商业银行信息资产风险管理一种风险管理的新视角

1、商业银行信息资产风险管理一种风险管理的新视角一、银行信息资产风险管理概念及其现状银行信息资产是指银行业金融机构运用信息技术处 理业务活动的信息系统及其所产生的生产经营信息、研发和 服务能力、管理水平以及其他与信息化相关的各种有形和无 形资产银行信息资产风险是指信息资产在形成、运用、管理 过程中产生的各类风险在银行业务与信息化高度融合的业务 处理系统、信息 ； 680987257L； 管理系统和决策支持系 统中存在大量信息资产风险它不仅涵盖了传统的操作风险、 信誉风险而且还包含了在银行的经营管理过程中所表现出的 许多与信息化相关联的其他类型风险商业银行的内控应该以风险管理为中心尤其是银行信息资产

2、的风险管理目前虽然各银行都有自己的信息安全主 管部门并作为信息安全的建设者和维护者对信息安全有着丰 富的现场经验与专业经验但由于他们身兼运动员和裁判员双 重身份所以很难向最高管理层保证信息安全的有效性因此建 立科学的信息风险监督机制对加强银行风险管理确保银行信息系统的安全稳定、持续有效地运行显得尤为重要新巴塞尔协议对商业银行的风险管理提出了更高的要求即银行业不仅要在宏观管理层面上有统一的风险管理战 略、风险管理政策、风险管理制度、风险管理文化也要在微 观操作层面上全面考虑包括信用风险、市场风险、操作风险 等在内的各种风险管理风险管理必须逐步应用于信贷决策、 资本配置、贷款定价、经营绩效考核等方

3、面贯穿于业务经营 管理的全过程对于操作风险的管理直接涉及到对银行信息系 统的安全管理因此加强操作风险的管理就必须高度重视银行 的信息资产风险管理根据新巴塞尔资本协议的精神世界上已有不少国家 的监管当局已经开始探索银行信息资产风险监管的新方法我 国也不例外在 2004 年 2 月出台的银行业监督管理法中明文规定 “要对银行业金融机构运用电子计算机管理业务数据系统进 行检查 ”这成为银行信息资产风险监督的最初起源信息风险 监督是指对特定环境中的信息系统及其处理的传输和存储的 信息的保密性、完整性和可用性等进行监督进而对其安全性 进行风险分析、评估找出潜在的致命缺陷和易被忽略的问题为信息系统的安全设

4、计选择合理的安全产品和安全管理提供 可靠的依据信息风险监督的内容包括信息系统的物理安全、 系统安全、网络安全、技术安全保障和安全管理控制五个部 分2005 年初银监会提出了银行业信息资产风险监管 暂行办法 （送审稿 ） 从最初的银行业金融机构运用电子计 算机管理业务数据系统的监管检查办法（ 征求意见稿 ）到后来的银行业金融机构计算机信息风险监管暂行办法再到 如今的银行业信息资产风险监管暂行办法（ 送审稿 ） 可以看出银监会对商业银行信息资产风险管理的监管思路在不断 走向成熟和趋向系统化这既是我国金融业适应金融全球化趋 势和新巴塞尔资本协议强调金融风险管理的要求也是我国金 融业迎接跨国银行的竞争

5、提高核心竞争力的需要当前我国商业银行信息资产存在以下风险1. 信息系统软硬件本身存在着很大的脆弱性一方面表现在设备的自然损耗、制造缺陷和不可预 测的自然环境因素如火灾、水灾、地震、战争等不可抗拒的 自然灾难另一方面表现在由于技术发展的局限和人类的能力 限制面对庞大的操作系统、复杂的应用程序在设计之初人们 不能认识所有的问题失误和考虑不周在所难免2. 银行数据传输网络的脆弱性随着金融网上业务的拓展网上银行、移动银行、电 子商务等已成为银行追逐的利润增长点银行业务系统要顺应 开放和互连的趋势其信息安全范畴已经突破了以业务系统物 理隔离和协议隔离为基础的传统银行信息安全在公网环境下 防止黑客、 病毒

6、的破坏在 Internet 上保证金融数据的安全采 集、安全存储、安全传输和安全处理将是金融信息系统建设 面临的重要挑战3. 安全技术保障的欠缺当前我国金融业信息安全建设在整体安全系统、内部网络安全监控与防范的、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面都有很多不足之处4. 信息资产的结构和质量存在不足目前我国诸多商业银行大多是国有银行并且按地区 按部门分割现象严重其信息资产的功能和结构也比较僵化业 务流程不畅组织结构和风险管理缺乏弹性快速反应能力不足 不能及时适应竞争环境的变迁和客户需求的变化、实施商业银行信息资产风险管理的措施1. 要有前瞻性的信息资产设计战略即首先要建立

7、集中统一的面向业务目标的端到端的信息资产战略及解决方案其包含的主要内容有支持业务战略 的明确的信息资产战略；以优化的技术方案实现业务功能； 弹性的、灵活的信息资产基础设施；信息资产投资计划、信 息资产规划和管理尤其是信息系统的设计要具有超前眼光能 支撑起银行未来的业务发展因此总行领导和相关信息资产主 管必须具备非凡的洞察力和专业胜任能力必须明确当前和未 来客户的类型及需求特征此外总行应对财务管理信息系统实行统一核算模式 打破原来财务系统按部门或地区分割的模式总行的信息管理 要随时能够反映和监控全行所有部门、所有网点的运营状况2. 建立适应客户需求变化的信息资产风险管理统一框架内容包括风险管理框

8、架的统一设计；风险管理业务 及信息技术流程的建立；信用风险管理、资产负债管理、反 洗钱及智能预警等信息资产系统的建立和实施还包括全面支 持核心业务能力和全行风险管理、全行单一的客户视图及多 渠道整合解决方案；面向服务架构 (SOAService-or-ientedArchitecture)的 信 息 资 产 系 统 设计；提供强大的新产品创新支持等在完成信息资产系统基础设施的集中后商业银行的 业务流程整合、业务信息整合、应用整合和业务控管应进一 步向总行、省行集中实施优质资源的整合提高风险管理的整 体经济效果和效率3、建立与现代银行治理结构相对接的信息资产日常 风险管理规范随着银行业务跨地区跨

9、国家的发展和银行客户业务 的日趋复杂化银行承担的责任和风险也日益加大尤其是信息 资产的风险日趋集中那么有效的内部控制系统和公司治理规 范就成为化解银行风险的有效工具因此根据国内外关于银行公司治理的规范要求建立 运行有效的内部控制制度提高信息透明度和受托责任问责机 制加强常规性的风险管理是保证银行稳健经营的根本保证根 据 IMF 发布的公告内部控制是一套按持续性基础控制组织活 动的机制这些活动来自组织的中心、部门或分部有效内部控制的关键元素是牢固会计和信息系统的有效运行并拥有良好 的适应性的控制文化商业银行信息资产风险管理应根据相关法规的要求 建立有效的激励约束机制按照股东大会、董事会和监事会等

10、 机构的职能和性质构建多重防御体系并将风险监控和增强信 息透明度相结合综合运用现场检查、非现场分析与评价、发 布规章指引、强化市场约束等手段提高风险管理水平4. 设立信息资产风险监控指标首先对银行业务过程按照控制规范的要求进行风险 控制点的分解并设立相应监控指标作为风险预警信号由系统 自动检查和评价并在状态异常下自动报警主要指标可分为三 类分别是关键业绩指标 KPIs(keyperlormanceindicators) 过 程主管指标 POIs(processownerindicators)and 风险分析指 标 RAIs(riskanalyticalindicators) 这三类指标可持续适

11、用 于银行业务微观过程和交易方法并通过比较银行风险点监控 目标与实际指标的差异来加强信息资产过程控制如可将银行信息资产监控过程划分为一体化监督控 制、审计跟踪、风险分析和履约事项监控等过程每个监控过程通过包含信息自动更新的现场知识管理系统实施在线评价 和过程审计以促进银行业务内部规则的沟通和过程变革的管 理各风险控制点指标由过程监控人采集并负责进行风 险等级划分和报告风险控制点主管按照事件发生的概率评价 各风险程度和预计损失大小这种信息被及时传递到相关业务 决策部门以帮助银行各级部门提前作好风险防范5. 加强对信息资产的过程审计和风险验证银行可在信息系统当中对信息资产的各环节设立微处理器进行记

12、录和控制银行内部审计师使用微处理器的步骤作为审计清单并评价过程负责人所作的风险自我分析评估执行的过程和风险自我分析的准确性这种方法有利于审计师及 时跟踪重大风险和异常状况提高审计的成本效益比如银行的经营风险矩阵可按 0 到 5 五级风险矩阵排列这种风险评级要求有风险因子概率和潜在的损失数量并按照银行的风险分类调整这些数字对业务线的风险水平作出估计一旦按业务线的估计完成一张风险及其暴露表就生成按照 巴塞尔协议计算的资本分配条款及其风险大小也自动显示出 来这些风险分析及分解方法是重要的审计计划和审计资源分 配工具银行可将业务处理的广泛文件记录都分解给不同的 微处理器使用这些微处理器作为控制工具的一

13、个前提是这些 微处理器的发布都在公司的内部网上这些微处理器的图示可 描绘风险结构中的不同风险并进行风险预警银行信息资产分类指标分别是指关键业绩显示指 标、过程主管显示指标和风险分析显著指标其中关键业绩显 示是指有助于战略监督和审计分析评价的宏观指标如净资产 报酬率、毛利率和销售成本率；过程主管显示指标是指在功 能绩效中支持过程主管的分析指标如一段时间单位客户的接 待次数客户、产品交易的总量；风险分析显示指标是对每个 具体的局部单元风险的量化如错误数、微处理器的有效记录 数后台徼处理器在一段时间的差错数从目前来看越来越多的 银行在信息资产中使用 SAP 系统和它的关系数据库来进行计 量和方便系统

14、监督和例外事项的报告根据SAP 和其他公司系统所得的关键计量指标逐渐出现在为微观过程、交易和战略 转移监督服务的指数形式中例外事项预警也根据精心拟定的协议提供决定它们是否被传递到下列实体如过程主管、高管人员、内部审计师或外部审计师参考文献 1秦尚民掌控全成本构建商业银行盈利能力中国 商业银行经营管理高层论坛 http/2005 年 4 月 9 日新浪科技2BellT.B.MarsF.O.SolomonI.andThomasH.AuditingOrganiza tionsThroughaStrategic-SystemsLenstheKPMGBusinessMea surementProcessKPMGPeatMarwickLLPMontvaleNJ19973CICA/AICPA.1999.ContinuousAuditingReseamhReport.TheC anadianInstituteofCharteredAccountantsToronto,0ntari oSecretariatoftheBaselCommitteeonBankingSupervision,B ankforInternationalSettlementsTheNewBasilCapitalAcco rdJ