银行信息系统风险管理文献综述

　　第二章 相关文献综述

　　2.1 国内外信息系统风险管理发展和现状

　　科技互联网的迅猛发展，信息化大数据集成逐渐成为各个领域的核心竞争力。随之而来带给人们的是对信息化风险管理的深入思考。信息系统风险管理是指围绕业务战略目标，通过培育良好的 IT 风险管理文化，建立健全 IT 风险管理体系，包括 IT 风险管理的组织职能体系、IT 风险管理策略、IT 风险管理控制体系。

　　在 IT 规划与组织、开发与实施、运行与维护，监控与评价的各个过程中执行风险管理的基本流程，从而为实现风险管理的总体目标提供合理保证的过程和方法。风险管理已经是信息安全保障工作的一个主流模式，信息安全防范工作越来越基于风险管理。

　　互联网的飞速发展使得公众网络的应用越来越广泛，在公众网络中间构建相对可信的网络，成为世界各国发展信息化的主要需求。在信息化大爆炸的大环境下，商业银行的信息系统风险管理也随着迅猛发展。

　　2.1.1 国外信息系统风险管理发展

　　纵观全球的信息系统风险管理，国外对金融行业信息系统风险管理理念比较先进，对风险管理的要求均较为严格，属美国最具有代表性。美国的金融服务和金融创新都处于世界领先水平，其涵盖银行、保险、证券、外汇、基金、衍生产品等金融领域的方方面面，美国的金融信息化在大数据的支持下更是处于前沿领域并在金融领域对大数据应用的更为广泛。美国是世界上最早开展电子银行信息技术风险研究并实施具体监管措施的国家，同时也是对银行信息技术风险研究和管理最细致、最全面的国家。

　　由于美国的 IT 风险监管起步较早，联邦金融机构检查委员会（FFIEC）在 1978 年已经开始建立信息系统评级体系，比着名的 CAMELS 评级体系还早一年。但直到 20 世纪 90 年代中期，信息科技风险监管才进入全面应用时期。美国的信息系统对于监管法规、风险管理方法、人才培养等方面都与金融产品和日后创新产品保持一致的步调，也就是说尽管金融产品信息化程度高但依然能够被纳入风险监管的范围内并使其金融产品在市场中健康运行。

　　由于美国银行监管机构继承了传统业务监管的法制健全，多头管理，分工细致，采用风险性监管等特点，出台了近百个有关 IT 风险监管的法律规范、标准和指南，并建立 URSIT信息科技监管评级体系。

　　URSIT（Uniform Rating System for Information Technology）是美国联邦机构金融检查委员会 FFIEC（Federal Financial Institutions ExaminationCouncil）制定的技术风险评价体系。

　　URSIT 是一个针对信息技术的内部量化评级系统，主要是为了评估那些需要特别关注的金融机构和 IT 服务提供商的信息系统环境和运行状况。URSIT 既可以协助检查人员评估风险、起草检查报告以抽取检查过程中发现的问题，也可以掌握和了解金融机构和 IT 服务提供商对风险监管的重视程度，是否能够充分认识到实施监管的必要性，又可以使检查人员系统地评价金融机构和IT服务提供商的整体风险及风险管理情况，从而采取相应的监督政策。2000 年 11 月 28 日，FFIEC 发布了IT 外包服务的风险管理规定，指导金融机构对 IT 外包的风险进行有效管理。

　　至此，为金融业 IT 外包服务的概念、管理和应用提出了强有力的依据，奠定了外包服务的风险管理基础。目前，美国的主要银行业监管机构都把银行信息安全监管作为全面风险管理的重要组成部分，内容包括对金融道德风险、外包服务、灾备系统、应急预案及银行卡组织等主要信息安全风险领域的监管。

　　欧洲等发达国家在 21 世纪之后逐步意识到信息化所暴露出的风险问题对金融业体系的危害，因此在共同利益的驱动下，其国际标准组织先后发布了信息安全法方面的一系列标准，主要包括 IOS27001《信息安全管理体系认证标准》、ISO27002《信息安全管理实践规范》、COBIT《信息系统和技术控制标准》，这些信息安全标准对金融也在实施信息化所面临的风险管理提供依据。

　　欧盟在防范恐怖袭击和网络犯罪以及保护信息基础设施安全等方面也采取了一定的措施。在 2002 年 4 月，公布了《电子欧洲 2005 行动计划》，提出信息安全方面的具体行动计划。旨在建立更为安全的信息化环境，形成打击网络犯罪的行动机制。在 2004 年 4 月，欧洲银行监管委员会发布了关于 IT 业务外包的一套原则并公开对外征求意见。此原则主要为欧洲银行并给予监管者一定指引。

　　2.1.2 国内信息系统风险管理相关制度研究

　　国内对银行信息系统风险管理的研究是在借鉴和学习国外发达国家实践和标准的基础上，根据我国的国情逐步研究和探索，仍处于初步阶段。通过研究表明，国内对于信息化风险管理的研究始于电子银行或网络银行的兴起以及客户资金安全的风险问题，因此对于信息化风险管理的起步滞后于金融市场发展。根据《商业银行信息科技风险管理指引》金融业中商业银行的信息系统风险管理策略包括但不限于的领域为信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全和业务连续性计划与应急处置。这些着作或文献均是从信息系统风险管理的几个领域进行研究。

　　国内学者在近年来开始注重对信息化风险管理的研究，主要涌现出一些代表性的着作和文献。从信息的分级与保护和访问控制角度：贺建华（2001）指出，对于网上银行的安全防范措施可以用“防、堵、滤、检、惩”五字来概括；从业务连续性计划方面分析：

　　张同建（2008）运用 URSIT 框架为研究基础，结合我国商业银行信息系统业务与技术流程的实地调查结果，通过因子分析方法得出：对于技术风险来讲，使用测评体系能够降低技术风险带来的系统主体损害程度，同时对银行业信息化建设中关键问题-技术能够起到推动作用；[19]从人员安全方面，吴卫芬（2008）探讨了我国银行对 IT 外包的风险管理对策、行业规制建设。[20]

　　从物理安全和信息系统开发方面，陆媛（2008）指出银行信息系统由于基于 IT 的专业性强，涉及领域广泛，包括软件技术、硬件技术、实施条件、制度管理、人才建设等多个学科，且信息技术风险是随着技术的革新和产品的变换日益复杂，因此对风险管理的要求也是不断的提高和改善。[21]

　　面临不同的技术其风险的复杂程度也有很大差异，因此在风险管理和控制上可以适当降低对传统信息系统的倾斜度，集中重点处理技术风险大，开放性高的信息化系统；在信息科技维护运行和应急处理方面，何茂春（2009）指出信息科技风险管理成为银行的重要风险管理之一，但目前欠缺对定量的管理方式。信息系统事件量化定级是对银行信息科技风险量化的探索。这种探索可以分别从事件级别的发生概率、严重性、后果等关键因素的基本属性进行评估分析，并对事件等级进行量化衡量，按照加权处理的原则，结合设定的对应等级数值表对照，给出定级，为后续的事件处理提供依据。此方法可以根据各自银行业务的自身要求给出评级，灵活度较高。[22]

　　从理论研究来看，近年来国内学者不断提高对信息系统风险管理的研究和探索，结合各级部门出台的一系列有关信息安全和金融安全的法律法规和标准规范，对我国的银行业的信息系统风险管理都起到了推进作用。但是，由于银行业本身的特殊性，在实际应用中，如何将法规标准和指引与自身各项金融产品和业务发展相结合仍处于不断探索实践阶段，特别是在保障银行业务连续性的基础上在实施过程中的执行力和发现的漏洞等方面的风险管理研究还有待加强。[23]

　　2.2 银行信息系统操作风险管理研究现状

　　《新巴塞尔协议》对风险管理的概念进一步强化，对银行业的监管不仅要有统一的风险管理战略，风险管理政策，风险管理制度，风险管理文化，也要在围观操作层面上考虑包括信用风险，市场风险，操作风险等在内的各种风险管理，而信息化风险已成为操作风险的重要管理内容之一。

　　2.2.1 国外关于商业银行操作风险现状

　　从国外银行业的发展历程来看，操作风险在银行风险管理中占有重要的地位，对于操作风险的多样性所带来的危害也成为银行面临风险管理的新挑战。随着金融业产品的不断更新换代，西方商业银行操作风险的发生概率有明显升高的趋势，由操作风险带来的损失也明显增长，其有些损失属于无法逆转的。巴林银行因为疏忽操作风险管理而致使倒闭事件给全球金融机构敲响了警钟。

　　在这之后，美国、英国、日本等国的国际大型银行都存在因各样操作风险导致的重大损失，这都说明操作风险的表现形式越发多样化，涉及的范围日益广泛，而由于信息化所引致的操作风险也成为又一隐患。

　　根据巴塞尔银行委员会于 2002 年 6 月开始进行的“操作风险损失数据调查”（LDCE），可以分析目前国际活跃银行所面临的主要操作风险。调查数据分布在 89家国际活跃银行在 2001 年中所发生的操作风险的相关数据，汇集了超过 47000 个损失事件，选择损失事件的阀值是 10,000 欧元。表 1 是对银行提交的损失信息按照巴塞尔委员会定义的 8 种业务线和 7 种操作风险事件类型进行的细化。表中每个小格里上面的数据分别表示损失事件数和在总损失事件中所占比重，下面的数据表示损失额度和在总损失额度中所占比重。

　　综合操作风险损失事件的发生频率与损失程度两方面因素分析，外部欺诈、实体资产损失和执行、交割及流程管理是对国际活跃银行影响较大的三种操作风险损失事件类型。而从巴塞尔委员会对此三种损失事件类型的定义可以看出，国际活跃银行操作风险主要有两方面的成因：一是银行外部因素，如第三方盗窃和欺诈、自然灾害和恐怖袭击或非客户对手方的失误；二是银行内部因素，如业务操作过程中的各种失误，此类内部原因主要为非主观、非故意的失误。

　　从巴塞尔委员会对操作风险的界定来看，操作风险包括了人员、程序、系统和外部事件四个风险因子。降低操作风险，也就是要降低这四个风险因子的发生概率。

　　在银行业大数据和高信息化管理的当今，所有操作的前提都是以 IT 网络为依托，业务产品为指导方向，因此四个风险因子的管理其实质就是有效监管信息化系统与人员之间的关系，利用程序防控操作风险，利用制度规范人员，程序与制度均要随着产品和市场需求不断完善建设。

　　2.2.2 国内关于商业银行操作风险现状

　　国内对于操作风险方面的研究与国际关于操作风险方面的研究比较来说起步比较晚，管理方式相对粗放，由于金融产品和金融市场与国外相比较为单一，因此监管制度和风险管理能力都存在一定的漏洞和不足之处。其主要存在以下几点问题： （1）操作风险发生多在基层：银行的管理结构多为金字塔形，由此基层机构数量最多，大要案及违规事件发生率较高，除管理结构本身造成的风险管理困扰外，管理人员管控松懈不到位，责任制不明确，培训力度不足等都是造成银行操作风险频繁发生的重要因素；（2）制度流程和信息系统结合不好导致不足以约束其人员行为规范，使得很多操作出现真空监管，钻空子躲避监管。另外，流程制度的不合适无法匹配日新月异的金融产品和业务发展。银行的总分行制特征使得管理链条衔接不当，各个部门各自为战，规章制度没有统筹化梳理；（3）管理工具匮乏，国内银行普遍缺乏量化的操作风险识别和评估工具。无法为事件预警并提供量化的可参考的意见。（4）IT 系统日益显露出巨大的不足，表现在对 IT 投入不足，系统林立，系统间的勾连核对功能不足，系统规划不足与建设滞后使得监控功能难以发挥作用。此外，系统的风险管理控制功能缺陷与手工操作的增加也是形成操作风险难以及时发现风险的重要原因。

　　但因近几年银行业逐渐意识到操作风险带来的威胁隐患，相应地研究成果和实践也开始逐步倾斜于操作风险管理，其成果可以进行以下几个方面的归纳：（1）一些学者通过对巴塞尔协议相关内容的解读，结合银行业自身状况对国内商业银行在日常运营过程中操作风险的定义、分类、特征重新归类界定。另一些学者在解读新巴塞尔协议中操作风险的度量方法和管理框架介绍的基础上提出了对国内商业银行操作风险的重要启示。（2）相关计量模型的介绍和研究也有了新成果。例如陈瑛（2004）从新巴塞尔资本协议出发，通过分析我国商业银行操作风险管理的现状，在风险管理方面系统地提出改进措施。[31]杨晔、何焱（2010）在对操作风险计量时采用的方法为损失分布法，使得国内商业银行在责任制的管理制度上更加注重数据的积累和整理工作。[32]韩超（2011）通过介绍几种操作风险的度量方法和各自特点，揭示了我国商业银行面临的操作风险主要问题，最终提出了合理化的建议。[33]

　　2.3 银行信息系统风险管理方法论综述

　　2.3.1 信息系统风险管理体系概述

　　我国银行信息系统风险管理分为广义和狭义两种。从广义上讲，主要包括银行系统运行过程中的信息化风险管理机构，信息安全制度，信息化风险管理识别、评估与应对策略，以及信息化风险管理监控等，是由管理平台、运行平台以及技术平台三部分所组成的一个庞大的体系结果；从狭义上讲，可以将我国银行信息系统风险管理体系简单理解为保证银行信息安全的方法和策略。

　　本文主要基于广义上的理解。总体来说，在笔者看来银行信息系统风险管理实际上是我国以商业银行信息系统发展规划和信息安全现状的基础而提出的一种站在风险管理角度上构建的信息安全保障体系。它是对信息安全保障体系实施的一种动态过程。可以这么理解，信息安全保障体系就是信息系统风险管理的根本。在以往的概念中许多人认为只要不断提升技术层面处理能力就是对风险管理的关键因素。但随着信息化系统的所暴露出的问题和风险事件看，类似于信息系统泄密、恶意攻击等一系列操作风险均是因为信息安全管理的缺失而非人为造成的。

　　由此可知，再先进的技术不过是构建信息安全的手段，它需要有完善的信息安全管理作为基础。在频发的商业银行信息事故中，建立信息系统风险管理体系是实施信息系统风险管理的指引方向，而对信息系统风险的识别评估是提出应对策略的基础，也是为风险管理监控提供了方式方法。

　　我国的信息系统风险管理是以信息安全保障体系为总体框架，借鉴了国外领先的相关行业标准、技术标准以及风险管理理念，结合我国自身的行业发展情况和规划而制订的。在信息安全保障体系下分别从“物理安全”、“运行安全”、“数据安全”三大方面确保信息系统以可用性，完整性，保密性，可控性等特征来进行风险管理。

　　它能够运用人力，技术和管理等因素形成对风险识别，估计和评价的反馈体系。其总体架构分为四部分内容：信息安全政策体系、信息安全管理体系、信息安全运作体系及信息安全技术体系的设计结构。信息安全政策是一切信息安全管理的基础，它是技术标准，管理制度和管理指引细则。剩余的三部分体系是从上述提到的物理安全，运行安全和数据安全三个角度保障管理工作有序进行。

　　2.3.2 信息系统风险管理的指引

　　常见的信息安全保障体系参考标准通常有 BS7799 标准、COBIT 标准、ITIL 标准、ISO13335 标准、SSE-CMM 标准等。每个标准都有其适用范围和领域，但其宗旨就是保障信息系统的安全稳定从而达到风险管理的目标。BS7799 标准是英国标准协会于 1995 年制定的信息安全标准，主要适用于负责信息安全系统开发人员和指出实施机构遵循风险评估指标；ISO13335 标准是一个信息安全管理指南，其目的是提供如何有效地实施 IT安全管理的建议。

　　近年来，我国各监管部门为适应金融产品多样化和银行业发展不断提出各类监管要求，对信息化风险管理方面更是提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有两大类，涉及国家标准文件的有 GB/T19716（信息技术信息安全管理使用规则），GB/T18336（信息技术安全性评估准则），GB/T22239（等级保护实施细则）等；涉及行业标准的有人民银行发布的《电子银行安全评估指引》、《商业银行信息科技风险管理指引》、公安部发布的《信息系统等级保护基本要求与实施指南》；同时我国根据日益多样的网络犯罪案，拟修改刑法，对网络犯罪进行界定。

　　这些法律法规、国家标准与行业标准，为金融机构开展信息科技风险管理提供了依据。2009 年 3 月银监会制订的《商业银行信息科技风险管理指引》（以下简称《指引》），该《指引》覆盖了信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、业务连续性管理、外包、审计等方面内容。此《指引》出台后，对信息科技风险的现场检查工作，完善信息科技风险现场和非现场监管体系起到一定指导作用。推进应急防范与信息化业务连续性水平的提高。这些已作为商业银行信息化风险控制的具体指南。

　　由此可知，可能导致我行操作风险发生的风险因素有很多种，但随着我行数据化和信息化的深入，其中由于信息科技系统软硬件建设的不完善所造成的操作风险已经成为我行治理风险、防范风险重要因素。因此，针对信息系统这单一的风险因素而分析信息科技系统产生的风险事故或事件已经成为定位风险管理范围的首要工作。

　　吉林银行信息系统的更新使信息系统风险管理成为吉林银行防控操作风险的新任务。信息系统运行过程中暴露出的问题现状已经成为促使信息科技风险因素发生从而引发操作风险概率上升的催化剂。伴随着业务种类复杂化和现有业务的日益优化需求，确保信息系统安全、稳定、有效运行成为降低操作风险发生概率的重要途径。