如同现实社会中不仅有安全防护体系和社会执法体系,还需要监管体系一样,在网络世界中,同样需要建立可信的网络监管体系来实现各行业、各领域网络化和信息化的业务、办公、服务等方
面的违规、违约、违法以及危害行为的监管。从本世纪初的安然公司事件、我国一些商业银行发生的犯罪事件、美国次袋危机和最近发生的法国兴业银行欺诈犯罪事件,不断向我们敲响警钟,建立我国的监管工作信息化体系已经到了更加紧迫程度。
监管工作信息化是我国监管现代化的重要工作,监管工作现代化涉及到财政、银行、证券、保险、税务、工商、海关、电信、电力、交通、物流、安全生产和政府公众服务国家的许多重要领域。监管现代化是我国电子政务的最重要和最急迫的工作之一。
中国信息安全产业通过多年的理论、方法、技术和产品的准备。我们愿意建议全国人大代表和政协委员,为建立我国的监管工作信息化(包括信息化监管)体系,我们已经做好的准备,应当考虑我国监管工作信息化体系的规划、立项等工作了。我国信息安全产业有信心和能力为我国各监管部门在几年内建立起我国第首批监管工作信息化体系。
通过几年的研究,影响我国监管信息化体系建设的主要问题有:
我们要建立一个什么目标的监管信息化体系。
信息资产风险监管是监管体系的核心理念。
必须首先解决监管信息化的组织缺位问题。
监管信息化体系的采用什么方法来建设。
监管信息化体系采用什么标准。
下面就上述问题做一个简单说明。
1、建立人类世界和网络世界一体化的风险监控/监管体系
人类世界和网络世界的风险与相应的监管是有显著差别的。人类世界的风险监管主要是面对人类在人类世界的行为及其行为结果进行的,其监管是对人类的行为和行为结果不确定性、危险性、灾害性、损失性、安全性和生存性进行关注的系统过程。在现实世界,银行风险监管的主要内涵是:“面对人类世界的风险,实现对主体行为与行为结果(内容)的完整性、可信性、有效性和一致性监管。”具体说来,监管是关注行为的“行为输入、行为过程和行为输出”的任何可能的非授权、无依据、非流程控制的一切业务怀疑点;关注内容的完整性与可信性的任何改变的可能性;同时关注内容监管获取信息与行为监管获取信息的一致性。在人类世界中监管风险,是一项以人为中心的活动。这种活动包括监管过程的大部分内容,尤其在涉及到人的决策概念的活动时,更是监管人员的独立活动。在人类世界中对风险产生危机应急处理,也是以人的活动为中心。对人员物理世界的活动的监管也需要电子化与信息化帮助与支持。例如,通过录相、录音、监听、过程记录和过程重演等方法对人在人类世界活动实施监控。建立业务过程信息化应用系统,也是为了在应用系统应用中得到监管的能力,得到人类在从事活动中的记录。尽可能地使各项业务操作信息化,建立相应的管理信息系统是实现监管的有效措施。总之,这个监管过程虽然可以得到信息化的帮助,但是过程的速度是人类活动的速度,活动在网络外面,监管中心也在网络外面。
网络世界风险监管是面对网络世界中主体在网络世界的行为和行为结果,其监管是对网络世界中主体行为与行为结果不确定性、危险性、灾害性、损失性、安全性和生存性实现关注的系统过程。在网络世界,银行风险监管的主要内涵是:“面对网络世界的风险,实现对信息与系统及其行为与行为结果(内容)的完整性、可信性、有效性和一致性监管。”具体说来,监管是关注行为的“行为输入、行为过程和行为输出”的任何可能的非授权、无依据、非流程控制的一切业务行为;关注内容的完整性和可信性的任何改变的可能性;同时关注内容监管获取信息与行为监管获取信息的一致性。在网络世界中监管风险,监管人员的活动是有预案性的、设计性的和控制性的。监管操作层面的活动主要通过其在网络世界中的代理主体群完成。
例如金融监管,世界上许多传统的事物都要在信息化面前接受检验:淘汰或发展。传统安全监管工作主要是事后检查和审计、这项工作主要通过查账进行,监管是靠人工完成的,效率低下。网络时代给金融业务带来了许多根本性变化,那种百年来“最优秀、最成熟”的传统监管与审计方法已经不能适应时代变化。在银行实现信息化、网络化,以“光电的速度”处理事务的年代,服务实现了网络化,可以说“服务在网络里” 。金融监管与审计不能只靠“人的眼睛”,监管是人工的,靠看打印结果实施监管,可以说“监管在网络外面” 。这种“服务在网络里”和“监管在网络外面”之间的巨大速度不匹配,造成了监管的虚假性。要改变“服务在网络里”和“监管在网络外面”之间的矛盾,必须认真实践信息化条件下的监管理论和方法。
人类世界和网络世界的风险与相应的监管是相关联的,不仅要注意到两个世界风险监管的区别,同时还要注意把它们结合起来。现代银行业务与技术活动是人类行为、人类使用信息化的行为和网络世界中虚拟主体行为的组合体系。因此,银行信息资产风险监管也必须把人类世界银行业务活动的风险监管与网络世界风险监管构成一体化的体系。这种一体化体系是通过人类活动的信息化管理、监管和认证系统和网络世界中虚拟主体活动监控、管理、监管和认证系统结合实现的。
2、信息资产风险监管是监管体系的核心理念
同样,以金融行业例。我国金融风险监管的任务与目标总体来说是规避、化解与减少风险,建立可信有序金融环境与秩序、打击金融犯罪和防范金融危机的发生。
要在人类世界和网络世界中,实现银行风险监管的综合方法的一体化的监管体系。为建立监管现代化的认识体系,必须需要引入一个核心的监管理念,即信息资产风险监管。在这个理念指导下,可以落实监管业务进网基本要求,它可以在监管原始数据和原始行为作基础上,实现风险的分类与全面的综合监管。建立信息资产风险评分与定价体系和评级标准。它既可以实现金融学监管方法(价值化),又可以实现管理学方法、系统工程方法和信息化科学方法,真正为银行风险综合监管提供充分的支持。
什么是信息资产
信息资产可以如下定义,即信息资产是由信息范畴资产、系统范畴资产和附加范畴资产做组成。其中信息范畴资产:信息存在形式、信息内容、内容价值。系统范畴资产:系统存在形式、系统行为、行为价值。附加范畴资产:不同的关注者(计划者、拥有着、设计者、实施者和用户等)对信息与系统两个范畴关注的需求价值(附加价值)。例如包括开发、运营、管理、维护和服务等产生的关注性的资产。
什么是信息资产风险:
信息资产风险可以如下定义,即在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。其中信用风险是指交易违约行为及其损失的统计风险;市场风险是指价格引起的交易的损失的统计风险;操作风险是指内外人员、系统在运营、管理中的行为造成的直接或间接损失风险;业务风险是指业务风险所派生的风险。信息资产风险概念的核心依然是风险价值化。
信息资产风险监管:
信息资产风险监管可以如下定义,即面对风险,实现对风险的信息采集、测试、分析、评估、预案、设计、接受、管理、控制、优化、规避、化解、应急等方面的过程称之为风险监管。
银行风险监管实际内涵主要是:面对人类世界和网络虚拟世界的风险,实现监管业务进入网络,要以监管原始数据和原始行为作基础,监管系统行为的输入/输出与过程的条件满足性和监管任何可能的非授权、无依据、非流程控制的一切业务与技术行为;监管一切行为的结果(内容)的完整性、可信性、有效性、连续性和一致性。在上述基础上,实现风险的分类(信用风险、市场风险、操作风险、业务风险等)监管与全面的综合监管(资金使用、资金流向流量、政策传导性、风险价值与状态等)。
3、必须首先解决监管工作信息化的组织缺位问题。
我们依然以银行为例。建立信息资产风险监管组织机构,主要是为了建立一支能够在信息化条件下的监管专业队伍。没有这样一支专业化的信息资产风险监管队伍,就没有人为银行企业、领域和监管当局专门研究信息化的科学发展战略。没有专门的信息资产监管专业机构,也无法实现银行信息资产风险监管综合方法和人类与网络两个世界一体化的监管体系运营和维系,也就没有人研究信息资产风险价值化体系、信息资产风险监管标准体系和信息资产风险监管法规体系。没有专门的信息资产监管专业机构,就不可能实现信息资产风险监管计划、管理和监控。没有专门的信息资产监管机构,就不可能实现随时掌控银行信息化系统的运行情况和各种风险情况(其中包括自下而上掌握信息、行为和资金流量流向的各种综合情况和自上而下地掌握金融政策传导情况)。
我们设想一下,具有全国人民数十万亿资产的我国银行信息化系统,没有专门的人了解其运行情况以及系统中发生的问题,对银行信息化系统中资金运行情况和风险情况不能清晰的掌握,我们的银行企业领导、领域领导和国家领导人能够塌实吗?数字化的金钱与财产,天天在网络上飞跑,依然采用“服务在网络里”和“监管在网络外”的经典的监管方法,而视信息化条件风险问题不顾,能够交代吗?我国银行信息化系统的风险资产如此之大,而没有基本的专业化信息资产风险监管队伍和组织,价值与风险之间能够平衡吗?我国银行界还需要多少时间(5年,10年?)才能改变银行信息化外行决策的现状和走向科学发展的道路?
不是危言耸听,我们一定积极准备应对我国金融信息化体系出现灾难性危机可能性,否则我国经济生活信息化一旦出现全面灾难,有谁能够负责?在准备灾难风险时,要把我国银行信息化系统风险同美国相比,考虑到中国特殊的国际环境与特有的国情,要把我国银行信息化体系看成是世界最大信息资产风险体系,同样是世界的众矢之的。我国银行信息化系统风险,不能像一个在高度公路上的行人,祈祷不要被汽车撞上,而无所作为。
鉴于上述分析,中国信息安全产业及其专家团队,曾多次建议和提出在监管部门要成立信息化风险的监管科技司或者监管司。对于这些问题,相关部门依然认识不够,虽然有的监管部门在原信息中心体制内,成立了IT监管处,显然这种工作力度与我国监管信息化和信息化监管体系的建立的要求差距还很远。
4、监管信息化体系的采用什么方法来建设
监管信息化是综合方法学科学体系。对于风险监管有多种研究方法,例如有如下几种方法。
风险监管的金融学方法学
风险监管金融学方法主要是为风险评分与定价和为管理、监管、信息化评估与定价。其核心理念是对风险价值化。从金融的观点,以资金、资产、价值的观念研究风险监管,要把管理、监管、风险、损失等一切概念都与“钱”或者价值联系起来,把风险价值化之后,在银行统一的价值计算体系内对风险进行评估、管理。在风险监管的金融方法学中典型成果是巴塞尔资本协议。BASEL II资本协议指明了风险监管的价值化准则。巴塞尔资本协议提出了三大支柱进行风险监管: 这三个支柱是:第一支柱:最低资本要求。第二支柱:监管部门监管检查鼓励银行采用更好的风险管理技术来检测他们的风险。第三支柱:市场纪律: 主要是对监管实施信息披露要求,加强市场的纪律作用。
风险监管的系统工程方法学
风险监管系统工程方法学主要是风险因素对策方法学,是从系统工程的角度,将风险监管纳入统一的因素分析体系中,研究减少或规避风险的方法。从某种意义上,是在微观的概念范围研究风险监管。风险监管系统工程方法包括系统风险概念、系统风险特性、价值分析、攻击威胁分析、脆弱性分析、健壮性模型与分析、信息安全模型与分析、可靠性与业务连续性分析、可管理与可监控性分析、生存性分析等。
风险监管的管理学方法
风险监管的管理学方法以“社会行为学”、“组织行为学”和“人类信息化行为学”研究为基础,全面系统地研究在人类世界、物理世界中活动主体对风险监管的意义。社会科学的组织行为学与信息化科学的软件行为学相互对应,互相支持,共同构建了风险监管的理论体系。从法律、制度、工作程序、责任、管理体制、人员、风险评分指标体系和定价体系以及管理信息化等方面,将风险监管责任化,将监管工作纳入统一的责任体系内实现评估与管理。
风险监管的信息化科学方法
风险监管的风险监管的信息化科学方法是我们提出的网络世界的行为学方法。该方法学提出风险监管主要研究行为的可信性、有效性、完整性和保密性,以及内容的完整性、保密性与可信性或真实性。银行业务的网络化、信息化和传统风险监管模式是一对严峻的矛盾。我们必须全面改变银行“服务在网络内,而监管在网络外”的尴尬局面,银行风险监管信息化的根本发展途径是银行业务与技术的监管要进网。研究网络世界行为概念、行为特性、行为状态与行为控制、行为监管、行为认证、行为对抗、行为平台、行为逻辑、行为结果等是风险监管信息化和信息化监管的基础理论。对信息化业务实施现实世界的监管模式。对于已经实现了业务信息化和网络化的金融领域,如果简单地将人类世界的风险监管模式克隆到网络世界的风险监管上,这件事情本身就是银行监管中大风险。
从金融家角度看风险监管、从系统工程的角度看风险监管和从管理学角度看风险监管是很不相同的。必须把这些不同角度考察风险监管的方法结合起来,建立一个比较科学的决策、协调机构体制,才能实现风险监管综合治理。任何个人的知识结构与工作经历都是有局限性的,单一角色的决策体制是风险监管的最危险的体制。我们了解的许多历史事件,例如经济学家和金融学家决策工业类的、工程类的问题往往会产生一些错误的结论。金融家看风险,最后把风险都用价值来衡量。风险资产化使风险经过资产化后,有时会把风险的真正因素忽略。同样,仅仅从系统工程的方法来研究风险,会抓住风险形成的因素,关注事务成败的本身,而很少去研究风险的价值。如果系统工程师来决策经济与金融类市场问题,也会造成抓住了微观而忽略了宏观的另一类错误。管理学家研究风险,考虑的是如何建立一种体制、制度来管理和控制风险。管理学也需要注意风险管理资产概念和系统工程的风险因素的分析方法,来充实管理学的不足。
5、监管信息化体系采用什么标准
同样,一银行为例。我们认为银行信息资产风险监管方法体系主要包括方法监管和行为监管两个方面:对于方法监管,主要是通过金融学方法和管理学方法,在现实世界中监管银行的各类风险。对于行为监管,主要是通过系统工程方法学和信息化科学方法,对网络世界中的行为与内容为进行风险监管。银行信息资产的行为监管主要划分为三个层次:
行为基础监管。行为基础监管主要是对行为的自然属性和行为条件进行检查和条件满足性检查。
行为特性分类监管。行为特性分类监管是在行为基础监管上,对行为的有效性、可信性、保密性、完整性和连续性、内容的真实性、可信性、保密性等特性进行分类监管等。
行为标题综合监管。行为标题综合监管是在条件基础监管和属性分类监管的基础上,实行更加高层次的综合监管,通常这种综合监管用一个监管的服务标题加以命名。例如:行为综合监管、信息汇总监管、风险监管(信用风险、市场风险和操作风险等监管)、政策传导(畅通性)监管、流量流向监管和风险监管等。
希望我国银行与监管当局的领导们能够理解在网络世界中开展信息资产风险监管的必要性、重要性和紧迫性。我们再一次强调网络中信息资产风险监管是不能通过人工方式监管的。我们推荐的风险监管级别划分为:
方法监管;方法监管(员工与部门视角):所谓方法监管,是指采用金融学、经济学和管理学的方法,在业务范围采取有针对性的措施,针对某些风险或危害进行风险监管的评价、评级、评分、划分项目或企业承担风险的能力,从而期望采取相应的措施规避、化解、优化、计划、控制、管理这些风险。
结构方法监管;结构方法监管(企业领导视角):结构方式监管是认识到风险的深层次的、结构性、全局性产生风险的原因之后,期望采取的更加深刻与全面的管理范围的方法。更多地研究各种风险的之间的相互关系,强调风险监管结构布局、层次布局,期望逐步堵塞监管的漏洞。
行为监管;行为监管(股东和董事会视角):在结构方法监管的基础之上,全面解决价值范围内监管的有效性、可信性、连续性、真实性,实施对业务行为和技术行为的监管(包括内容监管),确保监管行为与监管数据的可信与真实,同时强调防止监管行为走过场,强化监管行为的有效性和连续性。
结构行为监管;结构行为监管(领域和监管当局视角):在上一级别的基础上,实行单一企业或多企业在领域范围内的结构性行为监管,行为监管的漏洞得到全面弥补。
多结构行为监管。多结构行为监管(多国家监管当局视角):在国际范围内实行银行企业的结构行为监管,涉及到多个国家的监管当局的监管问题,称之为多结构行为监管的监管。
中国信息安全产业有准备与国家各监管部门的通力合作下,在几年时间内,一定能够做到明确建设目标,建设试点工程,制定和完善监管信息化技术标准和方法,走出具有中国特色的监管信息化和信息化监管的科学发展道路。