信息科技风险管控的海外经验与借鉴

 作者：中国人民银行丹东市中心支行 纪瑞朴 陶传盛

信息科技风险破坏性大、影响面广、隐蔽性高、专业性强，对其管控存在难度。国外在信息科技风险监管防控方面积累的丰富经验，具有一定的借鉴意义。

信息科技风险是指商业银行在运用信息科技过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。信息科技风险与其它领域的风险相比，一是破坏性大，信息科技处理的实时性，加上商业银行数据大集中，使得风险扩散更为迅速，破坏性更为剧烈；二是影响面广，信息科技的应用和普及加快了商业银行与同业机构和外部市场的风险传导，放大了科技风险的影响范围；三是隐蔽性高，信息科技处理的虚拟性使得风险潜伏更为隐蔽，风险出现具有不确定性；四是专业性强，因此对其管控的难度更大。美国、荷兰、新加坡等国在这方面积累了丰富经验，值得我国学习借鉴。

国外信息科技风险监管的成功经验

(一)美国
注重构建科学有效的监管模式。美联储、货币监理署、储蓄机构监理署、联邦存款保险公司、国家信用合作社联盟等监管机构一般都设有IT监管员，其职责是研究分析技术风险对业务的影响程度，有效识别那些会影响金融机构安全的信息科技风险，并向金融机构发出风险提示。例如，联邦存款保险公司(FDIC)在监管与消费者保护部门下设有专门的信息科技风险检查团队，负责统筹管理信息科技风险监管工作。信息科技风险监管人员占FDIC全部监管人员的20％左右．其中10％的信息科技风险检查员能够承担一股性的IT检查工作，另有10％承担专业信息科技风险检查。

注重相关法律法规建设。1999年，美国颁布了历史上第—部要求监管机构建立客户信息管理、物理防护体系的法律Gramm-Leach-Bliley Act(GLBA),是目前众多信息科技风险监管法规和监管指引的基础。2001年，美国五大监管机构联合制定了有关客户信息的安全指引，要求银行业金融机构实施风险评估，制定安全措施，并在选择技术服务供应商时做到尽职调查。联邦存款保险公司(FDIC)制定了专门针对技术服务商的监管指引手册《Supervison of TSPS》2005年，针对日益增多的客户信息泄漏问题，监管机构发布了信息安全监管指引。

注重监管评级。美国银行业监管机构制定了统—技术风险评级标准(以下简称“URSlT”)。URSIT由单项评级和综合评级两部分组成，单项评级是对被检查机构在审计、管理、开发与采购、支持与交付四个方面执行情况的评估；综合评级根据金融机构和IT服务提供商在单项评级中的表现，从总体印象、管理纠错能力、风险管理程序、战略计划、管理者水平等方面对其进行综合评价并划分等级。利用URSIT评级体系，监管机构系统地评价金融机构和IT服务提供商的整体风险及风险管理情况，详细了解被监管机构的IT风险敞口，从而采取相应的监管政策。

注重监管延伸。美国银行业技术服务外包非常普遍．数据中心、灾备中心、信用卡、ATM设备等都可以外包给第三方技术服务提供商(TSP)，特别是有些大型TSP同时为多达几十家乃至上百家银行提供服务，相应的技术风险也集中到这些技术服务提供商上，促使美国监管机构不断加强对TSP的监管。

(二)新加坡
新加坡金管局2000年设立了科技风险处。在监管制度方面，颁布了《网上银行和技术风险管理指引》，包括风险管理框架、安全和控制目标、安全准则、系统开发和测试、外包管理、新兴网络威胁、银行信息披露和客户宣传教育等内容。此外，新加坡金管局还发布了《移动银行业支付安全指引》、《外包管理指引》等一系列安全建议文件。

在监管体系方面，新加坡金管局将科技风险列为金融机构面临的八个风险类别之一，开发了通用风险评估框架技术系统(ECRAFT)进行风险评估和信息管理。首先通过系统恢复策略、系统稳定性、数据中心业务、IT项目等八个方面倩况，判断机构的信息科技固有风险；再采用“6C”标准：科技风险管理、系统安全、系统完整性、系统控制、系统恢复性、审计和法规遵从，为机构科技风险控制能力评分；然后通过固有风险程度和控制措施强度，综合判断该机构的信息科技净风险，通过机构之、司净风险的比较实施差异化监管。

(三)荷兰
荷兰中央银行也是国际上较早开绍关注科技风险的监管机构之一，在上世纪90年代就有针对电子数据处理的审计检查。201O年之前整个荷兰央行的监管目标主要是防止单家机构倒闭风险，对机构进行持续有效的以风险为导向的监管。从2010年开始，监管目标更加关注整个银行业的风险，并开始思考企业文化和管理者行为对风险的影响。在科技监管策略上，荷兰央行认为监管者必须确认金融机构具备识别并采取适当措施管理信息科技相关风险的能力。具体而言，荷兰央行提出金融机构风险管理应具备“三道防线”，包括管理和控制措施的拥有者，内控、风险、合规部门以及内部审计，同时整个风险管理过程还必须受到监事会、审计委员会的监督。