首页> 图书频道> 经管> 投资理财

2.2.1  商业银行研发风险监管现状概述

2025年09月26日
版权
2.2.1 商业银行研发风险监管现状概述

本书第一章探讨了研发风险在商业银行全面风险管理体系中的位置。当前,商业银行对信息科技风险的监管理念、方法等相对成熟,监管体系已经基本建立。研发风险作为信息科技风险的一部分,其监管工作已纳入商业银行信息科技风险监管范畴,因此可以从对信息科技风险监管现状的研究中窥得研发风险监管现状。

1.国际监管现状

(1)美国监管现状 美国的信息科技风险监管起步较早。20世纪20年代,美国信息科技风险监管进入高速发展时期,监管策略、法规、方法、人才培养等方面迅速发展,成为世界上对银行信息科技风险监管最细致、最全面的国家。

在监管策略上,美国银行业金融机构认为,信息科技监管是整体金融监管的有机组成部分,健全的信息科技风险管理应由四大部分组成,即董事会和高管层的有效监督,充分的风险管理策略、审批程序和约束条款,具备风险评估、监测和控制的管理信息系统,全面的内部控制。

在实际操作上,美国联邦金融机构检查委员会建立了审计、管理、开发与获取、支持与交付四个考察评估项目。在监管手段上,美国建立了对信息科技风险的评估方法和检查规范,综合运用风险矩阵及评估指标、检查手册来进行信息科技风险监管[14]。

(2)荷兰监管现状 荷兰中央银行是国际上较早开始关注信息科技风险的监管机构之一。在20世纪90年代就有针对电子数据处理的审计检查。近些年,其监管目标更加关注整个银行业的风险,并开始思考企业文化和管理者行为对风险的影响。

在监管策略上,荷兰央行提出金融机构风险管理应具备“三道防线”,一是管理和控制措施的拥有者;二是内控、风险、合规部门;三是内部审计,整个风险管理过程必须受到监事会、审计委员会的监督。

在操作层面上,荷兰央行将专业化的信息科技监管重点集中在规模较大的金融机构上,特别对大型的机构指定信息科技主监管员并进行年度检查,对中等规模机构原则上每三年进行一次检查。

在监管手段上,荷兰央行对金融机构采用FIRM(金融机构风险管理)评级,通过综合评级将金融机构风险由低到高分为T1至T4级别,并据此规划监管资源、安排监管计划。信息科技风险属于FIRM中的十类风险之一,包括战略和决策、安全、可控性、连续性四个方面[14]

2.我国监管现状

在我国,商业银行的监管机构主要为中国人民银行和银监会。从职能上讲,中国人民银行的监管侧重于金融监管,监管定位于防范和化解金融风险、维护金融安全与稳定。近年来,随着信息科技重要性的提升,中国人民银行也开展了关于信息科技风险的监管工作,例如,要求商业银行每年填报的非现场监管报表中含有信息科技相关的各类监管指标,2008年组织开展了针对商业银行信息科技的奥运安保检查,2012年发布了《金融行业信息系统信息安全等级保护实施指引》等三项行业标准。

银监会具有对银行业金融机构的业务活动及其风险状况进行现场检查和非现场监管的职能。信息科技风险是银监会对商业银行监管的重要方面之一。经过多年的实践和经验总结,银监会已经建立了符合我国实际情况的商业银行信息科技监管框架。

2003年,银监会成立时即确定了银行业信息科技监管目标是防范和化解银行业信息科技风险,保护广大存款人和客户的合法权益,保障银行业信息科技服务稳健运行,维护公众对银行业的信心,促进银行业信息化建设发展。

2006年后,银监会制定和发布了一系列信息科技监管制度,内容涉及整体信息科技风险管理、数据中心、重要信息系统投产变更、重要信息系统突发事件、信息科技非现场监管报表、信息科技现场检查、信息科技风险评估体系、信息科技风险内部评级体系、分支机构信息科技风险快速巡查等,包含非现场监管、现场检查、风险评估与监管评级、风险控制、持续监管五大环节的监管体系基本构建完成,如图2-2所示[14]

978-7-111-51949-2-Part01-15.jpg

图2-2 银监会信息科技监管框架

(1)非现场监管 以银行业金融机构信息科技非现场监管报表作为风险信息采集、识别和监测的主要手段,收集各行的信息科技治理、信息科技风险管理、信息安全、系统开发和测试、信息科技运维、外包、业务连续性、审计等重点风险领域数据。报表中分散有各重要风险领域的关键指标,以利于风险识别和监测。

(2)现场检查 主要分为全面检查和专项检查两类,是识别机构单体高风险、定位信息科技风险管理重大缺陷、传导监管要求、核实信息科技风险实际状况、提供更为准确的风险评估依据的最直接而有效的方式。

(3)风险评估与监管评级 通过评估机构信息科技固有风险水平、相应的控制措施有效性,对机构的整体风险状况进行评估,识别机构所面临的风险种类、风险水平以及风险管控能力。在评估的基础上,利用评级模型进一步综合考量机构的风险水平和控制能力,则可产生监管评级结果。

(4)风险控制 根据风险识别、评估结果,采取适当的监管手段督促银行消减、控制风险,如风险提示、资本计提、市场准入、行业通报、专项治理、行业规范等方式。

(5)持续监管 “风险为本”的信息科技监管目标,就是要形成监管长效机制。无论是银行业信息科技风险管理,还是银监会信息科技监管,都需要不断改进完善,形成一个及时识别监测、持续控制、反复修正、循环推进的闭环过程[14]

中国香港金管局开展信息科技监管工作已近10年。监管重点主要集中在公共突发事件、网上银行、数据安全、信息科技变更和事件管理等方面,并针对不同领域推出相应的监管手段。监管策略上,将信息科技风险监管要求进行充分传达,随后持续监管和审查风险,同时鼓励机构通过监管控制和自评估提高自身风险识别和防范能力。在操作中,初期选取较大机构重点监管,随后过渡到根据监测结果选取高风险机构进行监管。同时,逐年开展专项监管整治活动,如2003年非典后进行的“广泛爆发流感的威胁和业务持续运作计划”专题检查等。

在监管手段上,香港开发了信息科技风险概览,根据收集的机构资料进行分析,据此制定现场检查计划,系统分析信息科技风险现状和发展趋势,并将所有风险事故信息保存在系统中[18]