银行管理论文-细化商业银行操作风险管理的新思路.doc_第1页
银行管理论文-细化商业银行操作风险管理的新思路.doc_第2页
银行管理论文-细化商业银行操作风险管理的新思路.doc_第3页
银行管理论文-细化商业银行操作风险管理的新思路.doc_第4页
银行管理论文-细化商业银行操作风险管理的新思路.doc_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

银行管理论文-细化商业银行操作风险管理的新思路摘要突发事件的攀升及美国次级债的恶化,使操作风险的内部管理和外部监管越来越受到重视。为了加强我国商业银行的操作风险管理,银监会于2007年6月在其网站公布商业银行操作风险管理指引,就如何管理、计量操作风险进行阐述,再次说明这是当前银行业风险管理面临的一项重要挑战。本文在分析巴塞尔新资本协议操作风险和实际工作的基础上,提出将信息资产作为商业银行一类特殊产品线,采用信息安全管理体系IS027001完善和细化操作风险管理,以此提升风险管理和内控能力。关键词巴塞尔新资本协议;操作风险管;IS027001;信息资产金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年发布的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。一、操作风险管理的困惑与问题到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理业务、资产管理和零售经纪八大类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对IT系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,ISO27001不仅适用于多数IT软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。因此,我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。二、ISO27001简介ISOIEC27001源自英国标准协会制定的BS7799,包括两部分内容:BS77991信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中,BS7799-1被ISO组织吸纳为ISOIEC17799,BS7799-2升版并转换为国际标准ISOIEC2700I,它是建立信息安全管理体系ISMS(Informationse-curityManagementsystems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据ISOIEC27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。1机密性信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。2完整性保护资产的准确和完整的特性。3可用性根据授权实体的要求可访问和利用的特性。企业的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理八大产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于IT流程缺陷、系统的业务需求流程控制缺陷、信息系统脆弱性、操作人员无意蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中,而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。IS017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,ISOIEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。三、基于风险的信息安全管理体系的构建信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。(一)策划并建立信息安全管理体系1确定安全方针和范围信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定ISMS方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。2资产的识别和评价资产管理是实施有效ISMS的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。资产识别A:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。3风险评估资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。(1)威胁识别T:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。(2)脆弱性识别V:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。(3)对已有安全控制措施进行确认。(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A,v,T)fIa,L(Va,T),其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性,L表示威胁利用脆弱性对资产造成安全事件的可能性。(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。(6)选择控制目标和措施选择并建立文件化的控制目标和措施,制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。(7)获得最高管理者的授权批准风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。(二)实施并运行信息安全管理体系阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。(三)监视并评审信息安全管理体系监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。(四)改进信息安全管理体系基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。四、信息资产类操作风险管理的实施建议ISO27001是文件化的体系,它把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的ISO27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。银行风险管理部门在具体实施上述信息资产管理体系过程中,首先,应取得管理层的高度重视和支持,明确各部门及员工的职责,采用自上而下的推进方法,组织和动员全行员工共同参与此项工作,尤其是在资产识别和风险评估阶段,更离不开组织内员工的大力帮助。通过有效的教育和培训,逐步建立和发展信息安全风险管理的文化,提高和强化员工的信息安全风险管理意识与能力。其次,80的操作风险都是由于有制度却未严格执行而造成的,即使再完善的管理和控制体系都将如同

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论