雄l豳霉 隧 。 中小银行信息科技风险预警模型研究 中国银行业监督管理委员会山东银监局 吴作勇 安永(中国)企业咨询有限公司 马驰 Management,FIRM),采取评估 息科技固有风险水平、控制措施有 一、信息科技风险管理和监 固有风险、控制措施的方式判断 效性,对机构的整体风险进行评 管面临的挑战 净风险。金管局开发了信息 估。2013年,开展了商业银行信 当前我国银行业信息科技风险 科技风险概览,按年度收集分析 息科技监管评级。2014年,发布 管理和监管面临的两个挑战:一是 信息科技风险趋势,并将所有金 了《商业银行信息科技风险动态监 如何及时、动态监控机构单体或行 融机构报告的信息科技风险事故 测规程》(征求意见稿),对信息 业整体风险;二是如何对信息科技 分类保存在信息科技事故管理系 科技风险实施动态监测。值得说明 风险进行资本计量。本文主要围绕 统中。新加坡金管局开发了通用 的是银监会特别提出以“目标”和 第一个问题,研究中小银行信息科 风险分析框架与技术(Common “过程控制”为导向的信息科技风 技风险的动态监测和预警。 Risk Assessment Framework and 险核心监管指标,并建立了一套指 从境外金融监管情况看,美国 Techniques,CRAFT),将科技风险 标体系,用于监管部门对银行业金 联邦金融机构检查委员会(FFIEC) 列为金融机构面临的八个风险类别 融机构信息科技风险的动态监测 于1999年发布了信息技术统一评 之一,进行内在风险和控制因素的 和预警。 级体系(Uniform Rating System for 评估。 从国内银行实践看,在风险识 Information Technology,URSIT), 从国内监管实践看,银监会自 别方面,国内大型银行和一些股份 系统地评价金融机构和IT服务提 2009年建立信息科技非现场监管报 制银行、城商行制定了信息科技风 供商的整体风险及风险管理情况。 表体系,用于银行业金融机构风险 险识别和评估流程,结合本行历史 荷兰央行制定了金融机构风险管理 识别和监测。2010年,实施了信 信息科技风险事件、日常检查发 方(Financial Institution Risk 息科技风险评估,通过评估机构信 现的问题,综合运用专家调查法、 2015.2/中国金融电脑 55 五 l瞄 0 判能力、缺乏安全管理措施、外包 要问题有架构设计不完善、运行操 信息科技风险特点和现有数据基础,监控手段较弱、知识产权管理存在 作不当、监控不到位、系统投产及 构建中小银行信息科技风险关键指 缺陷。比如2014年,机关查 变更不审慎等。尤其是中小银行对 标体系,然后运用模糊评价法构建 获一起银行卡伪卡犯罪案件,银 于系统运行关键指标的日常监控重 出信息科技风险预警模型。 行ATM设备维护服务商的工作人 视不够,没有长期积累系统运行数 1.指标体系 员利用工作之便,在所维护的银行 ATM设备上复制交易数据,并批 量制作伪卡,导致多家银行的客户 资金被盗。 3.开发类 开发管理不到位也成为导致信 息科技风险的重要原因,常见的风 险因素有:行方的系统开发和项目 管理人员不足、系统开发生命周期 管理制度不完善、操作流程与控制手 段不健全、需求分析缺少风险和安全 需求、压力测试和用户验收测试不 足、部分开发人员兼职运行维护等, 比如2009年,某银行第三方存管系 统出现故障,与券商的交易无法正常 进行,事故持续2个小时,直至证券 交易收盘后才恢复正常。该问题出现 的原因在于该行第三方存管系统需 求定义不准确,同时与多家券商进行 银证转账业务处理,不同券商系统的 接口数据标准不同,对不同券商系统 的接入参数定义不清晰。 4.运行类 中小银行运行类风险来源于基 础设施、硬件设备和软件系统等方 面,其中,基础设施包括供电、通信、 消防等;硬件设备包括主机、存储、 网络设备等;软件系统包括核心系 统、网银系统、银行卡系统等。主 据,尚未形成科学有效的运维管理 机制。比如2014年,某银行核心系 统宕机,由于操作不当且长期没有 购买维保,故障得不到及时处置, 造成全行业务中断较长时间。 5.安全类 从内部看,中小银行对于各类 外部威胁的敏感性和防范能力不高, 是造成安全事件发生的重要因素。 与先进银行相比,中小银行受限 于信息科技的整体资源投入,网 络架构设计不严密,仅配置简单 的防火墙与入侵检测设备,对入 侵行为的分析与处置存在缺失, 同时,中小银行一般不会采购终 端安全管理系统或者数据防泄漏 系统,对终端安全的管控力度不 够。从外部看,利用系统漏洞、 网络缺陷等进行攻击的事件越来 越多,而中小银行对网络攻击的 发生情况、漏洞扫描的结果以及 终端安全措施执行到位率缺乏及 时、有效的改进措施。 三、中小银行信息科技风险 预警模型 基于本文第二部分的分析,参 考ISACA COBIT、RISK IT,银监 会信息科技监管评级体系等,针对 (1)关键指标选取原则 符合中小银行实际,动态性与 前瞻性相结合,兼顾结果性与控制 性,应涵盖为达到预警目标所需的 各类内容,能反映信息科技风险的 主要信息 (2)关键指标层次和类别 根据上述对中小银行的信息科 技风险成因的分析,我们将关键指 标分为资源类、外包类、开发类、 运行类、安全类5个一级指标;每 个一级指标细分为3~5个二级指 标(见表2)。 2.预警方法 考虑到信息科技风险监测历史 数据有限,而且信息科技风险本身 的不确定性,监测到某一个指标值 的大小并不能完全决定风险大小, 只是代表一种趋势,因此,本文引 入模糊数学的概念,采取模糊评价 法进行风险预警。 模糊评价法是美国控制论专家 扎德于1965年在模糊数学的基础上 创立的对认知不确定问题的评价方 法,模糊评价流程如图2所示。 其中,指标权重的确定,采用 层次分析法实现,关于模糊评价法 和层次分析法的具体理论,本文不 再详述。 2015 2/中国金融电脑 57
