適應(yīng)信息化建設(shè)的商業(yè)銀行信息科技風(fēng)險(xiǎn)管理策略

摘要：信息技術(shù)在為銀行業(yè)帶來(lái)巨大推進(jìn)力的同時(shí)，由于其所特有的安全性、高風(fēng)險(xiǎn)、多變性和協(xié)作性等特點(diǎn)，也為銀行業(yè)的發(fā)展帶來(lái)了新的管理問(wèn)題。文章從信息技術(shù)對(duì)金融體系的影響出發(fā)，總結(jié)分析了商業(yè)銀行信息科技管理面臨的風(fēng)險(xiǎn)問(wèn)題，系統(tǒng)地討論并提出了銀行信息化的風(fēng)險(xiǎn)管理策略。

關(guān)鍵詞：銀行管理；信息技術(shù)；風(fēng)險(xiǎn)管理

一、 國(guó)內(nèi)外金融業(yè)信息科技風(fēng)險(xiǎn)管理研究和探索

縱觀國(guó)內(nèi)外，信息技術(shù)正以一種全新的以技術(shù)為推動(dòng)力的業(yè)務(wù)創(chuàng)新模式推進(jìn)金融領(lǐng)域的全面快速發(fā)展。而這一變革也蔓延到了與金融相關(guān)的管理體系中，尤其對(duì)作為金融業(yè)核心的銀行機(jī)構(gòu)來(lái)說(shuō)，這一影響尤為突出。因此，為保證銀行業(yè)在信息浪潮沖擊下的穩(wěn)步發(fā)展，建立并完善銀行科技風(fēng)險(xiǎn)管理體系成為商業(yè)銀行信息化建設(shè)的一個(gè)重點(diǎn)研究領(lǐng)域。當(dāng)前，國(guó)內(nèi)外的主要研究可分為以下幾個(gè)方面：

1. 作為信息化平臺(tái)資金流通單元的電子貨幣的管理。電子貨幣出現(xiàn)并成為以電子設(shè)備為基礎(chǔ)的交易平臺(tái)之上的新型流通貨幣。這類(lèi)新型貨幣的出現(xiàn)，使得貨幣發(fā)行和管理機(jī)構(gòu)，由單純的銀行擴(kuò)展到了更多第三方平臺(tái)，包括了電信運(yùn)營(yíng)商等非金融性機(jī)構(gòu)。文獻(xiàn)“1”詳細(xì)探討了各個(gè)電子貨幣運(yùn)營(yíng)商，及其與銀行業(yè)的關(guān)系，并試圖給出一個(gè)電子貨幣架構(gòu)的藍(lán)圖，以將這一新型貨幣有效融入當(dāng)前金融管理體系。文獻(xiàn)“2”討論了這一電子貨幣所帶來(lái)的挑戰(zhàn)，體現(xiàn)著信息技術(shù)對(duì)金融業(yè)的影響和發(fā)展。參與方多樣化環(huán)境下的金融活動(dòng)授權(quán)問(wèn)題。

由于新型金融服務(wù)平臺(tái)的出現(xiàn)和參與方的多樣化，使得金融活動(dòng)的管理變得更加復(fù)雜化。這種多個(gè)授權(quán)管理機(jī)構(gòu)導(dǎo)致了跨界銀行業(yè)務(wù)的管理問(wèn)題。由于互聯(lián)網(wǎng)和移動(dòng)信息技術(shù)的發(fā)展，客戶(hù)金融交易突破了地域和時(shí)間的限制，推進(jìn)了金融全球化腳步，因而需要制定國(guó)際交易協(xié)定來(lái)保證金融市場(chǎng)的穩(wěn)定。因此，提高信息化金融服務(wù)管理的覆蓋率也是管理體系中的重要組成部分。

2. 新型信息化金融服務(wù)的數(shù)據(jù)安全管理。利用信息技術(shù)提升金融服務(wù)的根本還在于客戶(hù)的信任度，而客戶(hù)信任度的建立就有賴(lài)于服務(wù)的安全保障。銀行的業(yè)務(wù)服務(wù)更多地依賴(lài)于信息技術(shù)，加大了金融安全的復(fù)雜性。如文獻(xiàn)討論了基于移動(dòng)通信技術(shù)的無(wú)線金融服務(wù)的安全性和數(shù)據(jù)安全性問(wèn)題。隨著信息技術(shù)的發(fā)展，金融服務(wù)由物理平臺(tái)轉(zhuǎn)向了有線和無(wú)線網(wǎng)絡(luò)平臺(tái)，從而引入了更多來(lái)自于技術(shù)領(lǐng)域的安全問(wèn)題。通過(guò)篡改移動(dòng)運(yùn)營(yíng)商代碼，或手機(jī)病毒來(lái)竊取手機(jī)交易信息，文獻(xiàn)指出，由于更多的不受金融管理的第三方利益相關(guān)方的進(jìn)入導(dǎo)致了更多的安全性問(wèn)題，需要在銀行和非銀行機(jī)構(gòu)之間建立面向新形勢(shì)的信息科技管理體系，以保證銀行業(yè)務(wù)的安全性。

隨著信息技術(shù)向金融領(lǐng)域的不斷滲透，針對(duì)商業(yè)銀行信息科技管理方面的討論和研究也在不斷深化。因而，有必要從我國(guó)信息化建設(shè)的實(shí)際出發(fā)，建立行之有效的管理法規(guī)和條例。本文將針對(duì)我國(guó)銀行信息化建設(shè)的現(xiàn)狀和趨勢(shì)，總結(jié)得出“十二五”期間我國(guó)銀行管理體系所面臨的問(wèn)題，討論信息技術(shù)可持續(xù)發(fā)展的新型科技風(fēng)險(xiǎn)管理策略。

二、 信息化建設(shè)給我國(guó)銀行體系帶來(lái)的影響

1. 改變了傳統(tǒng)由客戶(hù)與金融機(jī)構(gòu)參與的單一支付鏈關(guān)系，融入更多利益相關(guān)方。

2. 互聯(lián)網(wǎng)的發(fā)展使得金融服務(wù)由物理渠道拓展到了有線網(wǎng)絡(luò)平臺(tái)，由現(xiàn)實(shí)貨幣交易發(fā)展到了電子貨幣交易，與此同時(shí)，憑借互聯(lián)網(wǎng)技術(shù)、B2B和C2B技術(shù)，孕育而生了第三方電子交易平臺(tái)，這種不同于銀行的非金融機(jī)構(gòu)為客戶(hù)和商戶(hù)提供了便捷、可靠的電子商務(wù)平臺(tái)，最終開(kāi)拓并形成了網(wǎng)絡(luò)交易渠道。而隨著無(wú)線通信技術(shù)和通信設(shè)備的不斷演進(jìn)，移動(dòng)金融的出現(xiàn)使金融服務(wù)更進(jìn)一步拓展到了無(wú)線服務(wù)平臺(tái)，將移動(dòng)運(yùn)營(yíng)商和移動(dòng)設(shè)備供應(yīng)商等非金融機(jī)構(gòu)進(jìn)一步融入到了金融體系之中。改變了傳統(tǒng)的業(yè)務(wù)創(chuàng)新方式，信息技術(shù)成為金融業(yè)務(wù)創(chuàng)新的推進(jìn)力。

從互聯(lián)網(wǎng)的發(fā)展，到無(wú)線網(wǎng)絡(luò)2G到4G的演變，信息技術(shù)在不斷改變金融服務(wù)模式的同時(shí)，也為金融領(lǐng)域提供了新的創(chuàng)新思路。招商銀行利用互聯(lián)網(wǎng)革命，最早在國(guó)內(nèi)推出了全國(guó)通存通兌，并打造了“一卡通”和基于互聯(lián)網(wǎng)的“一網(wǎng)通”業(yè)務(wù)，成為招商銀行迅速崛起的關(guān)鍵；招行利用云計(jì)算技術(shù)，設(shè)計(jì)并研發(fā)了企業(yè)手機(jī)銀行，通過(guò)2G、3G和WIFI等移動(dòng)無(wú)線網(wǎng)接入方式，向企業(yè)級(jí)用戶(hù)提供了更加便捷和實(shí)時(shí)化財(cái)務(wù)管理服務(wù)，從而在電子化遠(yuǎn)程金融服務(wù)領(lǐng)域中，占得先機(jī)。隨著2000年以短信為主的移動(dòng)手機(jī)銀行的出現(xiàn)，到2005年~2008年出現(xiàn)了以JAVA、WAP技術(shù)為主的多樣化手機(jī)銀行，再到2009年出現(xiàn)基于3G網(wǎng)絡(luò)的WAP手機(jī)銀行。移動(dòng)金融發(fā)展速度迅猛。同時(shí)，云計(jì)算的出現(xiàn)和向金融領(lǐng)域的滲透，為新型基于信息技術(shù)的業(yè)務(wù)創(chuàng)新提供了快捷、便利的資源共享平臺(tái)，大大加快了業(yè)務(wù)創(chuàng)新和推廣速度。由此可見(jiàn)，將信息技術(shù)融入到金融業(yè)務(wù)創(chuàng)新體系中已成為金融領(lǐng)域發(fā)展的推動(dòng)力，而構(gòu)建和完善相應(yīng)的信息科技風(fēng)險(xiǎn)管理體系則是保證其穩(wěn)步快速發(fā)展的重要保證。

三、 當(dāng)前我國(guó)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理所面臨的問(wèn)題

伴隨著信息技術(shù)對(duì)金融體系的影響，相應(yīng)的管理體系也面臨著重大挑戰(zhàn)，如何提供可靠、有效的融入了信息技術(shù)特點(diǎn)的銀行風(fēng)險(xiǎn)管理體系成為銀行風(fēng)險(xiǎn)管理的重要工作。當(dāng)前我國(guó)銀行科技風(fēng)險(xiǎn)管理體系所面臨的主要問(wèn)題可歸結(jié)為以下三點(diǎn)：

1. 技術(shù)類(lèi)企業(yè)、第三方平臺(tái)等非金融機(jī)構(gòu)與銀行業(yè)的業(yè)務(wù)服務(wù)不斷融合，非金融機(jī)構(gòu)融入到金融業(yè)務(wù)鏈條中，加大了銀行管理的廣度。

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，第三方支付平臺(tái)已逐漸成為有線金融服務(wù)渠道的重要組成部分，近年來(lái)不斷發(fā)展壯大，然而問(wèn)題也應(yīng)運(yùn)而生。2010年11月11日，由淘寶商城年度大規(guī)模五折促銷(xiāo)活動(dòng)引起的網(wǎng)銀集體堵塞。這是一次銀行與第三方支付平臺(tái)之間缺乏有效溝通而造成技術(shù)支持不足，從而導(dǎo)致銀行業(yè)務(wù)無(wú)法正常運(yùn)作的嚴(yán)重問(wèn)題。與此同時(shí)，在移動(dòng)金融領(lǐng)域，電信運(yùn)營(yíng)商也不斷滲透到金融類(lèi)服務(wù)中。中移動(dòng)正致力于通過(guò)手機(jī)錢(qián)包業(yè)務(wù)提供小額金融支付服務(wù)，并通過(guò)入股浦發(fā)銀行來(lái)拓展其在大額支付方面的能力。單一的業(yè)務(wù)鏈條轉(zhuǎn)變成了多方合作參與的復(fù)雜業(yè)務(wù)鏈，并隨著新興技術(shù)的不斷發(fā)展，不斷地涌現(xiàn)和融入非金融機(jī)構(gòu)參與方。這加大了金融管理的廣度。

2. 需要納入銀行體系之外的技術(shù)風(fēng)險(xiǎn)因素，加大了銀行科技風(fēng)險(xiǎn)管理的難度。信息技術(shù)的應(yīng)用伴隨著安全問(wèn)題和技術(shù)問(wèn)題的不斷涌現(xiàn)和解決，這與銀行體系所要求的高安全性和可靠性存在內(nèi)在矛盾。隨著互聯(lián)網(wǎng)的迅猛發(fā)展，網(wǎng)絡(luò)銀行成為銀行業(yè)的重要客戶(hù)服務(wù)渠道之一。銀行已通過(guò)安裝瀏覽器插件、采用安全口令和U盾等技術(shù)安全舉措保證用戶(hù)安全訪問(wèn)賬戶(hù)，但仍然受到數(shù)據(jù)包盜取、竊聽(tīng)等安全問(wèn)題的困擾；同時(shí)，正如上一部分所談到的由于用戶(hù)訪問(wèn)量突增所帶來(lái)的性能問(wèn)題也是技術(shù)不穩(wěn)定性的表現(xiàn)。隨著移動(dòng)通信技術(shù)的發(fā)展，移動(dòng)金融成為各個(gè)銀行競(jìng)相發(fā)展的戰(zhàn)略性新業(yè)務(wù)。雖然移動(dòng)設(shè)備和無(wú)線網(wǎng)絡(luò)已獲得了飛速發(fā)展，能夠承擔(dān)起多種金融業(yè)務(wù)服務(wù)，然而由于兩者自身還處在發(fā)展階段，存在著各自的缺陷，尤其以安全問(wèn)題最為突出。文獻(xiàn)從操作風(fēng)險(xiǎn)的角度探討了銀行信息化建設(shè)的風(fēng)險(xiǎn)管理。

3. 信息技術(shù)應(yīng)用于業(yè)務(wù)創(chuàng)新的推進(jìn)和更新速度加快，要求快速建立相應(yīng)的銀行管理體系，以保證并推動(dòng)銀行業(yè)的穩(wěn)步發(fā)展。摩爾定律揭示了信息技術(shù)的迅猛更新速度，而基于信息技術(shù)的業(yè)務(wù)創(chuàng)新速度也隨著技術(shù)的不斷發(fā)展而變得更加迅速。首先，技術(shù)的翻新速度為基于技術(shù)的業(yè)務(wù)創(chuàng)新提供了更多的機(jī)會(huì)；另一方面，“云計(jì)算”本身為基于技術(shù)的業(yè)務(wù)創(chuàng)新提供了一套便捷的快速開(kāi)發(fā)平臺(tái)，隨著它的不斷發(fā)展和成熟，這一平臺(tái)的支撐能力也將大大提升并支持銀行更快地推出新業(yè)務(wù)服務(wù)。因而，基于信息技術(shù)的業(yè)務(wù)創(chuàng)新所具備的快速靈活的特點(diǎn)，要求在業(yè)務(wù)形成的較短時(shí)間內(nèi)，建立并完善相應(yīng)的管理?xiàng)l例和措施，從而保證銀行創(chuàng)新業(yè)務(wù)的穩(wěn)步發(fā)展，避免由于應(yīng)用新信息技術(shù)所導(dǎo)致的客戶(hù)信息安全性和行業(yè)規(guī)范化方面的漏洞而引發(fā)的行業(yè)危機(jī)。

四、 適應(yīng)信息化建設(shè)的我國(guó)銀行信息科技風(fēng)險(xiǎn)管理策略

根據(jù)信息化對(duì)銀行業(yè)的影響，可將銀行信息化建設(shè)中的問(wèn)題總結(jié)為信息技術(shù)特點(diǎn)與現(xiàn)有銀行體系之間的沖突，表現(xiàn)為信息技術(shù)多變性與銀行業(yè)務(wù)穩(wěn)定性的沖突，信息開(kāi)放性安全性問(wèn)題與銀行業(yè)務(wù)敏感數(shù)據(jù)保密性的沖突，信息多元化合作與銀行業(yè)單一管理體系的沖突，以及滲透在上述各點(diǎn)中的信息技術(shù)高風(fēng)險(xiǎn)性與銀行業(yè)務(wù)可靠性需求的沖突。

將這些信息化建設(shè)中的沖突點(diǎn)融入到銀行風(fēng)險(xiǎn)管理體系中，合理地探索、研究、完善沖突點(diǎn)的管理?xiàng)l例和措施，有效地保證銀行信息化建設(shè)的順利進(jìn)行，這將是創(chuàng)新銀行信息科技風(fēng)險(xiǎn)管理的主要目的。對(duì)應(yīng)各個(gè)沖突點(diǎn)，重點(diǎn)領(lǐng)域包括：信息作為支撐服務(wù)的管理、信息作為業(yè)務(wù)創(chuàng)新的管理、信息安全性管理、外包規(guī)范化管理以及風(fēng)險(xiǎn)保障。

風(fēng)險(xiǎn)管控為信息化建設(shè)下銀行管理的核心內(nèi)容，滲透于各個(gè)沖突點(diǎn)中。因而，建議針對(duì)銀行信息化建設(shè)中的信息化業(yè)務(wù)支撐、業(yè)務(wù)發(fā)展、安全性管理和外包合作管理這四個(gè)方面，從縱向和橫向兩個(gè)方面考慮，分別建立風(fēng)險(xiǎn)保障機(jī)制、評(píng)估預(yù)警機(jī)制和應(yīng)急處理機(jī)制，以全面提高銀行信息化建設(shè)中的風(fēng)險(xiǎn)管控能力。

1. 加強(qiáng)業(yè)務(wù)支撐的信息科技風(fēng)險(xiǎn)管理。用于業(yè)務(wù)支撐的信息科技應(yīng)用主要表現(xiàn)于銀行信息系統(tǒng)的開(kāi)發(fā)、測(cè)試和維護(hù)，以及投入生產(chǎn)后的信息科技運(yùn)行這兩個(gè)主要領(lǐng)域。而在技術(shù)支撐環(huán)節(jié)，從硬件設(shè)備到軟件系統(tǒng)，銀行較多采取由外部供應(yīng)商提供的方式。因而，受限于外部供應(yīng)商，而自主建立開(kāi)發(fā)和維護(hù)團(tuán)隊(duì)從成本到實(shí)際效用方面并不利于銀行業(yè)的發(fā)展。尤其隨著云計(jì)算和移動(dòng)通信平臺(tái)等資源共享平臺(tái)的發(fā)展，業(yè)務(wù)支撐平臺(tái)將呈現(xiàn)更加靈活和低成本的技術(shù)供應(yīng)，進(jìn)一步讓銀行擺脫業(yè)務(wù)支撐方面的技術(shù)局限性，將工作重心放在業(yè)務(wù)服務(wù)方面。因而，這一領(lǐng)域的風(fēng)險(xiǎn)監(jiān)控主要通過(guò)加強(qiáng)合作管理，制定規(guī)范化的技術(shù)合作條例，以降低銀行業(yè)在信息技術(shù)支撐方面的風(fēng)險(xiǎn)。

首先，加強(qiáng)銀行業(yè)與相關(guān)部門(mén)和機(jī)構(gòu)的合作，編制規(guī)范化的合作條例，以明確銀行和相關(guān)技術(shù)供應(yīng)商在技術(shù)支撐方面的分工和職責(zé)；依據(jù)如數(shù)據(jù)管理、客戶(hù)管理等較為成熟的信息系統(tǒng)，聯(lián)合制定風(fēng)險(xiǎn)保障、評(píng)估、應(yīng)急處理等風(fēng)險(xiǎn)管理制度；對(duì)于新信息科技的應(yīng)用，要求信息技術(shù)供應(yīng)方提供新技術(shù)適用性和可行性分析，提供明確的信息風(fēng)險(xiǎn)保障機(jī)制、評(píng)估和預(yù)警機(jī)制以及應(yīng)急處理機(jī)制；定期聯(lián)合相關(guān)部門(mén)進(jìn)行現(xiàn)場(chǎng)勘查，評(píng)估商業(yè)銀行的信息科技支撐情況，并總結(jié)修訂分工和風(fēng)險(xiǎn)管理制度。

其次，對(duì)于各個(gè)商業(yè)銀行來(lái)說(shuō)，組建信息技術(shù)支撐小組，掌握支撐技術(shù)的保障機(jī)制、評(píng)估和預(yù)警以及應(yīng)急處理步驟；加強(qiáng)與技術(shù)供應(yīng)企業(yè)的聯(lián)系，做到全程參與，時(shí)時(shí)管理；與技術(shù)供應(yīng)方建立技術(shù)培訓(xùn)計(jì)劃，在技術(shù)應(yīng)用之前，針對(duì)技術(shù)應(yīng)用、風(fēng)險(xiǎn)管理等方面對(duì)人員進(jìn)行培訓(xùn)；在信息科技運(yùn)維過(guò)程中，定期組織銀行內(nèi)維護(hù)人員的培訓(xùn)學(xué)習(xí)，提高內(nèi)部對(duì)技術(shù)支撐的管控能力。

2. 加強(qiáng)信息技術(shù)進(jìn)行業(yè)務(wù)創(chuàng)新的風(fēng)險(xiǎn)管理。信息科技對(duì)銀行業(yè)的重要作用主要體現(xiàn)在業(yè)務(wù)創(chuàng)新方面。從傳統(tǒng)的物理網(wǎng)點(diǎn)，到互聯(lián)網(wǎng)出現(xiàn)而帶來(lái)的網(wǎng)上銀行，再到當(dāng)前由移動(dòng)通信技術(shù)的發(fā)展而帶來(lái)的新興移動(dòng)銀行業(yè)務(wù)，基于信息技術(shù)的銀行業(yè)務(wù)創(chuàng)新將成為商業(yè)銀行業(yè)務(wù)發(fā)展的重要組成部分。

不同于業(yè)務(wù)支撐部分的信息技術(shù)，這一領(lǐng)域往往汲取較新的新興信息技術(shù)。然而，即使在技術(shù)領(lǐng)域經(jīng)過(guò)了較多的實(shí)踐論證，但投入商業(yè)應(yīng)用領(lǐng)域還面臨著摸著石頭過(guò)河的局面。因而，對(duì)基于信息技術(shù)的業(yè)務(wù)創(chuàng)新風(fēng)險(xiǎn)管理將是銀行業(yè)可持續(xù)發(fā)展的關(guān)鍵。需要立足于風(fēng)險(xiǎn)管控和業(yè)務(wù)可持續(xù)發(fā)展的觀點(diǎn)，建立相應(yīng)的業(yè)務(wù)創(chuàng)新風(fēng)險(xiǎn)管理制度。

首先，鼓勵(lì)銀行業(yè)與技術(shù)部門(mén)進(jìn)行合作，對(duì)信息技術(shù)的應(yīng)用風(fēng)險(xiǎn)劃分等級(jí)；與技術(shù)部門(mén)進(jìn)行協(xié)商，界定各項(xiàng)信息技術(shù)的風(fēng)險(xiǎn)保障條件，風(fēng)險(xiǎn)等級(jí)，評(píng)估預(yù)警機(jī)制，以及相應(yīng)應(yīng)急措施；要求商業(yè)銀行提交信息技術(shù)業(yè)務(wù)創(chuàng)新的風(fēng)險(xiǎn)管控計(jì)劃和內(nèi)部資源描述，以評(píng)定實(shí)施風(fēng)險(xiǎn)；明確基于信息技術(shù)業(yè)務(wù)創(chuàng)新的管理流程和流程關(guān)鍵點(diǎn)的驗(yàn)收指標(biāo)，采取定期現(xiàn)場(chǎng)考察和非現(xiàn)場(chǎng)指導(dǎo)的管理方式；要求商業(yè)銀行定期提交實(shí)施報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。

其次，各個(gè)商業(yè)銀行與技術(shù)供應(yīng)商建立培養(yǎng)核心技術(shù)小組，全面掌握用于業(yè)務(wù)創(chuàng)新的核心信息技術(shù)；根據(jù)銀監(jiān)會(huì)所給定的信息技術(shù)等級(jí)和風(fēng)險(xiǎn)管理機(jī)制，評(píng)定自身技術(shù)創(chuàng)新能力和風(fēng)險(xiǎn)等級(jí)，由核心技術(shù)小組聯(lián)合技術(shù)供應(yīng)商完成風(fēng)險(xiǎn)評(píng)估和管控計(jì)劃，交由銀行管理委員會(huì)一致審核之后，交由銀監(jiān)會(huì)評(píng)定；明確業(yè)務(wù)創(chuàng)新各個(gè)流程，由核心技術(shù)小組定期向銀行管理委員會(huì)提交實(shí)施報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告，并按照銀監(jiān)會(huì)指定期限提交報(bào)告和接受定期考察。

3. 加強(qiáng)業(yè)務(wù)安全性風(fēng)險(xiǎn)管理。信息技術(shù)的安全性風(fēng)險(xiǎn)主要來(lái)自于信息技術(shù)本身的安全缺陷和人為安全因素。

首先，鼓勵(lì)銀行業(yè)聯(lián)合技術(shù)管理部門(mén)，制定信息技術(shù)應(yīng)用規(guī)范，明確信息技術(shù)應(yīng)用過(guò)程中安全性缺陷方面的風(fēng)險(xiǎn)保障措施、風(fēng)險(xiǎn)評(píng)級(jí)和應(yīng)急處理措施；加強(qiáng)第三方人員的訪問(wèn)管理，對(duì)核心數(shù)據(jù)和業(yè)務(wù)采取自主維護(hù)的方式，減少外部人員訪問(wèn)；要求商業(yè)銀行定期提交信息使用情況報(bào)告，對(duì)信息技術(shù)應(yīng)用進(jìn)行安全性評(píng)估，進(jìn)行非現(xiàn)場(chǎng)監(jiān)督；定期對(duì)商業(yè)銀行進(jìn)行現(xiàn)場(chǎng)審核，根據(jù)信息技術(shù)應(yīng)用規(guī)范，對(duì)商業(yè)銀行業(yè)務(wù)安全性進(jìn)行評(píng)估，指明安全性問(wèn)題，敦促整改。

其次，建議各個(gè)商業(yè)銀行采取雙重管理方式。一方面，根據(jù)銀監(jiān)會(huì)整體行業(yè)的信息應(yīng)用規(guī)范，與技術(shù)供應(yīng)方聯(lián)合評(píng)定業(yè)務(wù)安全性風(fēng)險(xiǎn)等級(jí)，規(guī)劃風(fēng)險(xiǎn)保障機(jī)制和應(yīng)急處理方案；與技術(shù)供應(yīng)方建立風(fēng)險(xiǎn)防范計(jì)劃，定期對(duì)業(yè)務(wù)安全性進(jìn)行檢查，評(píng)估風(fēng)險(xiǎn)等級(jí)，進(jìn)行風(fēng)險(xiǎn)保障。另一方面，定期培訓(xùn)內(nèi)部技術(shù)人員，加強(qiáng)自身技術(shù)支持團(tuán)隊(duì)和核心技術(shù)小組建設(shè)；對(duì)敏感性業(yè)務(wù)和客戶(hù)數(shù)據(jù)采取自我管理維護(hù)的方式，采用專(zhuān)人負(fù)責(zé)，時(shí)時(shí)監(jiān)控的方式，定期向銀行管理委員會(huì)提交安全性風(fēng)險(xiǎn)評(píng)估報(bào)告和安全隱患，以便及時(shí)組織人員解除安全風(fēng)險(xiǎn)。

4. 加強(qiáng)信息技術(shù)外包的風(fēng)險(xiǎn)管理。

首先，鼓勵(lì)整個(gè)銀行業(yè)與技術(shù)管理部門(mén)聯(lián)合制定信息技術(shù)外包風(fēng)險(xiǎn)管理?xiàng)l例，根據(jù)技術(shù)外包規(guī)范標(biāo)準(zhǔn)，如ITIL，制定完整的技術(shù)外包規(guī)范和整個(gè)生命周期中每個(gè)階段的風(fēng)險(xiǎn)保障、評(píng)估和應(yīng)急措施；要求商業(yè)銀行依據(jù)規(guī)范標(biāo)準(zhǔn)，定期提交技術(shù)外包實(shí)施情況報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告；定期安排對(duì)商業(yè)銀行的定期審查。

其次，各個(gè)商業(yè)銀行全面考核信息技術(shù)外包企業(yè)的整體實(shí)力，評(píng)估外包風(fēng)險(xiǎn)管理；根據(jù)信息技術(shù)外包風(fēng)險(xiǎn)管理?xiàng)l例，與外包企業(yè)制定技術(shù)外包計(jì)劃，和管理計(jì)劃；階段性委派內(nèi)部技術(shù)人員驗(yàn)收和審查技術(shù)實(shí)施情況，并評(píng)估當(dāng)前風(fēng)險(xiǎn)，向銀行提交風(fēng)險(xiǎn)評(píng)估報(bào)告和外包項(xiàng)目實(shí)施報(bào)告；定期向銀監(jiān)會(huì)提交整體外包的風(fēng)險(xiǎn)評(píng)估，接受現(xiàn)場(chǎng)考察。

參考文獻(xiàn)：

1. Y. Gormez and F. Capie， Surveys on elec- tronic money， Research Discussion Papers， 2000. Available at: http://www.bof.fi/NR/rdonlyres/08463 641-271B-4E22-B BE4-EA8DC656CAC8/0/0007.pdf.

2. E. Helleiner，“Electronic Money: A chall- enge to the sovereign State?”Journal of intern- ational affairs， Vol.51， 1998. Available at: http://www. questia.com/google Scholar.qst;jses- sionid=02A35340044F7081C7C6E76C2295F272.inst3_1a?docId=5001406720.

3. A Global Action Plan for Electronic Bus- iness， Prepared by Business with Recommendations for Governments，2002，（3）：19.

4. Tarasewich， P.， Nickerson， R.C. and Wark- entin， M. Issues in mobile e-commerce. Commun- ications of the Association for Information Sy- stems，2002，（8）:41-64，49-50，52.

5. Rusu， D. and Dospinescu， O. Mobile banking services in Romania， http://www.ssrn. com，2004.

6. BCBS. Risk management principles for ele- ctronic banking，2003:5.

7. 吳博.操作風(fēng)險(xiǎn)管理視角下的商業(yè)銀行信息科技風(fēng)險(xiǎn)管理研究.新金融，259：32-36.

作者簡(jiǎn)介：錢(qián)峰，北京大學(xué)光華管理學(xué)院、上海浦東發(fā)展銀行博士后。

收稿日期：2011-10-05。