商业银行信息资产风险管理一种风险管理的新视角.doc

商业银行信息资产风险管理一种风险管理的新视角一、银行信息资产风险管理概念及其现状银行信息资产是指银行业金融机构运用信息技术处理业务活动的信息系统及其所产生的生产经营信息、研发和服务能力、管理水平以及其他与信息化相关的各种有形和无形资产银行信息资产风险是指信息资产在形成、运用、管理过程中产生的各类风险在银行业务与信息化高度融合的业务处理系统、信息；680987257L；管理系统和决策支持系统中存在大量信息资产风险它不仅涵盖了传统的操作风险、信誉风险而且还包含了在银行的经营管理过程中所表现出的许多与信息化相关联的其他类型风险商业银行的内控应该以风险管理为中心尤其是银行信息资产的风险管理目前虽然各银行都有自己的信息安全主管部门并作为信息安全的建设者和维护者对信息安全有着丰富的现场经验与专业经验但由于他们身兼运动员和裁判员双重身份所以很难向最高管理层保证信息安全的有效性因此建立科学的信息风险监督机制对加强银行风险管理确保银行信息系统的安全稳定、持续有效地运行显得尤为重要新巴塞尔协议对商业银行的风险管理提出了更高的要求即银行业不仅要在宏观管理层面上有统一的风险管理战略、风险管理政策、风险管理制度、风险管理文化也要在微观操作层面上全面考虑包括信用风险、市场风险、操作风险等在内的各种风险管理风险管理必须逐步应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面贯穿于业务经营管理的全过程对于操作风险的管理直接涉及到对银行信息系统的安全管理因此加强操作风险的管理就必须高度重视银行的信息资产风险管理根据新巴塞尔资本协议的精神世界上已有不少国家的监管当局已经开始探索银行信息资产风险监管的新方法我国也不例外在2004年2月出台的银行业监督管理法中明文规定“要对银行业金融机构运用电子计算机管理业务数据系统进行检查”这成为银行信息资产风险监督的最初起源信息风险监督是指对特定环境中的信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等进行监督进而对其安全性进行风险分析、评估找出潜在的致命缺陷和易被忽略的问题为信息系统的安全设计选择合理的安全产品和安全管理提供可靠的依据信息风险监督的内容包括信息系统的物理安全、系统安全、网络安全、技术安全保障和安全管理控制五个部分2005年初银监会提出了银行业信息资产风险监管暂行办法(送审稿)从最初的银行业金融机构运用电子计算机管理业务数据系统的监管检查办法(征求意见稿)到后来的银行业金融机构计算机信息风险监管暂行办法再到如今的银行业信息资产风险监管暂行办法(送审稿)可以看出银监会对商业银行信息资产风险管理的监管思路在不断走向成熟和趋向系统化这既是我国金融业适应金融全球化趋势和新巴塞尔资本协议强调金融风险管理的要求也是我国金融业迎接跨国银行的竞争提高核心竞争力的需要当前我国商业银行信息资产存在以下风险1.信息系统软硬件本身存在着很大的脆弱性一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素如火灾、水灾、地震、战争等不可抗拒的自然灾难另一方面表现在由于技术发展的局限和人类的能力限制面对庞大的操作系统、复杂的应用程序在设计之初人们不能认识所有的问题失误和考虑不周在所难免2.银行数据传输网络的脆弱性随着金融网上业务的拓展网上银行、移动银行、电子商务等已成为银行追逐的利润增长点银行业务系统要顺应开放和互连的趋势其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全在公网环境下防止黑客、病毒的破坏在Internet上保证金融数据的安全采集、安全存储、安全传输和安全处理将是金融信息系统建设面临的重要挑战3.安全技术保障的欠缺当前我国金融业信息安全建设在整体安全系统、内部网络安全监控与防范的、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面都有很多不足之处4.信息资产的结构和质量存在不足目前我国诸多商业银行大多是国有银行并且按地区按部门分割现象严重其信息资产的功能和结构也比较僵化业务流程不畅组织结构和风险管理缺乏弹性快速反应能力不足不能及时适应竞争环境的变迁和客户需求的变化二、实施商业银行信息资产风险管理的措施1.要有前瞻性的信息资产设计战略即首先要建立集中统一的面向业务目标的端到端的信息资产战略及解决方案其包含的主要内容有支持业务战略的明确的信息资产战略；以优化的技术方案实现业务功能；弹性的、灵活的信息资产基础设施；信息资产投资计划、信息资产规划和管理尤其是信息系统的设计要具有超前眼光能支撑起银行未来的业务发展因此总行领导和相关信息资产主管必须具备非凡的洞察力和专业胜任能力必须明确当前和未来客户的类型及需求特征此外总行应对财务管理信息系统实行统一核算模式打破原来财务系统按部门或地区分割的模式总行的信息管理要随时能够反映和监控全行所有部门、所有网点的运营状况2.建立适应客户需求变化的信息资产风险管理统一框架内容包括风险管理框架的统一设计；风险管理业务及信息技术流程的建立；信用风险管理、资产负债管理、反洗钱及智能预警等信息资产系统的建立和实施还包括全面支持核心业务能力和全行风险管理、全行单一的客户视图及多渠道整合解决方案；面向服务架构(SOAService-or-ientedArchitecture)的信息资产系统设计；提供强大的新产品创新支持等在完成信息资产系统基础设施的集中后商业银行的业务流程整合、业务信息整合、应用整合和业务控管应进一步向总行、省行集中实施优质资源的整合提高风险管理的整体经济效果和效率3、建立与现代银行治理结构相对接的信息资产日常风险管理规范随着银行业务跨地区跨国家的发展和银行客户业务的日趋复杂化银行承担的责任和风险也日益加大尤其是信息资产的风险日趋集中那么有效的内部控制系统和公司治理规范就成为化解银行风险的有效工具因此根据国内外关于银行公司治理的规范要求建立运行有效的内部控制制度提高信息透明度和受托责任问责机制加强常规性的风险管理是保证银行稳健经营的根本保证根据IMF发布的公告内部控制是一套按持续性基础控制组织活动的机制这些活动来自组织的中心、部门或分部有效内部控制的关键元素是牢固会计和信息系统的有效运行并拥有良好的适应性的控制文化商业银行信息资产风险管理应根据相关法规的要求建立有效的激励约束机制按照股东大会、董事会和监事会等机构的职能和性质构建多重防御体系并将风险监控和增强信息透明度相结合综合运用现场检查、非现场分析与评价、发布规章指引、强化市场约束等手段提高风险管理水平4.设立信息资产风险监控指标首先对银行业务过程按照控制规范的要求进行风险控制点的分解并设立相应监控指标作为风险预警信号由系统自动检查和评价并在状态异常下自动报警主要指标可分为三类分别是关键业绩指标KPIs(keyperlormanceindicators)过程主管指标POIs(processownerindicators)and风险分析指标RAIs(riskanalyticalindicators)这三类指标可持续适用于银行业务微观过程和交易方法并通过比较银行风险点监控目标与实际指标的差异来加强信息资产过程控制如可将银行信息资产监控过程划分为一体化监督控制、审计跟踪、风险分析和履约事项监控等过程每个监控过程通过包含信息自动更新的现场知识管理系统实施在线评价和过程审计以促进银行业务内部规则的沟通和过程变革的管理各风险控制点指标由过程监控人采集并负责进行风险等级划分和报告风险控制点主管按照事件发生的概率评价各风险程度和预计损失大小这种信息被及时传递到相关业务决策部门以帮助银行各级部门提前作好风险防范5.加强对信息资产的过程审计和风险验证银行可在信息系统当中对信息资产的各环节设立微处理器进行记录和控制银行内部审计师使用微处理器的步骤作为审计清单并评价过程负责人所作的风险自我分析评估执行的过程和风险自我分析的准确性这种方法有利于审计师及时跟踪重大风险和异常状况提高审计的成本效益比如银行的经营风险矩阵可按0到5五级风险矩阵排列这种风险评级要求有风险因子概率和潜在的损失数量并按照银行的风险分类调整这些数字对业务线的风险水平作出估计一旦按业务线的估计完成一张风险及其暴露表就生成按照巴塞尔协议计算的资本分配条款及其风险大小也自动显示出来这些风险分析及分解方法是重要的审计计划和审计资源分配工具银行可将业务处理的广泛文件记录都分解给不同的微处理器使用这些微处理器作为控制工具的一个前提是这些微处理器的发布都在公司的内部网上这些微处理器的图示可描绘风险结构中的不同风险并进行风险预警银行信息资产分类指标分别是指关键业绩显示指标、过程主管显示指标和风险分析显著指标其中关键业绩显示是指有助于战略监督和审计分析评价的宏观指标如净资产报酬率、毛利率和销售成本率；过程主管显示指标是指在功能绩效中支持过程主管的分析指标如一段时间单位客户的接待次数客户、产品交易的总量；风险分析显示指标是对每个具体的局部单元风险的量化如错误数、微处理器的有效记录数后台徼处理器在一段时间的差错数从目前来看越来越多的银行在信息资产中使用SAP系统和它的关系数据库来进行计量和方便系统监督和例外事项的报告根据SAP和其他公司系统所得的关键计量指标逐渐出现在为微观过程、交易和战略转移监督服务的指数形式中例外事项预警也根据精心拟定的协议提供决定它们是否被传递到下列实体如过程主管、高管人员、内部审计师或外部审计师参考文献1秦尚民掌控全成本构建商业银行盈利能力中国商业银行经营管理高层论坛http/2005年4月9日新浪科技2BellT.B.MarsF.O.SolomonI.andThomasH.AuditingOrganizationsThroughaStrategic-SystemsLenstheKPMGBusinessMeasurementProcessKPMGPeatMarwickLLPMontvaleNJ19973CICA/AICPA.1999.ContinuousAuditingReseamhReport.TheCanadianInstituteofCharteredAccountantsToronto,0ntario4SecretariatoftheBaselCommitteeonBankingSupervision,BankforInternationalSettlementsTheNewBasilCapitalAccord