鄔俊斌

（中國銀行業(yè)監(jiān)督管理委員會上海監(jiān)管局，上海 200135）

一、前言

隨著信息技術(shù)向大數(shù)據(jù)、云計算、智能化、移動化的方向發(fā)展，銀行業(yè)務(wù)對信息科技的依賴性越來越強、信息系統(tǒng)架構(gòu)越來越復(fù)雜、外部性特征越來越顯著；銀行的信息科技發(fā)展水平、科技與業(yè)務(wù)的融合程度，已經(jīng)日益成為影響銀行業(yè)務(wù)服務(wù)能力及經(jīng)營管理水平高低的重要評判標(biāo)準(zhǔn)。

巴塞爾新資本協(xié)議將原來單一的信用風(fēng)險監(jiān)控范圍拓展到了信用風(fēng)險、市場風(fēng)險和操作風(fēng)險并列的全面風(fēng)險監(jiān)控，信息科技風(fēng)險默認為操作風(fēng)險的一部分?！百Y本監(jiān)管”作為巴塞爾新資本協(xié)議的核心思想，其要求通過資本限制來控制銀行業(yè)務(wù)的規(guī)模，進而控制風(fēng)險。因此，巴塞爾新資本協(xié)議側(cè)重于從資本的角度來計量市場風(fēng)險、信用風(fēng)險及操作風(fēng)險的損失，強制銀行計提相應(yīng)的資本準(zhǔn)備。

因巴塞爾委員會未對處于操作風(fēng)險項中的信息科技風(fēng)險提出具體要求，為了應(yīng)對日益突出的信息科技風(fēng)險，一些國際組織和國家的監(jiān)管機構(gòu)都相繼出臺了相應(yīng)的信息科技風(fēng)險管理框架、監(jiān)管指引和評級細則。例如，美國信息系統(tǒng)審計與控制協(xié)會(ISACA)提出了COBIT框架和Risk IT框架；國際標(biāo)準(zhǔn)組織 (ISO)提出了ISO 2700n系列標(biāo)準(zhǔn)；美國反虛假財務(wù)報告委員會下屬的發(fā)起人委員會(COSO)頒布了《企業(yè)風(fēng)險管理——整合框架》；卡內(nèi)基梅隆大學(xué)提出了OCTAVE框架，以及國家監(jiān)管機構(gòu)中國銀監(jiān)會(CBRC)發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》；美國金融檢查委員會(FFIEC)制定了《URSIT技術(shù)風(fēng)險評級體系》；英國金融服務(wù)管理局(FSA)制定了《金融服務(wù)中的數(shù)據(jù)安全》、《業(yè)務(wù)持續(xù)性操作指引》；香港金融管理局(HKMA)制定了《科技風(fēng)險管理的一般原則》等。

但是，這些框架和指引都沒有建立定量化的風(fēng)險識別、評估和管理機制。而在銀行業(yè)的風(fēng)險管理框架中，資本計量又偏偏是最為重要的一環(huán)，所以，對于現(xiàn)有的信息科技風(fēng)險管理理論還需要補充風(fēng)險計量的方法，以與銀行的總體風(fēng)險資本相配套。

二、計量框架及其管理工具

閻慶民（2013）提出了一種信息科技風(fēng)險資本計量的框架，由管理工具、計量數(shù)據(jù)、計量方法、計量產(chǎn)出、應(yīng)用五個部分組成。風(fēng)險識別評估、關(guān)鍵風(fēng)險指標(biāo)（KPI）、損失數(shù)據(jù)庫三個管理工具在計量框架中具有基礎(chǔ)性地位，是數(shù)據(jù)的來源，也是管理的武器。本節(jié)基于此框架嘗試進行闡述引申。

信息科技風(fēng)險的識別評估是風(fēng)險監(jiān)管的有效前提。在信息科技開發(fā)及運維中的問題和風(fēng)險的識別與評估中，最常用的思路是魚骨分析法和德爾菲法。

魚骨分析法通過問題流程對已發(fā)生或可能發(fā)生的事故的原因不斷列舉及深究，通過模擬回測等手段，盡可能多而全地找出可能的原因，并把原因分層歸類，尋求事故的主要關(guān)鍵原因；德爾菲法通過分別對專家們咨詢產(chǎn)生事故的原因，確定主要風(fēng)險因素，制定風(fēng)險因素評估調(diào)查表，再通過專家和相關(guān)人員對風(fēng)險的出現(xiàn)概率和影響程度進行定性評估，經(jīng)過開放式、評價式、重審式、復(fù)核式數(shù)輪調(diào)研，識別出各個風(fēng)險要素的概率分布和影響度。調(diào)研的輪數(shù)可以根據(jù)實際情況進行精簡。

信息科技的風(fēng)險的評估還可以借鑒操作風(fēng)險的“風(fēng)險與控制自評估法”(RCSA)，即銀行信息科技風(fēng)險管理機構(gòu)對系統(tǒng)開發(fā)、系統(tǒng)運維、數(shù)據(jù)管理等信息科技各條業(yè)務(wù)流程進行分析，識別評估風(fēng)險點，對現(xiàn)有的控制措施的合理性和有效性進行評價。RCSA先對信息科技工作條線的主流程及包含的子流程進行梳理，再對流程中采取控制措施后的剩余風(fēng)險進行打分，在描繪風(fēng)險發(fā)生的可能性和損失嚴(yán)重性的“風(fēng)險地圖”矩陣上繪點，接著識別和評估風(fēng)險可能性和嚴(yán)重程度較大的部分，立即采取進一步控制措施，對問題原因進行追溯。

關(guān)鍵風(fēng)險指標(biāo)是反映風(fēng)險變化的預(yù)警指標(biāo)，用于監(jiān)測可能造成損失的事件的風(fēng)險及控制措施，是一種定量指標(biāo)。關(guān)鍵風(fēng)險指標(biāo)超過設(shè)定的閾值的時候則需要采取一定的措施，以減輕或回避重大科技風(fēng)險事故的發(fā)生。這些關(guān)鍵風(fēng)險指標(biāo)可能包括某系統(tǒng)的重大事件發(fā)生頻次、系統(tǒng)中斷時間、對外服務(wù)滿意度評價指標(biāo)、回退變更頻次、測試缺陷未探測率、人員離職率等。針對觸發(fā)關(guān)鍵風(fēng)險的事故應(yīng)該進行回顧和總結(jié)，持續(xù)改進。

損失數(shù)據(jù)收集是信息科技風(fēng)險計量的基礎(chǔ)，信息科技風(fēng)險事件收集范圍的確定是數(shù)據(jù)收集工作的前提。損失數(shù)據(jù)的收集、回顧、整理，有助于全面反思執(zhí)行層面、流程層面、技術(shù)層面的問題，以達到持續(xù)改進的目的。結(jié)合實踐與谷歌SRE的思想，異常事件回顧應(yīng)該包括以下因素：所在系統(tǒng)、事件概要（簡述事件及其處理過程）、故障現(xiàn)象（事件告警或外部保障等）、業(yè)務(wù)影響（影響時間段，交易筆數(shù)，損失金額）、原因分析、事件處理時間線、經(jīng)驗教訓(xùn)（執(zhí)行層面，流程層面，技術(shù)層面，舉一反三）、改進計劃（措施，時間點，責(zé)任人，措施類型，跟蹤單據(jù)號）、回顧檢查表（執(zhí)行層面，流程層面，技術(shù)層面，舉一反三）。

三、資本計量方法

何茂春（2009）主張信息系統(tǒng)量化定級利用戴明環(huán)模型，通過PDCA循環(huán)不斷提升管理水平。通過信息系統(tǒng)的安全屬性，即機密性、完整性、可用性，對信息系統(tǒng)資產(chǎn)價值進行五級定級；通過發(fā)生事件的影響度和緊急度量化因子對事件進行五級定級。

在實踐中，可以根據(jù)影響因子和緊急度因子量化對觸發(fā)事件評級進行劃分，以實現(xiàn)對信息系統(tǒng)事故的分級管理，滿足特定的響應(yīng)速度、通知范圍、升級條件等。在影響-緊急度因子矩陣中，可以設(shè)立相應(yīng)的主觀資本影響值，作為該事件資本損失的計量。歷史統(tǒng)計數(shù)據(jù)可以作為信息科技風(fēng)險資本計量的重要參考。

楊濤（2010）提出可以考慮利用投資組合理論均值-方差模型和資本資產(chǎn)定價模型來度量銀行的信息科技風(fēng)險。在應(yīng)用均值-方差模型的時候，其思路一是，將信息科技投資區(qū)分為設(shè)備、軟件、人力資本等不同項的投資，假定已知各項的投資額及預(yù)期收益，則信息科技的風(fēng)險計量就表現(xiàn)為實際收益與預(yù)期收益的偏離程度；思路二是把信息科技投資當(dāng)作一個單獨的投資整體，通過估計信息科技的投資收益可能值及其相應(yīng)的概率，來得到預(yù)期信息科技收益，風(fēng)險同樣表現(xiàn)為實際收益與預(yù)期收益的偏離。楊濤論證銀行信息科技的投資收益應(yīng)該由無風(fēng)險收益和承受系統(tǒng)性風(fēng)險得到風(fēng)險收益組成。

閻慶民（2013）提出了信息科技風(fēng)險資本計量的標(biāo)準(zhǔn)法和基于損失分布法的計量方法。其中，標(biāo)準(zhǔn)法通過計算信息科技投入的一定比例計算風(fēng)險暴露；損失分布法設(shè)計了“時間+金額”的信息科技風(fēng)險損失量化方法，建立影響時間與金額損失的對應(yīng)關(guān)系，使得信息系統(tǒng)事故產(chǎn)生的間接損失可計量；損失分布法通過歷史損失數(shù)據(jù)，擬合頻率分布和嚴(yán)重度分布，并運用內(nèi)部衡量法對資本計量結(jié)果進行了調(diào)整，再根據(jù)置信區(qū)間來確定一定時間內(nèi)的非預(yù)期損失。

作為銀行業(yè)信息科技監(jiān)管的絕對權(quán)威，該論文提出了完整的框架和可行的實施辦法，此后討論信息科技風(fēng)險量化的相關(guān)文章較少出現(xiàn)。

四、結(jié)論與建議

作為在巴塞爾協(xié)議操作風(fēng)險下的信息科技風(fēng)險的資本計量方法，因為其嘗試對間接損失量化計入，所以往往只能通過分級分類、分組計量的方式來擬合。在何茂春的論文中，強調(diào)的是對事件發(fā)生后的量化分級處理，尚未明確提出資本計量的概念；在楊濤的論文中，投資收益的預(yù)估具有較大的主觀性，特別是信息系統(tǒng)往往帶來的是間接收益，難以衡量；在閻慶民的論文中，重新定義了信息科技風(fēng)險損失的定義，創(chuàng)造性地提出了基于標(biāo)準(zhǔn)法和高級法計量信息科技風(fēng)險資本的計量框架和系統(tǒng)性方法，由此在信息科技資本計量方面達到了較高的水平。此后也鮮有信息科技資本計量相關(guān)論文出現(xiàn)。

近些年來，隨著金融科技和開發(fā)運維理念的迅猛發(fā)展，可以看到銀行業(yè)的信息科技業(yè)態(tài)已經(jīng)有了較大的變化。

在互聯(lián)網(wǎng)金融業(yè)務(wù)的沖擊下，銀行業(yè)信息科技客戶服務(wù)意識不強，交互設(shè)計能力差，科技部門墻明顯，決策路徑冗長，技術(shù)能力不夠先進等問題日益影響了銀行業(yè)傳統(tǒng)業(yè)務(wù)的盈利水平。因此，對于信息科技的“尾部風(fēng)險”突出、損失隱性的特點，除了繼續(xù)完善組織架構(gòu)、風(fēng)險管理制度、事件風(fēng)險庫、監(jiān)測預(yù)警機制、外包管理等傳統(tǒng)手段外，還應(yīng)該注意到國內(nèi)外新的技術(shù)和管理概念的引入。

深化DevOps理念，強調(diào)信息科技運維人員的開發(fā)能力，推進信息系統(tǒng)云計算、容器化、自動化、智能化的建設(shè)，系統(tǒng)容量自伸縮、事件故障自愈、版本快速發(fā)布；推進精益理念，減少八大浪費，應(yīng)用版本按需生產(chǎn)，以小而快取代大而慢，減少大規(guī)模版本更新的科技風(fēng)險；實踐微服務(wù)理念，減少系統(tǒng)間的相互依賴，以接口調(diào)用實現(xiàn)松耦合；加快實現(xiàn)去IOE化，多使用開源工具實現(xiàn)自主可控；嘗試建立數(shù)據(jù)中心虛擬利潤的概念，推動技術(shù)部門從成本中心向利潤中心轉(zhuǎn)型；實行監(jiān)管沙盒政策，給予一定領(lǐng)域或地域的創(chuàng)新者有一定的時間開發(fā)產(chǎn)品、改善能力等等。對于切實使用新技術(shù)和管理理念降低了信息科技風(fēng)險的，可以參考谷歌SRE設(shè)立的差錯預(yù)算的概念，給予信息科技風(fēng)險資本計量方面有差錯容忍度的鼓勵政策。