引言
信息化已经成为商业银行实现经营战略和业务运营的基础平台以及金融创新的重要手段,是新时代银行参与全球竞争、迎接挑战、提高核心竞争力的重要战略和基础性工作之一
回顾我国银行业改革发展历程,信息化建设从起步到发展、从引进学习到自主创新,信息科技深刻改变了银行业传统的经营模式和服务手段,显著提升了客户体验,从根本上改变了银行自身的经营管理模式,快速推动了银行的改革与业务创新,引领了业态变革,使我国从以提高服务质量和工作效率为目的金融电子化阶段,进入了依靠金融信息化体系全面提升服务质量、管理水平和核心竞争能力的信息化阶段
信息科技创造价值,同时衍生风险
信息科技的安全运行和健康发展,直接影响到银行稳健经营,关乎银行声誉、金融安全和社会稳定
信息科技风险可能导致银行全部业务瞬间瘫痪,因此已经成为银行业金融机构的主要风险之一,是银行风险管理的重要对象
金融业务和产品对银行信息科技的高依存度,使得一旦信息科技风险事件发生,就会对国家的金融体系造成损失,甚至产生重大的影响,因此如何有效预防和控制银行信息科技风险事件的发生,是银行业稳健发展的重中之重
1.商业银行信息科技风险
(1)国际标准定义
国际信息系统审计协会对信息科技风险的定义:信息科技风险即组织内使用、获取、操作、参与、应用信息科技所造成的业务风险
美国国家标准技术机构指出,信息科技风险是指对信息系统脆弱部位的有意或无意的攻击,及其对组织可能造成的损失,与信息科技相关的风险主要是由于非授权的信息披露、验证和信息损坏等自然或人为因素引起的
[1]
(2)国内通用定义
我国2009年银监会出台的《商业银行信息科技风险管理指引》中,明确给出了信息科技风险的定义:信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险
[2]由此可见,作为操作风险的一类,信息科技风险的管理不仅要涉及到银行内部的程序和流程,同时也涉及到银行的组织结构、政策以及操作风险的管理流程
信息科技风险分类范围很广,按信息科技管理领域分为:研发风险,即信息系统在采购、开发、测试、上线的管理过程中存在的风险;运维风险,即信息系统在日常运行和维护管理的过程中存在的风险;信息安全风险,即信息系统数据在使用、维护和管理过程中存在的风险;以及外包风险、业务持续性风险等
本文以研发风险为例,探索信息科技风险评级模型的建立
2.国际监管体系
(1)COBIT监管体系
COBIT(Control Objectives for Information and Related Technology,信息与相关技术控制目标),是由美国信息系统审计与控制协会在1996年所公布的信息系统安全与技术管理和控制的标准
COBIT其核心部分是将34个IT控制过程划分为四个域:IT规划与组织、系统获取与实施、交付与支持、监控
[3]
IT规划与组织域:该域根据业务目标细化IT战略,确保待开发的IT系统进行相应的系统分析和设计
系统获取与实施:该域定义识别自动解决方案、获得并维护应用软件、管理变更、安装、授权解决方案
交付和支持域:该领域定义管理服务水平、管理性能容量、保证持续服务、配置管理、数据管理、物理环境管理和运行管理
监控过程域:针对以上过程进行监督,以便对系统的品质和内部控制要求的落实进行评价,并加以改进
(2)URSIT监管体系
URSIT(Uniform Rating System For Information Technology,美国统一技术风险评级体系),是由美国联邦金融机构检查委员会制定的美国金融业统一的技术风险评级体系
它作为一套专门的技术风险监管工具用于美国所有的金融机构和IT服务提供商的金融技术风险
[3]美国各金融机构在采用URSIT体系后,参考COBIT体系,使URSIT更易于实施
URSIT由综合评级和单项评级两部分组成,综合评级用来评估一家机构信息科技的总体状况
其目的是迅速识别那些存在较大技术风险、需要特别关注的银行和IT服务提供商,综合评级建立在单项评级基础之上
3.构建风险评级体系
(1)评级模型的选择
在借鉴和吸收国际风险评级模型后,吸收其单项、综合分类评级体系的思想,结合我国商业银行特点,以信息科技风险中的研发风险为例,研发风险评级体系的一级指标由系统立项、系统开发、系统测试、系统变更四项组成