信息科技和互联网技术日新月异的发展，为传统银行业带来了革命性的变化，不仅为商业银行的经营管理、产品创新和风险控制提供了新的思路、方法和工具，也成为银行在激烈的市场竞争中抢占制高点的关键要素。可以说，掌握和运用金融科技如今已经成为银行的核心竞争力。

　　银行IT风险的主要特点

　　从风险的属性来看，信息科技风险是银行操作风险的重要组成部分，具体而言，就是商业银行在运用信息科技的过程中，由于受到自然因素、人为因素、技术漏洞和管理缺陷影响而产生的风险。与其他领域的风险相比，信息科技风险具有以下主要特点：

　　信息科技风险具有突发性，应急处置难度大。从科技风险发生的过程来看，外界因素的突然变化往往引致风险事件的触发，如自然灾害、电子元器件故障、电力中断和网络瘫痪等。这些因素不但难以预测，而且也经常疏于防范，因此一旦发生，将立即对银行整体信息科技系统产生巨大的影响。同时，由于信息科技风险的突发性，银行在处置应急事件时也处于被动地位，需要在短时间内对风险发生的原因、路径做出分析并找到解决方法，这也给银行提出了更高的挑战。2011年3月，日本第二大银行集团瑞穗金融集团子公司瑞穗银行的电脑系统受到大地震影响，连续出现大规模故障，行长引咎辞职。

　　信息科技风险具有隐蔽性，日常管理难以发觉。目前，银行主要业务流程均已实现信息化，业务的开展主要依托信息平台。但是，由于应用系统的设计者对银行业务流程的不熟悉，或是对风险点的考虑不周全，往往在系统设计之初就留下了缺陷。这些缺陷往往存在于系统底层，通过日常管理和维护难以发觉，只有经过长期大规模应用后才能逐渐被发觉，体现出较强的隐蔽性。2006年，由于工商银行纸黄金交易系统存在漏洞，樊某和宋某利用2.7万元本金，在短短十天内就获利2100万元，虽然最后经法院审理撤消了相关交易，但给银行引发了巨大的声誉风险。

　　信息科技风险的影响范围具有广泛性，破坏性很强。在当前银行数据大集中的背景下，一旦总行核心系统和主干网络出现故障或受到攻击，将立刻传导到各分支结构引发连锁反应，造成全行性的业务停顿和与客户流失的灾难性后果。商业银行的强外部性也使得银行的风险容易外化，成为个人、企业乃至经济运行整体的风险，因此一旦信息科技系统出险，也将波及银行体系外的经济活动参与者，造成无法估量的损失。2007年12月，招商银行(600036,股吧)因运行中心核心网络设备出现故障，造成业务无法正常进行，中断营业近1个小时。

　　信息科技风险具有专业性强，复杂程度高。作为金融业务与信息技术结合的产物，信息科技风险不但兼具两者的专业性特点，而且由于技术交叉，又衍生出了新的特点。特别是近年来，伴随着新兴技术的快速发展，网络攻击、木马钓鱼、黑客病毒的技术水平越来越高，银行的处置的难度也越来越大，需要不断提升自身防范能力和技术水平，才阻断风险发生和蔓延的路径。2011年，荷兰合作银行受到分布式拒绝服务（DDoS）攻击，致使其网络银行和移动银行服务几乎完全瘫痪，造成客户无法登陆网银和手机银行，严重影响了该业务的正常使用。

　　境外银行IT风险监管的主要做法

　　作为操作风险的重要组成部分，对信息科技风险的监管已成为国外监管当局关注的重点之一。新巴塞尔资本协议明确提出信息科技风险是操作风险的重点，巴塞尔委员会发布的《操作风险管理和监管的良好作法》也同样适用于对信息科技风险，银行应建立业务条线管理、独立的法人操作风险管理部门和独立的评估与审查这三道防线，对信息科技风险进行全面管理。从实践经验来看，各国监管当局主要采取以下做法，加强对信息科技风险的监管：

　　发布监管文件、指引。美国在1999年颁布金融现代化法案，规定金融机构必须实行安全计划来保护客户个人信息，是目前众多信息科技风险监管法规和监管指引的基础。随后，美国联邦存款保险公司（FDIC）发布《信息科技检查程序》（Information Technology Examination Procedures）和《金融机构使用国外第三方服务提供商指引》（Guidance for Financial Institutions on the Use of Foreign-Based Third-Party Service Providers）等文件，为商业银行进行科技风险管理提供了指引和框架。新加坡金管局（MAS）也于2008年发布了《网上银行和科技风险管理指引》（Internet Banking and Technology Risk Management Guidelines）。

　　监管评级。美国联邦金融机构检查委员会（FFIEC）制定了统一技术风险评级标准（Uniform Rating System for Information Technology），用于评估金融机构和IT服务提供商的技术风险，详细了解被监管机构的信息科技风险敞口，从而采取相应的监管政策。荷兰央行对金融机构采用FIRM（金融机构风险管理）评级，通过综合评级将金融机构风险由低到高分为T1至T4级别，并据此规划监管资源、安排监管计划。

　　加强对外包服务的监管。澳大利亚审慎监管署（APRA）要求被监管机构应当对第三方服务协议和水平进行持续监测，尽职调查服务供应商的服务水平和潜在风险，关注服务协议内容对IT安全框架的影响，并建立服务报告机制。美国银行服务公司法案（Bank Service Company Act）规定，监管机构对第三方技术服务提供商具有同等的监管权力，多家监管机构“轮流主持”，每两年确定一个主监管机构，主导对第三方技术服务提供商的监管。

　　现场检查。香港金管局年报披露，2011年香港金管局共实施了18项针对信息科技、网上银行及业务操作风险的现场检查，并计划于2012年进行专题审查，以评估被监管机构对通过网上银行、手机银行及电话银行服务进行的交易的安全管控，以及对信息科技问题及变更管理程序所实行的管控措施。

　　国内银行IT风险监管问题

　　银行间信息科技水平差距较大，基层银行信息科技风险管理能力薄弱。以工商银行为代表的大型银行在信息科技领域进入较早，把大量的人力、物力、财力资源投向信息科技建设，因此在信息科技基础设施、核心系统建设、系统数据集中建设等方面都取得了非常突出的成绩，部分领域还走在了国际前列。但是大部分中小银行，特别是城市商业银行和农村金融机构等基层机构，由于受到先天不足等因素的影响，银行信息科技建设普遍滞后，信息科技风险的防控意识还很淡漠，防控手段也十分有限。

　　董事会、高管层重视不够，技术、业务、风险部门沟通协调不足。虽然银行的董事会和高管层已逐渐认识到信息科技对于提高经营效率、防范经营风险的巨大作用，但是在深层次上依然把信息科技风险理解为“技术问题”，没有把科技治理和信息科技风险防控提高到银行发展战略的高度上来。而技术部门、业务部门和风险部门也由于缺乏相应的协调机制，彼此有效沟通不足，因此容易形成“各说各话”的局面，对信息科技风险的认知不够全面具体，仅仅作为低层次的“操作问题”，缺乏有效的治理架构。

　　科技软硬件设施基础薄弱，灾备应急能力不足。受技术水平和投入资源的限制，部分国内银行在科技软硬件设施建设还存在许多问题，核心设备存在单点故障隐患和性能不足的问题，一旦出现故障，将直接导致核心网络系统瘫痪。计算机机房、网络构架、防火墙建设不达标的问题时有发生。同时，作为信息科技风范防范的重要环节，我国银行在灾备中心的建设方面还有很多缺陷，部分银行认为灾备中心建设资金投入大、周期长、运维成本高，因此仅采取初级的方法进行数据的简单拷贝备份，无法满足跨平台、跨系统和业务持续的灾备要求，更不具备真正的灾难恢复能力。 信息科技风险专业人员缺乏，人员配置比例较低。信息科技系统的开发和应用人员除了要掌握信息系统构架和技术，更要对银行业务十分熟悉，必须具备综合运用的能力，而应对突发的信息科技风险，更要由具备丰富技术经验的人员在第一时间发现问题并予以干预。我国大部分银行的信息科技建设起步较晚，在人才培养和积累方面还很不够，信息科技人员占银行全部员工的比例远不及国际平均水平，个别银行信息科技人员兼岗现象严重，并无科技背景，只通过短期技术培训，履职能力更是十分有限，无法满足银行系统开发维护的需求。

　　信息科技项目开发水平有限，外包服务依赖性强。信息科技项目的开发具有较强的专业性，部分银行受制于人力资源约束，因此将大部分项目开发外包给第三方。但是，由于缺乏对外包服务供应商的准入审核，对外包服务的评估和跟踪也没有相应的制度安排，银行员工往往只能掌握系统应用和简单运维，无法自主进行系统功能拓展，应对突发事件的水平更是难以保证。对外包服务管理的欠缺和对外包服务商的过度依赖，严重影响了银行的业务创新和发展，同时也为客户资金和信息安全埋下了隐患。

　　从目前国内银行业整体情况来看，信息科技风险的管理意识已有了较大程度的提高，核心业务系统和数据中心建设不断完善，应急体系的建设也取得了较大的进步，提升了信息科技风险的管控能力。但是，我国银行业科技治理的水平不高，科技管理不够精细，业务连续能力有待进一步加强，在防控信息科技风险方面还有诸多不足。

　　加强银行IT风险监管的建议

　　“十二五”时期是我国银行业改革与发展的重要历史时期，银行业必须抓住这一有利机遇，促使信息科技在银行业务领域的快速发展，以进一步发挥信息科技在银行经营管理中的基础性作用。当前，我国银行业面临复杂多变的国内外经济环境，金融危机和欧债危机的震荡影响还远未消除，稳健可持续经营的压力不断增加。信息科技要承担起对银行业务发展与创新的支撑作用，进一步强化风险管理的使命，提升银行经营管理的效率，不断提高核心竞争力。与此同时，快速发展的信息技术也对银行信息科技风险管控提出了更高的要求，给监管部门也提出了更严峻的挑战。2009年，银监会正式颁布实施《商业银行信息科技风险管理指引》，随后又组织编写了《商业银行信息科技风险现场检查指南》、《银行业金融机构重要信息系统投产及变更管理办法》、《商业银行数据中心监管指引》等配套手册和制度，以此为据开展了一系列信息科技风险自查、检查、整改工作。2011年10月，银行业信息科技风险管理高层指导委员会成立，在制度建设、工作规划、专业指导和研究等方面取得很大进展，对银行业信息化建设和科技风险管理进行研究、指导、咨询、建议、协调的作用逐步显现。2012年8月，银监会宣布设立信息科技监管部，负责银行业信息科技监管督导和风险防范。可以说，信息科技风险监管工作正在有条不紊地推进。立足当下，着眼未来，银行业应重点从以下几个方面入手，加强银行科技信息风险管理和监管。

　　将信息科技风险纳入银行全面风险管理体系。银行要把信息科技风险管理作为常态化风险管理工作内容，加强董事会、高管层和专业委员会的科技风险管理履职能力建设，在银行全体员工中树立并强化科技风险安全意识，在业务全流程中时刻关注信息科技风险，建立完整的风险识别、计量和处置制度安排和流程设计。监管部门在开展非现场监管和现场检查时，必须把信息科技风险作为关注重点，把信息科技风险防控纳入银行评级体系。

　　完善信息科技风险治理架构。银行应按照巴塞尔委员会《操作风险管理和监管的良好作法》的要求，建立起信息科技风险管理的三道防线，特别是要加强银行内部对信息科技风险的独立评估审查。监管部门要定期对银行科技治理情况进行审查，督促银行建立职责明确、功能互补、相互监督、相互制约的信息科技风险防范的整体架构。

　　加大软硬件基础设施投入力度，完善灾备应急能力。银行要建立适度超前的IT基础设施和统一平台框架，为核心系统的持续扩展留下空间，建设高效率、低能耗的数据中心，强化系统核心安全机制建设，保障信息安全。要对信息系统的运行状况进行全程监控，制定应急预案和业务恢复机制，并以较高标准做好数据转移和备份工作，加强灾备演练，以应对突发事件的冲击。

　　强化对技术外包的风险管理。银行要建立健全外包服务管理制度，加强对服务供应商的资质审核，选择适合的服务供应商成为长期合作伙伴，以确保信息系统建设的持续性和应对突发问题的可靠性。监管部门要加强对银行外包服务的监督检查，指导银行科学制定外包管理策略，合理规划外包服务规模，加强对外包服务风险的防控。

　　努力培养科技人才，做好信息科技人才储备。银行要树立“人才为本”的理念，加强信息科技人才队伍建设，通过适当的激励机制，吸引高端人才不断加入。同时，要建立信息科技定期培训机制，推动从业人员不断更新知识体系，强化信息科技风险意识。