一個中小銀行信息科技風險監(jiān)測模型

劉建鴻+熊俊

近幾年來，我國中小商業(yè)銀行尤其是地方區(qū)域性銀行組織不斷發(fā)展壯大，成為提高地方融資效率、穩(wěn)定金融市場的重要力量。當前，我國銀行監(jiān)管部門和大型商業(yè)銀行正在探索適合中國國情的銀行業(yè)信息科技風險控制戰(zhàn)略與具體實施措施。中小商業(yè)銀行與大型銀行相比，由于科技投入、人力資源、管理經(jīng)驗等各方面存在先天不足，在信息科技風險的控制中面臨更大的挑戰(zhàn)。針對中小商業(yè)銀行特異性，本文從我國中小商業(yè)銀行信息科技風險的監(jiān)管角度和內(nèi)控的角度，總結(jié)了我國商業(yè)銀行尤其是中小商業(yè)銀行信息科技風險治理現(xiàn)狀和面臨的問題，探討了解決問題的基本思路，并從中進行指標的選取和分類。

中小銀行信息科技風險管理特點

隨著信息科技產(chǎn)業(yè)和金融業(yè)的迅猛發(fā)展以及相關(guān)技術(shù)的不斷突破創(chuàng)新，信息產(chǎn)業(yè)和金融業(yè)的融合度日益提升。銀行的生存、發(fā)展在各個層面都已經(jīng)離不開現(xiàn)代信息技術(shù)的支持甚至是主導(dǎo)。然而信息技術(shù)也是一把雙刃劍，在極大地推動了銀行業(yè)發(fā)展的同時，也放大了銀行業(yè)面臨的信息科技風險，為銀行業(yè)的健康穩(wěn)定發(fā)展帶來了潛在的嚴重威脅。

針對國內(nèi)外銀行業(yè)信息科技風險管理現(xiàn)狀的研究，COBIT、URSIT、ISO/IEC17799、CAMELS等國際標準及體系，為中小銀行信息科技風險監(jiān)測指標的選取、分類提供了一些參考和依據(jù)。中國銀監(jiān)會作為我國銀行業(yè)的主要監(jiān)管部門，針對信息科技風險的特點，從業(yè)務(wù)連續(xù)性、數(shù)據(jù)、外包等多個方面制定了一系列政策，并加強對銀行的現(xiàn)場和非現(xiàn)場監(jiān)管，力圖建立起抵御信息科技風險的有效防御體系。傳統(tǒng)大型銀行憑借其雄厚的資金實力、強大的科技投入、豐富的風險管理經(jīng)驗、完善的信息安全體系而在國內(nèi)商業(yè)銀行信息科技風險治理工作中走在了前列。

與資金、技術(shù)力量雄厚的國有大型銀行相比較，中小銀行有以下大致特點：

員工結(jié)構(gòu)特點。中小銀行員工的薪酬待遇和發(fā)展空間綜合來看不如大型銀行，導(dǎo)致其對人才的吸引力較低，引進人才整體素質(zhì)較低，人才流失嚴重，高等級技術(shù)人員匱乏，科技部門編制緊張，非在編人員比例較大、流動性強。這對中小銀行的經(jīng)營和發(fā)展帶來了不小的影響。

信息系統(tǒng)特點。由于中小銀行資金、技術(shù)力量較為薄弱，其信息系統(tǒng)建設(shè)和運維很多外包給專業(yè)公司，信息系統(tǒng)整體規(guī)模偏小，技術(shù)成熟度不高，可負載度較低。

客戶習(xí)慣特點。中小商業(yè)銀行客戶群體交易方式和習(xí)慣具有特定屬性。如農(nóng)村金融機構(gòu)服務(wù)三農(nóng)，主要客戶是農(nóng)民及農(nóng)民工群體。農(nóng)民工群體的存貸款交易具有季節(jié)性特點，大批量交易集中于傳統(tǒng)節(jié)日前后，這會對規(guī)模較小、負荷能力有限的中小銀行信息系統(tǒng)造成沖擊。

中小商業(yè)銀行的信息科技風險管理面臨復(fù)雜的風險來源，因此其應(yīng)對措施也應(yīng)該是多維度、廣視角的，本研究必須從組織、決策、意識、監(jiān)測等方面綜合把握，因此應(yīng)建立信息科技風險指標監(jiān)測體系。

中小銀行信息科技風險核心監(jiān)測指標

銀行信息技術(shù)風險的種類繁多、成因復(fù)雜、危害性大，備受各國銀行及其監(jiān)管當局的關(guān)注。在借鑒美國、歐盟、新加坡、香港等金融信息科技風險治理框架的基礎(chǔ)上，遵照國內(nèi)銀行監(jiān)管要求，結(jié)合分析近年中國中小商業(yè)銀行信息科技風險暴露出的關(guān)鍵問題，本研究提出并實施了一套適合自身特點的信息科技風險核心監(jiān)測指標體系。該體系包括指標體系架構(gòu)、量化評估方法，以及正在研發(fā)的一套符合區(qū)域性中小商業(yè)銀行自身發(fā)展和風險控制需求的監(jiān)測系統(tǒng)。

本研究在選取指標時針對中小商業(yè)銀行特點，遵循了敏感性、全面性、易操作性、拓展性四項原則：

數(shù)據(jù)是指標體系的靈魂。在指標體系構(gòu)建過程中，需要選取正確的方式來采集相關(guān)數(shù)據(jù)。針對中小銀行日常數(shù)據(jù)監(jiān)控力度較低的現(xiàn)狀，本研究按照取得數(shù)據(jù)方式分為系統(tǒng)自動成表、系統(tǒng)日志查詢和人工填送報表。這三種方式，按數(shù)據(jù)錄入的操作信度是依次降低的，較低的信度不利于后續(xù)動態(tài)監(jiān)管系統(tǒng)的實現(xiàn)，需要通過制度和系統(tǒng)優(yōu)化來加強數(shù)據(jù)的信度。

本研究在國內(nèi)第一次提出了“四類”的指標體系：控制性指標，穩(wěn)定性指標，效率性指標和安全性指標（見圖1）。這樣的考慮是有其邏輯性與現(xiàn)實意義的。在把好人員控制關(guān)的基礎(chǔ)上，要保證整個信息科技系統(tǒng)的穩(wěn)定性，在穩(wěn)定的基礎(chǔ)上，再來看效率，效率性指標往往可以直觀迅速地反映接近風險閾值的現(xiàn)實狀況，而所有穩(wěn)定性和效率性指標都必須在安全性指標框架的保障下運行。

具體來看，在控制性指標下分有三個一級指標，分別是非在編人員（臨時工）占比，科技人員流失率和高級科技人員占比。在穩(wěn)定性指標下，有六個一級指標，分別是交易量，系統(tǒng)主機參數(shù)，系統(tǒng)可用率，電子渠道賬戶變化率，活躍用戶數(shù)和網(wǎng)絡(luò)流量。效率性指標下分三個一級指標：系統(tǒng)響應(yīng)速率、交易頻率及成功率。安全性指標下分五個一級指標：假冒網(wǎng)站成功率、災(zāi)備系統(tǒng)覆蓋率、應(yīng)急演練頻率、投產(chǎn)變更成功率及安全事件數(shù)。各一級指標繼續(xù)細化分級后最終形成88項細化指標。

依據(jù)以上指標體系結(jié)構(gòu)，本研究于2013年上半年進行了包括兄弟銀行及行內(nèi)各網(wǎng)點、直屬科技部門的人員針對信息管理、維護、運行等方面的抽樣問卷評估調(diào)查，根據(jù)信息科技工作經(jīng)驗來衡量88項細化指標的風險級別，從低到高進行1～5分的打分。根據(jù)專家打分情況，整理出了如下數(shù)據(jù)（見圖2）。

接下來，基于層次分析法，來確立具有特征權(quán)重的顯著指標。

加權(quán)平均分可以部分地反映專家打分的大致傾向，但精度較差。而通過對指標的打分分層進行的模糊層次分析法能夠?qū)崿F(xiàn)定量與定性相結(jié)合的多目標決策，但由于其結(jié)果受主觀思維的影響仍然較大，每位專家的整體衡量基準不在一個水平線上，依然會對結(jié)果的準確產(chǎn)生不利影響。本研究采用迭代法來計算精度更高的排序向量，對初始排序向量進行迭代運算，最終確立具有特征權(quán)重的顯著指標。在以排除主觀衡量基準不一為目的的迭代算法實現(xiàn)后，具有顯著權(quán)重特征的指標可以在圖3清晰地顯現(xiàn)出來，而這些顯著的交易量指標、系統(tǒng)響應(yīng)速率指標、系統(tǒng)交易頻率以及系統(tǒng)交易成功率等特征突出指標正是本研究當前在制定指標體系、選取適合中小商業(yè)銀行而區(qū)別大型銀行的各類指標，而安全性指標是在無論大小商業(yè)銀行的運行中均得到廣泛認識的范疇。這樣的結(jié)果很好的說明本研究初選的指標具有廣泛的中小商業(yè)銀行認可性、合理性。隨著各中小商業(yè)銀行資金、技術(shù)、管理水平的提升，通過在不同發(fā)展階段進行相應(yīng)計算，初選的指標群還能夠依照該方法進行權(quán)重的調(diào)整甚至剔除在該發(fā)展時期某些非核心指標。endprint

在把各個指標的運行數(shù)據(jù)進行統(tǒng)一標準化處理后，針對同一時間序列內(nèi)各指標的波動率進行計算，按照相應(yīng)權(quán)重進行累加和百分制處理，最終得出各時段內(nèi)指標體系的綜合評估得分，如圖4。

評估得分介于93%到99%之間平緩波動，通過小波變換將其去噪，得到的應(yīng)該是趨勢平緩曲線，其平均值為94.6%?？梢杂纱说贸鰧υ撓到y(tǒng)在2013年4月1日至2013年6月31日的基本運行結(jié)果為優(yōu)良水平。

信息科技風險核心指標檢測系統(tǒng)

進一步，針對前面在錄入指標數(shù)據(jù)時遇到的需要表內(nèi)日志查詢和人工報送的數(shù)據(jù)信度問題，加上本身具有的全省2000余個網(wǎng)點急需進行有效監(jiān)控的問題，本研究規(guī)劃了一套中小商業(yè)銀行核心指標監(jiān)測系統(tǒng)，這個系統(tǒng)，既能實現(xiàn)銀監(jiān)部門對各銀行各類指標的監(jiān)控，更使用LBS基于地理位置框架，將各網(wǎng)點的指標狀況監(jiān)測起來。

中小商業(yè)銀行信息科技風險核心指標檢測系統(tǒng)由銀監(jiān)部門子系統(tǒng)、銀行部門子系統(tǒng)、網(wǎng)點部門子系統(tǒng)三部分構(gòu)成。銀監(jiān)部門子系統(tǒng)部署在銀行監(jiān)管機構(gòu)，能夠及時查看各銀行及網(wǎng)點的各項指標，風險指數(shù)，安全等級和異常狀況，并對異常情況進行預(yù)警，以便使銀監(jiān)部門能夠更及時的對異常情況做出反應(yīng)。首先，每一時間段數(shù)據(jù)更新后，系統(tǒng)綜合安全性、穩(wěn)定性、效率性和控制性指標等各項指標計算出該銀行的風險指數(shù)，一個安全等級對應(yīng)一段風險指數(shù)區(qū)間，計算出的風險指數(shù)落入哪一段風險指數(shù)區(qū)間就對應(yīng)地顯示哪一安全等級。其次，將每一時間段（如按天）交易筆數(shù)與數(shù)據(jù)庫中歷史時段的交易筆數(shù)的平均值進行對比，如該分鐘的交易筆數(shù)小于或大于歷史平均交易筆數(shù)的50%（該閾值可依據(jù)監(jiān)管要求動態(tài)調(diào)整），則認為該分鐘的交易異動較大，將其標記為交易異常。假如連續(xù)幾分鐘都標記為異常，意味著該時間段內(nèi)出現(xiàn)了業(yè)務(wù)交易嚴重異常。最后，本系統(tǒng)將這種業(yè)務(wù)交易異常時段直觀地展現(xiàn)給監(jiān)管人員，并自動匹配該時間段內(nèi)銀行已主動上報的運行風險事件。監(jiān)管人員不僅對業(yè)務(wù)異常情況一目了然，還能反過來考察銀行是否及時主動上報。銀監(jiān)部門子系統(tǒng)中還具有數(shù)據(jù)審核功能，能夠?qū)︺y行部門提交的數(shù)據(jù)進行審核處理。銀行部門子系統(tǒng)部署在銀行部門內(nèi)部，可以向銀監(jiān)部門提交指標信息，還可以查看自身的評級結(jié)果以便根據(jù)結(jié)果做出相應(yīng)的反應(yīng)。銀監(jiān)和銀行部門子系統(tǒng)都可以通過LBS查詢查看各網(wǎng)點的信息和實時狀態(tài)，查看評級系統(tǒng)的歷史記錄，全面掌握銀行的運行狀況。而銀行網(wǎng)點子系統(tǒng)部署在銀行網(wǎng)點內(nèi)部，可以向銀行提交數(shù)據(jù)、更新網(wǎng)點信息和查看歷史記錄，來掌握本網(wǎng)點的各項信息。

通過本系統(tǒng)，銀監(jiān)部門、銀行部門、銀行網(wǎng)點部門之間可以形成有效的監(jiān)管預(yù)警體系，銀監(jiān)部門、銀行能夠詳細了解銀行及網(wǎng)點的運行狀況，防患于未然，及時對潛在風險和異常情況進行及時有效處理。

總結(jié)與展望

當前，中國的銀行業(yè)正處于轉(zhuǎn)型的十字路口，面臨著日益嚴峻的挑戰(zhàn)，相對于擁有較為雄厚的資金、技術(shù)實力的國有大型銀行，以農(nóng)村金融機構(gòu)和城市商業(yè)銀行為代表的國內(nèi)中小銀行則因其較為薄弱的資金、技術(shù)力量而更難以應(yīng)對信息科技風險的挑戰(zhàn)。中小銀行應(yīng)該采取怎樣的措施，來有效解決信息科技風險問題，推動自身的健康穩(wěn)定運行和成功轉(zhuǎn)型，成為擺在所有中小銀行面前的重要問題。

中小商業(yè)銀行信息科技風險核心監(jiān)測指標體系的提出，為銀監(jiān)部門加強對中小銀行信息安全的監(jiān)管，以及中小銀行對自身信息科技風險的監(jiān)測提供了強有力的工具。有了中小銀行信息科技風險核心監(jiān)測指標體系這一有力的工具，將推動中小銀行的信息科技風險治理走向規(guī)范化、科學(xué)化，從而有利于中小銀行抵御信息科技風險，保證銀行正常運行，維護金融業(yè)健康運行。

依靠采用信息科技風險核心監(jiān)測指標體系或是其他技術(shù)手段，還不能從根本上推動中小銀行信息科技風險治理能力的提高。中小銀行信息科技風險問題歸根結(jié)底屬于發(fā)展中的問題，需要用動態(tài)、發(fā)展的眼光加以看待。只有加快中小銀行的發(fā)展，正視困擾中小銀行的資金結(jié)構(gòu)、自主技術(shù)力量的問題，才能使中小銀行整體在信息系統(tǒng)和信息監(jiān)測上投入更多的資金和人力，在根本上提升信息系統(tǒng)性能和信息監(jiān)測水平，最終構(gòu)筑起抵御信息科技風險的有力長城，實現(xiàn)自身的跨越式發(fā)展。

（作者單位：湖北省農(nóng)村信用社聯(lián)合社）endprint