1、1金融信息化风险管控研究综述中图分类号:F274 文献标识码:A 内容摘要:随着信息科技的发展,信息技术已经成为金融系统实现管理、经营和创新的基本工具,金融系统对信息科技的依赖程度逐日递增,金融机构信息化已成金融行业发展的基础要求。然而,信息科技向金融业务的深入渗透在加速实现银行经营效率和收益的同时,潜在的信息科技风险也呈逐步扩大趋势。本文着重对金融信息化过程中伴随的风险进行梳理,寻找防范金融风险的有效机制,以促进金融信息化风险管理水平持续提升,促使打造一个安全可靠的金融 IT 平台,使金融信息化业务健康、稳定、快速发展。 关键词:金融 信息化 风险管控 综述 20 世纪 50 年代以后,国外
2、银行、证券和保险业纷纷开始使用计算机代替手工作业来辅助银行内部业务和管理,开启了金融信息化的先河,我国金融电子化始于 20 世纪 70 年代(李志彤,2003) 。而当代金融行业是一个完全运营在信息化条件下的领域,Swiereze(2003)通过对日本和亚太银行的比较分析发现,银行通过信息技术的使用可以提高效率,增加产出,大幅度降低成本。因此研究金融信息化、监管信息化与信息化监管是经济全球化与网络化的重要问题。伴随着金融信息化的发展,信息技术对金融业产生了两方面影响:一方面,金融信息化大幅提高了金融业务的效率,为金融机构提供了新的业务机会;另一方面,信息技2术也带来了新的金融风险,研究金融信息
3、化风险内在机理和对策对于金融业的进一步创新、发展具有重要意义。 金融信息化相关研究综述 中国银行业监督管理委员会于 2009 年 6 月颁布并实施的商业银行信息科技风险管理指引指出,信息科技风险是指信息科技业务在商业银行应用过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 Marstion(1995)指出信息技术虽然不是必需品,但是它是业务流程再造的促成者,因为它有能力克服时间和空间的限制,利用通信技术能够提高互相合作的程度,同时互享信息资源,减少彼此的争端,帮助银行实现了以客户为中心的流程再造。 李政(2007)认为金融信息化是将信息系统引入金融活动,并形成在金
4、融系统发展中居主导地位的信息产业,从而推动金融系统协调发展的过程。该信息系统应能提供金融服务、金融经营管理决策、金融组织管理的信息和以人为本的友好人机界面。 张立洲(2002)认为金融信息化是指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架重心从物理性空间向信息性空间转变的过程。在产业信息化以至社会信息化深化发展的基础上,金融信息化将对金融业产生广泛而深刻的影响,有力地推进金融发展的历史进程。 李志彤(2003)认为金融信息化是国家信息化的一个组成部分,它与整个社会的信息化,与其他宏观管理部门的信息化,与居民、企业的3信息化密切相关,相辅相成
5、。 金融信息化风险相关研究综述 以往学者研究认为金融信息化风险主根源在于信息化对金融业务的放大与金融监管模式的不匹配。新巴塞尔资本协议是金融世界的主要监管措施,其支柱性措施为:最低资本要求、监管部门监督检查和市场纪律。对于网络时代金融监管来说,忽视了网络时代给金融业务、风险监管带来的复杂性和结构性问题。主要表现在:人类通过网络缩小了时空距离,使巨大的时空变成了相对较小的尺度,信息化表现出信息与行为放大器的功能(李志彤,2003) 。与此相矛盾,信息和行为被放大的同时,监管没能够同时放大,金融机构的监管措施还是停留在人工模式,通过打印报表和人工屏幕检索等传统监管模式,使得风险量与监管力度严重不匹
6、配,因此导致金融信息化后的风险严重膨胀。信息科技风险是一种系数型风险,其风险就在于随着信息科技对银行经营与管理的不断渗透,使已存在的交易、战略、法律、信誉等风险扩大化(骆鉴,2010) 。 Cronin(1998)认为电子货币的大量增长,有可能对传统的法定货币供应造成重大冲击,由于互联网的广泛性,电子货币可能产生突然剧增的需求,会导致电子银行业务服务机构出现流动性危机,并给金融监管带来挑战。 李政(2007)认为从风险来源的地域分布角度出发,金融信息化包含三个层次:金融机构内部信息化、跨机构金融业务网络化和全球金融业务信息化。 金融机构的内部信息化主要规范了金融机构内部的操作流程,按照4Bas
7、el 资本协议将内部信息化风险归为操作风险。内部风险是金融信息化风险的主要来源,根据 IDC(Internet Data Center,互联网数据中心)的报告,70%的安全损失是由企业内部原因造成的。来自美国CIA(中央情报局)和 FBI(联邦调查局)显示,超过 85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等(陈雷蕾,2010) 。 20 世纪 70 年代,为满足银行间资金融通需求,发达国家率先建立国内银行间直接的计算机网络化金融服务交易系统,国内各家银行之间出现通存通兑业务,随着信息化的发展又逐渐将保险公司、证券公司等金融机构吸收到系统当中。
8、这种建立在组织之间的金融联盟存在天然的不牢固性和不安全性,加之组织间协调沟通中存在的障碍,使金融信息化面临更多的风险。 20 世纪 80 年代之后,伴随着经济全球化,金融业也突破了国家的界限,逐渐建立起全球经营平台,进入金融全球化阶段。金融全球化后,国内金融系统面对的不仅仅是国内环境所带来的风险,也增加了全球风险,金融信息化更对全球性经济危机起到了推波助澜的作用,使得原本的国内经济危机扩大到整个地区,甚至是全球。 Anita K. Pennathur(2001)指出网上银行业务面临着操作风险、安全风险、法律风险和声誉风险。吉猛(2006)认为商业银行信息化风险主要包括以下几类:创新变革速度快,
9、对创新变革的审核评估不能满足要求;银行等金融业务对技术的依赖带来风险;信息化带来的金融企业联盟增加了金融企业业务的不确定性和复杂性,导致风险膨胀;技术5不确定性带来的金融业务风险;无线 POS、手机商业银行等应用在与网络平台互联时,信息容易受到攻击;伴随着我国各商业银行数据大集中的开展,商业银行各种技术风险也相应集中。 金融信息化风险管控相关研究综述 国外对银行信息化引发金融风险的监管主要集中在三个方面:一是银行信息化引发金融风险的识别和管理;二是制定和颁布专门的监管指南、规则和建议等,以指导银行信息化引发金融风险监管;三是针对银行信息化引发金融风险中的安全风险定期颁布监管公告(胡海华,201
10、0) 。中国银行业监督管理委员会也于 2009 年 6 月颁布并实施的商业银行信息科技风险管理指引指出,信息科技风险管理的目标是通过建立有效机制,实现对信息科技风险的识别、计量、评价和控制,促进商业银行安全、持续、稳健运行,推动业务创新。 要从根源上遏制金融风险带来的严重后果,必须实现风险放大与监管作用放大相匹配,加快管控方法改革。孟皓东(2009)认为金融信息化风险管控必须从以人防和制度管理为主向依法管理、制度建设和技术防范转变,从主要预防资金风险向资金、实体资源安全、数据安全等方面转变,从事中或事后监管向事前监测、事中跟踪、事后监督转变。针对金融信息化风险的特点,金融机构必须从加强内部管理
11、和加大外部监管两个方面研究银行信息化风险管理,概括起来主要包括以下方面:从制度上和技术上保证这一措施的落实,要设立专门机构,负责此项工作;监管部门要将信息化风险监管作为日常监管的一项内容,实施对银行业6金融机构信息风险的监管;要加大相关法律法规和规章制度的建设,监管部门应尽快出台相关监管办法,并制定相关标准;依据标准,比照国外经验,出台评级办法,作为对银行整体评级的一项依据。 金融信息化风险管控程序和标准相关研究综述 从管控流程上来说,金融信息化风险管控程序包括:第一步评估风险,以明确风险的种类、程度等风险特征;第二步控制风险,采用合适的方法分散风险或者将风险消除;第三步监控风险,风险得到控制
12、后要进行严格监控,通过持续的风险管理活动、对风险管理的评价或将两者结合起来加以实施。 目前国际上主要的信息化风险防范标准有:技术和测评类标准,如美国 TCSEC、欧洲 ITSEC、美国 COBIT、SSE-CMM;风险管理类标准,如英国 BS7799(ISO27000) 、ISO13335、AS/NZS 4360;安全保障类标准,如美国 IATF、德国 ITBPM、美国 NIST;专门针对金融信息化风险监管的标准有 ISO17799、COBIT 等标准(骆鉴,2010) 。 欧美国家对信息化风险较为突出的业务,如网络银行、电子交易等设置了专门的规范加以应对。对金融信息化整体风险的防范,欧美等国
13、起步较早,在对金融系统内部机构监管方面,主要关注点包括:建立风险评级体系,美国联邦金融机构检查委员会(FFIEC)在 1978 年就建立了信息系统评级体系,力求在评估银行的整体风险及经营状况时恰当地反映信息化风险的影响(汪锦丽,2004) ;借助良好的公司治理来确保银行董事及高级管理者在信息化领域的作用;注重跨国合作,尤其是与国际标准与规范化组织的合作(如国际货币基金组织、国际银行等) 。在金7融系统外部,监管部门着重对 IT 外包商进行监管。IT 外包商虽不是金融系统成员,但其以合同的形式参与金融机构信息化过程,是信息化工作的开端,因此对 IT 外包商的监管至关重要。 美国网络银行、电子交易
14、等金融信息化风险较高的业务进行风险控制,主要包括以下内容:对新技术的风险管理;网络银行内部风险控制;网络银行对来源于网络供应商方面的风险加强了控制。金融机构同网络供应商签订正式合同,明确列明有关各方的职责,金融机构要做到绝不在安全性方面做出任何让步(吴庆田,2005) 。 在国内也相继出台了一些应对金融信息化风险的措施:以 2005 年 2月 l 日实施的商业银行内部控制评价试行办法为框架,人民银行出台了“人民银行计算机信息系统内部控制的审计评价” 、 “商业银行内部控制评价技术要点解析与具体操作实用手册”等规章办法。针对银行业信息化风险,监管机构也出台了相关法律法规:信息技术安全性评估准则、
15、信息技术信息安全管理实用规则、信息技术安全管理指南、等级保护实施细则等;涉及行业标准的有:银监会发布电子银行安全评估指引 、 商业银行信息科技风险管理指引 、公安部发布信息系统等级保护基本要求与实施指南 (骆鉴,2010) 。 参考文献: 1.陈雷蕾.国内商业银行信息科技风险管理研究D.西南财经大学,2010 2.程浩亮.供应链金融信息化研究D.财政部财政科学研究所,2012 3.胡海华.银行信息化风险评价及监管研究D.华中科技大学,2010 84.吉猛.商业银行信息系统内部控制研究D.同济大学,2006 5.贾彦东.金融机构的系统重要性分析J.金融研究,2011,10(376) 6.李政,王
16、雷.论金融信息化及其对金融发展的影响J.情报科学,2007,11(25) 7.李志彤.我国金融信息化现状分析与发展战略J.中国软科学,2003(7) 8.骆鉴.论国外金融信息化风险管理与控制D.吉林大学东北亚研究所,2010 9.孟皓东.金融信息安全视角下业务风险防范探究J.工作论坛,2009(4) 10.孙长青.二级分行信息科技风险现状剖析与防范对策J.中国金融电脑,2009(9) 11.唐磊.商业银行信息科技风险现状与管理策略分析J.中国金融电脑,2009(2) 12.汪锦丽.美国银行信息技术风险监管经验及借鉴J.华南金融电脑,2004(12) 13.吴庆田.美国网络银行的风险控制分析与借鉴J.湖南商学院学报,2005(1) 14.张立洲.论金融信息化对金融业的影响J.财经问题研究,2002(3)
