我國大型商業(yè)銀行、保險集團和金融控股集團都在走向綜合經(jīng)營。2020年9月，國務(wù)院頒布了《關(guān)于實施金融控股公司準入管理的決定》，可以預(yù)見我國金融集團會逐步增加。信息化管理優(yōu)化模式、風險管理機制是金融集團公司實現(xiàn)創(chuàng)新發(fā)展、轉(zhuǎn)型發(fā)展、共享發(fā)展和可持續(xù)發(fā)展的重要商業(yè)管理模式或機制，保險集團對此研究與實踐更為迫切。由于大型商業(yè)銀行、金融控股集團的經(jīng)營范圍、內(nèi)部業(yè)務(wù)板塊與其相類似，且金融行業(yè)的信息化風險都屬于操作風險，即使有的內(nèi)容以保險行業(yè)為例，也可為大型商業(yè)銀行、金融控股集團等所參考借鑒。

作者長期從事保險營銷、兩核運營、風險管理等工作，密切關(guān)注金融業(yè)，尤其是保險業(yè)內(nèi)最新動態(tài)和發(fā)展趨勢；加盟中國太平以來，一直從事金融科技和兩核運營的風險管理工作，為本課題的研究積累了一定經(jīng)驗。本書為國內(nèi)首本關(guān)于這方面的專著。

金融行業(yè)是國家經(jīng)濟運行的中樞 , 是信息數(shù)據(jù)密集的行業(yè),高度依賴信息技術(shù) , 其業(yè)態(tài)環(huán)境已被深度改變 ; 信息化已經(jīng)成為日常運營的操作平臺,管理決策的重要支持 , 轉(zhuǎn)型發(fā)展的創(chuàng)新載體,獲客能力的先發(fā)優(yōu)勢和風險管理的智能工具 。如因信息化風險 、信息安全問題導(dǎo)致營業(yè)中斷等事件 , 對客戶而言 , 勢必會影響其業(yè) 務(wù)交易的意愿與對金融機構(gòu)的選擇 ; 對金融機構(gòu)而言 , 會局部影響或系統(tǒng)性嚴重影 響其經(jīng)營管理與市場競爭能力 ; 對國計民生來說 , 會影響到數(shù)據(jù)安全 、個人隱私乃至社會安全穩(wěn)定 。所以金融行業(yè)要堅決守住信息安全底線是落實中央提出“ 三大攻堅仗” 的重要工作任務(wù)之一。

信息技術(shù)是金融科技的內(nèi)核,在推動金融業(yè)創(chuàng)新發(fā)展的同時,也在積聚和引發(fā)新的風險。目前,金融業(yè)信息安全基礎(chǔ)設(shè)施總體偏弱,信息系統(tǒng)連續(xù)性運行存在風險和隱患,全員信息安全意識不高,相關(guān)系統(tǒng)存在交叉感染風險,信息安全保障水平有待提升等。金融集團應(yīng)結(jié)合自身實際,切實推進信息安全“三同步”,提高信息安全的投入,培養(yǎng)各類合格的信息安全風險管理專業(yè)隊伍,夯實金融業(yè)可持續(xù)發(fā)展的基石。

一、確立了集團內(nèi)信息化服務(wù)共享的理論基礎(chǔ) 。認為集團內(nèi)可供共享的信息化服務(wù)之產(chǎn)品屬性是俱樂部產(chǎn)品 , 但偏向于私人產(chǎn)品 。信息化服務(wù)共享不是共享經(jīng)濟的一種形態(tài), 而是基于俱樂部產(chǎn)品理論, 落實共享發(fā)展理念的一種制度安排。

二、建立了信息化服務(wù)共享的基本邏輯 。集團內(nèi)信息化服務(wù)集中共享的基本邏輯是以共享前為提的分層集中,共享是前提,分層是基礎(chǔ) , 集中是實現(xiàn)共享的管理手段 。這一邏輯是集團信息化治理架構(gòu)和信息化管理模式的根本遵循 。進而研究了信息化服務(wù)共享集中的層級 、共享目錄、組織形態(tài)和協(xié)同機制等, 回答了信息化服務(wù)不是集中程度越高越經(jīng)濟的問題。

三、提出了信息化管理優(yōu)化模式。通過比較分析信息化治理架構(gòu)、信息化管理模式、共享集中變革案例及其啟示，基于信息化服務(wù)共享集中之邏輯和制度安排, 以及信息化管理模式的決定因素, 提出了金融集團信息化“ 橫與縱治理結(jié)構(gòu)”, 以及信息化管理優(yōu)化模式、組織形態(tài)及其職責邊界, 以理順其內(nèi)部信息化分工與合作, 形成一加一大于N的效果。

四、對信息化風險管理的基本概念做了系統(tǒng)研究。提出了信息化風險組成要素和新定義 , 全面研究了信息化風險分類、特征和形成機理, 系統(tǒng)歸納了信息化風險識別與評估方法, 信息化風險事件及其等級, 信息化風險事件損失數(shù)據(jù)庫建立的方法, 對信息化風險損失計量模型做了系統(tǒng)介紹。研究了信息化風險普遍絕對性與管控資源有限性之間的平衡。

五、提出了信息化風險管理政策。金融機構(gòu)總體風險管理政策對信息化風險管理提出了要求 , 但沒有考慮信息化風險定義的復(fù)雜性及其獨有的特征, 會阻礙數(shù)字化時代的創(chuàng)新發(fā)展, 具有不可操作性; 進而提出了符合金融科技發(fā)展定位的信息化風險管理政策、風險偏好選擇、容忍度和關(guān)鍵風險指標及其限額體系。

六、構(gòu)建了信息化風險管理框架。信息化風險管理需要管理機制和技術(shù)工具有機結(jié)合, 為此對其制衡機制、質(zhì)量管理、績效考核、外包風險、新技術(shù)應(yīng)用風險、信息系統(tǒng)連續(xù)性運行計劃、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和應(yīng)用安全等專題的制度、技術(shù)、工具、方法或指標體系等做了全面研究, 同時提出了信息化風險防控的五道防線理論,旨在建立可感知、可度量、可監(jiān)管的風險管理機制。

七、提出了信息化管理法規(guī)與監(jiān)管規(guī)定完善方向和具體建議。在對我國現(xiàn)行信 息化管理的法規(guī)條例、部門規(guī)章、監(jiān)管規(guī)定、標準規(guī)范等進行分析研究的基礎(chǔ)上 , 借鑒國外信息化立法和監(jiān)管經(jīng)驗 , 就信息安全風險管理的國家法規(guī)、行業(yè)規(guī)章、監(jiān)管規(guī)定和技術(shù)標準規(guī)范四個方面提出了完善建議 , 對C-ROSS制度框架第10號和11號關(guān)于信息化風險評估提出了改進意見。

我國大型商業(yè)銀行、保險集團和金融控股集團都在走向綜合經(jīng)營。2020年9月,國務(wù)院頒布了《關(guān)于實施金融控股公司準入管理的決定》, 可以預(yù)見我國金融集團會逐步增加。信息化管理優(yōu)化模式、風險管理機制是金融集團公司實現(xiàn)創(chuàng)新發(fā)展、轉(zhuǎn)型發(fā)展、共享發(fā)展和可持續(xù)發(fā)展的重要商業(yè)管理模式或機制 , 保險集團對此研究與實踐更為迫切。由于大型商業(yè)銀行、金融控股集團的經(jīng)營范圍、內(nèi)部業(yè)務(wù)板塊與其相類似，且金融行業(yè)的信息化風險都屬于操作風險，即使有的內(nèi)容以保險行業(yè)為例 , 也可為大型商業(yè)銀行、金融控股集團等所參考借鑒。