更多服务

特色服务

找学习资源

查报考信息

看备考资讯

备考工具箱

报考指南

报名入口

报名流程

考试动态

考试日历

备考指南

资料中心

福利政策

热门题库

全部

境外分行IT监管：入乡随俗+再创新

来源：高顿网校 2014-10-29

　　随着互联网技术的飞速发展、金融服务的创新和变革走向深入，信息技术已从银行传统后台支持转变成为市场竞争的核心能力之一。银行IT的广泛运用和飞速发展，同时也带来了IT风险的爆发式增长，IT风险管控面临重大挑战。

　　另一方面，在经济全球化的背景下，国内银行业为寻找新的利润增长点，境外业务迅速扩张。截至2012年末，工、农、中、建等四大行的境外分支机构已经遍布欧美、亚洲，甚至扩展到遥远的非洲，在纽约、伦敦、东京、巴黎、迪拜等地设立的分支机构达168个，招商银行、兴业银行、民生银行等也逐步在香港、欧美、东南亚设立分支机构。国内银行境外机构扩张和发展离不开IT系统的支持，这些IT系统部署、运维大多在境内，IT系统的运维和管理如何适应满足驻在国（地区）相对严格甚至“刁钻”的IT监管要求，成为国内银行亟待解决的重大问题。

　　本文将重点研究有关国家及地区的金融监管模式，分析境外银行IT监管状况及其借鉴意义，为国内银行满足所驻国家（地区）的监管要求、提升IT风险管控水平提供参考。

　　境外金融业监管的三种模式

　　境外金融业监管的模式主要分三种：一是以美国、加拿大为代表的“双线多头”，即在国家和州两个层面分别设置多家监管机构实施分业监管；二是以英国和香港为代表的“单线多头”，监管权力统一在国家层面，设置多家监管机构实施分业监管，该模式还包含“双峰”、“准双峰”两种特殊模式，即在国家层面由两家监管机构分别负责业务经营监管和审慎监管；三是以新加坡为代表的“集中单一”模式，在国家层面由*10的监管机构实施混业监管。

　　1．“双线多头”监管模式

　　美国以美联储（FED）为中心的“双线多头”监管模式又称“伞型”模式（如图l所示），“双线”指联邦层和州政府层两条线，“多头”指各行业部设分业监管机构并分别发布法律法规。针对该模式下交叉监管严重、存在监管真空等问题，FED牵头组建了联邦金融机构监管委员会（FFIEC）以协调各监管机构，负责统一监管政策及标准、对被监管方进行指导并开展监督检查。在银行IT监管方面，FFIEC制定了“信息技术风险评级体系”（URSIT）对被监管方IT管控情况进行评级，还针对IT监管重点颁布指引手册，指导被监管方有效管控IT风险，并不定期组织现场检查。加拿大的金融监管模式与美国基本相同，但全国性监管机构扮演了更主要的角色，监管较为统一和明确。

　　2．“单线多头”监管模式

　　英国于2013年初将金融监管模式调整为“准双峰”金融监管模式（如图2所示），英格兰银行金融政策委员会（FPC）作为宏观审慎监管机构负责监控和应对系统风险，而审慎监管局（PRA）和金融行为监管局（FCA）作为英格兰银行下属独立机构分别负责审慎监管和业务经营监管，接受FPC的指导，其中银行IT监管主要由PRA负责。澳大利亚的“双峰”模式与英国相近，但不设立类似FPC的指导机构，而是通过“双峰”监管机构间互相协作来加强监管。

　　香港的金融监管主要由财政司牵头，由金融管理局（HKMA）、证券及期货事务监察委员会（SFC）、保险业监理处（OCI）、强制性公积金计划管局（MPFA）实施分业监管，即分业金融监管模式（如图2所示）。HKMA在机构拓展与营运板块下设置了信息科技部门，配合风险管理与监察部门对银行IT实施监管。

　　欧盟的金融监管模式类似于“单线多头”，各成员国央行行长组成欧洲系统性风险委员会（ESRB），应对宏观风险。下设欧洲银行业管理局（EBA）、欧洲证券及市场管理局（ESMA）、欧洲保险和职业养老金管理局（CEIOPS）分别对口银行、证券、保险三行业。

　　3．“集中单一”监管模式

　　新加坡金融管理局（MAS）负责对全国范围的金融机构进行全面监管，不仅负责金融政策等宏观方面的规划，还负责现场检查等细节方面的管控。IT监管方面，MAS将IT风险列为8项主要风险之一实施重点监管，MAS下设风险监管部和银行监管部，履行银行IT风险监管职责。

　　二、境外金融IT监管现状

　　各国监管机构随着金融服务、技术的创新在不断深入和强化银行IT监管。各层面法律法规、政策指引、监管手册等陆续发布，监管方式从政策法规引导、评级评价到非现场报备、现场检查，十分多样。监管机构所属IT监管部门专业化水平不断提升，职责分工也更精细、明确。这其中，美国、欧盟、新加坡、香港等国家（地区）的监管比较具有代表性（多个国家、地区的监管模式和具体机构名称详见表1）。

　　1．美国

　　美国银行IT监管十分注重法律法规建设和监管评级。“双线多头”模式下，各监管机构都会发布各自的监管法规和指引，FFIEC作为协调机构，依据现行法规和指引编制了一系列IT指引手册（IT booklet），涉及网银、外包、操作、信息安全等12个方面，对如何识别、分析、预警和控制IT风险给出指导，是监管机构开展IT检查的重要依据，也是银行完善IT管理的基准文件。监管评级方面，FFIEC利用URSIT（美国金融业技术风险评级体系）系统性地评价银行的整体风险管理情况，并纳入银行“骆驼信用评级体系”（CAMEL），使IT风险在银行总体风险中得到体现。URSIT与IT指引手册紧密结合，监管机构可依据URSIT级别，对银行开展相应级别的监督检查。

　　值得一提的是，美国非常重视对IT外包的监管，强调“服务外包，责任不外包”，在法律上授予监管机构对IT外包服务商等同于银行的监管权（《银行服务公司法》）。截至2011年底，FFIEC已对约160个IT外包服务商进行了跟踪检查。

　　2．新加坡

　　新加坡在监管体系上参考美国CAMEL体系，由MAS建立了“公共风险评估框架和技术”（CRAFT），对金融机构进行风险等级评定，并依据其结果决定对金融具体的监管策略。其中，IT风险是一个重要的评级指标，该指标关注设备宕机、系统错误、网络漏洞、恶意软件攻击、黑客事件等重要风险点。采用这一评级体系，MAS有效地将IT风险评估纳入银行总体风险评价和评级，更好地提升了银行业对IT风险的管控水平。在法律法规上，为有效应对和管控诸如银行卡支付、移动技术、虚拟化等IT新技术为银行带来的风险，MAS发布了《互联网银行和信息技术风险管理指引》，其内容涉及客户资料保护、外包管理、连续性等多方面内容。

　　组织结构上，MAS下设的风险监管部和银行监管部主要负责银行业的IT监管。风险监管部为银行监管部提供IT风险管控建议，银行监管部则根据建议对不同类型的银行进行具体的监管。实际操作中，MAS根据每一家银行对新加坡金融的影响程度、非现场报备信息及CRAFT评级所揭示的风险状况，决定现场检查频率。现场检查一般以专项检查为主，主要针对某一特定风险，必要时开展全面检查。

　　3．欧盟

　　EBA在借鉴、融合ISO 27001（信息安全管理实用规则）、NIST 800（IT系统应急计划指南）的基础上，2011年陆续发布了多个信息系统安全策略（Information System Security Policy），作为强制标准对信息系统的恶意代码、日志与监控、备份管理、访问控制与身份认证、可移动代码等进行规范。另外，EBA还发布了一系列指南，为银行在内控、外包管理、操作风险等领域的管理提供指导。

　　在欧洲的信息系统安全策略中，可移动代码标准（Standard on Mobile Code，SMC）相较于其他国家（地区）的监管更全面、具体，可执行性也较高，在“如何选取可移动代码技术”、“服务器端、客户端规则”等都有详实的阐述。该标准对当前银行交易大量网络化、移动化，各类插件、跨平台程序安全隐患较大的现状，有较大的参考价值。

　　4．中国香港

　　在中国香港地区，HKMA定期对银行机构的IT风险管理、网上银行管控措施以及业务连续性管理等进行审查，仅2012年组织审查就达20次，覆盖79家银行，其中就包括对电子银行业务专项审查，以评估银行对网上银行、手机银行及电话银行等服务的风险管控以及对IT问题管理及变更管理的管控措施。

　　对于积极拓宽海外市场的国内银行来说，在IT监管方面首要目标是确保其境外分支机构能够满足当地监管要求，其次才是吸收境外成熟经验为己用，借以提高自身IT风险管理水平。34

　　除了开展审查活动，HKMA还通过发布一整套监管政策手册实现监管指引和导向，手册中包含IT风险监管的纲领性文件——《科技风险管理的一般原则》。该文件作为手册最重要的《风险管理的一般措施》的补充，将风险的范围从传统的货币相关风险拓宽到IT风险，表明了监管当局对IT风险管理的极大关注。出于对电子银行业务的重视，HKMA将电子银行风险从一般科技风险中剥离出来重点管理，形成单独的监管文件《电子银行的监督》。除此之外，全套监管手册中还有多个文件与IT风险管理密切相关（如图3所示）。

　　随着IT的不断发展和进步，IT在银行等金融机构中的重要性不断增强，特别是电子银行业务在总体业务的占比越来越高，IT逐渐由辅助性工具转变为核心竞争力。与此同时，IT风险的种类越来越多，其对银行业务的影响也越来越大。为应对各种IT风险，各国银行监管机构都在不断加大IT监管投入，完善IT监管法律法规，监管越来越精细化。而且各国监管手段呈现趋同化态势，大部分国家及地区都采用了指导指引和检查相结合的方式，其中美国、新加坡等国家还引入评级机制，使得监管更加有层次和针对性。

　　三、银行出海需强化IT风险监管

　　随着经济全球化的不断加快，无论是银行业监管机构还是银行均面临着新的挑战，必须要结合全球金融IT发展趋势和风险形势，不断完善、强化IT风险监管水平。

　　对监管机构而言，要借鉴境外IT监管经验，改革金融监管体制，完善监管理念，加强IT风险监管。一是要完善IT监管立法，建立成套的法律法规体系，并结合IT风险特点编制针对性的监管文件。二是要设立专职的IT风险监管部门，组建专业的IT风险检查队伍，将IT风险重点管控起来。三是要扩展监管范围，重点对服务供应商、电子银行和客户信息保护等重要和高风险领域进行重点监管。

　　从商业银行的角度出发，由于海外市场拓展的外在需求和IT风险管控水平提升的内在动力，更需要把IT风险管控提升到战略高度，将IT风险纳入组织的全面风险管理体系，把IT风险管理作为常态化风险管理工作内容。研究各国现行银行IT监管现状，IT风险管控与传统金融风险管控的有效融合、电子银行安全、IT外包管控、客户信息保护等是银行IT监管的热点。国内银行，尤其希望在大力拓展海外业务的各大商业银行，为保障境外分支机构满足当地监管要求，应重点关注这些领域，积极借鉴境外银行的成熟经验：

　　一是要将IT风险管控与传统金融风险管控有效融合。银行可以将资本计量等传统风险管理的方法灵活应用在IT风险管理领域，同时突出强化风险管理部门在IT风险管理中“第二道防线”的作用，在保障管理专业性的前提下，将其融入日常全面风险管理体系中，融于日常业务中，真正做到对IT风险管理和传统银行业务风险管理一视同仁。

　　二是电子银行的风险管理。随着互联网金融的迅猛发展，对电子银行领域的风险管控逐渐成为各国银行的关注重点。巴塞尔委员会通过《电子银行风险管理原则》来指导银行规范电子银行风险管理过程，香港金管局、新加坡金管局等也颁布过电子银行管理指引。银监会也逐步重视该领域，已针对商业银行组织过专项检查。当前，银行一方面可以基于自身运营所积累的电子银行风险管理经验，并借鉴其他国家和地区的现有成熟经验和管理指引，规范电子银行IT风险管理工作，防范风险；另一方面要充分利用防火墙、身份认证和日志审计等各种业内成熟技术在事前、事中、事后管控好电子银行风险。

　　三是IT外包管理。出于成本和效率的考虑，银行IT研发、运维均存在一定的外包行为，特别是一些中小型银行，外包比重较大，这也使得IT外包一直被当作各国银行IT监管的重要关注领域。银监会十分重视该领域，不但出台了《银行业金融机构外包风险管理指引》，而且专门针对IT外包颁布了《银行业金融机构信息科技外包风险监管指引》。从国外经验来看，最典型的是美国对IT外包服务商的直接监管权，其金融监管机构对IT外包商具有同等监管权力。国内目前虽无相关规定，但银行也须主动对外包项目进行风险评估，对服务供应商进行尽职调查，通过合同协议等手段从严加强IT外包商管理，掌握外包商资质、技术水平、业务经营状况等信息，尽可能使IT外包风险可控，保障信息安全和业务连续性。

　　四是客户信息保护方面。随着社会对个人信息保护的日益重视，以及公众个人信息保护意识的日益增长，近年来我国银行业越来越重视对客户信息的保护，但相对一些发达国家和地区仍起步较晚，未建立起成熟的全过程保护机制。美国FFIEC对数据资料的管理制定了一套比较详细的控制措施，香港金管局在电子银行监管文件中也专门强调了对客户身份与数据传输的保密性要求，这些规范与经验均可作为国内银行加强对客户信息保护的借鉴。

　　对于积极拓宽海外市场的国内银行来说，在IT监管方面首要目标是确保其境外分支机构能够满足当地监管要求，其次才是吸收境外成熟经验为己用，借以提高自身IT风险管理水平。仅按照国内监管要求对境外分支机构IT后台系统实施管理，无法完全满足所驻国家（地区）的监管要求；完全照搬境外监管机构要求，对其IT后台系统实施各种不同管理标准，成本又过高、可操作性差。由此，我们认为比较合理的方法是“拿来主义”和本地化相结合，取各国监管之所长、结合国内监管模式和要求、整合形成全面统一的银行IT风险管控体系，并把其运用到对所有系统的实际管理中，将能够在实现IT风险管理水平整体提升的同时，也能很好地满足各国监管要求，适应国内银行高速拓展海外市场的需求，加快推进中国金融业全球化拓展，助力我国融入全球经济体系的战略目标。

　　扫一扫微信，*9时间获取2014年FRM考试报名时间和考试时间提醒

　　高顿网校特别提醒：已经报名2014年FRM考试的考生可按照复习计划有效进行！另外，高顿网校2014年FRM考试辅导高清课程已经开通，通过针对性地讲解、训练、答疑、模考，对学习过程进行全程跟踪、分析、指导，可以帮助考生全面提升备考效果。
　　报考指南：2014年FRM考试报考指南
　　免费题库：2014年FRM考试免费题库
　　考试辅导：FRM考试招生专题
　　高清网课：FRM考试网络课程

版权声明：本条内容自发布之日起，有效期为一个月。凡本网站注明“来源高顿教育”或“来源高顿网校”或“来源高顿”的所有作品，均为本网站合法拥有版权的作品，未经本网站授权，任何媒体、网站、个人不得转载、链接、转帖或以其他方式使用。经本网站合法授权的，应在授权范围内使用，且使用时必须注明“来源高顿教育”或“来源高顿网校”或“来源高顿”，并不得对作品中出现的“高顿”字样进行删减、替换等。违反上述声明者，本网站将依法追究其法律责任。本网站的部分资料转载自互联网，均尽力标明作者和出处。本网站转载的目的在于传递更多信息，并不意味着赞同其观点或证实其描述，本网站不对其真实性负责。如您认为本网站刊载作品涉及版权等问题，请与本网站联系(邮箱fawu@gaodun.com，电话：021-31587497)，本网站核实确认后会尽快予以处理。

展开全文咨询在线