文丨中信集团信息技术管理部 商菲

文丨中信银行信息技术管理部 金雯婷

商业银行作为信息密集型企业,一直是信息技术应用的领跑者。随着金融科技的快速发展,商业银行的科技治理体系、应用架构、研发模式、运维机制正在发生巨大变革;同时,内外部信息安全形势日趋严峻,信息科技风险也更为复杂、隐蔽、多变,风险管理面临前所未有的挑战。在这一背景下,商业银行需要从风险意识、技术方法、工具建设等角度出发,深入探索信息科技风险管理新思路、新手段,为信息科技风险管理的发展注入新动能。

本文在商业银行操作风险管理框架下,围绕操作风险管理三大工具风险与控制自我评估(RCSA)、关键风险指标(KRI)、损失数据收集(LDC),结合中信银行信息科技风险管理实践,提出了信息科技风险量化管理的建设思路及实施路径,详细阐述了信息科技风险管理体系下的风险评估、指标监测和损失事件统计三类风险管理量化模型。

一、信息科技风险评估模型

信息科技风险评估是商业银行信息科技风险管理的重要手段,通过建立资产、活动与威胁相关联的动态风险清单,对信息科技风险进行分析及评价,及时、准确掌握风险的分布状况,并采取相应的控制、缓释、规避措施,以实现风险最小化。信息科技风险评估模型以风险与控制自我评估理论为基础,结合银保监会《商业银行信息科技风险管理指引》要求,从实用性、操作性、合理性等方面分别对风险分析、风险评价结果进行计量,最终形成量化的风险评估结论。其中,风险分析是指对信息科技运用过程中产生的信息科技风险进行识别,并判断其发生可能性和影响程度,从而确定风险固有级别的过程;风险评价是指针对识别出的信息科技风险,从控制措施的有效性角度,对风险管理水平进行的全面评价。

1.风险分析计量模型

风险分析计量模型主要用于固有风险计量,综合风险的发生可能性和影响程度,最终得到风险级别。

(1)风险的发生可能性

风险的发生可能性是指可能发生某一类特定风险事件的概率,由高到低分为5个级别:高、较高、中、较低、低,统一采用五分制计分标准,其计算值由高到低为5~1,参考标准示例如下:每季度发生1次及以上、半年发生1次、一年发生1次、两年发生1次、5年以上发生1次,共5个级别。

(2)风险的影响程度

风险的影响程度是指如果风险事件一旦发生,可能给商业银行带来的直接或间接损失,确定风险影响程度的因素包括:风险引发事件造成后果的严重性、信息系统的重要性、合规影响、信息泄露影响等。风险的影响程度由高到低分为:特别严重、严重、一般、轻度、微小,共5个级别,统一采用五分制计分标准,其计算值由高到低为5~1。

(3)风险级别计量

本模型将信息科技风险的级别从低到高划分为五级,分别为低风险、较低风险、中风险、较高风险、高风险。风险级别的计量公式为:

风险值=发生可能性的计算值×影响程度的计算值

依据风险值确定风险级别,分别为:低风险(1~5)、较低风险(6~10)、中风险(11~15)、较高风险(16~20)、高风险(21~25)。风险级别计量矩阵如图1所示。

图1 风险级别计量矩阵

2.风险评价计量模型

风险管理水平的评价从“机制健全性”和“执行有效性”两个维度进行计量。机制健全性反映信息科技风险管理制度、流程建设方面的完备程度;执行有效性体现日常工作中对管理机制的执行有效程度。统一采用五分制计分标准,由高到低为5~1分,参考标准示例见表1。

表1 风险管理水平评价标准

风险管理水平计量公式为:

风险管理水平最终得分=机制健全性计算值×执行有效性计算值

从低到高确定的风险管理水平程度如下:低(1~5)、较低(6~10)、中(11~15)、较高(16~20)、高(21~25),见表2。

表2 风险管理水平计量标准

3.风险评估量化结论

风险评估量化结论由风险等级、风险管理水平共同决定,最终确定剩余风险是可接受的,还是需要做进一步风险处置。风险评估量化结论通常使用风险热图形式进行展示。参考标准示例如图2所示,视风险容忍度情况,通常绿色区间内认定为可接受风险,其余区间内将采用风险规避、消减、转移等风险处置措施。

图2 风险热图

二、信息科技风险指标监测模型

银保监会《商业银行信息科技风险管理指引》第十八条提到“商业银行应建立持续的信息科技风险计量和监测机制”,指标监测作为信息科技风险管控的有效手段,通过触发阈值及变化趋势来实现对信息科技风险事前、事中控制。信息科技风险指标监测量化模型打破了指标管理的固有模式,从指标定义、指标计量、指标监测三个方面,构建出动态、分层、实时的指标监测量化方式,及时跟踪信息科技风险状况及变化趋势,实现风险动态监测及分级预警。其中,在指标定义中,指标领域应全面涵盖《商业银行信息科技风险管理指引》要求,包括信息科技治理、信息科技风险管理、信息安全、信息科技开发与测试、信息科技运行管理、业务连续性、信息科技外包及信息科技审计;在指标计量中,根据指标设定的采集频率,获取各个指标分量数值,运用科学的计算方法得到指标量化结果;在指标监测中,除设计阈值预警模式外,还应考虑到正向指标、逆向指标不同的风险变化趋势。具体模型如图3所示。

图3 信息科技风险指标监测模型

在上述信息科技风险指标监测模型的实际应用中,应建立指标分层管理机制,对银行全行层、部门层、分行层、子公司层等各层级指标分类管理。同时,应配套建设风险指标监测平台,实现指标的线上采集、自动计量、动态监测、分级预警、视图展现等功能,并明确指标全生命周期管理流程,动态开展指标重检。

三、信息科技风险损失事件统计模型

信息科技风险事件是银行在运用信息科技过程中,由于自然因素、人力因素、技术漏洞和管理缺陷,对银行造成财务损失或其他负面影响的事件。信息科技风险事件的损失计算可以借鉴《巴塞尔协议III》提出的计量方法,但存在以下问题:第一,信息科技风险与总收入、业务交易量、交易金额等指标关联并不十分密切;第二,信息科技风险事件如业务中断或数据差错,造成的客户或声誉损失难以直接用金额量化。信息科技风险损失事件统计模型通过对事件的分类收集、多因子损失计量以及风险点映射,形成一套科学度量事件损失的基本标准。

1.事件损失值计算

通过对中信银行历年损失事件的分析,损失形态可分为直接损失形态与间接损失形态,直接损失形态包括资产损失、法律成本、监管罚没、对外赔偿等;间接损失形态包括客户服务、法律声誉、监管声誉、品牌声誉等。笔者总结了以下7个损失因子。

(1)对业务运行造成的直接金额损失

由于信息科技风险事件,导致银行未能履行应承担的责任造成的财务损失,如因业务中断、数据差错、交割延误、内部案件等造成客户资金或资产直接损失的赔偿金额(考虑风险事件本身对银行造成的金额损失,而非对客户造成的金额损失)。

(2)恢复业务运行产生的成本损失

银行为平息事件和恢复业务运行付出的成本。为了取得一个共同衡量尺度,成本损失以本行平均人月成本计算。

(3)客户影响

由于信息科技风险事件影响客户正常办理业务,或无法为客户提供服务,产生用户数据差错或泄露等,造成客户满意度下降、投诉等影响。

(4)法律声誉损失

因违反国家法律法规,而导致银行被法律诉讼或行政处罚的情形。

(5)监管声誉损失

违反监管规定,受到人民银行、银保监会等监管机构处罚的情形。

(6)品牌声誉损失

因信息科技风险事件对银行声誉造成的损失,导致银行声望损害、可信度损失及其他负面后果。

(7)管理运行损失

因信息科技风险事件降低管理效率,影响银行的有效运行,导致重要管理策略无法执行。

信息科技风险事件的损失值由上述损失因子的量化级别(Ln)及其权重(Qn)计算加权求和得出:

具体因子及权重数值应根据各银行实际情况制定。举例见表3,其中量化标准采用数值。

表3 损失因子量化级别

2.事件的风险点映射

损失事件的风险点映射是通过对大量信息科技风险事件的损失值量化统计,建立损失事件库及风险库的映射关系,以判断一定时期的管理漏洞。借鉴巴塞尔银行监管委员会对操作风险的分类,将信息科技风险损失事件分为可用性损失事件、完整性损失事件、访问性损失事件、欺诈性损失事件、合规性损失事件和其他事件。风险库由形成该类事件的威胁和脆弱性组成的风险描述构成。以可用性损失事件的风险描述为例,见表4。

表4 可用性损失事件风险描述

事件损失值计算与风险点映射共同构成信息科技风险事件损失统计模型,该模型有助于建立损失事件分类标准(重大、一般、轻微等),形成风险事件的管理评价与考核体系;同时,对于一段时间内损失事件高发的风险领域,可将其作为信息科技风险评估、信息科技风险指标监测的阶段性重点,有针对性地开展风险治理。

在信息技术创新变革的背景下,科技已成为银行业务发展的核心驱动力,“以风险科技应对科技风险”的风险管理理念应运而生,引领信息科技风险管理的数字化转型。本文从风险量化角度出发,提出了一套标准统一、关联融合、智能计量的信息科技风险管理模型。其中,信息科技风险评估模型通过对风险的量化,为关键风险指标设置和损失数据风险库提供了参考;风险指标监测模型的风险预警结果可作为风险评估的关注重点,也常常暴露损失事件的产生根源;损失数据统计模型提炼出的损失事件风险点是风险评估项的重要来源,也可验证关键风险指标阈值设置的合理性。三种模型贯穿于信息科技风险管理的全生命周期,既相互独立又相辅相成,共同构建了信息科技风险量化管理新体系,助力实现信息科技风险管理的数字化转型。

本文刊于《中国金融电脑》2021年第10期

声明:本文来自FCC30+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。