隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展、金融服務(wù)的創(chuàng)新和變革走向深入,信息技術(shù)已從銀行傳統(tǒng)后臺支持轉(zhuǎn)變成為市場競爭的核心能力之一。銀行IT的廣泛運(yùn)用和飛速發(fā)展,同時也帶來了IT風(fēng)險的爆發(fā)式增長,IT風(fēng)險管控面臨重大挑戰(zhàn)。
  另一方面,在經(jīng)濟(jì)全球化的背景下,國內(nèi)銀行業(yè)為尋找新的利潤增長點(diǎn),境外業(yè)務(wù)迅速擴(kuò)張。截至2012年末,工、農(nóng)、中、建等四大行的境外分支機(jī)構(gòu)已經(jīng)遍布?xì)W美、亞洲,甚至擴(kuò)展到遙遠(yuǎn)的非洲,在紐約、倫敦、東京、巴黎、迪拜等地設(shè)立的分支機(jī)構(gòu)達(dá)168個,招商銀行、興業(yè)銀行民生銀行等也逐步在香港、歐美、東南亞設(shè)立分支機(jī)構(gòu)。國內(nèi)銀行境外機(jī)構(gòu)擴(kuò)張和發(fā)展離不開IT系統(tǒng)的支持,這些IT系統(tǒng)部署、運(yùn)維大多在境內(nèi),IT系統(tǒng)的運(yùn)維和管理如何適應(yīng)滿足駐在國(地區(qū))相對嚴(yán)格甚至“刁鉆”的IT監(jiān)管要求,成為國內(nèi)銀行亟待解決的重大問題。
  本文將重點(diǎn)研究有關(guān)國家及地區(qū)的金融監(jiān)管模式,分析境外銀行IT監(jiān)管狀況及其借鑒意義,為國內(nèi)銀行滿足所駐國家(地區(qū))的監(jiān)管要求、提升IT風(fēng)險管控水平提供參考。
  境外金融業(yè)監(jiān)管的三種模式
  境外金融業(yè)監(jiān)管的模式主要分三種:一是以美國、加拿大為代表的“雙線多頭”,即在國家和州兩個層面分別設(shè)置多家監(jiān)管機(jī)構(gòu)實(shí)施分業(yè)監(jiān)管;二是以英國和香港為代表的“單線多頭”,監(jiān)管權(quán)力統(tǒng)一在國家層面,設(shè)置多家監(jiān)管機(jī)構(gòu)實(shí)施分業(yè)監(jiān)管,該模式還包含“雙峰”、“準(zhǔn)雙峰”兩種特殊模式,即在國家層面由兩家監(jiān)管機(jī)構(gòu)分別負(fù)責(zé)業(yè)務(wù)經(jīng)營監(jiān)管和審慎監(jiān)管;三是以新加坡為代表的“集中單一”模式,在國家層面由*10的監(jiān)管機(jī)構(gòu)實(shí)施混業(yè)監(jiān)管。
  1.“雙線多頭”監(jiān)管模式
  美國以美聯(lián)儲(FED)為中心的“雙線多頭”監(jiān)管模式又稱“傘型”模式(如圖l所示),“雙線”指聯(lián)邦層和州政府層兩條線,“多頭”指各行業(yè)部設(shè)分業(yè)監(jiān)管機(jī)構(gòu)并分別發(fā)布法律法規(guī)。針對該模式下交叉監(jiān)管嚴(yán)重、存在監(jiān)管真空等問題,F(xiàn)ED牽頭組建了聯(lián)邦金融機(jī)構(gòu)監(jiān)管委員會(FFIEC)以協(xié)調(diào)各監(jiān)管機(jī)構(gòu),負(fù)責(zé)統(tǒng)一監(jiān)管政策及標(biāo)準(zhǔn)、對被監(jiān)管方進(jìn)行指導(dǎo)并開展監(jiān)督檢查。在銀行IT監(jiān)管方面,F(xiàn)FIEC制定了“信息技術(shù)風(fēng)險評級體系”(URSIT)對被監(jiān)管方IT管控情況進(jìn)行評級,還針對IT監(jiān)管重點(diǎn)頒布指引手冊,指導(dǎo)被監(jiān)管方有效管控IT風(fēng)險,并不定期組織現(xiàn)場檢查。加拿大的金融監(jiān)管模式與美國基本相同,但全國性監(jiān)管機(jī)構(gòu)扮演了更主要的角色,監(jiān)管較為統(tǒng)一和明確。
  
  2.“單線多頭”監(jiān)管模式
  英國于2013年初將金融監(jiān)管模式調(diào)整為“準(zhǔn)雙峰”金融監(jiān)管模式(如圖2所示),英格蘭銀行金融政策委員會(FPC)作為宏觀審慎監(jiān)管機(jī)構(gòu)負(fù)責(zé)監(jiān)控和應(yīng)對系統(tǒng)風(fēng)險,而審慎監(jiān)管局(PRA)和金融行為監(jiān)管局(FCA)作為英格蘭銀行下屬獨(dú)立機(jī)構(gòu)分別負(fù)責(zé)審慎監(jiān)管和業(yè)務(wù)經(jīng)營監(jiān)管,接受FPC的指導(dǎo),其中銀行IT監(jiān)管主要由PRA負(fù)責(zé)。澳大利亞的“雙峰”模式與英國相近,但不設(shè)立類似FPC的指導(dǎo)機(jī)構(gòu),而是通過“雙峰”監(jiān)管機(jī)構(gòu)間互相協(xié)作來加強(qiáng)監(jiān)管。
  香港的金融監(jiān)管主要由財政司牽頭,由金融管理局(HKMA)、證券及期貨事務(wù)監(jiān)察委員會(SFC)、保險業(yè)監(jiān)理處(OCI)、強(qiáng)制性公積金計(jì)劃管局(MPFA)實(shí)施分業(yè)監(jiān)管,即分業(yè)金融監(jiān)管模式(如圖2所示)。HKMA在機(jī)構(gòu)拓展與營運(yùn)板塊下設(shè)置了信息科技部門,配合風(fēng)險管理與監(jiān)察部門對銀行IT實(shí)施監(jiān)管。
  
  歐盟的金融監(jiān)管模式類似于“單線多頭”,各成員國央行行長組成歐洲系統(tǒng)性風(fēng)險委員會(ESRB),應(yīng)對宏觀風(fēng)險。下設(shè)歐洲銀行業(yè)管理局(EBA)、歐洲證券及市場管理局(ESMA)、歐洲保險和職業(yè)養(yǎng)老金管理局(CEIOPS)分別對口銀行、證券、保險三行業(yè)。
  3.“集中單一”監(jiān)管模式
  新加坡金融管理局(MAS)負(fù)責(zé)對全國范圍的金融機(jī)構(gòu)進(jìn)行全面監(jiān)管,不僅負(fù)責(zé)金融政策等宏觀方面的規(guī)劃,還負(fù)責(zé)現(xiàn)場檢查等細(xì)節(jié)方面的管控。IT監(jiān)管方面,MAS將IT風(fēng)險列為8項(xiàng)主要風(fēng)險之一實(shí)施重點(diǎn)監(jiān)管,MAS下設(shè)風(fēng)險監(jiān)管部和銀行監(jiān)管部,履行銀行IT風(fēng)險監(jiān)管職責(zé)。
  二、境外金融IT監(jiān)管現(xiàn)狀
  各國監(jiān)管機(jī)構(gòu)隨著金融服務(wù)、技術(shù)的創(chuàng)新在不斷深入和強(qiáng)化銀行IT監(jiān)管。各層面法律法規(guī)、政策指引、監(jiān)管手冊等陸續(xù)發(fā)布,監(jiān)管方式從政策法規(guī)引導(dǎo)、評級評價到非現(xiàn)場報備、現(xiàn)場檢查,十分多樣。監(jiān)管機(jī)構(gòu)所屬IT監(jiān)管部門專業(yè)化水平不斷提升,職責(zé)分工也更精細(xì)、明確。這其中,美國、歐盟、新加坡、香港等國家(地區(qū))的監(jiān)管比較具有代表性(多個國家、地區(qū)的監(jiān)管模式和具體機(jī)構(gòu)名稱詳見表1)。
  
  1.美國
  美國銀行IT監(jiān)管十分注重法律法規(guī)建設(shè)和監(jiān)管評級。“雙線多頭”模式下,各監(jiān)管機(jī)構(gòu)都會發(fā)布各自的監(jiān)管法規(guī)和指引,F(xiàn)FIEC作為協(xié)調(diào)機(jī)構(gòu),依據(jù)現(xiàn)行法規(guī)和指引編制了一系列IT指引手冊(IT booklet),涉及網(wǎng)銀、外包、操作、信息安全等12個方面,對如何識別、分析、預(yù)警和控制IT風(fēng)險給出指導(dǎo),是監(jiān)管機(jī)構(gòu)開展IT檢查的重要依據(jù),也是銀行完善IT管理的基準(zhǔn)文件。監(jiān)管評級方面,F(xiàn)FIEC利用URSIT(美國金融業(yè)技術(shù)風(fēng)險評級體系)系統(tǒng)性地評價銀行的整體風(fēng)險管理情況,并納入銀行“駱駝信用評級體系”(CAMEL),使IT風(fēng)險在銀行總體風(fēng)險中得到體現(xiàn)。URSIT與IT指引手冊緊密結(jié)合,監(jiān)管機(jī)構(gòu)可依據(jù)URSIT級別,對銀行開展相應(yīng)級別的監(jiān)督檢查。
  值得一提的是,美國非常重視對IT外包的監(jiān)管,強(qiáng)調(diào)“服務(wù)外包,責(zé)任不外包”,在法律上授予監(jiān)管機(jī)構(gòu)對IT外包服務(wù)商等同于銀行的監(jiān)管權(quán)(《銀行服務(wù)公司法》)。截至2011年底,F(xiàn)FIEC已對約160個IT外包服務(wù)商進(jìn)行了跟蹤檢查。
  2.新加坡
  新加坡在監(jiān)管體系上參考美國CAMEL體系,由MAS建立了“公共風(fēng)險評估框架和技術(shù)”(CRAFT),對金融機(jī)構(gòu)進(jìn)行風(fēng)險等級評定,并依據(jù)其結(jié)果決定對金融具體的監(jiān)管策略。其中,IT風(fēng)險是一個重要的評級指標(biāo),該指標(biāo)關(guān)注設(shè)備宕機(jī)、系統(tǒng)錯誤、網(wǎng)絡(luò)漏洞、惡意軟件攻擊、黑客事件等重要風(fēng)險點(diǎn)。采用這一評級體系,MAS有效地將IT風(fēng)險評估納入銀行總體風(fēng)險評價和評級,更好地提升了銀行業(yè)對IT風(fēng)險的管控水平。在法律法規(guī)上,為有效應(yīng)對和管控諸如銀行卡支付、移動技術(shù)、虛擬化等IT新技術(shù)為銀行帶來的風(fēng)險,MAS發(fā)布了《互聯(lián)網(wǎng)銀行和信息技術(shù)風(fēng)險管理指引》,其內(nèi)容涉及客戶資料保護(hù)、外包管理、連續(xù)性等多方面內(nèi)容。
  組織結(jié)構(gòu)上,MAS下設(shè)的風(fēng)險監(jiān)管部和銀行監(jiān)管部主要負(fù)責(zé)銀行業(yè)的IT監(jiān)管。風(fēng)險監(jiān)管部為銀行監(jiān)管部提供IT風(fēng)險管控建議,銀行監(jiān)管部則根據(jù)建議對不同類型的銀行進(jìn)行具體的監(jiān)管。實(shí)際操作中,MAS根據(jù)每一家銀行對新加坡金融的影響程度、非現(xiàn)場報備信息及CRAFT評級所揭示的風(fēng)險狀況,決定現(xiàn)場檢查頻率。現(xiàn)場檢查一般以專項(xiàng)檢查為主,主要針對某一特定風(fēng)險,必要時開展全面檢查。
  3.歐盟
  EBA在借鑒、融合ISO 27001(信息安全管理實(shí)用規(guī)則)、NIST 800(IT系統(tǒng)應(yīng)急計(jì)劃指南)的基礎(chǔ)上,2011年陸續(xù)發(fā)布了多個信息系統(tǒng)安全策略(Information System Security Policy),作為強(qiáng)制標(biāo)準(zhǔn)對信息系統(tǒng)的惡意代碼、日志與監(jiān)控、備份管理、訪問控制與身份認(rèn)證、可移動代碼等進(jìn)行規(guī)范。另外,EBA還發(fā)布了一系列指南,為銀行在內(nèi)控、外包管理、操作風(fēng)險等領(lǐng)域的管理提供指導(dǎo)。
  在歐洲的信息系統(tǒng)安全策略中,可移動代碼標(biāo)準(zhǔn)(Standard on Mobile Code,SMC)相較于其他國家(地區(qū))的監(jiān)管更全面、具體,可執(zhí)行性也較高,在“如何選取可移動代碼技術(shù)”、“服務(wù)器端、客戶端規(guī)則”等都有詳實(shí)的闡述。該標(biāo)準(zhǔn)對當(dāng)前銀行交易大量網(wǎng)絡(luò)化、移動化,各類插件、跨平臺程序安全隱患較大的現(xiàn)狀,有較大的參考價值。
  4.中國香港
  在中國香港地區(qū),HKMA定期對銀行機(jī)構(gòu)的IT風(fēng)險管理、網(wǎng)上銀行管控措施以及業(yè)務(wù)連續(xù)性管理等進(jìn)行審查,僅2012年組織審查就達(dá)20次,覆蓋79家銀行,其中就包括對電子銀行業(yè)務(wù)專項(xiàng)審查,以評估銀行對網(wǎng)上銀行、手機(jī)銀行及電話銀行等服務(wù)的風(fēng)險管控以及對IT問題管理及變更管理的管控措施。
  對于積極拓寬海外市場的國內(nèi)銀行來說,在IT監(jiān)管方面首要目標(biāo)是確保其境外分支機(jī)構(gòu)能夠滿足當(dāng)?shù)乇O(jiān)管要求,其次才是吸收境外成熟經(jīng)驗(yàn)為己用,借以提高自身IT風(fēng)險管理水平。34
  除了開展審查活動,HKMA還通過發(fā)布一整套監(jiān)管政策手冊實(shí)現(xiàn)監(jiān)管指引和導(dǎo)向,手冊中包含IT風(fēng)險監(jiān)管的綱領(lǐng)性文件——《科技風(fēng)險管理的一般原則》。該文件作為手冊最重要的《風(fēng)險管理的一般措施》的補(bǔ)充,將風(fēng)險的范圍從傳統(tǒng)的貨幣相關(guān)風(fēng)險拓寬到IT風(fēng)險,表明了監(jiān)管當(dāng)局對IT風(fēng)險管理的極大關(guān)注。出于對電子銀行業(yè)務(wù)的重視,HKMA將電子銀行風(fēng)險從一般科技風(fēng)險中剝離出來重點(diǎn)管理,形成單獨(dú)的監(jiān)管文件《電子銀行的監(jiān)督》。除此之外,全套監(jiān)管手冊中還有多個文件與IT風(fēng)險管理密切相關(guān)(如圖3所示)。
  
  隨著IT的不斷發(fā)展和進(jìn)步,IT在銀行等金融機(jī)構(gòu)中的重要性不斷增強(qiáng),特別是電子銀行業(yè)務(wù)在總體業(yè)務(wù)的占比越來越高,IT逐漸由輔助性工具轉(zhuǎn)變?yōu)楹诵母偁幜ΑEc此同時,IT風(fēng)險的種類越來越多,其對銀行業(yè)務(wù)的影響也越來越大。為應(yīng)對各種IT風(fēng)險,各國銀行監(jiān)管機(jī)構(gòu)都在不斷加大IT監(jiān)管投入,完善IT監(jiān)管法律法規(guī),監(jiān)管越來越精細(xì)化。而且各國監(jiān)管手段呈現(xiàn)趨同化態(tài)勢,大部分國家及地區(qū)都采用了指導(dǎo)指引和檢查相結(jié)合的方式,其中美國、新加坡等國家還引入評級機(jī)制,使得監(jiān)管更加有層次和針對性。
  三、銀行出海需強(qiáng)化IT風(fēng)險監(jiān)管
  隨著經(jīng)濟(jì)全球化的不斷加快,無論是銀行業(yè)監(jiān)管機(jī)構(gòu)還是銀行均面臨著新的挑戰(zhàn),必須要結(jié)合全球金融IT發(fā)展趨勢和風(fēng)險形勢,不斷完善、強(qiáng)化IT風(fēng)險監(jiān)管水平。
  對監(jiān)管機(jī)構(gòu)而言,要借鑒境外IT監(jiān)管經(jīng)驗(yàn),改革金融監(jiān)管體制,完善監(jiān)管理念,加強(qiáng)IT風(fēng)險監(jiān)管。一是要完善IT監(jiān)管立法,建立成套的法律法規(guī)體系,并結(jié)合IT風(fēng)險特點(diǎn)編制針對性的監(jiān)管文件。二是要設(shè)立專職的IT風(fēng)險監(jiān)管部門,組建專業(yè)的IT風(fēng)險檢查隊(duì)伍,將IT風(fēng)險重點(diǎn)管控起來。三是要擴(kuò)展監(jiān)管范圍,重點(diǎn)對服務(wù)供應(yīng)商、電子銀行和客戶信息保護(hù)等重要和高風(fēng)險領(lǐng)域進(jìn)行重點(diǎn)監(jiān)管。
  從商業(yè)銀行的角度出發(fā),由于海外市場拓展的外在需求和IT風(fēng)險管控水平提升的內(nèi)在動力,更需要把IT風(fēng)險管控提升到戰(zhàn)略高度,將IT風(fēng)險納入組織的全面風(fēng)險管理體系,把IT風(fēng)險管理作為常態(tài)化風(fēng)險管理工作內(nèi)容。研究各國現(xiàn)行銀行IT監(jiān)管現(xiàn)狀,IT風(fēng)險管控與傳統(tǒng)金融風(fēng)險管控的有效融合、電子銀行安全、IT外包管控、客戶信息保護(hù)等是銀行IT監(jiān)管的熱點(diǎn)。國內(nèi)銀行,尤其希望在大力拓展海外業(yè)務(wù)的各大商業(yè)銀行,為保障境外分支機(jī)構(gòu)滿足當(dāng)?shù)乇O(jiān)管要求,應(yīng)重點(diǎn)關(guān)注這些領(lǐng)域,積極借鑒境外銀行的成熟經(jīng)驗(yàn):
  一是要將IT風(fēng)險管控與傳統(tǒng)金融風(fēng)險管控有效融合。銀行可以將資本計(jì)量等傳統(tǒng)風(fēng)險管理的方法靈活應(yīng)用在IT風(fēng)險管理領(lǐng)域,同時突出強(qiáng)化風(fēng)險管理部門在IT風(fēng)險管理中“第二道防線”的作用,在保障管理專業(yè)性的前提下,將其融入日常全面風(fēng)險管理體系中,融于日常業(yè)務(wù)中,真正做到對IT風(fēng)險管理和傳統(tǒng)銀行業(yè)務(wù)風(fēng)險管理一視同仁。
  二是電子銀行的風(fēng)險管理。隨著互聯(lián)網(wǎng)金融的迅猛發(fā)展,對電子銀行領(lǐng)域的風(fēng)險管控逐漸成為各國銀行的關(guān)注重點(diǎn)。巴塞爾委員會通過《電子銀行風(fēng)險管理原則》來指導(dǎo)銀行規(guī)范電子銀行風(fēng)險管理過程,香港金管局、新加坡金管局等也頒布過電子銀行管理指引。銀監(jiān)會也逐步重視該領(lǐng)域,已針對商業(yè)銀行組織過專項(xiàng)檢查。當(dāng)前,銀行一方面可以基于自身運(yùn)營所積累的電子銀行風(fēng)險管理經(jīng)驗(yàn),并借鑒其他國家和地區(qū)的現(xiàn)有成熟經(jīng)驗(yàn)和管理指引,規(guī)范電子銀行IT風(fēng)險管理工作,防范風(fēng)險;另一方面要充分利用防火墻、身份認(rèn)證和日志審計(jì)等各種業(yè)內(nèi)成熟技術(shù)在事前、事中、事后管控好電子銀行風(fēng)險。
  三是IT外包管理。出于成本和效率的考慮,銀行IT研發(fā)、運(yùn)維均存在一定的外包行為,特別是一些中小型銀行,外包比重較大,這也使得IT外包一直被當(dāng)作各國銀行IT監(jiān)管的重要關(guān)注領(lǐng)域。銀監(jiān)會十分重視該領(lǐng)域,不但出臺了《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險管理指引》,而且專門針對IT外包頒布了《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管指引》。從國外經(jīng)驗(yàn)來看,最典型的是美國對IT外包服務(wù)商的直接監(jiān)管權(quán),其金融監(jiān)管機(jī)構(gòu)對IT外包商具有同等監(jiān)管權(quán)力。國內(nèi)目前雖無相關(guān)規(guī)定,但銀行也須主動對外包項(xiàng)目進(jìn)行風(fēng)險評估,對服務(wù)供應(yīng)商進(jìn)行盡職調(diào)查,通過合同協(xié)議等手段從嚴(yán)加強(qiáng)IT外包商管理,掌握外包商資質(zhì)、技術(shù)水平、業(yè)務(wù)經(jīng)營狀況等信息,盡可能使IT外包風(fēng)險可控,保障信息安全和業(yè)務(wù)連續(xù)性。
  四是客戶信息保護(hù)方面。隨著社會對個人信息保護(hù)的日益重視,以及公眾個人信息保護(hù)意識的日益增長,近年來我國銀行業(yè)越來越重視對客戶信息的保護(hù),但相對一些發(fā)達(dá)國家和地區(qū)仍起步較晚,未建立起成熟的全過程保護(hù)機(jī)制。美國FFIEC對數(shù)據(jù)資料的管理制定了一套比較詳細(xì)的控制措施,香港金管局在電子銀行監(jiān)管文件中也專門強(qiáng)調(diào)了對客戶身份與數(shù)據(jù)傳輸?shù)谋C苄砸?,這些規(guī)范與經(jīng)驗(yàn)均可作為國內(nèi)銀行加強(qiáng)對客戶信息保護(hù)的借鑒。
  對于積極拓寬海外市場的國內(nèi)銀行來說,在IT監(jiān)管方面首要目標(biāo)是確保其境外分支機(jī)構(gòu)能夠滿足當(dāng)?shù)乇O(jiān)管要求,其次才是吸收境外成熟經(jīng)驗(yàn)為己用,借以提高自身IT風(fēng)險管理水平。僅按照國內(nèi)監(jiān)管要求對境外分支機(jī)構(gòu)IT后臺系統(tǒng)實(shí)施管理,無法完全滿足所駐國家(地區(qū))的監(jiān)管要求;完全照搬境外監(jiān)管機(jī)構(gòu)要求,對其IT后臺系統(tǒng)實(shí)施各種不同管理標(biāo)準(zhǔn),成本又過高、可操作性差。由此,我們認(rèn)為比較合理的方法是“拿來主義”和本地化相結(jié)合,取各國監(jiān)管之所長、結(jié)合國內(nèi)監(jiān)管模式和要求、整合形成全面統(tǒng)一的銀行IT風(fēng)險管控體系,并把其運(yùn)用到對所有系統(tǒng)的實(shí)際管理中,將能夠在實(shí)現(xiàn)IT風(fēng)險管理水平整體提升的同時,也能很好地滿足各國監(jiān)管要求,適應(yīng)國內(nèi)銀行高速拓展海外市場的需求,加快推進(jìn)中國金融業(yè)全球化拓展,助力我國融入全球經(jīng)濟(jì)體系的戰(zhàn)略目標(biāo)。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報名2014年FRM考試的考生可按照復(fù)習(xí)計(jì)劃有效進(jìn)行!另外,高頓網(wǎng)校2014年FRM考試輔導(dǎo)高清課程已經(jīng)開通,通過針對性地講解、訓(xùn)練、答疑、???,對學(xué)習(xí)過程進(jìn)行全程跟蹤、分析、指導(dǎo),可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費(fèi)題庫:2014年FRM考試免費(fèi)題庫
  考試輔導(dǎo):FRM考試招生專題
  高清網(wǎng)課:FRM考試網(wǎng)絡(luò)課程