电子银行技术风险的持续性监管

（三）电子银行技术风险的持续性监管

电子银行技术风险的持续性监管包括现场检查、非现场监测和实时监测三种方式，以现场检查为主，非现场和实时监测为辅。这些方式在监管活动中相互补充，互为依据，发挥着不同的作用。

1.现场检查

电子银行技术风险的现场检查是指银行监管当局指派专人或专门小组，进入电子银行现场对电子银行系统进行检查。与我国相反，美国等发达国家已将技术风险检查融入其对银行进行的常规现场检查而成为其重要组成部分。在借鉴发达国家经验以及分析我国客观情况的基础上，近期内我国电子银行技术风险的现场检查可按以下思路进行。

（1）现场检查的方式和频率。传统银行的现场检查根据检查的内容分为全面检查和专项检查。全面检查是对金融机构一定时期内的所有业务经营活动进行检查。专项检查是指对金融机构的一项或几项业务进行重点检查，具有较强的针对性和目的性。因为我国对银行技术风险的管理正在快速完善之中，即处于不稳定的状态中，而银行其他业务则相对比较稳定，如果将技术风险现场检查作为常规全面检查的一部分，则得出的综合结论容易以偏概全。另外，我国银行技术风险监管很不成熟，信息技术现场检查还没有系统化、制度化，检查人员往往是聘请外部专家，监管的连续性较差。所以，现阶段我国电子银行技术风险现场检查应以专项检查为主，并设计独立的技术风险安全指标体系，进行独立的安全评估。

实行专项检查，无论对银行监管当局还是商业银行，都是一个缓和的机会。在这段时期内，商业银行可以建立完善的技术风险内控制度;银行监管当局可对监管制度在不断积累经验的基础上进行调整和完善，直至形成最终的比较稳定的检查程序和指标体系。最终，在各方面条件都比较成熟时，可以将技术风险现场检查整合到常规的全面检查中，以节约监管资源，提高监管效率。

电子银行业务市场准入之前，应对其进行一次全面的现场检查，重点是技术风险检查。准入之后，技术风险的现场检查频率可依各监管对象的具体情况而定，主要是依据风险监管原则，风险越高，检查的频率就越高。但是，各银行应该每年至少进行一次技术风险检查。在信息技术发生重大变动时一般也需要进行检查。

（2）现场检查的程序。根据国外的成熟做法，技术风险现场检查程序基本上可以参照传统银行业务的现场检查程序，但检查的方式、方法、内容和风险评级体系都需要针对技术风险的特点作出较大的调整。电子银行技术风险现场检查的程序包括：

第一，分析技术风险。主要是查阅已获得的各种资料，了解被检查银行的基本情况。这些资料包括内审部门或外部评估机构的信息安全评估报告、前次技术风险检查报告、非现场监测报告以及其他可获得的资料。分析被检查银行的系统类型（信息型或交易型）及风险暴露与风险管理程度是否匹配等，最终得出分析结论。

第二，制定现场检查方案。在以上分析的基础上，通过检查组内部讨论，确定检查的重点和范围，并制定详细的检查方案，明确检查的主要领域和重点。检查方案包括：检查的范围和目标、检查程序、检查周期、检查时间和人员安排等。

第三，下发现场检查通知书，进入被监管机构的电子银行现场进行检查。通过查阅电子银行系统相关资料和安全风险控制制度与措施、召开座谈会、填制各种内控问卷、进入电子银行系统进行实际操作等方式和途径，从系统与信息的安全性、管理控制、审计职能、系统开发、客户支持等多个方面评估电子银行系统的安全性，判断银行管理和控制技术风险的能力。如果在检查过程中，发现电子银行系统存在较大的缺陷，则需要监管机构修改当前的检查方案，重新安排监管资源，包括时间和人员，对被检查机构进行更深入的风险分析和检查。

第四，根据检查中发现的事实，制作现场检查工作底稿，形成初步的现场检查结论和报告。

第五，与被检查机构的管理层就检查结论进行讨论，提出监管的建议，形成最终的检查结论和报告。报告中应列明下次检查的重点、时间安排等。最后根据现场检查的结论更新非现场监测系统中被检查银行的有关信息。

（3）现场检查的主要内容。技术风险的现场检查，应主要包括物理设备安全、数据通讯安全、应用系统安全、信息技术安全策略、信息技术审计、外包服务、组织建设以及遵守法律法规情况等。检查小组需要设计相关的问题或表格，通过实地调查研究，找出问题答案。首先对单个检查项目的风险及管理情况有一个基本的判断和评级，最后综合各部分风险情况，得出总的技术风险评价。

需要强调的是，对不同银行，由于检查的目的和要求不同，检查的内容和方法也应该有所不同，没有一个统一的标准。具体到某家商业银行，都检查哪项内容、每项内容检查到何种程度，应该依据其电子银行系统的技术复杂程度、提供业务的种类和性质以及技术风险的内涵等因素来决定，坚持风险监管原则。

2.非现场监测

电子银行技术风险的非现场监测，是指监管部门对其监测到或金融机构报送的有关电子银行方面的数据和资料，进行整理和综合分析，并通过一系列风险监测和评价指标，对金融机构的技术风险做出初步评价和早期预警。非现场监测可以保证监管的及时性和连续性，有助于明确现场检查的对象和重点。

非现场监测的主要过程是根据“银行技术风险预警系统”数据库所提供的电子银行系统和有关行业信息系统安全事件、各种技术风险管理控制和执行情况、相关行业已有技术风险的现状和趋势进行。具体过程包括：

第一，采集数据。我国银行监管当局应建立电子银行技术风险预警数据库、银行信息系统注册管理系统，作为非现场监测的数据源。要求数据采集口径必须一致，采集频率有明确规定。

第二，生成风险监测指标值。在对采集数据的连续性和准确性进行初步核对、分类、归并的基础上，根据预先设计出的技术风险监测和控制指标，生成一系列指标值，如因技术风险导致的损失比例、黑客攻击频率等。

第三，进行分析。利用横向和纵向比较分析法对各项指标值进行分析，得出单项检查结论。

第四，综合评价风险。对上步分析的结果、差异，以及导致上述结果与差异的原因进行综合分析，得出电子银行技术风险水平与发展趋势的综合评价。

第五，发出预警，为现场检查提供指导。

从上面的非现场监测过程可以看出，非现场监测系统是否有效，取决于三个先决条件。一是采集数据的一致性，目前我国银行监管当局基础数据库建设比较落后，缺乏基础数据，电子银行安全的基础数据更加缺乏。需要尽快进行信息技术基础数据需求分析，设计统一的报告格式，采用一致的采集口径，由统一的部门报告。二是非现场监测指标体系的完善性，该指标体系与现场检查是密切相关的，可为现场检查提供预警信息，明确现场检查的重点。三是要有经验丰富的技术风险分析人员。

目前，我国银行技术风险监管正处于框架设计阶段，非现场监测基本是空白。银行监管当局应该将现场检查和非现场监测全盘考虑，同步设计，因为现场检查和非现场监测之间有着内在的联系，后者为前者提供数据源。在具体的操作过程中，我们可以在现有的非现场监测系统中，增加新的数据源和新的分析指标，对技术风险进行监测。

3.实时监测

电子银行具有即时性和容量大的特点，使实时监测成为一种重要的监测方式。实时监测是指技术风险监管人员，依据有关法规或制度规定，根据事先与商业银行达成的有关协议，使用相关的工具，通过专门的监管通道登录到相关电子银行系统，对它的运行过程、异常情况、不安全的环节等进行实时、动态、持续监测的过程，以便有效地制止和化解正在发生或可能发生的金融风险。例如，监管当局可以依据事先与商业银行达成的有关协定，随时通过有关通道登录到商业银行的电子银行系统办理有关业务，来监测电子银行系统的安全性和符合有关规定的情况。当然，这种监测必须在严格的法律法规约束下，以保证银行业务系统的绝对安全为前提。