银行信息系统的风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。具有技术性高、涉及范围广、隐蔽性强等特征。2006年7月,银监会颁布了《银行业金融机构信息系统风险管理指引》,标志着我国银行监管当局将银行信息系统风险正式纳入风险监管的范畴。但对基层银行监管部门来说,信息系统风险监管还是一项全新的课题,面临许多新情况和新问题。
银行信息系统的风险主要表现为:
技术风险。指信息化项目中技术环境所蕴涵的风险,风险的大小决定于所用技术的先进性、成熟性、扩展性以及各技术组件之间的兼容性等因素,具体包括应用程序风险、数据管理风险、系统平台风险、网络通信风险和物理设施风险等方面。应用程序设计先进与否、软硬件支持平台缺陷、数据存控机制失灵、网络通讯配置不合理、外围环境控制设施及能源设备不到位等都会造成这方面的风险。此外,技术外包安全和隐私保护措施不到位、外部支持者缺乏应有的银行专业知识、IT业人员高流动性等因素,也可能形成技术风险。
法律风险。长期以来,我国银行信息化监管沿用的是传统业务的管理规章,没有制定专门的法规和规范性文件,对信息系统没有一个完整的法律规章,信息系统的相关电子产品法律法规缺位、电子交易权责定义模糊,银行在开展业务时无法可依并因此产生交易纠纷。以网银为例,业务交易缺乏实体接触,失去了时间和地域的限制,客户质量难以确定,交易过程不透明,缺乏明确、完善的法律法规作支撑。对于电子证书签名确认的有效性,电子银行业务相关的法律法规缺乏明确规定。《合同法》虽承认了电子合同的法律效应,但对电子签章应赋予怎样的权利尚未明确规定;客户、银行及运营商法律责任不清。客户与金融机构签订电子银行服务协议或合同,而与通讯系统的运营商并没有契约上的法律关系。一旦因通讯系统出现故障而造成损失,责任应由谁承担,现行法律中难以找到依据;因系统技术故障、安全维护、内部员工操作、客户自身过错等造成损失的责任承担,也无法可依。
信誉风险。信息系统在运行过程中,由于网络、系统故障或其他原因,造成系统无法正常工作或客户利益受到损失,而使客户对银行的服务信誉产生置疑所造成的损失。由于网络、系统发生故障,银行的业务不能正常进行,客户会因为花费了较长的等待时间而认为新的业务系统造成了工作上的不便;在金融机构与客户签订的电子银行服务协议或合同中,金融机构未向客户充分揭示利用电子银行进行交易可能面临的风险,一旦因此引发客户受损事件,客户势必因金融机构的不告知作为,而产生不信任感;客户因信用卡、储蓄卡密码被盗而造成资金损失,虽然损失并非银行造成,银行无需为此承担法律责任和经济责任,但无法避免客户对银行的服务信誉产生置疑;银行为了确保自身及客户资金安全,在信息系统设置了密码、证书、数额限制等道道关卡,客户必须严格按规定的程序操作,使客户获得信息系统服务的便利性受到损失,客户也可能产生一些怨恨情绪。
管理风险。指在系统运行中,由于管理缺位、内控不严所造成的风险。银行对信息系统的管理虽然重视,但远未提升到对贷款等资产的重视程度,在组织机构、人员配备和内部控制等方面都远未达到要求,使信息系统在运行中隐藏着一定的风险。大部分银行的IT治理只是停留在概念化的层面,未建立类似于信息风险管理委员会的高层组织,以“安全管理”代替“IT治理”,忽略了与信息风险相关的制衡机制、安全文化、激励机制的建
设;信息系统审计制度不健全、审计过程不规范、审计人员不专业,无法进行有效的风险漏洞识别和整改,也没有能力对各种可能的安全隐患作出正确的预测和化解等。
操作风险。指在系统运行中,由于交易操作失误所造成的风险。操作风险存在于银行每项产品及服务中,而且贯穿了银行业产品销售、业务处理、运行维护、数据存储、应急处理各个环节。
针对银行信息系统风险的特点,无论是监管部门还是银行业金融机构,都应认真贯彻银监会《银行业金融机构信息系统风险管理指引》,建议在人防、制防和技防等方面下工夫,采取切实可行的措施,全面加强风险监管。
加强组织领导,健全工作机制。要加强信息系统风险监管的组织领导和工作机制建设。监管部门要将信息系统风险纳入风险监管领域,建立健全以计算机专职安全管理员为主体、以兼职管理员为补充的专业监管队伍和以信息部门集中监管为主、以监管部门系统监管为辅的监管框架,完善有关监管措施;银行业机构要按照银行风险管理的要求,建立信息风险管理委员会的高层组织,完善IT治理,建立行之有效的信息化管理架构和工作程序,设置专门的信息化内控岗位,从资产保值、内部控制、文化建设、审计评估等各个层面对其进行监督和管理。
加强科技培训,提高管理水平。监管当局和银行业机构要加强科技知识培训,特别是要针对信息化监管岗位制定系统、全面的培训计划,加大培训力度,造就一批信息化管理专业人才,同时,还要积极创造条件,充实科技力量,努力为信息系统监管造就一批强有力的科技队伍。
完善监管制度,建立监管指标。要在IT治理、安全标准、技术规范等方面尽快出台相关的政策、办法或指引,促进信息系统风险监管向规范化、科学化和标准化方向发展。《银行业金融机构信息系统风险管理指引》是银行监管当局根据“管风险”的监管理念制定的一部信息系统风险监管的纲领性文件,要在这一文件的指导下出台具体的实施细则和办法,使监管有章可循。在此基础上,尽快建立信息系统风险监管的指标体系,包括风险指标识别体系和风险指标计量标准,构建风险量化模型,明确计量标准和风险权重,逐步建立信息系统风险预警体系,实现全方位、多层次、动态、连续的监管。