新形势下银行业信息科技风险监管

载　幽中国银行业监督管理委员会信息中心　何禹　　国际金融危机爆发以来，世界经济和国际金融形势　风险扩散更为迅速，系统性风险不断增大。三是全球范　跌宕起伏。面对金融危机的严重冲击，我国银行业保持　围内计算机病毒、网上银行欺诈和攻击行为１３益猖獗；　了稳健运行的良好态势，信息科技有力地支持了银行　我国电子银行类案件逐渐增多，网络窃密、网络攻击和　业的快速发展。近年来，我国银行业信息化建设取得了　银行卡欺诈等一些网络违法犯罪活动呈上升态势；一些　令人瞩目的成绩，信息科技制度体系不断健全，信息系　银行机构网络防范能力还不强，安全控制措施不足，自　统、基础设施日趋完善，信息科技应急管理水平不断提　身系统存在漏洞缺陷，缺乏对非法攻击的监测和报警机　高，信息科技创新有力地支持了业务的发展，也促进了　制。　风险管理水平的有效提升。　要确保金融服务的优质，就必须推动银行业提高信　银行业的快速发展对于信息科技的支持、保障能力　息科技建设、管理和风险控制水平，确保银行业信息系　也提出了更高的要求，主要表现在：银行业市场化、综　统安全、持续、稳健运行。在这种背景下，信息科技风　合化及国际化步伐加快；零售与理财业务日益重要，对　险监管已经成为监管部门的重要任务和职责。为此，银　于客户细分以及满足客户多元化需求的要求日益提高；　监会建立了机构监管与信息科技风险功能监管相结合的　对风险管理、决策支持系统和挖掘数据价值的重视程　矩阵式监管模式。自２００７年以来，银监会将信息科技风　度１３益提高；对系统可用性、安全性以及灾难恢复能力　险监管纳入银行总体风险监管框架，贯彻风险管理为本　的监管理念和分类监管的思路，通过制定信息科技监管　要求１３益提高。信息科技在促进银行业务高速发展的同　时，信息科技风险也逐渐成为银行面临的主要风险之　政策，持续实施信息科技非现场监管和现场检查，开展　一。综合分析我国银行业状况，信息科技在发展过程中　国际监管交流与合作，不断地提高监管的有效性。　在监管框架方面，银监会通过借鉴和吸收国际先进　还存在以下问题：一是我国银行业金融机构的信息科技　内功还不够扎实，风险管理体系不完善，管理、监督机　标准和业界最佳实践，逐步建立覆盖准入、非现场监　制缺位，尚未建立起完善的信息科技管理、信息科技风　管、现场检查、监管评级、应急管理与业务连续性、外　险管理和信息科技风险审计三道防线；科技管理显得粗　包、审计等各方面的银行业信息科技风险审慎监管规则　放，持续保障能力不足。二是由于我国银行业金融机构　体系。继２００８年发布《银行业重要信息系统突发事件　区域分布广泛、分支机构与营业网点众多，银行客户、　应急管理规范（试行）》和《银行、证券跨行业信息系　账户数量和业务交易量巨大，而且数据高度集中，ＩＴ运　统突发事件应急处置工作指引》后，２００９年以来，银　行环境越来越复杂，导致银行业科技风险高度集中，　监会又陆续发布了一系列监管指引和规范性文件，进一　２０１０．８／中国金融电脑４１　步完善信息科技监管法规体系。一是修订并发布了《商　业银行信息科技风险管理指引》，明确了信息科技风险　的定义和风险管理目标，对商业银行信息科技治理、风　险管理、信息保护、信息系统开发和运行、业务连续性　管理、外包、内外部审计提出了原则性的指导意见。二　是制定了《商业银行数据中心监管指引》，以加强对商　业银行数据中心设立和变更的风险管理，以及基础设施　运行环境、运营维护、灾难恢复、外包管理等。三是制　定了《银行业金融机构重要信息系统投产及变更管理办　法》，以加强银行业重要信息系统投产及变更风险管　理，强化信息科技内部控制。同时，银监会也在积极　推动将信息科技相关要求纳入行政法规中，将风险关　口前移。　时，银监会积极开展信息科技监管活动。在非现　场监管方面，银监会于２（）０９年编制并印发了《银行业金　融机构信息科技非现场监管报表》，２００９年底开始投入　试运行并向２６４家法人银行机构收取了非现场监管报表　数据，银监会在对数据汇总分析的基础上，对当前我国　银行业信息科技发展的总体状况、共性问题和相关风险　进行了初步探究。此外，银监会还设计开发了信息科技　４２　中国金融电脑／２０１０．８　风险非现场监管指标及风险评估体系，以识别银行机构　信息科技风险种类、信息科技风险水平以及信息科技风　险管控能力。在现场检查方面，银监会积极组织开展现　场检查，２００９年对近百家银行机构实施了现场检查，检　查范围覆盖政策性银行、国有商业银行、股份制商业银　行、城市商业银行、外资银行和农村信用社。　此外，为确保上海世博会期问银行业信息系统安全　稳健运行，银监会自２０１（）年年初以来，就以统筹规划　为原则，结合上海世博会会期长、参会国家和人数众多　的特点，着手制定上海世博会期间银行业信息科技保障　工作方案，积极推进银行业上海世博会信息科技保障工　作。通过建立专项保障机制等方式，要求银行业金融机　构确保“防范意识到位、隐患排查到位、管理措施到　位、责任落实到位”，重点做好五个方面的信息科技风　险防控工作：一是加强信息科技保障组织领导；二是加　强重要信息系统运行安全保障；三是加强重要基础设施　运行维护保障；四是完善应急预案，加强演练，确保应　急处置有效性；五是开展信息科技风险自查和整改。同　时，也号召银行业金融机构以世博为契机，进一步完善　ＩＴ治理结构，加强信息科技风险管理，建立信息科技风　险管控的长效机制。　相对于传统的银行风险管理，信息科技风险管理还　是一个比较新的领域，随着银行业务与管理的发展，新　的风险因素将不断出现，监管的方法和技术也需要不断　发展与改进。圜　Ｉ　日编辑：张忿ｚｔ　ａｎｇｒｕ　ｒＣＣ．ＣＯＩｌ１．ｃｎ