適應信息化建設的商業銀行信息科技風險管理策略

摘要：信息技術在為銀行業帶來巨大推進力的同時，由于其所特有的安全性、高風險、多變性和協作性等特點，也為銀行業的發展帶來了新的管理問題。文章從信息技術對金融體系的影響出發，總結分析了商業銀行信息科技管理面臨的風險問題，系統地討論并提出了銀行信息化的風險管理策略。

關鍵詞：銀行管理；信息技術；風險管理

一、 國內外金融業信息科技風險管理研究和探索

縱觀國內外，信息技術正以一種全新的以技術為推動力的業務創新模式推進金融領域的全面快速發展。而這一變革也蔓延到了與金融相關的管理體系中，尤其對作為金融業核心的銀行機構來說，這一影響尤為突出。因此，為保證銀行業在信息浪潮沖擊下的穩步發展，建立并完善銀行科技風險管理體系成為商業銀行信息化建設的一個重點研究領域。當前，國內外的主要研究可分為以下幾個方面：

1. 作為信息化平臺資金流通單元的電子貨幣的管理。電子貨幣出現并成為以電子設備為基礎的交易平臺之上的新型流通貨幣。這類新型貨幣的出現，使得貨幣發行和管理機構，由單純的銀行擴展到了更多第三方平臺，包括了電信運營商等非金融性機構。文獻“1”詳細探討了各個電子貨幣運營商，及其與銀行業的關系，并試圖給出一個電子貨幣架構的藍圖，以將這一新型貨幣有效融入當前金融管理體系。文獻“2”討論了這一電子貨幣所帶來的挑戰，體現著信息技術對金融業的影響和發展。參與方多樣化環境下的金融活動授權問題。

由于新型金融服務平臺的出現和參與方的多樣化，使得金融活動的管理變得更加復雜化。這種多個授權管理機構導致了跨界銀行業務的管理問題。由于互聯網和移動信息技術的發展，客戶金融交易突破了地域和時間的限制，推進了金融全球化腳步，因而需要制定國際交易協定來保證金融市場的穩定。因此，提高信息化金融服務管理的覆蓋率也是管理體系中的重要組成部分。

2. 新型信息化金融服務的數據安全管理。利用信息技術提升金融服務的根本還在于客戶的信任度，而客戶信任度的建立就有賴于服務的安全保障。銀行的業務服務更多地依賴于信息技術，加大了金融安全的復雜性。如文獻討論了基于移動通信技術的無線金融服務的安全性和數據安全性問題。隨著信息技術的發展，金融服務由物理平臺轉向了有線和無線網絡平臺，從而引入了更多來自于技術領域的安全問題。通過篡改移動運營商代碼，或手機病毒來竊取手機交易信息，文獻指出，由于更多的不受金融管理的第三方利益相關方的進入導致了更多的安全性問題，需要在銀行和非銀行機構之間建立面向新形勢的信息科技管理體系，以保證銀行業務的安全性。

隨著信息技術向金融領域的不斷滲透，針對商業銀行信息科技管理方面的討論和研究也在不斷深化。因而，有必要從我國信息化建設的實際出發，建立行之有效的管理法規和條例。本文將針對我國銀行信息化建設的現狀和趨勢，總結得出“十二五”期間我國銀行管理體系所面臨的問題，討論信息技術可持續發展的新型科技風險管理策略。

二、 信息化建設給我國銀行體系帶來的影響

1. 改變了傳統由客戶與金融機構參與的單一支付鏈關系，融入更多利益相關方。

2. 互聯網的發展使得金融服務由物理渠道拓展到了有線網絡平臺，由現實貨幣交易發展到了電子貨幣交易，與此同時，憑借互聯網技術、B2B和C2B技術，孕育而生了第三方電子交易平臺，這種不同于銀行的非金融機構為客戶和商戶提供了便捷、可靠的電子商務平臺，最終開拓并形成了網絡交易渠道。而隨著無線通信技術和通信設備的不斷演進，移動金融的出現使金融服務更進一步拓展到了無線服務平臺，將移動運營商和移動設備供應商等非金融機構進一步融入到了金融體系之中。改變了傳統的業務創新方式，信息技術成為金融業務創新的推進力。

從互聯網的發展，到無線網絡2G到4G的演變，信息技術在不斷改變金融服務模式的同時，也為金融領域提供了新的創新思路。招商銀行利用互聯網革命，最早在國內推出了全國通存通兌，并打造了“一卡通”和基于互聯網的“一網通”業務，成為招商銀行迅速崛起的關鍵；招行利用云計算技術，設計并研發了企業手機銀行，通過2G、3G和WIFI等移動無線網接入方式，向企業級用戶提供了更加便捷和實時化財務管理服務，從而在電子化遠程金融服務領域中，占得先機。隨著2000年以短信為主的移動手機銀行的出現，到2005年~2008年出現了以JAVA、WAP技術為主的多樣化手機銀行，再到2009年出現基于3G網絡的WAP手機銀行。移動金融發展速度迅猛。同時，云計算的出現和向金融領域的滲透，為新型基于信息技術的業務創新提供了快捷、便利的資源共享平臺，大大加快了業務創新和推廣速度。由此可見，將信息技術融入到金融業務創新體系中已成為金融領域發展的推動力，而構建和完善相應的信息科技風險管理體系則是保證其穩步快速發展的重要保證。

三、 當前我國商業銀行信息科技風險管理所面臨的問題

伴隨著信息技術對金融體系的影響，相應的管理體系也面臨著重大挑戰，如何提供可靠、有效的融入了信息技術特點的銀行風險管理體系成為銀行風險管理的重要工作。當前我國銀行科技風險管理體系所面臨的主要問題可歸結為以下三點：

1. 技術類企業、第三方平臺等非金融機構與銀行業的業務服務不斷融合，非金融機構融入到金融業務鏈條中，加大了銀行管理的廣度。

隨著互聯網技術的發展，第三方支付平臺已逐漸成為有線金融服務渠道的重要組成部分，近年來不斷發展壯大，然而問題也應運而生。2010年11月11日，由淘寶商城年度大規模五折促銷活動引起的網銀集體堵塞。這是一次銀行與第三方支付平臺之間缺乏有效溝通而造成技術支持不足，從而導致銀行業務無法正常運作的嚴重問題。與此同時，在移動金融領域，電信運營商也不斷滲透到金融類服務中。中移動正致力于通過手機錢包業務提供小額金融支付服務，并通過入股浦發銀行來拓展其在大額支付方面的能力。單一的業務鏈條轉變成了多方合作參與的復雜業務鏈，并隨著新興技術的不斷發展，不斷地涌現和融入非金融機構參與方。這加大了金融管理的廣度。

2. 需要納入銀行體系之外的技術風險因素，加大了銀行科技風險管理的難度。信息技術的應用伴隨著安全問題和技術問題的不斷涌現和解決，這與銀行體系所要求的高安全性和可靠性存在內在矛盾。隨著互聯網的迅猛發展，網絡銀行成為銀行業的重要客戶服務渠道之一。銀行已通過安裝瀏覽器插件、采用安全口令和U盾等技術安全舉措保證用戶安全訪問賬戶，但仍然受到數據包盜取、竊聽等安全問題的困擾；同時，正如上一部分所談到的由于用戶訪問量突增所帶來的性能問題也是技術不穩定性的表現。隨著移動通信技術的發展，移動金融成為各個銀行競相發展的戰略性新業務。雖然移動設備和無線網絡已獲得了飛速發展，能夠承擔起多種金融業務服務，然而由于兩者自身還處在發展階段，存在著各自的缺陷，尤其以安全問題最為突出。文獻從操作風險的角度探討了銀行信息化建設的風險管理。

3. 信息技術應用于業務創新的推進和更新速度加快，要求快速建立相應的銀行管理體系，以保證并推動銀行業的穩步發展。摩爾定律揭示了信息技術的迅猛更新速度，而基于信息技術的業務創新速度也隨著技術的不斷發展而變得更加迅速。首先，技術的翻新速度為基于技術的業務創新提供了更多的機會；另一方面，“云計算”本身為基于技術的業務創新提供了一套便捷的快速開發平臺，隨著它的不斷發展和成熟，這一平臺的支撐能力也將大大提升并支持銀行更快地推出新業務服務。因而，基于信息技術的業務創新所具備的快速靈活的特點，要求在業務形成的較短時間內，建立并完善相應的管理條例和措施，從而保證銀行創新業務的穩步發展，避免由于應用新信息技術所導致的客戶信息安全性和行業規范化方面的漏洞而引發的行業危機。

四、 適應信息化建設的我國銀行信息科技風險管理策略

根據信息化對銀行業的影響，可將銀行信息化建設中的問題總結為信息技術特點與現有銀行體系之間的沖突，表現為信息技術多變性與銀行業務穩定性的沖突，信息開放性安全性問題與銀行業務敏感數據保密性的沖突，信息多元化合作與銀行業單一管理體系的沖突，以及滲透在上述各點中的信息技術高風險性與銀行業務可靠性需求的沖突。

將這些信息化建設中的沖突點融入到銀行風險管理體系中，合理地探索、研究、完善沖突點的管理條例和措施，有效地保證銀行信息化建設的順利進行，這將是創新銀行信息科技風險管理的主要目的。對應各個沖突點，重點領域包括：信息作為支撐服務的管理、信息作為業務創新的管理、信息安全性管理、外包規范化管理以及風險保障。

風險管控為信息化建設下銀行管理的核心內容，滲透于各個沖突點中。因而，建議針對銀行信息化建設中的信息化業務支撐、業務發展、安全性管理和外包合作管理這四個方面，從縱向和橫向兩個方面考慮，分別建立風險保障機制、評估預警機制和應急處理機制，以全面提高銀行信息化建設中的風險管控能力。

1. 加強業務支撐的信息科技風險管理。用于業務支撐的信息科技應用主要表現于銀行信息系統的開發、測試和維護，以及投入生產后的信息科技運行這兩個主要領域。而在技術支撐環節，從硬件設備到軟件系統，銀行較多采取由外部供應商提供的方式。因而，受限于外部供應商，而自主建立開發和維護團隊從成本到實際效用方面并不利于銀行業的發展。尤其隨著云計算和移動通信平臺等資源共享平臺的發展，業務支撐平臺將呈現更加靈活和低成本的技術供應，進一步讓銀行擺脫業務支撐方面的技術局限性，將工作重心放在業務服務方面。因而，這一領域的風險監控主要通過加強合作管理，制定規范化的技術合作條例，以降低銀行業在信息技術支撐方面的風險。

首先，加強銀行業與相關部門和機構的合作，編制規范化的合作條例，以明確銀行和相關技術供應商在技術支撐方面的分工和職責；依據如數據管理、客戶管理等較為成熟的信息系統，聯合制定風險保障、評估、應急處理等風險管理制度；對于新信息科技的應用，要求信息技術供應方提供新技術適用性和可行性分析，提供明確的信息風險保障機制、評估和預警機制以及應急處理機制；定期聯合相關部門進行現場勘查，評估商業銀行的信息科技支撐情況，并總結修訂分工和風險管理制度。

其次，對于各個商業銀行來說，組建信息技術支撐小組，掌握支撐技術的保障機制、評估和預警以及應急處理步驟；加強與技術供應企業的聯系，做到全程參與，時時管理；與技術供應方建立技術培訓計劃，在技術應用之前，針對技術應用、風險管理等方面對人員進行培訓；在信息科技運維過程中，定期組織銀行內維護人員的培訓學習，提高內部對技術支撐的管控能力。

2. 加強信息技術進行業務創新的風險管理。信息科技對銀行業的重要作用主要體現在業務創新方面。從傳統的物理網點，到互聯網出現而帶來的網上銀行，再到當前由移動通信技術的發展而帶來的新興移動銀行業務，基于信息技術的銀行業務創新將成為商業銀行業務發展的重要組成部分。

不同于業務支撐部分的信息技術，這一領域往往汲取較新的新興信息技術。然而，即使在技術領域經過了較多的實踐論證，但投入商業應用領域還面臨著摸著石頭過河的局面。因而，對基于信息技術的業務創新風險管理將是銀行業可持續發展的關鍵。需要立足于風險管控和業務可持續發展的觀點，建立相應的業務創新風險管理制度。

首先，鼓勵銀行業與技術部門進行合作，對信息技術的應用風險劃分等級；與技術部門進行協商，界定各項信息技術的風險保障條件，風險等級，評估預警機制，以及相應應急措施；要求商業銀行提交信息技術業務創新的風險管控計劃和內部資源描述，以評定實施風險；明確基于信息技術業務創新的管理流程和流程關鍵點的驗收指標，采取定期現場考察和非現場指導的管理方式；要求商業銀行定期提交實施報告和風險評估報告。

其次，各個商業銀行與技術供應商建立培養核心技術小組，全面掌握用于業務創新的核心信息技術；根據銀監會所給定的信息技術等級和風險管理機制，評定自身技術創新能力和風險等級，由核心技術小組聯合技術供應商完成風險評估和管控計劃，交由銀行管理委員會一致審核之后，交由銀監會評定；明確業務創新各個流程，由核心技術小組定期向銀行管理委員會提交實施報告和風險評估報告，并按照銀監會指定期限提交報告和接受定期考察。

3. 加強業務安全性風險管理。信息技術的安全性風險主要來自于信息技術本身的安全缺陷和人為安全因素。

首先，鼓勵銀行業聯合技術管理部門，制定信息技術應用規范，明確信息技術應用過程中安全性缺陷方面的風險保障措施、風險評級和應急處理措施；加強第三方人員的訪問管理，對核心數據和業務采取自主維護的方式，減少外部人員訪問；要求商業銀行定期提交信息使用情況報告，對信息技術應用進行安全性評估，進行非現場監督；定期對商業銀行進行現場審核，根據信息技術應用規范，對商業銀行業務安全性進行評估，指明安全性問題，敦促整改。

其次，建議各個商業銀行采取雙重管理方式。一方面，根據銀監會整體行業的信息應用規范，與技術供應方聯合評定業務安全性風險等級，規劃風險保障機制和應急處理方案；與技術供應方建立風險防范計劃，定期對業務安全性進行檢查，評估風險等級，進行風險保障。另一方面，定期培訓內部技術人員，加強自身技術支持團隊和核心技術小組建設；對敏感性業務和客戶數據采取自我管理維護的方式，采用專人負責，時時監控的方式，定期向銀行管理委員會提交安全性風險評估報告和安全隱患，以便及時組織人員解除安全風險。

4. 加強信息技術外包的風險管理。

首先，鼓勵整個銀行業與技術管理部門聯合制定信息技術外包風險管理條例，根據技術外包規范標準，如ITIL，制定完整的技術外包規范和整個生命周期中每個階段的風險保障、評估和應急措施；要求商業銀行依據規范標準，定期提交技術外包實施情況報告和風險評估報告；定期安排對商業銀行的定期審查。

其次，各個商業銀行全面考核信息技術外包企業的整體實力，評估外包風險管理；根據信息技術外包風險管理條例，與外包企業制定技術外包計劃，和管理計劃；階段性委派內部技術人員驗收和審查技術實施情況，并評估當前風險，向銀行提交風險評估報告和外包項目實施報告；定期向銀監會提交整體外包的風險評估，接受現場考察。

參考文獻：

1. Y. Gormez and F. Capie， Surveys on elec- tronic money， Research Discussion Papers， 2000. Available at: http://www.bof.fi/NR/rdonlyres/08463 641-271B-4E22-B BE4-EA8DC656CAC8/0/0007.pdf.

2. E. Helleiner，“Electronic Money: A chall- enge to the sovereign State?”Journal of intern- ational affairs， Vol.51， 1998. Available at: http://www. questia.com/google Scholar.qst;jses- sionid=02A35340044F7081C7C6E76C2295F272.inst3_1a?docId=5001406720.

3. A Global Action Plan for Electronic Bus- iness， Prepared by Business with Recommendations for Governments，2002，（3）：19.

4. Tarasewich， P.， Nickerson， R.C. and Wark- entin， M. Issues in mobile e-commerce. Commun- ications of the Association for Information Sy- stems，2002，（8）:41-64，49-50，52.

5. Rusu， D. and Dospinescu， O. Mobile banking services in Romania， http://www.ssrn. com，2004.

6. BCBS. Risk management principles for ele- ctronic banking，2003:5.

7. 吳博.操作風險管理視角下的商業銀行信息科技風險管理研究.新金融，259：32-36.

作者簡介：錢峰，北京大學光華管理學院、上海浦東發展銀行博士后。

收稿日期：2011-10-05。