美章网 资料文库 银行信息科技风险监测体制的探微范文

银行信息科技风险监测体制的探微范文

本站小编为你精心准备了银行信息科技风险监测体制的探微参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

银行信息科技风险监测体制的探微

一、商业银行信息科技风险监测预警指标体系的构建

(一)按照商业银行信息科技基础工作的风险事件构建监测预警指标体系。商业银行信息科技风险管理的基础工作分为以下10类:信息科技战略风险管理、信息科技制度管理、信息科技人员管理、信息科技项目管理、业务连续性管理、合规性管理、信息科技外包管理、物理与环境管理、网络与终端安全管理、信息科技运行管理。各基础工作的程序、特点以及由此带来的风险和风险预兆特征各不相同,本文在调研中根据不同基础工作所可能发生的信息科技风险事件及所属类型,将风险指标细分至三级目录,并予以相应指标衡量,每层指标下,根据分析的内容,分层次、分步骤地逐步深入,对三级目录上的指标进行详细分类,最终确定形成完整的信息科技风险预警指标。

以外包科技外包管理为例,商业银行信息科技外包管理的风险集中在四大方面:外包合同风险、外包采购风险、外包合作风险以及第三方供应商风险。外包合同风险主要指由于外包合同内容的不准确,不全面以及外包合同签订的流程不合理导致的信息科技风险。外包采购风险主要指由于外包前对外包公司风险评估不足而引发的信息科技风险。外包合作风险是指外包合同签订后,在合同期间由于对外包公司风险监控不足引发的信息科技风险。第三方供应商风险主要指由于对第三方风险评估不足引起的信息科技风险。

(二)商业银行信息科技风险指标的分类说明

1.“定性”指标和“定量”指标。在识别商业银行信息科技风险时,应该先明确可能会形成风险点的风险行为,对这些行为的初步描述形成“定性指标”,这些指标只是对风险行为的特征进行形象说明,无法用数量表示。而有些风险点对应的指标出现异常状况时,能够通过准确的数值变化表示风险大小,这类指标称之为“定量指标”。定性指标和定量指标相结合,可以全面、准确、有效地识别风险点,并监测风险点。

2.“是否型”指标和“数值型”指标。以信息科技外包风险管理为例,商业银行面临的信息科技外包风险有四种风险类型,涉及到多个风险点,这是商业银行信息科技外包风险管理的重点和核心,要想准确地进行度量和控制,必须将这些风险点转化为可以量化和监测的指标,在对多个风险行为进行定量分析时,发现有些行为只有发生和不发生两种状态,只要发生就可能产生风险,而如果不发生则没有风险,对这类两极行为,我们对其制定的指标称为“是否型”,赋值采取二进制法,即发生为“是”,赋值为“1”,不发生为“否”,赋值为“0”;有些行为,在实际运行过程中一直是处于发生的状态,发生的程度直接影响风险的大小,对这类渐进性的行为,我们对其制定的指标称为“数值型”,其赋值要根据其对应的定量指标按照一定方法转化为0到1的数值。

3.“静态”指标和“动态”指标。在对定量指标进行持续监测时,根据监测周期的长短将指标分为“静态”指标和“动态”指标,“静态”指标主要监测在当前状态下指标的数值变化是否有异常,是否存在安全隐患,根据实际情况,周期一般选择一个月;“动态”指标监测周期一般为一个季度或者一年,主要监测在近一个季度或者近一年内风险指标的变化,并且根据其变化的趋势对风险的发生进行判断和预测。

4.按照四大风险因素分类。银监会在《商业银行信息科技风险管理指引》中将信息科技风险定义为是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。可见导致信息科技风险的因素集中在自然因素、人为因素、技术漏洞和管理缺陷四大方面,因为外包风险属于信息科技风险,所以在对外包管理构建风险指标时也对其按照这四类风险因素进行了分类,目的是明确引起风险的原因,并能有针对性的进行管理。

二、商业银行信息科技风险监测预警体系的构成和运行机制

本文建立的商业银行信息科技风险监测预警体系由构建风险指标体系、确定风险预警等级、动态数据处理和预警结果处理四部分组成。风险指标体系是整个监测预警体系的基础和关键,只有将显性和隐形的风险隐患准确地用科学指标衡量出来,才能不断地予以监测,预防潜在风险。指标体系建立之后,应对不同类型指标确定风险预警等级,用以快速将风险指标异常状况与不同级别风险对应,便于及时了解风险程度并制定相应的处理措施。整个监测预警体系的结果实现是通过动态数据处理完成的,主要是在持续监测风险指标过程中,记录指标变化后输入数据进行单个指标的预警和整体指标的预警,这一过程将快速地反映不同类型指标变化所警示的潜在风险。最后,就是在指标监测预警结果的基础上确定风险等级并实施相应的风险控制和缓释措施,以使指标值恢复到原控制水平内,最终消除风险源。

在对各项预警指标进行监测之前,应该根据商业银行信息科技风险管理工作的实际情况对各个指标规定一个合理的运行区域,也就是建立正常区域和预警区域,然后在对静态和动态指标进行持续监测时,如发现某些指标超出正常区域,进入预警区域,则应发出预警提示,并按风险级别实施相应的风险管理措施。

三、完善商业银行信息科技风险监测预警体系的建议

第一、细化信息科技风险监测管理组织架构。信息科技风险在很大程度上是由于管理缺陷所导致的,管理缺陷主要包括战略规划、管理制度、业务流程和应急预案设计不合理产生的风险和其没有严格执行产生的风险,管理缺陷不仅会影响银行信息业务的执行效率,其中的漏洞还可能被不法分子利用,给银行带来风险隐患。所以在整个风险管理组织架构中,应针对管理缺陷的风险行为,成立对应的管理小组对管理制度和业务流程进行优化完善和跟踪监控。

第二、关注风险指标的有效性。对于信息科技风险而言,有些指标具有“低频高危”的特点,这些指标的发生概率很低,但是一旦发生可能导致银行巨大风险的发生。而且,由于权重的设置不同,当单个指标出现风险警惕时,整体并未有风险提示,这时就更应该重视单个指标的状况。

第三、注重预警区域的合理性。预警区域的设置,是根据高级技术人员根据案例银行的现状以及银监会的监管指引以及业内的事件定级标准等经验数据制定的,具有一定的主观性,而且因为对信息科技风险的管理以前一直都是事后管理,出现问题之后相关部门才开始关注,对这个边界的制定往往会以以前的风险事件的发生为一个基准,所以这样确定的预警边界会存在一定的客观缺陷,但是信息科技风险的防范应防患于未然,因此监测过程中,一定要密切关注指标的有效性,随时优化和调整预警区域,使其能够准确、及时地监测风险。

第四、及时记录风险指标的运行状况。这一监测预警体系的有效运行,是以风险指标的及时记录为基础的,只有技术人员及时关注风险指标,并根据检查周期定期监测并记录指标的运行状况,才能尽早发现风险,规避风险。风险指标也应该定期进行复查,删减在实际运行中的无效指标、优化效率较差的指标,对不同类的指标制定不同的监测方法,使得每个风险指标活跃化、动态化、准确化、高效化。

作者:王珏单位:南开大学经济学院