信息化监管理论是网络行为学中的一种行为应用模式理论。这里谈到的许多研究成果都是在2004年的《银行行为监管》一书中首次提出的。
人类世界和网络世界的风险是不同的,监管也是有显着差别的。人类世界的风险监管主要是面对人类的行为及其行为结果进行的,其监管是对人类的行为和行为结果不确定性、危险性、灾害性、损失性、安全性和生存性进行关注的系统过程。这个监管过程虽然可以得到信息化的帮助,但是活动和监管过程的速度是相匹配的,活动在人类现实世界中,监管也在相同的世界范围内。网络世界的风险监管是面对网络世界中主体的行为和行为结果进行的,其监管是对网络世界中主体行为与行为结果不确定性、危险性、灾害性、损失性、安全性和生存性进行关注的系统过程。在网络世界中实施监管不能依靠人对管理信息系统监视,只能依赖监管多代理系统实现“服务在网络里”和“监管也在网络里”的基本要求。
人类世界和网络世界的风险与相应的监管是相关联的。不仅要注意到这两个世界风险监管的区别,同时还要注意把它们结合起来。现代金融业务与技术活动,是人类行为以及人类使用信息化的行为和网络世界中虚拟主体行为的组合体系。因此,金融信息资产风险监管也必须把人类世界金融业务活动的风险监管与网络世界的风险监管构成一体化的体系。这种一体化体系是通过人类活动的信息化管理系统和网络世界中虚拟主体活动的管理系统结合实现的。
1、要建立网络世界风险监管的多视角认识体系。
监管概念在实践中首先应用于风险监管。对于风险监管,有多种研究方法,例如对于金融风险监管,就有如下几种方法:
* 风险监管的金融学方法。风险监管的金融学方法主要用于为风险评分与定价,为管理、监管、信息化进行评估与定价,其核心理念是将风险价值化。从金融的观点来看,以资金、资产、价值的观念研究风险监管,要把管理、监管、风险、损失等一切概念都与“钱”或者价值联系起来,把风险价值化之后,在银行统一的价值计算体系内对风险进行评估和管理。
* 风险监管的系统工程方法学。风险监管的系统工程方法学主要是风险因素对策方法学,是从系统工程的角度,将风险监管纳入统一的因素分析体系中,来研究减少或规避风险的方法。从某种意义上说,它是在微观的概念范围内研究风险监管的。风险监管的系统工程方法包括系统风险概念、系统风险特性、价值分析、攻击威胁分析、脆弱性分析、健壮性模型与分析、信息安全模型与分析、可靠性与业务连续性分析、可管理性与可监控性分析、生存性分析等。
* 风险监管的管理学方法。风险监管的管理学方法以社会行为学或组织行为学为基础,全面系统地研究人类世界、物理世界中的活动主体对风险监管的意义。社会科学的组织行为学与信息化科学的软件行为学相互对应,相互支持,共同构建了风险监管的理论体系。从法律、制度、工作程序、责任、管理体制、人员、风险评分指标体系、定价体系以及管理信息化等方面,将风险监管责任化,将监管工作纳入统一的责任体系内实现评估与管理。
* 风险监管的信息化科学方法。风险监管的信息化科学方法是我们提出的网络世界的行为学方法。该方法提出,风险监管主要研究行为的可信性、完整性、保密性、有效性、连续性、抗危害性和抗抵赖性等,以及内容的与可信性(或真实性)、完整性和保密性等。银行业务的网络化、信息化和传统的风险监管模式之间存在严重的矛盾。我们必须全面改变银行“服务在网络内,而监管在网络外”的尴尬局面,银行风险监管信息化的根本发展途径是银行业务与技术的监管进网。研究软件行为概念、行为特性、行为状态、行为生存期、行为协同、伴侣行为、行为控制、行为监管、行为认证、行为对抗和行为平台等是风险监管信息化和信息化监管的基础理论。对于已经实现了业务信息化和网络化的金融领域,如果简单地将物理世界的风险监管模式克隆到网络世界中,本身就是金融行业最大的风险。
从金融学家的角度看风险监管与从系统工程的角度看风险监管和从管理学的角度看风险监管是很不相同的,必须把这些从不同角度考查风险监管的方法结合起来,建立一个比较科学的决策、协调体制,才能实现风险监管的综合治理。任何个人的知识结构与工作经历都是有局限性的,单一角色的决策体制是最危险的风险监管体制。例如,经济学家和金融学家决策工业类的、工程类的问题,往往会产生一些错误的结论。金融学家看风险,最后会把风险都用“钱”来衡量,把风险资产化后,有时会忽略风险的真正因素。同样,仅仅从系统工程的方法来研究风险,会抓住风险形成的因素,关注事务成败的本身,而很少去研究风险的价值。如果让系统工程师来决策经济与金融类市场问题,也会造成抓住微观而忽略宏观的另一类错误。管理学家研究风险,考虑的是如何建立一种体制、制度来管理和控制风险,他们应该了解风险管理概念和系统工程的风险因素的分析方法,来弥补管理学的不足。
银行家、经济学家、系统工程师、管理学家采用的风险监管方法是很不相同的。我们总说,实现风险监管需要综合治理,但这种综合治理不是有了主观愿望就可以实现的,必须把他们的风险监管方法结合起来,让每一个人了解不同风险监管方法只是综合风险监管的一个组成部分,还应该了解每一种方法在综合监管中的位置角色及其所能承担的任务。首先,应达成认识上的一致,在理论、方法、体系和原则的框架上建立统一的认识体系平台。在这个认识体系平台上,银行家、经济学家、管理学家、系统工程师再实践各自新的风险监管方法,去追求一个新的高度。银行风险监管涉及到金融学、管理学、经济学、系统工程、信息化科学,而不能仅仅用金融学方法来单纯地研究银行风险监管。
2、用信息资产风险监管来构建监管体系的核心理念
监管现代化体系必须建立一体化的认识平台,这个认识平台就是信息资产风险监管体系。落实监管业务进网,要以监管原始数据和原始行为为基础,实现风险的分类与全面的综合监管,建立信息资产风险评分与定价体系和评级标准。
信息资产=信息范畴资产+系统范畴资产+附加范畴资产。其中,信息范畴资产是指信息存在形式、信息内容和内容价值;系统范畴资产是指系统存在形式、系统行为和行为价值;附加范畴资产是指不同的关注者(计划者、拥有者、设计者、实施者和用户等)关注的信息与系统两个范畴的需求价值(附加价值),例如开发、运营、管理、维护等产生的关注性的资产。
信息资产风险是指在信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。其中,信用风险是指交易违约行为及其损失的统计风险;市场风险是指价格引起的交易损失的统计风险;操作风险是指内外人员、系统在运营和管理中的行为造成的直接或间接损失风险;业务风险是指业务所派生的风险。
信息资产风险监管是指面对风险进行的信息采集、测试、分析、评估、预案、设计、接受、管理、控制、优化、规避、化解、应急等方面的过程,称之为风险监管。
3、建立网络世界可信监管体系
金融监管信息化体系需要监管人类世界中人类的相关行为和网络虚拟世界中虚拟主体(代理)的相关行为与行为结果(内容)。
信息资产风险行为监管的主要任务包括风险监管信息化和信息化风险监管两个方面。风险行为监管包括行为条件基础监管、行为属性分类监管和行为标题综合监管。其中的行为标题综合监管是在行为条件基础监管和行为属性分类监管的基础上,实行更高层次的综合监管,这种综合监管通常用一个监管的服务标题加以命名。例如:
* 行为综合监管
* 信息汇总监管
* 政策传导(畅通性)监管
* 资金流量流向监管
* 企业风险行业、领域、国家范围的综合监管。
中国信息化科学家把金融监管划分如下几个级别,参见《银行行为监管》一书。
* 方法监管(员工与部门视角)所谓方法监管,是指采用金融学、经济学和管理学的方法,在业务范围内针对某些风险或危害对项目或企业承担风险的能力进行风险监管评价、评级和评分,从而采取相应的措施规避、化解、优化、计划、控制和管理这些风险。
* 结构方法监管(企业领导视角)结构方法监管是在认识到产生风险的深层次、结构性和全局性的原因之后,采取更加深刻与全面的管理措施。它更多地研究各种风险之间的相互关系,强调风险监管结构布局、层次布局,期望逐步堵塞监管的漏洞。
* 行为监管(股东和董事会视角)在结构方法监管的基础之上,全面解决价值范围内监管的有效性、可信性、连续性、真实性,实施对业务行为和技术行为的监管(包括内容监管),确保监管行为与监管数据的可信与真实,同时强调防止监管行为走过场,强化监管行为的有效性和连续性。
* 结构行为监管(领域和监管当局视角)在上一级别的基础上,实行单一企业或多企业在领域范围内的结构性行为监管,行为监管的漏洞得到全面弥补。
* 多结构行为监管(多国家监管当局视角)在国际范围内实行企业的结构行为监管,涉及到多个国家的监管当局的监管问题。在讨论监管级别时,我们把方法监管放在最低的级别上,这种级别安排是先易后难,最后还得通过行为监管、结构行为监管和多结构行为监管来实现真实、可信和有效的监管。
这样的划分是具有理论依据的。正如图-1所表示的那样,方法监管主要是从事业务的企业员工关注的事情,其方法是面向业务的,其监管对象主要是业务的对象。结构方法监管是企业领导层关注的概念,其性质是管理范围,其主要任务是综合与协调整个企业的各项业务,采用分类与综合方法进行监管。当然,这种结构性的关注点是建立在企业所有员工方法监管的关注点基础上的。
行为监管是企业拥有者或者股东关注的概念,监管的性质是价值范围,以求得企业风险的最小化。可以看出,此时监管对象已经发生了变化,即企业的员工和企业的领导层也纳入了监管范围。当然,企业员工与客户的行为,内容的真实性、可信性和有效性,与企业投资价值密切相关的属性是监管的主要对象。结构行为监管把这种价值概念的监管扩大到企业的全局和领域范围之内,以求得整个企业和领域的有序发展、价值的最大化以及风险的最小化。多结构行为监管把结构行为监管扩大到国家和国际范围内。
4、呼唤建立信息化科学体系(Cyber Science)
传统的计算机科学面对现代信息化的发展要求,感到力不从心,失去了前期的指导和基础作用,不能适应信息化的发展。信息产业与计算机科学在早期提出的计算理论、计算机工程、软件工程、信息系统的理论和实践,曾经为信息化发展发挥过巨大作用。对于信息化而言,传统计算机科学的经典理论中有许多已经成为计算机科学史了,学习计算机科学的目的主要是了解当时的计算机科学家是如何在计算机诞生时期解决计算问题的,了解他们是如何在计算机应用中解决问题的。例如体系结构理论,在早期有计算机的体系结构,后来发展到软件的体系结构,甚至网络或系统的体系结构,但是目前发展起来的是信息化体系结构,不仅仅涉及到系统体系结构和技术体系结构,同时还涉及到运营的体系结构(人类使用信息系统行为的体系结构)。也就是说,传统的计算机科学面对现代信息化的发展要求,感到力不从心,失去了前期的指导和基础作用,不能适应信息化的发展。
在大范围、大规模、超海量数据与对象以及高智能应用与管理的要求面前,在信息化越来越要求发挥综合效益的今天,虽然信息产业与计算机科学为信息化体系结构提供了标准化方法,但没有提供信息化的理论方法。大量的信息化问题没有基础理论研究支持,而具有的仅仅是“解决方案”的一个一个案例。
从上个世界90年代中信息化中遇到的问题发生了很大变化。系统集成、多网融合、互操作性、网络远程服务、互联网广泛应用、计算机病毒、网络黑客、信息安全、网络安全、基础设施安全、打击网络犯罪、打击网络恐怖主义、打击网络邪教、打击信息诈骗、网络游戏、可视化内容、信息化监管、身份认证、网络对抗战争、用户技术标准、技术法规、信息化评估、信息化测评认证、信息化体系结构、信息安全应急体系建设等纷纷问世。传统的计算机科学对待上述的信息化应用潮流,变得一时不知所措。这个时候出现的主流的技术:系统集成技术、互操作性技术、代理技术、引擎技术、数字标签技术、安全技术、监管技术、认证技术、体系结构技术、平台技术、和产生以代理和多代理技术为核心的新型的群体计算模型。所以我们称这个新信息化时代是:代理化时代。作者认为代理化是计算技术的第三次革命。
当代信息化的特点是:有大量的信息化问题与现象,有大量信息化问题的解决方案,而没有深入的、更高层的信息化理论研究,当然也没有信息化学科和信息化科学。因此,我们说当代的信息化处在初级和混乱的阶段,只有通过建立信息化科学,以信息化科学指导信息化的发展,才能进入高级阶段。当前信息化面临的主要问题是:信息化如何科学发展?如何发挥信息化综合效益?如何加强信息化总体学与体系结构的指导作用?如何强化信息化公众服务、互操作性、安全、监管与认证?如何强化信息化技术法规、标准、评估和测评?整个IT行业酝酿着重大的变革,随着信息化发展越来越脱离传统通信、计算机、软件和网络等学科研究范畴,信息化逐步产生了属于自己的独立学科:信息化科学。
信息化如何科学发展,如何加强信息化总体学与体系结构指导作用,如何强化信息化公众服务、互操作性、安全、监管与认证,如何强化信息化技术法规、标准、评估和测评。整个IT行业酝酿着重大的变革,信息化逐步产生属于自己的独立学科:信息化科学。
5、建立可信网络世界体系结构框架
中国信息安全产业为建立网络安全和可信秩序而启动的标准化体系结构框架,即可信网络世界体系结构框架(Trusted Cyber Architecture Framework,简称TCAF)。是TCAF针对中国信息化与安全建设需要的核心可信平台的体系结构、标准化方法以及相关的概念、模型、方法、定义、引用和分级进行了描述与说明。TCAF是中国首例信息化与安全体系结构标准化工作,是面向中国信息安全产业未来20年发展的计划,意义重大。
通过几年来的努力,TCAF提出并逐步完善了自己的体系结构理论体系。这些理论体系在许多方面,有其鲜明的创新亮点,其中包括如下的一些内容:
* 网络世界行为学理论。包括软件行为学、主体行为代数学和行为逻辑等。
* 信息化总体学。TCAF体系结构方法理论和形式化方法、。
* TCAF的计算理论,包括网络世界的有限与无限群体计算计算模型与高阶无穷计算机理论。
* TCAF新软件工程学。包括代理程序设计、多关注程序设计、面向类型程序设计和代理网格操作系统等核心内容。
* 信息化科学的应用突破,包括监管信息化和信息化监管、信息化大规模可信认证理论和网络对抗学等理论。
上述的理论研究,以网络世界行为学、信息化总体学、网络世界群体计算理论和新软件工程学构成的TCAF全部理论研究的核心。在建立上述理论基础中,培养一批熟悉体系结构标准化方法与理论的骨干队伍,并提高了信息化安全产业体系结构和总体研究水平。