金融信息化風險管控研究綜述

■ 張 駿 博士生

（中國礦業大學（北京）管理學院 北京 100083）

20世紀50年代以后，國外銀行、證券和保險業紛紛開始使用計算機代替手工作業來輔助銀行內部業務和管理，開啟了金融信息化的先河，我國金融電子化始于20世紀70年代（李志彤，2003）。而當代金融行業是一個完全運營在信息化條件下的領域，Swiereze（2003）通過對日本和亞太銀行的比較分析發現，銀行通過信息技術的使用可以提高效率，增加產出，大幅度降低成本。因此研究金融信息化、監管信息化與信息化監管是經濟全球化與網絡化的重要問題。伴隨著金融信息化的發展，信息技術對金融業產生了兩方面影響：一方面，金融信息化大幅提高了金融業務的效率，為金融機構提供了新的業務機會；另一方面，信息技術也帶來了新的金融風險，研究金融信息化風險內在機理和對策對于金融業的進一步創新、發展具有重要意義。

金融信息化相關研究綜述

中國銀行業監督管理委員會于2009年6月頒布并實施的《商業銀行信息科技風險管理指引》指出，信息科技風險是指信息科技業務在商業銀行應用過程中由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

Marstion（1995）指出信息技術雖然不是必需品，但是它是業務流程再造的促成者，因為它有能力克服時間和空間的限制，利用通信技術能夠提高互相合作的程度，同時互享信息資源，減少彼此的爭端，幫助銀行實現了以客戶為中心的流程再造。

李政（2007）認為金融信息化是將信息系統引入金融活動，并形成在金融系統發展中居主導地位的信息產業，從而推動金融系統協調發展的過程。該信息系統應能提供金融服務、金融經營管理決策、金融組織管理的信息和以人為本的友好人機界面。

張立洲（2002）認為金融信息化是指在金融領域全面發展和應用現代信息技術，以創新智能技術工具更新改造和裝備金融業，使金融活動的結構框架重心從物理性空間向信息性空間轉變的過程。在產業信息化以至社會信息化深化發展的基礎上，金融信息化將對金融業產生廣泛而深刻的影響，有力地推進金融發展的歷史進程。

李志彤（2003）認為金融信息化是國家信息化的一個組成部分，它與整個社會的信息化，與其他宏觀管理部門的信息化，與居民、企業的信息化密切相關，相輔相成。

金融信息化風險相關研究綜述

以往學者研究認為金融信息化風險主根源在于信息化對金融業務的放大與金融監管模式的不匹配。新巴塞爾資本協議是金融世界的主要監管措施，其支柱性措施為：最低資本要求、監管部門監督檢查和市場紀律。對于網絡時代金融監管來說，忽視了網絡時代給金融業務、風險監管帶來的復雜性和結構性問題。主要表現在：人類通過網絡縮小了時空距離，使巨大的時空變成了相對較小的尺度，信息化表現出信息與行為放大器的功能（李志彤，2003）。與此相矛盾，信息和行為被放大的同時，監管沒能夠同時放大，金融機構的監管措施還是停留在人工模式，通過打印報表和人工屏幕檢索等傳統監管模式，使得風險量與監管力度嚴重不匹配，因此導致金融信息化后的風險嚴重膨脹。信息科技風險是一種系數型風險，其風險就在于隨著信息科技對銀行經營與管理的不斷滲透，使已存在的交易、戰略、法律、信譽等風險擴大化（駱鑒，2010）。

Cronin（1998）認為電子貨幣的大量增長，有可能對傳統的法定貨幣供應造成重大沖擊，由于互聯網的廣泛性，電子貨幣可能產生突然劇增的需求，會導致電子銀行業務服務機構出現流動性危機，并給金融監管帶來挑戰。

李政（2007）認為從風險來源的地域分布角度出發，金融信息化包含三個層次：金融機構內部信息化、跨機構金融業務網絡化和全球金融業務信息化。

金融機構的內部信息化主要規范了金融機構內部的操作流程，按照《Basel資本協議》將內部信息化風險歸為操作風險。內部風險是金融信息化風險的主要來源，根據IDC（Internet Data Center，互聯網數據中心）的報告，70%的安全損失是由企業內部原因造成的。來自美國CIA（中央情報局）和FBI（聯邦調查局）顯示，超過85%的安全威脅來自企業內部，威脅源頭包括內部未授權的存取、專利信息被竊取、內部人員的財務欺騙等（陳雷蕾，2010）。

20世紀70年代，為滿足銀行間資金融通需求，發達國家率先建立國內銀行間直接的計算機網絡化金融服務交易系統，國內各家銀行之間出現通存通兌業務，隨著信息化的發展又逐漸將保險公司、證券公司等金融機構吸收到系統當中。這種建立在組織之間的金融聯盟存在天然的不牢固性和不安全性，加之組織間協調溝通中存在的障礙，使金融信息化面臨更多的風險。

20世紀80年代之后，伴隨著經濟全球化，金融業也突破了國家的界限，逐漸建立起全球經營平臺，進入金融全球化階段。金融全球化后，國內金融系統面對的不僅僅是國內環境所帶來的風險，也增加了全球風險，金融信息化更對全球性經濟危機起到了推波助瀾的作用，使得原本的國內經濟危機擴大到整個地區，甚至是全球。

Anita K. Pennathur（2001）指出網上銀行業務面臨著操作風險、安全風險、法律風險和聲譽風險。吉猛（2006）認為商業銀行信息化風險主要包括以下幾類：創新變革速度快，對創新變革的審核評估不能滿足要求；銀行等金融業務對技術的依賴帶來風險；信息化帶來的金融企業聯盟增加了金融企業業務的不確定性和復雜性，導致風險膨脹；技術不確定性帶來的金融業務風險；無線POS、手機商業銀行等應用在與網絡平臺互聯時，信息容易受到攻擊；伴隨著我國各商業銀行數據大集中的開展，商業銀行各種技術風險也相應集中。

金融信息化風險管控相關研究綜述

國外對銀行信息化引發金融風險的監管主要集中在三個方面：一是銀行信息化引發金融風險的識別和管理；二是制定和頒布專門的監管指南、規則和建議等，以指導銀行信息化引發金融風險監管；三是針對銀行信息化引發金融風險中的安全風險定期頒布監管公告（胡海華，2010）。

中國銀行業監督管理委員會也于2009年6月頒布并實施的《商業銀行信息科技風險管理指引》指出，信息科技風險管理的目標是通過建立有效機制，實現對信息科技風險的識別、計量、評價和控制，促進商業銀行安全、持續、穩健運行，推動業務創新。

要從根源上遏制金融風險帶來的嚴重后果，必須實現風險放大與監管作用放大相匹配，加快管控方法改革。孟皓東（2009）認為金融信息化風險管控必須從以人防和制度管理為主向依法管理、制度建設和技術防范轉變，從主要預防資金風險向資金、實體資源安全、數據安全等方面轉變，從事中或事后監管向事前監測、事中跟蹤、事后監督轉變。針對金融信息化風險的特點，金融機構必須從加強內部管理和加大外部監管兩個方面研究銀行信息化風險管理，概括起來主要包括以下方面：從制度上和技術上保證這一措施的落實，要設立專門機構，負責此項工作；監管部門要將信息化風險監管作為日常監管的一項內容，實施對銀行業金融機構信息風險的監管；要加大相關法律法規和規章制度的建設，監管部門應盡快出臺相關監管辦法，并制定相關標準；依據標準，比照國外經驗，出臺評級辦法，作為對銀行整體評級的一項依據。

金融信息化風險管控程序和標準相關研究綜述

從管控流程上來說，金融信息化風險管控程序包括：第一步評估風險，以明確風險的種類、程度等風險特征；第二步控制風險，采用合適的方法分散風險或者將風險消除；第三步監控風險，風險得到控制后要進行嚴格監控，通過持續的風險管理活動、對風險管理的評價或將兩者結合起來加以實施。

目前國際上主要的信息化風險防范標準有：技術和測評類標準，如美國TCSEC、歐洲ITSEC、美國COBIT、SSE-CMM；風險管理類標準，如英國BS7799（ISO27000）、ISO13335、AS/NZS 4360；安全保障類標準，如美國IATF、德國ITBPM、美國NIST；專門針對金融信息化風險監管的標準有ISO17799、COBIT等標準（駱鑒，2010）。

歐美國家對信息化風險較為突出的業務，如網絡銀行、電子交易等設置了專門的規范加以應對。對金融信息化整體風險的防范，歐美等國起步較早，在對金融系統內部機構監管方面，主要關注點包括：建立風險評級體系，美國聯邦金融機構檢查委員會（FFIEC）在1978年就建立了信息系統評級體系，力求在評估銀行的整體風險及經營狀況時恰當地反映信息化風險的影響（汪錦麗，2004）；借助良好的公司治理來確保銀行董事及高級管理者在信息化領域的作用；注重跨國合作，尤其是與國際標準與規范化組織的合作（如國際貨幣基金組織、國際銀行等）。在金融系統外部，監管部門著重對IT外包商進行監管。IT外包商雖不是金融系統成員，但其以合同的形式參與金融機構信息化過程，是信息化工作的開端，因此對IT外包商的監管至關重要。

美國網絡銀行、電子交易等金融信息化風險較高的業務進行風險控制，主要包括以下內容：對新技術的風險管理；網絡銀行內部風險控制；網絡銀行對來源于網絡供應商方面的風險加強了控制。金融機構同網絡供應商簽訂正式合同，明確列明有關各方的職責，金融機構要做到絕不在安全性方面做出任何讓步（吳慶田，2005）。

在國內也相繼出臺了一些應對金融信息化風險的措施：以2005年2月l日實施的《商業銀行內部控制評價試行辦法》為框架，人民銀行出臺了“人民銀行計算機信息系統內部控制的審計評價”、“商業銀行內部控制評價技術要點解析與具體操作實用手冊”等規章辦法。針對銀行業信息化風險，監管機構也出臺了相關法律法規：信息技術安全性評估準則、信息技術信息安全管理實用規則、信息技術安全管理指南、等級保護實施細則等；涉及行業標準的有：銀監會發布《電子銀行安全評估指引》、《商業銀行信息科技風險管理指引》、公安部發布《信息系統等級保護基本要求與實施指南》（駱鑒，2010）。

1.陳雷蕾.國內商業銀行信息科技風險管理研究[D].西南財經大學，2010

2.程浩亮.供應鏈金融信息化研究[D].財政部財政科學研究所，2012

3.胡海華.銀行信息化風險評價及監管研究[D].華中科技大學，2010

4.吉猛.商業銀行信息系統內部控制研究[D].同濟大學，2006

5.賈彥東.金融機構的系統重要性分析[J].金融研究，2011，10（376）

6.李政，王雷.論金融信息化及其對金融發展的影響[J].情報科學，2007，11（25）

7.李志彤.我國金融信息化現狀分析與發展戰略[J].中國軟科學，2003（7）

8.駱鑒.論國外金融信息化風險管理與控制[D].吉林大學東北亞研究所，2010

9.孟皓東.金融信息安全視角下業務風險防范探究[J].工作論壇，2009（4）

10.孫長青.二級分行信息科技風險現狀剖析與防范對策[J].中國金融電腦，2009（9）

11.唐磊.商業銀行信息科技風險現狀與管理策略分析[J].中國金融電腦，2009（2）

12.汪錦麗.美國銀行信息技術風險監管經驗及借鑒[J].華南金融電腦，2004（12）

13.吳慶田.美國網絡銀行的風險控制分析與借鑒[J].湖南商學院學報，2005（1）

14.張立洲.論金融信息化對金融業的影響[J].財經問題研究，2002（3）