中国金融行业IT风险管理分析

    金融行业是IT系统高度密集行业，信息化程度较高，因为事关国计民生，也承担了相应的高风险。中国的金融服务业正处于飞速发展阶段，但在高速发展的同时也面临着风险管理和法规遵从方面的压力。银监会将在2008年底发布巴塞尔 II协议实施监管法规，2010年，中国的大型商业银行将开始执行巴塞尔 II协议，最迟不得晚于2013年。

　　中国金融服务企业随着规模和业务品种的扩大以及分支机构的增加，风险管理和法规遵从变得更加重要，但同时更加困难，因此企业必须从企业整体角度出发，完整地看待风险管理和法规遵从，制定并实施长远规划，对风险管理和法规遵从进行战略性投资(如：长远的IT架构以及非部门级和非单点式解决方案)。

  一、金融风险与信息技术风险

　　起始于20世纪80年代后期的金融电子化浪潮发展到今天已经有近30年的时间。30年来，从单一记账系统发展为以银行核心综合业务系统为核心，涵盖了渠道流程管理、产品管理与交付、客户价值管理、知识管理、风险与审计控制、全方位的银行IT体系，跨越了整个银行业务价值链;从单纯的集中式柜台交易录入到实现所有渠道的整合，集互联网、移动平台、自助服务为一体的综合渠道交付体系;从面向银行内部交易系统发展为面对客户、可订制的、结合各种渠道流程定义的客户服务交付平台，信息技术对银行业的发展功不可没、成绩斐然。可以说，没有IT，没有IT的支撑，就没有现代银行业。

　　然而，同世界上所有的事物一样，相生必然相克。IT在极大地促进了银行业的发展，为银行业提供了巨大发展机会的同时也使银行业面对巨大的技术风险。港澳及海外金融市场因为IT失效引起的银行损失案例比比皆是、层出不穷。在香港市场，每年公开报道的金融机构因为IT故障严重影响业务和客户的事件平均超过数十起，有些故障造成了巨大损失，对上市银行的商誉及市值造成巨大冲击。据业界估计，发生在非核心系统、非渠道上的故障次数可能要多得多。只是因为问题短暂，或者尚未对客户构成太大的影响而没在媒体公开披露出来而已。中国银行业也不例外。每年公开报道的、给客户造成重大影响的金融IT失效事件就达几十起之多。

　　可以预见，随着银行电子化程度的提高，信息化的深入，IT失效对金融业造成的威胁将会越来越大。

　　传统上，银行面对的风险大致分为四大类，分别是

　　市场风险：主要是指金融市场产品的价格和利率的变化而使得银行敞口的价值降低风险。

　　信用风险：主要是指在金融市场内，由于银行交易对手的信用状况的变化而导致银行敞口价值降低的风险。

　　流动性风险：主要是指资产无法变现或者变现价值导致资产损失风险。可以分为两类：外生流动性风险和内生流动性风险。

　　操作风险：按照国际清算银行制订的《新Basel资本协议》的定义，银行操作风险是指由于银行内部流程、人员和系统不适当或者失效而造成银行直接或者间接损失风险。包括法律和监管风险。从流程上说，银行IT属于内部流程，因而IT风险归为操作风险。

　　因为信息技术风险的影响越来越大，美国OCC要求银行每年都要进行一次URSIT(Uniform Rating System for Information Technology)内部评级。从管理、获取与部署、交付与支持以及审计这4个角度对银行IT体系的规划与组织、互联网与内联网、企业解决方案、C/S架构、群组软件以及网络管理等环节做出评价。

　　Basel银行监督委员会把IT风险归为银行操作风险的一部分。但这不意味着银行IT风险不重要，也不意味着IT风险因素无足轻重。相反，Basel银行监督委员会早在1998年就从监管的角度提出了电子银行风险管理原则，2003年做出了新的修订。在这份文件中，Basel银行监督委员会指出电子银行面临着4大挑战：

　　技术的高速发展和对客服务上的创新

　　新的网上零售和批发银行业务直接进行金融交易，而电子交易依赖于原有的核心系统

　　电子银行增加了银行对IT的依赖

　　互联网无处不在

　　同时，分别从董事会和管理层的监控、安全控制以及法律和信誉风险的管理这三个层面提出了管理电子银行风险的14条基本原则：

　　(1) 对电子银行活动进行有效监控

　　(2) 建立全面的安全控制流程

　　(3) 对外包服务和第三方依赖实施全面的尽职与管理监控流程

　　(4) 电子银行客户鉴别

　　(5) 电子银行交易的不可否认和不可抵赖

　　(6) 保证职责分隔(SOD)原则得到贯彻实施

　　(7) 电子银行系统/数据库/应用的授权控制

　　(8) 电子银行交易/记录/信息数据的完整性

　　(9) 对电子银行交易建立明晰的稽核记录

　　(10) 重要银行信息的保密性

　　(11) 电子银行服务适当的信息披露

　　(12) 客户信息的保护

　　(13) 处理能力/业务连续性/意外事故规划，保证电子银行系统与服务的可用性

　　(14) 事件响应规划

　　然而，尽管很大程度上电子银行面临的风险银行IT都需要面对，电子银行的风险状况多少反映银行自身业务与IT体系的风险状况。但是，从根本上说电子银行风险只是银行IT风险的一个子集。其复杂性比整个银行面对的IT风险要小得多。上述的14项要求也只是从银行外部监管的角度出发提出的控制目标要求。

　　事实上，银行IT风险敞口的形式非常多。比较常见的有：

　　系统宕机，服务中断

　　系统响应时间过长

　　处理流程或者计算错误，比如计息错误

　　数据不准确，比如对账错误

　　客户信息泄露，比如被盗

　　数据记录不完整或不正确

　　客户账户资料或者客户身份ID被冒用

　　自动电子渠道遭受攻击，比如黑客入侵、拒绝服务攻击、电话渠道攻击

　　病毒

　　自然灾害带来的设备、数据的毁损、服务中断

　　这些信息技术风险敞口形式非常庞杂，产生这些风险的起因也多种多样。现代银行的产品和服务都需要经历很多的系统和流程，需要很多的人员一起协同努力才能交付。因此，为银行产品和服务提供技术支持手段的IT也非常复杂。另外一项因素是风险后果同风险起因非唯一对称性。即一种风险后果可能有很多种的风险起因造成。反过来，一种风险起因也可能会产生多种不同的风险后果。因此，试图枚举所有的风险因素和后果，找出其中的必然关联与特征是非常困难的，即使可行工作量也是惊人的。

　　为了更有效地应对银行信息技术风险，就必须在使银行具备信息技术风险管理能力的前提下，学会使用综合性的风险管理的方法。