隨著互聯網技術的飛速發展、金融服務的創新和變革走向深入,信息技術已從銀行傳統后臺支持轉變成為市場競爭的核心能力之一。銀行IT的廣泛運用和飛速發展,同時也帶來了IT風險的爆發式增長,IT風險管控面臨重大挑戰。
  另一方面,在經濟全球化的背景下,國內銀行業為尋找新的利潤增長點,境外業務迅速擴張。截至2012年末,工、農、中、建等四大行的境外分支機構已經遍布歐美、亞洲,甚至擴展到遙遠的非洲,在紐約、倫敦、東京、巴黎、迪拜等地設立的分支機構達168個,招商銀行興業銀行民生銀行等也逐步在香港、歐美、東南亞設立分支機構。國內銀行境外機構擴張和發展離不開IT系統的支持,這些IT系統部署、運維大多在境內,IT系統的運維和管理如何適應滿足駐在國(地區)相對嚴格甚至“刁鉆”的IT監管要求,成為國內銀行亟待解決的重大問題。
  本文將重點研究有關國家及地區的金融監管模式,分析境外銀行IT監管狀況及其借鑒意義,為國內銀行滿足所駐國家(地區)的監管要求、提升IT風險管控水平提供參考。
  境外金融業監管的三種模式
  境外金融業監管的模式主要分三種:一是以美國、加拿大為代表的“雙線多頭”,即在國家和州兩個層面分別設置多家監管機構實施分業監管;二是以英國和香港為代表的“單線多頭”,監管權力統一在國家層面,設置多家監管機構實施分業監管,該模式還包含“雙峰”、“準雙峰”兩種特殊模式,即在國家層面由兩家監管機構分別負責業務經營監管和審慎監管;三是以新加坡為代表的“集中單一”模式,在國家層面由*10的監管機構實施混業監管。
  1.“雙線多頭”監管模式
  美國以美聯儲(FED)為中心的“雙線多頭”監管模式又稱“傘型”模式(如圖l所示),“雙線”指聯邦層和州政府層兩條線,“多頭”指各行業部設分業監管機構并分別發布法律法規。針對該模式下交叉監管嚴重、存在監管真空等問題,FED牽頭組建了聯邦金融機構監管委員會(FFIEC)以協調各監管機構,負責統一監管政策及標準、對被監管方進行指導并開展監督檢查。在銀行IT監管方面,FFIEC制定了“信息技術風險評級體系”(URSIT)對被監管方IT管控情況進行評級,還針對IT監管重點頒布指引手冊,指導被監管方有效管控IT風險,并不定期組織現場檢查。加拿大的金融監管模式與美國基本相同,但全國性監管機構扮演了更主要的角色,監管較為統一和明確。
  
  2.“單線多頭”監管模式
  英國于2013年初將金融監管模式調整為“準雙峰”金融監管模式(如圖2所示),英格蘭銀行金融政策委員會(FPC)作為宏觀審慎監管機構負責監控和應對系統風險,而審慎監管局(PRA)和金融行為監管局(FCA)作為英格蘭銀行下屬獨立機構分別負責審慎監管和業務經營監管,接受FPC的指導,其中銀行IT監管主要由PRA負責。澳大利亞的“雙峰”模式與英國相近,但不設立類似FPC的指導機構,而是通過“雙峰”監管機構間互相協作來加強監管。
  香港的金融監管主要由財政司牽頭,由金融管理局(HKMA)、證券及期貨事務監察委員會(SFC)、保險業監理處(OCI)、強制性公積金計劃管局(MPFA)實施分業監管,即分業金融監管模式(如圖2所示)。HKMA在機構拓展與營運板塊下設置了信息科技部門,配合風險管理與監察部門對銀行IT實施監管。
  
  歐盟的金融監管模式類似于“單線多頭”,各成員國央行行長組成歐洲系統性風險委員會(ESRB),應對宏觀風險。下設歐洲銀行業管理局(EBA)、歐洲證券及市場管理局(ESMA)、歐洲保險和職業養老金管理局(CEIOPS)分別對口銀行、證券、保險三行業。
  3.“集中單一”監管模式
  新加坡金融管理局(MAS)負責對全國范圍的金融機構進行全面監管,不僅負責金融政策等宏觀方面的規劃,還負責現場檢查等細節方面的管控。IT監管方面,MAS將IT風險列為8項主要風險之一實施重點監管,MAS下設風險監管部和銀行監管部,履行銀行IT風險監管職責。
  二、境外金融IT監管現狀
  各國監管機構隨著金融服務、技術的創新在不斷深入和強化銀行IT監管。各層面法律法規、政策指引、監管手冊等陸續發布,監管方式從政策法規引導、評級評價到非現場報備、現場檢查,十分多樣。監管機構所屬IT監管部門專業化水平不斷提升,職責分工也更精細、明確。這其中,美國、歐盟、新加坡、香港等國家(地區)的監管比較具有代表性(多個國家、地區的監管模式和具體機構名稱詳見表1)。
  
  1.美國
  美國銀行IT監管十分注重法律法規建設和監管評級。“雙線多頭”模式下,各監管機構都會發布各自的監管法規和指引,FFIEC作為協調機構,依據現行法規和指引編制了一系列IT指引手冊(IT booklet),涉及網銀、外包、操作、信息安全等12個方面,對如何識別、分析、預警和控制IT風險給出指導,是監管機構開展IT檢查的重要依據,也是銀行完善IT管理的基準文件。監管評級方面,FFIEC利用URSIT(美國金融業技術風險評級體系)系統性地評價銀行的整體風險管理情況,并納入銀行“駱駝信用評級體系”(CAMEL),使IT風險在銀行總體風險中得到體現。URSIT與IT指引手冊緊密結合,監管機構可依據URSIT級別,對銀行開展相應級別的監督檢查。
  值得一提的是,美國非常重視對IT外包的監管,強調“服務外包,責任不外包”,在法律上授予監管機構對IT外包服務商等同于銀行的監管權(《銀行服務公司法》)。截至2011年底,FFIEC已對約160個IT外包服務商進行了跟蹤檢查。
  2.新加坡
  新加坡在監管體系上參考美國CAMEL體系,由MAS建立了“公共風險評估框架和技術”(CRAFT),對金融機構進行風險等級評定,并依據其結果決定對金融具體的監管策略。其中,IT風險是一個重要的評級指標,該指標關注設備宕機、系統錯誤、網絡漏洞、惡意軟件攻擊、黑客事件等重要風險點。采用這一評級體系,MAS有效地將IT風險評估納入銀行總體風險評價和評級,更好地提升了銀行業對IT風險的管控水平。在法律法規上,為有效應對和管控諸如銀行卡支付、移動技術、虛擬化等IT新技術為銀行帶來的風險,MAS發布了《互聯網銀行和信息技術風險管理指引》,其內容涉及客戶資料保護、外包管理、連續性等多方面內容。
  組織結構上,MAS下設的風險監管部和銀行監管部主要負責銀行業的IT監管。風險監管部為銀行監管部提供IT風險管控建議,銀行監管部則根據建議對不同類型的銀行進行具體的監管。實際操作中,MAS根據每一家銀行對新加坡金融的影響程度、非現場報備信息及CRAFT評級所揭示的風險狀況,決定現場檢查頻率?,F場檢查一般以專項檢查為主,主要針對某一特定風險,必要時開展全面檢查。
  3.歐盟
  EBA在借鑒、融合ISO 27001(信息安全管理實用規則)、NIST 800(IT系統應急計劃指南)的基礎上,2011年陸續發布了多個信息系統安全策略(Information System Security Policy),作為強制標準對信息系統的惡意代碼、日志與監控、備份管理、訪問控制與身份認證、可移動代碼等進行規范。另外,EBA還發布了一系列指南,為銀行在內控、外包管理、操作風險等領域的管理提供指導。
  在歐洲的信息系統安全策略中,可移動代碼標準(Standard on Mobile Code,SMC)相較于其他國家(地區)的監管更全面、具體,可執行性也較高,在“如何選取可移動代碼技術”、“服務器端、客戶端規則”等都有詳實的闡述。該標準對當前銀行交易大量網絡化、移動化,各類插件、跨平臺程序安全隱患較大的現狀,有較大的參考價值。
  4.中國香港
  在中國香港地區,HKMA定期對銀行機構的IT風險管理、網上銀行管控措施以及業務連續性管理等進行審查,僅2012年組織審查就達20次,覆蓋79家銀行,其中就包括對電子銀行業務專項審查,以評估銀行對網上銀行、手機銀行及電話銀行等服務的風險管控以及對IT問題管理及變更管理的管控措施。
  對于積極拓寬海外市場的國內銀行來說,在IT監管方面首要目標是確保其境外分支機構能夠滿足當地監管要求,其次才是吸收境外成熟經驗為己用,借以提高自身IT風險管理水平。34
  除了開展審查活動,HKMA還通過發布一整套監管政策手冊實現監管指引和導向,手冊中包含IT風險監管的綱領性文件——《科技風險管理的一般原則》。該文件作為手冊最重要的《風險管理的一般措施》的補充,將風險的范圍從傳統的貨幣相關風險拓寬到IT風險,表明了監管當局對IT風險管理的極大關注。出于對電子銀行業務的重視,HKMA將電子銀行風險從一般科技風險中剝離出來重點管理,形成單獨的監管文件《電子銀行的監督》。除此之外,全套監管手冊中還有多個文件與IT風險管理密切相關(如圖3所示)。
  
  隨著IT的不斷發展和進步,IT在銀行等金融機構中的重要性不斷增強,特別是電子銀行業務在總體業務的占比越來越高,IT逐漸由輔助性工具轉變為核心競爭力。與此同時,IT風險的種類越來越多,其對銀行業務的影響也越來越大。為應對各種IT風險,各國銀行監管機構都在不斷加大IT監管投入,完善IT監管法律法規,監管越來越精細化。而且各國監管手段呈現趨同化態勢,大部分國家及地區都采用了指導指引和檢查相結合的方式,其中美國、新加坡等國家還引入評級機制,使得監管更加有層次和針對性。
  三、銀行出海需強化IT風險監管
  隨著經濟全球化的不斷加快,無論是銀行業監管機構還是銀行均面臨著新的挑戰,必須要結合全球金融IT發展趨勢和風險形勢,不斷完善、強化IT風險監管水平。
  對監管機構而言,要借鑒境外IT監管經驗,改革金融監管體制,完善監管理念,加強IT風險監管。一是要完善IT監管立法,建立成套的法律法規體系,并結合IT風險特點編制針對性的監管文件。二是要設立專職的IT風險監管部門,組建專業的IT風險檢查隊伍,將IT風險重點管控起來。三是要擴展監管范圍,重點對服務供應商、電子銀行和客戶信息保護等重要和高風險領域進行重點監管。
  從商業銀行的角度出發,由于海外市場拓展的外在需求和IT風險管控水平提升的內在動力,更需要把IT風險管控提升到戰略高度,將IT風險納入組織的全面風險管理體系,把IT風險管理作為常態化風險管理工作內容。研究各國現行銀行IT監管現狀,IT風險管控與傳統金融風險管控的有效融合、電子銀行安全、IT外包管控、客戶信息保護等是銀行IT監管的熱點。國內銀行,尤其希望在大力拓展海外業務的各大商業銀行,為保障境外分支機構滿足當地監管要求,應重點關注這些領域,積極借鑒境外銀行的成熟經驗:
  一是要將IT風險管控與傳統金融風險管控有效融合。銀行可以將資本計量等傳統風險管理的方法靈活應用在IT風險管理領域,同時突出強化風險管理部門在IT風險管理中“第二道防線”的作用,在保障管理專業性的前提下,將其融入日常全面風險管理體系中,融于日常業務中,真正做到對IT風險管理和傳統銀行業務風險管理一視同仁。
  二是電子銀行的風險管理。隨著互聯網金融的迅猛發展,對電子銀行領域的風險管控逐漸成為各國銀行的關注重點。巴塞爾委員會通過《電子銀行風險管理原則》來指導銀行規范電子銀行風險管理過程,香港金管局、新加坡金管局等也頒布過電子銀行管理指引。銀監會也逐步重視該領域,已針對商業銀行組織過專項檢查。當前,銀行一方面可以基于自身運營所積累的電子銀行風險管理經驗,并借鑒其他國家和地區的現有成熟經驗和管理指引,規范電子銀行IT風險管理工作,防范風險;另一方面要充分利用防火墻、身份認證和日志審計等各種業內成熟技術在事前、事中、事后管控好電子銀行風險。
  三是IT外包管理。出于成本和效率的考慮,銀行IT研發、運維均存在一定的外包行為,特別是一些中小型銀行,外包比重較大,這也使得IT外包一直被當作各國銀行IT監管的重要關注領域。銀監會十分重視該領域,不但出臺了《銀行業金融機構外包風險管理指引》,而且專門針對IT外包頒布了《銀行業金融機構信息科技外包風險監管指引》。從國外經驗來看,最典型的是美國對IT外包服務商的直接監管權,其金融監管機構對IT外包商具有同等監管權力。國內目前雖無相關規定,但銀行也須主動對外包項目進行風險評估,對服務供應商進行盡職調查,通過合同協議等手段從嚴加強IT外包商管理,掌握外包商資質、技術水平、業務經營狀況等信息,盡可能使IT外包風險可控,保障信息安全和業務連續性。
  四是客戶信息保護方面。隨著社會對個人信息保護的日益重視,以及公眾個人信息保護意識的日益增長,近年來我國銀行業越來越重視對客戶信息的保護,但相對一些發達國家和地區仍起步較晚,未建立起成熟的全過程保護機制。美國FFIEC對數據資料的管理制定了一套比較詳細的控制措施,香港金管局在電子銀行監管文件中也專門強調了對客戶身份與數據傳輸的保密性要求,這些規范與經驗均可作為國內銀行加強對客戶信息保護的借鑒。
  對于積極拓寬海外市場的國內銀行來說,在IT監管方面首要目標是確保其境外分支機構能夠滿足當地監管要求,其次才是吸收境外成熟經驗為己用,借以提高自身IT風險管理水平。僅按照國內監管要求對境外分支機構IT后臺系統實施管理,無法完全滿足所駐國家(地區)的監管要求;完全照搬境外監管機構要求,對其IT后臺系統實施各種不同管理標準,成本又過高、可操作性差。由此,我們認為比較合理的方法是“拿來主義”和本地化相結合,取各國監管之所長、結合國內監管模式和要求、整合形成全面統一的銀行IT風險管控體系,并把其運用到對所有系統的實際管理中,將能夠在實現IT風險管理水平整體提升的同時,也能很好地滿足各國監管要求,適應國內銀行高速拓展海外市場的需求,加快推進中國金融業全球化拓展,助力我國融入全球經濟體系的戰略目標。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網校特別提醒:已經報名2014年FRM考試的考生可按照復習計劃有效進行!另外,高頓網校2014年FRM考試輔導高清課程已經開通,通過針對性地講解、訓練、答疑、???,對學習過程進行全程跟蹤、分析、指導,可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費題庫:2014年FRM考試免費題庫
  考試輔導:FRM考試招生專題
  高清網課:FRM考試網絡課程