- 快捷搜索
- 全站搜索
随着互联网技术的飞速发展、金融服务的创新和变革走向深入,信息技术已从银行传统后台支持转变成为市场竞争的核心能力之一。银行IT的广泛运用和飞速发展,同时也带来了IT风险的爆发式增长,IT风险管控面临重大挑战。
另一方面,在经济全球化的背景下,国内银行业为寻找新的利润增长点,境外业务迅速扩张。截至2012年末,工、农、中、建等四大行的境外分支机构已经遍布欧美、亚洲,甚至扩展到遥远的非洲,在纽约、伦敦、东京、巴黎、迪拜等地设立的分支机构达168个,招商银行、兴业银行、民生银行等也逐步在香港、欧美、东南亚设立分支机构。国内银行境外机构扩张和发展离不开IT系统的支持,这些IT系统部署、运维大多在境内,IT系统的运维和管理如何适应满足驻在国(地区)相对严格甚至“刁钻”的IT监管要求,成为国内银行亟待解决的重大问题。
本文将重点研究有关国家及地区的金融监管模式,分析境外银行IT监管状况及其借鉴意义,为国内银行满足所驻国家(地区)的监管要求、提升IT风险管控水平提供参考。
境外金融业监管的三种模式
境外金融业监管的模式主要分三种:一是以美国、加拿大为代表的“双线多头”,即在国家和州两个层面分别设置多家监管机构实施分业监管;二是以英国和香港为代表的“单线多头”,监管权力统一在国家层面,设置多家监管机构实施分业监管,该模式还包含“双峰”、“准双峰”两种特殊模式,即在国家层面由两家监管机构分别负责业务经营监管和审慎监管;三是以新加坡为代表的“集中单一”模式,在国家层面由唯一的监管机构实施混业监管。
1.“双线多头”监管模式
美国以美联储(FED)为中心的“双线多头”监管模式又称“伞型”模式(如图l所示),“双线”指联邦层和州政府层两条线,“多头”指各行业部设分业监管机构并分别发布法律法规。针对该模式下交叉监管严重、存在监管真空等问题,FED牵头组建了联邦金融机构监管委员会(FFIEC)以协调各监管机构,负责统一监管政策及标准、对被监管方进行指导并开展监督检查。在银行IT监管方面,FFIEC制定了“信息技术风险评级体系”(URSIT)对被监管方IT管控情况进行评级,还针对IT监管重点颁布指引手册,指导被监管方有效管控IT风险,并不定期组织现场检查。加拿大的金融监管模式与美国基本相同,但全国性监管机构扮演了更主要的角色,监管较为统一和明确。
2.“单线多头”监管模式
英国于2013年初将金融监管模式调整为“准双峰”金融监管模式(如图2所示),英格兰银行金融政策委员会(FPC)作为宏观审慎监管机构负责监控和应对系统风险,而审慎监管局(PRA)和金融行为监管局(FCA)作为英格兰银行下属独立机构分别负责审慎监管和业务经营监管,接受FPC的指导,其中银行IT监管主要由PRA负责。澳大利亚的“双峰”模式与英国相近,但不设立类似FPC的指导机构,而是通过“双峰”监管机构间互相协作来加强监管。
香港的金融监管主要由财政司牵头,由金融管理局(HKMA)、证券及期货事务监察委员会(SFC)、保险业监理处(OCI)、强制性公积金计划管局(MPFA)实施分业监管,即分业金融监管模式(如图2所示)。HKMA在机构拓展与营运板块下设置了信息科技部门,配合风险管理与监察部门对银行IT实施监管。
欧盟的金融监管模式类似于“单线多头”,各成员国央行行长组成欧洲系统性风险委员会(ESRB),应对宏观风险。下设欧洲银行业管理局(EBA)、欧洲证券及市场管理局(ESMA)、欧洲保险和职业养老金管理局(CEIOPS)分别对口银行、证券、保险三行业。
3.“集中单一”监管模式
新加坡金融管理局(MAS)负责对全国范围的金融机构进行全面监管,不仅负责金融政策等宏观方面的规划,还负责现场检查等细节方面的管控。IT监管方面,MAS将IT风险列为8项主要风险之一实施重点监管,MAS下设风险监管部和银行监管部,履行银行IT风险监管职责。
二、境外金融IT监管现状
各国监管机构随着金融服务、技术的创新在不断深入和强化银行IT监管。各层面法律法规、政策指引、监管手册等陆续发布,监管方式从政策法规引导、评级评价到非现场报备、现场检查,十分多样。监管机构所属IT监管部门专业化水平不断提升,职责分工也更精细、明确。这其中,美国、欧盟、新加坡、香港等国家(地区)的监管比较具有代表性(多个国家、地区的监管模式和具体机构名称详见表1)。
1.美国
美国银行IT监管十分注重法律法规建设和监管评级。“双线多头”模式下,各监管机构都会发布各自的监管法规和指引,FFIEC作为协调机构,依据现行法规和指引编制了一系列IT指引手册(IT booklet),涉及网银、外包、操作、信息安全等12个方面,对如何识别、分析、预警和控制IT风险给出指导,是监管机构开展IT检查的重要依据,也是银行完善IT管理的基准文件。监管评级方面,FFIEC利用URSIT(美国金融业技术风险评级体系)系统性地评价银行的整体风险管理情况,并纳入银行“骆驼信用评级体系”(CAMEL),使IT风险在银行总体风险中得到体现。URSIT与IT指引手册紧密结合,监管机构可依据URSIT级别,对银行开展相应级别的监督检查。
值得一提的是,美国非常重视对IT外包的监管,强调“服务外包,责任不外包”,在法律上授予监管机构对IT外包服务商等同于银行的监管权(《银行服务公司法》)。截至2011年底,FFIEC已对约160个IT外包服务商进行了跟踪检查。
2.新加坡
新加坡在监管体系上参考美国CAMEL体系,由MAS建立了“公共风险评估框架和技术”(CRAFT),对金融机构进行风险等级评定,并依据其结果决定对金融具体的监管策略。其中,IT风险是一个重要的评级指标,该指标关注设备宕机、系统错误、网络漏洞、恶意软件攻击、黑客事件等重要风险点。采用这一评级体系,MAS有效地将IT风险评估纳入银行总体风险评价和评级,更好地提升了银行业对IT风险的管控水平。在法律法规上,为有效应对和管控诸如银行卡支付、移动技术、虚拟化等IT新技术为银行带来的风险,MAS发布了《互联网银行和信息技术风险管理指引》,其内容涉及客户资料保护、外包管理、连续性等多方面内容。
组织结构上,MAS下设的风险监管部和银行监管部主要负责银行业的IT监管。风险监管部为银行监管部提供IT风险管控建议,银行监管部则根据建议对不同类型的银行进行具体的监管。实际操作中,MAS根据每一家银行对新加坡金融的影响程度、非现场报备信息及CRAFT评级所揭示的风险状况,决定现场检查频率。现场检查一般以专项检查为主,主要针对某一特定风险,必要时开展全面检查。
3.欧盟
EBA在借鉴、融合ISO 27001(信息安全管理实用规则)、NIST 800(IT系统应急计划指南)的基础上,2011年陆续发布了多个信息系统安全策略(Information System Security Policy),作为强制标准对信息系统的恶意代码、日志与监控、备份管理、访问控制与身份认证、可移动代码等进行规范。另外,EBA还发布了一系列指南,为银行在内控、外包管理、操作风险等领域的管理提供指导。
在欧洲的信息系统安全策略中,可移动代码标准(Standard on Mobile Code,SMC)相较于其他国家(地区)的监管更全面、具体,可执行性也较高,在“如何选取可移动代码技术”、“服务器端、客户端规则”等都有详实的阐述。该标准对当前银行交易大量网络化、移动化,各类插件、跨平台程序安全隐患较大的现状,有较大的参考价值。
4.中国香港
在中国香港地区,HKMA定期对银行机构的IT风险管理、网上银行管控措施以及业务连续性管理等进行审查,仅2012年组织审查就达20次,覆盖79家银行,其中就包括对电子银行业务专项审查,以评估银行对网上银行、手机银行及电话银行等服务的风险管控以及对IT问题管理及变更管理的管控措施。
商业银行IT风险管理(信息科技风险管理)常谈常新,而从IT风险管理与内控相
目前贷款利率管制已基本放开,利率市场化改革进入了一个全新的阶段,这从风