新時期城商行信息風險挑戰與應對

新時期中國銀行業面臨的新形勢

當前，商業銀行處于一個開放、競爭、多樣化的金融體系中，資本市場逐漸成熟，以移動互聯網為代表的新技術不斷涌現，金融生態出現新的格局，金融監管不斷收緊，商業銀行面臨著前所未有的動態發展的外部環境。

金融創新是當前銀行業務新形勢

客戶本位——客戶感受（體驗）驅動業務創新。在新的時期，伴隨著利率市場化、商業銀行服務收費管制的放松和個人銀行業務的高速增長的過程，商業銀行都在實施"以客戶為中心"的轉變。為提升用戶黏度，避免陷入同質化嚴重的領域進行惡性競爭，商業銀行必須不斷開發新的業務來適應客戶的需求。

科技興行——新技術（應用）加快了銀行創新。以移動互聯網為代表的新技術的出現大大降低了金融業的信息成本和交易成本，并由此引發了金融競爭的新格局。目前，各銀行不斷加大產品及服務創新，在運作模式上更強調互聯網技術，尤其是移動互聯網技術與金融核心業務的深度整合，移動金融日益融入社會生活的各個角落。

低成本運行——成本和效率因素促進業務服務的融合。隨著電子商務的日益普及，第三方支付、互聯網公司等積累了大量終端客戶。為共享客戶資源，降低營銷成本，銀行與第三方開始走向合作。在未來銀行的發展中，銀行業逐漸擺脫對網點和人工服務的依賴，實現生產方式的轉型。在業務創新過程中，銀行業需要投入大量的科技成本。與自行建設及運行管理信息系統相比，外包模式具有節約技術研發、科技管理成本、規避IT投資風險、提高效率等優勢。因而，商業銀行與金融外包服務商的合作日趨緊密。

商業銀行的業務和系統特點

目前主要商業銀行大致可分為國有商業銀行、股份制商業銀行和城商行三種類型。市場競爭環境、自身定位決定了三類銀行具有不同的業務特點，因而，其系統在規模、結構和能力方面也具有不同的特點。

國有商業銀行——“業務大，系統強”。國有銀行是商業銀行的主體，其改制后經營活力大幅提高，業務基礎好，在資本實力、市場份額、客戶資源、人才儲備等方面仍具有絕對競爭優勢。其業務特點是：存貸款規模大；分支機構、自助設備等網點多、覆蓋范圍廣；客戶遍及全球，與外部環境關聯性大。與其相適應的是，其系統具有設施先進、交易量大、數據高度集中、信息化水平高等特點。

股份制商業銀行——“業務齊，系統專”。股份制商業銀行從創建伊始，就完全以企業方式按照市場準則來運作，雖然存款規模和貸款規模比國有商業銀行小，但股份制商業銀行的經營者普遍有打造全能銀行的強烈愿望。其業務特點是：業務種類齊全；實現各業務條線的集中管理；各家銀行集中優勢資源在某些業務領域逐步形成了自身的經營特色。與業務特點相適應，股份制商業銀行系統具有較強的專業性，注重信息資源對業務流程再造和新產品開發的支持功能；注重開發初級信息資源的價值，使其能為組織管理服務。

城商行——“業務小，系統弱”。城市商業銀行在成立之初就確立了服務地方經濟的市場定位，對當地客戶的資信狀況、經營效果比較熟悉，其業務具有明顯的區域性與地方性特征。其業務特點是：存貸款規模普遍較小；發展程度多取決于當地經濟發展；放貸業務相對集中于若干特定類型和風險特征的信貸資產。在業務系統開發過程中，基本采取對大行的“跟蹤策略”，整體水平不高，高附加值產品匱乏。

新形勢下中國銀行業面臨的新風險

業務創新帶來前所未有的新風險

銀行是經營風險的行業。隨著外部環境的變革和自身的不斷演化，銀行業務系統勢必會不斷面臨新的威脅，產生新的脆弱性，從而導致新的風險，甚至是未知的風險。

新業務的應用產生新的風險。在新業務研發過程中，業務需求變更往往比較頻繁，導致流程操作可能存在安全缺陷；加之管理控制能力不足，導致軟件安全性能和產品質量低下，給系統埋下安全隱患。在新業務上線之初，內控機制往往不夠健全，給內外部惡意人員以可乘之機；從新業務的運行環境看，社會信用體系和法制建設往往不能適應業務需要，導致法律風險日益突出。

新業務依賴于新技術，新技術的采用往往會帶來未知的風險。新業務的產生離不開新技術的支持。當前的二維碼支付，其他一些新興業務如聲波支付、手勢支付等，不使用密碼、證書等傳統認證技術。由于人類認知的局限性，新興技術的脆弱性和潛在威脅，將會導致風險等問題，而外部無所不在的互聯網環境使得攻擊資源更加容易獲得，導致人們對這種未知風險的擔憂也日益加劇。

新業務往往需要系統互聯，導致系統日益龐大，結構日益復雜，出現新的風險點。目前，各銀行間、銀行與證券、保險、公交、鐵路、水電氣等行業間的系統聯接日益緊密。新業務上線之后，勢必要連到目前已有的業務系統網絡中，導致系統規模和復雜度不斷增大，并且加入新的人員和組織因素，從而不可避免地導致脆弱性增加，偶發性和不確定性增大，出現新的風險點。

新業務、新技術的大量采用往往導致管理模式滯后，與業務發展不匹配。組織結構是充分發揮資源效率的關鍵。在業務創新過程中信息風險管理模式往往出現滯后現象，導致風險管理制度不能適應業務處理的要求，出現一些斷層甚至空白點。除此以外，在新舊更替過程中，由于存在著諸多不確定性，管理制度往往存在執行不統一、控制過度或控制不足等問題。

商業銀行信息系統風險表現

國有商業銀行——“風險程度大，抗風險能力強”。一方面由于國有商業銀行信息技術架構龐大、設施復雜、涉及的內容繁多，因而可能存在的脆弱性種類多，范圍大；其金融地位又使其成為黑客攻擊的首選目標，其面臨的外部威脅種類多，危害大，因而所面臨的風險在三類銀行中也是最大的。另一方面，由于業務規模大，且具有國家信用背書，國有商業銀行抗風險能力強；同時，國有商業銀行資金實力強大，信息化基礎好，技術力量強大，系統的開發、建設運維一般都自行完成，風險控制技術和手段比較完善，信息風險管理水平比較高。

股份制商業銀行——“風險種類多，風險較集中”。股份制商業銀行打造全能銀行的沖動導致信息系統承載的業務種類越來越多，系統越來越復雜，因而，其面臨的信息風險種類也是非常多的。股份制商業銀行普遍追求規模效應，在某些特色化的金融服務領域，股份制商業銀行信息系統占有具足輕重的地位，導致信息風險在這些領域日益堆積和集中，這是股份制商業銀行在業務擴展過程需要認真加以防范的。

城商行——“風險區域化，抗風險能力弱”。很多城市商業銀行在當地擁有門類齊全的業務，受關注度較高，甚至超過國有商業銀行，因而在局部地區，其面臨的信息風險種類繁多，風險度大。城商行信息化資金投入少，基礎設施薄弱，許多城商行還缺乏基本的災備中心；同時由于管理經驗缺乏，技術人員不足，其風險管理水平比較低下。這種狀況與其地區龍頭地位是極不匹配的，需要引起高度關注。

金融危機爆發以來，銀監會一方面不斷推出提高監管力度和有效性的舉措，監管覆蓋的風險類型日益增多，不但對各類業務創新的真實動機和行為實質進行嚴格約束，而且越來越多地強調商業銀行要加強信息科技風險的管理，將其作為獨立的風險種類重點監管。同時，面對日益發展的銀行外包服務市場，銀監會開始著手進行規范，將外包風險納入監管范圍。風險監管的全面化、縱深化發展對銀行業務創新造成了一定的約束。另一方面，也是保證行業健康有序發展，保證公眾利益、社會秩序和國家金融穩定的必然選擇。商業銀行業務創新在推動金融業發展的同時，也增大了金融體系的不確定性，從而客觀上提高了金融監管的要求。為維護國家金融穩定、社會秩序和公眾利益，防止商業銀行過度追逐效益導致業務創新的無序發展，監管層重點關注業務創新帶來的風險問題，不斷出臺針對性的措施，對銀行業務創新進行規范和約束，督促銀行加強各類風險管理。

城商行面臨的挑戰

風險控制是商業銀行永恒的課題。但在現實情況中，由于對風險管理與業務發展的辯證關系認識模糊，往往存在重業務發展、輕風險管理的現象，在業績考核主要以業務指標完成情況作為評價標準，忽視風險管理隊伍和制度建設，對風險的識別、分析和管理不夠完善，給業務經營帶來隱患。在新的形勢下，舊的問題沒有完全解決，新的問題不斷涌現，商業銀行，尤其是城商行的信息風險管控工作面臨著嚴峻的挑戰。

缺乏科學的內部計價體系，風險管控資源配置錯位。城商行總體資產規模小，資本不足，缺乏權益性融資渠道，因此需要合理分配資本和資源，優先解決最緊迫的問題。然而，城商行缺乏科學的內部計價體系，在整體層面上把握核心競爭力的能力不足，導致財務資源配置的錯位。

科技治理機制不健全，風險管理委員會的核心作用未充分發揮。《信息科技風險監管指引》（以下簡稱《指引》）要求信息風險管理從源頭抓起，完善IT治理，從根本上解決風險管控的原動力問題。在現實中，城商行仍然存在信息科技治理結構不清晰、發展戰略規劃不到位的問題，導致科技治理機制及管理流程得不到有效執行，董事會和風險管理委員會的戰略管理的核心作用未充分發揮，價值未充分體現。

信息風險管理制度不健全，保障措施不完善。商業銀行普遍存在“重業務，輕管理”的傾向。在產品設計、系統開發和業務創新過程中，城商行更是往往只關注其效益性，對其存在的潛在風險缺乏研究，導致風險管理制度建設滯后，可操作性不強。同時，由于保障措施不完善，導致風險管理制度執行不力。

內部信息風險管理人才缺乏，技術力量不足。信息科技風險具有高度的專業性和復雜性，由于社會觀念、待遇、政策環境等方面的原因，與大行相比，城商行引進信息風險管理人才，尤其是高級人才存在諸多障礙，對提升信息風險管理水平造成嚴重的制約。出于類似的原因，城商行高級技術人才較為缺乏，力量較為薄弱，難以全面理解新技術、新業務帶來的潛在影響，導致系統內部控制的電子化水平較低，整個IT架構也逐漸變得無序，給后續信息風險管理帶來嚴重困難。

缺乏信息風險管控能力指標體系，持續改進機制缺失。目前，城商行普遍缺乏可動態監測的信息風險管控能力指標體系，沒有建立起規范的監控、檢查、審計、測評流程，輸出結果格式不統一，難以閱讀和分析，更難以對相關的整改要求進行跟蹤和反饋，風險管控工作得不到持續改進。

城商行信息風險應對之策

針對當前面臨的挑戰，城商行需要積極行動起來，聯合監管層、合作方等各方面力量，齊抓共管，通力合作，從管理和技術兩方面，確保信息系統在整個生命周期中風險的防范與管控。

全面平衡風險和回報之間的關系，采取最優化的風險處置措施。以信息風險管理委員會為主，集中技術、業務、管理等各方面專家，深入剖析風險的各類因素和作用機制，全面掌握其產生機理，對其進行識別、分類和量化，并采取最合理的處置措施。

真正發揮風險管理委員會的作用，強化風險治理。城商行不僅要成立高級管理層參加的信息風險管理委員會，而且要設立獨立的首席信息風險官和對口的執行機構，全面落實信息科技風險管理職責，促進跨專業、跨部門的整體協調和聯動，使信息風險管理委員會審議通過的科技治理機制及管理流程能夠真正得到執行。

加強信息風險管理制度建設和執行保障力度。對照《指引》要求，深入考察業務可能存在的風險點和技術控制措施的薄弱環節，對現有信息風險管理制度進行完善；同時，制訂配套的操作規程和相應的激勵約束機制，對各級人員進行風險意識和能力的培訓，確保信息風險管理制度能夠得到有效執行。

充分發揮外包服務商的能力和作用，提升外包風險管理水平。“他山之石，可以攻玉”，由于人才不足，內部技術力量薄弱，城商行在保持自身主導作用的同時，有必要實行拿來主義，借助強有力的外包伙伴提升信息化水平和風險管控水平。同時，對外包可能帶來的風險具有清醒的認識，正確地進行外包決策，選擇合適的外包商，有效管控外包人員、系統，使外包可能帶來的風險降到最低程度。

建議銀監會牽頭，多方參與，建立銀行業信息系統等級保護標準體系。《指引》是針對商業銀行信息風險管理的重要的綱領性文件。然而，《指引》在實施的過程中也遇到一些問題，集中表現為：如何根據信息系統的類型和規模制訂有針對性的風險管理要求；如何指導銀行將《指引》與現存的各種規章、流程結合起來，以發揮其最大價值；如何把《指引》的實施工作與績效評估、監管資本要求工作結合起來，建立起有效的激勵約束機制。

為此，建議銀監會牽頭，多方參與，參考公安部等級保護、ISO27001等相關標準，對《指引》進行細化，制訂適應銀行業要求的信息系統等級保護標準體系，使信息風險管理、安全措施的執行以及監控審核有據可依。

結束語

城商行是信息風險的主體，面臨著信息風險管理的嚴峻挑戰，需要積極主動，迅速行動，制訂應對之策。否則將為時晚矣。同時，信息風險管理也是一項復雜的系統工程，城商行一家難以獨立完成。監管部門、城商行、服務商等相關各方應攜起手來，共同應對當前面臨的挑戰。

當前，首要的任務是建立有效的多方協作機制，在充分研究和溝通的基礎上，建立起適應銀行業要求、指導性強且易于操作的信息等級保護基本要求、實施指南和測評指標體系，確保其得到有效執行，在實踐中逐漸磨合，逐漸完善，真正為銀行信息風險管理起到保駕護航的作用。

（作者單位：北京智控美信信息技術公司）