（金融学专业论文）我国商业银行信息科技风险评级体系重构研究.pdf

山东大学硕士学位论文 中文摘要 目前，信息科技已成为商业银行实现经营战略、业务经营、金融创新的基础平台， 使商业银行业务对信息科技产生高度依赖，信息科技的安全性，可靠性直接关系到整 个银行业的安全和金融体系的稳定。但目前我国商业银行对信息科技的风险防范不足， 管理相对薄弱，缺乏对信息科技安全的关注和统筹安排，从而造成风险事件时有发生。 因此，防控商业银行信息科技风险刻不容缓。 为了更好地防范商业银行的信息科技风险，必须对信息科技风险进行度量。本文 用规范研究和实例研究相结合的方法进行了我国商业银行信息科技风险评级指标体系 的研究。研究过程中，一是回顾阐述了国际银行监管权威机构和国外、国内银行信息 技术专家对商业银行信息科技风险的定义、解释和在相关领域的研究成果。二是详细 介绍了国内知名银行信息技术专家构建的包括审计、管理、开发与获取、支持与交付 四方面内容的商业银行信息科技风险评级体系，指出了此评级体系在可操作性、遗漏 内容等方面的缺陷。三是介绍了美国信息技术安全与技术管理和控制标准的主要内容。 然后，针对商业银行信息科技风险评级，介绍美国金融监管机构已经发布、执行的商 业银行信息科技风险的评级体系的主要内容。四是结合中国商业银行实际，并借鉴美 二。 国商业银行信息技术风险防范的先进经验重新设计了我国商业银行信息科技风险的评 级体系。同时，为了科学、合理的确定商业银行信息科技风险评级体系各项工作的重 要程度，采用专家评分法确定了各项指标的权重。五是收集了国内代表不同商业银行 群体信息科技风险的有关数据，对应制定的评分标准对重构后的指标体系进行了实际 测算。六是根据测算的结果，对有关商业银行信息科技风险进行了评级，找出了不同 类型商业银行在信息科技风险防范方面存在的问题，并提出了针对性的改进意见。 本文在商业银行信息科技风险量化评级方面作了创新研究的尝试。对张成虎教授 的商业银行信息科技风险评级体系的内容进行了修正，明确了评级体系每个项目合理、 科学的评分标准；采用专家评分法确定了评级体系各项目的权重系数；选取了实际商 业银行案例对重构后的信息科技评级体系进行了测算。 关键词：商业银行；信息科技风险；评级体系；重构 哲锈l 恤 山东大学硕士学位论文 a b s t r a c t a tp r e s e n t i n f o r m a i o nt e c h n o l o g yh a sb e e nt h et o o l sf o rc o m m e r c i a lb a n k st oc a r r yo u t s t r a t e g y , d e v e l o p m e n ta n di n n o v a t i o n c o m m e r i c a lb a n k sh i g h l yr e l y o ni n f o r m a i o n t e c h n o l o g y t h es e c u r i t ya n dr e l i a b i l i t yo fi n f o r m a i o nt e c h n o l o g yd i r e c t l ya f f e c tt h es e c u r i t y o fb a n k i n gi n d u s t r ya n dt h es t a b i l i t yo ft h ef i n a n c es y s t e m h o w e v e r , t h es h o r t a g eo fa b i l i t y t om a n a g ei n f o r m a t i o nt e c h n o l o g yr i s k ，t h el a c ko fa t t e n t i o n ，a n dt h ea b s e n c eo fs c i e n t i f i c a r r a n g e m e n ti ns e c u r i t y , l e a dt oa c c i d e n t si ni n f o r m a i o nt e c h n o l o g yo c c a s i o n a l l y 。s o ，t h e m a n a g e m e n to fi n f o r m a i o nt e c h n o l o g yr i s ki si m p o r t a n t t om a n a g et h ei n f o r m a t i o nt e c h n o l o g yr i s k ，t h em e a s u r e m e n to fi n f o r m a i o nt e c h n o l o g y r i s ki sn e c e s s a r y t 1 1 i sd i s s e r t a t i o ns t u d i e st h er a t i n gs y s t e mf o ri n f o r m a t i o nt c c h n o l o g yi n c h i n a , b a s eo nt h em e t h o do fc r i t e r i o na n dd e m o n s t r a t i o n f i r s t l y , i n t r o d u c e so ft h e d e f i n i t i o no fi tr i s ka n dr a l a t e dw o r k sb yi n t e r n a t i o n a lb a n ks u p e r v i s o r sa n di te x o p e r t s s e c o n d l y , i n t r o d u c e sar a t i n gs y s t e md e s i g n e db yaf a m o u se x p e r ti ni n f o r m a t i o nt e c h n o l o g y , w h i c hi n c l u d e sa u d i t ，m a n a g e m e n t ，d e v e l o p m e n ta n da c q u s i t i o n ，m a i n t a i n a n c ea n dd e l i v e r y t h i r d l y , i n t r o d u c e st h ei n f o r m a t i o nt e c h n o l o g ys e c u r i t ya n dm a n a g e m e n ta n dc o n t r o l s t a n d a r d s ，a sw e l la st h eu n s i t ( u n i f o r mr a t i n gs y s t e mf o ri n f o r m a t i o nt e c h n o l o g y ) o ft h e u s a f o r t h l y , b a s eo ns i t u a t i o no fc h i n e s ec o m m e r c i a lb a n k sa n dp r a c t i c e si nt h eu s a r e f o r m st h er a t i n gs y s t e mf o ri n f o r m a t i o nt e c h n o l o g yi nc h i n a _ t h i sd i s s e r t a t i o na d o p t st h e e x p e r te v a l u a t i o nm e t h o dt o a s s u m et h ep a r a m e t e ro fr a t i n gs y s t e mf o ri n f o r m a t i o n t e c h n o l o g yo fc h i n a f i f t h l y , u s e ss a m p l e sf r o mb a n k si nd i f f e r e n tc o l o n y , m e a s u r e st h er i s k i nn e wr a t i n gs y s t e m s i x t h l y , a c c o r d i n gt ot h er e s u l t s ，g r a d e st h ei n f o r m a t i o nt e c k n o l o g y r i s k so fc o r r e s p o n d i n gb a n k s ，f i n d st h ep r o b l e m si nb a n k sm a n a g i n gr i s ko fi n f o r m a t i o n t e c h n o l o g y ，p u t sf o r w a r da d v i c e si nr e a s o n t 1 1 i sd e s s e r t a t i o nr e s e a r c h e st h er a t i n gs y s t e mf o ri n f o r m a t i o nt e c h n o l o g yr i s ko f c o m m e r c i a lb a n k s m o d i f i e st h er a t i n gs y s t e mo fp r o f e s s o rc h e n g h uz han ga s s u m e s s o u n da n ds c i e n t i f i cs t a n d a r di ne a c hi t e mo fr a t i n gs y s t e m a d o p t st h ee x p e r te v a l u a t i o n m e t h o dt oa s s u m et h ew e i g ho fe a c hi t e r n , c h o o s e ss a m p l e sf r o mc o m m e r c i a lb a n k st o m e a s u r et h er a t i n gs y s t e m k e yw o r d s ：c o m m e r i c a lb a n k ，i n f o r m a t i o nt e c h n o l o g yr i s k ，r a t i n gs y s t e m ，r e f o r m 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中己经注明引用的内容外，本论文不包含任何 其他个人或集体己经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：錾髯! 整 日期：2 ：z ：王兰 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件和电 子版，允许论文被查阅和借阅：本人授权山东大学可一以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他复 制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名莲丝丝导师签名：塑墨 日期：废竺互兰箩 山东大学硕士学位论文 1 1 问题的提出 一引言 商业银行信息科技风险是指商业银行在运用信息科技过程中，由于自然因素、 人为因素、技术漏洞和管理缺陷产生的风险，巴塞尔协议将其作为操作风险中的 重点进行防控。 随着金融电子化程度的日益提高，商业银行对信息科技的依赖度显著增强， 但商业银行对信息科技的风险防范不足，管理相对薄弱，缺乏对信息科技安全的 关注和统筹安排，从而造成技术风险事件时有发生。因此，防控商业银行信息科 技风险刻不容缓。 银行信息科技风险评级体系是对银行信息科技风险监管的有效工具之一。建 立银行信息科技风险评级体系的目的是为了建立健全银行风险管理系统，使银行 管理部门和监管机构有能力识别、评估、检测和控制银行信息科技风险。银行信 息科技风险评级体系以银行及i t j j 艮务供应商为监管对象，通过一定的信息科技风 险评级模型对监管对象的信息科技风险状况及信息科技风险管理能力进行等级划 分，从而对监管对象的信息科技风险表现形态和内部风险控制能力进行科学判断， i ， 进而有针对性地采取监管措施，督促有问题的银行或i t 服务提供商加强风险管理 能力、改善风险状况，以增强监管效果，提高监管效率。银行信息科技风险评级 体系作为银行风险预警工具之一，它的建立有助于完善我国银行信息科技风险预 警体系，有效化解银行信息科技风险。 国内银行信息化专家张成虎教授设计了一套“我国银行信息科技风险评级体 系”。该评级体系虽然较为全面的量化了银行的信息科技风险，但尚存在制定的 指标体系的设计不符合我国商业银行信息科技风险管理的实际情况、指标评分标 准不明确等需要修正之处。本文就是对此评级体系进行修正，并用实例进行研究 的。 1 2 选题的意义 1 9 9 1 年2 月，邓小平在上海视察期间，明确指出“金融很重要，是现代经济的 山东大学硕士学位论文 核心。金融搞好了，一着棋活，全盘皆活。”我国商业银行信息化建设经过二十 年的发展，取得了长足进步，各商业银行依托信息科技技术不断开发新的金融服 务产品，有力地支持了我国银行业的改革和发展。 纵观二十年来的银行信息技术建设，商业银行科技从无到有、从起步到发展， 从引进学习到自主创新，创建了可喜的局面。各商业银行强化信息科技基础设施 建设，加强信息科技风险管理，银行业信息科技运行呈平稳、健康的态势。但与 此同时，各商业银行科技发展中面临的缺乏规划、依赖进口、创新不足、重信息 系统发展而轻安全管理等问题日益突出，一定程度上制约了银行信息科技的持续 健康发展，银行信息安全也面临着更加严峻的挑战。如何有效的度量防范信息科 技风险，成为我国商业银行面临的共同问题。 目前，美国已经建立了成熟的银行信息科技风险评级体系，而我国的这一评 级体系还处在探索阶段，为了更好地对我国银行信息技术的应用状况进行评级， 使监管部门更全面、科学地掌握被检查银行的实际情况，评估其在控制各种信息 科技风险时的总体有效程度，建立一套更适合我国商业银行信息科技风险评级指 标体系，并进行实例研究，对我国商业银行防范信息科技风险很有实际意义。 1 3 论文的研究方法 论文用规范研究和实例研究相结合的方法进行了我国商业银行信息科技风险 评级指标体系的研究。对国内外监管机构、学者对商业银行信息科技风险评级体 系进行了分析和修正，设计了符合我国实际的商业银行信息科技风险评级指标体 系。 运用案例研究的方法，采集了多家不同类型的商业银行，对其进行了指标体 系各项数值的测算，对存在的信息科技风险进行了量化，提出了有针对性地防范 信息科技风险的建议。改变了以前定性分析银行信息科技风险，原则性提出防范 信息科技风险建议的固有模式。 1 4 论文的主要创新点 国内外见诸报端的商业银行信息科技风险领域的研究文献泛泛的论述商业银 行信息科技风险的定义、类型和防范措施。虽然有商业银行信息科技风险的评级 2 山东大学硕士学位论文 体系，但是没有实际研究案例，且评级指标体系也有诸多不符合我国实际情况之 处。 本文就是针对以上研究的空白，在修正张成虎教授的我国银行信息科技风险 评级体系的基础上，设计了更符合我国实际的评价指标体系。根据我国商业银行 的实际情况，重新设计了信息科技风险评级指标体系的项目，明确了每个项目合 理、科学的评分标准；采用专家评分法确定了评级体系各项目的权重系数；并采 集了多家不同类型商业银行的相关数据，实际测算了该指标体系的各项指标的数 值，其后对不同类型的商业银行提出了有针对性的信息科技风险防范建议。 山东大学硕士学位论文 二国内外研究现状 2 1 国外相关文献和研究成果 巴塞尔银行监管委员会在有效银行监管的核心原则中将银行业风险 分为信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作风险、 法律风险和声誉风险等8 大类风险。其中操作风险是指由于不完善或有问题的内 部程序、人员和系统或因外部事件导致损失的风险。新技术发展，尤其是信息技 术在金融领域的广泛应用，大大提高了银行金融服务的效率，但同时加大了商业 银行操作风险。 r o b e r ta r o s e n ，e s q 认为巴塞尔委员会将商业银行的信息科技风险归类为 操作风险。信息科技在商业银行的营运中起了很大作用，有效降低了商业银行传 统业务，比如信贷等的风险。但是，信息科技工作本身又给商业银行带来了风险， 由于信息技术的快速发展和市场竞争的需要，商业银行不断采用新的信息科技技 术，同时将部分信息科技工作包给外部公司办理，由此而产生新的信息科技风险。 有效防范商业银行信息科技风险的措施有建立有效的风险管理程序、建立合理的 外包公司管理规定、建立外部工作连续性计划、分析信息科技服务提供商等。 a h m a da b u m u s a 在沙特阿拉伯开展了用户( 在各行业中选择了样本用 户) 使用c o b i t 技术标准的调查工作。共发放调查问卷5 0 0 份，回收的调查答卷中 有1 2 7 份有效。调查结果显示：大多数被调查者已经认识至! u c o b i t 技术标准在信息 科技工作中的重要作用，但有较少比例的被调查者认为c o b i t 技术标准在本单位 得到全面的执行。银行、金融机构和服务性行业的用户比其他行业的用户更好地 执行了c o b i t 技术标准。信息科技专家、内部审计师和经理人较其他岗位工作人 员更加深刻的感知和领悟至u c o b i t 技术标准在信息科技工作中的重要性。 。b a n kf o ri n t e r n a t i o n a ls e t t l e m e n t s c o r ep r i n c i p l e sf o re f f e c t i v eb a n k i n gs u p e r v i s i o n ，b a s e l c o m m i t t e eo nb a n k i n gs u p e r v i s i o n 0 c t o b e r2 0 0 6 圆r o b e r ta r o s e n , e s q ，t h en e wb a s e lc a p i t a la c c o r d ：p l a r ti i ：t e c h n o l o g yl u s kf o r b a n k sa n dt h er o l eo fi n s u r a n c e，e n v i r o n m e n t a lc 1 a i m sj o u r n a l ：1 6 ( 3 - 4 s u m m e r - f a l l ) ：2 0 0 4 ， p 2 4 9 - 2 5 6 四a h m a da b u m u s a 。e x p l o r i n gt h ei m p o r t a n c ea n di m p l e m e n t a t i o no fc o b i tp r o c e s s e si ns a n d i o r g a n i z a t i o n s j ， i n f o r m a t i o nm a n a g e m e n t & c o m p u t e rs e c u r i t yv 0 1 1 7n o 2 2 0 0 9 ，p 7 3 9 5 4 山东大学硕士学位论文 m i c h a e lk o e t t e r 、t i g r a np o g h o s y a n 固将商业银行的信息科技系统分为两 类。一类是支持零售、批发等商业银行业务工作的信息系统。另一类是提高商业 银行管理水平的信息系统，如风险控制系统。银行对两类系统的技术风险的要求 是不同的，应该区别对待。 s i n e e n a dp a i s i t t a n a n da ，d a v i dl o l s o n 研究了商业银行信用卡业务信息 科技工作外包，构建了一个仿真模型。认为商业银行信息科技外包工作既有利的 方面，也有不利的方面。信息科技工作外包对工作有利的方面有：商业银行降低 费用支出、避免多种非银行业务风险、使工作集中于核心业务、在商业银行内部 避免技能多样化而产生文化冲突。不利方面有：缺乏某种技能的风险、变更程序 出现新问题、准确获知费用、文化冲突等问题，认为针对不利方面要加强风险控 制。具体措施有对信息科技外包工作审慎决策、加强对外包服务商的选择工作、 核心业务要自身独立掌握、避免对外包服务商的过度依赖等。 f r e d r i cw i l l i a ms w i e r c z e k ，p r i t a mk s h r e s t h a 设计了调查问卷，调查分析了 日本5 9 家和亚太地区( 泰国、澳大利亚、印度、马来西亚、香港等) 4 4 家商业银 行高管、操作人员等答卷情况。结论是所有被调查国家、地区的商业银行均认为 信息科技工作效果是有益的，但日本较亚太地区商业银行在信息科技工作中受益 少。认为商业银行的信息科技是由计算机和通讯技术来完成业务集中处理、信息 存储、恢复、数据处理、信息交换等工作的。信息科技工作既有投入，又有产出。 信息科技工作的产出是创造的金融产品和为银行客户提供的服务；投入是为了获 得产出而消耗的所有资源，包括有形资产、劳务费用和营业成本等。信息科技工 作中存在的风险是由计算机软硬件不兼容、信息系统负载过多、工作安全等因素 引起的，这对信息科技工作产生了负面影响。 b r i a nc l e a r y 认为大中型商业银行面临机构不断增长的问题，其业务运营 越来越依赖于信息系统。未经许可和不恰当的访问信息系统就产生了相关的诸多 唧v l i c h a e lk o e t t e r 、t i g r a np o g h o s y a n ，t h ei d e n t i f i c a t i o no f t e c h n o l o g yr e g i m e si nb a n k i n g ：i m p l i c a t i o n sf o rt i e m a r k e tp o w e r - f r a g i l i t yn e x u s ，j o u r n a lo f b a n k i n g & f i n a n c e3 3f 2 0 0 9 ) ，p 1 4 1 3 - 1 4 2 2 s i n e e n a dp a i s i t t a n a n d 乱d a v i dl o l s o n ，as i m u l a t i o ns t u d yo f i to u t s o u r c i n g i nt h ec 1 e d i tc a r db u s i n e s s 。 e u r o p e a nj o u r n a lo f o p e r a t i o n a lr e s e a r c h1 7 5 ( 2 0 0 6 ) ，p 1 2 4 8 - - 1 2 6 1 移f r e d r i cw i l l i a ms w i e r c z e k p l 血a mk s h r e s t h a ，i n f o r m a t i o nt e c h n o l o g ya n d p r o d u c t i v i t y ：ac o m p a r i s o no f j a p a n e s ea n da s i a - p a c i f i cb a n k s ，j o u r n a lo f h i g ht e c h n o l o g ym a n a g e m e n tr e s e a r c h1 4 ( 2 0 0 3 ) ，p 2 6 9 - - 2 8 8 b r i a nc i e a r y ，h o ws a f yi sy o u rd a t a ? j ，s t r a t e g i cf i n a n c e ，o c t o b e r2 0 0 8 ，p 3 3 - 3 7 山东大学硕士学位论文 风险。如果未经许可的员工非法进入了系统，商业银行就会面临金融、法律和声 誉风险。避免此类信息科技风险需要加强监控、管理，并使用适当的科技工具。 具体措施有：采用最小授权访问原则；对应用系统分析，并采取不同等级的保护 措施；建设统一的管理平台，采用统一的方式访问商业银行的各信息系统；对用 户身份在整个生命周期进行足够的校验，以防范高风险场景发生。通过以上措施， 商业银行的信息系统就会安全运行。 m a g d ie 1 b a n n a n y 认为商业银行的信息系统分为两类：一类是在商业银行 内部使用，主要履行商业银行的管理职能；另一类是外部信息系统，完成对商业 银行客户的服务职能，包括电子渠道( 如a t m 机) 和柜面的服务系统。商业银行 大量的使用电子设备，特别是a t m 等自助设备，引起了员工数量的减少。所以， 商业银行技能较低的员工对信息化工作有抵触情绪。 z h o uy u n f e n g 、f e n gj u n w e n 、l ix i a o y a n l 国顾了世界商业银行的发展简史。 介绍了商业银行常用的风险管理技术。对商业银行风险管理的概念、机制、组织 架构、内容、文化、信息科技手段进行了深入的分析。对国际先进商业银行和中 国商业银行的风险管理进行了对比。其结论是：目前商业银行已抛弃了仅注重信 用风险的风险管理工作方法，转而注重商业银行全面风险的管理，即信用风险、 操作风险、市场风险、法律风险、声誉风险等。特别是介绍了汇丰、花旗等先进 商业银行在风险管理的组织架构上有独立性强的风险管理部，将风险管理计划纳 入商业银行的整体战略规划，成立了董事会领导下的风险管理委员会。以此确保 风险管理的规范性和系统性。中国的商业银行风险管理处于起步阶段，而且各商 业银行的情况也有较大差异。中国建设银行在1 9 9 9 年1 月成立了风险管理部；中国 银行有风险管理团队，负责信息的收集、调整和风险的监测。中国商业银行风险 管理部门的独立性不强，很难保证风险管理工作的有效性。 l a u r e nb i e l s k i 研究了指纹电子认证技术，认为应加强身份认证技术在商业 银行的应用。文章比较了手工签名和指纹电子认证技术的异同。指出电子认证技 a g d ie 1 - b a n n a n y ，as t u d yo fd e t e r m i n a n t so fi n t e l l e c t u a lc a p i t a l p e f f o r m a n c ei nb a n k s ：t h eu kc a s e ，j o u r n a l o f i n t e l l e c t u a lc a p i t a l ，v 0 1 9n o 3 ，2 0 0 8 ，p 4 8 7 - 4 9 8 回z h o uy u n f e n g 、f e n gj u n w c n 、l ix i a o y a n ，s u m m a r i z a t i o na n da n a l y s i so i lc o m m e r c i a lb a n kr i s k m a n a g e m e n t ， c a n a d i a ns o c i a ls c i e n c e ，v 0 1 4n o 1f e b r u a r y2 0 0 8 ，p 3 0 - 3 6 西l a u r e nb i e l s k i ，c o m p l i a n c ea ty o u rf i n g e r t i p s ? j ，a m e r i c a nb a n k e r sa s s o c i a t i o n a b ab a n k i n gj o u r n a l ，a p r 2 0 0 6 ；9 8 4 ：a b i i n f o r mg i o b a l ，p 5 3 、5 4 、5 6 6 山东大学硕士学位论文 术是目前商业银行有效预防身份确认类信息科技风险的高科技手段。特别强调， 不但银行客户的身份认证需要应用指纹电子认证，而且商业银行内部员工也应应 用此技术。 c o s t a sl a p a v i t s a sa n dp a u l ol d o ss a n t o s1 1 认为技术创新 对现今商业银行管理和特性的变化有很大贡献。首先，资金交易成本变得廉价， 但是由于许多服务的提供而使商业银行的投资成本上升。其次，商业银行信息系 统的处理能力增强了，强有力科技手段的采用同时引起管理风险的加大。第三， 科技的发展使发达国家的商业银行更为容易的进入发展中国家。由于信息科技和 通讯技术的发展使商业银行的服务和管理的每个方面都发生了变化。例如：资金 交易可以通过a t m 和电子银行等完成，增强了自动化程度。同时，也带来了每项 工作在信息科技管理上的风险。 s t e v ec o c h e o1 2 介绍了发生的商业银行客户数据泄露的案例，说明了商业 银行在此方面面临的风险。开展了调查工作，结果显示资产规模大的商业银行在 客户敏感数据保护工作上做的比资产规模小的商业银行好。( 资产规模2 亿美元以 上的商业银行中有4 6 9 的有限制员工拷贝客户数据的措施，资产规模1 亿美元以 下的商业银行中有此项限制措施的比例仅有2 0 9 ) 。调查还显示，商业银行在客 户数据保护方面采取的措施有：数据加密( 7 6 2 ) 、物理锁设备( 3 0 5 ) 、软件 转化为哑元数据( 2 0 1 ) ，还有其他措施。同时，商业银行越来越重视类似客户 数据保护的信息科技风险的防范工作。 k a r e nk a h l e rh o l l i d a y1 3 认为“9 1l ”事件和“卡特里娜”飓风后，商业银行普遍 重视了信息系统灾备恢复工作，制定了许多灾备恢复规定和手册。论文详细分析 了流感全面流行这一风险事件的应急工作。指出商业银行信息科技应急预案应与 国家的有关工作相协调，并作为社会应急预案的一部分，将工作重点放在评估人 力资源、保证客户服务和跟踪社会反映方面，并制定详细的技术预案。信息科技 1 1 c o s t a sl a p a v i t s a sa n dp a u l ol d o ss a n t o s ，g l o b a l i z a t i o na n dc o n t e m p o r a r y b a n k i n g ：o nt h ei m p a c to fn e wt e c h n o l o g y ，c o n t r i b u t i o n st op o l i t i c a le c o n o m y ( 2 0 0 8 ) 2 7 ， p 3 l - 5 6 1 2 s t e v ec o c h c o ，s e c u r i t y & t e c h n o l o g y ：t h ep e r i l so fb a n k i n gi nt h e ”e l e c t r o n i cc o m m u n i t y ”，a m e r i c a n b a n k e r sa s s o c i a t i o n ，a b ab a n k i n gj o u r n a l ， m a r2 0 0 7 ；9 9 ，3 ；a b i i n f o r mg l o b a l ，p s l 2 ”k a r e nk a h l e r ，h o l l i d a yf l up a n d e m i cr e q u i r e sd i s t i n c tp r e p a r a t i o n s ，a m e r i c a nb a n k e r sa s s o c i a t i o n a b a b a n k i n gj o u r n a l ， o c t2 0 0 6 ；9 8 1 0 ；a b i i n f o r mg l o b a l ，p 7 、8 、1 0 、8 7 7 山东大学硕士学位论文 应急预案应在商业银行的公司治理层面加强，预案应在由各部门成立的专门委员 会讨论，应急预案要将商业银行相关业务部门纳入。制定与相关员工岗位职责相 匹配的应急预案，使每个员工知悉出现应急场景的处理流程。确保客户和商业银 行内部员工的联络；商业银行网站的可用。文中特别提到，商业银行信息科技应 急预案应把外包服务商纳入应急预案。比如：通信公司、软件开发商等。这样才 能确保应急预案的全面性、可用性。 2 2 国内相关文献综述 王晓霞1 4 以美国c a r l s o n 公司i t 治理案例为起点，以构建企业i t 治理风险审 计框架为目的，运用演绎和调查等方法对企业i t 治理的内容、机制、i t 治理风险审 计等相关内容进行规范性研究，搭建起i t 企业治理风险审计的内容框架。研究的结 论是在公司治理比较有成效的企业，可由独立于治理委员会、执行管理层以外的董 事成员和高管成员及审计委员会共同组成治理风险监督审核机构，形成由治理层 负责制定决策标准，由监督层负责对决策及执行情况实施审核的机制。 金文、张金城1 5 在研究c o b i t 的基础上，提出从信息系统生命周期出发，通过对 生命周期各个阶段的任务与活动的有序排列，构建符合c o b i t 定义的信息技术过 程和管理、控制与评价模型，并在此基础上，构建信息系统管理、控制与审计的模型。 阎庆民、蔡红艳1 6 讨论了国际银行业操作风险的计量模型和操作风险管理框架 的发展新趋势。并结合我国银行业目前的实际运作状况，对我国银行业如何加强操 作风险管理进行了分析和讨论。指出操作风险事件难以在事前充分预期，并往往来 源于制度、系统缺陷和人员舞弊行为，具有较强的内生性，这也对各国银行业内控 机制的有效性提出了挑战。我国商业银行当前应进一步加强银行内控机制建设，按 决策系统、执行系统、监督反馈系统相互制衡的原则来建立内控机制，自上而下形 成层次分明的多级控制系统。根据银行业务特点和风险控制需要，建立内部控制十 大系统，即授权管理系统、资金计划系统、会议控制系统、人事教育控制系统、筹 资风险控制系统、信贷资金风险控制系统、外汇业务控制系统、信用卡业务控制 系统、计算机风险控制系统和清算风险控制系统。在每个系统下制定出具体业务 1 4 王晓霞，b k c a r l s o n 公司的j 丁决策体制谈i t 治理风险审计川，审计研究，2 0 0 8 年6 期，p 9 1 9 6 1 5 金文、张金城，基于c o b i t 的信息系统管理、控制与审计的模型构建研究【j 】，审计研究，2 0 0 5 年4 期，p 7 5 - 7 9 1 6 阎庆民、蔡红艳，商业银行操作风险管理框架评价研究【j 】，金融研究，2 0 0 6 年第6 期，p 6 1 7 0 8 山东大学硕士学位论文 工作流程，流程中每个岗位固定、责任固定，以实现岗位、工序间的相互制约。 梁伟、胡利琴、胡燕7 提出了对操作风险进行评级的思想，并就我国商业 银行操作风险评级进行了探讨。并采用网络分析法进行操作风险评级，并给出了关 键风险指标和关键风险诱因及其权重，在此基础上对样本银行操作风险进行评级。 得出了“无论是长期内还是短期内，公司治理结构均是操作风险最关键的风险成因， 这与巴塞尔协议所强调的目标一致。实际上，我国商业银行产权结构不明晰，所有 者监督长期缺位，造成了管理职权滥用，风险管理责任不明。因此要从根本上控制 操作风险，建立良好的公司治理机制是基本前提。”的结论。 王付彪、阚超、沈谦、陈永春1 8 对我国商业银行年至年的技术效率进行了实 证研究，并将技术效率分解为纯技术效率、规模效率、投人要素可用度。分析发现， 我国商业银行效率整体上呈现上升趋势，技术效率损失主要源自于规模效率损失， 说明我国商业银行存在与其规模不相适应的管理能力。表明我国商业银行目前还 处于追求粗放式经营的阶段，追求外延规模不断扩张的经营理念和方式制约了其 效率的提高，规模扩张过程中内部管理水平没有随之提高，导致了效率损失。 张成虎、孙景、陈靓1 9 研究了金融信息化的“双刃剑”效应，使其在给银行带 来各种竞争优势和利益的同时，也给银行业带来了各种与信息技术应用相关的风 险银行信息科技风险。发达国家商业银行和银行监管当局，已经针对银行信息 科技风险的特点和危害，建立了比较规范的信息科技风险识别、评估、管理、控 制和监管体系。在借鉴美国金融业统一的信息科技风险评级体系u r s i t ( u n i f o r m r a t i n gs y s t e mf o ri n f o r m a t i o nt e c h n o l o g y ) 经验和方法的基础上，并参考国际上公认 的信息系统安全与技术管理和控制标准c o b i t ( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o n a n d r e l a t e dt e c h n o l o g y ) 的部分内容，结合我国银行信息科技风险的特点，设计了 我国银行信息科技风险评级体系。内容包括评级模型、指标设计、指标权重设计 和评级方法等，并指出在实施该评级体系时应考虑的问题。 李东卫2 0 认为商业银行信息科技风险主要表现为操作风险，但也会连带导致 商业银行法律和声誉风险。现在商业银行信息科技风险的表现主要有系统灾备机 ”梁伟、胡利琴、胡燕，中国商业银行操作风险评级问题研究 j ，金融研究，2 0 0 7 年第1 2 期，p 1 3 5 - 1 4 1 “王付彪、阐超、沈谦、陈永春，我国商业银行技术效率与技术进步实证研究( 1 9 9 8 2 0 0 4 ) j ，2 0 0 6 年 第8 期( 总第3 1 4 期) ，p 1 2 2 1 3 2 ”张成虎、孙景、陈靓，银行技术风险监管 m ，经济管理出版社，2 0 0 5 年1 1 月第l 版 ”李东卫，对商业银行信息科技风险的几点思考 j ，金卡工程经济与法，2 0 0 8 年9 期，p i o i - 1 0 2 9 山东大学硕士学位论文 制不健全，应急预案不完善；日益增多的应用信息系统未实现有效整合，系统安 全风险加大；科技软硬件基础设施薄弱；信息系统安全存在风险隐患等几个方面。 提出了加强对商业银行业信息科技风险管控工作的组织领导；加强对信息科技重 点环节的风险防范；健全灾备机制，确保业务连续运行；加强科技信息风险监管， 提升风险管控能力；强化内控，拾遗补缺的有效防范商业银行信息科技风险的建 议。 赵相如2 1 认为银行信息科技风险体现在数据大集中引发的风险，i t 信息科技 风险，信息安全风险，管理粗放的风险等几个方面。提出了监管部门要采取措施 提高监管有效性，实施信息科技风险审计，督促商业银行建立和完善内控制度， 加强灾难备份中心的建设，保证系统的安全稳定运行，培养和选拔信息科技管理人 才的有效防范信息科技风险的建议。 乔哲男2 2 认为容易引起金融信息科技风险的5 个方面包括：硬件、软件、网 络、管理、意外事故。应该采取经常对员工进行金融科技安全培训，切实提高安 全保障水平，建立符合标准的硬件运行环境，加强对软件系统的管理，加大银行 网络安全防范力度，完善内部管理机制的措施以防范信息科技风险。 陆媛2 3 认为银行信息科技风险控制测度模型的设计是我国商业银行提高信息 化建设绩效的前提，同时又可以促进传统风险控制功能的改进，而u r s i t 框架对 我国银行业信息科技风险控制测度模型的建立具有较强的指导意义。探索性因子 分析和验证性因子分析可以为模型的可靠性和有效性提供实证检验，并揭示国有 商业银行信息科技风险控制中存在的若干现实性问题。 “赵相如，防范银行科技风险的建议 j ，金融会计， 2 0 0 7 0 3 ，p 5 7 - 5 8 “乔哲男，浅谈金融科技风险防范 j ，河北金融，2 0 0 7 年第8 期，p 4 3 ”陆嫒，国有商业银行技术风险控制测度模型研究 力，中国管理信息化，2 0 0 8 年9 月第1 l 卷第1 7 期，p 6 6 6 9 1 0 山东大学硕士学位论文 三国内现有商业银行信息科技风险评级体系及不足 3 1 国内现有商业银行信息科技风险评级体系 3 1 1 我国监管部门尚未制定商业银行信息科技风险评级体系 为了防范我国银行业金融机构面临的信息科技风险，2 0 0 6 年8 月，中国银监 会发布了银行业金融机构信息系统风险管理指引，在使用2 年多后，又对其进 行了修订，并于2 0 0 9 年3 月发布了商业银行信息科技风险管理指引，此指引从 信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信 息科技运行、业务连续性管理、外包、内部审计、外部审计等方面对商业银行提 出了防范信息科技风险的规范性要求。但是我国监管部门还未制定商业银行信息 科技风险评级体系。 3 1 2 、国内学者研究构建的“我国银行技术风险评级体系” 1 、张成虎等“我国银行技术风险评级体系”的设计思想 我国银行技术风险评级体系考虑与银监会发布的股份制商业银行风险评级 体系( 暂行) 2 4 保持一致。确定若干个评级单项，每个评级单项又包含若干个评 级小项，这些项目是根据我国商业银行信息技术风