随着信息科技在银行发展中的作用日益凸显,银行对信息科技的依赖以及由此产生的风险日益加剧。中国银监会对银行业信息科技风险管理高度重视,近年来先后颁布了《商业银行信息科技风险管理指引》、《商业银行数据中心监管指引》、《商业银行业务连续性监管指引》等指引和规范性文件;进入“十二五”信息科技发展新阶段后,银监会进一步加强了监管要求,成立了银行业信息科技风险管理高层指导委员会(以下简称“高层指导委员会”)。
日前,本刊记者采访了中国银监会信息中心主任谢翀达,请他就银行业信息科技风险管理现状、面临的挑战,监管机构对商业银行信息科技风险管理的要求和指引,银监会信息科技风险监管的规划和战略思路等话题进行了分析和解读。
《中国金融电脑》:新形势下,国内商业银行信息科技风险管理面临哪些挑战?
谢翀达:新世纪以来,在党中央、国务院的正确领导下,伴随着银行业经营体制改革,我国银行业信息化建设也取得了长足进步,信息科技与银行业务高度融合,信息科技已成为银行重要的核心竞争力。银行业信息科技风险意识不断增强,信息科技管理能力稳步提升,信息科技治理结构不断优化,信息科技三道防线日益清晰、完整;董事会、高管层的信息科技风险管理职责进一步明确,信息科技战略与业务衔接更加紧密;信息科技专业人才队伍建设不断进步,科技队伍的专业化程度也进一步提高。总体而言,我国银行业充分把握了信息化社会的发展机遇,在信息科技的有力支撑下,业务规模不断扩大,经营管理水平逐步提高,整体实力显著增强。
然而,在全球信息安全问题日渐突出的大环境中,我国银行业信息科技的安全运行和健康发展也面临着严峻考验,这不仅直接关系到银行稳健经营,更关乎银行声誉、金融安全和社会稳定。信息科技风险是伴随着信息技术应用存在的固有风险,在防范科技风险的过程中,考验的是银行对信息科技风险控制的有效性。目前我国银行业信息科技工作还存在“重建设、轻管理,重条块、轻统筹”的现象。一方面银行业信息化发展和信息科技管理水平之间存在失衡现象,在银行大投入、快产出的信息科技建设背后,也存在管理能力滞后的隐忧,这一问题在发展较快的电子银行、科技外包等领域表现尤为突出。另一方面信息科技建设与业务发展之间存在脱节现象,在战略层面缺乏统筹协调,在执行层面缺乏部门联动,对系统安全可靠运行和业务连续性保障产生了不利的影响。对此,我国银行业要清醒地认识、系统地分析,标本兼治、逐步解决银行业信息科技发展的深层次问题,有效防范信息科技风险。
《中国金融电脑》:对商业银行的信息科技风险监管,银监会提出了哪些要求,采取了哪些具体措施,取得了哪些成绩?
谢翀达:2008年,以银行业信息科技奥运专项保障工作的开展为契机,银监会的信息科技风险监管工作进入了全面推进阶段,制定了信息科技风险监管法规建设计划并将其纳入到了2008年发布的《银监会立法规划》中,从银行审慎运营规则、监管行为规范两个角度,积极构建覆盖宏观全局规划、中观分类指导和微观具体操作三个层面的信息科技监管制度体系框架。几年来,银监会先后制定印发了《银行业重要信息系统突发事件应急管理规范》、《银行、证券跨行业信息系统突发事件应急处置工作指引》、《商业银行信息科技风险管理指引》、《商业银行数据中心监管指引》、《商业银行业务连续性监管指引》等指引和规范性文件。
银监会信息科技监管流程和工具体系日益科学、完整、规范,制定了信息科技现场检查指南、非现场监管报表以及信息科技风险评估体系,信息科技现场检查、非现场监管全面有序推进;高度重视信息科技行业性、趋势性、系统性风险,对重点风险领域“精确制导、准确打击”;高效处置信息科技各类重大突发事件,及时印发提示、警示风险,措施迅速、成效明显。在此基础上,更加注重加强统筹指导、积极探索创新,以制定银行业“十二五”信息科技发展规划和成立高层指导委员会为抓手,着力提升监管影响力,加强行业引领和指导,推动形成行业发展合力。
《中国金融电脑》:请谈谈银监会信息科技风险监管的规划和战略思路?
谢翀达:信息科技产业是一个日新月异、充满活力的领域,其发展速度远远快于传统产业。信息科技的发展,为银行的业务产品创新、服务管理水平提升带来了机遇,而与此同时,新的信息科技风险特征不断出现,也为银行业信息科技风险管控带来了挑战。信息科技风险监管要紧跟信息科技和银行业发展的步伐,与时俱进,在明确“风险为本”的基本指导思想的基础上,不断丰富、完善,形成既符合信息科技风险特点、又契合银监会整体监管框架的信息科技风险监管制度和工具体系。要指导银行按照“风险为本、安全第一,围绕业务、强化服务,稳中求进、理性创新,提升素质、强化管理”的总体思路,兼顾发展和风险的平衡,以信息科技提升银行业服务水平和风险控制能力。要着力提升监管能力,对内加强信息科技监管与业务监管的联动,以及银监会和各级派出机构之间的协同,实现统筹协调、优势互补、资源整合、效力提升;对外加强同其他金融监管机构以及公安、安全、工信等有关部委的协同合作,建立跨行业、跨机构、跨区域的应急协调机制,为确保银行业信息科技整体安全提供更有利的外部环境。要加强行业指导和引领,充分发挥高层指导委员会的作用,研究行业层面信息科技发展战略,探索破解共性难题,推动形成行业合力、加强行业经验交流和信息共享。
《中国金融电脑》:全面风险管理对银行信息科技建设带来哪些挑战?对信息科技风险监管提出哪些要求?如何应对?
谢翀达:2011年4月,银监会发布《中国银行业实施新监管标准指导意见》(以下简称《指导意见》),确定了我国银行业实施国际新监管标准的总体原则、主要目标、过渡期安排和工作要求。新监管标准的实施过程,也是银行全面风险管理体系变革和不断完善的过程,是银行机构建立完善风险管理文化和风险管理政策流程的过程,对银行经营管理活动将产生深远影响。数据和IT系统是新监管标准实施的基础和关键,全面风险管理对银行数据标准建设、数据管理体系建设、信息化总体架构体系以及IT风险管理体系都带来了挑战。这就要求我国银行业一方面要加强数据标准和数据治理体系建设,确保风险信息的精细度、准确度,推动经营管理科学化、辅助决策智能化;另一方面要逐步实施面向全面风险管理的信息化总体架构体系变革,着力提升IT风险管理水平,提升IT支持服务能力,确保新监管标准的顺利实施。
银监会推进新监管标准实施的IT监管指导原则是:坚持标准先行原则,采取积极措施,指导、督促银行业金融机构建立数据治理机制,大力开展数据标准体系建设,加强行业层面的标准化工作。坚持统筹规划原则,推动各银行机构从战略高度和全局角度统筹规划、总揽全局、科学决策、扎实推进信息科技建设和风险管理工作。坚持持续发展原则,兼顾发展与风险的平衡,提升信息化建设内在质量,促进信息化建设的稳定、健康、有序、协调发展,提高可持续发展能力。坚持引领创新原则,推动和指导银行机构着力提高信息科技竞争力,加大科技创新力度逐步发挥科技的引领作用,促进银行在国内摆脱同质化竞争的格局,并积极参与国际竞争。
《中国金融电脑》:2011年银监会组织成立银行业信息科技风险管理高层指导委员会的目的是什么?在银行业信息科技风险管理方面发挥了哪些重要作用?
谢翀达:“十一五”期间,我国银行业信息化建设取得了长足进步,信息科技成为银行核心竞争力的重要组成部分,但是仍然存在深层次问题。“十二五”是我国银行业发展与改革的重要历史时期,信息科技承担着提高创新能力,提高发展质量,加强科技引领作用的重要使命。为加强对银行业信息科技发展与风险管理专业指导,对银行业信息科技发展重大或疑难问题研讨、辅导,深入传导、贯彻监管理念、要求,推进银行业IT治理机制建设,加强监管部门与银行机构交流沟通,作为重要平台建设,银监会组织成立了银行业信息科技风险管理高层指导委员会。高层指导委员会由银监会及17家银行业金融机构(成员单位)组成,由成员单位信息科技分管行领导和信息科技部门负责人担任委员、工作组成员,并聘请了有关部委和业界专家作为顾问委员。高层指导委员会的宗旨是:以全面风险管理为导向,推动银行业信息科技持续、健康发展,提升银行业整体信息化建设和信息科技风险管理水平,提升银行业信息科技竞争力和自主创新能力,维护金融稳定和国家安全。
高层指导委员会自2011年10月成立以来,在银监会的组织下,在各成员单位的积极配合下,制度建设、工作规划等方面取得了一定的进展;同时,充分发挥平台作用,集中先进银行技术、管理和资源优势,对于银行业信息化建设与科技风险管理进行研究、指导、咨询、建议、协调的作用逐步显现。创新性地开展各项工作,如开展中小银行机构信息科技专业技术指导需求征集工作,对中小银行的信息科技重点建设工程进行评估、验收、指导和研讨等。这些有益的尝试,为进一步完善落实常态化的高层指导委员会专业指导工作机制和信息科技重大项目研讨机制奠定了良好基础。
|
