1.1 新时代金融机构信息科技风险态势

在金融机构信息科技诞生之初，金融机构信息科技风险即相伴而生。随着金融机构信息科技的进一步发展，金融机构信息科技风险态势也在不断变化之中。本节将针对新时代金融机构信息科技风险态势进行探讨：首先对金融机构信息科技风险的概念和风险监管的发展历程进行诠释；其次在分析国际金融机构信息科技风险管理现状与趋势的基础上，对比论述国内金融机构信息科技风险管理的现状和特点。

1.1.1 金融机构信息科技风险的概念

信息科技风险在不同行业、不同角度甚至不同时期，均被赋予了不同的定义和内涵。摩根士丹利曾将信息科技风险定义为机构信息、系统和基础设施受到网络和内部威胁。在《巴塞尔协议》中，信息科技风险的定义是任何由于使用计算机硬件、软件、网络等系统所引发的不利情况，包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞及故障恢复等。

这些定义更多是从技术角度做的诠释。对于金融机构而言，2009年中国银行业监督管理委员会（以下简称“银监会”）发布的《商业银行信息科技风险管理指引》是我国金融业信息科技监管的一部重要法规，也是金融科技创新和风险控制能力的衡量基准、准入依据。《商业银行信息科技风险管理指引》中的解释可以作为权威定义。

《商业银行信息科技风险管理指引》中首先定义了信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，包括信息科技治理、建立完整的管理组织架构、制定完善的管理制度和流程。信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉方面的风险。

总体而言，金融机构信息科技风险具有如下特点。

❑突发性：金融机构信息科技风险的发生往往是猝不及防的，例如因为基础设施被破坏，造成突发性服务中断，产生经营风险。由于互联网等现代通信技术的普及，巨额资金可以瞬间通过银行网络发生转移，从而导致银行资金面临流动性风险。

❑快速传递：随着互联网通信技术的快速发展，当前绝大多数金融机构形成了互联互通的网络，导致局部风险可以通过网络迅速蔓延，从而导致更大范围的风险。

❑跨越时空：随着互联网、移动业务的发展，金融机构通过业务线上化突破了地域的限制，但是这让每一笔交易的交易对象和交易动机的确认变得更加困难。

❑多元化：服务渠道的多元化和客户服务场景的多元化，导致金融机构信息科技风险也出现了多元化的演变，对风险及其影响的框定往往十分困难。

❑责任难以区分：随着金融信息化的迅猛发展，金融机构信息科技系统不限于金融机构自身，还涉及电信、电力、供应商、外包商、合作机构等多个行为主题。宕机、服务中断等事故的原因往往是多方面的，事故责任通常难以准确区分。

《商业银行信息科技风险管理指引》中除了给出了金融机构信息科技风险的定义，还进一步提出了信息科技风险管理的概念，即旨在通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

1.1.2 金融机构信息科技风险监管发展历程

在讨论金融机构信息科技风险监管发展历程之前，先介绍金融机构监管的发展历程。金融机构监管的发展趋势和监管实践是随着经济金融化和金融技术手段现代化的发展而不断更新迭代的。

以银行业为例，按照银行创新教父Brett King的观点，银行业经历了1.0、2.0、3.0时代，已经进入4.0时代，银行服务也从最初的物理网点发展为无处不在，嵌入生活的智能银行服务。在此过程中，金融监管也先后经历了传统监管、电子化监管、数据集中监管和智慧监管4个时期。信息科技风险监管作为金融监管的一个分支，与金融机构信息科技的发展息息相关。我国金融信息科技的发展经历了电子化、信息化、互联网化和移动化、数字化和智能化4个阶段，金融机构信息科技风险监管也经历了从无到有、从信息化到智能化的发展过程。

1.电子化时期与信息化早期：金融机构信息科技风险尚未得到重视

从金融业引入计算机开始，我国金融行业电子化拉开了序幕。那时候还不叫信息技术或者IT（Information Technology），而是电子化。当时金融服务基于物理网点实现，金融行业的科技能力更多体现在代替手工记账上，解决银行业务人员大量重复性的手工劳动。由于无法按照客户的业务需求编程，也没有一个真正的金融核心应用系统，仅实现了银行一部分业务的自动化，因此我们称之为电子化时期。由于这一时期并没有真正意义上的金融机构信息科技的概念，因此金融机构信息科技风险管理也就无从谈起。

1987～1988年，经过IBM定制化开发的SAFII系统在工商银行的网点大量上线，标志着我国金融业正式进入信息化时代。此时金融机构的科技发展已经不局限于简单的电子记账，而是借助金融应用系统实现金融业务的信息化管理。一方面，早期金融机构的业务仍以物理网点为主，基于物理网点的业务发展十分有限，对金融信息系统的应用往往也需要手工的复核；另一方面，由于早期国内各大银行并未实现系统的总行大集中（例如工行最初上线的SAFII系统就是在全国50个大中型城市分别设立50个中心，安装100套大型机系统），因此当时信息科技的风险影响有限。此时，金融机构信息科技的风险并未得到重视。

2.总行大集中与互联网化推进：金融机构信息科技风险得到重视

金融监管机构开始重视金融机构信息科技风险主要是基于以下三方面变化。

2001～2002年，中国工商银行完成了全国信息系统的总行大集中，随后各大行也纷纷开启了信息系统的集中运行模式。对于这些银行而言，信息系统的风险已经不再局限于某一地域部分网点的业务影响，信息系统一旦发生宕机或者不可用的情况，将影响该行全国范围内的业务办理，造成的经济损失和社会影响往往是非常大的。

2002～2003年，中国人民银行牵头研发中国现代化支付系统（China National Advanced Payment System, CNAPS）并在全国推广上线，实现了全国各银行各个网点的互联互通。CNAPS的上线，助力我国不同的金融机构之间业务往来的秒级办理，也在一定程度上造成了金融机构之间信息系统风险的蔓延。一方面，由于CNAPS提供的便利性，各个不同金融机构之间的业务往来更加紧密，某一家金融机构的系统出现宕机，导致业务无法办理的情况，往往一定程度上影响其他机构与该机构之间的业务往来；另一方面，在不同机构之间的应用系统实现互联互通的情况下，我们实际上无法做到绝对的系统间灾难隔离，当某一家金融机构的系统出现宕机风险时，往往会影响与之互联的其他金融机构的系统运行（例如2014年6月23日，某大行系统宕机，导致很多金融机构的支付清算系统出现运行缓慢的情况）。

网上银行业务的兴起，使得金融机构的业务进一步延伸到物理网点之外。1997年，招商银行首先推出网上银行业务，此后的2001～2002年，工行、建行、中行、交行和农行先后推出了自己的网上银行业务。网上银行业务的兴起，使得金融机构的业务不再局限于物理网点，而是进一步借助信息科技得以延伸。信息科技对金融机构业务发展的重要性已经非常突出。

2006年，银监会发布了《银行业金融机构信息系统风险管理指引》，随后又于2009年发布《商业银行信息科技风险管理指引》，标志着金融机构信息科技风险的监管被纳入监管机构重点关注的领域。

3.信息化深入与移动化发展：金融机构信息科技风险监管进入信息化

随着金融机构信息化的进一步深入发展，金融机构的业务种类和业务范围也得到了极大的延伸。金融机构已经不满足于只向客户提供基本业务，而是推崇以客户为中心的全方位金融服务理念。手机银行业务随之兴起，金融业务的移动化发展促使金融机构信息科技在金融行业中占据举足轻重的地位。

可以说，此时金融机构各项业务办理已经离不开信息科技。信息科技系统的任何风险都将直接或间接伤害金融机构正常的业务办理以及经济效益，甚至对金融机构的声誉造成影响。

与此同时，监管部门也开启了金融机构信息科技风险信息化管理的历程。2013年，监管部门上线了非现场监管系统，通过信息化的手段，开始直接对各个金融机构的系统运行情况进行实时的监测与分析，从而改变了过去现场监管和手工数据报送等原始的检查方式。在此基础上，2014年，监管部门正式将信息科技风险管理纳入金融机构监管评级中，如今已经占到金融机构监管评级10%的比重。

4.数字化与智能化金融时代：金融机构信息科技风险监管进入智能化

近年来，随着人工智能、区块链、云计算、大数据、5G和物联网技术与金融科技的深度融合，金融机构的经营模式与服务理念都发生了很大的变化。金融机构信息科技的发展已经能够做到引领金融业务的发展。此时，金融机构信息科技风险的监管如果仍局限于信息化的管理与分析，将无法有效跟进金融科技发展的趋势，对于科技引领业务发展的过程中可能出现的“科技作恶”的风险就有可能无法及时发现并加以规避和解决。

管理先行应该是当前金融信息科技监管必须秉承的思路。近年来，随着金融科技（Financial Technology, FinTech）的兴起，监管科技（Reg Tech）也紧随其上，并逐步被各个国家的监管机构加以重视，其发展的速度与步伐已经不逊于金融科技。

人工智能和大数据等技术同样也可以在金融信息科技监管领域发挥巨大的作用，通过数字化、智能化的手段，及早分析和预测各个金融机构潜在的信息科技风险，并及早加以警示与防范，也是保证我国金融稳定，维护金融业务良性发展的重中之重。

1.1.3 国际金融机构信息科技风险管理现状与趋势

对国际上金融机构信息科技风险管理的现状与趋势进行分析对我们来说有一定的借鉴意义。本节我们先看具有代表性的英美两国金融信息化风险管控的现状，然后分析国际上发达国家金融信息化风险管控的主要手段。

1.英美两国金融信息化风险管控现状

英国是现代金融制度的诞生地，也是全球领先的金融服务中心，其金融业务品种复杂多样，涵盖银行、保险、证券、外汇、基金、衍生产品等各类品种，不仅业务品种繁多，而且对交易的跨地域性和即时性的需求非常高。对于英国而言，金融信息科技的强有力支持就显得非常重要了。英国金融业的普遍做法如下。

❑制定各类信息科技风险管控制度，并在实践过程中不断完善，确保制度的落地执行。

❑设立专门的机构负责制度的执行，确保制度得以贯彻。

❑对金融信息系统的要求，一方面要尽可能通过信息系统替代手工业务，减少人为因素的风险；另一方面要尽量精简系统，避免系统过于复杂导致意外事件的发生。

❑注重数据的安全性、可用性、可靠性和可记录性。

❑注重意外事件的应急响应和处置，并举一反三，避免同样问题再次发生。

美国信息科技风险管理起步早，美国也是对金融科技风险监管最细致、最全面的国家，有着近百个IT风险有关的法律、规范、标准和指南，举例如下。

❑信息科技服务外包商的监管要求。

❑决定监管关注程度的风险评级体系。

❑信息科技风险对金融机构整体经营的影响矩阵。

❑在信息科技领域对公司治理的要求。

❑国际合作的标准和要求。

2.国际信息科技风险标准体系一览

国际上对于金融信息风险的标准化已经做了长期的积累，其中部分标准已经被我国引入并使用。目前国际上普遍采用的风险管理标准体系如表1-1所示，其中比较典型的是信息安全管理体系ISO27000和金融技术风险评级体系参考标准COBIT。

信息安全管理体系ISO27000系列包含多个具体标准。

❑ISO27001信息安全管理体系

❑ISO27002信息技术—安全技术—信息安全管理实践规范

❑ISO27003信息安全管理体系—实施指南

❑ISO27004信息安全管理体系—指标与测量

❑ISO27005信息安全管理体系—风险管理

❑ISO27006信息安全管理体系—认证机构的认可要求

❑ISO27007信息技术—安全技术—信息安全管理体系审核员指南。

其中ISO27001是主标准，于1993年由英国贸易工业部设立，适用于企业、政府机构等各种类型的组织，属于信息安全管理体系的认证。

金融技术风险评级体系参考标准COBIT（Control OBjectives for Information and related Technology，信息系统和相关技术控制目标）由美国信息系统审计与控制协会于1996年提出，已经成为众多国家和地区的政府部门、企业对IT的计划与组织、采购与实施、服务提供与技术支持、监督与管控等进行全面考核与评定的业界标准。COBIT已经成为国际上公认的IT管理与控制标准，它将信息科技风险评级分为IT规划与组织、系统获得与实施、交付与支持和信息系统运行监控4个控制域，覆盖了整个信息系统的全部生命周期。

3.国外金融信息科技风险管控的主要手段

国外金融信息科技风险管控的主要手段如下。

❑注重信息化建设与风险管理的协同发展：将信息化建设、系统运行、管理决策和风险管理四方面相互关联，形成相互支持、相互制约的共同体。

❑通过行业规范和安全产品工具提升风险防控水平：通过各类风险策略的规范理论体系、风险控制的技术标准、信息安全方面的规范标准和信息技术外包评估标准等规范，有效提升信息化过程中的风险防控水平。

❑持续加大风险管控力度：确立风险意识的文化，对风险进行现实的评估，确立风险承担制度，将风险管理纳入信息化建设的日常工作中。

1.1.4 国内金融机构信息科技风险管理现状与特点

近年来，我国金融业取得了突飞猛进的发展，金融科技应用能力也已经走在了国际前沿。信息科技已成为金融机构实现经营管理、业务运行、分析决策、行业创新的强大技术保障。与此同时，在金融机构信息科技风险管理领域，已经实现了从被动监管到主动管理的转变。

1.监管驱动

当前，我国监管部门对金融机构信息科技风险管理提出了严格的法律和监管要求。

国家法律法规层面，对于金融机构信息科技风险管理提出了非常严厉的要求，先后出台《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，在个人信息使用与保护、网络安全等级保护、数据分类分级使用与安全管控方面都有着非常明确的要求。这些法律法规是各个金融机构必须恪守的准绳。

我国金融机构，包括银行、证券公司和保险公司都要接受中国人民银行的统一管理。针对金融科技信息化领域，中国人民银行每年都会下发各类管理要求。由于中国人民银行是支付清算系统的主体，因此各金融机构作为接入方，也同样必须遵循中国人民银行的相关要求，如《中国现代化支付系统运行管理办法》等。此外，对于近年来日益兴起的金融科技，中国人民银行同样也颁布了《金融科技创新安全通用规范》等条例。

中国银行保险监督管理委员会（后文简称“银保监会”）负责贯彻落实党中央关于银行业和保险业监管工作的方针政策和决策部署，这些年也发布了很多针对信息科技风险的文件，均对商业银行提出了非常严格的强制性要求。各大金融机构在应对来自监管合规和自身业务安全运营的需求方面也付出了巨大的努力，投入了大量的成本。

金融机构除了要遵循国家法律法规、中国人民银行和监管部门的各类要求，也需要遵循社会上的一些技术标准和规范，典型的如个人信息保护方向的《信息安全技术 个人信息安全规范》（GB/T 35273—2020）、《信息安全技术 个人信息去标识化指南》（GB/T 37964—2019）等，数据安全方向的《信息安全技术 大数据服务安全能力要求》（GB/T 35274—2017）、《信息安全技术 数据交易服务安全要求》（GB/T 37932—2019）等。这些都是金融机构为提升自身信息科技风险管控能力而必须努力遵守的规范和标准。

2.自身驱动

随着人工智能、区块链、云计算、大数据、5G和物联网等技术的飞速发展，金融科技应用能力也得到了提升，当前各个金融机构均已经开始利用金融科技尝试业务发展。为了保证业务平稳开展和良性发展，实现更大的创收，金融机构信息科技风险管理变成了主动自发的要求。各个金融机构需要不断提升信息科技风险管控能力，以适应不断变化的IT环境，以及防止系统中断、交易差错、信息泄密等严重危害金融机构自身声誉的事件。

外部监管驱动和金融内部需求两个方面，都需要金融机构充分利用信息化手段，来实现信息科技管理的标准化和规范化程度，进而达到信息科技风险管理的可视化、可量化及智能化。

在满足监管要求的过程中，各个金融机构对本机构的信息科技风险开展持续的风险识别、风险评估和问题整改等相关工作。近年来，随着强监管时代的到来，各个金融机构深刻认识到，金融科技风险管理的工作已经无法仅停留在纸面上，并在多个方面同时开展行动，努力提升自身对监管要求的满足程度。对于各个金融机构而言，特别是中小金融机构，信息科技风险管理方面普遍存在的问题以及应对措施如表1-2所示。