第一篇:刘明康:风险集中已成银行业监管最大挑战
龙源期刊网 http://.cn
刘明康:风险集中已成银行业监管最大挑战 作者:
来源:《时代中国》2009年第05期
中国银监会主席刘明康11日在亚洲银行家2009年峰会上指出,在相当长一段时间内,我国银行业在经营行为和风险管理方式上还具有趋同性,由此将产生风险的集中度,这是中国银行业监管者面临的最大挑战。
这是银监会高层近期再次对贷款集中度的风险表示担忧。今年以来,我国银行业贷款保持高歌猛进态势,且投向较为集中。根据央行近日公布的中国货币政策执行报告,今年一季度我国人民币中长期贷款主要投向基础设施行业、租赁和商务服务业、房地产业和制造业。
数据显示,一季度主要金融机构投向基础设施行业、租赁和商务服务业的人民币中长期贷款分别为8948亿元和2207亿元,占新增中长期贷款的比重分别为50.1%和12.4%。比上年同期分别高9.9个和7.9个百分点。
除了风险集中度的风险,刘明康表示,信贷资金大量向基础设施和项目投放。这样可能带来潜在的长期的信用风险。
他特别指出,在前些年中国经济飞速增长的同时,世界上很多经济体都是低风险高增长。但相同的经济繁荣,孕育的金融风险却大不相同。金融危机的爆发足以说明仅仅是繁荣的经济增长并不一定能来金融体系的稳健,有效地金融监管十分必要。
据刘明康介绍,近年来,银监会始终坚持将国际最佳实践运用于中国的实际;努力提高及时发现和防范金融风险的能力;重视微观单体机构风险监管与宏观审慎监管并举,提高风险监管的有效性;始终注重逆周期监管能力的建设;不断扩大覆盖面,不留监管真空,从而使银行业在迅速发展的同时保持稳健运行。
第二篇:银行业信息科技风险监管报告
探索银行业信息科技风险监管框架
银行业信息科技风险监管概述
信息科技风险是随着信息科技技术广泛应用而新生的词汇,最早出现在上世纪九十年代,目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势,即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础,通过约束银行资本,达到控制行业规模和风险的目的。在新资本协议关注的三大风险中,信息科技风险被默认为操作风险的一部分,未对信息科技风险的管理提出具体要求。
信息科技稳定运行是银行业务正常经营的基本条件,银行数据集中造成了风险的高度集中,科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性:一是风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高;二是由于管理因素、技术因素多重作用,导致偶发性和不确定性突出;三是信息科技一般不直接造成经济损失,其造成的间接损失难以计量;四是单个信息系统可影响多个业务,影响范围广且具有不确定性。
科技风险与操作风险当前处在不同的发展阶段,其管理理论、管理方法等方面有着一定的差异性。在管理体系方面,信息科技风险管理的理论已进入风险导向的科技风险管理阶段,但以风险为导向的识别、监测、计量方面尚不成体系;在管理方法方面,信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素;在损失特点方面,信息科技风险通常不产生直接的风险损失,这决定了通常情况下科技风险损失往往难以使用货币金额方式进行表示;在风险计量方面,目前尚缺乏有效计量信息科技风险资本的方法。
当前银行业大多将信息科技风险作为操作风险的一部分,纳入银行全面风险管理体系。但是,随着行业发展和技术进步,在操作风险模式下管理信息科技风险也存在一定的困难:一是目前的操作风险管理方法中对科技风险的管理方法涉及较少,难以兼顾到信息科技风险的专业技术特性,难以实现对信息科技风险的有效管理 ;二是风险监管资本计量未能充分考虑信息科技风险因素,信息科技风险造成的损失及其相应的监管资本计量存在困难。基于科技风险特点及其作为操作风险一部分进行管理遇到的问题,将信息科技风险从操作风险中拆分并独立管理,能更有效的管理信息科技风险。
信息科技风险应被视为一种独立的、重要的风险类型被单独管理,与操作风险的管理分开;应根据信息科技损失的特点设计与操作风险标准法和高级法匹配的计量模型,体现信息科技风险对银行资本的影响和敏感性。
银行业信息科技风险核心监管指标
在实施“风险为本”的监管框架中,需要探索建立一套可量化、相对简单、可动态监测的核心监管指标体系,来动态监测信息科技风险状况,直观评估银行信息科技风险的管理水平。
核心监管指标作为监管机构识别和预警银行风险的重要手段和方法,对健全内部风险制衡机制,完善风险管理政策和流程,优化风险计量工具,进行有效的风险控制起到了积极的促进作用。信息科技风险核心监管指标可以分为两类,一类是结果性指标,另一类是过程性指标。结果性指标是以目标为导向,对已经发生的科技风险事件和信息安全事件进行统计后建立的量化指标,其反映的是风险状况和发展趋势。过程性指标主要反映银行风险控制和管理能力。这样两类指标相互补充,起到全面评估机构风险水平的目的。
信息科技风险监管具体目标包括业务连续性、信息安全、公众满意度以及合法合规。从信息科技风险监管目标出发,可逐层分解出系统可利用率、业务量等指标,它们相对简单、直观、容易测算和计量,可以成为结果性指标。另外一类是过程性指标,这类指标基于当前银行业信息科技管理最佳实践,对信息科技的每个领域都能够起关键控制作用。监管指标一方面可以用来监测银行业整体风险状况,评估银行业风险水平,同时也可以与监管手段相结合,提高信息科技风险监管水平。
银行业信息科技风险资本计量
信息科技风险是巴塞尔新资本协议全面风险计量框架中的组成部分,科技风险资本计量是科技风险管理的重要手段。
计量信息科技风险可以借鉴当前相对成熟的操作风险的计量方法。但是,直接用操作风险计量方法计量信息科技风险存在挑战,主要表现如下:一是信息科技风险与总收入、业务交易量、客户数或业务交易金额等指标的关联并不密切;二是大部分信息科技风险的损失不是显性的,除少数信息科技风险事件(如引发客户索赔、延误罚息)有“直接损失”外,大部分信息科技风险事件的影响体现为业务中断、声誉受损等“间接损失”;三是信息科技风险损失数据相对较少,极端严重事件的数据更少,计量 “尾部风险”面临挑战。
基于高级法的计量思路是在操作风险的统一计量框架下对信息科技风险这一类型单独计量,可将信息风险损失定义为金额损失和时间损失两个维度,建立时间与金额的转换关系,拟合频率分布和严重度分布,之后整合为总损失分布,根据置信度确定未来一定时期内的非预期损失,最后用内部衡量法进行调整得出计量结果。将科技风险持续时间转换为间接损失金额有两种方法,分别为解析法和映射法。解析法是考量信息系统对银行利润贡献度,即某个信息系统单位时间对银行产生的利润,根据系统中断时间、影响范围、系统重要性进行计算,得出信息科技风险事件的间接损失。映射法是根据影响范围和系统重要程度将影响时间加权计算转化为“标准”的影响时间,然后建立标准影响时间与损失金额之间的映射关系,从而确定损失。
未来,随着信息技术的飞速发展,银行业对信息科技的依赖越来越大,云计算、物联网等新技术既加快了银行创新发展,对信息科技风险管理提出了更高的要求;快速变化的外部环境,开放的互联网环境,技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等,所有这些都使得信息科技风险管理与监管面临着更加现实的挑战,需要我们不断地思考和研究,提高信息科技风险管理能力。
(本文是中国金融四十人论坛内部课题《银行业金融机构信息科技风险监管研究》的报告简本,课题得到中国金融四十人论坛立项资助并组织专家评审)
第三篇:银行业金融机构信息科技外包风险监管指引
中国银行业监督管理委员会
银监发[2013]5号
中国银监会关于印发银行业金融机构信息科技外
包风险监管指引的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日
银行业金融机构信息科技外包风险监管指引
第一章 总则
第一条
为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条
在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条
本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条
本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条
信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:
(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;
(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条
本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条
本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条
银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条
银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条
银行业金融机构在实施信息科技外包时应当坚持以下原则:
(一)以不妨碍核心能力建设、积极掌握关键技术为导向;
(二)保持外包风险、成本和效益的平衡;
(三)强调外包风险的事前控制,保持管控力度;
(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条
银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条
对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章 外包管理组织架构
第十三条
银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条
信息科技外包风险主管部门的主要职责包括:
(一)对外包风险进行识别、评估与风险提示;
(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条
银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:
(一)实施信息科技外包战略;
(二)制定并执行信息科技外包管理制度与流程;
(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;
(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条
银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条
银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条
银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条
银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条
银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条
银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条
银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条
银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条
银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条
外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条
银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条
对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条
银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条
银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条
银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条
对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包
服务、处理突发事件等。
第三十三条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条
银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条
银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵
和纠正措施。
第三十七条
银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条
银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条
银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条
银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条
银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条
银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率、设备的开机率;
(二)故障次数、故障解决率、故障的响应时间;
(三)服务的次数、客户满意度;
(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率。
第四十三条
银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条
银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条
银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条
外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条
对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条
银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一)识别出重要业务所涉及的服务提供商和资源;
(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;
(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条
为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条
银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二)事件持续时间和恢复可能性;
(三)事件影响范围和可能的应急措施;
(四)服务提供商自行恢复服务的可能性和时间;
(五)备选的服务提供商以及外包服务迁移方案;
(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条
对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条
银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条
银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。
第五十七条
银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条
银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条
对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条
跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六十一条
跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条
银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条
银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条
银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条
银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条
银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条
非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条
银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条
银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条
银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条
对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:
(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条
银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条
银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第八章 监督管理
第七十六条
银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一)信息科技工作整体外包;
(二)数据中心或灾备中心整体外包;
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(五)关联外包;
(六)涉及跨境的信息科技外包;
(七)其他银监会认为重要的信息科技外包。
第七十七条
银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。
(一)银行业金融机构客户信息等敏感数据泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四)其他重大的服务提供商违法违规事件;
(五)银监会规定需要报告的其他重大事件。
第七十八条
银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。
第七十九条
银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条
对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条
银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条
银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条
银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条
银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条
银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条
银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。
第八十七条
银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条
服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一)违反国家法律、法规和监管政策,情节严重的;
(二)窃取、泄露银行业金融机构敏感信息,情节严重的;
(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;
(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;
(五)对风险监测和实地检查发现的问题,逾期仍未整改的;
(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。
第八十九条
银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条
本指引由银监会负责解释、修订。第九十一条
本指引自公布之日起施行。
第四篇:银行业信息科技风险监管现场检查手册
前 言
信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的 重要手段。银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维 系整个银行业的安全和金融体系的稳定具有至关重要的作用。
银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做 出重要批示和指示,明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制 度建设和风险监控,确保银行业信息系统安全稳定。
在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的 新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息 科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性 地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管 的基础框架,全面展开信息科技风险的监管工作。
按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加 强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资 源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上 海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工 作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式 的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。
《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加《手册》编写工作;银监会 各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。整个《手册》内容融合了银监系统内信息科技人员的经验和智慧,汇聚了银监会各部门与各 银监局的宝贵意见和建议,应属于银监会系统及科技人员共同努力的成果和结晶。在此,向 所有参与工作的单位和个人致以诚挚的谢意!
编写人员
林 丽 朱永扬 怿卫飞 李 丹 骆絮飞 邹 伟 房世晖
崔维琪 朱 斌 冯业伟 叶 照 乔昱瑞 纪奀 武 齐兴利
吴瑞麟 陈宏宇
谭 杨 李 鹏 张 伟 周嘉弘 史文明 李海波
张惠芳 郝海峰 何 禹 包 龙
李晓东 杨中华 靖雪晶 殷有超 陆 阳 崔 晨 怿美东
陆 翔 盛于南 怿殿南
陈云龙
游 琨
刘 楠
目 录
第一部分 概述.............................................2
1.银行信息科技风险及其监管...............................2
1.1 银行信息科技风险................................................................2 1.2 银行信息科技风险特点............................................................2
1.3 风险成因分析....................................................................3
1.4 信息科技风险监管意义............................................................4 2.现场检查一般流程.......................................5
2.1 现场检查准备阶段................................................................5 2.2 现场检查实施阶段................................................................7
2.3 现场检查后续阶段................................................................8 3.常用检查方法...........................................9 第二部分 科技管理.......................................11 4.科技治理..............................................11
4.1 董事会及高管层.................................................................11 检查项 1 :董事会和高级管理层............................................................................................11
4.2 信息科技工作的管理机构.........................................................12
检查项 1 :全行信息科技工作的管理机构.............................................................................12
4.3 信息科技部门...................................................................13
检查项 1 :信息科技部门.......................................................................................................13
4.4 信息科技战略规划...............................................................15
检查项 1 :信息科技战略规划................................................................................................15
4.5 信息科技风险管理部门...........................................................15
检查项 1 :信息科技风险管理部门........................................................................................15
4.6 信息科技风险审计...............................................................16
检查项 1 :信息科技风险审计机制........................................................................................16
4.7 知识产权保护...................................................................17
检查项 1 :敉识产权制度.......................................................................................................17
4.8 信息披露.......................................................................17
检查项 1 :信息披露..............................................................................................................17 5.连续性管理............................................18
5.1 信息系统连续性组织.............................................................18 检查项 1:系统连续性管理组织..............................................................................................18 检查项 2:系统连续性管理组织职责......................................................................................19 检查项 3:系统连续性计划编制、维护...................................................................................20 检查项 4:系统连续性计划编制、维护职责...........................................................................20 检查项 5:系统连续性计划执行组织......................................................................................20 检查项 6:系统连续性计划执行组织职责...............................................................................21 检查项 7:人员变动管理.........................................................................................................22 5.2 信息系统连续性计划.............................................................22 检查项 1:系统连续性计划.....................................................................................................22 检查项 2:测试及持续更新.....................................................................................................24 检查项 3:信息系统连续性计划管理......................................................................................25 检查项 4:系统连续性计划培训..............................................................................................25 检查项 5:系统连续性计划审计..............................................................................................25 6.应急管理..............................................26
6.1 应急组织.......................................................................26 检查项 1:应急管理团队.........................................................................................................26 检查项 2:应急管理职责.........................................................................................................27 检查项 3:应急管理制度.........................................................................................................27 6.2 应急预案.......................................................................27
检查项 1:应急预案制订.........................................................................................................27
检查项 2:应急预案内容.........................................................................................................28
检查项 3:应急预案更新.........................................................................................................29 检查项 4:外包服务应急.........................................................................................................29 检查项 5:应急培训................................................................................................................29 6.3 应急演练.......................................................................30 检查项 1:应急演练前............................................................................................................30 检查项 2:应急演练过程.........................................................................................................30 检查项 3:应急演练后............................................................................................................30 6.4 应急响应.......................................................................31 检查项 1:应急响应流程.........................................................................................................31 检查项 3:应急事件报告.........................................................................................................32 检查项 4:与第三方沟通.........................................................................................................32 检查项 5 :向新闻媒体通报制度............................................................................................32 检查项 6:应急处置总结.........................................................................................................33 6.5 应急保障.......................................................................33 检查项 1:人员保障................................................................................................................33 检查项 2:物质保障................................................................................................................33 检查项 3:技术保障................................................................................................................34 检查项 4:沟通保障................................................................................................................34 6.6 持续改进.......................................................................34 检查项 1:应急事件评估、改进..............................................................................................34 检查项 2:应急响应评估.........................................................................................................35 检查项 3:应急管理评估.........................................................................................................35 检查项 4:纳入全面风险管理机制..........................................................................................35 7.信息系统安全管理......................................35
7.1 安全管理组织...................................................................36 检查项 1:管理目标................................................................................................................36
检查项 2:人员风险................................................................................................................36
7.2 安全管理制度...................................................................37 检查项 1:规章制度................................................................................................................37 检查项 2:制度合规................................................................................................................38 查项 3:制度执行....................................................................................................................38 检查项 4:宣传和教育培训.....................................................................................................39 检查项 5:事件响应和处理.....................................................................................................39 8.外包管理..............................................40
8.1 服务外包管理制度...............................................................40 检查项 1:服务外包管理制度.................................................................................................40 检查项 2:对重要外包项目评估..............................................................................................41 检查项 3:外包安全保密措施.................................................................................................41 8.2 服务外包管理风险评估...........................................................41 检查项 1:对服务外包商评估.................................................................................................41 检查项 2:对服务外包商审查.................................................................................................42 8.3 服务外包审批...................................................................42
检查项 1:服务外包审批流程.................................................................................................42
8.4 服务外包应急响应...............................................................42 检查项 1:服务外包应急计划.................................................................................................42 检查项 2:服务外包商联络机制..............................................................................................43 检查项 3:服务外包应急演练.................................................................................................43 8.5 外包合同.......................................................................43 检查项 1:外包合同................................................................................................................43 检查项 2:服务外包商访问权限..............................................................................................44 检查项 3:外包服务法律风险.................................................................................................44 8.6 服务外包文档的完备性...........................................................45
检查项 1:服务外包文档.........................................................................................................45
第五篇:房地产行业的发展趋势和银行业面临的风险挑战
房地产行业的发展趋势和银行业面临的风险挑战
摘要:文章首先简要回顾了我国的住房制度改革进程,探讨了我国在1998年之后房地产行业快速发展的原因和表现,以及在国内外经济处于周期性下行时,国内地产泡沫破灭的根源以及房地产市场的表现。文章进一步分析了政府基于当前形势,出台多项房地产调控政策,目的是稳定宏观经济、保障就业,却给银行业带来了巨大的潜在信贷风险。政府在实行宽松货币政策时,应当保护银行独立的市场地位,由银行在现有制度框架下,自主安排信贷,控制风险,为市场经济服务。
关键词:住房制度改革房地产泡沫信贷风险
一、房地产价格的十年跃进
1、住房制度改革三十年简要回顾 自20世纪50年代以来,改善居民的住房条件一向是关系我国国计民生的重大国策。建国后三十年,我国在城市构建了以企事业单位为核心、由国家和地方财政补贴的福利分房体制。该体制下,房屋的产权为国家所有或企业所有,城市职工承租房屋,按照房屋面积逐月交纳定额租金。但是三十年的制度实践显示,这种和劳动关系紧密联系的分房体制存在诸多弊端。在该制度下,分房办法是同一企业把职工按照工龄、职称等指标综合排名,依照先后顺序分配房屋。有些效益好的企业,青年职工可以很快就分到住房;而在困难企业中,有些职工甚至等到退休也不能分到房子。这在社会上造成了贫富不均,而这种不公平是由体制造成的,与个人劳动努力程度无关。另外,住房的租金很低,公产房承租人上缴的租金不足以支付地方房管局支出的房屋修缮费用,企业产权的房屋干脆就没有房租,修缮费用全由企业承担,这给国家和企业造成了二次负担。
福利分房政策实行了三十年,不但弊端颇多,总体效果也不尽如人意。解放初期,我国城市人均居住面积是4.5平方米,到1978年,人均居住面积变成了3.6平方米,反而下降了0.9平方米。城市住房建设在20世纪80年代初期显然落后于时代发展和居民生活的需要。为了改变当时城市住房建设的滞后局面,邓小平在1980年4月明确提出要改变现行住房制度,拉开了我国住房制度改革的序幕。在此后十余年,住房改革大致经历了试点售房、提租补贴和以租代售等改革阶段,直到1994年正式建立住房公积金制度。可见,住房改革主要围绕着两条思路展开,一方面是以价格(租金)改革为重点,另一方面是以产权改革为核心的。但是改革进展缓慢,福利分房体制仍然大行其道,各地出台的公房出售机制难以获得市场认可。
中央终于决定从1998年开始停止住房实物分配,实行住房商品化,促进了我国房地产业大发展。这一政策从长期看是符合市场经济发展内在规律的,从短期看,当时中国为抵御1997年亚洲金融危机,急需寻找新的经济增长点,住房消费就自然成为扩大内需、拉动经济增长的利器。这也是我国首次把房地产行业和宏观经济联系起来。此后十年,房地产业成为许多地方的支柱产业,地方政府开始了靠土地出让金和房地产税费支持财政的发展模式,并靠房地产投资和消费拉动了上下游产业的发展,推动了各地快速发展,也导致了各大中城市商品房价格不断攀升。
2、城市房价长期居高不下的表现和原因
1998年新一轮房改启动之后,中国的房地产业开始了跳跃式发展。1996年和1997年全国住宅开工面积只有1亿平方米,而到了1998年,开工面积跃升到1.6亿平方米,超过了此前的峰值 1.3亿平方米。随后,开工面积不断上升,1999年达到1.8亿平方米,2000年达到2.3亿。行业不断提高房屋供给量,满足城市居民的住房需求。另外,住房建设市场化和房屋需求货币化,推动着房价不断攀升。2002年至2008年,全国70个大中城市的房屋平均销售价格从2250元上升到4013元,上涨了78.4%(见图1)。而且,这一数据的统计口径包括商品房、经济适用房和二手房交易价格,因此数值远低于全国商品房新房实际售价。图1 :2002年至2008年,全国房屋平均销售价格(单位:元)
资料来源:《中国统计年鉴:2008》和《经济景气月报》2008年7月。
自1998年以来,房地产行业借由住房商品化改革的春风,确实取得突飞猛进的发展,但是房价的飞速增长不利用市场的平稳发展。我们更应着重分析房价暴涨的原因,为调整行业发展模式提供依据。
一是我国在1998年开启住房商品化改革的序幕,在2000年彻底废除福利分房制度,为房地产业的发展创造了坚实的市场需求基础。随之而来席卷全国的各个城镇的危旧房屋动迁和老城区改造,以及地方政府采取的货币分房模式,使居民主动或被动地加入购房大军,进一步扩大了房地产行业的市场需求。
二是国家出台金融政策和相关制度鼓励居民进行商品房消费——国务院设立公积金制度,商业银行也推出个人住房抵押贷款(按揭)业务。1999年2月,央行下发了《关于开展个人消费信贷的指导意见》,鼓励商业银行为个人提供全方位优质金融服务。同时,央行把个人住房贷款最长期限从20年延长到30年。这些金融服务的涌现和完善,刺激了房地产需求的全面爆发。
三是经济适用房建设缺位,地方政府没有建立起与住房商品化相配套的、包括经济适用房和廉租房在内的住房保障制度。住房保障制度不完善,低收入者的住房需求也要全部由市场解决,本来层次分明的社会需求结构被打破,巨大的需求全部涌入市场,造成商品房价格持续上扬。
四是地方政府财政结构畸形,过度依赖土地税收。在分税制下,地方政府有动力大力开辟税源发展地方经济,土地转让收入逐渐成为地方财政的支柱。2006年我国房地产税收在地方税收的比重约为20%至25%,如果加上土地出让收益,将达到地方财政的50%,是名符其实的卖地财政。这种情况下,地方政府缺乏动力去控制房地产价格。
二、房地产行业陷入低迷
1、房地产泡沫破灭的导火线
房地产业在2005年经历了较为严重的低谷后,在2007年中期,繁荣程度达到了顶峰。当时国内消费市场通货膨胀严重,CPI和PPI先后超过3%的国际警戒线(图2),除了食品涨价,房地产行业的快速发展也为通货膨胀“贡献”良多。政府为了控制物价,连带挤出房地产行业的泡沫,央行和银监会在2007年9月发布了《关于加强商业性房地产信贷管理的通知》,对商业型房地产信贷政策进行了调整,规定申请购买第二套(含)以上住房的,贷款首付款比例不得低于40%。政府从调控货币政策层面减少对房地产消费者的资金供应量,抑制投资型购房冲动,防止房地产行业泡沫的过度膨胀。
图2:2006年末至2009年初CPI和PPI的走势(单位:%)
资料来源:Wind资讯。
从商品房生产者方面,政府也实行了从紧的货币政策。2007年10月,国土资源部发布《招标拍卖挂牌出让国有土地使用权规定》,规定受让人依照出让合同约定,付清全部出让金后,才能领取国有建设用地使用权证书。同月,发改委和商务部发布《外商投资产业指导目录(2007 年修订)》,将房地产行业的投资行为全部列入“限制”行列。这两项政策实际上提高了房地产行业的门槛,把一大批资金实力薄弱的小型房企摒弃在外。这些地方性中小企业,自有资金量小,主要依靠小部分保证金,从政府手中拍到土地后,依靠土地批文申请到银行贷款,再拿贷款偿付土地出让金,然后通过出售期房回笼货款,支持后续开发。这些房企都是通过高超的资本运作,利用较少的自有资金维持运营,最终获得高额的房屋开发利润。商业银行受宏观调控政策指引,预期到房地产市场中的投资型行为会减少,房地产市场的销售增幅将受到负面影响,因而在2007年10月之后严控房地产市场的新增贷款。在当年年末,房地产商面临资金结算和还贷压力,只能降价售房期望快速回款,获得现金流。房地产市场开始陷入低谷。
2、房地产行业疲软的深层原因
房地产行业历经十年的飞速发展,从1998年到2007年中国房地产业的投资从3600亿元增加到2.5万亿元,年递增21.5%。2003年,国务院下发《关于促进房地产市场持续健康发展的原则》,确定房地产行业是我国的支柱产业。此后,各大城市房价飞升,虽然政府曾经出台了一些遏制房价短期快速上涨的宏观调控措施,但是成效不大,涨价的趋势一直未变。但是,潜藏的危机并不会因为表面的繁荣而销于无形,房地产行业的非理性繁荣在国内外经济危机的夹击下终于在泡沫中湮灭。泡沫破灭的原因也是多方面的,根本原因就是房价收入比长期背离正常水平,以及金融危机下,公众对经济的信心和预期收入下降,推迟房屋消费支出。
支撑中国房价的两个重要支柱,一是房价收入比,一是未来收入预期。从这十年的情况看,房价收入比过高,居民收入提高的部分被过高的房价吞噬了。当房价收入比超过临界点时,市场就难以继续支撑下去了,再加上全球经济下滑,收入预期下降,支撑房价的两个支柱全都失去了作用。
1998年以来,中国房地产市场一直处于发展高潮中,在2007年达到了前所未有的顶峰,房价几乎呈单边上扬的走势,巨大的市场需求成为推动房价不断上升的根本动力。这十年中,城镇居民增加的收入中相当一部分均被房价增速吞噬。在2003年,房价增速甚至达到人均可支配收入增速的1.8倍。2007年,全国城镇人均可支配收入为13785.8元,那么三口之家每年总收入为27571.6元,他们若在2008年6月以4013元/平方米的均价购买100平方米住房(实际居住面积只有80平方米左右),房价收入比就达到了14.6。但是,上述结论中的房屋价格是全国平均水平,无法反映中心城市房价成倍上涨的情况以及给公众带来的经济负担。上海在1998年房屋均价为3026元,2008年7月的成交均价为13200元,上涨了4.3倍。而在2007年,上海人均可支配收入只有23632元,按照上述方法计算,2008年7月的房价收入比高达27.9。
这样的高价格既超过消费者的承受能力,也不符合市场经济的规律,更对房地产市场的持续健康发展不利。低收入阶层因为经济适用房短缺而无力购买商品房,中产阶级购房后负担了庞大的债务,导致消费能力低下,内需不足,高收入阶层虽然有能力消费商品房,但其投资倾向大于消费倾向。整个社会消费潜力被高价房地产压制,造成内需严重不足。显而易见,超过大多数居民支付能力的高价位是不可能支撑该产业长久稳定发展的。没有足够高的收入上涨支撑的物价上涨最终都是昙花一现,也会对宏观经济稳定造成威胁。房地产价格泡沫在2007年达到顶点,终于在2008年破灭。现在的价格下跌是市场正常的自我修复行为,甚至还没有回归到理性价位。
房地产价格的非理性暴涨是房地产陷入低谷的内因,而美国由房地产行业崩溃而蔓延开来的经济危机,通过国际贸易领域影响了中国的实体经济,打击了民众对未来经济增长的信心,降低了收入增加的预期,这是国内房地产价格下跌的外因。内因和外因共同作用,致使国内的房地产行业陷入困境。
3、房地产行业持续低迷
2007年下半年,美国的次贷危机初露端倪,但是没有引起各国的重视。到2008年3月,美国第五大投资银行贝尔斯登因金融衍生品CDS巨额亏空,陷入破产危机,只得被摩根大通集团收购;9月份,雷曼兄弟倒闭,危机全面爆发,影响波及世界各个经济大国。中国在2007年下半年,为挤压房地产行业的泡沫,实行了从紧的货币政策,没想到次贷危机席卷全球,又打击了国人对经济持续高速增长的信心,使房地产行业的处境雪上加霜。
在2007年第三季度,房地产行业的景气指数与上一年同期相比,已经出现了下降的趋势。在2007年第四季度之后,房地产业景气指数和企业家信心指数均陡然下降,显示市场和行业投资人的信心不断下挫(见图3)。
图3:2003年至2008年房地产业景气指数和企业家信心指数
资料来源:Wind资讯。
在2008年下半年,国务院等机构相继出台了一系列扶植房地产行业的政策。在政策的短期刺激效应下,几大城市的商品房成交量在11月有了小幅反弹,但是基于金融危机下公众对未来可支配收入增长的预期降低,房地产市场的短暂小幅回升没能长久持续,也无力改变2009年房市继续下挫的趋势(见图 3)。从全年房地产行业销售情况看,房屋销售持续低迷,公众持币观望,巨大的潜在房屋需求没有转化为实际购买力。2008年年末,房地产市场成交量呈现负增长,房企被迫纷纷调低销售目标,并把新项目开工计划延后,导致企业新房和土地储备存货大增。随着金融危机对实体经济的侵蚀,房地产行业的不景气应会持续到本年年末。
房地产市场萧条,导致大企业纷纷在2008年下半年调整销售目标,以期符合市场现实,降低投资人对市场的过高期望。以几家大型上市公司为例,保利由2008年初确定的240亿下调到190亿,中海由320亿下调到270亿。截至11月中旬,碧桂园年销售额仅为150亿,不及年初目标350亿的一半。截至2008年年末,仅有四家房企全年销售额超过200亿,分别是万科478.7亿、中海270亿、保利205亿以及未上市的绿地,估计去年销售额约为300亿。大型房企的市场处境尚且如此艰难,更不要说资金链异常紧张的中小型房企了。
房地产行业建设周期较长,当市场环境发生急剧变化,企业难以快速做出战略调整。在当大量在建工程在2008年完工投入市场时,卖方市场已经变成买方市场,市场成交量大幅萎缩,大量新房旋即变成积压的存货。截至2008年第三季度,73家房地产上市公司今后共有2836亿存货,至少需要两年才能完全消化掉。而且,在2007年房地产市场高涨时,大量新项目开工,随着这些工程依次竣工,商品房的空置率会大幅上升;开发商通过政府拍卖囤积的地块,到2008年也成了烫手山芋,有些开发商宁愿承担违约金,也要把土地退还当地政府,还有些只能暂缓开发购入的新地。
2008年年底,房企会就各项支出与供应商进行资金结算,房企的资金压力增大。消费者预期到开发商急于回笼货币,房屋价格会进一步下跌,因而并不急于购房,导致市场在岁末年初销售情况更加黯淡。冬天已经到来,但是春天还很遥远。
三、政府的“救市”措施和银行面临的信贷风险
1、中央政府带头出台多项措施,拉动购房需求
2008年第四季度,各级政府和央行相继出台多项政策,希望在外贸增速趋缓的情况下,靠刺激房地产需求推动经济稳步增长。10月23日后,政府降低首次购房者的银行信贷利率及首付款、降低购买住房的契税、免征交易印花税等。对于这些房地产优惠政策,政府希望通过对首次购买住房者的税收优惠及信贷优惠来帮助住房困难的居民进入房地产市场,激励自住型房屋消费者进入房地产市场,以便做到既改善居民的居住条件,又达到扩大居民消费、保证经济增长的目的。
政府救市也是无奈之举,并不是最终目的。房地产行业产业链很长,连接上下游近40个产业,也与宏观经济具有极强的关联性,房地产市场的波动会对实体经济造成重大影响,政府实际上被房地产市场“绑架”,若要维护经济平稳发展,就只能运用合理的宏观调控手段,防止房地产行业崩盘,最终目的是保持宏观经济和就业量平稳增长。政府在2008年下半年的救市政策内容也表明了,政府的政策思路是很清晰的,政策的直接受益人群不是房地产商,而是消费者。
但是,即使政府的目的是为了稳定宏观经济,但是某些刺激经济的短期举措,在政策效果上也造成了顾此失彼,降低首付是把房地产行业的风险转嫁给了商业银行。政策实际上降低了银行对贷款人的信用水平要求,这为未来几年银行个人住房贷款不良率的攀升埋下了隐患。
2、商业银行面临潜在信贷风险
房地产价格在2007年已经脱离了公众的实际购买能力,此前的红火实际上是在资本的追逐和推动下的狂热发展。此前高地价、高房价的房地产产业政策需要我们进一步反思。在1998年亚洲金融危机时,政府为了扩大内需,启动房地产市场的商业化改革,面对2008年金融危机,又再次祭起了房地产这一法宝,出台政策加强经济保障房的建设并降低房屋交易税费来拉动内需。中国的两次住房改革都是调控宏观经济发展的短期政策,而没有建立起住房保障的常规政策。缺乏保障性住房常规制度,会导致房地产市场需求结构混乱,低收入阶层住房需求也由市场解决,短期内有利于宏观经济复苏,但在长期会压制消费,催生地产业泡沫,造成银行坏账。当前,不应再走单纯依靠刺激商品房消费来扩大内需的老路,国家应建立起常规化的住房保障制度和社会保障体系,鼓励居民在住房、医疗、教育等基本需求之外扩大消费品需求,这是中国未来扩大内需的一个最重要的途径。
另外,现在的“救市”政策有可能损害中国的银行体系。之前,宏观政策要求银行严控土地购买和开发贷款,并把第二套商品房的首付提高到40%,希望银行回避房地产行业的信贷风险。当前政府为了拯救宏观经济,刺激房地产,允许第一套住房首付降低到20%,等于是把过去遏制全国房地产泡沫的经济政策全都否定了,又把银行重新拉进了高风险行业,把银行和房地产又绑在一起了,而且更紧密地绑在一起了,意味着未来银行将面临巨大的房地产信贷风险。
实际上,只要房价将来下跌20%,就意味着抵押房屋的市场价格小于贷款现值,市场可能大量出现断供,银行会产生大量次级按揭,将给银行带来巨大的信贷风险。也可能出现资金雄厚者在房市低迷时,大量买入房产作为投资,待市场回暖再高价抛出,降低首付政策助长了市场投机,为房地产行业出现新一轮泡沫埋下了隐患。我们不能以未来坏账增多为代价,换取GDP的增长,因为国有控股银行的坏账很可能是由政府买单,所有损失将由全体纳税人负担。
因此,政府在进行宏观调控时,应按照市场规律办事,注意保护经济主体的自主权利。政府应该在自身的职权范围内,充分运用货币政策和财政政策调节经济运行,但是要避免把商业银行当成财政的出纳,应该尽可能留给商业银行信贷自主权,使它能按照风险与收益匹配的原则制定信贷产品,运用市场规则处理信贷存量调整和增量资金配置,规避风险,获取利润。事实上,银行已经根据市场情况,采取措施积极应对信贷风险,进行资产保全。在个人购房贷款方面,中小股份制商业银行率先对存量房贷利率实施七折优惠,降低贷款者负担,鼓励客户按时还款,减少银行发生断供的可能性,降低了未来的坏账率。国有大型银行也在年初实行了七折优惠政策。对于增量房贷,银行已按照央行新实施的利率水平放贷。
在房地产开发贷款方面,银行在2007年9月之前,在大型房地产商较为集中的城市,以各种融资设计及优惠利率,竞相吸引优质客户。但是,2008年下半年,金融危机爆发后,尽管国家货币政策已经转向宽松了,但是许多银行已经停止向任何具有流动性风险的大型地产商增加贷款。对存量贷款,银行允许开发商对短期贷款进行转贷或展期,但要附加条款,譬如必须对楼盘降价,以期降低信贷风险。
另外,银行为了控制表内业务风险,也在不断进行金融创新,试图将房地产贷款变为表外业务,其中最主要的方式就是发行房地产信托产品。银行通过下属投资公司购买上市地产公司股权,以此发行理财产品,以私募形式为房地产企业融资。这样自主创新的市场行为也获得了国家的鼓励。在2008年12月国务院发布“关于当前金融促进经济发展的若干意见”明确指出将“开展房地产信托投资基金试点,拓宽房地产企业融资渠道”。当然,金融创新要汲取次贷危机的教训,要慎重防范这种以转移风险为目的的创新产品的自身风险。
总之,政府这只“看得见的手”在进行宏观调控时,也应注意避免过分干预市场,不要造成经济学者所说的那样“政府一出台刺激经济的言论,公众预期未来银行风险增高,股票市场价值降低,市场就开始抛售银行股”。政府应当支持银行应在现有市场经济和制度框架下,自主创新,自控风险,在公平的市场环境中为市场经济的迅速发展提供融资服务,应当避免银行成为国家财政的附属品,避免银行成为宽松货币政策的最后买单人。参考文献: [1]王雯珺、王成豪等,“金融危机下我国房地产形势分析与对策建议”,载《科学时报》,2009年1月14日。[2]丛诚,《中国住房和公积金制度发展大纲》,上海,上海辞书出版社,2008年。[3]崔建华,《房地产经济论》,北京,经济科学出版社,2003年。[4]贾康、刘军民,《中国住房制度改革问题研究》,北京,经济科学出版社,2007年。[5]李延喜,《次贷危机与房地产泡沫》,北京,中国经济出版社,2008年。[6]沈悦,《房地产价格与宏观经济的关系研究》,北京,中国水利水电出版社,2006年。
点击咨询 