中国银行业监督管理委员会信息中心 骆絮飞
2011年是我国“十二五”规划的开局之年,未来五年,是我国银行业发展与改革的重要历史时期,也是银行业信息科技快速成长的有利时期。后金融危机时代,我国银行业面临着持续提高资产质量,优化发展方式,练好“内功”、提升国际竞争力的巨大挑战。围绕国际化、综合化经营战略布局和业务结构优化、流程银行改造, 商业银行开始从粗放式规模扩张向集约化经营转型, 信息科技作为银行的核心竞争力, 在这一战略转型的关键时期, 肩负着提高发展质量, 增强创新能力, 加强引领作用的重要使命。
在信息科技对银行业务经营管理的作用和价值加速放大的同时,信息科技风险的积聚及其可能造成的危害不容忽视。目前,我国银行业科技创新能力还比较薄弱,对外技术依赖程度还非常高,核心竞争力不强;IT治理结构与科技规划不足,科技管理水平与国际先进银行相比还有较大的差距;同时,银行业信息科技风险集中度越来越高、影响越来越大,信息安全问题日益突出,信息科技风险已成为影响银行业稳健发展的关键因素。为此,银监会在全面风险监管体系框架下,持续强化银行业信息科技风险监管,构建科技风险监管体系,稳步推进监管政策、规范和标准的建设,探索研究有中国特色的银行业科技风险管理快速成长之路,充分运用非现场监管、现场检查和准入等多种手段,不断强化风险责任意识和监管要求,全面推进银行业信息科技风险管理能力的提升。
一、建立、完善信息科技监管法规制度体系,充分发挥监管规范和指导作用
遵循“管法人、管风险、管内控、提高透明度”的监管理念,银监会在充分借鉴国际科技监管最佳实践基础上,逐步建立结构完整、体系统一的银行业信息科技风险审慎监管规则体系,并将其纳入银行监管整体立法体系中。近年来,按照宏观全局规划、中观分类指导和微观具体操作三个层级,银监会从银行审慎运营规则、监管行为规范两个方面,有计划地出台了一系列监管政策规范,在范围上覆盖了银行业信息科技治理、建设、运营、风险控制、信息安全等各领域。
一是在宏观层面,银监会针对2006年发布的《银行业金融机构信息系统风险管理指引》进行了修订,2009年更名、发布了《商业银行信息科技风险管理指引》,在科技治理、信息安全、开发、运行、业务连续性管理、外包管理等各个领域全面阐述了银监会对银行业信息科技风险管理的原则要求,是监管部门开展信息科技监管的纲领性文件,对指导我国银行业加强信息科技风险管理具有十分重要的意义。
二是在中观分类指导层面,银监会发布了《银行业金融机构重要信息系统投产变更管理办法》,从申请与审核、组织与管理、风险评估、投产和变更控制等方面, 明确了银行业金融机构在重要信息系统上线中的组织和管理职责,对重要信息系统的投产和变更提出了强化风险管理要求,保障信息系统安全稳健运行。银监会还颁布了《银行业重要信息系统突发事件应急管理规范》、《银行、证券跨行业信息系统突发事件应急处置工作指引》,规范银行的信息系统应急管理行为,加强银证监管机构间、银证机构间跨行业信息系统应急协调与管理,建立跨行业信息系统应急协调联动机制;出台了《商业银行信息科技风险现场检查指南》,积极推进在商业银行行政许可事项中增加机构设立时的信息科技核准条件,并将首席信息官纳入银行业金融机构高管人员范畴,以促进将风险关口前移,增强监管有效性。
三是在微观具体操作层面,按照急用先行的要求,印发了《商业银行数据中心管理办法》,对商业银行数据中心设立和变更的风险管理、数据中心基础设施运行环境、运营维护管理、灾难恢复管理及外包管理等方面提出了规范性要求,明确了数据中心设立和变更时须提前向监管机构报告的要求,指导商业银行加强数据中心风险控制和管理,在保障数据中心安全、稳定、可靠运行,提高商业银行业务连续性方面具有重要的意义和价值。
此外,近期银监会还将陆续制定网上银行安全管理、信息科技外包等规范。这些规则、规范既有对银行业信息化建设和风险管理总体的、原则性的指导意见,又有针对重点领域制定的专项规章,细化和强化监管要求,体现了原则导向与规制监管相结合的监管理念。银监会后续法规政策建设将逐步覆盖银行业信息科技治理、建设、运营、风险控制、信息安全、市场准入、现场检查、非现场监管等各领域,为深入开展信息科技监管提供基础和依据。
二、全面开展信息科技非现场监管,强化风险识别、监测和处置
为了实现对银行业信息科技风险全面、持续、有效监管, 加强风险识别、监测、处置的全流程管理,银监会构建了信息科技非现场监管体系。制定了银行业金融机构非现场监管报表制度,全面收集银行业金融机构信息科技管理、建设、运行和风险相关的信息数据。在此基础上,银监会建立了相对完整、开放的信息科技风险监测和评估体系,构建了银行业金融机构信息科技非现场监管系统,通过对银行业信息科技非现场报表数据的采集和评估,汇总、分析银行业信息科技建设、运营状况,动态监测银行业金融机构信息科技风险状况,实现对信息科技风险的持续、有效监管。目前,非现场报表采集、分析工作已进入常态化工作机制,2010年共完成了几百家法人机构、万余张报表的收集、审核,对全面分析银行机构单体和整个行业的科技风险发挥了重要作用。此外,银监会在风险监测基础上,加强对银行业信息科技突发事件的应急响应和处置,处理了银行机构信息系统服务中断事件, 并陆续发布了几十期风险提示, 向银行业金融机构警示信息安全、系统运行等风险。同时,积极组织银行业金融机构开展奥运、世博、亚运会等多项大型活动的信息科技保障工作,加强银行科技风险主动防范和应对突发事件的能力,圆满完成了各项保障任务。
三、深入推进现场检查,实现监管有效性
现场检查是传导风险理念、准确把握银行机构风险点、实现有效监管的最直接方式,也是银监会科技风险监管的常态化、重点工作。银监会着力研究了如何在有限的时间和资源保障下找准问题、精确打击,提高现场检查的针对性、深入性、准确性和有效性。通过现场检查的横向、纵向沟通,形成了信息科技风险监管合力。2010年,以现场检查操作规程为指导、以信息科技非现场报表信息为参考,银监会先后组织对部分大型银行、股份制银行总行及分行开展现场检查,并指导各银监局对属地管辖的上百家银行业、非银行业金融机构开展了信息科技风险的现场检查。围绕世博保障、重大事件暴露等共性风险点、生产环境运维管理、外包管理、业务连续性与应急管理、信息科技治理等方面,深入开展了后续检查和专项检查,有效提升了银行业金融机构的信息科技风险责任意识和管理水平。
四、银行业加强科技风险防控的主要思路
今年是 “十二五”规划的开局之年,也是继续应对国际金融危机、保持经济平稳发展的关键之年。虽然全球金融市场逐步稳定,主要经济体开始好转,但国际金融形势的不确定性为银行业的稳健运营带来挑战,国内经济仍存在很大的下行压力,信用风险、流动性风险开始上升,未来几年,中国银行业将面临更加严格的资本和流动性要求。在这一时期,强化管理风险、经营风险的意识,建立与新监管标准相适应的全面风险管理框架, 是银行业金融机构要积极推进的一项重点工作。与此同时,“十二五”时期,也是银行业金融机构以全面风险体系建设为契机,加强信息科技战略目标规划和机制建设,深化科技风险管理能力建设、练好内功、推进信息科技可持续健康发展的关键时期。银行业金融机构要积极利用这一有利时机, 深化科技治理, 加大投入,着力推进信息科技风险管理综合能力建设。
1.积极构建全面的信息科技风险管理体系
银行业金融机构要积极构建全面和常态化的信息科技风险管理体系,建立和覆盖信息科技风险识别、计量、处置、监控和报告的风险管理日常活动完整流程,建立信息科技风险监测指标体系和常态化的科技风险监测、预警与处置流程,开展日常评估、专项检查和审计。同时,建立较清晰的信息科技风险报告机制,并加强董事会及高管层的科技风险管理履职能力建设。银监会也将逐步建立银行业金融机构的科技风险评价标准,综合其风险状况和信息科技风险管控能力,并将科技风险考量要素纳入到对银行业金融机构的评级体系中。
2.纵深推进信息安全管理机制和技术体系建设
根据国家信息安全政策要求,银行业要积极、深入推进信息安全等级保护工作, 建立重要系统的安全防护体系和技术管理体系,建立和完善信息系统生命周期的安全管理机制,加强信息安全方针、策管理制度体系建设。做好信息安全的规划和架构设计工作,着重加强在系统需求、测试等阶段的安全分析与评估工作,优化和完善现有的信息安全技术防御体系,在物理安全、网络安全、系统安全、应用安全、数据安全、操作安全等不同层面,完善身份认证、访问控制、资源管理、日志分析、操作审计等安全功能。
3.加强安全生产,积极推进业务连续性管理体系建设
银行业金融机构要紧紧围绕重要业务系统运行、突发事件应急处置等生产领域的关键环节,以贯彻落实审慎经营行为准则为抓手,进一步提升信息系统安全运行能力和服务水平。要加快基础设施的整合优化,建立健全信息科技基础设施规范和标准体系,建设高效率、高整合、低能耗、易管理、易扩展的绿色数据中心,夯实基础设施支撑能力。要进一步完善运维管理流程,加大对事件、变更管理等关键运维管理流程和数据、机房等制度标准的管理力度,健全运行管理制度体系。加强生产系统的软硬件、网络集中监控,降低运行风险。合理规划灾备中心建设模式、规模和容量,加强信息系统总体预案和各专项预案之间、信息系统应急预案和业务应急预案之间的衔接配套,建立有效的预案维护机制。强化银行与外部机构的应急协作机制,建立重大突发事件应急机制,提升灾难恢复中心独立运行能力, 加大应急演练力度, 开展跨地域、跨机构、跨行业的协作演练, 提升应急灾备体系的有效性。统筹推进业务连续性管理工作, 构建业务连续性框架, 推进业务应急能力建设。
4.加强外包风险防控,建立和完善信息科技外包管理机制
依据业务战略制定信息科技外包管理策略,明确信息科技核心竞争领域,合理规划信息科技外包规模。明确信息科技外包管理组织架构和职能,建立信息科技外包活动全生命周期管理程序,完善银行外包管理制度体系。银行业要联合国家相关机构和部门以及行业协会,建立供应商准入机制,促进信息科技外包信息的共享与协同,推动信息科技外包产业健康发展。
科技风险在全球来讲,都是一个比较新的管理领域, 具有覆盖面广、复杂度高、隐蔽性深、传染性强的特点, 管理难度比较大。因此,要不断提高认识,强化危机意识、责任意识;要进一步解放思想、求真务实,从中国的国情和实际出发,充分借鉴国际标准和最佳实践, 进一步总结经验、提高认识,找准问题的要害,从IT治理和内控机制入手,加强规划,探索和改进方法,走出有中国特色的科技风险管理快速成长之路。
|
