摘要：商业银行信息科技风险，包括来自银行自身的操作风险、技术风险、信息孤岛效应、系统闲置风险等内部风险和来自客户、供应商和服务商以及非特定侵害者的外部风险。这些风险固然难度量、易扩散、影响大，但从本质特征看首先是可防可控的管理风险，外在表现为信誉下降风险。银行信息科技风险可尝试用均值方差模型和CAPM度量。商业银行可通过全面风险管理及制度化管理措施强化科技风险防控。
关键词：信息科技风险；内部风险；外部风险；管理风险；全面风险管理
    商业银行是运用信息科技最密集的领域之一。信息科技的应用，一方面大大降低了银行的管理成本和交易费用[1],另一方面，银行对信息科技的依赖以及由此产生的风险日益加剧，银行似乎已经被信息科技所“绑架”。本文拟着重研究商业银行信息科技风险的表现形式、一般特征和本质特征，揭示我国商业银行在信息科技风险管理方面存在的主要问题，最后对商业银行强化信息科技风险防控提供几点政策建议。
    1.文献综述
    中国银行业监督管理委员会2006年颁布的《银行业金融机构信息系统风险管理指引》，提出信息系统风险的概念，并将其界定为“信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险”，该机构于2009年6月1日颁布并实施的《商业银行信息科技风险管理指引》（下称新《指引》），进一步提出信息科技风险概念，指出：“信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”。比较两个定义可以发现，信息系统风险概念更多想表达的风险是纯技术性风险，而信息科技风险概念显然是上升到管理层面。而较早期国外的研究也很具概括性，指出银行科技风险是指银行在使用与计算机和网络等信息技术相关的产品、服务、传递渠道及系统时，所产生或引发的银行经营的不确定性和对银行管理的不利因素[2]。
    叶贵添将商业银行信息科技风险的来源归纳为四个方面，即自然原因导致的风险、信息系统相关软硬件缺陷引起的风险、管理缺陷导致的风险和因违规操作引起的风险[3]。李东卫认为，商业银行科技信息风险首先表现为操作风险，但也会连带导致商业银行法律和声誉风险[4]。何茂春的研究则将商业银行信息科技风险概括为三类，即策略与经营风险、运行维护类风险和信誉和法律风险[5]。唐磊则按成因将商业银行信息科技风险归为五大类，即业务中断风险、数据安全风险、电子银行风险、系统漏洞风险和IT外包风险[6]。
    关于商业银行信息科技风险产生的原因，周雪松将其归结为IT风险管理水平低下、风险控制部门间的协调配合程度较差、信息科技建设与业务协调不一致、软硬件及核心技术受制于人等因素[7]。胡海华、崔维琪则认为是信息技术自身的缺陷、自然灾害和制度措施不到位造成商业银行信息科技风险[8]。张同健根据电子银行的构成和运行方式，将科技信息风险分为网络信息技术导致的纯技术风险和电子银行业务特征所导致的业务风险，前者指因网络技术方案选择失误等原因造成的银行信息泄密、系统运行故障等风险，后者则指网络银行系统的可靠性、稳定性、安全系统及其产品的设计缺陷，使系统客户或内部职工由于业务上的疏忽或有意欺诈、无意的误操作给银行系统带来的风险[9]。
    学者对银行信息科技风险的特点有不同认识。Robet De Young的研究认为，电子银行的各种业务风险与传统银行并无本质区别，但由于电子银行是基于网络信息技术，使电子银行在延续融合传统银行风险的同时，扩充了银行风险的内涵和表现形式[10]。张同健从电子银行视角分析了信息科技风险的特点，认为电子银行的技术支持系统的安全风险成为银行最重要的基础性风险，电子银行具有传统银行所没有或远不重要的特殊风险如技术选择风险，电子银行会使传统银行风险在发生程度和作用范围上产生放大效应[11]。唐磊将银行信息科技风险的特点概括为影响面的广泛性、暂时被忽略而具潜伏性、难以计量而呈非标准性[12]。任莉则将其归纳为技术含量高、隐蔽性强、扩散速度快、影响范围广和监管难度高[13]。
从已有文献对银行信息科技风险的概念界定、到产生风险的原因剖析以及对风险特征的归纳看，学者对银行信息科技风险的研究日益深化和细化，还有一些文献从评估标准量化、法律规范等视角对银行信息科技风险展开研究[14][15]。然大多研究将信息科技风险视为操作风险、技术风险，而未上升到管理风险、信用风险层面，对信息科技风险认识不到位。本文研究将揭示，信息科技风险从表象看是操作风险、技术风险，但其实质却是管理风险，外在表现为信誉风险，若不强化管理，甚至会因信息技术因素引发商业银行系统性风险或经营危机，甚至会危及国家安全。
    2.我国商业银行信息科技风险的表现形式
以计算机和网络为代表的信息技术在给商业银行带来效率、便捷和机会的同时，也带来诸多风险。风险，是收益的不确定性。信息科技风险则指计算机及其网络的应用产生的收益的不确定性。商业银行是现代信息科技应用最密集的行业之一，因而，也是信息科技风险最集中的领域。
    本文主张将商业银行的信息科技风险按照发源地划分成来自银行自身的内部风险和来自银行以外的外部风险。这种划分可涵盖银行信息科技风险的所有表现形式。
    2.1内部风险
    来自银行内部的信息科技风险主要包括：
    其一，操作系统和数据库风险。因银行操作系统或数据库管理系统漏洞原因，可能引起数据损坏或丢失、系统被攻击或应用系统无法正常运行等问题。
    其二，银行核心系统的风险。第二代核心系统包括信贷、柜台、账务、现金管理等模块，第三代核心业务系统则含盖了客户关系管理、风险管理、市场营销分析等模块，第四代核心系统正在建设中，更强调数据共享和SOA架构（Service-oriented architecture，即面向服务架构），更注重业务流程与信息流程的协调。2007年底，一客户在广州某银行ATM机上取现金1000元，而账户却只扣1元，客户却获现17.5万元，该客户后被判重刑。其实，在该案件中，银行过错在先，因银行软件测试根本未发现程序错误。
    其三，纯技术性风险。诸如路由器、入侵检测、防火墙的安全漏洞；应用软件服务系统可能遭到侵害的风险；网络技术方案选择失误；信息传输失真；网络信息被篡改、截取或损害；软件运行故障；系统故障恢复能力不足；信息系统设计不完善、加密技术落后，导致信息系统数据处理错误、内控措施失效或数据安全性受损的风险；因自然灾害（如水灾、火灾、雷电、地震）引起的信息系统功能丧失、下降风险。
    其四，操作风险。如银行内部员工或系统客户有意无意的误操作给银行信息科技系统带来的风险；由于信息系统故障或缺陷，导致银行业务中断、效率降低的风险。其中，业务中断风险最值得重视。因软硬件运行故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作或无意误操作，均可导致银行业务中断。2007年以来，我国先后有几家银行因信息系统故障造成IT服务大范围中断；2008年5月，日本三菱东京联合银行发生大面积ATM故障[16]；2010年5月31日的电脑主机故障，更使汇丰银行和恒生银行业务停顿20分钟至两小时[17]。
    其五，信息孤岛效应。商业银行内部大多缺乏统一的资源数据库，现有信息系统各自运行，无法实现数据共享，管理层获取不同信息需进入不同系统，形成信息孤岛，不光各商业银行总行与分支行信息不均衡，即便商业银行总行最高管理层也难以从一个系统及时获取全面信息。
    其六，科技信息系统闲置引起的低效率风险。在留有余地前提下，当一家银行业务量不足而信息科技系统规模过大，软硬件设施之间、各项设施内部配置结构不合理，以及因缺乏整体规划重复建设功能相近或相同的设施，均会造成资源闲置。
    另外，何茂春研究所指策略与经营风险、运行维护类风险，叶贵添研究所指信息系统相关软硬件缺陷引起的风险、管理缺陷导致的风险和因违规操作引起的风险，以及唐磊所概括的五大类风险，均属商业银行信息科技系统的内部风险。

(责任编辑：)