■ 張 駿 博士生

（中國礦業(yè)大學(xué)（北京）管理學(xué)院 北京 100083）

20世紀(jì)50年代以后，國外銀行、證券和保險業(yè)紛紛開始使用計算機代替手工作業(yè)來輔助銀行內(nèi)部業(yè)務(wù)和管理，開啟了金融信息化的先河，我國金融電子化始于20世紀(jì)70年代（李志彤，2003）。而當(dāng)代金融行業(yè)是一個完全運營在信息化條件下的領(lǐng)域，Swiereze（2003）通過對日本和亞太銀行的比較分析發(fā)現(xiàn)，銀行通過信息技術(shù)的使用可以提高效率，增加產(chǎn)出，大幅度降低成本。因此研究金融信息化、監(jiān)管信息化與信息化監(jiān)管是經(jīng)濟全球化與網(wǎng)絡(luò)化的重要問題。伴隨著金融信息化的發(fā)展，信息技術(shù)對金融業(yè)產(chǎn)生了兩方面影響：一方面，金融信息化大幅提高了金融業(yè)務(wù)的效率，為金融機構(gòu)提供了新的業(yè)務(wù)機會；另一方面，信息技術(shù)也帶來了新的金融風(fēng)險，研究金融信息化風(fēng)險內(nèi)在機理和對策對于金融業(yè)的進一步創(chuàng)新、發(fā)展具有重要意義。

金融信息化相關(guān)研究綜述

中國銀行業(yè)監(jiān)督管理委員會于2009年6月頒布并實施的《商業(yè)銀行信息科技風(fēng)險管理指引》指出，信息科技風(fēng)險是指信息科技業(yè)務(wù)在商業(yè)銀行應(yīng)用過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。

Marstion（1995）指出信息技術(shù)雖然不是必需品，但是它是業(yè)務(wù)流程再造的促成者，因為它有能力克服時間和空間的限制，利用通信技術(shù)能夠提高互相合作的程度，同時互享信息資源，減少彼此的爭端，幫助銀行實現(xiàn)了以客戶為中心的流程再造。

李政（2007）認(rèn)為金融信息化是將信息系統(tǒng)引入金融活動，并形成在金融系統(tǒng)發(fā)展中居主導(dǎo)地位的信息產(chǎn)業(yè)，從而推動金融系統(tǒng)協(xié)調(diào)發(fā)展的過程。該信息系統(tǒng)應(yīng)能提供金融服務(wù)、金融經(jīng)營管理決策、金融組織管理的信息和以人為本的友好人機界面。

張立洲（2002）認(rèn)為金融信息化是指在金融領(lǐng)域全面發(fā)展和應(yīng)用現(xiàn)代信息技術(shù)，以創(chuàng)新智能技術(shù)工具更新改造和裝備金融業(yè)，使金融活動的結(jié)構(gòu)框架重心從物理性空間向信息性空間轉(zhuǎn)變的過程。在產(chǎn)業(yè)信息化以至社會信息化深化發(fā)展的基礎(chǔ)上，金融信息化將對金融業(yè)產(chǎn)生廣泛而深刻的影響，有力地推進金融發(fā)展的歷史進程。

李志彤（2003）認(rèn)為金融信息化是國家信息化的一個組成部分，它與整個社會的信息化，與其他宏觀管理部門的信息化，與居民、企業(yè)的信息化密切相關(guān)，相輔相成。

金融信息化風(fēng)險相關(guān)研究綜述

以往學(xué)者研究認(rèn)為金融信息化風(fēng)險主根源在于信息化對金融業(yè)務(wù)的放大與金融監(jiān)管模式的不匹配。新巴塞爾資本協(xié)議是金融世界的主要監(jiān)管措施，其支柱性措施為：最低資本要求、監(jiān)管部門監(jiān)督檢查和市場紀(jì)律。對于網(wǎng)絡(luò)時代金融監(jiān)管來說，忽視了網(wǎng)絡(luò)時代給金融業(yè)務(wù)、風(fēng)險監(jiān)管帶來的復(fù)雜性和結(jié)構(gòu)性問題。主要表現(xiàn)在：人類通過網(wǎng)絡(luò)縮小了時空距離，使巨大的時空變成了相對較小的尺度，信息化表現(xiàn)出信息與行為放大器的功能（李志彤，2003）。與此相矛盾，信息和行為被放大的同時，監(jiān)管沒能夠同時放大，金融機構(gòu)的監(jiān)管措施還是停留在人工模式，通過打印報表和人工屏幕檢索等傳統(tǒng)監(jiān)管模式，使得風(fēng)險量與監(jiān)管力度嚴(yán)重不匹配，因此導(dǎo)致金融信息化后的風(fēng)險嚴(yán)重膨脹。信息科技風(fēng)險是一種系數(shù)型風(fēng)險，其風(fēng)險就在于隨著信息科技對銀行經(jīng)營與管理的不斷滲透，使已存在的交易、戰(zhàn)略、法律、信譽等風(fēng)險擴大化（駱鑒，2010）。

Cronin（1998）認(rèn)為電子貨幣的大量增長，有可能對傳統(tǒng)的法定貨幣供應(yīng)造成重大沖擊，由于互聯(lián)網(wǎng)的廣泛性，電子貨幣可能產(chǎn)生突然劇增的需求，會導(dǎo)致電子銀行業(yè)務(wù)服務(wù)機構(gòu)出現(xiàn)流動性危機，并給金融監(jiān)管帶來挑戰(zhàn)。

李政（2007）認(rèn)為從風(fēng)險來源的地域分布角度出發(fā)，金融信息化包含三個層次：金融機構(gòu)內(nèi)部信息化、跨機構(gòu)金融業(yè)務(wù)網(wǎng)絡(luò)化和全球金融業(yè)務(wù)信息化。

金融機構(gòu)的內(nèi)部信息化主要規(guī)范了金融機構(gòu)內(nèi)部的操作流程，按照《Basel資本協(xié)議》將內(nèi)部信息化風(fēng)險歸為操作風(fēng)險。內(nèi)部風(fēng)險是金融信息化風(fēng)險的主要來源，根據(jù)IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）的報告，70%的安全損失是由企業(yè)內(nèi)部原因造成的。來自美國CIA（中央情報局）和FBI（聯(lián)邦調(diào)查局）顯示，超過85%的安全威脅來自企業(yè)內(nèi)部，威脅源頭包括內(nèi)部未授權(quán)的存取、專利信息被竊取、內(nèi)部人員的財務(wù)欺騙等（陳雷蕾，2010）。

20世紀(jì)70年代，為滿足銀行間資金融通需求，發(fā)達(dá)國家率先建立國內(nèi)銀行間直接的計算機網(wǎng)絡(luò)化金融服務(wù)交易系統(tǒng)，國內(nèi)各家銀行之間出現(xiàn)通存通兌業(yè)務(wù)，隨著信息化的發(fā)展又逐漸將保險公司、證券公司等金融機構(gòu)吸收到系統(tǒng)當(dāng)中。這種建立在組織之間的金融聯(lián)盟存在天然的不牢固性和不安全性，加之組織間協(xié)調(diào)溝通中存在的障礙，使金融信息化面臨更多的風(fēng)險。

20世紀(jì)80年代之后，伴隨著經(jīng)濟全球化，金融業(yè)也突破了國家的界限，逐漸建立起全球經(jīng)營平臺，進入金融全球化階段。金融全球化后，國內(nèi)金融系統(tǒng)面對的不僅僅是國內(nèi)環(huán)境所帶來的風(fēng)險，也增加了全球風(fēng)險，金融信息化更對全球性經(jīng)濟危機起到了推波助瀾的作用，使得原本的國內(nèi)經(jīng)濟危機擴大到整個地區(qū)，甚至是全球。

Anita K. Pennathur（2001）指出網(wǎng)上銀行業(yè)務(wù)面臨著操作風(fēng)險、安全風(fēng)險、法律風(fēng)險和聲譽風(fēng)險。吉猛（2006）認(rèn)為商業(yè)銀行信息化風(fēng)險主要包括以下幾類：創(chuàng)新變革速度快，對創(chuàng)新變革的審核評估不能滿足要求；銀行等金融業(yè)務(wù)對技術(shù)的依賴帶來風(fēng)險；信息化帶來的金融企業(yè)聯(lián)盟增加了金融企業(yè)業(yè)務(wù)的不確定性和復(fù)雜性，導(dǎo)致風(fēng)險膨脹；技術(shù)不確定性帶來的金融業(yè)務(wù)風(fēng)險；無線POS、手機商業(yè)銀行等應(yīng)用在與網(wǎng)絡(luò)平臺互聯(lián)時，信息容易受到攻擊；伴隨著我國各商業(yè)銀行數(shù)據(jù)大集中的開展，商業(yè)銀行各種技術(shù)風(fēng)險也相應(yīng)集中。

金融信息化風(fēng)險管控相關(guān)研究綜述

國外對銀行信息化引發(fā)金融風(fēng)險的監(jiān)管主要集中在三個方面：一是銀行信息化引發(fā)金融風(fēng)險的識別和管理；二是制定和頒布專門的監(jiān)管指南、規(guī)則和建議等，以指導(dǎo)銀行信息化引發(fā)金融風(fēng)險監(jiān)管；三是針對銀行信息化引發(fā)金融風(fēng)險中的安全風(fēng)險定期頒布監(jiān)管公告（胡海華，2010）。

中國銀行業(yè)監(jiān)督管理委員會也于2009年6月頒布并實施的《商業(yè)銀行信息科技風(fēng)險管理指引》指出，信息科技風(fēng)險管理的目標(biāo)是通過建立有效機制，實現(xiàn)對信息科技風(fēng)險的識別、計量、評價和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新。

要從根源上遏制金融風(fēng)險帶來的嚴(yán)重后果，必須實現(xiàn)風(fēng)險放大與監(jiān)管作用放大相匹配，加快管控方法改革。孟皓東（2009）認(rèn)為金融信息化風(fēng)險管控必須從以人防和制度管理為主向依法管理、制度建設(shè)和技術(shù)防范轉(zhuǎn)變，從主要預(yù)防資金風(fēng)險向資金、實體資源安全、數(shù)據(jù)安全等方面轉(zhuǎn)變，從事中或事后監(jiān)管向事前監(jiān)測、事中跟蹤、事后監(jiān)督轉(zhuǎn)變。針對金融信息化風(fēng)險的特點，金融機構(gòu)必須從加強內(nèi)部管理和加大外部監(jiān)管兩個方面研究銀行信息化風(fēng)險管理，概括起來主要包括以下方面：從制度上和技術(shù)上保證這一措施的落實，要設(shè)立專門機構(gòu)，負(fù)責(zé)此項工作；監(jiān)管部門要將信息化風(fēng)險監(jiān)管作為日常監(jiān)管的一項內(nèi)容，實施對銀行業(yè)金融機構(gòu)信息風(fēng)險的監(jiān)管；要加大相關(guān)法律法規(guī)和規(guī)章制度的建設(shè)，監(jiān)管部門應(yīng)盡快出臺相關(guān)監(jiān)管辦法，并制定相關(guān)標(biāo)準(zhǔn)；依據(jù)標(biāo)準(zhǔn)，比照國外經(jīng)驗，出臺評級辦法，作為對銀行整體評級的一項依據(jù)。

金融信息化風(fēng)險管控程序和標(biāo)準(zhǔn)相關(guān)研究綜述

從管控流程上來說，金融信息化風(fēng)險管控程序包括：第一步評估風(fēng)險，以明確風(fēng)險的種類、程度等風(fēng)險特征；第二步控制風(fēng)險，采用合適的方法分散風(fēng)險或者將風(fēng)險消除；第三步監(jiān)控風(fēng)險，風(fēng)險得到控制后要進行嚴(yán)格監(jiān)控，通過持續(xù)的風(fēng)險管理活動、對風(fēng)險管理的評價或?qū)烧呓Y(jié)合起來加以實施。

目前國際上主要的信息化風(fēng)險防范標(biāo)準(zhǔn)有：技術(shù)和測評類標(biāo)準(zhǔn)，如美國TCSEC、歐洲ITSEC、美國COBIT、SSE-CMM；風(fēng)險管理類標(biāo)準(zhǔn)，如英國BS7799（ISO27000）、ISO13335、AS/NZS 4360；安全保障類標(biāo)準(zhǔn)，如美國IATF、德國ITBPM、美國NIST；專門針對金融信息化風(fēng)險監(jiān)管的標(biāo)準(zhǔn)有ISO17799、COBIT等標(biāo)準(zhǔn)（駱鑒，2010）。

歐美國家對信息化風(fēng)險較為突出的業(yè)務(wù)，如網(wǎng)絡(luò)銀行、電子交易等設(shè)置了專門的規(guī)范加以應(yīng)對。對金融信息化整體風(fēng)險的防范，歐美等國起步較早，在對金融系統(tǒng)內(nèi)部機構(gòu)監(jiān)管方面，主要關(guān)注點包括：建立風(fēng)險評級體系，美國聯(lián)邦金融機構(gòu)檢查委員會（FFIEC）在1978年就建立了信息系統(tǒng)評級體系，力求在評估銀行的整體風(fēng)險及經(jīng)營狀況時恰當(dāng)?shù)胤从承畔⒒L(fēng)險的影響（汪錦麗，2004）；借助良好的公司治理來確保銀行董事及高級管理者在信息化領(lǐng)域的作用；注重跨國合作，尤其是與國際標(biāo)準(zhǔn)與規(guī)范化組織的合作（如國際貨幣基金組織、國際銀行等）。在金融系統(tǒng)外部，監(jiān)管部門著重對IT外包商進行監(jiān)管。IT外包商雖不是金融系統(tǒng)成員，但其以合同的形式參與金融機構(gòu)信息化過程，是信息化工作的開端，因此對IT外包商的監(jiān)管至關(guān)重要。

美國網(wǎng)絡(luò)銀行、電子交易等金融信息化風(fēng)險較高的業(yè)務(wù)進行風(fēng)險控制，主要包括以下內(nèi)容：對新技術(shù)的風(fēng)險管理；網(wǎng)絡(luò)銀行內(nèi)部風(fēng)險控制；網(wǎng)絡(luò)銀行對來源于網(wǎng)絡(luò)供應(yīng)商方面的風(fēng)險加強了控制。金融機構(gòu)同網(wǎng)絡(luò)供應(yīng)商簽訂正式合同，明確列明有關(guān)各方的職責(zé)，金融機構(gòu)要做到絕不在安全性方面做出任何讓步（吳慶田，2005）。

在國內(nèi)也相繼出臺了一些應(yīng)對金融信息化風(fēng)險的措施：以2005年2月l日實施的《商業(yè)銀行內(nèi)部控制評價試行辦法》為框架，人民銀行出臺了“人民銀行計算機信息系統(tǒng)內(nèi)部控制的審計評價”、“商業(yè)銀行內(nèi)部控制評價技術(shù)要點解析與具體操作實用手冊”等規(guī)章辦法。針對銀行業(yè)信息化風(fēng)險，監(jiān)管機構(gòu)也出臺了相關(guān)法律法規(guī)：信息技術(shù)安全性評估準(zhǔn)則、信息技術(shù)信息安全管理實用規(guī)則、信息技術(shù)安全管理指南、等級保護實施細(xì)則等；涉及行業(yè)標(biāo)準(zhǔn)的有：銀監(jiān)會發(fā)布《電子銀行安全評估指引》、《商業(yè)銀行信息科技風(fēng)險管理指引》、公安部發(fā)布《信息系統(tǒng)等級保護基本要求與實施指南》（駱鑒，2010）。

1.陳雷蕾.國內(nèi)商業(yè)銀行信息科技風(fēng)險管理研究[D].西南財經(jīng)大學(xué)，2010

2.程浩亮.供應(yīng)鏈金融信息化研究[D].財政部財政科學(xué)研究所，2012

3.胡海華.銀行信息化風(fēng)險評價及監(jiān)管研究[D].華中科技大學(xué)，2010

4.吉猛.商業(yè)銀行信息系統(tǒng)內(nèi)部控制研究[D].同濟大學(xué)，2006

5.賈彥東.金融機構(gòu)的系統(tǒng)重要性分析[J].金融研究，2011，10（376）

6.李政，王雷.論金融信息化及其對金融發(fā)展的影響[J].情報科學(xué)，2007，11（25）

7.李志彤.我國金融信息化現(xiàn)狀分析與發(fā)展戰(zhàn)略[J].中國軟科學(xué)，2003（7）

8.駱鑒.論國外金融信息化風(fēng)險管理與控制[D].吉林大學(xué)東北亞研究所，2010

9.孟皓東.金融信息安全視角下業(yè)務(wù)風(fēng)險防范探究[J].工作論壇，2009（4）

10.孫長青.二級分行信息科技風(fēng)險現(xiàn)狀剖析與防范對策[J].中國金融電腦，2009（9）

11.唐磊.商業(yè)銀行信息科技風(fēng)險現(xiàn)狀與管理策略分析[J].中國金融電腦，2009（2）

12.汪錦麗.美國銀行信息技術(shù)風(fēng)險監(jiān)管經(jīng)驗及借鑒[J].華南金融電腦，2004（12）

13.吳慶田.美國網(wǎng)絡(luò)銀行的風(fēng)險控制分析與借鑒[J].湖南商學(xué)院學(xué)報，2005（1）

14.張立洲.論金融信息化對金融業(yè)的影響[J].財經(jīng)問題研究，2002（3）