一个中小银行信息科技风险监测模型

　　近几年来，我国中小商业银行尤其是地方区域性银行组织不断发展壮大，成为提高地方融资效率、稳定金融市场的重要力量。当前，我国银行监管部门和大型商业银行正在探索适合中国国情的银行业信息科技风险控制战略与具体实施措施。中小商业银行与大型银行相比，由于科技投入、人力资源、管理经验等各方面存在先天不足，在信息科技风险的控制中面临更大的挑战。针对中小商业银行特异性，本文从我国中小商业银行信息科技风险的监管角度和内控的角度，总结了我国商业银行尤其是中小商业银行信息科技风险治理现状和面临的问题，探讨了解决问题的基本思路，并从中进行指标的选取和分类。

　　中小银行信息科技风险管理特点

　　随着信息科技产业和金融业的迅猛发展以及相关技术的不断突破创新，信息产业和金融业的融合度日益提升。银行的生存、发展在各个层面都已经离不开现代信息技术的支持甚至是主导。然而信息技术也是一把双刃剑，在极大地推动了银行业发展的同时，也放大了银行业面临的信息科技风险，为银行业的健康稳定发展带来了潜在的严重威胁。

　　针对国内外银行业信息科技风险管理现状的研究，COBIT、URSIT、ISO/IEC17799、CAMELS等国际标准及体系，为中小银行信息科技风险监测指标的选取、分类提供了一些参考和依据。中国银监会作为我国银行业的主要监管部门，针对信息科技风险的特点，从业务连续性、数据、外包等多个方面制定了一系列政策，并加强对银行的现场和非现场监管，力图建立起抵御信息科技风险的有效防御体系。传统大型银行凭借其雄厚的资金实力、强大的科技投入、丰富的风险管理经验、完善的信息安全体系而在国内商业银行信息科技风险治理工作中走在了前列。

　　与资金、技术力量雄厚的国有大型银行相比较，中小银行有以下大致特点：

　　员工结构特点。中小银行员工的薪酬待遇和发展空间综合来看不如大型银行，导致其对人才的吸引力较低，引进人才整体素质较低，人才流失严重，高等级技术人员匮乏，科技部门编制紧张，非在编人员比例较大、流动性强。这对中小银行的经营和发展带来了不小的影响。

　　信息系统特点。由于中小银行资金、技术力量较为薄弱，其信息系统建设和运维很多外包给专业公司，信息系统整体规模偏小，技术成熟度不高，可负载度较低。

　　客户习惯特点。中小商业银行客户群体交易方式和习惯具有特定属性。如农村金融机构服务三农，主要客户是农民及农民工群体。农民工群体的存贷款交易具有季节性特点，大批量交易集中于传统节日前后，这会对规模较小、负荷能力有限的中小银行信息系统造成冲击。

　　中小商业银行的信息科技风险管理面临复杂的风险来源，因此其应对措施也应该是多维度、广视角的，本研究必须从组织、决策、意识、监测等方面综合把握，因此应建立信息科技风险指标监测体系。

　　中小银行信息科技风险核心监测指标

　　银行信息技术风险的种类繁多、成因复杂、危害性大，备受各国银行及其监管当局的关注。在借鉴美国、欧盟、新加坡、香港等金融信息科技风险治理框架的基础上，遵照国内银行监管要求，结合分析近年中国中小商业银行信息科技风险暴露出的关键问题，本研究提出并实施了一套适合自身特点的信息科技风险核心监测指标体系。该体系包括指标体系架构、量化评估方法，以及正在研发的一套符合区域性中小商业银行自身发展和风险控制需求的监测系统。

　　本研究在选取指标时针对中小商业银行特点，遵循了敏感性、全面性、易操作性、拓展性四项原则：

　　数据是指标体系的灵魂。在指标体系构建过程中，需要选取正确的方式来采集相关数据。针对中小银行日常数据监控力度较低的现状，本研究按照取得数据方式分为系统自动成表、系统日志查询和人工填送报表。这三种方式，按数据录入的操作信度是依次降低的，较低的信度不利于后续动态监管系统的实现，需要通过制度和系统优化来加强数据的信度。

　　本研究在国内第一次提出了“四类”的指标体系：控制性指标，稳定性指标，效率性指标和安全性指标（见图1）。这样的考虑是有其逻辑性与现实意义的。在把好人员控制关的基础上，要保证整个信息科技系统的稳定性，在稳定的基础上，再来看效率，效率性指标往往可以直观迅速地反映接近风险阈值的现实状况，而所有稳定性和效率性指标都必须在安全性指标框架的保障下运行。

　　具体来看，在控制性指标下分有三个一级指标，分别是非在编人员（临时工）占比，科技人员流失率和高级科技人员占比。在稳定性指标下，有六个一级指标，分别是交易量，系统主机参数，系统可用率，电子渠道账户变化率，活跃用户数和网络流量。效率性指标下分三个一级指标：系统响应速率、交易频率及成功率。安全性指标下分五个一级指标：假冒网站成功率、灾备系统覆盖率、应急演练频率、投产变更成功率及安全事件数。各一级指标继续细化分级后最终形成88项细化指标。

　　依据以上指标体系结构，本研究于2013年上半年进行了包括兄弟银行及行内各网点、直属科技部门的人员针对信息管理、维护、运行等方面的抽样问卷评估调查，根据信息科技工作经验来衡量88项细化指标的风险级别，从低到高进行1～5分的打分。根据专家打分情况，整理出了如下数据（见图2）。

　　接下来，基于层次分析法，来确立具有特征权重的显著指标。

　　加权平均分可以部分地反映专家打分的大致倾向，但精度较差。而通过对指标的打分分层进行的模糊层次分析法能够实现定量与定性相结合的多目标决策，但由于其结果受主观思维的影响仍然较大，每位专家的整体衡量基准不在一个水平线上，依然会对结果的准确产生不利影响。本研究采用迭代法来计算精度更高的排序向量，对初始排序向量进行迭代运算，最终确立具有特征权重的显著指标。在以排除主观衡量基准不一为目的的迭代算法实现后，具有显著权重特征的指标可以在图3清晰地显现出来，而这些显著的交易量指标、系统响应速率指标、系统交易频率以及系统交易成功率等特征突出指标正是本研究当前在制定指标体系、选取适合中小商业银行而区别大型银行的各类指标，而安全性指标是在无论大小商业银行的运行中均得到广泛认识的范畴。这样的结果很好的说明本研究初选的指标具有广泛的中小商业银行认可性、合理性。随着各中小商业银行资金、技术、管理水平的提升，通过在不同发展阶段进行相应计算，初选的指标群还能够依照该方法进行权重的调整甚至剔除在该发展时期某些非核心指标。

　　在把各个指标的运行数据进行统一标准化处理后，针对同一时间序列内各指标的波动率进行计算，按照相应权重进行累加和百分制处理，最终得出各时段内指标体系的综合评估得分，如图4。

　　评估得分介于93%到99%之间平缓波动，通过小波变换将其去噪，得到的应该是趋势平缓曲线，其平均值为94.6%。可以由此得出对该系统在2013年4月1日至2013年6月31日的基本运行结果为优良水平。

　　信息科技风险核心指标检测系统

　　进一步，针对前面在录入指标数据时遇到的需要表内日志查询和人工报送的数据信度问题，加上本身具有的全省2000余个网点急需进行有效监控的问题，本研究规划了一套中小商业银行核心指标监测系统，这个系统，既能实现银监部门对各银行各类指标的监控，更使用LBS基于地理位置框架，将各网点的指标状况监测起来。

　　中小商业银行信息科技风险核心指标检测系统由银监部门子系统、银行部门子系统、网点部门子系统三部分构成。银监部门子系统部署在银行监管机构，能够及时查看各银行及网点的各项指标，风险指数，安全等级和异常状况，并对异常情况进行预警，以便使银监部门能够更及时的对异常情况做出反应。首先，每一时间段数据更新后，系统综合安全性、稳定性、效率性和控制性指标等各项指标计算出该银行的风险指数，一个安全等级对应一段风险指数区间，计算出的风险指数落入哪一段风险指数区间就对应地显示哪一安全等级。其次，将每一时间段（如按天）交易笔数与数据库中历史时段的交易笔数的平均值进行对比，如该分钟的交易笔数小于或大于历史平均交易笔数的50%(该阈值可依据监管要求动态调整)，则认为该分钟的交易异动较大，将其标记为交易异常。假如连续几分钟都标记为异常，意味着该时间段内出现了业务交易严重异常。最后，本系统将这种业务交易异常时段直观地展现给监管人员，并自动匹配该时间段内银行已主动上报的运行风险事件。监管人员不仅对业务异常情况一目了然，还能反过来考察银行是否及时主动上报。银监部门子系统中还具有数据审核功能，能够对银行部门提交的数据进行审核处理。银行部门子系统部署在银行部门内部，可以向银监部门提交指标信息，还可以查看自身的评级结果以便根据结果做出相应的反应。银监和银行部门子系统都可以通过LBS查询查看各网点的信息和实时状态，查看评级系统的历史记录，全面掌握银行的运行状况。而银行网点子系统部署在银行网点内部，可以向银行提交数据、更新网点信息和查看历史记录，来掌握本网点的各项信息。

　　通过本系统，银监部门、银行部门、银行网点部门之间可以形成有效的监管预警体系，银监部门、银行能够详细了解银行及网点的运行状况，防患于未然，及时对潜在风险和异常情况进行及时有效处理。

　　总结与展望

　　当前，中国的银行业正处于转型的十字路口，面临着日益严峻的挑战，相对于拥有较为雄厚的资金、技术实力的国有大型银行，以农村金融机构和城市商业银行为代表的国内中小银行则因其较为薄弱的资金、技术力量而更难以应对信息科技风险的挑战。中小银行应该采取怎样的措施，来有效解决信息科技风险问题，推动自身的健康稳定运行和成功转型，成为摆在所有中小银行面前的重要问题。

　　中小商业银行信息科技风险核心监测指标体系的提出，为银监部门加强对中小银行信息安全的监管，以及中小银行对自身信息科技风险的监测提供了强有力的工具。有了中小银行信息科技风险核心监测指标体系这一有力的工具，将推动中小银行的信息科技风险治理走向规范化、科学化，从而有利于中小银行抵御信息科技风险，保证银行正常运行，维护金融业健康运行。

　　依靠采用信息科技风险核心监测指标体系或是其他技术手段，还不能从根本上推动中小银行信息科技风险治理能力的提高。中小银行信息科技风险问题归根结底属于发展中的问题，需要用动态、发展的眼光加以看待。只有加快中小银行的发展，正视困扰中小银行的资金结构、自主技术力量的问题，才能使中小银行整体在信息系统和信息监测上投入更多的资金和人力，在根本上提升信息系统性能和信息监测水平，最终构筑起抵御信息科技风险的有力长城，实现自身的跨越式发展。

　　文/刘建鸿、熊俊

　　(作者单位：湖北省农村信用社联合社)