政策性银行信息科技风险管理评价方法研究.PDF

年第 期 2017 7 99 政策性银行的信息科技风险管理评价方法研究 谢小璐1 摘要：随着政策性银行业务的不断扩展，信息科技对推动政策性银行健康发展的支撑作用 日益显现，但伴随而来的信息科技风险也越来越显著，亟需建立科学的信息科技风险管理评价 体系。本文首先根据国内政策性银行信息科技风险的特点，对《商业银行信息科技风险管理指 引》中的相关评价指标进行了调整，构建了针对我国政策性银行的信息科技风险管理评价体系； 在此基础上，利用熵权法确定各评价指标的权重，结合模糊综合评判确定信息科技风险评价等 级，构建了政策性银行信息科技风险管理评价模型；最后，以某政策性银行为例，对文中构建 的熵权—模糊综合评判价模型进行了应用，并针对模型应用发现的问题提出了相应的政策建议。 关键词：政策性银行；信息科技风险；风险管理；熵权法；模糊综合评判 一、引言和文献综述 伴随着经济社会的快速发展，银行业信息数据逐步增多，信息科技在银行业的作用已经从 业务支持转变为与业务的密切融合，成为银行稳健运营和发展的重要支柱。不仅仅是商业银行， 政策性银行的业务扩张同样离不开信息科技的支撑。而信息科技在发挥积极作用的同时，也带 来了巨大的信息科技风险。因此，信息科技风险管理和评价体系日益受到重视，成为政策性银 行全面风险管理中的重要组成部分。 美国的信息科技风险管理和评价体系建立较早，以其联邦机构金融检查委员会制定的 “统一信息技术风险评级体系”（Uniform Rating System for Information Technology ，URSIT ） 为核心 （FFIEC ，2004 ）。1978 年，美国联邦机构金融检查委员会首次推荐各金融机构采用 URSIT ，以此作为一套专门的技术风险监管工具应用于美国的金融机构以及IT 服务商 （FFIEC ， 2004 ）。随着信息技术的不断进步与发展，美国联邦机构金融检查委员会对URSIT 进行了多次 1 谢小璐，管理学硕士，中国进出口银行厦门分行。本文为作者的学术思考，不代表所在单位的观点。 作者感谢匿名审稿人的意见，文责自负。 政策性银行的信息科技风险管理评价方法研究 总第 期 100 67 修订。特别是在 1998 年，美国联邦机构金融检查委员会参考信息系统审计和控制联合会制定 的信息及相关技术的控制目标 （Control Objectives for Information and Related Technology ，简称 COBIT ），结合金融业的特点，在URSIT 中增加了衡量执行效果的判断标准，使其更加科学、 合理、容易操作 （Abu-Musa ，2009 ）。URSIT 不但是美国金融业统一的风险评级体系，同时也 已经成为国际通行的信息科技风险评价标准之一 （汪轶，2011 ）。国内的信息科技风险管理与 评估机制正在逐步与国际接轨。中国银行业监督管理委员会 （以下简称 “银监会”）于2009 年 制定了 《商业银行信息科技风险管理指引》（以下简称 “《指引》”），以加强商业银行对信息科 技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提 高信息技术使用水平，增强核心竞争力和可持续发展能力。根据 《指引》第二条的规定，政策 性银行等银行业金融机构也可参照 《指引》执行。但由于 《指引》是 “软性”的监管标准，银 行业金融机构在执行中有较大的自由度，因此实施效果具有很大的不确定性。鉴此，建立科学 的评价机制对政策性银行的信息科技风险管理进行评价，具有重要的现实意义。 目前，针对银行信息科技风险管理及评价方法已有不少研究。张同健 （2008 ）认为URSIT 框架对我国银行业技术风险评估模型的建立具有重要的指导意义，并提出因子分析可以对测度 模型的可靠性和有效性提供实证性检验。杨涛 （2010 ）分析了商业银行信息科技风险中的内部 风险和外部风险，并用均值方差模型和CAPM 模型度量风险，但只提出方法论并未给出实例