随着信息技术的和互联网的飞速发展,银行业对信息科技的依赖也越来越大。一方面,信息科技、云计算以及物联网等信息技术,极大地提高了银行业务发展和风险管理的效率,为银行业加速创新奠定了崭新的基础;另一方面,经济活动的互联网化家和虚拟化,给银行服务渠道和服务模式提出了崭新的要求。再加上要应对互联网企业的跨行业创新(如余额宝等),不断加大自身科技投入,并加强与互联网企业的融合,已成为银行在互联网时代赢得生存和发展机遇的必然选择。不过,也要看到的是,在不断加大投入,使用更多先进技术的同时,银行也开始面临更多的前所未见的信息风险问题。最近,某家城商行核心系统数据库发生故障,导致各项业务终止了37个小时,便是这种风险的极端体现,造成的负面影响相当严重。对于科技基础相对薄弱,人员素质较低的农村金融机构,信息科技风险也相当突出,需要及时引起关注,并建立和完善与之相适应的风险管理制度。
一、信息科技风险
根据中国银监会的界定,所谓科技信息风险,是指信息科技在商业银行运行过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险等等。与传统上的各种风险(如信用风险、操作风险,等)相比,银行所面临的信息科技风险具有完全不同的特征。
首先,信息科技风险具有高度的复杂性。作为金融业务与信息技术、互联网生态相结合的产物,商业银行的信息科技风险不但兼具了不同领域专业性的特点,而且,由于不同领域以及主体的交叉,又衍生出了新的特性。特别是近年来,随移动终端和社交网络的兴起,互联网金融在一定程度上对传统的金融服务模式形成了冲击,现有的监管规则以及银行的风险管理体系都面临着越来越大的挑战。
其次,与传统风险相比,信息科技风险的不确定性更加突出。随着新技术的不断应用,当前银行的业务运行与内部管理都基本依赖信息系统完成。信息系统的故障或其他意外,可能导致业务无法运行,而且,也可能造成数据丢失、外泄甚至无法恢复,对客户和银行声誉形成无法估量的影响。
第三,信息科技风险的外部性更强。信息科技应用的发展,改变了银行的业务模式和流程,传统模式下,客户与银行之间相对简单的关系,变成了有更多外部主体参与的复杂链条。第三方支付、移动运营商、外包服务商以及互联网商务平台,等等,都成为新的银行交易流程中的组成部分,在这其中,任何一个参与者的错失,都可能形成风险,而且,其影响所涉及的主体也更加广泛。
二、管理上的不足
过去几年中,在信息技术应用不断发展,相关风险时有曝露的背景下,监管部门以及银行自身都加强了对信息科技风险的重视。2009年,中国银监会颁行了《商业银行信息科技风险管理指引》,对银行信息科技风险管理提出了系统性地要求。在此之下,商业银行通过加大投入,完善基础设施建设,从管理和技术层面提升了应对相关风险的能力。不过,面对飞速发展的内外部环境,商业银行(尤其是农村银行机构)在信息科技风险管理方面仍存在较多不足,需要持续改进和完善。
首先是信息科技治理不到位。具体到银行而言,信息科技治理需要实现以下目标:确保银行的信息科技战略目标和银行整体战略目标一致;促进银行业务的发展,并使银行收益最大化;负责任、可靠地利用各种信息科技资源;管理和控制与信息科技相关的各类风险,等等。到目前为止,许多银行的决策管理层由于对信息科技现状和趋势的理解有限,还很难根据银行的战略需要来进行相应的科技规划,过度发展和投入不足的问题广泛存在。
其次是信息科技管理机制仍不完善。在管理上,许多银行存在科技风险回报路线和决策机制不明确,管理路径不清晰的问题。少数银行,虽然建立起了管理信息科技风险的专门机构,但管理制度和流程并不完整,缺乏有效的汇报、沟通以及纠正机制。
三是缺乏有效的信息科技风险管理理念和工具。现有的信息科技风险管理理论更多侧重的是信息科技风险的控制及应对,并未针对银行业务特点和风险特征,形成有针对性的管理念和方法。而在银行监管领域,巴塞尔协议虽然确立全面风险管理的理念和方法,但并未将信息科技风险单列,而只是将其视为操作风险的一种。如前文所述,信息科技风险不完全等同于一般意义上的操作风险,现有方法难以准确估量其真实水平,以及银行需要为之准备的风险资本。
四是人才资源匮乏。与其他银行相比,农村金融机构的科技基础和人力资源都更为薄弱,对信息科技的了解以及其发展趋势的掌握也都不足。在银行科技投入、技术升级加快的背景下,人力资源瓶颈愈发突出,这不仅制约着信息技术应用的效果,也可能隐藏了更多的操作风险隐患。
三、对策与建议
针对以上的问题,完善农村银行机构信息科技风险管理的路径大概应包括以下几个方面。
从监管的角度,应借鉴发达国家和地区信息科技风险监管的实践和经验,进一步完善相关风险的监管体系。一是建立和完善银行信息科技风险监管的法律;二是根据我国商业银行信息科技风险的现状和特点,设计与之相适应的风险评估体系;三是根据不同类型的信息系统所面临的风险复杂性差异,对信息科技风险实施分类、分级监管;四是建立银行信息科技风险预警数据库,并对风险事件进行科学分类,采用数据挖掘技术和方法,对风险进行监测和预警。等等。
而从农村银行自身来讲,则有以下一些工作要做。
首先,完善信息科技风险治理。在明确信息科技发展战略的同时,完善信息科技风险治理架构,从多个不同角度、不同纬度,对风险进行管理和防范。
第二,健全信息科技风险管理制度体系。建立、健全信息科技管理制度和业务操作流程并严格执行。应建立制度执行的监督评价机制,商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况,对制度执行不到位的责任人要进行问责或处罚。
第三、制定业务连续性计划。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案,包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等。针对新发生的突发事件以及新发现的薄弱环节,要及时对预案进行总结更新。加强应急预案演练,以保障银行在突发重大事件面前,能从容应对,迅速恢复生产运营,尽可能降低损失。
第四,推进科技队伍建设,提升能力。要明确岗位职责,因岗定人,岗位匹配,并落实岗位制衡。完善激励约束机制,以激发员工的主观能动性。此外,应加强培训,培养员工风险防范意识和风险防范能力,提高员工的信息科技业务水平。
