邬俊斌

（中国银行业监督管理委员会上海监管局，上海 200135）

一、前言

随着信息技术向大数据、云计算、智能化、移动化的方向发展，银行业务对信息科技的依赖性越来越强、信息系统架构越来越复杂、外部性特征越来越显著；银行的信息科技发展水平、科技与业务的融合程度，已经日益成为影响银行业务服务能力及经营管理水平高低的重要评判标准。

巴塞尔新资本协议将原来单一的信用风险监控范围拓展到了信用风险、市场风险和操作风险并列的全面风险监控，信息科技风险默认为操作风险的一部分。“资本监管”作为巴塞尔新资本协议的核心思想，其要求通过资本限制来控制银行业务的规模，进而控制风险。因此，巴塞尔新资本协议侧重于从资本的角度来计量市场风险、信用风险及操作风险的损失，强制银行计提相应的资本准备。

因巴塞尔委员会未对处于操作风险项中的信息科技风险提出具体要求，为了应对日益突出的信息科技风险，一些国际组织和国家的监管机构都相继出台了相应的信息科技风险管理框架、监管指引和评级细则。例如，美国信息系统审计与控制协会(ISACA)提出了COBIT框架和Risk IT框架；国际标准组织 (ISO)提出了ISO 2700n系列标准；美国反虚假财务报告委员会下属的发起人委员会(COSO)颁布了《企业风险管理——整合框架》；卡内基梅隆大学提出了OCTAVE框架，以及国家监管机构中国银监会(CBRC)发布了《商业银行信息科技风险管理指引》；美国金融检查委员会(FFIEC)制定了《URSIT技术风险评级体系》；英国金融服务管理局(FSA)制定了《金融服务中的数据安全》、《业务持续性操作指引》；香港金融管理局(HKMA)制定了《科技风险管理的一般原则》等。

但是，这些框架和指引都没有建立定量化的风险识别、评估和管理机制。而在银行业的风险管理框架中，资本计量又偏偏是最为重要的一环，所以，对于现有的信息科技风险管理理论还需要补充风险计量的方法，以与银行的总体风险资本相配套。

二、计量框架及其管理工具

阎庆民（2013）提出了一种信息科技风险资本计量的框架，由管理工具、计量数据、计量方法、计量产出、应用五个部分组成。风险识别评估、关键风险指标（KPI）、损失数据库三个管理工具在计量框架中具有基础性地位，是数据的来源，也是管理的武器。本节基于此框架尝试进行阐述引申。

信息科技风险的识别评估是风险监管的有效前提。在信息科技开发及运维中的问题和风险的识别与评估中，最常用的思路是鱼骨分析法和德尔菲法。

鱼骨分析法通过问题流程对已发生或可能发生的事故的原因不断列举及深究，通过模拟回测等手段，尽可能多而全地找出可能的原因，并把原因分层归类，寻求事故的主要关键原因；德尔菲法通过分别对专家们咨询产生事故的原因，确定主要风险因素，制定风险因素评估调查表，再通过专家和相关人员对风险的出现概率和影响程度进行定性评估，经过开放式、评价式、重审式、复核式数轮调研，识别出各个风险要素的概率分布和影响度。调研的轮数可以根据实际情况进行精简。

信息科技的风险的评估还可以借鉴操作风险的“风险与控制自评估法”(RCSA)，即银行信息科技风险管理机构对系统开发、系统运维、数据管理等信息科技各条业务流程进行分析，识别评估风险点，对现有的控制措施的合理性和有效性进行评价。RCSA先对信息科技工作条线的主流程及包含的子流程进行梳理，再对流程中采取控制措施后的剩余风险进行打分，在描绘风险发生的可能性和损失严重性的“风险地图”矩阵上绘点，接着识别和评估风险可能性和严重程度较大的部分，立即采取进一步控制措施，对问题原因进行追溯。

关键风险指标是反映风险变化的预警指标，用于监测可能造成损失的事件的风险及控制措施，是一种定量指标。关键风险指标超过设定的阈值的时候则需要采取一定的措施，以减轻或回避重大科技风险事故的发生。这些关键风险指标可能包括某系统的重大事件发生频次、系统中断时间、对外服务满意度评价指标、回退变更频次、测试缺陷未探测率、人员离职率等。针对触发关键风险的事故应该进行回顾和总结，持续改进。

损失数据收集是信息科技风险计量的基础，信息科技风险事件收集范围的确定是数据收集工作的前提。损失数据的收集、回顾、整理，有助于全面反思执行层面、流程层面、技术层面的问题，以达到持续改进的目的。结合实践与谷歌SRE的思想，异常事件回顾应该包括以下因素：所在系统、事件概要（简述事件及其处理过程）、故障现象（事件告警或外部保障等）、业务影响（影响时间段，交易笔数，损失金额）、原因分析、事件处理时间线、经验教训（执行层面，流程层面，技术层面，举一反三）、改进计划（措施，时间点，责任人，措施类型，跟踪单据号）、回顾检查表（执行层面，流程层面，技术层面，举一反三）。

三、资本计量方法

何茂春（2009）主张信息系统量化定级利用戴明环模型，通过PDCA循环不断提升管理水平。通过信息系统的安全属性，即机密性、完整性、可用性，对信息系统资产价值进行五级定级；通过发生事件的影响度和紧急度量化因子对事件进行五级定级。

在实践中，可以根据影响因子和紧急度因子量化对触发事件评级进行划分，以实现对信息系统事故的分级管理，满足特定的响应速度、通知范围、升级条件等。在影响-紧急度因子矩阵中，可以设立相应的主观资本影响值，作为该事件资本损失的计量。历史统计数据可以作为信息科技风险资本计量的重要参考。

杨涛（2010）提出可以考虑利用投资组合理论均值-方差模型和资本资产定价模型来度量银行的信息科技风险。在应用均值-方差模型的时候，其思路一是，将信息科技投资区分为设备、软件、人力资本等不同项的投资，假定已知各项的投资额及预期收益，则信息科技的风险计量就表现为实际收益与预期收益的偏离程度；思路二是把信息科技投资当作一个单独的投资整体，通过估计信息科技的投资收益可能值及其相应的概率，来得到预期信息科技收益，风险同样表现为实际收益与预期收益的偏离。杨涛论证银行信息科技的投资收益应该由无风险收益和承受系统性风险得到风险收益组成。

阎庆民（2013）提出了信息科技风险资本计量的标准法和基于损失分布法的计量方法。其中，标准法通过计算信息科技投入的一定比例计算风险暴露；损失分布法设计了“时间+金额”的信息科技风险损失量化方法，建立影响时间与金额损失的对应关系，使得信息系统事故产生的间接损失可计量；损失分布法通过历史损失数据，拟合频率分布和严重度分布，并运用内部衡量法对资本计量结果进行了调整，再根据置信区间来确定一定时间内的非预期损失。

作为银行业信息科技监管的绝对权威，该论文提出了完整的框架和可行的实施办法，此后讨论信息科技风险量化的相关文章较少出现。

四、结论与建议

作为在巴塞尔协议操作风险下的信息科技风险的资本计量方法，因为其尝试对间接损失量化计入，所以往往只能通过分级分类、分组计量的方式来拟合。在何茂春的论文中，强调的是对事件发生后的量化分级处理，尚未明确提出资本计量的概念；在杨涛的论文中，投资收益的预估具有较大的主观性，特别是信息系统往往带来的是间接收益，难以衡量；在阎庆民的论文中，重新定义了信息科技风险损失的定义，创造性地提出了基于标准法和高级法计量信息科技风险资本的计量框架和系统性方法，由此在信息科技资本计量方面达到了较高的水平。此后也鲜有信息科技资本计量相关论文出现。

近些年来，随着金融科技和开发运维理念的迅猛发展，可以看到银行业的信息科技业态已经有了较大的变化。

在互联网金融业务的冲击下，银行业信息科技客户服务意识不强，交互设计能力差，科技部门墙明显，决策路径冗长，技术能力不够先进等问题日益影响了银行业传统业务的盈利水平。因此，对于信息科技的“尾部风险”突出、损失隐性的特点，除了继续完善组织架构、风险管理制度、事件风险库、监测预警机制、外包管理等传统手段外，还应该注意到国内外新的技术和管理概念的引入。

深化DevOps理念，强调信息科技运维人员的开发能力，推进信息系统云计算、容器化、自动化、智能化的建设，系统容量自伸缩、事件故障自愈、版本快速发布；推进精益理念，减少八大浪费，应用版本按需生产，以小而快取代大而慢，减少大规模版本更新的科技风险；实践微服务理念，减少系统间的相互依赖，以接口调用实现松耦合；加快实现去IOE化，多使用开源工具实现自主可控；尝试建立数据中心虚拟利润的概念，推动技术部门从成本中心向利润中心转型；实行监管沙盒政策，给予一定领域或地域的创新者有一定的时间开发产品、改善能力等等。对于切实使用新技术和管理理念降低了信息科技风险的，可以参考谷歌SRE设立的差错预算的概念，给予信息科技风险资本计量方面有差错容忍度的鼓励政策。