上世纪中叶,计算机的出现对人类社会的发展产生了巨大影响。广泛使用的计算机使人们传递信息的数量、处理信息的速度和应用信息的深度都以几何级数增长,由此,人类开始进入一个新的时代—信息时代,微电子技术、计算机技术、通讯技术和网络技术的应用,尤其是上世纪末期国际互联网的普及,使人们获取、转换、传递信息的成本急剧下降,并带来了社会经济发展方式的巨大改变。
进入信息时代,各行各业的经营方式都不断适应着信息技术的发展,商业银行也不例外。为了更好的利用信息技术以获取更大收益,商业银行开始了信息化过程。商业银行的信息化过程简单来说,就是指把现代信息技术应用于商业银行经营管理领域的过程。目前,世界各国的商业银行都加大了对信息科技的资金投入。时至今日,商业银行已拥有了大量的信息技术、网络设备和存储系统,并通过这些信息科技设备管理着日益庞大的数据库。
然而,商业银行在享受着信息科技带来的经营效率提升的同时,客户信息泄露、系统中断等信息科技风险也与之俱来。2011年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心,这一事件彻底毁灭了数百家公司所拥有的重要数据,令近900家机构因此倒闭。2009年11月8日,黑客集团成功入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络,伪造假卡,在不足12小时内从全球至少280个城市2100部提款机提取逾900万美元现金,使RBS集团段时间内损失惨重。这些事件昭示了信息科技风险管理的重要性,如何事前预防、实时监控、准确评估信息科技风险,成为摆在商业银行风险管理面前的重要课题。
这一章,我们通过几个近年比较典型的信息技术犯罪案件与信息安全事件,结合外部与内部监管要求,来看看信息科技风险管理的重要性
按照银监会2010年发布的《中国银监会关于修订银行业金融机构案件定义及案件分类的通知》对于案件定义的修订:
本规程所称案件是指银行业金融机构从业人员独立实施或参与实施的,或外部人员实施的,侵犯银行业金融机构或客户资金或财产权益的,涉嫌触犯刑法,已由公安、司法机关立案侦查或按规定应移送公安、司法机关立案查处的刑事犯罪案件。
信息科技案件是指在作案过程中运用了信息科技手段的案件。
1995年2月27日,英国中央银行宣布,英国商业投资银行——巴林银行因经营失误而倒闭。消息传出,立即在亚洲、欧洲和美洲地区的金融界引起一连串强烈的波动。东京股市英镑对马克的汇率跌至近两年最低点,伦敦股市也出现暴跌,纽约道·琼斯指数下降了 29 个百分点。
巴林银行是历史显赫的英国老牌贵族银行,世界上最富有的女人——伊丽莎白女王也信赖它的理财水准,并是它的长期客户。
尼克李森被称为国际金融界“天才交易员”,曾任巴林银行驻新加坡巴林期货公司总经理、首席交易员。以稳健、大胆著称。在日经 225 期货合约市场上,他被誉为“不可战胜的李森”。
1994年下半年,李森认为,日本经济已开始走出衰退,股市将会有大涨趋势。于是大量买进日经 225 指数期货合约和看涨期权。然而“人算不如天算”,事与愿违,1995年1月16日,日本关西大地震,股市暴跌,李森所持多头头寸遭受重创,损失高达2.1亿英镑。
这时的情况虽然糟糕,但还不至于能撼动巴林银行。只是对李森先生来说已经严重影响其光荣的地位。李森凭其天才的经验,为了反败为胜,再次大量补仓日经225期货合约和利率期货合约,头寸总量已达十多万手。
要知道这是以“杠杆效应”放大了几十倍的期货合约。当日经225指数跌至18500点以下时,每跌一点,李森先生的头寸就要损失两百多万美元。
2月24日,当日经指数再次加速暴跌后,李森所在的巴林期货公司的头寸损失,已接近其整个巴林银行集团资本和储备之和。融资已无渠道,亏损已无法挽回,李森畏罪潜逃。
巴林银行面临覆灭之灾,银行董事长不得不求助于英格兰银行,希望挽救局面。然而这时的损失已达14亿美元,并且随着日经225指数的继续下挫,损失还将进一步扩大。因此,各方金融机构竟无人敢伸手救助巴林这位昔日的贵宾,巴林银行从此倒闭。
有人说,一开始,这件事像是一个玩笑。如果一个交易员能够绕过层层监管,独自一人以“欺诈”的手段从事巨额股票衍生产品交易,那么,不但法国兴业银行的风险管理能力将受到质疑,整个金融业在公众心目中的信誉也都会大打折扣。在今后相当长的时间里,这个欧洲老牌的金融机构将面临重大困难,而它留给我们的则是关于企业内部控制及风险管理的沉重思考。任何一家机构,无论具有怎样雄厚的实力,一旦放松了对内部运作的控制,失去了对风险的警惕和防范,那么哪怕是一个级别很小的员工或者是一个小小的失误,都将有可能葬送整个企业。
法国兴业银行创建于1864年5月,当年由拿破仑三世签字批准成立,经历了两次世界大战并最终成为法国商界支柱之一。可就是这样一个创造了无数骄人业绩的老牌银行在2008年年初因一个底层交易员的违规操作而受到了重创,“金字塔”险些瞬间倾塌。
2005年6月,该银行的交易员热罗姆·科维尔躲过了严密的监控系统,开始进行违规越权交易。2007年到2008年年初,他擅自动用了高达500亿欧元(合733亿美元)的衍生品头寸,投资欧洲股指期货。科维尔的欺诈行为暴露之时,正值2008年年初欧洲股市暴跌之际。法国兴业银行进行了紧急平仓,整整抛售三天之后将损失定格为49亿欧元。此次欺诈案的规模远远超过了历史上最为臭名昭著的巴林银行倒闭案。
不论从性质上还是规模上来说,此次事件都堪称“法国历史上最大的金融悲剧”。何以一个从法国三流商学院毕业、年薪不到10万欧元的年轻人能够撼动具有140多年历史的老牌银行的根基,并撬动了欧洲乃至全球股市?法国兴业银行的内部控制到底发生了什么,致使科维尔一个人可以轻易绕过五重安全控制系统,躲过由2000多人组成的庞大监控队伍,挪用巨额资金在股指期货市场上赌博?从表面上来看,悲剧的发生主要是由于交易员利用自身对公司风险管控系统的深入认识进行违规交易,而银行风险系统也没能及时觉察。但我们进一步分析发现,公司的内部控制环境,尤其是激进的企业文化为此次事件的发生埋下了隐患,而管理人员与监控人员置之不理的行为也使其成了科维尔的帮凶。
在2008年1月18日之前的几天,法国兴业集团就已经查出科维尔的交易记录上存在不寻常的交易风险,并对此进行了额外控制。2008年1月18日,银行一名经理收到了一封来自另一家大银行的电子邮件。邮件内容是确认此前约定的一笔交易,但问题是法国兴业银行早已限制和这家银行的交易往来。很快,银行内部组成了一个小组进行清查,指出这是一笔虚假交易,伪造邮件的是科维尔。一天后,科维尔被要求对此进行解释。与此同时,法国兴业银行也查出对方银行对这笔所谓的交易根本一无所知。科维尔最初还想靠老办法蒙混过去,但最终还是承认他伪造了虚假贸易往来。银行在19日连夜查账,并在20日震惊地发现,这起欺诈案件所涉及的资金总额如此惊人。
20日早晨,所有的头寸都被最终确认,当天下午,总体盈亏程度被确认。在18日(周五)交易日结束时,兴业银行损失接近20亿美元,但不幸的是,21日(周一)重新开盘时,由于全球股市遭遇“黑色星期一”,损失进一步扩大。
21日,法国兴业集团开始在非常不利的市场环境之中,对“欺诈案”中头寸进行紧急平仓,整整抛售三天。平仓记录显示,1月21日到23日,法国兴业集团的一系列市场对冲措施恰和上述几日欧洲股市暴跌相联系。不过,法国兴业集团等到1月24日将相关头寸全部平仓之后,才首次在公告中向公众披露,轧平这些仓位直接导致了其多达48.2亿欧元的损失。
2008年1月30日,法国兴业银行董事成立了一个由独立董事组成的排外性的特别委员会。该特别委员会与内部审计委员会合作,拥有对所有外部专家和顾问的信息追索权。同时,特别委员会还委任普华永道作为这项绿色任务(Green Mission)的审计顾问,对内部调查结果进行再次审查。
2月20日,法国兴业特别委员会向法国兴业董事会提交了一份名为《绿色任务》的针对交易员热罗姆·科维尔欺诈事件的中期调查报告。这份长达12页的报告说,兴业银行内部监控机制并未完全运转,内部监控系统多个环节有可能存在漏洞,主要包括对交易员盘面资金的监督、对资金流动的跟踪、后台与前台完全隔离规则的遵守、信息系统的安全及密码保护等。
报告披露,第75次警报拉响之后才让科维尔的行径败露。从2006年6月到2008年1月,法国兴业银行的大多数风控系统自动针对科维尔的各种交易发出了75次报警。其中,2006年科维尔的交易引起了5次警报,而2007年发布的可疑交易更多,共达到67次,随着交易量的膨胀,警报越来越频繁,平均每月有5次以上。而在2008年1月的3次警报的最后一次,欺骗终于败露。
2008年7月4日,法国银行监管机构——法国银行委员会对兴业银行开出400万欧元罚单(目前其罚款上限为500万欧元),原因是兴业银行内部监控机制“严重缺失”,导致巨额欺诈案的发生。银行委员会在一份公告中指出,兴业银行内部监控机制严重缺失,使得金融交易在各个级别缺乏监控的情况下,在较长时期内难以被察觉并得到纠正,因而存在较大可能发生欺诈案并造成严重后果。法国兴业银行也对科维尔提出了四项指控,其中包括滥用信用和欺诈未遂。在这四项指控中,量刑最为严重的滥用信用一项,最高可判7年监禁,并处以75万欧元罚款。
2009年初,国内某银行接到投诉,有客户称账户上资金无缘无故被转走了。银行经过检查发现,客户投诉异常的交易均是在国庆期间从大众版网银发起的,从交易本身看不出异常。
正在银行与客户沟通确认事件经过时,又收到数十笔投诉,均指账户上的资金被转走。大量的异常交易引起了银行高度重视,通过与公安机关合作,很快抓获了犯罪嫌疑人。
经过审讯得知,犯罪嫌疑人雇佣了多名当地无业人员,在银行办理了借记卡并开通了个人网银业务。随后以合法身份进入银行大众版网银系统,利用网络下载的黑客软件,对该银行大众版网银系统进行攻击和破译,发现漏洞后作案。
犯罪嫌疑人先通过所掌握的银行卡卡号规律,猜测出一些银行卡卡号,然后不断尝试对本地计算机终端浏览器上运行的个人网银大众版服务端送来的网页代码进行数据篡改,将网页代码中“转出账号”数据改为所猜测的银行卡卡号,当篡改的数据发回网银服务端后,由于该行系统设计缺陷,没有对“转出账号”进行客户银行卡归属校验,导致犯罪嫌疑人将猜出的银行卡内资金转入其指定的银行卡账号内。据统计,犯罪嫌疑人曾尝试攻击171笔,通过转账到去资金59笔,涉及客户11人,累计金额12万元。
上述案例关键因素一是Web浏览器存在安全缺陷,犯罪嫌疑人通过网上下载的黑客软件,将个人网银大众版服务端网页代码进行了篡改,为其修改“转入账号”、“转出账号”、“转账金额”、及“产品使用权限”等个人网银客户端交易数据提供了基础环境。二是个人网银大众版服务端缺乏对客户端数据进行安全校验的措施,该银行为了提高服务端系统服务效率,甚至将有关认证校验功能前置到不可信的客户端,导致犯罪嫌疑人测试出个人网银服务器端在转账交易流程中的缺陷漏洞,实现其非法盗取客户资金的目的。
2009年底,某农村信用合作社接到客户投诉,称其在该柜台开设的银行卡一直在本人身上,密码也没有丢失,但连续收到自己未做的ATM取款、POS消费短信通知。银行立即查看了监控录像及交易流水,发现就在客户投诉前几日,有3名嫌疑人在ATM撞上了盗码器与摄像机设备,33分钟后将设备移除。期间,有5名客户在该ATM上发生交易,其中3张为该联社银行卡,2张为其他银行卡。
案件发生后检查该客户相关流水,发现此卡被非法取款3笔刷卡消费2笔,金额近5万元。
公安机关提示,此类在银行自助设备外部加装特殊装置盗取银行卡信息的案件,作案过程一般为:在门禁或自助设备上安装侧录读卡器盗取客户银行卡信息,通过安装微型摄像头、假键盘或通过望远镜盗取客户密码,然后以最快的速度制作伪卡,在本地或异地将客户卡内资金取出或转走,使客户蒙受损失。随着技术发展,此类案件技术含量也越来越高,加上作案时间短,防范打击难度大,近年呈现逐年上升的趋势,对银行业、社会和客户造成的影响都比较大。
此类案件通常在18时~22时安装读卡器和摄像装置,实施犯罪的设备从安装到拆走一半不超过1小时。作案时通常在甲地盗取客户银行卡信息,然后到乙地的自助银行取款。之所以此类案件频繁出现,主要原因一是国内银行卡多数为磁条卡,防伪能力弱,只要能读到磁条信息,就能比较容易的被克隆。二是客户警惕性不高,对银行自助设备操作熟悉程度不够,对于突然“增加”的部件熟视无睹,依旧进行相关操作,造成卡号、密码的泄漏。三是自助设备无人值守,加上部分银行监控和巡查不到位,给犯罪嫌疑人可乘之机。
2011年中国人民银行全面启动银行磁条卡向IC卡迁移工作,目前全国各商业银行均已用金融IC卡替代了传统的磁条卡,从根本上提高银行卡的安全性。很大程度上避免了磁条信息易被复制、使用磁条信息盗录装置复制银行卡磁道信息等问题,极大降低了银行卡信息盗取案件的发生几率。
通过这些案例可以看出,银行信息科技案件按照案发区域,可分为以下三类:
一是网上银行类案件。犯罪嫌疑人主要通过国际互联网等载体,以木马病毒、程序破解密码等多种技术手段获取银行客户账号和密码,再以非法转账或网上支付等方式,盗取客户资金。
二是内控缺陷类案件。犯罪嫌疑人借内部工作人员的身份和工作之便,利用银行管理制度、业务流程、交易系统等方面存在的漏洞作案,盗取客户或银行资金。内部控制作案又可细分为两类:其一是业务人员盗取其他员工的柜员号和密码,通过对客户定期存款进行密码挂失、虚假存款、虚列利息支出、冒名虚假贷款等方式作案,盗取银行或客户资金。其二是科技人员利用职务便利,非法进入系统,通过编制非法程序窃取银行客户密码、篡改数据库数据、篡改账户状态、窃取数据仓库客户信息和利用综合业务系统功能缺陷等方式作案,盗取银行或客户资金。
三是自助设备类案件。犯罪嫌疑人在银行自助设备上做手脚,利用读卡器、微型摄像机、假冒银行服务电话等各种手段盗取客户账号及密码,进而盗取客户资金。
上述三种类型案件在案发区域、损失度及防范难度等方面存在不同,作案手段也有所差异。见表1、表2。
据2004~2010年银行业信息科技相关案件统计数据显示,当前我国银行业信息科技案件中,最受关注的是利用网上银行作案;利用银行内部控制漏洞作案发案数相对较少但涉案金额较高;发案率最高的是利用自助设备作案。见图1所示。
上述三类案件近年来呈以下变化趋势。
利用网上银行作案发案率逐年递增
利用网上银行作案具有任意时间、任意地点之特点,犯罪分子实施犯罪不容易受到事件时点的限制。
由于技术的开放性,犯罪分子容易掌握一些技术含量较高的作案手法,且攻击手段不断翻新,犯罪行为更不易被察觉。
银行为适应市场竞争的需要,网银产品开发周期缩短,相应内控手段难以适应业务快速发展的需要,风险敞口逐步累积。
利用银行内部控制漏洞作案发案率逐年递减,但涉案金额较高
银行内控体系逐步完善。随着对信息科技风险认识的不断提高,银行业金融机构逐步将信息科技风险纳入银行整体风险防范体系,促使银行内控机制日渐增强,风险管控能力和水平不断提升。例如银行通过实施关键业务岗位隔离、信息科技生产和测试环境隔离、指纹识别仪取代柜员卡等制度和措施,堵塞了部分漏洞。
外部环境对银行内部控制的合规要求日益严格。例如近年来银监会相继出台了《商业银行信息科技风险管理指引》、《银行业重要信息系统突发事件应急管理规范》、《电子银行业务管理办法》等规范性文件,对银行内部控制合规提出了更为明确的要求。
由于内部人员作案,熟悉银行控制体系,导致此类案件具有作案时间长、败露周期长、单笔涉案资金高的特点,危害性较高。
近几年,基于企业竞争策略,中小银行纷纷加大了借记卡、信用卡等客户市场的开拓力度,但由于其科技部门整体技术水平不高、对信息安全的风险防范意识和能力不足,导致相关犯罪案件高发。
该类案件有向农村、乡镇蔓延转移之趋势。犯罪分子利用不发达地区银行客户风险意识薄弱的特点,专门选择针对银行县级支行或者农村中小金融机构ATM作案。
该类案件对技术要求相对较低,目前我国仍大量使用安全级别较低的磁条卡,涉及相关案件较多。
各类信息科技犯罪案件会对银行造成多方面的危害,主要集中在以下三个方面。
欺诈风险,例如敏感信息被盗取,包括银行卡号及密码、网银账号及密码等,导致银行或客户资金被盗。
银行资产设施及信息系统受损,影响其正常对外提供服务。
导致各类信息科技犯罪案件发生的原因来自多个方面。
银行的系统安全机制存在缺陷。例如银行卡防伪能力弱、客户认证机制存在漏洞等。
银行的内部控制存在漏洞。例如对敏感信息保护不周全,对生产环境控制不严,外包管理存在缺失,对自助设备区域的巡查不力等等。
银行业及其客户的科技风险防范意识整体偏低。体现在银行的风险防范意识普遍不足,客户的安全意识更为薄弱。具体分析见表4。
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全事件就是指威胁信息安全的事件。
2011年韩国农协银行网络故障
2011年4月12日下午,韩国农协银行的电脑网络开始出现故障,导致客户无法提款、转账、使用信用卡和取得贷款。系统故障一直持续了3天,直到4月15日才恢复部分服务,而有些服务直到4月18日仍然没有恢复,以至于银行不得不采用传统的手写交易单的方式进行服务。
根据农协银行工作人员报告的情况,本次事件源于系统服务器数据被删除造成的系统瘫痪和数据丢失。大约540万名信用卡客户的交易记录被删除。
根据农协银行工作人员、韩国检察官、金融监督院、以及中央银行调查员的初步调查,4月12日下午4:30到5点之间,某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令,该命令会删除服务器上的所有文件。被删除的服务器包含重启系统用的服务器。结果就是当天下午5:30左右开始,该银行在全国1154个分行的服务中断。
rm.dd是最高级别的系统命令,只有拥有最高安全权限的Super Root用户才有权限执行,而且仅限银行内网的特定IP段。农协银行的IT副主管表示,Super Root权限只有制造这些服务器的IBM韩国公司的少数高层管理员才拥有,而银行的550名IT工作人员是没有这个权限的;但是根据调查员的确认,农协银行IT部门应该也有4、5人拥有该权限。
根据调查员的进一步分析,认为整个事件是一次恶意黑客攻击,rm.dd命令只是恶意软件的一部分,不知道从什么时候开始安装在了该员工的笔记本上。
农协银行系统共有553台服务器,其中有320台与该笔记本有网络连接。
根据调查员的进一步分析,认为整个事件是一次恶意黑客攻击,在事故过程中,位于良才的中继代理服务器以及位于安城的灾备服务器都失效了(官方没有说明具体原因,但是既然无法恢复数据,说明灾备服务器上的数据也丢失了),结果就是系统恢复只能通过给553台服务器重装系统来解决。
笔记本的所有者表示删除命令并非自己所下达。事发当时,该员工的笔记本放置在银行的办公室内。根据当天闭路电视的录像,可能有20个人有机会接触到这台笔记本,这20人当中有一人拥有Super Root权限。
但是,也不排除有黑客从外部互联网连接到这台笔记本,再通过这台笔记本做跳板对服务器下达指令的可能,因为该笔记本在当天的24小时内与外网是连通的。
2014年,某城商行核心系统数据库出现故障,导致该行(含异地分支机构)存取款、转账支付、借记卡、网上银行、ATM和POS业务全部中断。
经初步分析,在季末结算业务量较大的情况下,因备份系统异常导致备份存储磁盘读写处理严重延时,备份与主存储数据不一致,在采取中断数据备份录像操作后,造成生产数据库损坏并宕机。因该行应急恢复处置机制严重缺失,导致系统恢复工作进展缓慢,直至7月3日5点40分核心系统才恢复服务,业务系统中断长达37小时40分钟,其间完全依靠手工办理业务。
该事件的根本原因是在于该行安全生产意思薄弱、应急管理体系缺失、应急处置过程混乱。该行核心系统数据库版本严重老化,且2007年至今未购买核心数据库的维保服务,核心系统长期缺乏维护,事故发生后,无法获得系统供应商及时技术支持。系统恢复过程中,缺乏应急预案和准备,长时间无法实施有效处置,导致业务恢复缓慢,对银行运营产生较为严重影响。
对近年来各银行业金融机构报告的信息安全事件进行统计分析,目前我国信息科技相关事件的特点如下:
重要信息科技事件(引发银行系统中断1小时以上)的事件类型主要集中在硬件设备故障、软件系统故障、外围保障设施故障3类。发生的相关事件分别占据了系统严重中断事件总体的30%、30%及20%,见图3
硬件设备故障率及外围保障设施故障率逐年升高。一方面银行计算机设备数量不断增加,另一方面银行计算机设备的硬件维护工作较多的依赖计算机厂商,而对外包风险、外包厂商和服务的管控工作存在不足,这两个因素导致硬件设备故障发生概率增大。
软件系统故障逐年增加。主要原因是银行业信息系统的复杂度越来越高所致。例如因系统关联性因素考虑不周全导致系统变更后的故障发生率较高,同时因系统老旧导致系统发生故障的频率越来越高。
网络攻击事件主要发生在大型银行,但尚未构成实质性威胁。目前国内大型银行普遍配备了较高端的网络攻击侦测设备,并在发生网络攻击时同电信运营商采取了较为密切的合作,有效防范了各类网络攻击事件对银行造成实质性损害。
有害性程序事件的发生率逐年递减。近年来各银行基本建立了完善的防病毒体系,所使用的病毒防护手段普遍提高,并且及时对防病毒软件进行升级,使得有害性程序事件发生率逐年递减。
灾害性事件属于不可抗力,总体上发生概率较低,但对计算机系统会造成严重影响。特别是目前银行业金融机构普遍开展的数据集中处理工作,使灾难性事件对银行信息系统的安全稳定运行产生较大影响。
各类信息科技事件对银行的影响体现在以下几个方面。
由于资产设施受损、数据丢失、电力中断、通讯中断等原因,导致银行内部经营管理不能正常进行。
发生直接资金损失,如银行资金受损和客户资金受损。具体影响情况见表5。
导致各类信息科技事件发生的原因来自以下几个方面。
系统保障不足,如基础设施环境保障不足、对关键设备未实施冗余配置、系统容量不足、系统安全防护不足、数据异地实时备份能力不足。
日益增多的应用系统未实现有效整合,系统设计时对安全控制考虑不足,导致系统安全隐患加大。
银行的科技管理存在缺失,信息系统运行保障能力不足。例如运行操作不当、监控不到位、外包管理薄弱等。
风险预警监测体系有待完善,预警监测的自动化程度、可靠性、及时性有待加强。
系统灾备机制不健全,应急预案不完善,应急处置不当。具体分析见表6。
随着信息科技的不断革新进步,信息科技已经渗透到银行业金融机构经营管理的各个领域,以信息科技为支撑的金融业务不断创新发展,金融产品日新月异,信息科技已经成为银行业金融机构实现经营战略和业务经营的基础平台以及金融创新的重要手段,特别是互联网技术的发展,如网上银行、手机银行等新型业务的不断涌现,改变着银行业经营竞争格局。如湖南省某地方中小银行电子银行业务替代率逐年提高,去年底已达到了 60%。
地方中小银行的自助银行网点逐年增加,信息科技改变了客户使用银行服务的习惯,推动了商业银行运营方式和管理方式的根本转型。信息科技与银行业务的高度融合,已成为银行业打造核心竞争力的重要手段,信息科技在银行业发展竞争过程愈来愈具有至关重要的作用。
外部制度规范
新《巴塞尔资本协议》的基本要求
在金融企业风险管理方面,1988 年,国际清算银行巴塞尔银行监理会发布了以规范信用风险为主,将信用风险纳入商业银行资本需求的《巴塞尔资本协议》(Basel I)。在 1996 年的修正案中,又将市场风险纳入资本需求。2004 年,新《巴塞尔资本协议》( Basel II)修正了信用风险评估标准,并将操作风险也纳入资本需求,明确最低资本要求、监察审理程序、市场制约等三大支柱,以期规范银行风险管理能力。至此,商业银行董事会、管理层开始全面重视和参与风险管理,设立风险管理委员会统一管理信用风险、市场风险、操作风险、流动性风险、法律风险、声誉风险、合规风险。
操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外,所强调的商业银行面临的另一种重要风险类型,是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险。”我国银监会也基本沿用了这一定义。
可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中,需将信息科技风险作为操作风险的重要内容统一进行管理;对信息科技风险的管理,可以借用操作风险的管理框架和工具。从风险管理的流程来看,一个完整的操作风险管理(Operational Risk Management,ORM)框架首先要确定执行和负责操作风险管理的组织机构,然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行,形成一个循环往复、不断提升的风险管理过程。
在2004年正式公布的新《巴塞尔资本协议》中,重新修订了银行风险的分类和定义,强调银行在进行风险管理的时候,不仅要重视传统的信用风险、市场风险、流动性风险,而且要将防范操作风险放在一个重要的地位,并将信息科技风险明确划归操作风险的范畴,从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
在新巴塞尔协议中,明确将信息科技风险作为操作风险的一部分,纳入到银行监管范畴。因此,巴塞尔协议中对于操作风险监管的指导原则完全适用对信息科技风险进行监管。2003年巴塞尔委员会提出了10项操作风险管理指导原则,如下所示:
董事会应发挥主导作用,知晓本行的操作风险主要体现在哪些方面,推行强效操作风险管理框架及系统的构建,并定期进行操作风险审核。该系统应能区分本行业务中存在的各类操作风险,同时能坚持操作风险的识别、评估、监测与控制、缓释等原则。
董事会要确保拥有一支训练有素、业务精良、能够进行独立运作的内审队伍,对操作风险管理系统进行全面、有效的监督,内审部门应被明确规定不对操作风险管理负责。
经董事会批准的操作风险管理系统,高级管理层要能确保其在银行各部门中得到有效执行,同时各级员工均应明确自己对操作风险管理的责任。高级管理层还应确定相关政策、程序和步骤,同时有效防范和消化银行自身重要产品和业务、经营活动、技术程序和业务系统中的操作风险。
识别和评估所有重要产品、经营活动、技术程序和业务系统中固有的操作风险至关重要。因此,应该确保在引入或者创新金融产品、开拓经营活动、开发技术系统之前,已经科学认识和评估了其中潜在的操作风险。
银行应制定整套定期操作风险相关的监测方案,设计重大损失的应急处置程序,能够定期向负责操作风险管理的高级管理层和董事会报告有关信息。
银行应及时制定控制和(或)缓释重大操作风险的政策、程序和步骤,并且开展风险限度和控制战略的定期检查,全面识别自身的风险偏好和现有风险水平,动态调整操作风险的管理战略。
银行应制定应急和持续的营业方案,以确保即便出现严重的业务中断事件,能够及时控制相关损失,同时不影响银行的正常业务经营。
银行业监管机构应要求商业银行,不管银行规模大小,都必须制定科学有效的操作风险管理办法来识别、评估、监测和控制(缓释)重大的操作风险,并且将其纳入银行的全面风险管理架构中去。
监管者应该定期、独立地评估银行有关操作风险的政策、程序和做法。并确保有适当的机制能够评估银行风险管理的真实情况。
银行应该进行足够的信息披露,允许市场参与者对银行的操作风险管理方法进行评估。
根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2~3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了信息科技风险对于商业银行的严重影响。与此同时,国家有关监管和审计部门推出的一系列对商业银行信息科技风险的监管措施,体现出其对信息科技风险的深刻认识和日益重视,同时也对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义,充分体现出了我国政府对银行业信息科技风险管理的高度重视。
2006年6月,国务院国有资产监督管理委员会印发了《中央企业全面风险管理指引》文件,对风险管理理念进行了较为彻底的实践化和本地化。其定义的全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全企业全面风险管理体系,包括风险管理策略、风险管理解决方案、风险管理的监督与改进、风险管理的组织体系、风险管理系统和内控系统,从而为实现企业的总体风险目标提供合理的过程和方法。
商业银行作为国民经济的命脉产业,除了在经营过程中要根据具体的法律、法规执行风险防控以外,其经营管理情况也会受到监管机构的定期审查。监管机构出台了各项管理规定或制度对商业银行的日常经营管理和业务发展的各个环节进行严格的约束,如:中国银监会的《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《银行业重要信息系统突发事件应急管理规范(试行)》,《银行业金融机构外包风险管理指引》,中国人民银行的《银行业金融机构信息系统安全等级保护定级的指导意见》、《银行业信息系统灾难恢复管理规范》;中国银监会和中国证监会共同起草并出台的《银行、证券跨行业信息系统突发事件应急处置工作指引》。
我国银行业监管部门关于商业银行信息科技风险管理方面的要求包括信息科技治理、信息科技风险管理、信息安全、系统开发测试与维护、科技运行管理、业务连续性管理、外包管理等方面。框架如下图:
信息科技治理提出了商业银行董事会、首席信息管、科技管理委员会及信息科技风险管理、风险审计、内部运行管理等履职要求,还提出了信息科技战略制定、人才激励机制建立、人才培训等要求。
信息安全包括信息安全标准与策略的制定。涉及领域包括安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理等,如下图:
我国银行业监管部门要求商业银行重要信息系统突发事件应急管理应以“健全机制、明确职责、预防为主、高效处置”为工作原则,切实抓好风险防范、应急预案与演练、应急响应、应急保障、持续改进等方面的工作。 如下表:
突发事件分成特别重大突发事件(I 级)、重大突发事件(Ⅱ级)、较大突发事件(Ⅲ级),如下表:
我国银行业监管部门要求商业银行加强数据中心的风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理等,并对同城或异地模式灾备中心的建设、数据中心选址、数据中心基础设施、数据中心安防与基础设施保障、数据中心通讯线路等提出较为详细的指导意见。
我国银行业监管部门要求商业银行对于重要信息系统投产及变更应抓好组织管理、风险评估和流程控制。商业银行应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。商业银行的重要信息系统投产及变更控制应抓好过程安全审查、内容评审、应用测试、版本管理、数据与质量控制、风险监控和预警、应急演练等工作。
我国银行业监管部门要求商业银行对业务连续性应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
我国银行业监管部门要求商业银行应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
银监会发布《银行业金融机构全面风险管理指引》,要求银行业金融机构应当制定风险限额管理的政策和程序,建立风险限额设定、限额调整、超限额报告和处理制度。同时,在风险限额临近监管指标限额时,银行业金融机构应当启动相应的纠正措施和报告程序,采取必要的风险分散措施,并向银行业监督管理机构报告。
《指引》采用了风险管理“三道防线”的理念,强调银行业金融机构董事会承担全面风险管理的最终责任。银行业金融机构监事会承担全面风险管理的监督责任,负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。银行业金融机构应当设立或指定部门负责全面风险管理,牵头履行全面风险的日常管理。银行业金融机构各业务经营条线承担风险管理的直接责任。
《指引》定位于为银行业金融机构完善全面风险管理体系提供系统性指导框架。在此基础上,《指引》充分考虑了各类银行业金融机构的差异化情况。一是区分适用和参照执行。适用范围明确为我国境内设立的银行业金融机构,经银行业监督管理机构批准设立的其他金融机构参照本指引执行。二是明确匹配性原则。考虑到各类机构特点的差异性,《指引》明确提出全面风险管理体系应当与风险状况和系统重要性等相匹配,并根据环境变化进行调整。三是部分条款增加了适用的前提条件。如对规模较大或业务复杂的银行业金融机构,提出设立风险总监(首席风险官)的要求。
