商业银行信息系统风险管理研究——风险评估指标体系的构建与测量

摘要

2003年发布的巴塞尔新资本协议，突出了金融业操作风险的管理，操作风险被摆到了银行风险管理的重要位置。金融信息化的发展和深化带动全球金融业发生了一场史无前例的创新化、自由化、全球化的大变革，发达国家的金融机构更加全能化、规模化，发展中国家的金融机构也向市场化和多元化演进，这场金融业大变革背后的动力是信息技术突飞猛进的发展，以及信息技术在金融业的应用和推广。金融信息化的不断深入，使得商业银行对信息系统的依赖越来越高，信息系统一旦垮掉，整个银行生存都成问题。按照巴塞尔新资本协议，商业银行信息系统风险归属于操作风险范畴，因而研究如何提高商业银行信息系统的风险管理及风险监控是贯彻执行巴塞尔新资本协议框架下金融监管的重要组成部分。有研究表明信息技术平台已经成为银行业务发展的平台，业务部门要开展新业务，没有信息技术根本不行。而信息技术在为金融发展和创新提供广阔平台的同时也带来了风险，金融信息系统的风险管理成为商业银行操作风险管理的主要内容之一。
　　 当商业银行从IT科技获得越来越多动力的时候，相应的IT风险也正处于急剧膨胀的过程中。信息技术的发展和应用，使得信息系统已经发展成为商业银行的一项重要战略资产，高效的商业银行信息系统不仅可以维持银行交易的便利性和管理的有效性，而且还能提升其在日益激烈的国内外金融市场上的竞争能力。然而信息技术就像一把双刃剑，商业银行在依赖信息系统取得竞争优势的同时，也面临新的操作风险——即商业银行信息系统自身的风险。
　　 虽然目前大家已经认识到商业银行信息系统的重要性，但对信息系统风险管理与监控的研究还处于初期阶段，银行界对信息系统风险的研究和监管还处于两种不同的视角：一为从操作风险方面进行定性研究，探讨信息系统风险管理的重要性并提出可行的风险防范建议和措施，另一为从信息技术角度探讨如何加强技术引进从而提高风险防范技术手段。也有从内部控制角度进行信息系统风险研究，取得了一定的成果。
　　 本文以风险管理理论、信息论、信息系统生命周期理论为研究基础，进行商业银行信息系统风险研究，本着定性（理论、架构、现状、标准、指标体系）与定量（指标重要性模糊化、指标权重区间量化、群组决策信息量化集成）研究相结合的研究方法，从三个不同的角度完成了对商业银行信息系统风险指标体系的建立，并进行实证分析和评价。
　　 论文在研究分析前人相关问题研究的基础上，对国内外商业银行信息系统风险管理现状以及银行信息系统故障进行了梳理和归纳，进一步明确了商业银行信息系统风险对商业银行的危害性。在三大理论的指导下，分别建立了巴塞尔协议下的操作风险管理架构、基于风险管理的IT风险管理架构和基于信息系统生命周期的商业银行信息系统风险管理框架，各框架的建立参考信息安全国际标准、国内标准以及银监会管理规范，围绕商业银行业务经营的总体战略目标，立足于商业银行信息系统的基本的业务流程和应用过程，进而该研究的优势在于它完全满足巴塞尔新资本协议的基本要求，将信息系统安全管理纳入银行整体风险防范的范围，有助于从根本上提高商业银行的安全等级。
　　 本文围绕三个框架，参照国际信息系统安全标准和我国商业银行信息系统管理规范，构建了基于层级过程的商业银行信息系统层次结构模型。通过自上而下的过程分解，对信息系统风险因素进行了详尽的分析，从三个不同的视角，构建了商业银行信息系统的指标评价体系。商业银行信息系统层次结构为确立风险因素评价指标体系（权重）提供了前提条件。
　　 在各指标权重具体确定方法上，本文采取专家打分的方式进行指标重要性两两比较评判。论文对传统的层次分析方法进行改进，将层次分析法两两比较判断矩阵扩展为区间数，利用定性与定量相结合的模糊层次分析法来确定层次结构中各风险影响因素的权重系数。
　　 按照区间数矩阵定义及区间数一致性检验等基本概念的定量描述，自行编制程序对区间数判断矩阵进行数据处理。即利用区间数判断矩阵表示专家对各指标重要性的评判结果，自行编制Visual C++算法程序求解区间数特征向量，并利用算法进行一致性检验，进而得到每一专家对各个指标重要性的区间数排序，即各指标区间数权重。
　　 采用优化的逼进理想点的排序方法对群组专家区间数决策信息进行集成。首先对每一专家的指标权重评判结果进行一致性检验，确认群组专家决策具有不一致性。进而进行群组专家决策不一致的多属性区间数指标值集成，即解决群决策中群组专家赋权问题。采用优化的逼进理想点的排序方法，自行编制Visual C++算法程序求出各位专家权重排序，从而得到了集成后的带有不同权重的风险评价指标体系。为了便于进行分析比较研究，还编制计算机程序计算了专家等权重下指标权重的集成。本文构建了不同维度下的商业银行信息系统风险评价模型，为商业银行提供信息系统风险评价的多层级视图，为进一步制定监控措施提供客观的科学评价依据。
　　 最后，本文选取了一个大型国有商业银行进行了实证分析，阐述了主要研究成果、不足以及进一步的研究方向。

目录

文摘

英文文摘

第1章 绪论

1.1 研究背景

1.1.1 操作风险管理与商业银行信息系统风险

1.1.2 国外及香港商业银行信息系统风险现状

1.1.3 我国商业银行信息系统风险现状

1.2 研究内容

1.2.1 课题来源

1.2.2 研究方法与技术路线

1.2.3 研究思路与研究内容框架

1.3 研究目的和意义

本章小结

本章主要参考文献

第2章 金融及信息系统风险管理研究综述

2.1 金融风险管理研究综述

2.1.1 巴塞尔协议中的操作风险

2.1.2 COSO中的内部控制与风险管理

2.1.3 萨班尼斯——奥克斯利法案(SOA)

2.1.4 商业银行引入公司治理机制

2.2 信息系统风险管理研究综述

2.2.1 商业银行信息化发展概述

2.2.2 商业银行IT审计研究综述

2.2.3 商业银行IT技术风险管理研究

2.2.4 电子银行风险研究概况

2.3 信息系统风险管理定量化研究综述

本章小结

本章主要参考文献

第3章 商业银行信息系统风险管理框架构建

3.1 金融风险管理与风险分析理论

3.1.1 金融风险管理趋势及特征

3.1.2 美、德商业银行风险管理的主要经验分析

3.1.3 现代商业银行风险管理体系构建

3.1.4 新巴塞尔协议下的操作风险管理框架

3.2 基于风险管理的IT风险管理框架

3.3 基于信息系统生命周期理论的IT风险管理

3.3.1 信息系统风险管理理论基础

3.3.2 基于信息系统生命周期理论的IT风险管理框架

本章小结

本章主要参考文献

第4章 商业银行信息系统风险因素分析及指标体系建立

4.1 商业银行信息系统风险分类及表现形式

4.2 商业银行信息系统操作风险因素研究

4.2.1 商业银行业务信息系统运行模式分析

4.2.2 商业银行信息系统操作风险因素识别

4.2.3 商业银行信息系统操作风险评价指标选取

4.3 商业银行信息系统技术风险因素研究

4.3.1 商业银行信息系统技术风险因素识别

4.3.2 商业银行信息系统技术风险评价指标选取

4.4 商业银行信息系统生命周期风险因素研究

本章小结

本章主要参考文献

第5章 基于区间数的商业银行信息系统风险评价指标权重求解

5.1 指标权重系数确定方法探讨

5.1.1 层次分析法原理

5.1.2 层次分析法判断矩阵的改进——区间数判断矩阵

5.2 商业银行信息系统风险层次结构构建

5.2.1 基于风险管理框架的商业银行信息系统操作风险评价指标体系结构

5.2.2 基于管理的商业银行信息系统技术风险评价指标体系结构

5.2.3 商业银行信息系统生命周期风险评价指标层次结构

5.3 商业银行信息系统风险区间数特征向量求解

5.4 区间数判断矩阵一致性检验及指标权重求解

5.4.1 区间数判断矩阵一致性检验

5.4.2 指标权重区间数求解

本章小结

本章主要参考文献

第6章 群组区间数指标权重集成与应用

6.1 群组专家决策信息集成研究综述

6.2 群组专家区间数决策信息集成方法

6.2.1 多属性决策经典方法回顾

6.2.2 区间数多属性决策方法

6.3 群组专家决策信息集成

6.3.1 群组专家指标权重评判一致性分析

6.3.2 群决策中群组专家赋权问题研究与求解

6.3.3 多属性指标权重集成

6.4 实证——某商业银行信息系统风险评价实例

6.4.1 指标权重及评分方法

6.4.2 评价结果

6.4.3 评价结果讨论

本章小结

本章主要参考文献

第7章 总结与展望

致谢

附录A

附录B

个人简历 在读期间发表的学术论文与研究成果