一、银行信息资产风险管理概念及其现状
银行信息资产,是指银行业金融机构运用信息技术处理业务活动的信息系统及其所产生的生产经营信息、研发和服务能力、管理水平以及其他与信息化相关的各种有形和无形资产。银行信息资产风险。是指信息资产在形成、运用、管理过程中产生的各类风险。在银行业务与信息化高度融合的业务处理系统、信息‘;680987257L;’管理系统和决策支持系统中,存在大量信息资产风险。它不仅涵盖了传统的操作风险、信誉风险,而且还包含了在银行的经营管理过程中,所表现出的许多与信息化相关联的其他类型风险。
商业银行的内控应该以资产风险管理为中心,尤其是银行信息资产的风险管理。目前虽然各银行都有自己的信息安全主管部门,并作为信息安全的建设者和维护者,对信息安全有着丰富的现场经验与专业经验,但由于他们身兼运动员和裁判员双重身份,所以很难向最高管理层保证信息安全的有效性。因此,建立科学的信息风险监督机制,对加强银行风险管理,确保银行信息系统的安全稳定、持续有效地运行,显得尤为重要。
新巴塞尔协议对商业银行的资产风险管理提出了更高的要求,即银行业不仅要在宏观管理层面上,有统一的风险管理战略、风险管理政策、风险管理制度、风险管理文化,也要在微观操作层面上,全面考虑包括信用风险、市场风险、操作风险等在内的各种风险管理。风险管理必须逐步应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面,贯穿于业务经营管理的全过程。对于操作风险的管理,直接涉及到对银行信息系统的安全管理,因此,加强操作风险的管理,就必须高度重视银行的信息资产风险管理。
根据新巴塞尔资本协议的精神,世界上已有不少国家的监管当局已经开始探索银行信息资产风险监管的新方法,我国也不例外。
在2004年2月出台的银行业监督管理法中明文规定:“要对银行业金融机构运用电子计算机管理业务数据系统进行检查。”这成为银行信息资产风险监督的最初起源。信息风险监督是指对特定环境中的信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等进行监督,进而对其安全性进行风险分析、评估,找出潜在的致命缺陷和易被忽略的问题,为信息系统的安全设计,选择合理的安全产品和安全管理提供可靠的依据。信息风险监督的内容包括信息系统的物理安全、系统安全、网络安全、技术安全保障和安全管理控制五个部分。
2005年初,银监会提出了《银行业信息资产风险监管暂行办法(送审稿)》。从最初的《银行业金融机构运用电子计算机管理业务数据系统的监管检查办法(征求意见稿)》,到后来的《银行业金融机构计算机信息风险监管暂行办法》,再到如今的《银行业信息资产风险监管暂行办法(送审稿)》,可以看出,银监会对商业银行信息资产风险管理的监管思路在不断走向成熟和趋向系统化。这既是我国金融业适应金融全球化趋势和新巴塞尔资本协议强调金融风险管理的要求,也是我国金融业迎接跨国银行的竞争,提升核心竞争力的需要。
当前,我国商业银行信息资产风险管理存在以下风险:
1.信息系统软硬件本身存在着很大的脆弱性。
一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素,如火灾、水灾、地震、战争等不可抗拒的自然灾难。另一方面表现在由于技术发展的局限和人类的能力限制,面对庞大的操作系统、复杂的应用程序,在设计之初人们不能认识所有的问题,失误和考虑不周在所难免。
2.银行数据传输网络的脆弱性。
随着金融网上业务的拓展,网上银行、移动银行、电子商务等,已成为银行追逐的利润增长点。银行业务系统要顺应开放和互连的趋势,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全,在公网环境下防止黑客、病毒的破坏,在Internet上保证金融数据的安全采集、安全存储、安全传输和安全处理,将是金融信息系统建设面临的重要挑战。
3.安全技术保障的欠缺。
当前,我国金融业信息安全建设,在整体安全系统、内部网络安全监控与防范的、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面,都有很多不足之处。
4.信息资产的结构和质量存在不足。
目前,我国诸多商业银行大多是国有银行,并且按地区按部门分割现象严重,其信息资产的功能和结构也比较僵化,业务流程不畅,组织结构和风险管理缺乏弹性,快速反应能力不足,不能及时适应竞争环境的变迁和客户需求的变化。
二、实施商业银行信息资产风险管理的措施
1.要有前瞻性的信息资产风险管理设计战略。
即首先要建立集中统一的面向业务目标的端到端的信息资产战略及解决方案。其包含的主要内容有:支持业务战略的明确的信息资产战略;以优化的技术方案实现业务功能;弹性的、灵活的信息资产基础设施;信息资产投资计划、信息资产规划和管理。尤其是信息系统的设计要具有超前眼光,能支撑起银行未来的业务发展。因此,总行领导和相关信息资产主管必须具备非凡的洞察力和专业胜任能力,必须明确当前和未来客户的类型及需求特征。
此外,总行应对财务管理信息系统实行统一核算模式,打破原来财务系统按部门或地区分割的模式,总行的信息管理要随时能够反映和监控全行所有部门、所有网点的运营状况。
2.建立适应客户需求变化的信息资产风险管理统一框架。
内容包括风险管理框架的统一设计;风险管理业务及信息技术流程的建立;信用风险管理、资产负债管理、反洗钱及智能预警等信息资产系统的建立和实施。还包括全面支持核心业务能力和全行风险管理、全行单一的客户视图及多渠道整合解决方案;面向服务架构(SOA,Service-or-ientedArchitecture)的信息资产系统设计;提供强大的新产品创新支持等。
在完成信息资产系统基础设施的集中后,商业银行的业务流程整合、业务信息整合、应用整合和业务控管应进一步向总行、省行集中。实施优质资源的整合,提升风险管理的整体经济效果和效率。
3、建立与现代银行治理结构相对接的信息资产风险管理规范。
随着银行业务跨地区跨国家的发展和银行客户业务的日趋复杂化。银行承担的责任和风险也日益加大,尤其是信息资产的风险日趋集中,那么有效的内部控制系统和公司治理规范就成为化解银行风险的有效工具。
因此,根据国内外关于银行公司治理的规范要求,建立运行有效的内部控制制度,提升信息透明度和受托责任问责机制。加强常规性的风险管理,是保证银行稳健经营的根本保证。根据IMF发布的公告,内部控制是一套按持续性基础控制组织活动的机制,这些活动来自组织的中心、部门或分部,有效内部控制的关键元素是牢固会计和信息系统的有效运行。并拥有良好的适应性的控制文化。
商业银行信息资产风险管理应根据相关法规的要求,建立有效的激励约束机制,按照股东大会、董事会和监事会等机构的职能和性质,构建多重防御体系,并将风险监控和增强信息透明度相结合,综合运用现场检查、非现场分析与评价、发布规章指引、强化市场约束等手段,提升风险管理水平。
4.设立信息资产风险管理监控指标。
首先对银行业务过程按照控制规范的要求,进行风险控制点的分解,并设立相应监控指标作为风险预警信号,由系统自动检查和评价,并在状态异常下自动报警。主要指标可分为三类。分别是关键业绩指标KPIs(keyperlormanceindicators),过程主管指标POIs(processownerindicators)and风险分析指标RAIs(riskanalyticalindicators),这三类指标可持续适用于银行业务微观过程和交易方法,并通过比较银行风险点监控目标与实际指标的差异,来加强信息资产过程控制。
如可将银行信息资产风险管理监控过程划分为一体化监督控制、审计跟踪、风险分析和履约事项监控等过程,每个监控过程通过包含信息自动更新的现场知识管理系统实施在线评价和过程审计,以促进银行业务内部规则的沟通和过程变革的管理。
各风险控制点指标由过程监控人采集,并负责进行资产风险管理等级划分和报告,风险控制点主管按照事件发生的概率评价各风险程度和预计损失大小,这种信息被及时传递到相关业务决策部门,以帮助银行各级部门提前作好风险防范。
5.加强对信息资产风险管理的过程审计和风险验证。
银行可在信息系统当中。对信息资产风险管理的各环节设立微处理器进行记录和控制。银行内部审计师使用微处理器的步骤作为审计清单。并评价过程负责人所作的风险自我分析,评估执行的过程,和风险自我分析的准确性。这种方法有利于审计师及时跟踪重大风险和异常状况。提升审计的成本效益比。
如银行的经营风险矩阵可按0到5五级风险矩阵排列,这种风险评级要求有风险因子概率和潜在的损失数量。并按照银行的风险分类调整这些数字,对业务线的风险水平作出估计。一旦按业务线的估计完成,一张风险及其暴露表就生成。按照巴塞尔协议计算的资本分配条款及其风险大小也自动显示出来,这些风险分析及分解方法是重要的审计计划和审计资源分配工具。
银行可将业务处理的广泛文件记录都分解给不同的微处理器。使用这些微处理器作为控制工具的一个前提是这些微处理器的发布都在公司的内部网上。这些微处理器的图示可描绘风险结构中的不同风险,并进行风险预警。