1.1 新時代金融機構信息科技風險態勢

在金融機構信息科技誕生之初，金融機構信息科技風險即相伴而生。隨著金融機構信息科技的進一步發展，金融機構信息科技風險態勢也在不斷變化之中。本節將針對新時代金融機構信息科技風險態勢進行探討：首先對金融機構信息科技風險的概念和風險監管的發展歷程進行詮釋；其次在分析國際金融機構信息科技風險管理現狀與趨勢的基礎上，對比論述國內金融機構信息科技風險管理的現狀和特點。

1.1.1 金融機構信息科技風險的概念

信息科技風險在不同行業、不同角度甚至不同時期，均被賦予了不同的定義和內涵。摩根士丹利曾將信息科技風險定義為機構信息、系統和基礎設施受到網絡和內部威脅。在《巴塞爾協議》中，信息科技風險的定義是任何由于使用計算機硬件、軟件、網絡等系統所引發的不利情況，包括程序錯誤、系統宕機、軟件缺陷、操作失誤、硬件故障、容量不足、網絡漏洞及故障恢復等。

這些定義更多是從技術角度做的詮釋。對于金融機構而言，2009年中國銀行業監督管理委員會（以下簡稱“銀監會”）發布的《商業銀行信息科技風險管理指引》是我國金融業信息科技監管的一部重要法規，也是金融科技創新和風險控制能力的衡量基準、準入依據?！渡虡I銀行信息科技風險管理指引》中的解釋可以作為權威定義。

《商業銀行信息科技風險管理指引》中首先定義了信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，包括信息科技治理、建立完整的管理組織架構、制定完善的管理制度和流程。信息科技風險是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽方面的風險。

總體而言，金融機構信息科技風險具有如下特點。

?突發性：金融機構信息科技風險的發生往往是猝不及防的，例如因為基礎設施被破壞，造成突發性服務中斷，產生經營風險。由于互聯網等現代通信技術的普及，巨額資金可以瞬間通過銀行網絡發生轉移，從而導致銀行資金面臨流動性風險。

?快速傳遞：隨著互聯網通信技術的快速發展，當前絕大多數金融機構形成了互聯互通的網絡，導致局部風險可以通過網絡迅速蔓延，從而導致更大范圍的風險。

?跨越時空：隨著互聯網、移動業務的發展，金融機構通過業務線上化突破了地域的限制，但是這讓每一筆交易的交易對象和交易動機的確認變得更加困難。

?多元化：服務渠道的多元化和客戶服務場景的多元化，導致金融機構信息科技風險也出現了多元化的演變，對風險及其影響的框定往往十分困難。

?責任難以區分：隨著金融信息化的迅猛發展，金融機構信息科技系統不限于金融機構自身，還涉及電信、電力、供應商、外包商、合作機構等多個行為主題。宕機、服務中斷等事故的原因往往是多方面的，事故責任通常難以準確區分。

《商業銀行信息科技風險管理指引》中除了給出了金融機構信息科技風險的定義，還進一步提出了信息科技風險管理的概念，即旨在通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。

1.1.2 金融機構信息科技風險監管發展歷程

在討論金融機構信息科技風險監管發展歷程之前，先介紹金融機構監管的發展歷程。金融機構監管的發展趨勢和監管實踐是隨著經濟金融化和金融技術手段現代化的發展而不斷更新迭代的。

以銀行業為例，按照銀行創新教父Brett King的觀點，銀行業經歷了1.0、2.0、3.0時代，已經進入4.0時代，銀行服務也從最初的物理網點發展為無處不在，嵌入生活的智能銀行服務。在此過程中，金融監管也先后經歷了傳統監管、電子化監管、數據集中監管和智慧監管4個時期。信息科技風險監管作為金融監管的一個分支，與金融機構信息科技的發展息息相關。我國金融信息科技的發展經歷了電子化、信息化、互聯網化和移動化、數字化和智能化4個階段，金融機構信息科技風險監管也經歷了從無到有、從信息化到智能化的發展過程。

1.電子化時期與信息化早期：金融機構信息科技風險尚未得到重視

從金融業引入計算機開始，我國金融行業電子化拉開了序幕。那時候還不叫信息技術或者IT（Information Technology），而是電子化。當時金融服務基于物理網點實現，金融行業的科技能力更多體現在代替手工記賬上，解決銀行業務人員大量重復性的手工勞動。由于無法按照客戶的業務需求編程，也沒有一個真正的金融核心應用系統，僅實現了銀行一部分業務的自動化，因此我們稱之為電子化時期。由于這一時期并沒有真正意義上的金融機構信息科技的概念，因此金融機構信息科技風險管理也就無從談起。

1987～1988年，經過IBM定制化開發的SAFII系統在工商銀行的網點大量上線，標志著我國金融業正式進入信息化時代。此時金融機構的科技發展已經不局限于簡單的電子記賬，而是借助金融應用系統實現金融業務的信息化管理。一方面，早期金融機構的業務仍以物理網點為主，基于物理網點的業務發展十分有限，對金融信息系統的應用往往也需要手工的復核；另一方面，由于早期國內各大銀行并未實現系統的總行大集中（例如工行最初上線的SAFII系統就是在全國50個大中型城市分別設立50個中心，安裝100套大型機系統），因此當時信息科技的風險影響有限。此時，金融機構信息科技的風險并未得到重視。

2.總行大集中與互聯網化推進：金融機構信息科技風險得到重視

金融監管機構開始重視金融機構信息科技風險主要是基于以下三方面變化。

2001～2002年，中國工商銀行完成了全國信息系統的總行大集中，隨后各大行也紛紛開啟了信息系統的集中運行模式。對于這些銀行而言，信息系統的風險已經不再局限于某一地域部分網點的業務影響，信息系統一旦發生宕機或者不可用的情況，將影響該行全國范圍內的業務辦理，造成的經濟損失和社會影響往往是非常大的。

2002～2003年，中國人民銀行牽頭研發中國現代化支付系統（China National Advanced Payment System, CNAPS）并在全國推廣上線，實現了全國各銀行各個網點的互聯互通。CNAPS的上線，助力我國不同的金融機構之間業務往來的秒級辦理，也在一定程度上造成了金融機構之間信息系統風險的蔓延。一方面，由于CNAPS提供的便利性，各個不同金融機構之間的業務往來更加緊密，某一家金融機構的系統出現宕機，導致業務無法辦理的情況，往往一定程度上影響其他機構與該機構之間的業務往來；另一方面，在不同機構之間的應用系統實現互聯互通的情況下，我們實際上無法做到絕對的系統間災難隔離，當某一家金融機構的系統出現宕機風險時，往往會影響與之互聯的其他金融機構的系統運行（例如2014年6月23日，某大行系統宕機，導致很多金融機構的支付清算系統出現運行緩慢的情況）。

網上銀行業務的興起，使得金融機構的業務進一步延伸到物理網點之外。1997年，招商銀行首先推出網上銀行業務，此后的2001～2002年，工行、建行、中行、交行和農行先后推出了自己的網上銀行業務。網上銀行業務的興起，使得金融機構的業務不再局限于物理網點，而是進一步借助信息科技得以延伸。信息科技對金融機構業務發展的重要性已經非常突出。

2006年，銀監會發布了《銀行業金融機構信息系統風險管理指引》，隨后又于2009年發布《商業銀行信息科技風險管理指引》，標志著金融機構信息科技風險的監管被納入監管機構重點關注的領域。

3.信息化深入與移動化發展：金融機構信息科技風險監管進入信息化

隨著金融機構信息化的進一步深入發展，金融機構的業務種類和業務范圍也得到了極大的延伸。金融機構已經不滿足于只向客戶提供基本業務，而是推崇以客戶為中心的全方位金融服務理念。手機銀行業務隨之興起，金融業務的移動化發展促使金融機構信息科技在金融行業中占據舉足輕重的地位。

可以說，此時金融機構各項業務辦理已經離不開信息科技。信息科技系統的任何風險都將直接或間接傷害金融機構正常的業務辦理以及經濟效益，甚至對金融機構的聲譽造成影響。

與此同時，監管部門也開啟了金融機構信息科技風險信息化管理的歷程。2013年，監管部門上線了非現場監管系統，通過信息化的手段，開始直接對各個金融機構的系統運行情況進行實時的監測與分析，從而改變了過去現場監管和手工數據報送等原始的檢查方式。在此基礎上，2014年，監管部門正式將信息科技風險管理納入金融機構監管評級中，如今已經占到金融機構監管評級10%的比重。

4.數字化與智能化金融時代：金融機構信息科技風險監管進入智能化

近年來，隨著人工智能、區塊鏈、云計算、大數據、5G和物聯網技術與金融科技的深度融合，金融機構的經營模式與服務理念都發生了很大的變化。金融機構信息科技的發展已經能夠做到引領金融業務的發展。此時，金融機構信息科技風險的監管如果仍局限于信息化的管理與分析，將無法有效跟進金融科技發展的趨勢，對于科技引領業務發展的過程中可能出現的“科技作惡”的風險就有可能無法及時發現并加以規避和解決。

管理先行應該是當前金融信息科技監管必須秉承的思路。近年來，隨著金融科技（Financial Technology, FinTech）的興起，監管科技（Reg Tech）也緊隨其上，并逐步被各個國家的監管機構加以重視，其發展的速度與步伐已經不遜于金融科技。

人工智能和大數據等技術同樣也可以在金融信息科技監管領域發揮巨大的作用，通過數字化、智能化的手段，及早分析和預測各個金融機構潛在的信息科技風險，并及早加以警示與防范，也是保證我國金融穩定，維護金融業務良性發展的重中之重。

1.1.3 國際金融機構信息科技風險管理現狀與趨勢

對國際上金融機構信息科技風險管理的現狀與趨勢進行分析對我們來說有一定的借鑒意義。本節我們先看具有代表性的英美兩國金融信息化風險管控的現狀，然后分析國際上發達國家金融信息化風險管控的主要手段。

1.英美兩國金融信息化風險管控現狀

英國是現代金融制度的誕生地，也是全球領先的金融服務中心，其金融業務品種復雜多樣，涵蓋銀行、保險、證券、外匯、基金、衍生產品等各類品種，不僅業務品種繁多，而且對交易的跨地域性和即時性的需求非常高。對于英國而言，金融信息科技的強有力支持就顯得非常重要了。英國金融業的普遍做法如下。

?制定各類信息科技風險管控制度，并在實踐過程中不斷完善，確保制度的落地執行。

?設立專門的機構負責制度的執行，確保制度得以貫徹。

?對金融信息系統的要求，一方面要盡可能通過信息系統替代手工業務，減少人為因素的風險；另一方面要盡量精簡系統，避免系統過于復雜導致意外事件的發生。

?注重數據的安全性、可用性、可靠性和可記錄性。

?注重意外事件的應急響應和處置，并舉一反三，避免同樣問題再次發生。

美國信息科技風險管理起步早，美國也是對金融科技風險監管最細致、最全面的國家，有著近百個IT風險有關的法律、規范、標準和指南，舉例如下。

?信息科技服務外包商的監管要求。

?決定監管關注程度的風險評級體系。

?信息科技風險對金融機構整體經營的影響矩陣。

?在信息科技領域對公司治理的要求。

?國際合作的標準和要求。

2.國際信息科技風險標準體系一覽

國際上對于金融信息風險的標準化已經做了長期的積累，其中部分標準已經被我國引入并使用。目前國際上普遍采用的風險管理標準體系如表1-1所示，其中比較典型的是信息安全管理體系ISO27000和金融技術風險評級體系參考標準COBIT。

信息安全管理體系ISO27000系列包含多個具體標準。

?ISO27001信息安全管理體系

?ISO27002信息技術—安全技術—信息安全管理實踐規范

?ISO27003信息安全管理體系—實施指南

?ISO27004信息安全管理體系—指標與測量

?ISO27005信息安全管理體系—風險管理

?ISO27006信息安全管理體系—認證機構的認可要求

?ISO27007信息技術—安全技術—信息安全管理體系審核員指南。

其中ISO27001是主標準，于1993年由英國貿易工業部設立，適用于企業、政府機構等各種類型的組織，屬于信息安全管理體系的認證。

金融技術風險評級體系參考標準COBIT（Control OBjectives for Information and related Technology，信息系統和相關技術控制目標）由美國信息系統審計與控制協會于1996年提出，已經成為眾多國家和地區的政府部門、企業對IT的計劃與組織、采購與實施、服務提供與技術支持、監督與管控等進行全面考核與評定的業界標準。COBIT已經成為國際上公認的IT管理與控制標準，它將信息科技風險評級分為IT規劃與組織、系統獲得與實施、交付與支持和信息系統運行監控4個控制域，覆蓋了整個信息系統的全部生命周期。

3.國外金融信息科技風險管控的主要手段

國外金融信息科技風險管控的主要手段如下。

?注重信息化建設與風險管理的協同發展：將信息化建設、系統運行、管理決策和風險管理四方面相互關聯，形成相互支持、相互制約的共同體。

?通過行業規范和安全產品工具提升風險防控水平：通過各類風險策略的規范理論體系、風險控制的技術標準、信息安全方面的規范標準和信息技術外包評估標準等規范，有效提升信息化過程中的風險防控水平。

?持續加大風險管控力度：確立風險意識的文化，對風險進行現實的評估，確立風險承擔制度，將風險管理納入信息化建設的日常工作中。

1.1.4 國內金融機構信息科技風險管理現狀與特點

近年來，我國金融業取得了突飛猛進的發展，金融科技應用能力也已經走在了國際前沿。信息科技已成為金融機構實現經營管理、業務運行、分析決策、行業創新的強大技術保障。與此同時，在金融機構信息科技風險管理領域，已經實現了從被動監管到主動管理的轉變。

1.監管驅動

當前，我國監管部門對金融機構信息科技風險管理提出了嚴格的法律和監管要求。

國家法律法規層面，對于金融機構信息科技風險管理提出了非常嚴厲的要求，先后出臺《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》，在個人信息使用與保護、網絡安全等級保護、數據分類分級使用與安全管控方面都有著非常明確的要求。這些法律法規是各個金融機構必須恪守的準繩。

我國金融機構，包括銀行、證券公司和保險公司都要接受中國人民銀行的統一管理。針對金融科技信息化領域，中國人民銀行每年都會下發各類管理要求。由于中國人民銀行是支付清算系統的主體，因此各金融機構作為接入方，也同樣必須遵循中國人民銀行的相關要求，如《中國現代化支付系統運行管理辦法》等。此外，對于近年來日益興起的金融科技，中國人民銀行同樣也頒布了《金融科技創新安全通用規范》等條例。

中國銀行保險監督管理委員會（后文簡稱“銀保監會”）負責貫徹落實黨中央關于銀行業和保險業監管工作的方針政策和決策部署，這些年也發布了很多針對信息科技風險的文件，均對商業銀行提出了非常嚴格的強制性要求。各大金融機構在應對來自監管合規和自身業務安全運營的需求方面也付出了巨大的努力，投入了大量的成本。

金融機構除了要遵循國家法律法規、中國人民銀行和監管部門的各類要求，也需要遵循社會上的一些技術標準和規范，典型的如個人信息保護方向的《信息安全技術 個人信息安全規范》（GB/T 35273—2020）、《信息安全技術 個人信息去標識化指南》（GB/T 37964—2019）等，數據安全方向的《信息安全技術 大數據服務安全能力要求》（GB/T 35274—2017）、《信息安全技術 數據交易服務安全要求》（GB/T 37932—2019）等。這些都是金融機構為提升自身信息科技風險管控能力而必須努力遵守的規范和標準。

2.自身驅動

隨著人工智能、區塊鏈、云計算、大數據、5G和物聯網等技術的飛速發展，金融科技應用能力也得到了提升，當前各個金融機構均已經開始利用金融科技嘗試業務發展。為了保證業務平穩開展和良性發展，實現更大的創收，金融機構信息科技風險管理變成了主動自發的要求。各個金融機構需要不斷提升信息科技風險管控能力，以適應不斷變化的IT環境，以及防止系統中斷、交易差錯、信息泄密等嚴重危害金融機構自身聲譽的事件。

外部監管驅動和金融內部需求兩個方面，都需要金融機構充分利用信息化手段，來實現信息科技管理的標準化和規范化程度，進而達到信息科技風險管理的可視化、可量化及智能化。

在滿足監管要求的過程中，各個金融機構對本機構的信息科技風險開展持續的風險識別、風險評估和問題整改等相關工作。近年來，隨著強監管時代的到來，各個金融機構深刻認識到，金融科技風險管理的工作已經無法僅停留在紙面上，并在多個方面同時開展行動，努力提升自身對監管要求的滿足程度。對于各個金融機構而言，特別是中小金融機構，信息科技風險管理方面普遍存在的問題以及應對措施如表1-2所示。