新時期城商行信息風(fēng)險挑戰(zhàn)與應(yīng)對

新時期中國銀行業(yè)面臨的新形勢

當(dāng)前，商業(yè)銀行處于一個開放、競爭、多樣化的金融體系中，資本市場逐漸成熟，以移動互聯(lián)網(wǎng)為代表的新技術(shù)不斷涌現(xiàn)，金融生態(tài)出現(xiàn)新的格局，金融監(jiān)管不斷收緊，商業(yè)銀行面臨著前所未有的動態(tài)發(fā)展的外部環(huán)境。

金融創(chuàng)新是當(dāng)前銀行業(yè)務(wù)新形勢

客戶本位——客戶感受（體驗）驅(qū)動業(yè)務(wù)創(chuàng)新。在新的時期，伴隨著利率市場化、商業(yè)銀行服務(wù)收費管制的放松和個人銀行業(yè)務(wù)的高速增長的過程，商業(yè)銀行都在實施"以客戶為中心"的轉(zhuǎn)變。為提升用戶黏度，避免陷入同質(zhì)化嚴(yán)重的領(lǐng)域進行惡性競爭，商業(yè)銀行必須不斷開發(fā)新的業(yè)務(wù)來適應(yīng)客戶的需求。

科技興行——新技術(shù)（應(yīng)用）加快了銀行創(chuàng)新。以移動互聯(lián)網(wǎng)為代表的新技術(shù)的出現(xiàn)大大降低了金融業(yè)的信息成本和交易成本，并由此引發(fā)了金融競爭的新格局。目前，各銀行不斷加大產(chǎn)品及服務(wù)創(chuàng)新，在運作模式上更強調(diào)互聯(lián)網(wǎng)技術(shù)，尤其是移動互聯(lián)網(wǎng)技術(shù)與金融核心業(yè)務(wù)的深度整合，移動金融日益融入社會生活的各個角落。

低成本運行——成本和效率因素促進業(yè)務(wù)服務(wù)的融合。隨著電子商務(wù)的日益普及，第三方支付、互聯(lián)網(wǎng)公司等積累了大量終端客戶。為共享客戶資源，降低營銷成本，銀行與第三方開始走向合作。在未來銀行的發(fā)展中，銀行業(yè)逐漸擺脫對網(wǎng)點和人工服務(wù)的依賴，實現(xiàn)生產(chǎn)方式的轉(zhuǎn)型。在業(yè)務(wù)創(chuàng)新過程中，銀行業(yè)需要投入大量的科技成本。與自行建設(shè)及運行管理信息系統(tǒng)相比，外包模式具有節(jié)約技術(shù)研發(fā)、科技管理成本、規(guī)避IT投資風(fēng)險、提高效率等優(yōu)勢。因而，商業(yè)銀行與金融外包服務(wù)商的合作日趨緊密。

商業(yè)銀行的業(yè)務(wù)和系統(tǒng)特點

目前主要商業(yè)銀行大致可分為國有商業(yè)銀行、股份制商業(yè)銀行和城商行三種類型。市場競爭環(huán)境、自身定位決定了三類銀行具有不同的業(yè)務(wù)特點，因而，其系統(tǒng)在規(guī)模、結(jié)構(gòu)和能力方面也具有不同的特點。

國有商業(yè)銀行——“業(yè)務(wù)大，系統(tǒng)強”。國有銀行是商業(yè)銀行的主體，其改制后經(jīng)營活力大幅提高，業(yè)務(wù)基礎(chǔ)好，在資本實力、市場份額、客戶資源、人才儲備等方面仍具有絕對競爭優(yōu)勢。其業(yè)務(wù)特點是：存貸款規(guī)模大；分支機構(gòu)、自助設(shè)備等網(wǎng)點多、覆蓋范圍廣；客戶遍及全球，與外部環(huán)境關(guān)聯(lián)性大。與其相適應(yīng)的是，其系統(tǒng)具有設(shè)施先進、交易量大、數(shù)據(jù)高度集中、信息化水平高等特點。

股份制商業(yè)銀行——“業(yè)務(wù)齊，系統(tǒng)?！?。股份制商業(yè)銀行從創(chuàng)建伊始，就完全以企業(yè)方式按照市場準(zhǔn)則來運作，雖然存款規(guī)模和貸款規(guī)模比國有商業(yè)銀行小，但股份制商業(yè)銀行的經(jīng)營者普遍有打造全能銀行的強烈愿望。其業(yè)務(wù)特點是：業(yè)務(wù)種類齊全；實現(xiàn)各業(yè)務(wù)條線的集中管理；各家銀行集中優(yōu)勢資源在某些業(yè)務(wù)領(lǐng)域逐步形成了自身的經(jīng)營特色。與業(yè)務(wù)特點相適應(yīng)，股份制商業(yè)銀行系統(tǒng)具有較強的專業(yè)性，注重信息資源對業(yè)務(wù)流程再造和新產(chǎn)品開發(fā)的支持功能；注重開發(fā)初級信息資源的價值，使其能為組織管理服務(wù)。

城商行——“業(yè)務(wù)小，系統(tǒng)弱”。城市商業(yè)銀行在成立之初就確立了服務(wù)地方經(jīng)濟的市場定位，對當(dāng)?shù)乜蛻舻馁Y信狀況、經(jīng)營效果比較熟悉，其業(yè)務(wù)具有明顯的區(qū)域性與地方性特征。其業(yè)務(wù)特點是：存貸款規(guī)模普遍較小；發(fā)展程度多取決于當(dāng)?shù)亟?jīng)濟發(fā)展；放貸業(yè)務(wù)相對集中于若干特定類型和風(fēng)險特征的信貸資產(chǎn)。在業(yè)務(wù)系統(tǒng)開發(fā)過程中，基本采取對大行的“跟蹤策略”，整體水平不高，高附加值產(chǎn)品匱乏。

新形勢下中國銀行業(yè)面臨的新風(fēng)險

業(yè)務(wù)創(chuàng)新帶來前所未有的新風(fēng)險

銀行是經(jīng)營風(fēng)險的行業(yè)。隨著外部環(huán)境的變革和自身的不斷演化，銀行業(yè)務(wù)系統(tǒng)勢必會不斷面臨新的威脅，產(chǎn)生新的脆弱性，從而導(dǎo)致新的風(fēng)險，甚至是未知的風(fēng)險。

新業(yè)務(wù)的應(yīng)用產(chǎn)生新的風(fēng)險。在新業(yè)務(wù)研發(fā)過程中，業(yè)務(wù)需求變更往往比較頻繁，導(dǎo)致流程操作可能存在安全缺陷；加之管理控制能力不足，導(dǎo)致軟件安全性能和產(chǎn)品質(zhì)量低下，給系統(tǒng)埋下安全隱患。在新業(yè)務(wù)上線之初，內(nèi)控機制往往不夠健全，給內(nèi)外部惡意人員以可乘之機；從新業(yè)務(wù)的運行環(huán)境看，社會信用體系和法制建設(shè)往往不能適應(yīng)業(yè)務(wù)需要，導(dǎo)致法律風(fēng)險日益突出。

新業(yè)務(wù)依賴于新技術(shù)，新技術(shù)的采用往往會帶來未知的風(fēng)險。新業(yè)務(wù)的產(chǎn)生離不開新技術(shù)的支持。當(dāng)前的二維碼支付，其他一些新興業(yè)務(wù)如聲波支付、手勢支付等，不使用密碼、證書等傳統(tǒng)認(rèn)證技術(shù)。由于人類認(rèn)知的局限性，新興技術(shù)的脆弱性和潛在威脅，將會導(dǎo)致風(fēng)險等問題，而外部無所不在的互聯(lián)網(wǎng)環(huán)境使得攻擊資源更加容易獲得，導(dǎo)致人們對這種未知風(fēng)險的擔(dān)憂也日益加劇。

新業(yè)務(wù)往往需要系統(tǒng)互聯(lián)，導(dǎo)致系統(tǒng)日益龐大，結(jié)構(gòu)日益復(fù)雜，出現(xiàn)新的風(fēng)險點。目前，各銀行間、銀行與證券、保險、公交、鐵路、水電氣等行業(yè)間的系統(tǒng)聯(lián)接日益緊密。新業(yè)務(wù)上線之后，勢必要連到目前已有的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)中，導(dǎo)致系統(tǒng)規(guī)模和復(fù)雜度不斷增大，并且加入新的人員和組織因素，從而不可避免地導(dǎo)致脆弱性增加，偶發(fā)性和不確定性增大，出現(xiàn)新的風(fēng)險點。

新業(yè)務(wù)、新技術(shù)的大量采用往往導(dǎo)致管理模式滯后，與業(yè)務(wù)發(fā)展不匹配。組織結(jié)構(gòu)是充分發(fā)揮資源效率的關(guān)鍵。在業(yè)務(wù)創(chuàng)新過程中信息風(fēng)險管理模式往往出現(xiàn)滯后現(xiàn)象，導(dǎo)致風(fēng)險管理制度不能適應(yīng)業(yè)務(wù)處理的要求，出現(xiàn)一些斷層甚至空白點。除此以外，在新舊更替過程中，由于存在著諸多不確定性，管理制度往往存在執(zhí)行不統(tǒng)一、控制過度或控制不足等問題。

商業(yè)銀行信息系統(tǒng)風(fēng)險表現(xiàn)

國有商業(yè)銀行——“風(fēng)險程度大，抗風(fēng)險能力強”。一方面由于國有商業(yè)銀行信息技術(shù)架構(gòu)龐大、設(shè)施復(fù)雜、涉及的內(nèi)容繁多，因而可能存在的脆弱性種類多，范圍大；其金融地位又使其成為黑客攻擊的首選目標(biāo)，其面臨的外部威脅種類多，危害大，因而所面臨的風(fēng)險在三類銀行中也是最大的。另一方面，由于業(yè)務(wù)規(guī)模大，且具有國家信用背書，國有商業(yè)銀行抗風(fēng)險能力強；同時，國有商業(yè)銀行資金實力強大，信息化基礎(chǔ)好，技術(shù)力量強大，系統(tǒng)的開發(fā)、建設(shè)運維一般都自行完成，風(fēng)險控制技術(shù)和手段比較完善，信息風(fēng)險管理水平比較高。

股份制商業(yè)銀行——“風(fēng)險種類多，風(fēng)險較集中”。股份制商業(yè)銀行打造全能銀行的沖動導(dǎo)致信息系統(tǒng)承載的業(yè)務(wù)種類越來越多，系統(tǒng)越來越復(fù)雜，因而，其面臨的信息風(fēng)險種類也是非常多的。股份制商業(yè)銀行普遍追求規(guī)模效應(yīng)，在某些特色化的金融服務(wù)領(lǐng)域，股份制商業(yè)銀行信息系統(tǒng)占有具足輕重的地位，導(dǎo)致信息風(fēng)險在這些領(lǐng)域日益堆積和集中，這是股份制商業(yè)銀行在業(yè)務(wù)擴展過程需要認(rèn)真加以防范的。

城商行——“風(fēng)險區(qū)域化，抗風(fēng)險能力弱”。很多城市商業(yè)銀行在當(dāng)?shù)負(fù)碛虚T類齊全的業(yè)務(wù)，受關(guān)注度較高，甚至超過國有商業(yè)銀行，因而在局部地區(qū)，其面臨的信息風(fēng)險種類繁多，風(fēng)險度大。城商行信息化資金投入少，基礎(chǔ)設(shè)施薄弱，許多城商行還缺乏基本的災(zāi)備中心；同時由于管理經(jīng)驗缺乏，技術(shù)人員不足，其風(fēng)險管理水平比較低下。這種狀況與其地區(qū)龍頭地位是極不匹配的，需要引起高度關(guān)注。

金融危機爆發(fā)以來，銀監(jiān)會一方面不斷推出提高監(jiān)管力度和有效性的舉措，監(jiān)管覆蓋的風(fēng)險類型日益增多，不但對各類業(yè)務(wù)創(chuàng)新的真實動機和行為實質(zhì)進行嚴(yán)格約束，而且越來越多地強調(diào)商業(yè)銀行要加強信息科技風(fēng)險的管理，將其作為獨立的風(fēng)險種類重點監(jiān)管。同時，面對日益發(fā)展的銀行外包服務(wù)市場，銀監(jiān)會開始著手進行規(guī)范，將外包風(fēng)險納入監(jiān)管范圍。風(fēng)險監(jiān)管的全面化、縱深化發(fā)展對銀行業(yè)務(wù)創(chuàng)新造成了一定的約束。另一方面，也是保證行業(yè)健康有序發(fā)展，保證公眾利益、社會秩序和國家金融穩(wěn)定的必然選擇。商業(yè)銀行業(yè)務(wù)創(chuàng)新在推動金融業(yè)發(fā)展的同時，也增大了金融體系的不確定性，從而客觀上提高了金融監(jiān)管的要求。為維護國家金融穩(wěn)定、社會秩序和公眾利益，防止商業(yè)銀行過度追逐效益導(dǎo)致業(yè)務(wù)創(chuàng)新的無序發(fā)展，監(jiān)管層重點關(guān)注業(yè)務(wù)創(chuàng)新帶來的風(fēng)險問題，不斷出臺針對性的措施，對銀行業(yè)務(wù)創(chuàng)新進行規(guī)范和約束，督促銀行加強各類風(fēng)險管理。

城商行面臨的挑戰(zhàn)

風(fēng)險控制是商業(yè)銀行永恒的課題。但在現(xiàn)實情況中，由于對風(fēng)險管理與業(yè)務(wù)發(fā)展的辯證關(guān)系認(rèn)識模糊，往往存在重業(yè)務(wù)發(fā)展、輕風(fēng)險管理的現(xiàn)象，在業(yè)績考核主要以業(yè)務(wù)指標(biāo)完成情況作為評價標(biāo)準(zhǔn)，忽視風(fēng)險管理隊伍和制度建設(shè)，對風(fēng)險的識別、分析和管理不夠完善，給業(yè)務(wù)經(jīng)營帶來隱患。在新的形勢下，舊的問題沒有完全解決，新的問題不斷涌現(xiàn)，商業(yè)銀行，尤其是城商行的信息風(fēng)險管控工作面臨著嚴(yán)峻的挑戰(zhàn)。

缺乏科學(xué)的內(nèi)部計價體系，風(fēng)險管控資源配置錯位。城商行總體資產(chǎn)規(guī)模小，資本不足，缺乏權(quán)益性融資渠道，因此需要合理分配資本和資源，優(yōu)先解決最緊迫的問題。然而，城商行缺乏科學(xué)的內(nèi)部計價體系，在整體層面上把握核心競爭力的能力不足，導(dǎo)致財務(wù)資源配置的錯位。

科技治理機制不健全，風(fēng)險管理委員會的核心作用未充分發(fā)揮?！缎畔⒖萍硷L(fēng)險監(jiān)管指引》（以下簡稱《指引》）要求信息風(fēng)險管理從源頭抓起，完善IT治理，從根本上解決風(fēng)險管控的原動力問題。在現(xiàn)實中，城商行仍然存在信息科技治理結(jié)構(gòu)不清晰、發(fā)展戰(zhàn)略規(guī)劃不到位的問題，導(dǎo)致科技治理機制及管理流程得不到有效執(zhí)行，董事會和風(fēng)險管理委員會的戰(zhàn)略管理的核心作用未充分發(fā)揮，價值未充分體現(xiàn)。

信息風(fēng)險管理制度不健全，保障措施不完善。商業(yè)銀行普遍存在“重業(yè)務(wù)，輕管理”的傾向。在產(chǎn)品設(shè)計、系統(tǒng)開發(fā)和業(yè)務(wù)創(chuàng)新過程中，城商行更是往往只關(guān)注其效益性，對其存在的潛在風(fēng)險缺乏研究，導(dǎo)致風(fēng)險管理制度建設(shè)滯后，可操作性不強。同時，由于保障措施不完善，導(dǎo)致風(fēng)險管理制度執(zhí)行不力。

內(nèi)部信息風(fēng)險管理人才缺乏，技術(shù)力量不足。信息科技風(fēng)險具有高度的專業(yè)性和復(fù)雜性，由于社會觀念、待遇、政策環(huán)境等方面的原因，與大行相比，城商行引進信息風(fēng)險管理人才，尤其是高級人才存在諸多障礙，對提升信息風(fēng)險管理水平造成嚴(yán)重的制約。出于類似的原因，城商行高級技術(shù)人才較為缺乏，力量較為薄弱，難以全面理解新技術(shù)、新業(yè)務(wù)帶來的潛在影響，導(dǎo)致系統(tǒng)內(nèi)部控制的電子化水平較低，整個IT架構(gòu)也逐漸變得無序，給后續(xù)信息風(fēng)險管理帶來嚴(yán)重困難。

缺乏信息風(fēng)險管控能力指標(biāo)體系，持續(xù)改進機制缺失。目前，城商行普遍缺乏可動態(tài)監(jiān)測的信息風(fēng)險管控能力指標(biāo)體系，沒有建立起規(guī)范的監(jiān)控、檢查、審計、測評流程，輸出結(jié)果格式不統(tǒng)一，難以閱讀和分析，更難以對相關(guān)的整改要求進行跟蹤和反饋，風(fēng)險管控工作得不到持續(xù)改進。

城商行信息風(fēng)險應(yīng)對之策

針對當(dāng)前面臨的挑戰(zhàn)，城商行需要積極行動起來，聯(lián)合監(jiān)管層、合作方等各方面力量，齊抓共管，通力合作，從管理和技術(shù)兩方面，確保信息系統(tǒng)在整個生命周期中風(fēng)險的防范與管控。

全面平衡風(fēng)險和回報之間的關(guān)系，采取最優(yōu)化的風(fēng)險處置措施。以信息風(fēng)險管理委員會為主，集中技術(shù)、業(yè)務(wù)、管理等各方面專家，深入剖析風(fēng)險的各類因素和作用機制，全面掌握其產(chǎn)生機理，對其進行識別、分類和量化，并采取最合理的處置措施。

真正發(fā)揮風(fēng)險管理委員會的作用，強化風(fēng)險治理。城商行不僅要成立高級管理層參加的信息風(fēng)險管理委員會，而且要設(shè)立獨立的首席信息風(fēng)險官和對口的執(zhí)行機構(gòu)，全面落實信息科技風(fēng)險管理職責(zé)，促進跨專業(yè)、跨部門的整體協(xié)調(diào)和聯(lián)動，使信息風(fēng)險管理委員會審議通過的科技治理機制及管理流程能夠真正得到執(zhí)行。

加強信息風(fēng)險管理制度建設(shè)和執(zhí)行保障力度。對照《指引》要求，深入考察業(yè)務(wù)可能存在的風(fēng)險點和技術(shù)控制措施的薄弱環(huán)節(jié)，對現(xiàn)有信息風(fēng)險管理制度進行完善；同時，制訂配套的操作規(guī)程和相應(yīng)的激勵約束機制，對各級人員進行風(fēng)險意識和能力的培訓(xùn)，確保信息風(fēng)險管理制度能夠得到有效執(zhí)行。

充分發(fā)揮外包服務(wù)商的能力和作用，提升外包風(fēng)險管理水平?！八街?，可以攻玉”，由于人才不足，內(nèi)部技術(shù)力量薄弱，城商行在保持自身主導(dǎo)作用的同時，有必要實行拿來主義，借助強有力的外包伙伴提升信息化水平和風(fēng)險管控水平。同時，對外包可能帶來的風(fēng)險具有清醒的認(rèn)識，正確地進行外包決策，選擇合適的外包商，有效管控外包人員、系統(tǒng)，使外包可能帶來的風(fēng)險降到最低程度。

建議銀監(jiān)會牽頭，多方參與，建立銀行業(yè)信息系統(tǒng)等級保護標(biāo)準(zhǔn)體系?！吨敢肥轻槍ι虡I(yè)銀行信息風(fēng)險管理的重要的綱領(lǐng)性文件。然而，《指引》在實施的過程中也遇到一些問題，集中表現(xiàn)為：如何根據(jù)信息系統(tǒng)的類型和規(guī)模制訂有針對性的風(fēng)險管理要求；如何指導(dǎo)銀行將《指引》與現(xiàn)存的各種規(guī)章、流程結(jié)合起來，以發(fā)揮其最大價值；如何把《指引》的實施工作與績效評估、監(jiān)管資本要求工作結(jié)合起來，建立起有效的激勵約束機制。

為此，建議銀監(jiān)會牽頭，多方參與，參考公安部等級保護、ISO27001等相關(guān)標(biāo)準(zhǔn)，對《指引》進行細(xì)化，制訂適應(yīng)銀行業(yè)要求的信息系統(tǒng)等級保護標(biāo)準(zhǔn)體系，使信息風(fēng)險管理、安全措施的執(zhí)行以及監(jiān)控審核有據(jù)可依。

結(jié)束語

城商行是信息風(fēng)險的主體，面臨著信息風(fēng)險管理的嚴(yán)峻挑戰(zhàn)，需要積極主動，迅速行動，制訂應(yīng)對之策。否則將為時晚矣。同時，信息風(fēng)險管理也是一項復(fù)雜的系統(tǒng)工程，城商行一家難以獨立完成。監(jiān)管部門、城商行、服務(wù)商等相關(guān)各方應(yīng)攜起手來，共同應(yīng)對當(dāng)前面臨的挑戰(zhàn)。

當(dāng)前，首要的任務(wù)是建立有效的多方協(xié)作機制，在充分研究和溝通的基礎(chǔ)上，建立起適應(yīng)銀行業(yè)要求、指導(dǎo)性強且易于操作的信息等級保護基本要求、實施指南和測評指標(biāo)體系，確保其得到有效執(zhí)行，在實踐中逐漸磨合，逐漸完善，真正為銀行信息風(fēng)險管理起到保駕護航的作用。

（作者單位：北京智控美信信息技術(shù)公司）