本文主要是围绕国外金融行业信息化风险管理与控制问题展开研究的。首先论述了金融行业信息化及其风险管控内涵,风险管控的重要意义、作用等;其次,分析国标上信息化风险控制标准及其作用,包括对比较典型的信息安全管理规范标准ISO27000、信息安全风险控制标准COBIT、信息科技技术规范标准ISO/IEC13335进行理论性的介绍与分析。全面分析国外(尤其是西方国家)金融业信息化风险管控的现状与特点。以英国为例,从英国金融行业自身发展的角度分析,如何防范与控制信息化风险,主要包括建立信息系统风险管理制度、落实组织机构进行保障、强化系统的刚性控制流程、保证数据或信息安全、建立应急预案与快速恢复机制。以美国为例,从银行监管的角度分析,如何防范与控制信息化风险,主要包括外包风险、开展信息科技风险评级、将信息科技风险作为银行风险的一部分进行监管、建立良好的公司治理基础上的信息科技治理、加强跨国合作与防范(外资银行、跨国经营)。在此基础上,分析了金融行业信息化风险的新特点,包括电子银行、网上银行、流程银行的发展,带来的数据集中、信息集中、管理集中而带来的风险集中问题。需要加强风险管理。在此基础上,结合我国银行业的特点和信息化风险管控方面的实际状况,对我国金融信息化风险控制现状、存在问题进行了详细的阐述,并提出金融企业应该从自身出发,加强信息科技内部安全管理和开展全面的信息科技风险管控工作,建立从信息科技风险评估、信息科技风险体系设计、信息科技风险控制持续实施、监控和持续演进的PDCA循环提升的管控机制。同时,建立一个有序、健康、可靠的外部环境,加快针对计算机进行金融犯罪的立法,健全金融业信息化和计算机方面的专项法律,规范和约束金融信息化应用环境,打击网上银行计算机犯罪行为,有效化解金融企业信息化风险。