谈我国商业银行电子商务安全风险管理策略的改进

依赖外部的信息安全管理行业 
　　在发达国家，信息系统审计(Is Audit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
　　(五)风险管理策略中商业银行的内部风险控制能力薄弱 
　　我国商业银行目前均建立起统一的风险管理部门；但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门；风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门；风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如，风险管理部门接受了电子交易部的风险控制报告，表面上履行的内控审核的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环节。 
　　　 
　　三、商业银行的电子商务安全风险管理策略的改进建议 
　　(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架 
　　利用系统理论作为总体的指导思想，将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。 
　　在商业银行电子商务安全风险控制的流程中，经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内，然后进行监控和审计；尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入，从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环，安全风险管理的有效性就上一个台阶，商业银行的安全管理水平变得到了提高。 
　　 
　　(二)电子商务安全风险管理中定量分析中的改进思路 
　　商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中，商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定，商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失，巴塞尔委员会制定资本要求的转换系数；在度量损失的分布时，主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来，利用现有的度量方法进行精确的风险定量分析的尝试。 
　　 
　　(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴 
　　将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统，二者相互联系、相互影响，不可分割。尝试借鉴信用风险与操作风险度量的方法与思想，短期内将其与信用风险控制衔接，最终形成一个全面的商业银行安全风险管理框架。 
　　(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务，采取定期评估审计、不断采取措施改善风险状态的策略；(2)在目前商业银行的组织与管理体制下，风险控制部门与传统金融业务部门的流程需不断改善，商业银行必须创造条件，加强风险管理部门与电子商务部门的交叉配合，包括各部门人员的配置、培训等各方面；使风险管理部门能够履行安全风险管理的监控与审计职能；(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究，不断提高风险管理部门综合控制风险的能力，充分考虑电子商务安全风险与信用风险、操作风险的交叉问题，为实现全面风险管理奠定基础。