国际观察（第27期）｜《数字化转型——为什么一些重要的银行会掉队？（上篇）》

近年来，银行在向客户提供金融服务以及实现内部流程自动化方面依赖信息技术(IT)，导致银行的数字化程度在不断提高。数字化转型给银行业带来了两大风险。首先，转型太慢的银行可能无法与数字化程度更高的银行进行有效竞争，这意味着转型太慢的银行的业务模式从根本上是不可持续的。其次，如果银行严重依赖信息技术，那么一旦信息技术出现意外故障，或者有人恶意引起故障，也会给银行业带来风险。

欧洲中央银行在介绍2020年监管审查和评估程序（Supervisory Review and Evaluation Process）的结果时，指出欧洲银行机构IT支出似乎偏低，2020年前三季度约五分之一的银行IT支出占总营业收入的比重低于3%。此外，多元化贷款机构、全球性银行和投资银行的IT支出占总营业收入的比重是最低的。

为了弄清哪些银行在数字化转型中掉了队，本文基于银行计算机软件资产占总资产的比重展开了研究。在银行的资产负债表中，计算机软件资产被记作无形资产。计算机软件资产包括购买的软件和内部开发的软件，可以衡量银行数字技术采用和开发程度。我们的研究样本是2005年至2020年间的75家系统重要性银行。在全球金融危机期间，这些银行计算机软件资产占总资产的比重的平均值在0.08%左右。2018-2020年这一比重上升至0.2%左右。

通过实证分析我们发现，在控制了银行业务模式和银行专业化程度两个变量之后，规模较大的银行和资本状况较好的银行在计算机软件上的投资更多。这些发现可能反映出，规模较大的银行可以从计算机软件中获得更大的收益，资本状况较好的银行拥有更多的资源，可以对计算机软件进行更大规模的投资。尽管如此，监管机构需要明确指出，规模较小、资本状况较差的银行也必须加大对软件的投资，以保证业务的可持续发展。如果最终规模较小和资本状况较差的银行对计算机软件的投资仍然不足，那么他们可以考虑与规模更大和资本化状况更好的竞争对手合并，以推进数字化转型。

引言

近年来，银行在向客户提供金融服务以及实现内部流程自动化时依赖信息技术(IT)，导致银行的数字化程度在不断提高。数字化转型给银行业带来了两大风险。首先，转型太慢的银行可能无法与数字化程度更高的银行进行有效竞争，这意味着转型太慢的银行的业务模式从根本上是不可持续的。其次，如果银行严重依赖信息技术，那么一旦信息技术出现意外故障，或者有人恶意引起故障，也会给银行业带来风险。特别地，如果银行机构遭受了网络攻击，就无法维持正常运作。此外，如果网络攻击的影响波及到整个金融体系，可能会引发系统性金融危机（见欧洲系统性风险委员会（European Systemic Risk Board），2020）。

欧洲中央银行（ECB,2021a，图表16）在介绍2020年监管审查和评估程序（Supervisory Review and Evaluation Process）的结果时，指出欧洲银行机构IT支出似乎偏低，2020年前三季度约五分之一的银行IT支出占总营业收入的比重低于3%。此外，多元化贷款机构、全球性银行和投资银行的IT支出占总营业收入的比重是最低的。

为了弄清哪些银行在数字化转型中掉了队，本文基于银行计算机软件资产占总资产的比重展开了研究。在银行的资产负债表中，计算机软件资产被记作无形资产。计算机软件资产包括购买的软件和内部开发的软件，可以衡量银行数字技术采用和开发程度。我们的研究样本是2005年至2020年间的75家系统重要性银行。在全球金融危机期间，这些银行计算机软件资产占总资产的比重的平均值在0.08%左右。2018-2020年这一比重上升至0.2%左右。

通过实证分析我们发现，在控制了银行业务模式和银行专业化程度两个变量之后，规模较大的银行和资本状况较好的银行在计算机软件上的投资更多。这些发现可能反映出，规模较大的银行可以从计算机软件中获得更大的收益，资本状况较好的银行拥有更多的资源，可以对计算机软件进行更大规模的投资。尽管如此，监管机构需要明确指出，规模较小、资本状况较差的银行也必须加大对软件的投资，以保证业务的可持续发展。如果最终规模较小和资本状况较差的银行对计算机软件的投资仍然不足，那么他们可以考虑与规模更大和资本化状况更好的竞争对手合并，以推进数字化转型。

2017年，欧洲银行业管理局（European Banking Authority）发布了《监管审查和评估程序下信息与通信技术风险评估指南》，为评估银行机构信息与通信技术风险提供了框架。根据这一指南，欧洲中央银行与各国主管当局共同制定了一份IT风险调查问卷，要求银行每年填写一次。系统重要性银行填写完问卷后，欧洲中央银行会对其进行横向分析。去年，欧洲中央银行（2020a）公布了2019年第一季度的横向分析结果。该分析显示，对银行成功发起网络攻击的次数，与IT支出占总预算支出的比重呈负相关，与IT创新占IT支出的比重也呈负相关。因此，IT支出较低的银行，尤其是IT创新支出较低的银行，似乎更容易遭到网络攻击并受到影响。今年，欧洲中央银行（2021b，图1）将网络犯罪和IT破坏确认为重大风险，并指出银行IT存在缺陷是一个安全隐患，需要加强监管。

近期的几项研究分析了危机期间IT投资对银行表现的影响。Pierri和Timmer（2020）基于美国银行业的数据，发现若以每位员工拥有的个人电脑数量来衡量信息技术应用程度，那么在金融危机之前IT应用程度较高的商业银行，金融危机期间不良贷款明显较少。Dadoukis、Fiaschetti和Fusi（2021）认为，在新冠肺炎疫情的早期阶段，IT采用率较高，即技术和通信支出占总营业支出比重相对较高的美国银行，在市场回报和贷款方面表现更好。Kwan、Lin、Pursiainen和Tai（2021）利用相似的研究思路，证实了IT应用水平高的美国银行，在新冠疫情期间能够更好地为客户服务。这些银行积极采用技术，支持远程办公、虚拟办公或其它在线通信方式，成功增加了用户对网站的访问量，也办理了更多的借贷和存款业务。总之，这些研究都表明IT投资较多的银行能够更好地抵御重大经济冲击，也为银行增加IT投资提供了依据。

欧洲中央银行的出版物中提供了关于网络攻击的普遍性，以及系统重要性银行IT支出和网络攻击相关性的一些数据，第2节将对这些数据进行讨论。第3节分析了影响重要性银行投资计算机软件的决定性因素。第4节分析了网络风险是系统性风险的一个潜在来源，有必要通过宏观审慎监管来降低这种风险。第5节再次对全文进行了总结。

欧洲中央银行提供的有关 IT支出和网络攻击的数据

本节回顾了欧洲中央银行出版物中关于网络攻击的普遍性，以及成功的网络攻击与IT支出之间潜在联系的一些数据。

2017年欧洲中央银行采纳了一个网络事件报告框架，要求受其监管的所有银行在发现重大网络事件后，在保密的基础上立即报告这些事件。图1展示了2019年和2020年重要性银行报告的网络事件的类型和数量。总体来说，2020年网络事件的数量出现了增长。网络事件的类型主要包括拒绝服务攻击（针对金融机构发出大量服务请求，从而使用户界面不堪重负）、未经授权的访问以及网络钓鱼（向银行员工或客户发送电子邮件以索取机密访问信息）。

图1: 2019年和2020年网络事件（按类型划分）

转载自欧洲中央银行（2021c，图表3.8）。上图中的内部滥用（insider misuse）指的是银行内部员工在世界范围内滥用访问权的行为。

我们根据欧洲中央银行IT风险调查问卷的结果绘制了图2。图2展示了对银行成功发起网络攻击的次数与银行IT支出占总预算支出的比重之间存在的负相关关系，以及与银行IT创新占IT支出的比重之间存在的负相关关系。因此，增加IT支出，尤其是IT创新支出，似乎有助于防范网络攻击。

图2：对银行成功发起网络攻击的次数和IT支出占比之间的关系

（参考年份：2018年；不包括针对银行发起但失败了的网络攻击）

转载自欧洲中央银行（2020a，图12）

银行在IT方面的花费存在相当大的差异。根据欧洲中央银行2020年监管审查和评估流程的结果，我们绘制了图3。图3展示了重要性银行IT成本占总营业收入比重的分布信息。对于排名后五分之一的银行来说，IT成本占总营业收入的比重低于3%，而对于排名前十分之一的银行来说，IT成本占总营业收入的比重等于或高于15%。这一分布可能反映出,银行倾向于采用不同的业务模式，而不同的业务模式对IT的依赖程度不同。因此，银行IT成本存在较大差异，并不意味着一些银行IT支出太少。为了进一步厘清这个问题，我们需要分析影响银行数字化转型的决定性因素，其中一个决定性因素就是银行的商业模式。我们将在下一节中具体分析。

图3：IT成本占总营业收入比重的分布情况

参考2020年第3季度的监管数据，转载自欧洲中央银行（2021a，图表16）

Y轴表示重要性银行占总样本的百分比。该样本由105家重要性银行组成，2020年欧洲央行对这105家银行开展了监管审查和评估，评估结果对外公开。