銀行業金融機構信息科技風險的資本計量研究

鄔俊斌

（中國銀行業監督管理委員會上海監管局，上海 200135）

一、前言

隨著信息技術向大數據、云計算、智能化、移動化的方向發展，銀行業務對信息科技的依賴性越來越強、信息系統架構越來越復雜、外部性特征越來越顯著；銀行的信息科技發展水平、科技與業務的融合程度，已經日益成為影響銀行業務服務能力及經營管理水平高低的重要評判標準。

巴塞爾新資本協議將原來單一的信用風險監控范圍拓展到了信用風險、市場風險和操作風險并列的全面風險監控，信息科技風險默認為操作風險的一部分。“資本監管”作為巴塞爾新資本協議的核心思想，其要求通過資本限制來控制銀行業務的規模，進而控制風險。因此，巴塞爾新資本協議側重于從資本的角度來計量市場風險、信用風險及操作風險的損失，強制銀行計提相應的資本準備。

因巴塞爾委員會未對處于操作風險項中的信息科技風險提出具體要求，為了應對日益突出的信息科技風險，一些國際組織和國家的監管機構都相繼出臺了相應的信息科技風險管理框架、監管指引和評級細則。例如，美國信息系統審計與控制協會(ISACA)提出了COBIT框架和Risk IT框架；國際標準組織 (ISO)提出了ISO 2700n系列標準；美國反虛假財務報告委員會下屬的發起人委員會(COSO)頒布了《企業風險管理——整合框架》；卡內基梅隆大學提出了OCTAVE框架，以及國家監管機構中國銀監會(CBRC)發布了《商業銀行信息科技風險管理指引》；美國金融檢查委員會(FFIEC)制定了《URSIT技術風險評級體系》；英國金融服務管理局(FSA)制定了《金融服務中的數據安全》、《業務持續性操作指引》；香港金融管理局(HKMA)制定了《科技風險管理的一般原則》等。

但是，這些框架和指引都沒有建立定量化的風險識別、評估和管理機制。而在銀行業的風險管理框架中，資本計量又偏偏是最為重要的一環，所以，對于現有的信息科技風險管理理論還需要補充風險計量的方法，以與銀行的總體風險資本相配套。

二、計量框架及其管理工具

閻慶民（2013）提出了一種信息科技風險資本計量的框架，由管理工具、計量數據、計量方法、計量產出、應用五個部分組成。風險識別評估、關鍵風險指標（KPI）、損失數據庫三個管理工具在計量框架中具有基礎性地位，是數據的來源，也是管理的武器。本節基于此框架嘗試進行闡述引申。

信息科技風險的識別評估是風險監管的有效前提。在信息科技開發及運維中的問題和風險的識別與評估中，最常用的思路是魚骨分析法和德爾菲法。

魚骨分析法通過問題流程對已發生或可能發生的事故的原因不斷列舉及深究，通過模擬回測等手段，盡可能多而全地找出可能的原因，并把原因分層歸類，尋求事故的主要關鍵原因；德爾菲法通過分別對專家們咨詢產生事故的原因，確定主要風險因素，制定風險因素評估調查表，再通過專家和相關人員對風險的出現概率和影響程度進行定性評估，經過開放式、評價式、重審式、復核式數輪調研，識別出各個風險要素的概率分布和影響度。調研的輪數可以根據實際情況進行精簡。

信息科技的風險的評估還可以借鑒操作風險的“風險與控制自評估法”(RCSA)，即銀行信息科技風險管理機構對系統開發、系統運維、數據管理等信息科技各條業務流程進行分析，識別評估風險點，對現有的控制措施的合理性和有效性進行評價。RCSA先對信息科技工作條線的主流程及包含的子流程進行梳理，再對流程中采取控制措施后的剩余風險進行打分，在描繪風險發生的可能性和損失嚴重性的“風險地圖”矩陣上繪點，接著識別和評估風險可能性和嚴重程度較大的部分，立即采取進一步控制措施，對問題原因進行追溯。

關鍵風險指標是反映風險變化的預警指標，用于監測可能造成損失的事件的風險及控制措施，是一種定量指標。關鍵風險指標超過設定的閾值的時候則需要采取一定的措施，以減輕或回避重大科技風險事故的發生。這些關鍵風險指標可能包括某系統的重大事件發生頻次、系統中斷時間、對外服務滿意度評價指標、回退變更頻次、測試缺陷未探測率、人員離職率等。針對觸發關鍵風險的事故應該進行回顧和總結，持續改進。

損失數據收集是信息科技風險計量的基礎，信息科技風險事件收集范圍的確定是數據收集工作的前提。損失數據的收集、回顧、整理，有助于全面反思執行層面、流程層面、技術層面的問題，以達到持續改進的目的。結合實踐與谷歌SRE的思想，異常事件回顧應該包括以下因素：所在系統、事件概要（簡述事件及其處理過程）、故障現象（事件告警或外部保障等）、業務影響（影響時間段，交易筆數，損失金額）、原因分析、事件處理時間線、經驗教訓（執行層面，流程層面，技術層面，舉一反三）、改進計劃（措施，時間點，責任人，措施類型，跟蹤單據號）、回顧檢查表（執行層面，流程層面，技術層面，舉一反三）。

三、資本計量方法

何茂春（2009）主張信息系統量化定級利用戴明環模型，通過PDCA循環不斷提升管理水平。通過信息系統的安全屬性，即機密性、完整性、可用性，對信息系統資產價值進行五級定級；通過發生事件的影響度和緊急度量化因子對事件進行五級定級。

在實踐中，可以根據影響因子和緊急度因子量化對觸發事件評級進行劃分，以實現對信息系統事故的分級管理，滿足特定的響應速度、通知范圍、升級條件等。在影響-緊急度因子矩陣中，可以設立相應的主觀資本影響值，作為該事件資本損失的計量。歷史統計數據可以作為信息科技風險資本計量的重要參考。

楊濤（2010）提出可以考慮利用投資組合理論均值-方差模型和資本資產定價模型來度量銀行的信息科技風險。在應用均值-方差模型的時候，其思路一是，將信息科技投資區分為設備、軟件、人力資本等不同項的投資，假定已知各項的投資額及預期收益，則信息科技的風險計量就表現為實際收益與預期收益的偏離程度；思路二是把信息科技投資當作一個單獨的投資整體，通過估計信息科技的投資收益可能值及其相應的概率，來得到預期信息科技收益，風險同樣表現為實際收益與預期收益的偏離。楊濤論證銀行信息科技的投資收益應該由無風險收益和承受系統性風險得到風險收益組成。

閻慶民（2013）提出了信息科技風險資本計量的標準法和基于損失分布法的計量方法。其中，標準法通過計算信息科技投入的一定比例計算風險暴露；損失分布法設計了“時間+金額”的信息科技風險損失量化方法，建立影響時間與金額損失的對應關系，使得信息系統事故產生的間接損失可計量；損失分布法通過歷史損失數據，擬合頻率分布和嚴重度分布，并運用內部衡量法對資本計量結果進行了調整，再根據置信區間來確定一定時間內的非預期損失。

作為銀行業信息科技監管的絕對權威，該論文提出了完整的框架和可行的實施辦法，此后討論信息科技風險量化的相關文章較少出現。

四、結論與建議

作為在巴塞爾協議操作風險下的信息科技風險的資本計量方法，因為其嘗試對間接損失量化計入，所以往往只能通過分級分類、分組計量的方式來擬合。在何茂春的論文中，強調的是對事件發生后的量化分級處理，尚未明確提出資本計量的概念；在楊濤的論文中，投資收益的預估具有較大的主觀性，特別是信息系統往往帶來的是間接收益，難以衡量；在閻慶民的論文中，重新定義了信息科技風險損失的定義，創造性地提出了基于標準法和高級法計量信息科技風險資本的計量框架和系統性方法，由此在信息科技資本計量方面達到了較高的水平。此后也鮮有信息科技資本計量相關論文出現。

近些年來，隨著金融科技和開發運維理念的迅猛發展，可以看到銀行業的信息科技業態已經有了較大的變化。

在互聯網金融業務的沖擊下，銀行業信息科技客戶服務意識不強，交互設計能力差，科技部門墻明顯，決策路徑冗長，技術能力不夠先進等問題日益影響了銀行業傳統業務的盈利水平。因此，對于信息科技的“尾部風險”突出、損失隱性的特點，除了繼續完善組織架構、風險管理制度、事件風險庫、監測預警機制、外包管理等傳統手段外，還應該注意到國內外新的技術和管理概念的引入。

深化DevOps理念，強調信息科技運維人員的開發能力，推進信息系統云計算、容器化、自動化、智能化的建設，系統容量自伸縮、事件故障自愈、版本快速發布；推進精益理念，減少八大浪費，應用版本按需生產，以小而快取代大而慢，減少大規模版本更新的科技風險；實踐微服務理念，減少系統間的相互依賴，以接口調用實現松耦合；加快實現去IOE化，多使用開源工具實現自主可控；嘗試建立數據中心虛擬利潤的概念，推動技術部門從成本中心向利潤中心轉型；實行監管沙盒政策，給予一定領域或地域的創新者有一定的時間開發產品、改善能力等等。對于切實使用新技術和管理理念降低了信息科技風險的，可以參考谷歌SRE設立的差錯預算的概念，給予信息科技風險資本計量方面有差錯容忍度的鼓勵政策。