导读:信息科技风险是唯一能使银行瞬间瘫痪的风险,具有区别于其他操作风险的特殊性。需要将信息科技风险从操作风险中拆分,构建以“目标”和“过程控制”为导向的两种核心监管指标,完善信息科技风险资本计量的框架和方法。
信息科技风险是随着信息科技技术广泛应用而新生的词汇,最早出现在上世纪九十年代,目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势,即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础,通过约束银行资本,达到控制行业规模和风险的目的。在新资本协议关注的三大风险中,信息科技风险被默认为操作风险的一部分,未对信息科技风险的管理提出具体要求。
信息科技稳定运行是银行业务正常经营的基本条件,银行数据集中造成了风险的高度集中,科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性:一是风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高;二是由于管理因素、技术因素多重作用,导致偶发性和不确定性突出;三是信息科技一般不直接造成经济损失,其造成的间接损失难以计量;四是单个信息系统可影响多个业务,影响范围广且具有不确定性。
科技风险与操作风险当前处在不同的发展阶段,其管理理论、管理方法等方面有着一定的差异性。在管理体系方面,信息科技风险管理的理论已进入风险导向的科技风险管理阶段,但以风险为导向的识别、监测、计量方面尚不成体系;在管理方法方面,信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素;在损失特点方面,信息科技风险通常不产生直接的风险损失,这决定了通常情况下科技风险损失往往难以使用货币金额方式进行表示;在风险计量方面,目前尚缺乏有效计量信息科技风险资本的方法。
当前银行业大多将信息科技风险作为操作风险的一部分,纳入银行全面风险管理体系。但是,随着行业发展和技术进步,在操作风险模式下管理信息科技风险也存在一定的困难:一是目前的操作风险管理方法中对科技风险的管理方法涉及较少,难以兼顾到信息科技风险的专业技术特性,难以实现对信息科技风险的有效管理 ;二是风险监管资本计量未能充分考虑信息科技风险因素,信息科技风险造成的损失及其相应的监管资本计量存在困难。基于科技风险特点及其作为操作风险一部分进行管理遇到的问题,将信息科技风险从操作风险中拆分并独立管理,能更有效的管理信息科技风险。
信息科技风险应被视为一种独立的、重要的风险类型被单独管理,与操作风险的管理分开;应根据信息科技损失的特点设计与操作风险标准法和高级法匹配的计量模型,体现信息科技风险对银行资本的影响和敏感性。
在实施“风险为本”的监管框架中,需要探索建立一套可量化、相对简单、可动态监测的核心监管指标体系,来动态监测信息科技风险状况,直观评估银行信息科技风险的管理水平。
核心监管指标作为监管机构识别和预警银行风险的重要手段和方法,对健全内部风险制衡机制,完善风险管理政策和流程,优化风险计量工具,进行有效的风险控制起到了积极的促进作用。信息科技风险核心监管指标可以分为两类,一类是结果性指标,另一类是过程性指标。结果性指标是以目标为导向,对已经发生的科技风险事件和信息安全事件进行统计后建立的量化指标,其反映的是风险状况和发展趋势。过程性指标主要反映银行风险控制和管理能力。这样两类指标相互补充,起到全面评估机构风险水平的目的。
信息科技风险监管具体目标包括业务连续性、信息安全、公众满意度以及合法合规。从信息科技风险监管目标出发,可逐层分解出系统可利用率、业务量等指标,它们相对简单、直观、容易测算和计量,可以成为结果性指标。另外一类是过程性指标,这类指标基于当前银行业信息科技管理最佳实践,对信息科技的每个领域都能够起关键控制作用。监管指标一方面可以用来监测银行业整体风险状况,评估银行业风险水平,同时也可以与监管手段相结合,提高信息科技风险监管水平。
信息科技风险是巴塞尔新资本协议全面风险计量框架中的组成部分,科技风险资本计量是科技风险管理的重要手段。
计量信息科技风险可以借鉴当前相对成熟的操作风险的计量方法。但是,直接用操作风险计量方法计量信息科技风险存在挑战,主要表现如下:一是信息科技风险与总收入、业务交易量、客户数或业务交易金额等指标的关联并不密切;二是大部分信息科技风险的损失不是显性的,除少数信息科技风险事件(如引发客户索赔、延误罚息)有“直接损失”外,大部分信息科技风险事件的影响体现为业务中断、声誉受损等“间接损失”;三是信息科技风险损失数据相对较少,极端严重事件的数据更少,计量 “尾部风险”面临挑战。
基于高级法的计量思路是在操作风险的统一计量框架下对信息科技风险这一类型单独计量,可将信息风险损失定义为金额损失和时间损失两个维度,建立时间与金额的转换关系,拟合频率分布和严重度分布,之后整合为总损失分布,根据置信度确定未来一定时期内的非预期损失,最后用内部衡量法进行调整得出计量结果。将科技风险持续时间转换为间接损失金额有两种方法,分别为解析法和映射法。解析法是考量信息系统对银行利润贡献度,即某个信息系统单位时间对银行产生的利润,根据系统中断时间、影响范围、系统重要性进行计算,得出信息科技风险事件的间接损失。映射法是根据影响范围和系统重要程度将影响时间加权计算转化为“标准”的影响时间,然后建立标准影响时间与损失金额之间的映射关系,从而确定损失。
未来,随着信息技术的飞速发展,银行业对信息科技的依赖越来越大,云计算、物联网等新技术既加快了银行创新发展,对信息科技风险管理提出了更高的要求;快速变化的外部环境,开放的互联网环境,技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等,所有这些都使得信息科技风险管理与监管面临着更加现实的挑战,需要我们不断地思考和研究,提高信息科技风险管理能力。
(本文是CF40内部课题《银行业金融机构信息科技风险监管研究》的报告简本,课题得到中国金融四十人论坛立项资助并组织专家评审)作者系中国金融四十人论坛成员