关键词:商业银行;金融科技业务;风险管理
中图分类号:F275文献识别码:A文章编号:2096-3157(2023)20-0146-02
一、引言
通过结合各种智能化设备以及技术,我国的商业银行金融科技业务得到了广泛的发展。这种发展并不是商业银行自身决定的,而是为了满足市场的需求而推出的一种顺应时展的业务。目前商业银行的金融科技业务涉及环节众多,主要涉及信息系统的运营以及维护、风险控制、风险管理等诸多环节。因为这种智能化给商业银行带来的风险与传统商业银行发展的风险不同,所以在未来的发展过程中要格外重视,不断提高风险管理水平和管理质量,以此来推动商业银行稳定发展。
二、风险管理面临挑战
1.信息安全方面
信息安全是商业银行发展的核心,同时信息安全的风险管理也是商业银行金融科技风险管理的重中之重。就目前商业银行金融科技发展情况而言,其安全方面主要出现了以下几个问题。
(1)缺乏完善化的风险监管规则。人工智能也是近几年才发展起来,相关的法律约束还没有完全跟上,部分领域内的规章制度仍然呈现空白状态,数据信息的安全并不能完全得以保障。除了缺乏硬性的法律规定之外,在金融系统整个行业内部,尚没有形成完善的行业准则和具体规定,金融科技的安全标准仍然没有统一,这也就意味着整个行业的数据信息安全处在一个非常危险的状态,一旦发生问题,不仅是商业银行,还包括金融科技的消费者,其合法权益都会受到侵害。
(2)缺乏防范数据安全风险的措施。风险管理并不意味着出现风险之后才能管理,而是要提前对风险进行预防,结合应对措施,达成对风险的防范。目前商业银行在应用金融科技建立数据库时,缺乏对数据安全风险的识别,不能有效识别各种病毒,对数据库的维护以及运营都造成了一定的负面影响。不能有效防范数据安全风险,是商业银行数据库发展过程中比较严重的问题。
(3)评价及预警机制。金融科技信息风险存在一定的滞后性,假如不能及时避免滞后性带来的影响,使用金融科技业务时必定会伴随着大量的风险。通过制定相应的预警机制,对风险的技术以及危害性进行评估,并及时准备好相应的预警应急预案,以有效应对风险,降低风险所带来的损失。
(4)端口信息传输缺乏有力的风险监控。商业银行其内部缺乏完善的风险监管规则,这也就意味着相应的监管工作无章可依,监管工作有效性并不高。商业银行的相关业务要在金融科技平台上进行实现,信息从传入到传输,存在缺乏监管的情况,其安全性得不到保障,一旦出现信息泄露的问题,那么极有可能会对商业银行造成不可挽回的后果,甚至会导致互联网金融犯罪的发生。
2.信用风险方面
伴随着金融科技业务发展的另一大关键问题,就是信用风险问题。目前,商业银行金融科技的信用风险来自于以下几个方面。
(1)缺少信用数据规范文件。关于性能约束这一方面,我国并没有形成完善的标准,相应的规章制度也没有完全建立,所以无法准确收集信用数据,更无法做到深度处理与分析,这种环境下,信用数据的监管有效性并不高。关于个人信息在信息端口传输过程中的安全保护,其并没有相应的规章制度可以进行保障,即便是有,也只是大方向上的一些宏观保障,并没有细化到具体细节。
(2)信用风险管理水平低。当前商业银行关于信用风险的管理活动,一是缺乏相应的管理制度,二是缺乏相应的管理意识,导致目前的信用风险管理质量并不高。以区块链金融领域为例,其主要内容是增信,如何在保证信用评价具备极高的真实性和有效性的同时,对增信的手段进行完善,是其领域发展的关键问题。
(3)完善化信用风险甄别机制。关于信用风险的甄别机制,仍然存在有待完善的空间。当前的信用风险甄别,并没有做到将所有风险如数发现的地步,在定位目标方面,当前的甄别机制仍然存在一定的漏洞。中国金融科技平台进行信贷时,对其风险评估质量不过关,容易给商业银行带来额外的损失,为商业银行带来更多的风险。即便是发现问题,对数据信息进行风险提示,因为信贷风险的组合不同,所以导致在监控过程中出现的问题也不尽相同,无法进行准确的风险预警。
3.内控风险管理方面
商业银行防范风险的另一大重要措施就是加强自身内部控制,内部控制也是其经营管理的重点。在人工智能时代下,商业银行的内部控制被赋予了更多的含义,同时,也面临着更多的挑战。在人工智能时代下,数据信息的数量大幅度增加,同時,获取数据信息的方式也变得多种多样,风险管理对数据信息的获取以及处理的要求更高。不管是商业银行本身,还是金融科技平台,双方在面对客户时,数据在传输过程中可能都会出现一定的问题,带来一定的风险,不管是商业银行还是金融科技平台,都无法最大化保障数据的安全性,但如果因为人为因素或者平台本身的原因出现问题,那么很有可能给商业银行以及客户带来相应的损失。金融科技操作需要依靠计算机为载体,而对计算机进行操作的则是专业的技术人员,对金融科技业务并不是很了解,导致业务与技术之间无法做到有效连接,使得内部控制风险岌岌可危。除此之外还缺乏完善的动态监控体系,使得风险并没有处在一个动态的监控范围之下,对风险信息的接收具有滞后性,不能及时地应对风险,导致风险极有可能恶化,造成更恶劣的后果。在信息网络背景下,传统的审计标准以及方法并不足以应对商业银行的新风险。
三、信息安全的风险管理综合体系
1.确立信息安全的风险管理综合体系
为了更好地保障商业银行的信息安全,加强内部的风险管理,必须建立一套针对信息信息安全到风险管理综合体系,并将这套体系融入商业银行管理当中,真正为商业银行的风险管理起到作用。确立信息安全的风险管理综合体系,可以从以下几个方面进行。
(1)确立管理规则。基于商业银行的发展情况不同,在确立管理规则时,需要以银行的实际发展情况为基础,结合信息安全的行业准则,提高管理规则的规范性和科学性。当然针对金融科技的风险管理规则绝不能像传统风险管理规则一样,网络具备开放性,在设置管理规则时,必须结合网络信息安全法律等相关规定,制定合理合法的管理规则。在明确管理规则之后,将管理规则融入到商业银行的内部控制当中,成为内部体系当中的一部分,真正为商业银行的运转提供保障。除此之外,对员工进行专业的规则宣讲,提高其专业能力,以便在风险来临时,提高员工的应对能力。
(2)确立数据安全的风险防范专项机制。通过确立数据安全的风险防范专项机制,提高金融科技平台的安全防范水平。这个机制必须以科技平台为载体,主要防范内容放在数据库的运行和维护中,通过对风险进行识别以及防范,真正提高金融科技平台的安全性。为了加强防范专项机制的有效性,可以根据商业银行主体单位数据安全水平进行划分,紧急的事情紧急处理,日常的事情日常处理,保证信息安全风险管理可以做到符合各个阶段的发展以及应用。
(3)制定预测反馈机制。通过制定与评估专项机制,对银行推出的相关科技产品、服务进行相关测试,并根据测试结果进行评估与反馈。通过此举,可以及时发现商业银行推出的相关产品以及服务是否存在问题,假如存在问题,那么便可以及时进行解决,防止出现额外的风险,带来额外的损失。除此之外,还可以为商业银行后续的产品以及服务提供标准参考,提高商业银行的产品、服务质量,从而提高商业银行的整体发展水平。
(4)制定数据传输的预警机制。提前对数据传输过程中产生的风险进行预警,在最大程度上降低互联网金融犯罪的概率,在遵守保密规则的基础上,明确金融科技平台在维护运营过程中的责任分属,将责任落实到个人,提高金融科技平台运营维护水平,从而提高数据传输预警机制的有效性,使信息在各个端口之间传输的安全有所保障。
2.逐步完善化信用风险的评审
在大时代的背景下,围绕商业银行的发展情况来看,通过完善信用风险的评审,可以有效提高商业银行应对风险的能力。此项专项机制中包括加强对客户的信用风险分析,提高分析结果的准确性,帮助银行更好地定位客户群体,减少信贷风险。另外,通过完善信用风险的评审,可以更好地简化贷款主体的无用信息,提高其信息搜集的准确性,提高搜集效率以及搜集质量,并对最终的客户信用风险评价提供数据支持,提高商业银行决策的科学性。这项机制的设立,不仅是为了加强银行内控,预防风险,其还有另外一个作用,那就是帮助信贷部门,加强对客户的审查,以便可以作出正确的决策。
3.注重对风险的各项监测
要想加强风险预测以及防范,就必须让风险处于一个动态监测过程中,其对于商业银行来说,能够带来风险的因素太多了,通过对风险进行各项监测,比如后台数据、硬件质量等,预防有可能出现的各种风险。必要时还可以根据实际发展情况做出紧急预案,防止风险来临时缺乏措施应对,造成更恶劣的影响。而且当前的金融科技环境比起传统的金融环境具有更多的未知性,为商业银行的发展带来了更多的风险内容,除了原先金融领域当中的交易主体的信用风险之外,又增加了科技平台风险、安全信息管理风险等。不过通过加强对各项风险的监测,强化其内部财务管理,完善相应的审计标准,准确动态监测风险的任何变化,可以为商业银行的发展提供数据和其他支持。
四、结语
尽管近年来城商行资产规模快速扩张,跨区域经营,获得了突飞猛进的发展,风险管理理念和信息技术水平得到了有力提升,资产质量得到了有效改善。但由于脱胎于城市信用社,受制于总体规模较小,地域性强,创新不足,信息技术落后等因素,整体上风险管理水平和能力相对于大型银行和全国股份制银行依然偏弱。尤其是对于信息科技风险管理的重视程度有待进一步提高,信息科技风险管理的方式方法有待进一步改进,信息科技风险管理的体制机制有待进一步完善。
城商行信息科技风险特点和表现形式
城商行发展历程不长,正处于快速扩张阶段,而且受制于规模和财务能力限制,其信息科技建设往往跟不上业务的快速发展。其信息科技风险特点和表现形式往往不同于国际活跃银行和国内大中型商业银行。
信息基础设施建设严重滞后于业务快速增长。按照国际惯例,商业银行核心业务系统主机容量使用率如果超过60%的话,就需要扩大系统容量,而国内很多城市商业银行都超过这个指标。更为明显的是,某城市商业银行2008年发生的柜台交易缓慢,业务持续一个多小时无法正常进行,仅仅就因为主干网线的入户接入设备发生故障。
城商行大多没有明晰的信息科技风险管理架构。首先,很少有城商行设置专门的信息科技风险管理机构。一般都是由科技信息部门负责信息科技风险的管理和处置,既负责信息系统和项目的开发维护,同时也负责科技风险管理,没有对此进行独立评价的部门和人员。信息科技风险归口科技信息部门,风险管理部门介入很少。其次,由于财力和人力的限制,城商行一般都根据自身能力落实信息科技风险管理,没有设立独立的信息科技风险机构和人员,没有建立完善的信息科技风险事故报告、监测和应急机制。
城商行信息科技风险专业人员缺乏,而且配备不足。首先,信息科技风险是金融业务与信息技术结合的产物,专业人员需具备综合能力,既要熟悉银行基本业务,也要熟悉信息系统架构和技术。城商行一方面专业人员缺乏,另一方面,各银行之间对于高层次人才的争夺也十分激烈。城商行在科技人才的竞争中处于不利地位。其次,城商行科技人员配备不足。国内商业银行科技人员配置比例一般是2%~2.5%,而大型银行的人员配置比例更高。据报道,国内某城商行如果按照2.5%的人员配置的话,应该至少需要科技人员200人,而该城商行全辖只有45个专业科技人员,远远低于国内银行平均水平。这在业务快速发展的城商行界非常普遍,因为城商行还是不同程度地存在着重业务发展,轻风险管理的现象。
城商行信息科技服务外包管理有待完善和规范。由于受到规模和技术力量的限制,城商行的信息系统开发一般都是外包给技术厂商,特别是有些系统的维保等也是外包给厂商的。但是城商行平时应用较多的应用系统,如核心业务系统、信贷业务系统和网上银行等,均需要在厂商成熟产品的基础上,再进行个性化的开发或者优化,专业化程度高,城商行自身科技人员难以满足开发的要求,外包存在一定风险,需要规范科技信息外包管理。此外,服务外包合同条款,外包商的服务水平评估,外包风险的应急措施及防范,以及外包管理的审核、管理机制等均有待完善。
城商行信息科技风险管理的经验介绍
随着国内城商行的快速发展,信息科技风险管理越来越得到城商行的高度重视。一些优秀的国内城商行在信息科技风险管理方面也取得了骄人的成绩,归纳以来,主要有以下四点。
城商行的“两会一层”等高级管理层要高度重视信息科技风险管理工作。在信息技术高速发展的时代,银行开展任何业务、风险管控和管理创新都离不开信息科技,而信息科技的广泛应用,必然会带来信息科技风险。而信息科技风险的产生不但会影响正常业务,产生直接损失,而且会产生声誉风险。重视信息科技风险管理不光是思想上,或者是口头上,更要落到实处,即是在人力、物力和财力上予以保证。
顺应监管要求。建立完善的信息科技风险治理架构。明确信息科技风险管理的主责任人,
“两会一层”以及首席信息官的相关职责,设立或指定一个特定部门负责信息科技风险管理工作,直接向首席信息官报告工作,明确风险管理部门、信息科技部门以及内部审计等相关部门在信息科技风险管理中承担不同的角色和职责,构建既相互协作,又独立开展工作的信息科技风险管理架构。
借助外在力量加强信息科技风险管理。城商行由于缺乏专业人才,难以对自身信息科技风险作出准确、科学的识别,更难以做出根本性的改善。应委托具备相应资质的外部审计机构定期进行信息科技风险外部审计,并及时根据外部审计机构的建议,对相关风险问题和风险点进行整改。按照《商业银行信息科技风险管理指引》,外部审计也是信息科技风险管理的事后控制,即第三道防线的重要组成部分。外部审计在城商行风险事前防范和事后控制上发挥着重要作用,比如前期媒体披露发生“特大伪造金融票证”案的某城商行,在之前的外部审计中,就被审计机构出具了存在骗贷风险的保留意见。
系统项目建设和信息科技服务的外包,也是充分借助外在力量的体现。但是,银监会信息科技风险管理指引明确要求,商业银行不得将其信息科技管理责任外包,即应合理审慎监督外包职能履行,应从外包方选择、外包谈判、协议签订、外包过程中的信息安全等方面提出明确要求。从城商行来讲,就是要完善外包管理办法,从外包服务职责、内容、资料移交、年度考核、验收、风险管控等环节制定外包制度和办法。此外,还应探索服务外包方式,购买原厂商技术服务,引进厂商的专业服务和智慧,提升城商行系统运行的稳定性。
完善培训激励机制,加强信息科技风险管理队伍建设。人才是城商行的短板,而信息科技风险管理人员专业性强,属于复合型人才。城商行首先应引进专业人员,提升系统开发和维护的能力。其次应适当招聘后备人才,建立梯队信息科技力量,加强培训,逐步使其熟悉银行业务以及相应信息系统架构和技术,通过以老带新、项目锻炼等方式增强其技术水平和综合能力,培养自身的信息科技人才。最后,应努力完善激励机制,建立专业技术人员职业发展通道,提高信息科技人员的工作认同度和积极性。
城商行信息科技风险管理
的对策建议
城商行必须明确自身的市场定位,从自身业务特点出发,按照监管要求,建设具有自身特色的信息科技风险管理体系。
首先,城商行应尽快树立并强化信息科技安全风险意识。必须意识到,银行业对信息科技高度依赖,信息技术系统的安全性、可靠性和有效性直接关系到银行业的安全和金融体系的稳定。不仅各级领导,信息科技条线的员工,而且全行各条线员工都应该树立和强化信息科技风险意识,防范信息科技风险。
其次,城商行应明确信息科技安全第一责任人的意识,董事会、监事会和高级管理层必须对整个信息科技风险负责,制定并指导全行执行信息科技风险管理政策,有责任建立覆盖全系统,自上而下的,由信息科技部门、风险管理部门、内部审计部门等相关部门共同参与的信息科技风险管理体系。
第三,城商行应有科学合理的信息科技风险管理战略发展规划。城商行应找准自身市场定位,结合业务特征,根据信息化发展趋势,以及监管部门的合规要求,制定科学合理的信息科技专项规划,在总体规划的基础上,逐步开展信息化建设,避免重复建设和信息孤岛产生,加强信息科技风险管理的系统性和有序性。
第四,城商行应强化各相关部门联动协作,建立完善信息科技风险管理的三道防线,共同做好信息科技风险管理工作。三道防线是:由策略保障体系、组织保障体系和技术保障体系构成的完备的信息科技风险管理体制和基础安全控制设施,形成信息科技风险事前防范的第一道防线;由运营保障体系构成事中控制的第二道防线;由应用恢复保障系统与内外部审计部门构成事后控制的第三道防线。此外,还应建立和完善信息科技风险监测、识别、报告、预警和处置的相关程序和制度。完善信息科技风险应急处置预案,并定期进行应急处置演练。
第五,城商行应制定和完善各类有效的信息科技管理制度,优化信息科技风险管理流程,提高制度约束的执行力水平,不断完善信息安全管理机制。尤其是要加强信息科技服务外包和项目系统建设外包的规范化管理,要突出防范由外包可能带来的信息科技风险。