隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展、金融服務(wù)的創(chuàng)新和變革走向深入,信息技術(shù)已從銀行傳統(tǒng)后臺支持轉(zhuǎn)變成為市場競爭的核心能力之一。銀行IT的廣泛運用和飛速發(fā)展,同時也帶來了IT風險的爆發(fā)式增長,IT風險管控面臨重大挑戰(zhàn)。
  另一方面,在經(jīng)濟全球化的背景下,國內(nèi)銀行業(yè)為尋找新的利潤增長點,境外業(yè)務(wù)迅速擴張。截至2012年末,工、農(nóng)、中、建等四大行的境外分支機構(gòu)已經(jīng)遍布歐美、亞洲,甚至擴展到遙遠的非洲,在紐約、倫敦、東京、巴黎、迪拜等地設(shè)立的分支機構(gòu)達168個,招商銀行興業(yè)銀行、民生銀行等也逐步在香港、歐美、東南亞設(shè)立分支機構(gòu)。國內(nèi)銀行境外機構(gòu)擴張和發(fā)展離不開IT系統(tǒng)的支持,這些IT系統(tǒng)部署、運維大多在境內(nèi),IT系統(tǒng)的運維和管理如何適應(yīng)滿足駐在國(地區(qū))相對嚴格甚至“刁鉆”的IT監(jiān)管要求,成為國內(nèi)銀行亟待解決的重大問題。
  本文將重點研究有關(guān)國家及地區(qū)的金融監(jiān)管模式,分析境外銀行IT監(jiān)管狀況及其借鑒意義,為國內(nèi)銀行滿足所駐國家(地區(qū))的監(jiān)管要求、提升IT風險管控水平提供參考。
  境外金融業(yè)監(jiān)管的三種模式
  境外金融業(yè)監(jiān)管的模式主要分三種:一是以美國、加拿大為代表的“雙線多頭”,即在國家和州兩個層面分別設(shè)置多家監(jiān)管機構(gòu)實施分業(yè)監(jiān)管;二是以英國和香港為代表的“單線多頭”,監(jiān)管權(quán)力統(tǒng)一在國家層面,設(shè)置多家監(jiān)管機構(gòu)實施分業(yè)監(jiān)管,該模式還包含“雙峰”、“準雙峰”兩種特殊模式,即在國家層面由兩家監(jiān)管機構(gòu)分別負責業(yè)務(wù)經(jīng)營監(jiān)管和審慎監(jiān)管;三是以新加坡為代表的“集中單一”模式,在國家層面由*10的監(jiān)管機構(gòu)實施混業(yè)監(jiān)管。
  1.“雙線多頭”監(jiān)管模式
  美國以美聯(lián)儲(FED)為中心的“雙線多頭”監(jiān)管模式又稱“傘型”模式(如圖l所示),“雙線”指聯(lián)邦層和州政府層兩條線,“多頭”指各行業(yè)部設(shè)分業(yè)監(jiān)管機構(gòu)并分別發(fā)布法律法規(guī)。針對該模式下交叉監(jiān)管嚴重、存在監(jiān)管真空等問題,F(xiàn)ED牽頭組建了聯(lián)邦金融機構(gòu)監(jiān)管委員會(FFIEC)以協(xié)調(diào)各監(jiān)管機構(gòu),負責統(tǒng)一監(jiān)管政策及標準、對被監(jiān)管方進行指導并開展監(jiān)督檢查。在銀行IT監(jiān)管方面,F(xiàn)FIEC制定了“信息技術(shù)風險評級體系”(URSIT)對被監(jiān)管方IT管控情況進行評級,還針對IT監(jiān)管重點頒布指引手冊,指導被監(jiān)管方有效管控IT風險,并不定期組織現(xiàn)場檢查。加拿大的金融監(jiān)管模式與美國基本相同,但全國性監(jiān)管機構(gòu)扮演了更主要的角色,監(jiān)管較為統(tǒng)一和明確。
  
  2.“單線多頭”監(jiān)管模式
  英國于2013年初將金融監(jiān)管模式調(diào)整為“準雙峰”金融監(jiān)管模式(如圖2所示),英格蘭銀行金融政策委員會(FPC)作為宏觀審慎監(jiān)管機構(gòu)負責監(jiān)控和應(yīng)對系統(tǒng)風險,而審慎監(jiān)管局(PRA)和金融行為監(jiān)管局(FCA)作為英格蘭銀行下屬獨立機構(gòu)分別負責審慎監(jiān)管和業(yè)務(wù)經(jīng)營監(jiān)管,接受FPC的指導,其中銀行IT監(jiān)管主要由PRA負責。澳大利亞的“雙峰”模式與英國相近,但不設(shè)立類似FPC的指導機構(gòu),而是通過“雙峰”監(jiān)管機構(gòu)間互相協(xié)作來加強監(jiān)管。
  香港的金融監(jiān)管主要由財政司牽頭,由金融管理局(HKMA)、證券及期貨事務(wù)監(jiān)察委員會(SFC)、保險業(yè)監(jiān)理處(OCI)、強制性公積金計劃管局(MPFA)實施分業(yè)監(jiān)管,即分業(yè)金融監(jiān)管模式(如圖2所示)。HKMA在機構(gòu)拓展與營運板塊下設(shè)置了信息科技部門,配合風險管理與監(jiān)察部門對銀行IT實施監(jiān)管。
  
  歐盟的金融監(jiān)管模式類似于“單線多頭”,各成員國央行行長組成歐洲系統(tǒng)性風險委員會(ESRB),應(yīng)對宏觀風險。下設(shè)歐洲銀行業(yè)管理局(EBA)、歐洲證券及市場管理局(ESMA)、歐洲保險和職業(yè)養(yǎng)老金管理局(CEIOPS)分別對口銀行、證券、保險三行業(yè)。
  3.“集中單一”監(jiān)管模式
  新加坡金融管理局(MAS)負責對全國范圍的金融機構(gòu)進行全面監(jiān)管,不僅負責金融政策等宏觀方面的規(guī)劃,還負責現(xiàn)場檢查等細節(jié)方面的管控。IT監(jiān)管方面,MAS將IT風險列為8項主要風險之一實施重點監(jiān)管,MAS下設(shè)風險監(jiān)管部和銀行監(jiān)管部,履行銀行IT風險監(jiān)管職責。
  二、境外金融IT監(jiān)管現(xiàn)狀
  各國監(jiān)管機構(gòu)隨著金融服務(wù)、技術(shù)的創(chuàng)新在不斷深入和強化銀行IT監(jiān)管。各層面法律法規(guī)、政策指引、監(jiān)管手冊等陸續(xù)發(fā)布,監(jiān)管方式從政策法規(guī)引導、評級評價到非現(xiàn)場報備、現(xiàn)場檢查,十分多樣。監(jiān)管機構(gòu)所屬IT監(jiān)管部門專業(yè)化水平不斷提升,職責分工也更精細、明確。這其中,美國、歐盟、新加坡、香港等國家(地區(qū))的監(jiān)管比較具有代表性(多個國家、地區(qū)的監(jiān)管模式和具體機構(gòu)名稱詳見表1)。
  
  1.美國
  美國銀行IT監(jiān)管十分注重法律法規(guī)建設(shè)和監(jiān)管評級。“雙線多頭”模式下,各監(jiān)管機構(gòu)都會發(fā)布各自的監(jiān)管法規(guī)和指引,F(xiàn)FIEC作為協(xié)調(diào)機構(gòu),依據(jù)現(xiàn)行法規(guī)和指引編制了一系列IT指引手冊(IT booklet),涉及網(wǎng)銀、外包、操作、信息安全等12個方面,對如何識別、分析、預警和控制IT風險給出指導,是監(jiān)管機構(gòu)開展IT檢查的重要依據(jù),也是銀行完善IT管理的基準文件。監(jiān)管評級方面,F(xiàn)FIEC利用URSIT(美國金融業(yè)技術(shù)風險評級體系)系統(tǒng)性地評價銀行的整體風險管理情況,并納入銀行“駱駝信用評級體系”(CAMEL),使IT風險在銀行總體風險中得到體現(xiàn)。URSIT與IT指引手冊緊密結(jié)合,監(jiān)管機構(gòu)可依據(jù)URSIT級別,對銀行開展相應(yīng)級別的監(jiān)督檢查。
  值得一提的是,美國非常重視對IT外包的監(jiān)管,強調(diào)“服務(wù)外包,責任不外包”,在法律上授予監(jiān)管機構(gòu)對IT外包服務(wù)商等同于銀行的監(jiān)管權(quán)(《銀行服務(wù)公司法》)。截至2011年底,F(xiàn)FIEC已對約160個IT外包服務(wù)商進行了跟蹤檢查。
  2.新加坡
  新加坡在監(jiān)管體系上參考美國CAMEL體系,由MAS建立了“公共風險評估框架和技術(shù)”(CRAFT),對金融機構(gòu)進行風險等級評定,并依據(jù)其結(jié)果決定對金融具體的監(jiān)管策略。其中,IT風險是一個重要的評級指標,該指標關(guān)注設(shè)備宕機、系統(tǒng)錯誤、網(wǎng)絡(luò)漏洞、惡意軟件攻擊、黑客事件等重要風險點。采用這一評級體系,MAS有效地將IT風險評估納入銀行總體風險評價和評級,更好地提升了銀行業(yè)對IT風險的管控水平。在法律法規(guī)上,為有效應(yīng)對和管控諸如銀行卡支付、移動技術(shù)、虛擬化等IT新技術(shù)為銀行帶來的風險,MAS發(fā)布了《互聯(lián)網(wǎng)銀行和信息技術(shù)風險管理指引》,其內(nèi)容涉及客戶資料保護、外包管理、連續(xù)性等多方面內(nèi)容。
  組織結(jié)構(gòu)上,MAS下設(shè)的風險監(jiān)管部和銀行監(jiān)管部主要負責銀行業(yè)的IT監(jiān)管。風險監(jiān)管部為銀行監(jiān)管部提供IT風險管控建議,銀行監(jiān)管部則根據(jù)建議對不同類型的銀行進行具體的監(jiān)管。實際操作中,MAS根據(jù)每一家銀行對新加坡金融的影響程度、非現(xiàn)場報備信息及CRAFT評級所揭示的風險狀況,決定現(xiàn)場檢查頻率?,F(xiàn)場檢查一般以專項檢查為主,主要針對某一特定風險,必要時開展全面檢查。
  3.歐盟
  EBA在借鑒、融合ISO 27001(信息安全管理實用規(guī)則)、NIST 800(IT系統(tǒng)應(yīng)急計劃指南)的基礎(chǔ)上,2011年陸續(xù)發(fā)布了多個信息系統(tǒng)安全策略(Information System Security Policy),作為強制標準對信息系統(tǒng)的惡意代碼、日志與監(jiān)控、備份管理、訪問控制與身份認證、可移動代碼等進行規(guī)范。另外,EBA還發(fā)布了一系列指南,為銀行在內(nèi)控、外包管理、操作風險等領(lǐng)域的管理提供指導。
  在歐洲的信息系統(tǒng)安全策略中,可移動代碼標準(Standard on Mobile Code,SMC)相較于其他國家(地區(qū))的監(jiān)管更全面、具體,可執(zhí)行性也較高,在“如何選取可移動代碼技術(shù)”、“服務(wù)器端、客戶端規(guī)則”等都有詳實的闡述。該標準對當前銀行交易大量網(wǎng)絡(luò)化、移動化,各類插件、跨平臺程序安全隱患較大的現(xiàn)狀,有較大的參考價值。
  4.中國香港
  在中國香港地區(qū),HKMA定期對銀行機構(gòu)的IT風險管理、網(wǎng)上銀行管控措施以及業(yè)務(wù)連續(xù)性管理等進行審查,僅2012年組織審查就達20次,覆蓋79家銀行,其中就包括對電子銀行業(yè)務(wù)專項審查,以評估銀行對網(wǎng)上銀行、手機銀行及電話銀行等服務(wù)的風險管控以及對IT問題管理及變更管理的管控措施。
  對于積極拓寬海外市場的國內(nèi)銀行來說,在IT監(jiān)管方面首要目標是確保其境外分支機構(gòu)能夠滿足當?shù)乇O(jiān)管要求,其次才是吸收境外成熟經(jīng)驗為己用,借以提高自身IT風險管理水平。34
  除了開展審查活動,HKMA還通過發(fā)布一整套監(jiān)管政策手冊實現(xiàn)監(jiān)管指引和導向,手冊中包含IT風險監(jiān)管的綱領(lǐng)性文件——《科技風險管理的一般原則》。該文件作為手冊最重要的《風險管理的一般措施》的補充,將風險的范圍從傳統(tǒng)的貨幣相關(guān)風險拓寬到IT風險,表明了監(jiān)管當局對IT風險管理的極大關(guān)注。出于對電子銀行業(yè)務(wù)的重視,HKMA將電子銀行風險從一般科技風險中剝離出來重點管理,形成單獨的監(jiān)管文件《電子銀行的監(jiān)督》。除此之外,全套監(jiān)管手冊中還有多個文件與IT風險管理密切相關(guān)(如圖3所示)。
  
  隨著IT的不斷發(fā)展和進步,IT在銀行等金融機構(gòu)中的重要性不斷增強,特別是電子銀行業(yè)務(wù)在總體業(yè)務(wù)的占比越來越高,IT逐漸由輔助性工具轉(zhuǎn)變?yōu)楹诵母偁幜ΑEc此同時,IT風險的種類越來越多,其對銀行業(yè)務(wù)的影響也越來越大。為應(yīng)對各種IT風險,各國銀行監(jiān)管機構(gòu)都在不斷加大IT監(jiān)管投入,完善IT監(jiān)管法律法規(guī),監(jiān)管越來越精細化。而且各國監(jiān)管手段呈現(xiàn)趨同化態(tài)勢,大部分國家及地區(qū)都采用了指導指引和檢查相結(jié)合的方式,其中美國、新加坡等國家還引入評級機制,使得監(jiān)管更加有層次和針對性。
  三、銀行出海需強化IT風險監(jiān)管
  隨著經(jīng)濟全球化的不斷加快,無論是銀行業(yè)監(jiān)管機構(gòu)還是銀行均面臨著新的挑戰(zhàn),必須要結(jié)合全球金融IT發(fā)展趨勢和風險形勢,不斷完善、強化IT風險監(jiān)管水平。
  對監(jiān)管機構(gòu)而言,要借鑒境外IT監(jiān)管經(jīng)驗,改革金融監(jiān)管體制,完善監(jiān)管理念,加強IT風險監(jiān)管。一是要完善IT監(jiān)管立法,建立成套的法律法規(guī)體系,并結(jié)合IT風險特點編制針對性的監(jiān)管文件。二是要設(shè)立專職的IT風險監(jiān)管部門,組建專業(yè)的IT風險檢查隊伍,將IT風險重點管控起來。三是要擴展監(jiān)管范圍,重點對服務(wù)供應(yīng)商、電子銀行和客戶信息保護等重要和高風險領(lǐng)域進行重點監(jiān)管。
  從商業(yè)銀行的角度出發(fā),由于海外市場拓展的外在需求和IT風險管控水平提升的內(nèi)在動力,更需要把IT風險管控提升到戰(zhàn)略高度,將IT風險納入組織的全面風險管理體系,把IT風險管理作為常態(tài)化風險管理工作內(nèi)容。研究各國現(xiàn)行銀行IT監(jiān)管現(xiàn)狀,IT風險管控與傳統(tǒng)金融風險管控的有效融合、電子銀行安全、IT外包管控、客戶信息保護等是銀行IT監(jiān)管的熱點。國內(nèi)銀行,尤其希望在大力拓展海外業(yè)務(wù)的各大商業(yè)銀行,為保障境外分支機構(gòu)滿足當?shù)乇O(jiān)管要求,應(yīng)重點關(guān)注這些領(lǐng)域,積極借鑒境外銀行的成熟經(jīng)驗:
  一是要將IT風險管控與傳統(tǒng)金融風險管控有效融合。銀行可以將資本計量等傳統(tǒng)風險管理的方法靈活應(yīng)用在IT風險管理領(lǐng)域,同時突出強化風險管理部門在IT風險管理中“第二道防線”的作用,在保障管理專業(yè)性的前提下,將其融入日常全面風險管理體系中,融于日常業(yè)務(wù)中,真正做到對IT風險管理和傳統(tǒng)銀行業(yè)務(wù)風險管理一視同仁。
  二是電子銀行的風險管理。隨著互聯(lián)網(wǎng)金融的迅猛發(fā)展,對電子銀行領(lǐng)域的風險管控逐漸成為各國銀行的關(guān)注重點。巴塞爾委員會通過《電子銀行風險管理原則》來指導銀行規(guī)范電子銀行風險管理過程,香港金管局、新加坡金管局等也頒布過電子銀行管理指引。銀監(jiān)會也逐步重視該領(lǐng)域,已針對商業(yè)銀行組織過專項檢查。當前,銀行一方面可以基于自身運營所積累的電子銀行風險管理經(jīng)驗,并借鑒其他國家和地區(qū)的現(xiàn)有成熟經(jīng)驗和管理指引,規(guī)范電子銀行IT風險管理工作,防范風險;另一方面要充分利用防火墻、身份認證和日志審計等各種業(yè)內(nèi)成熟技術(shù)在事前、事中、事后管控好電子銀行風險。
  三是IT外包管理。出于成本和效率的考慮,銀行IT研發(fā)、運維均存在一定的外包行為,特別是一些中小型銀行,外包比重較大,這也使得IT外包一直被當作各國銀行IT監(jiān)管的重要關(guān)注領(lǐng)域。銀監(jiān)會十分重視該領(lǐng)域,不但出臺了《銀行業(yè)金融機構(gòu)外包風險管理指引》,而且專門針對IT外包頒布了《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》。從國外經(jīng)驗來看,最典型的是美國對IT外包服務(wù)商的直接監(jiān)管權(quán),其金融監(jiān)管機構(gòu)對IT外包商具有同等監(jiān)管權(quán)力。國內(nèi)目前雖無相關(guān)規(guī)定,但銀行也須主動對外包項目進行風險評估,對服務(wù)供應(yīng)商進行盡職調(diào)查,通過合同協(xié)議等手段從嚴加強IT外包商管理,掌握外包商資質(zhì)、技術(shù)水平、業(yè)務(wù)經(jīng)營狀況等信息,盡可能使IT外包風險可控,保障信息安全和業(yè)務(wù)連續(xù)性。
  四是客戶信息保護方面。隨著社會對個人信息保護的日益重視,以及公眾個人信息保護意識的日益增長,近年來我國銀行業(yè)越來越重視對客戶信息的保護,但相對一些發(fā)達國家和地區(qū)仍起步較晚,未建立起成熟的全過程保護機制。美國FFIEC對數(shù)據(jù)資料的管理制定了一套比較詳細的控制措施,香港金管局在電子銀行監(jiān)管文件中也專門強調(diào)了對客戶身份與數(shù)據(jù)傳輸?shù)谋C苄砸?,這些規(guī)范與經(jīng)驗均可作為國內(nèi)銀行加強對客戶信息保護的借鑒。
  對于積極拓寬海外市場的國內(nèi)銀行來說,在IT監(jiān)管方面首要目標是確保其境外分支機構(gòu)能夠滿足當?shù)乇O(jiān)管要求,其次才是吸收境外成熟經(jīng)驗為己用,借以提高自身IT風險管理水平。僅按照國內(nèi)監(jiān)管要求對境外分支機構(gòu)IT后臺系統(tǒng)實施管理,無法完全滿足所駐國家(地區(qū))的監(jiān)管要求;完全照搬境外監(jiān)管機構(gòu)要求,對其IT后臺系統(tǒng)實施各種不同管理標準,成本又過高、可操作性差。由此,我們認為比較合理的方法是“拿來主義”和本地化相結(jié)合,取各國監(jiān)管之所長、結(jié)合國內(nèi)監(jiān)管模式和要求、整合形成全面統(tǒng)一的銀行IT風險管控體系,并把其運用到對所有系統(tǒng)的實際管理中,將能夠在實現(xiàn)IT風險管理水平整體提升的同時,也能很好地滿足各國監(jiān)管要求,適應(yīng)國內(nèi)銀行高速拓展海外市場的需求,加快推進中國金融業(yè)全球化拓展,助力我國融入全球經(jīng)濟體系的戰(zhàn)略目標。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報名2014年FRM考試的考生可按照復習計劃有效進行!另外,高頓網(wǎng)校2014年FRM考試輔導高清課程已經(jīng)開通,通過針對性地講解、訓練、答疑、??迹瑢W習過程進行全程跟蹤、分析、指導,可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費題庫:2014年FRM考試免費題庫
  考試輔導:FRM考試招生專題
  高清網(wǎng)課:FRM考試網(wǎng)絡(luò)課程