信息科技部风险道德总结
按照总行《**农村商业银行风险管理大讨论活动方案》要求,信息科技部组织本条线科技管理岗、安全岗、网络维护岗及设备维护岗,针对如何防范道德风险这个主题,结合部门实际,进行了风险管理大讨论活动。现将讨论活动总结如下:
一、讨论活动开展情况:
信息科技部根据活动要求,结合信息科技条线各岗位人员道德风险防控的重点问题,组织了积极的讨论。通过集中学习,明确了科技部门道德风险的类型、危害。就道德风险的主要类型,如泄露数据和系统访问密钥,导致非科技岗位人员或外界人员非法访问数据和系统,导致数据遭到破坏及系统瘫痪;没有严格执行中心机房24小时值班制度,导致网络中断不能及时发现,影响业务办理,甚至遭到客户投诉。通过讨论,我部门针对道德风险的各种类型,结合工作实际,进行批评与自我批评,听取意见,查找我们存在的问题,使我们充分认识到了自身的不足。我们认识到应加强自身修养,严谨工作态度,增强工作责任心,在工作中不断提高道德觉悟。
二、取得的实效
通过此次风险管理大讨论活动,提高了科技人员的道德风险防控水平。通过认真学习、深入讨论,我们认为,应当
严格规范职业道德行为和廉洁标准,认真学习科技部门各项规章制度,提高职业素质,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
三、下一步工作计划
风险管理大讨论活动已结束,并取得了一定的成果,但我们科技部门针对道德风险的防范工作并没有结束,我们要将这项工作落实到实处,提高科技水平,促进我行的各项业务安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强我行的核心竞争力和可持续发展能力。
信息科技部
对中国大多数企业而言, 提高企业的信息化程度是一项非常复杂的系统工程。企业信息化的建设是一个相当困难的业务流程重组与管理创新的课题。在信息化建设过程中, 存在着组织结构的变化、业务流程的调整、人员的变动以及由于上述变动引起的企业管理摩擦等。所以, 企业信息化过程的信息系统和信息技术的选择需要社会第三方信息化咨询公司的协助, 根据企业信息化不同的阶段形成针对性的解决方案。通过分析大致分为以下几个阶段的咨询服务业态形式。
1. 在信息化发展萌芽阶段, 一般情况下IT厂商进行的是自主对企业实施咨询服务。
这是一种自己服务自己的咨询方式, 这种方式带有很强的主观性, 企业信息化咨询服务很大程度上是根据IT厂商软件的属性所制定, 这种咨询服务受限于单方对信息化的理解, 带有一定的片面性。甚至于有些IT厂商为了维护自身的利益会做出于对客户企业不利的行为, 例如省略一些必要的工作或者隐藏信息。
2. 随着企业信息化咨询服务行业的发展, 自主独立运营的服务咨询公司也开始出现。
不过在这一时期咨询服务行业仍没有完全避免IT厂商的影响。原因在于, 这些形式上独立运营的咨询公司部分是IT厂商的代理, 部分或是与IT厂商共同开展咨询服务。这种服务形式可能会出现两个机构共同做出一些对委托人企业不利的行为, 甚至导致“IT黑洞”的出现。
3. 需要实施信息化项目的对象是委托人甲方, 项目软件实施方是代理人乙方, 能够有效避免两者之间因信息不对称导致的事前逆向选择和事后道德风险的途径只能是通过介于两者之间的第三方监管机构。
随着市场的进一步发展和完善, 出现了第三种咨询服务形式———甲方咨询, 即独立开展信息化咨询与服务的第三方咨询公司。甲方咨询的出现解决了“甲方”企业在构建企业信息化体系的过程中与“乙方”软件开发公司之间产生的信息不对称问题。通过融合项目管理专家、IT专家、以及监理专家等多方面的专家服务, 对企业的信息化项目提供公正可信的技术和管理咨询服务, 推动企业信息化进程的正常发展。甲方咨询可以提供协助企业明确项目目标、进行项目监理等服务, 从而保障信息化软件的开发质量, 确保项目成功实施。
二、信息非对称与委托代理理论
1. 信息非对称理论。
非对称信息是一个经济学名词, 指的是交易双方一方拥有但另一方没有的信息。就像“非完全竞争”的市场, 不对称信息普遍地存在于市场中。企业信息化实施过程的信息不对称可能会导致企业的资金浪费, 管理成本上升, 影响企业的正常运营。甲方咨询要解决的主要问题是实施信息化项目的企业与软件实施方之间的信息不对称, 这种不对称在信息经济学上的体现是委托代理理论。经济学观点认为, 非对称信息导致市场交易双方利益的不均衡, 对市场资源的配置效率以及社会的公平公正原则产生影响。在信息非对称情况下, 逆向选择以及道德风险可能会随时发生, 只有建立起激励机制和信号传递机制才能消除这种影响。例如, 甲方委托人与乙方代理人签订合同后, 由于甲方不能时刻监察项目的进展情况, 在这种可能会出现道德风险的情况下, 甲方需要设计一个合适的奖励机制, 诱使乙方做出甲方期望的行为;在出现逆向选择时, 甲方需要建立一种“信号传递”机制想方设法从拥有私人信息的乙方得到自己不了解的信息。
2. 委托代理模型。
在推进企业信息化建设的过程中通过委托代理模型对非对称信息进行分析。有别于法律视角的委托代理, 此处委托代理针对任何涉及非对称信息的市场。依据甲方委托人的信息知情形式进行委托代理模型的选择。所以第三方咨询公司必须公正地进行信息沟通, 降低甲方投资者的风险, 针对不同的情况选择不同的委托代理模型。委托代理模型类型如下: (1) 逆向选择模型。委托人不了解代理人的类型、状况以及私人信息。 (2) 道德风险模型。委托人与代理人签约后, 委托人很难观察到代理人所处的环境以及代理人的行动, 只能查看由代理人所处自然状态和进行的行为活动共同作用产生的结果。建立道德风险模型的目标是设计激励合同诱使代理人选择委托人所期望的行动。
三、甲方咨询在企业信息化中的作用
甲方咨询是为企业信息化提供的一系列信息咨询服务的执行过程的总称。甲方咨询不是为企业提供在某一个项目上的一次性服务, 而是与企业之间建立起长期的合作伙伴关系, 致力于提升企业的信息管理水平。定位于增强企业竞争能力, 提升客户公司的信息化应用水平, 甲方咨询可以提供以下三种基本的服务。
1. 委托人项目前期的软件选型和整体的规划。
甲方咨询和传统咨询公司和软件公司在许多方面存在差异, 其主要是因为在企业信息化规划时, 传统咨询公司等通常选择自己比较有优势的产品向客户提出建议, 而往往忽略了客户的基本需求。而甲方咨询在信息化规划中则采用了国际上比较常见的方法, 它能够客观中立的在全方位了解企业需求和软件产品特点的前提下, 选择合适的软件与企业业务相匹配, 并制定最有效的实施方案。公开、客观、透明, 甲方咨询的这些特点正为委托人坦诚相待, 减少刻意隐瞒信息提供了保障, 也将在信息方面处于优势的软件公司和处于信息劣势的企业的差异认知统一在了企业信息化的同一高度。
2. 实施过程中的优质监理服务。
在信息化项目建设的时候, 严重的信息不对称常常发生在企业与软件实施公司之间。无论是在签订合同, 还是在确定项目范围、进行项目风险管理、项目质量验收等, 这种信息的不对称都会导致企业在诸多方面失去控制。甲方咨询具有的矩阵式的专家系统则避免了这些问题。甲方咨询的实施监理专家系统的特点就是它既有某方面的专家人才, 更有面对不同行业的整个标准化的实施监理评估系统。基于这些特点, 甲方咨询可以设计一种激励合同, 促使软件公司能够选择最有利于委托企业的举措, 在系统实施和集成时自觉地披露双方需要的信息, 消除代理人道德风险, 最终满足委托人企业的需求, 实现委托人目标。
3. 持续的后续改进的实施。
企业基于信息化改进企业管理之时, 也正是软件公司结束信息化项目而离开企业之时。而与一般咨询项目不同, 甲方咨询为了使信息系统能长期发挥作用, 会在项目结束后为企业设计持续的信息系统改进方案, 并在设计方案时结合通用国际标准对实施结果进行评估分析, 保证信息化项目真正地满足企业的长期需要。
四、甲方咨询的逆向选择和道德风险模型
通过上面的分析, 甲方咨询可以通过构建逆向选择和道德风险模型解决企业在信息化过程中由于信息不对称现象导致的一系列的问题。通过获取或释放市场信号能够降低逆向选择带来的不良影响;设计最优契约有效显示甲乙双方信息化实施过程的信息能够避免道德风险。甲方咨询的逆向选择和道德风险模型如表1所示。
在企业信息化过程中, 为了克服包括信息不对称在内的各种问题, 进一步完善企业信息化服务咨询市场, 要进行甲方咨询逆向选择和道德风险的规避。对于这种由于市场经济自身制度的缺陷, 仅仅依靠市场本身来解决企业信息化的安全实施与实现经济效益等一系列问题非常的困难, 为了消除这些问题, 可以通过政府成立企业信息化监管委员会或独立于行业之外的权威机构, 对不同行业的企业信息化工作进行相应的系统客观地指导, 减少信息不对称对企业信息化建设的影响, 推进企业信息化的改革建设, 实现较高的信息收益。
参考文献
[1]全国企业信息化工作领导小组办公室.企业信息化征文选编[M].北京:经济科学出版社, 2002:206-207.
[2]欧阳峰.企业信息化管理导论[M].北京:清华大学出版社出版, 2006.
[3]游战清.企业信息化理论与案例[M].北京:机械工业出版社, 2004.
[摘要] 对金融消费者进行保护的最根本原因是金融交易中的金融机构处于信息优势地位而引发的道德风险问题损害了处于弱势地位的金融消费者的合法权益。然而,通常容易被忽视的是当金融消费者处于信息优势地位及过度的金融消费者保护而引发的道德风险问题。通过运用经济学当中的信息不对称理论、委托代理理论对金融交易中产生的双重道德风险进行分析,更好地防范双重道德风险的产生,保护金融消费者的权益。
[关键词] 金融消费者;道德风险;信息不对称
[中图分类号] D912.28[文献标识码] A[文章编号] 1008—1763(2015)06—0156—05
当前各国关于金融消费者保护的立法改革及诸多相关的学术研究,通常是基于信息不对称理论中金融机构处于信息优势地位而引发道德风险为前提,采取措施加强对金融消费者的保护。然而,在交易中同样因为信息不对称还存在金融消费者处于信息优势地位而引发的道德风险。仅单方面注重金融机构的道德风险防范,加强对金融机构的监管,最终可能会形成对金融消费者的过度保护,进而引发金融消费者的道德风险。同时,也破坏了金融市场的发展规律和秩序,不利于金融业的长远发展。因此,我国在金融法改革的道路上应当重视双重道德风险的防范。由于信息在金融交易中处于不可撼动的重要地位,适度的信息披露是防范双重道德风险中必不可少的一环。
一金融机构与金融消费者产生的
双重道德风险
道德风险(moral hazard)最初始于保险领域,指“经济交易活动的人追求最大限度的自身利益的同时做出不利于他人的行动。”[1](P588-589)市场经济活动中,指交易双方在信息不对称的情形下,处于信息优势的一方获得自身行为的收益,但是却把行动所产生的成本转嫁给他人,导致他人损失的可能性。[2]而道德风险主要的诱发因素是信息不对称。由于经济主体在交易时最初掌握的信息都是有限的、属于不完全信息,其根据不完全信息所做出的决策及行为都存在很大的风险和不确定性。然而信息可以消除这种不确定性,经济主体要想做出最优决策,追求利益的最大化,就必须获取相关的信息。但信息从无到有存在经济成本。经济关系中的一方主体一旦花费经济成本掌握了比另一方主体多的信息,作為理性、自利的经济人会利用信息优势地位去获得更多的利益,甚至会产生欺诈等道德风险的不良后果。
我国学术界的多数学者多数学者及论文如下:呼建光 毛志宏:《金融消费者保护:经济理论与法律形式》,《社会科学》,2013年第2期;廖凡:《理论突破与机制创新:英国金融消费者保护的晚近发展及其启示》,《社会科学》,2013年第8期;邓纲:《金融消费者保护体制及其相关问题》,《法学杂志》,2012年第5期;钟磊:《论加快我国金融消费者保护体系建设》,《上海金融》2011年第6期;刘迎霜:《我国金融消费者权益保护路径探析——兼论对美国金融监管改革中金融消费者保护的借鉴》,《现代法学》2011年第33卷第3期;杨东:《论金融服务统合法的构建——从投资者保护到金融消费者保护》,《中国人民大学学报》2013年第3期;方平:《我国金融消费者权益保护立法相关问题研究》,《上海金融》2010年第7期,等。基于信息不对称理论,对金融机构产生道德风险损害金融消费者
本文的“金融消费者”定义为:不以营利为目的、没有金融专业知识、在交易中处于弱势地位,购买或使用金融产品、接受金融服务的主体,自然人和法人等机构组织包含在内,购买高风险、高收益的金融产品的投资者除外。权益的现象进行分析,进而呼吁我国应借鉴国外先进经验,建立以金融消费者保护为中心的立法体系,加强对金融消费者的保护。但是,在金融交易中消费者扮演着双重角色,其也会处于信息的优势地位产生道德风险。如果一味地对金融消费者进行保护,所产生的道德风险会阻碍金融业的健康发展,最终损害其自身的利益。因此,在我国的金融法改革中建立金融消费者保护制度应当考虑到金融消费者和金融机构的双重道德风险的防范。
湖南大学学报( 社 会 科 学 版 )2015年第6期崔金珍,邓露露:金融消费者保护:信息不对称、双重道德风险的防范
(一)金融机构的道德风险
经营者和消费者随着商品经济的发展而产生。从产生“经营者”这个角色开始,其就天然地占据知晓商品的各种信息的优势,消费者就需要通过经营者获取商品信息及各种商品。经济的飞速发展及科技的创新促使商品及服务日益复杂化、专业化,消费者对于商品及服务的了解越来越少。消费者在交易当中的弱势地位越来越明显,消费者权益受损的事件屡见不鲜。
比如当前较多见的投保基金事件,声称此基金与银行存款是同一性质,保本且利率高,由于信息不对称而导致消费者的利益受损。
在金融交易中,消费者和金融机构之间的实质不平等地位更加明显。为了更深入地对金融消费者的弱势地位以及金融机构所产生的道德风险进行分析,特引入经济学当中的委托代理模型。而委托代理模型建立的依据就是信息不对称。经济学中的信息不对称指经济活动当中的一方拥有私人信息,而此私人信息是另一方当事人不知道甚至第三方当事人也无法证实的信息。因此,将经济活动中私人信息的拥有者称为代理人(agent),即信息优势方;而没有私人信息的参与人称为委托人( principal),即信息劣势方。[3]其与法学当中的委托人、代理人含义不同。在经济交易活动中,只要双方存在信息不对称就构成经济学当中的委托代理关系。如保险公司与保险购买者、银行与借款人之间都构成委托代理关系。而法学中的委托代理关系并非一种理论,是两种截然不同的民事法律关系。
然而,金融市场与其他市场相比,最显著的特征就是资金的所有权与使用权相分离,以资金使用权换取收益权,比如购买基金、股票,都是用资金的使用权换取未来收益权。随着纷繁复杂的金融商品出现,金融商品及金融服务多种多样。从表面上看,金融机构将金融商品销售给消费者,但是在其提供金融商品的同时隐含了资金的不同流向。因此,不能仅依据是否获得金融产品来决定委托人和代理人的角色,而要看金融产品中实际包含的资金流向,不同资金流向产生的委托代理关系也不同。比如,在金融市场中,甲向乙投入资金,乙享有资金使用权。而甲之所以将资金使用权让渡给乙是想通过乙的资金使用而获得收益,出于自身利益的考量,甲希望找到一个专业水平高并且能努力工作的乙,这样才能保障资金的安全且获得高收益。但是,乙的私人信息是甲很难获得并且第三人也不能确切知道,在甲与乙之间就存在信息不对称。而甲处于信息的弱势方,即委托人,乙则处于信息的优势方,即代理人。如前所述,资金是双向流通,从委托代理模型的角度分析,金融市场消费者和产品提供者都具有双重角色,相对应也存在双重道德风险。具体如下图所示:
当金融消费者作为委托人时,金融机构是代理人。金融产品的相关信息与金融机构在交易过程中的行为就变成了金融机构掌握的特有信息(即金融消费者所没有的信息)。[4]与传统消费领域相比,金融产品和消费有其特殊之处。首先,金融商品的无形性。在金融交易中,标的多数体现的是无形的金融服务,并非像传统商品那样可以通过视觉、触觉等直观地了解到商品、服务的质量及风险。因此,金融消费者在很大程度上依赖金融商品经营者的信息披露而做出决策。[5]其次,交易中金融商品内容的信息化导致其对专业信息存在高度依赖性。金融商品中无论是银行理财产品、证券还是保险产品等,他们的内容都可归结为信息的组合。由于这些信息组合的复杂性、发达的技术性与高度的专业性,使并不具有专业知识的金融消费者很难判断其风险。并且,金融商品、服务提供者为了获取更多的利益,并不向金融消费者提供完整、客观的商品及服务信息。因此,信息不对称是客观存在的。而金融消费者因金融交易的特殊性在金融活动中更加处于信息不对称的地位。 [6]
图1委托代理关系示意图
金融创新的不断发展导致金融产品及服务变得更加复杂化、多样化。渴望购买适当的金融商品或服务的金融消费者面对组合多样的金融商品、服务,要想获得相关的信息,最直接同时也是最便捷的手段便是从金融机构获取。然而,作为代理人的金融机构,其提供金融商品、金融服务的最终目的是获取利益。因此,其必然会利用自身的信息优势去攫取更高的利润,把风险转嫁给作为委托人的消费者,以损害委托人利益来追求自身利益的最大化。如媒体多次报道的 “理财产品变身保险、银行员工忽悠消费者”多起金融消费纠纷、推销与消费者风险能力不适应的理财产品、侵犯消费者的自主选择权等。
正是基于金融机构利用其信息优势地位所产生的道德风险,频频侵害金融消费者的权益,我国的“一行三会”才不断采取措施加强对金融机构的监管,强制进行信息披露,建立以金融消费者保护为中心的法律体系的呼声也越来越高。但是,在对金融消费者进行保护的同时,不能忽视当金融消费者作为代理人(即处于信息优势地位)所产生的道德风险。如果忽视金融消费者的道德风险,过度地对其进行保护,最终会破坏金融市场自身的发展规律。
(二)金融消费者的道德風险
当金融消费者作为代理人时,其也具有信息优势。这些信息优势主要体现在金融消费者对其个人的能力、学历水平等个人信息的掌握。由于这些个人信息是与金融消费者紧密相连,甚至是其生活中的一部分,所以对这些信息的掌握是其天然优势。而对于金融机构而言,要对金融消费者的能力、信用状况等有真实的了解,就需要付出较高的经济成本来获取相关的信息。我国当前的征信体系并不健全,所以更加大了对金融消费者信息获取的难度。
比如在信贷性质的金融产品交易中,消费者是代理人,金融机构是委托人。消费者通过一定的程序向金融机构申请贷款,而金融机构要通过对消费者的个人能力、学历水平、收入、信用程度等有一个比较真实的了解,然后以此为依据决定贷款的数额。但是,由于难以获取这些真实的信息,金融机构处于信息弱势地位;而金融消费者会利用其信息优势地位产生道德风险,比如填写虚假的文件、表格等进行欺诈而获得贷款,最后由于自身的能力不足无力归还,损害金融机构的利益,进而危害整个金融业的发展。美国次贷危机的爆发就是典型的实例,其爆发的直接原因便是美国次级贷款市场消费者借贷过多最终无力归还,导致次级抵押贷款机构破产、投资基金被迫关闭,股市剧烈震荡。由此可见,金融消费者的道德风险会降低金融市场资源配置的效率,阻碍金融业的创新,危及整个金融业的发展。
然而,通常情况下,金融消费者的道德风险容易被忽视,其所处的弱势地位却是当前各国进行立法改革的一个重要参考因素。加强金融监管、注重金融消费者保护已经成为全球金融发展的潮流。但是,金融市场能够长存,必然有其自身的发展规律。因此,不能过多地对金融市场进行干预,破坏其发展规律,对金融消费者进行适度保护即可。如果对金融消费者进行过度的保护,同样可能产生道德风险。
不断加强对金融机构的监管、出台多项保护金融消费者的措施,这些为金融消费者提供了层层的保护屏障。在这些屏障之下,金融消费者原本为了维护自身的利益,会尽力从各种渠道获得金融商品或服务的信息,避免其权益受到损害。但是,愈来愈多的金融监管以及保护措施的出台,就像是给金融消费者披上了多重的保护外衣,降低了他们因不正当金融交易而利益受损的风险。因此,金融消费者放松对金融机构的考察,降低获取信息的成本。而一些质量较差的金融机构利用金融消费者的松懈心理,依靠更加诱人的高盈利型金融商品或服务博得金融消费者的青睐。1980年左右,在美国出现的“僵尸银行”(一些经济意义上的净资产已低于0,但仍然在政府支持下偿付债务并保持运营的金融机构)就是一个实例,那些已经资不抵债或者效率极低的“僵尸银行”利用消费者保护产生的漏洞,依靠相对于优质银行更高的利率来吸引存款;然后以更低的利率向外发放贷款,进而争夺信贷市场份额,导致那些运作良好、效率高的银行的存、贷款总额下降,损害他们的权益。最终导致逆向选择,质量好的商品由于付出的成本高收益薄甚至亏损而被挤出市场,而质量差的商品反而因收益高于成本而存活下来。这就导致市场竞争产生一种不正常的、负面的资源配置结果,破坏金融市场的发展规律。 [7]
多重金融监管措施不仅会引发金融消费者的道德风险,而且也会加剧金融机构的道德风险。我国之前存在的隐性存款保险制度就是一个典型的例子。隐性存款保险制度之所以会建立,是为了防止大型的金融机构突然倒塌引发金融危机损害金融机构的股东和债权人利益,同时会给整个金融系统和国家的经济体系带来损害。世界上多数国家对于大型金融机构实行“大而不倒”的政策,即这些大型的金融机构产生的最终成本及负担是由社会承担。其实质就是由政府提供隐性的担保制度。[8]而隐性的政府担保制度为大型金融机构(比如我国的四大国有银行等)提供了强有力的担保后盾。这些大型金融机构的股东及经营者在毫无后顾之忧的前提下放松对自身风险管理的警觉性和应对能力。同时,他们利用有限责任的保护伞并且在绩效薪酬制度激励下更加积极投身于高风险的金融业务从而获得更高额的回报,这导致金融机构自身风险和金融体系的系统性风险骤增。[9]这无疑会引发金融业的道德风险,巨大的利益驱动着金融机构狂热地从事高风险业务,对整个金融系统乃至经济体系产生巨大的负外部性。然而, 2015年3月31日颁布《存款保险条例》将于2015年5月1日正式实施。这意味着我国由银行存款保险制度向显性存款保险制度的转变。存款保险制度一旦得以确立,大型金融机构的生存意识及风险意识就会加强,市场竞争变得激烈,在一定程度上会遏制金融业道德风险的产生。
因此,我国在进行金融法改革的道路上,对金融消费者的保护要根据我国当前的社会经济发展,不能盲目地跟风,借鉴国外的保护立法和措施;同时,也不能过度对金融消费者进行保护,否则不仅不能促进金融市场的稳定发展,反而会产生双重道德风险,扰乱金融秩序。
二双重道德风险防范之重要因素
——适度的信息披露
正如前文所述,产生双重道德风险的主要原因是金融市场存在信息不对称。信息在金融市场当中尤为重要,因为当前的金融商品及服务基本上都是信息的组合。而信息披露是保证金融信息的真实性、准确性和完整性的有力武器。因此,信息披露对于金融消费者保护以及双重道德风险的防范起着重要作用。
尽管信息披露占有如此重要的地位,但是对信息披露仍然要有一个边界的限制,不能依靠金融监管的强制性要求金融机构过度地披露信息。在金融市场中,风险与交易如影随形,是客观存在的,金融领域的消费者应当有承受风险的能力。所以,对于金融消费者权益的保护也应当在一定的范围之内。如果一味地对消费者进行偏袒,保护其规避风险,此时过度偏袒保护也会引发道德风险,公平正义也难以实现,同时也会妨害金融业的发展。[10](P86-90)
金融机构进行信息披露的界限应当是防止金融机构的不正当交易,同时防范双重道德风险的产生。所以,金融机构进行适度信息披露除了确保信息的真实性、准确性、完整性以外还应当具备以下几方面的要求:第一,所披露的信息要有针对性。当前多数金融消费者并没有对金融知识进行系统专业的学习,因此,面对纷繁复杂的金融商品及其专业的产品简介很难真正理解。如果不考虑消费者的知识水平及对专业信息的接受程度,仅仅是为了敷衍了事的话,再多的信息对于不理解含义的消费者而言都是毫无用处;而复杂专业的金融商品及服务都是由金融界的精英人士冥思苦想的成果,所以对于普通的消费者而言,搜集有效信息及充分理解相关的金融商品及服务绝非易事。因此,金融机构在金融商品活动中应当主动提供金融商品及服务的相关信息,并且其所提供的信息必须是有针对性并且有效的信息。金融机构对于足以影响消费者交易决策的“重大事项”(金融商品、服务的周期、性能、成本及收益率的计算等)应当主动提供,对于其他次要信息则不应长篇累牍地描述。第二,对于信息要用简单易懂的词汇进行说明,禁止大量使用专业术语及生僻词语。对于专业术语要进行注释及标注,并且从中注释与标注的字体要显眼并且达到多数消费者理解的程度。
另外,信息的获取通道要保持畅通、便捷。由于信息是时刻在更新,所以信息的披露是一个持续的过程。由于金融商品、服务又与信息的波动紧密相关,所以要保证金融消费者对于信息的获取便捷、有效。除了在签订合同或者介绍金融商品时,对金融消费者进行书面说明以外;还应当在金融商品的销售场所提供专门的地方张贴金融商品、服务的信息、介绍等,并且及时更新。基于当前网络的发达,也应当建立专门的网站或者论坛实时更新金融商品、服务的相关信息,便于金融消费者查阅、了解自己购买的金融商品的最新动态。
适度的信息披露一方面降低金融消费者获取金融商品信息的成本,促进他们更好更快了解金融商品信息,保障他们的知情权,纠正了消费者所处的信息弱势地位;另一方面,金融商品信息的披露削弱了金融机构的信息优势地位,对金融机构道德风险的防范起到了重要作用。
三结语
金融市场当中,由于信息不对称导致金融消费者处于弱势地位。而金融创新及金融业的发展使得金融消费者的弱势地位更加凸显。当前,世界各国都在不断加强金融监管,以加强金融消费者保护为重心。然而,不可忽略的是在信息不对称理论当中,不仅包含金融机构处于信息优势地位而产生的道德风险会损害金融消费者的合法权益;同时还包含当金融消费者处于信息优势地位产生的道德风险及金融消费者保护引致的道德风险会损害金融机构乃至整个金融业的稳定与发展。
所以,我国在金融法改革的道路上应当注重对金融机构及金融消费者的双重道德风险的防范。而防范双重道德风险中必不可少的一环是进行适度的信息披露。信息披露固然重要,但是要把握好披露的界限及要求,这样才能保护金融消费者同时也起到防范双重道德风险的作用。另外,2015年3月31日由国务院常务会议通过的《存款保险条例》正是对双重道德风险防范的突出表现,此条例也说明我国在金融法改革中将金融消费者保护与金融市场自由竞争并重,并非为了保护金融消费者,过多地对金融市场进行干预和监管,是我国金融法改革道路上成功的一大步。
[参考文献]
[1](英)约翰·伊特维尔,默里·米尔盖特,彼得·纽曼.新帕尔格雷夫经济学大辞典( 第 3 卷)[M].北京:经济科学出版社,1996.
[2]马国泉.金融消费者保护的信息经济学分析[J].湖南科技大学学报(社会科学版),2011,(3):68-69.
[3]车亮亮.金融道德风险发生机制的多维透视[J].华中科技大学学报(社会科学版),2014,(1):75-76.
[4]高明.金融消费者保护:基于委托代理模型的研究[J].金融理论与实践,2011,(6):45-46.
[5]李健男.金融消费者法律界定新论以中国金融消费者特别保护机制的构建为视角[J].浙江社会科学,2011,(6):78.
[6]于春敏.金融消费者的法律界定[J].上海财经大学学报,2010,(4):38-39.
[7]孙天琦.金融消费者保护: 市场失灵、政府介入与道德风险的防范[J].经济社会体制比较,2012,(2):209-210.
[8]Asil Demirgü. Kunt and Harry Huizinga.Are Banks Too Big to Fail or Too Big to Save? International Evidence from Equity Prices and CDS Spreads [R]. CentER Discussion Paper Series NO. 59.2010.
[9]隋平,陈平凡.金融机构"大而不倒"问题与解决方案研究[J].湖南大学学报(社会科学版),2013,(5):146-147.
信息科技风险管理经验交流
塔城地区银监分局:
根据塔城地区银监分局《关于召开2011年塔城地区银行业金融机构信息科技风险管理联席会议的通知》要求,现将和额敏县农村信用合作联社信息科技风险管理情况汇报如下:
一、信息科技风险管理基本情况
为提高安全管理意识,充分认识信息科技风险管理工作的重要性,建立了一把手负责制,明确信息科技风险管理的职责权限,逐级落实信息科技管理责任,严格事故追究责任制。成立了以联社理事长为组长、领导班子成员为副组长、各相关部门及营业网点主任为成员的信息科技工作领导小组,制定了信息科技应急处置预案,明确了因信息科技风险导致营业网点发生业务故障时,联社各相关部门需采取的措施和步骤,提高了对信息科技风险的预防和处置能力。
2009年10月,自治区联社鉴于各县级联社信息科技风险管理技术力量薄弱,管控能力较差等情况,以地区为单位成立了科技分中心,对各联社信息科技工作和部分重要设备统一进行管理,并每季对网点进行一次科技风险管理巡检。
二、联社信息科技应用情况
(一)网络情况。目前我社各网点均通过租用电信公司专线与直接与塔城地区科技分中心相联,业务专线与因特网物理隔离,可以有效的防止了网络不法分子对我社业务网络
攻击和破坏。对部分重要的网络设备、参数(如网点路由器)由地区科技分中心进行备份。
目前我社网点全部建立了电话线路备份,如网点专线出现故障,通过向地区科技分中心申请后,可以使用电话备份线路办理业务。
(二)生产环境。为提高农村信用社的业务发展,增强业务处理能力,自治区农村信用社使用了数据集中模式,数据集中到自治区联社科技中心。各项应用系统的维护、数据备份等由自治区科技中心操作。
(三)科技管理。
我社所有电脑均安装网络版杀毒软件,并及时进行更新,防止病毒传播和有害程序注入,保证了网点和机关各部门的电脑稳定安全运行。
三、存在的问题
由于县联社没有专职或兼职科技管理人员,对县联社的新业务软件上线,软硬件的日常维护,科技分中心距离县联社较远,技术支挣不是很方便。如网点线路关键设备发生故障,不能迅速排除故障,可能造成网点停业时间较长。
今后我社将在自治区联社的领导下,在地区银监局的正确监管下,加强信息科技风险防范,努力提高信息科技防范工作力度,做好对敏感信息的保护和应急能力建设,确保我社信息科技工作稳定、安全发展。
额敏县农村信用合作联社
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报
(九)(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按
(十四)(一)业务战略和信息科技风险管理
(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的
(五)(六)
(二)信息系统开发、测试和维护。
(三)(四)
(五)(六)
(七)
(三)(四)
(六)(七)
(五)域的性质,如生产域或测试域、内部域
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科
操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会
术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程
(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带
(三)(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相
银监发[2013]5号
中国银监会关于印发银行业金融机构信息科技外
包风险监管指引的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日
银行业金融机构信息科技外包风险监管指引
第一章 总则
第一条
为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条
在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条
本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条
本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条
信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:
(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;
(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条
本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条
本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条
银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条
银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条
银行业金融机构在实施信息科技外包时应当坚持以下原则:
(一)以不妨碍核心能力建设、积极掌握关键技术为导向;
(二)保持外包风险、成本和效益的平衡;
(三)强调外包风险的事前控制,保持管控力度;
(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条
银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条
对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章 外包管理组织架构
第十三条
银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条
信息科技外包风险主管部门的主要职责包括:
(一)对外包风险进行识别、评估与风险提示;
(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条
银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:
(一)实施信息科技外包战略;
(二)制定并执行信息科技外包管理制度与流程;
(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;
(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条
银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条
银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条
银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条
银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条
银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条
银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条
银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条
银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条
银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条
外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条
银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条
对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条
银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条
银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条
银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条
对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包
服务、处理突发事件等。
第三十三条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条
银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条
银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵
和纠正措施。
第三十七条
银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条
银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条
银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条
银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条
银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条
银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率、设备的开机率;
(二)故障次数、故障解决率、故障的响应时间;
(三)服务的次数、客户满意度;
(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率。
第四十三条
银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条
银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条
银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条
外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条
对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条
银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一)识别出重要业务所涉及的服务提供商和资源;
(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;
(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条
为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条
银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二)事件持续时间和恢复可能性;
(三)事件影响范围和可能的应急措施;
(四)服务提供商自行恢复服务的可能性和时间;
(五)备选的服务提供商以及外包服务迁移方案;
(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条
对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条
银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条
银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。
第五十七条
银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条
银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条
对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条
跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六十一条
跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条
银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条
银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条
银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条
银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条
银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条
非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条
银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条
银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条
银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条
对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:
(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条
银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条
银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第八章 监督管理
第七十六条
银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一)信息科技工作整体外包;
(二)数据中心或灾备中心整体外包;
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(五)关联外包;
(六)涉及跨境的信息科技外包;
(七)其他银监会认为重要的信息科技外包。
第七十七条
银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。
(一)银行业金融机构客户信息等敏感数据泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四)其他重大的服务提供商违法违规事件;
(五)银监会规定需要报告的其他重大事件。
第七十八条
银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。
第七十九条
银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条
对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条
银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条
银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条
银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条
银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条
银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条
银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。
第八十七条
银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条
服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一)违反国家法律、法规和监管政策,情节严重的;
(二)窃取、泄露银行业金融机构敏感信息,情节严重的;
(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;
(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;
(五)对风险监测和实地检查发现的问题,逾期仍未整改的;
(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。
第八十九条
银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条
本指引由银监会负责解释、修订。第九十一条
1、难度量。
信息科技风险的不确定因素过大,导致在其风险因素进行控制时存在一定的难度。虽然在一定情况下,储存厂商可以帮助客户对中断的业务造成的损失进计量,但是这种计量方式却仍然存在一定的缺失。2、易扩散。由于网络传播速度过快,一旦银行操作失误其波及范围就会快速扩散,甚至波及整个银行的经营情况,同时造成的损失必然也会增加。这种损失不仅会造成银行财务的损失,同时还会对银行的声誉产生一定的影响,而这种影响则是长远的,3、影响大。利用互联网技术的同时,也意味着银行经营将离不开信息技术。近年来,网络安全问题日益增加,一旦银行网络受到攻击就会导致银行系统的全面瘫痪,交易系统也会因此产生巨大的影响,严重时会对整个国家造成损失。
二、信息科技风险计量
2.1均值—方差模型
2、将信息科技投资当作单一的投资项目,则该项目可以被当作特殊的投资组合,在进行风险测量时就可以将信心科技投资作为一个整体进行风险计量。
当同一个投资项目,及时有多个投资方案时,其期望收益都是一样的,因此认为标准差最小的就是最有效的投资方案;而当投资项目不同时,则期望效率和标准差都会有所不同,因此可以利用标准离差率进行对风险的计量。在标准离差率中每获得1%的期望收益曾需要承担相同的风险,因此面对信息科技投资中多个方案时,认为方案中标准离差率越小,则投资方案最安全。
2.2资本资产定价模型
三、强化信息科技风险管理对策
以我国新《指引》为基础,对管理制度进行不断的完善和优化,并建立常态化的管理模式。加强商业银行中信息科技风险管理制度,推动其不断的发展,为信息科技风险管理提供有效的保障。商业银行在强化信息科技管理的过程中,需要重视IT资源和业务的平衡发展,不能因发展IT管理技术而忽略了银行业务,以免造成资源紧张。在其发展的过程中,遵循事物发展的规律,不能急于求成而造成资源配置过剩,导致资源闲置。在管理过程中,我国商业银行所使用的设备大多数是国外进口设备,导致成本过高,更新速度慢。因此需要不断对我国管理设备进行发展,降低相关依赖性。同时减少银行信息泄露的可能性,通过自主研发,商业银行可以逐渐形成自身的技术团队,降低成本,提高银行竞争了,同时有效降低外包风险。
总结:目前,信息科技风险管理面临着新的发展趋势。而我国和其他国家相比,本身就存在着一定的差距,但是面对新的发展趋势我国同样面临新的机遇。推进我国信息科技风险管理制度,提高银行竞争了。本文对信息科技风险量化进行了描述,并提出了相应的管理对策,认为我国需要建立自主的核心技术,减低依赖性,才能真正的提高信息科技风险的管理能力。
摘要:信息科技风险是银行管理中的主要部分,但是对于我国信息科技风险而言,在其计量过程中存在一定的问题。本文通过对信息科技风险量化进行研究,通过多种模型进行建立并加以分析。并对管理措施进行强化完善信息科技风险防控技术。
关键词:信息科技,风险量化管理
参考文献
[1]杨涛.商业银行信息科技风险量化与管理研究[J].信息安全与技术,2010,06:66-70.
[2]何茂春.商业银行信息科技风险的量化计量研究[J].金融论坛,2009,02:42-48.
今年信息科技部围绕全省数据集中工作,实施了信息中心网络及机房改造工程,完善了计算机系统安全管理及设备维护等方面的制度,为农村信用社各项业务的开展提供技术保障。
一、合理调配资源,完成省中心网络互联工作。根据省联社综合业务系统建设方案,我市农村信用社上线工作计划在下半年完成,按照省联社计算机中心工作安排,我市信息中心必须在6月10日前完成与省中心的互联工作。在时间紧、任务重的情况下,我们部门制定了专项的工作计划,合理分工,提前完成了省中心的工作部署。
首先,部门技术人员共同协作,以“节约资源、符合标准”为原则,制定了信息中心网络设备改造方案。⑴、购置两台CISCO3550交换机,做到网络线路的双机热备。
⑵、购置CISCO3662路由模块,做到主线路的联结。⑶、不重新购置CISCO3550路由器,利用原CISCO2610路由器资源,购置了相应的模块,做到备份线路的联结。其次,我们及时将以上的工程改造方案报省信息中心与科技处批准,经科技处批准后,我们部门在设备到位、线路到位的情况下,加班加点与5月中旬完成了与省信息中心的联结,为下一步数据集中提供了网络保障。
二、实施中心机房改造工程,确保中心机房安全运转。去年上半年,我市农村信用社实现了数据集中,我们信息科技部的中心工作由对营业网点计算机系统的维护转移到对中心机房计算机系统的操作与维护,中心机房安全高效运转是我市农村信用社业务开展的前提。今年以来,按照省科技处工作要求,我市信息中心机房必须在防雷与防火上符合科技处制定的标准。经过细致的调研,我们部门在几套工程方案中,选择了性价比较好的方案,于4月份完成了施工,并分别通过了市消防大队自动消防系统验收、市防雷测试中心防雷系统验收。
三、完善计算机安全管理制度,确保计算机系统安全运行。
随着计算机应用在信用社业务及管理领域的推广,计算机系统的安全管理尤为重要,为了防范风险,确保计算机系统安全、高效运行,根据公安部门及省联社相关规定,我们部门及时制定了《计算机安全管理办 法》,在日常计算机系统安全管理上坚持预防为主、安全第一、依法办事、综合治理。
首先,联社成立了由主任任组长,各个职能部门负责人参加的计算机信息系统安全保护领导小组,负责监督、检查、指导营业网点的计算机安全保护工作。其次,明确了联社网络信息中心及营业网点计算机系统管理与操作人员的岗位设置,并制定了详细的岗位职责,做到安全责任落实到人。
在组织落实、责任明确的前提下,我们将信息中心与营业网点的各类操作行为根据业务需要制定了具体的操作方法,从硬件管理、密码管理、数据管理等方面规范操作行为,杜绝安全隐患。
四、适时组织操作员业务培训,提高业务技能。按照计算机操作员培训制度,根据业务需求,我们下发了《营业网点员工计算机操作技能调查表》,并根据此表制定今年的培训计划,编发了相关的培训资料,组织了两期操作员培训,努力提高操作员业务技能。
五、共同配合,顺利完成综合业务上线,各项业务正常开展。
根据省联社上线工作计划和要求,从8月10日至8月27日18天内完成上线工作任务。在时间紧、任务重的情况下,积极与财务、信贷等部门共同配合,制 定上线工作计划,层层落实,相互协调,明确分工。一是及时编制上线更换计算机硬件设备计划。四天内购置设备到位,建起培训机房。二是编制综合业务上线培训资料,组织业务岗位员工进行全面培训,八天举办了五期培训,参加培训人员达210人次。为上线业务开展打下了良好基础。三是各项硬件设施只用了四天时间及时安装到位。四是与财务部门密切配合进行移植账户数据核对,清理规范账户,确保顺利上线,五是与省中心共同协作,结合实际情况进行中间业务开发,顺利完成连调。六是上线前的系统业务测试落实到位,在测试中发现的问题及时协调处理,为一次性上线成功提供了保障。在联社上线领导小组的领导下,奋战十八个日夜,终于顺利完成了上线工作,保证了各项业务正常开展。
六、及时协调解决新业务系统上线后遇到的问题。新的综合业务系统上线后,对业务操作提出了新的要求和新的业务系统还有一些不完善的地方,及时和相关部门协调解决。一是编制了新业务系统日常工作要求。二是及时总结新业务系统上线后存在的问题,主动和科技人员共同研究解决,或与省中心联系,请求帮助解决,做到了遇到一个问题解决一个问题。三是完成土桥分社与朴席社的机构撤分。
七、做好计算(本文权属文秘之音所有,更多文章请登陆查看)机设备和网络的正常维护工作。
【信息科技部风险道德总结】推荐阅读:
银行信息科技调研05-25
高科技信息07-17
科技信息部职责06-12
北京信息科技大学课设06-03
锡盟科技信息研究所07-21
信息科技英语翻译之10-14
中国高新区科技金融信息服务平台10-20
关于银行业信息科技与业务发展融合的思考07-06
县科技和工业信息化局局长述职报告09-27
信息安全风险分析10-12
