2008/02/27 16:12  来源：计世网

　　3、必须首先解决监管工作信息化的组织缺位问题。

　　我们依然以银行为例。建立信息资产风险监管组织机构，主要是为了建立一支能够在信息化条件下的监管专业队伍。没有这样一支专业化的信息资产风险监管队伍，就没有人为银行企业、领域和监管当局专门研究信息化的科学发展战略。没有专门的信息资产监管专业机构，也无法实现银行信息资产风险监管综合方法和人类与网络两个世界一体化的监管体系运营和维系，也就没有人研究信息资产风险价值化体系、信息资产风险监管标准体系和信息资产风险监管法规体系。没有专门的信息资产监管专业机构，就不可能实现信息资产风险监管计划、管理和监控。没有专门的信息资产监管机构，就不可能实现随时掌控银行信息化系统的运行情况和各种风险情况(其中包括自下而上掌握信息、行为和资金流量流向的各种综合情况和自上而下地掌握金融政策传导情况)。

　　我们设想一下，具有全国人民数十万亿资产的我国银行信息化系统，没有专门的人了解其运行情况以及系统中发生的问题，对银行信息化系统中资金运行情况和风险情况不能清晰的掌握，我们的银行企业领导、领域领导和国家领导人能够塌实吗？数字化的金钱与财产，天天在网络上飞跑，依然采用“服务在网络里”和“监管在网络外”的经典的监管方法，而视信息化条件风险问题不顾，能够交代吗？我国银行信息化系统的风险资产如此之大，而没有基本的专业化信息资产风险监管队伍和组织，价值与风险之间能够平衡吗？我国银行界还需要多少时间(5年，10年？)才能改变银行信息化外行决策的现状和走向科学发展的道路？

　　不是危言耸听，我们一定积极准备应对我国金融信息化体系出现灾难性危机可能性，否则我国经济生活信息化一旦出现全面灾难，有谁能够负责？在准备灾难风险时，要把我国银行信息化系统风险同美国相比，考虑到中国特殊的国际环境与特有的国情，要把我国银行信息化体系看成是世界最大信息资产风险体系，同样是世界的众矢之的。我国银行信息化系统风险，不能像一个在高度公路上的行人，祈祷不要被汽车撞上，而无所作为。

　　鉴于上述分析，中国信息安全产业及其专家团队，曾多次建议和提出在监管部门要成立信息化风险的监管科技司或者监管司。对于这些问题，相关部门依然认识不够，虽然有的监管部门在原信息中心体制内，成立了IT监管处，显然这种工作力度与我国监管信息化和信息化监管体系的建立的要求差距还很远。

　　4、监管信息化体系的采用什么方法来建设

　　监管信息化是综合方法学科学体系。对于风险监管有多种研究方法，例如有如下几种方法。

　　? 风险监管的金融学方法学

　　风险监管金融学方法主要是为风险评分与定价和为管理、监管、信息化评估与定价。其核心理念是对风险价值化。从金融的观点，以资金、资产、价值的观念研究风险监管，要把管理、监管、风险、损失等一切概念都与“钱”或者价值联系起来，把风险价值化之后，在银行统一的价值计算体系内对风险进行评估、管理。在风险监管的金融方法学中典型成果是巴塞尔资本协议。BASEL II资本协议指明了风险监管的价值化准则。巴塞尔资本协议提出了三大支柱进行风险监管： 这三个支柱是：第一支柱：最低资本要求。第二支柱：监管部门监管检查鼓励银行采用更好的风险管理技术来检测他们的风险。第三支柱：市场纪律: 主要是对监管实施信息披露要求，加强市场的纪律作用。

　　? 风险监管的系统工程方法学

　　风险监管系统工程方法学主要是风险因素对策方法学，是从系统工程的角度，将风险监管纳入统一的因素分析体系中，研究减少或规避风险的方法。从某种意义上，是在微观的概念范围研究风险监管。风险监管系统工程方法包括系统风险概念、系统风险特性、价值分析、攻击威胁分析、脆弱性分析、健壮性模型与分析、信息安全模型与分析、可靠性与业务连续性分析、可管理与可监控性分析、生存性分析等。

　　? 风险监管的管理学方法

　　风险监管的管理学方法以“社会行为学”、“组织行为学”和“人类信息化行为学”研究为基础，全面系统地研究在人类世界、物理世界中活动主体对风险监管的意义。社会科学的组织行为学与信息化科学的软件行为学相互对应，互相支持，共同构建了风险监管的理论体系。从法律、制度、工作程序、责任、管理体制、人员、风险评分指标体系和定价体系以及管理信息化等方面，将风险监管责任化，将监管工作纳入统一的责任体系内实现评估与管理。

　　? 风险监管的信息化科学方法

　　风险监管的风险监管的信息化科学方法是我们提出的网络世界的行为学方法。该方法学提出风险监管主要研究行为的可信性、有效性、完整性和保密性，以及内容的完整性、保密性与可信性或真实性。银行业务的网络化、信息化和传统风险监管模式是一对严峻的矛盾。我们必须全面改变银行“服务在网络内，而监管在网络外”的尴尬局面，银行风险监管信息化的根本发展途径是银行业务与技术的监管要进网。研究网络世界行为概念、行为特性、行为状态与行为控制、行为监管、行为认证、行为对抗、行为平台、行为逻辑、行为结果等是风险监管信息化和信息化监管的基础理论。对信息化业务实施现实世界的监管模式。对于已经实现了业务信息化和网络化的金融领域，如果简单地将人类世界的风险监管模式克隆到网络世界的风险监管上，这件事情本身就是银行监管中大风险。

　　从金融家角度看风险监管、从系统工程的角度看风险监管和从管理学角度看风险监管是很不相同的。必须把这些不同角度考察风险监管的方法结合起来，建立一个比较科学的决策、协调机构体制，才能实现风险监管综合治理。任何个人的知识结构与工作经历都是有局限性的，单一角色的决策体制是风险监管的最危险的体制。我们了解的许多历史事件，例如经济学家和金融学家决策工业类的、工程类的问题往往会产生一些错误的结论。金融家看风险，最后把风险都用价值来衡量。风险资产化使风险经过资产化后，有时会把风险的真正因素忽略。同样，仅仅从系统工程的方法来研究风险，会抓住风险形成的因素，关注事务成败的本身，而很少去研究风险的价值。如果系统工程师来决策经济与金融类市场问题，也会造成抓住了微观而忽略了宏观的另一类错误。管理学家研究风险，考虑的是如何建立一种体制、制度来管理和控制风险。管理学也需要注意风险管理资产概念和系统工程的风险因素的分析方法，来充实管理学的不足。

　　5、监管信息化体系采用什么标准

　　同样，一银行为例。我们认为银行信息资产风险监管方法体系主要包括方法监管和行为监管两个方面：对于方法监管，主要是通过金融学方法和管理学方法，在现实世界中监管银行的各类风险。对于行为监管，主要是通过系统工程方法学和信息化科学方法，对网络世界中的行为与内容为进行风险监管。银行信息资产的行为监管主要划分为三个层次：

　　? 行为基础监管。行为基础监管主要是对行为的自然属性和行为条件进行检查和条件满足性检查。

　　? 行为特性分类监管。行为特性分类监管是在行为基础监管上，对行为的有效性、可信性、保密性、完整性和连续性、内容的真实性、可信性、保密性等特性进行分类监管等。

　　? 行为标题综合监管。行为标题综合监管是在条件基础监管和属性分类监管的基础上，实行更加高层次的综合监管，通常这种综合监管用一个监管的服务标题加以命名。例如：行为综合监管、信息汇总监管、风险监管(信用风险、市场风险和操作风险等监管)、政策传导(畅通性)监管、流量流向监管和风险监管等。

　　希望我国银行与监管当局的领导们能够理解在网络世界中开展信息资产风险监管的必要性、重要性和紧迫性。我们再一次强调网络中信息资产风险监管是不能通过人工方式监管的。我们推荐的风险监管级别划分为：

　　? 方法监管；方法监管(员工与部门视角)：所谓方法监管，是指采用金融学、经济学和管理学的方法，在业务范围采取有针对性的措施，针对某些风险或危害进行风险监管的评价、评级、评分、划分项目或企业承担风险的能力，从而期望采取相应的措施规避、化解、优化、计划、控制、管理这些风险。

　　? 结构方法监管；结构方法监管(企业领导视角)：结构方式监管是认识到风险的深层次的、结构性、全局性产生风险的原因之后，期望采取的更加深刻与全面的管理范围的方法。更多地研究各种风险的之间的相互关系，强调风险监管结构布局、层次布局，期望逐步堵塞监管的漏洞。

　　? 行为监管；行为监管(股东和董事会视角)：在结构方法监管的基础之上，全面解决价值范围内监管的有效性、可信性、连续性、真实性，实施对业务行为和技术行为的监管(包括内容监管)，确保监管行为与监管数据的可信与真实，同时强调防止监管行为走过场，强化监管行为的有效性和连续性。

　　? 结构行为监管；结构行为监管(领域和监管当局视角)：在上一级别的基础上，实行单一企业或多企业在领域范围内的结构性行为监管，行为监管的漏洞得到全面弥补。

　　? 多结构行为监管。多结构行为监管(多国家监管当局视角)：在国际范围内实行银行企业的结构行为监管，涉及到多个国家的监管当局的监管问题，称之为多结构行为监管的监管。

　　中国信息安全产业有准备与国家各监管部门的通力合作下，在几年时间内，一定能够做到明确建设目标，建设试点工程，制定和完善监管信息化技术标准和方法，走出具有中国特色的监管信息化和信息化监管的科学发展道路。