對流程中采取控制措施后的剩余風險進行打分，在描繪風險發(fā)生的可能性和損失嚴重性的“風險地圖”矩陣上繪點，接著識別和評估風險可能性和嚴重程度較大的部分，立即采取進一步控制措施，對問題原因進行追溯。

關(guān)鍵風險指標是反映風險變化的預警指標，用于監(jiān)測可能造成損失的事件的風險及控制措施，是一種定量指標。關(guān)鍵風險指標超過設定的閾值的時候則需要采取一定的措施，以減輕或回避重大科技風險事故的發(fā)生。這些關(guān)鍵風險指標可能包括某系統(tǒng)的重大事件發(fā)生頻次、系統(tǒng)中斷時間、對外服務滿意度評價指標、回退變更頻次、測試缺陷未探測率、人員離職率等。針對觸發(fā)關(guān)鍵風險的事故應該進行回顧和總結(jié)，持續(xù)改進。

損失數(shù)據(jù)收集是信息科技風險計量的基礎，信息科技風險事件收集范圍的確定是數(shù)據(jù)收集工作的前提。損失數(shù)據(jù)的收集、回顧、整理，有助于全面反思執(zhí)行層面、流程層面、技術(shù)層面的問題，以達到持續(xù)改進的目的。結(jié)合實踐與谷歌SRE的思想，異常事件回顧應該包括以下因素：所在系統(tǒng)、事件概要（簡述事件及其處理過程）、故障現(xiàn)象（事件告警或外部保障等）、業(yè)務影響（影響時間段，交易筆數(shù)，損失金額）、原因分析、事件處理時間線、經(jīng)驗教訓（執(zhí)行層面，流程層面，技術(shù)層面，舉一反三）、改進計劃（措施，時間點，責任人，措施類型，跟蹤單據(jù)號）、回顧檢查表（執(zhí)行層面，流程層面，技術(shù)層面，舉一反三）。

三、資本計量方法

何茂春（2009）主張信息系統(tǒng)量化定級利用戴明環(huán)模型，通過PDCA循環(huán)不斷提升管理水平。通過信息系統(tǒng)的安全屬性，即機密性、完整性、可用性，對信息系統(tǒng)資產(chǎn)價值進行五級定級；通過發(fā)生事件的影響度和緊急度量化因子對事件進行五級定級。

在實踐中，可以根據(jù)影響因子和緊急度因子量化對觸發(fā)事件評級進行劃分，以實現(xiàn)對信息系統(tǒng)事故的分級管理，滿足特定的響應速度、通知范圍、升級條件等。在影響-緊急度因子矩陣中，可以設立相應的主觀資本影響值，作為該事件資本損失的計量。歷史統(tǒng)計數(shù)據(jù)可以作為信息科技風險資本計量的重要參考。

楊濤（2010）提出可以考慮利用投資組合理論均值-方差模型和資本資產(chǎn)定價模型來度量銀行的信息科技風險。在應用均值-方差模型的時候，其思路一是，將信息科技投資區(qū)分為設備、軟件、人力資本等不同項的投資，假定已知各項的投資額及預期收益，則信息科技的風險計量就表現(xiàn)為實際收益與預期收益的偏離程度；思路二是把信息科技投資當作一個單獨的投資整體，通過估計信息科技的投資收益可能值及其相應的概率，來得到預期信息科技收益，風險同樣表現(xiàn)為實際收益與預期收益的偏離。楊濤論證銀行信息科技的投資收益應該由無風險收益和承受系統(tǒng)性風險得到風險收益組成。

閻慶民（2013）提出了信息科技風險資本計量的標準法和基于損失分布法的計量方法。其中，標準法通過計算信息科技投入的一定比例計算風險暴露；損失分布法設計了“時間+金額”的信息科技風險損失量化方法，建立影響時間與金額損失的對應關(guān)系，使得信息系統(tǒng)事故產(chǎn)生的間接損失可計量；損失分布法通過歷史損失數(shù)據(jù)，擬合頻率分布和嚴重度分布，并運用內(nèi)部衡量法對資本計量結(jié)果進行了調(diào)整，再根據(jù)置信區(qū)間來確定一定時間內(nèi)的非預期損失。

作為銀行業(yè)信息科技監(jiān)管的絕對權(quán)威，該論文提出了完整的框架和可行的實施辦法，此后討論信息科技風險量化的相關(guān)文章較少出現(xiàn)。

四、結(jié)論與建議

作為在巴塞爾協(xié)議操作風險下的信息科技風險的資本計量方法，因為其嘗試對間接損失量化計入，所以往往只能通過分級分類、分組計量的方式來擬合。在何茂春的論文中，強調(diào)的是對事件發(fā)生后的量化分級處理，尚未明確提出資本計量的概念；在楊濤的論文中，投資收益的預估具有較大的主觀性，特別是信息系統(tǒng)往往帶來的是間接收益，難以衡量；在閻慶民的論文中，重新定義了信息科技風險損失的定義，創(chuàng)造性地提出了基于標準法和高級法計量信息科技風險資本的計量框架和系統(tǒng)性方法，由此在信息科技資本計量方面達到了較高的水平。此后也鮮有信息科技資本計量相關(guān)論文出現(xiàn)。

近些年來，隨著金融科技和開發(fā)運維理念的迅猛發(fā)展，可以看到銀行業(yè)的信息科技業(yè)態(tài)已經(jīng)有了較大的變化。

在互聯(lián)網(wǎng)金融業(yè)務的沖擊下，銀行業(yè)信息科技客戶服務意識不強，交互設計能力差，科技部門墻明顯，決策路徑冗長，技術(shù)能力不夠先進等問題日益影響了銀行業(yè)傳統(tǒng)業(yè)務的盈利水平。因此，對于信息科技的“尾部風險”突出、損失隱性的特點，除了繼續(xù)完善組織架構(gòu)、風險管理制度、事件風險庫、監(jiān)測預警機制、外包管理等傳統(tǒng)手段外，還應該注意到國內(nèi)外新的技術(shù)和管理概念的引入。

深化DevOps理念，強調(diào)信息科技運維人員的開發(fā)能力，推進信息系統(tǒng)云計算、容器化、自動化、智能化的建設，系統(tǒng)容量自伸縮、事件故障自愈、版本快速發(fā)布；推進精益理念，減少八大浪費，應用版本按需生產(chǎn)，以小而快取代大而慢，減少大規(guī)模版本更新的科技風險；實踐微服務理念，減少系統(tǒng)間的相互依賴，以接口調(diào)用實現(xiàn)松耦合；加快實現(xiàn)去IOE化，多使用開源工具實現(xiàn)自主可控；嘗試建立數(shù)據(jù)中心虛擬利潤的概念，推動技術(shù)部門從成本中心向利潤中心轉(zhuǎn)型；實行監(jiān)管沙盒政策，給予一定領(lǐng)域或地域的創(chuàng)新者有一定的時間開發(fā)產(chǎn)品、改善能力等等。對于切實使用新技術(shù)和管理理念降低了信息科技風險的，可以參考谷歌SRE設立的差錯預算的概念，給予信息科技風險資本計量方面有差錯容忍度的鼓勵政策。