商業(yè)銀行信息資產(chǎn)風(fēng)險(xiǎn)管理一種風(fēng)險(xiǎn)管理的新視角

1、商業(yè)銀行信息資產(chǎn)風(fēng)險(xiǎn)管理：一種風(fēng)險(xiǎn)管理的新視角一、銀行信息資產(chǎn)風(fēng)險(xiǎn)管理概念及其現(xiàn)狀 銀行信息資產(chǎn)，是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用信息技術(shù)處理業(yè)務(wù)活動(dòng)的信息系統(tǒng)及其所產(chǎn)生的生產(chǎn)經(jīng)營(yíng)信息、研發(fā)和服務(wù)能力、管理水平以及其他與信息化相關(guān)的各種有形和無形資產(chǎn)。銀行信息資產(chǎn)風(fēng)險(xiǎn)。是指信息資產(chǎn)在形成、運(yùn)用、管理過程中產(chǎn)生的各類風(fēng)險(xiǎn)。在銀行業(yè)務(wù)與信息化高度融合的業(yè)務(wù)處理系統(tǒng)、信息；680987257L；管理系統(tǒng)和決策支持系統(tǒng)中，存在大量信息資產(chǎn)風(fēng)險(xiǎn)。它不僅涵蓋了傳統(tǒng)的操作風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)，而且還包含了在銀行的經(jīng)營(yíng)管理過程中，所表現(xiàn)出的許多與信息化相關(guān)聯(lián)的其他類型風(fēng)險(xiǎn)。 商業(yè)銀行的內(nèi)控應(yīng)該以風(fēng)險(xiǎn)管理為中心，尤其是銀行信息

2、資產(chǎn)的風(fēng)險(xiǎn)管理。目前雖然各銀行都有自己的信息安全主管部門，并作為信息安全的建設(shè)者和維護(hù)者，對(duì)信息安全有著豐富的現(xiàn)場(chǎng)經(jīng)驗(yàn)與專業(yè)經(jīng)驗(yàn)，但由于他們身兼運(yùn)動(dòng)員和裁判員雙重身份，所以很難向最高管理層保證信息安全的有效性。因此，建立科學(xué)的信息風(fēng)險(xiǎn)監(jiān)督機(jī)制，對(duì)加強(qiáng)銀行風(fēng)險(xiǎn)管理，確保銀行信息系統(tǒng)的安全穩(wěn)定、持續(xù)有效地運(yùn)行，顯得尤為重要。 新巴塞爾協(xié)議對(duì)商業(yè)銀行的風(fēng)險(xiǎn)管理提出了更高的要求，即銀行業(yè)不僅要在宏觀管理層面上，有統(tǒng)一的風(fēng)險(xiǎn)管理戰(zhàn)略、風(fēng)險(xiǎn)管理政策、風(fēng)險(xiǎn)管理制度、風(fēng)險(xiǎn)管理文化，也要在微觀操作層面上，全面考慮包括信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)等在內(nèi)的各種風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理必須逐步應(yīng)用于信貸決策、資本配置、貸款

3、定價(jià)、經(jīng)營(yíng)績(jī)效考核等方面，貫穿于業(yè)務(wù)經(jīng)營(yíng)管理的全過程。對(duì)于操作風(fēng)險(xiǎn)的管理，直接涉及到對(duì)銀行信息系統(tǒng)的安全管理，因此，加強(qiáng)操作風(fēng)險(xiǎn)的管理，就必須高度重視銀行的信息資產(chǎn)風(fēng)險(xiǎn)管理。 根據(jù)新巴塞爾資本協(xié)議的精神，世界上已有不少國(guó)家的監(jiān)管當(dāng)局已經(jīng)開始探索銀行信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管的新方法，我國(guó)也不例外。 在2004年2月出臺(tái)的銀行業(yè)監(jiān)督管理法中明文規(guī)定：“要對(duì)銀行業(yè)金融機(jī)構(gòu)運(yùn)用電子計(jì)算機(jī)管理業(yè)務(wù)數(shù)據(jù)系統(tǒng)進(jìn)行檢查?！边@成為銀行信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)督的最初起源。信息風(fēng)險(xiǎn)監(jiān)督是指對(duì)特定環(huán)境中的信息系統(tǒng)及其處理的傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等進(jìn)行監(jiān)督，進(jìn)而對(duì)其安全性進(jìn)行風(fēng)險(xiǎn)分析、評(píng)估，找出潛在的致命缺陷和易被忽

4、略的問題，為信息系統(tǒng)的安全設(shè)計(jì)，選擇合理的安全產(chǎn)品和安全管理提供可靠的依據(jù)。信息風(fēng)險(xiǎn)監(jiān)督的內(nèi)容包括信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、技術(shù)安全保障和安全管理控制五個(gè)部分。 2005年初，銀監(jiān)會(huì)提出了銀行業(yè)信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管暫行辦法(送審稿)。從最初的銀行業(yè)金融機(jī)構(gòu)運(yùn)用電子計(jì)算機(jī)管理業(yè)務(wù)數(shù)據(jù)系統(tǒng)的監(jiān)管檢查辦法(征求意見稿)，到后來的銀行業(yè)金融機(jī)構(gòu)計(jì)算機(jī)信息風(fēng)險(xiǎn)監(jiān)管暫行辦法，再到如今的銀行業(yè)信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管暫行辦法(送審稿)，可以看出，銀監(jiān)會(huì)對(duì)商業(yè)銀行信息資產(chǎn)風(fēng)險(xiǎn)管理的監(jiān)管思路在不斷走向成熟和趨向系統(tǒng)化。這既是我國(guó)金融業(yè)適應(yīng)金融全球化趨勢(shì)和新巴塞爾資本協(xié)議強(qiáng)調(diào)金融風(fēng)險(xiǎn)管理的要求，也是我國(guó)金融業(yè)迎

5、接跨國(guó)銀行的競(jìng)爭(zhēng)，提高核心競(jìng)爭(zhēng)力的需要。 當(dāng)前，我國(guó)商業(yè)銀行信息資產(chǎn)存在以下風(fēng)險(xiǎn)： 1.信息系統(tǒng)軟硬件本身存在著很大的脆弱性。 一方面表現(xiàn)在設(shè)備的自然損耗、制造缺陷和不可預(yù)測(cè)的自然環(huán)境因素，如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭(zhēng)等不可抗拒的自然災(zāi)難。另一方面表現(xiàn)在由于技術(shù)發(fā)展的局限和人類的能力限制，面對(duì)龐大的操作系統(tǒng)、復(fù)雜的應(yīng)用程序，在設(shè)計(jì)之初人們不能認(rèn)識(shí)所有的問題，失誤和考慮不周在所難免。 2.銀行數(shù)據(jù)傳輸網(wǎng)絡(luò)的脆弱性。 隨著金融網(wǎng)上業(yè)務(wù)的拓展，網(wǎng)上銀行、移動(dòng)銀行、電子商務(wù)等，已成為銀行追逐的利潤(rùn)增長(zhǎng)點(diǎn)。銀行業(yè)務(wù)系統(tǒng)要順應(yīng)開放和互連的趨勢(shì)，其信息安全范疇已經(jīng)突破了以業(yè)務(wù)系統(tǒng)物理隔離和協(xié)議隔離為基礎(chǔ)的傳統(tǒng)銀

6、行信息安全，在公網(wǎng)環(huán)境下防止黑客、病毒的破壞，在Internet上保證金融數(shù)據(jù)的安全采集、安全存儲(chǔ)、安全傳輸和安全處理，將是金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)。 3.安全技術(shù)保障的欠缺。 當(dāng)前，我國(guó)金融業(yè)信息安全建設(shè)，在整體安全系統(tǒng)、內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范的、智能與主動(dòng)性安全防范體系、全面集中安全管理策略平臺(tái)定制等方面，都有很多不足之處。 4.信息資產(chǎn)的結(jié)構(gòu)和質(zhì)量存在不足。 目前，我國(guó)諸多商業(yè)銀行大多是國(guó)有銀行，并且按地區(qū)按部門分割現(xiàn)象嚴(yán)重，其信息資產(chǎn)的功能和結(jié)構(gòu)也比較僵化，業(yè)務(wù)流程不暢，組織結(jié)構(gòu)和風(fēng)險(xiǎn)管理缺乏彈性，快速反應(yīng)能力不足，不能及時(shí)適應(yīng)競(jìng)爭(zhēng)環(huán)境的變遷和客戶需求的變化。 二、實(shí)施商業(yè)銀行信

7、息資產(chǎn)風(fēng)險(xiǎn)管理的措施 1.要有前瞻性的信息資產(chǎn)設(shè)計(jì)戰(zhàn)略。 即首先要建立集中統(tǒng)一的面向業(yè)務(wù)目標(biāo)的端到端的信息資產(chǎn)戰(zhàn)略及解決方案。其包含的主要內(nèi)容有：支持業(yè)務(wù)戰(zhàn)略的明確的信息資產(chǎn)戰(zhàn)略；以優(yōu)化的技術(shù)方案實(shí)現(xiàn)業(yè)務(wù)功能；彈性的、靈活的信息資產(chǎn)基礎(chǔ)設(shè)施；信息資產(chǎn)投資計(jì)劃、信息資產(chǎn)規(guī)劃和管理。尤其是信息系統(tǒng)的設(shè)計(jì)要具有超前眼光，能支撐起銀行未來的業(yè)務(wù)發(fā)展。因此，總行領(lǐng)導(dǎo)和相關(guān)信息資產(chǎn)主管必須具備非凡的洞察力和專業(yè)勝任能力，必須明確當(dāng)前和未來客戶的類型及需求特征。 此外，總行應(yīng)對(duì)財(cái)務(wù)管理信息系統(tǒng)實(shí)行統(tǒng)一核算模式，打破原來財(cái)務(wù)系統(tǒng)按部門或地區(qū)分割的模式，總行的信息管理要隨時(shí)能夠反映和監(jiān)控全行所有部門、所有網(wǎng)點(diǎn)的

8、運(yùn)營(yíng)狀況。 2.建立適應(yīng)客戶需求變化的信息資產(chǎn)風(fēng)險(xiǎn)管理統(tǒng)一框架。 內(nèi)容包括風(fēng)險(xiǎn)管理框架的統(tǒng)一設(shè)計(jì)；風(fēng)險(xiǎn)管理業(yè)務(wù)及信息技術(shù)流程的建立；信用風(fēng)險(xiǎn)管理、資產(chǎn)負(fù)債管理、反洗錢及智能預(yù)警等信息資產(chǎn)系統(tǒng)的建立和實(shí)施。還包括全面支持核心業(yè)務(wù)能力和全行風(fēng)險(xiǎn)管理、全行單一的客戶視圖及多渠道整合解決方案；面向服務(wù)架構(gòu)(SOA，Service-or-ientedArchitecture)的信息資產(chǎn)系統(tǒng)設(shè)計(jì)；提供強(qiáng)大的新產(chǎn)品創(chuàng)新支持等。 在完成信息資產(chǎn)系統(tǒng)基礎(chǔ)設(shè)施的集中后，商業(yè)銀行的業(yè)務(wù)流程整合、業(yè)務(wù)信息整合、應(yīng)用整合和業(yè)務(wù)控管應(yīng)進(jìn)一步向總行、省行集中。實(shí)施優(yōu)質(zhì)資源的整合，提高風(fēng)險(xiǎn)管理的整體經(jīng)濟(jì)效果和效率。 3、建立

9、與現(xiàn)代銀行治理結(jié)構(gòu)相對(duì)接的信息資產(chǎn)日常風(fēng)險(xiǎn)管理規(guī)范。 隨著銀行業(yè)務(wù)跨地區(qū)跨國(guó)家的發(fā)展和銀行客戶業(yè)務(wù)的日趨復(fù)雜化。銀行承擔(dān)的責(zé)任和風(fēng)險(xiǎn)也日益加大，尤其是信息資產(chǎn)的風(fēng)險(xiǎn)日趨集中，那么有效的內(nèi)部控制系統(tǒng)和公司治理規(guī)范就成為化解銀行風(fēng)險(xiǎn)的有效工具。 因此，根據(jù)國(guó)內(nèi)外關(guān)于銀行公司治理的規(guī)范要求，建立運(yùn)行有效的內(nèi)部控制制度，提高信息透明度和受托責(zé)任問責(zé)機(jī)制。加強(qiáng)常規(guī)性的風(fēng)險(xiǎn)管理，是保證銀行穩(wěn)健經(jīng)營(yíng)的根本保證。根據(jù)IMF發(fā)布的公告，內(nèi)部控制是一套按持續(xù)性基礎(chǔ)控制組織活動(dòng)的機(jī)制，這些活動(dòng)來自組織的中心、部門或分部，有效內(nèi)部控制的關(guān)鍵元素是牢固會(huì)計(jì)和信息系統(tǒng)的有效運(yùn)行。并擁有良好的適應(yīng)性的控制文化。 商業(yè)銀行信

10、息資產(chǎn)風(fēng)險(xiǎn)管理應(yīng)根據(jù)相關(guān)法規(guī)的要求，建立有效的激勵(lì)約束機(jī)制，按照股東大會(huì)、董事會(huì)和監(jiān)事會(huì)等機(jī)構(gòu)的職能和性質(zhì)，構(gòu)建多重防御體系，并將風(fēng)險(xiǎn)監(jiān)控和增強(qiáng)信息透明度相結(jié)合，綜合運(yùn)用現(xiàn)場(chǎng)檢查、非現(xiàn)場(chǎng)分析與評(píng)價(jià)、發(fā)布規(guī)章指引、強(qiáng)化市場(chǎng)約束等手段，提高風(fēng)險(xiǎn)管理水平。 4.設(shè)立信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)控指標(biāo)。 首先對(duì)銀行業(yè)務(wù)過程按照控制規(guī)范的要求，進(jìn)行風(fēng)險(xiǎn)控制點(diǎn)的分解，并設(shè)立相應(yīng)監(jiān)控指標(biāo)作為風(fēng)險(xiǎn)預(yù)警信號(hào)，由系統(tǒng)自動(dòng)檢查和評(píng)價(jià)，并在狀態(tài)異常下自動(dòng)報(bào)警。主要指標(biāo)可分為三類。分別是關(guān)鍵業(yè)績(jī)指標(biāo)KPIs(key perlormance indicators)，過程主管指標(biāo)POIs(process owner indicators

11、)and風(fēng)險(xiǎn)分析指標(biāo)RAIs(risk analytical indicators)，這三類指標(biāo)可持續(xù)適用于銀行業(yè)務(wù)微觀過程和交易方法，并通過比較銀行風(fēng)險(xiǎn)點(diǎn)監(jiān)控目標(biāo)與實(shí)際指標(biāo)的差異，來加強(qiáng)信息資產(chǎn)過程控制。 如可將銀行信息資產(chǎn)監(jiān)控過程劃分為一體化監(jiān)督控制、審計(jì)跟蹤、風(fēng)險(xiǎn)分析和履約事項(xiàng)監(jiān)控等過程，每個(gè)監(jiān)控過程通過包含信息自動(dòng)更新的現(xiàn)場(chǎng)知識(shí)管理系統(tǒng)實(shí)施在線評(píng)價(jià)和過程審計(jì)，以促進(jìn)銀行業(yè)務(wù)內(nèi)部規(guī)則的溝通和過程變革的管理。 各風(fēng)險(xiǎn)控制點(diǎn)指標(biāo)由過程監(jiān)控人采集，并負(fù)責(zé)進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分和報(bào)告，風(fēng)險(xiǎn)控制點(diǎn)主管按照事件發(fā)生的概率評(píng)價(jià)各風(fēng)險(xiǎn)程度和預(yù)計(jì)損失大小，這種信息被及時(shí)傳遞到相關(guān)業(yè)務(wù)決策部門，以幫助銀行各級(jí)部門

12、提前作好風(fēng)險(xiǎn)防范。 5.加強(qiáng)對(duì)信息資產(chǎn)的過程審計(jì)和風(fēng)險(xiǎn)驗(yàn)證。 銀行可在信息系統(tǒng)當(dāng)中。對(duì)信息資產(chǎn)的各環(huán)節(jié)設(shè)立微處理器進(jìn)行記錄和控制。銀行內(nèi)部審計(jì)師使用微處理器的步驟作為審計(jì)清單。并評(píng)價(jià)過程負(fù)責(zé)人所作的風(fēng)險(xiǎn)自我分析，評(píng)估執(zhí)行的過程，和風(fēng)險(xiǎn)自我分析的準(zhǔn)確性。這種方法有利于審計(jì)師及時(shí)跟蹤重大風(fēng)險(xiǎn)和異常狀況。提高審計(jì)的成本效益比。 如銀行的經(jīng)營(yíng)風(fēng)險(xiǎn)矩陣可按0到5五級(jí)風(fēng)險(xiǎn)矩陣排列，這種風(fēng)險(xiǎn)評(píng)級(jí)要求有風(fēng)險(xiǎn)因子概率和潛在的損失數(shù)量。并按照銀行的風(fēng)險(xiǎn)分類調(diào)整這些數(shù)字，對(duì)業(yè)務(wù)線的風(fēng)險(xiǎn)水平作出估計(jì)。一旦按業(yè)務(wù)線的估計(jì)完成，一張風(fēng)險(xiǎn)及其暴露表就生成。按照巴塞爾協(xié)議計(jì)算的資本分配條款及其風(fēng)險(xiǎn)大小也自動(dòng)顯示出來，這些風(fēng)險(xiǎn)

13、分析及分解方法是重要的審計(jì)計(jì)劃和審計(jì)資源分配工具。 銀行可將業(yè)務(wù)處理的廣泛文件記錄都分解給不同的微處理器。使用這些微處理器作為控制工具的一個(gè)前提是這些微處理器的發(fā)布都在公司的內(nèi)部網(wǎng)上。這些微處理器的圖示可描繪風(fēng)險(xiǎn)結(jié)構(gòu)中的不同風(fēng)險(xiǎn)，并進(jìn)行風(fēng)險(xiǎn)預(yù)警。 銀行信息資產(chǎn)分類指標(biāo)分別是指關(guān)鍵業(yè)績(jī)顯示指標(biāo)、過程主管顯示指標(biāo)和風(fēng)險(xiǎn)分析顯著指標(biāo)。其中關(guān)鍵業(yè)績(jī)顯示是指有助于戰(zhàn)略監(jiān)督和審計(jì)分析評(píng)價(jià)的宏觀指標(biāo)。如凈資產(chǎn)報(bào)酬率、毛利率和銷售成本率；過程主管顯示指標(biāo)是指在功能績(jī)效中支持過程主管的分析指標(biāo)，如一段時(shí)間單位客戶的接待次數(shù)，客戶、產(chǎn)品交易的總量；風(fēng)險(xiǎn)分析顯示指標(biāo)是對(duì)每個(gè)具體的局部單元風(fēng)險(xiǎn)的量化，如錯(cuò)誤數(shù)、微處理

14、器的有效記錄數(shù)，后臺(tái)徼處理器在一段時(shí)間的差錯(cuò)數(shù)。從目前來看，越來越多的銀行在信息資產(chǎn)中使用SAP系統(tǒng)和它的關(guān)系數(shù)據(jù)庫(kù)來進(jìn)行計(jì)量和方便系統(tǒng)監(jiān)督和例外事項(xiàng)的報(bào)告。根據(jù)SAP和其他公司系統(tǒng)所得的關(guān)鍵計(jì)量指標(biāo)逐漸出現(xiàn)在為微觀過程、交易和戰(zhàn)略轉(zhuǎn)移監(jiān)督服務(wù)的指數(shù)形式中，例外事項(xiàng)預(yù)警也根據(jù)精心擬定的協(xié)議提供，決定它們是否被傳遞到下列實(shí)體，如過程主管、高管人員、內(nèi)部審計(jì)師或外部審計(jì)師。 參考文獻(xiàn)： 1秦尚民：掌控全成本，構(gòu)建商業(yè)銀行盈利能力，中國(guó)商業(yè)銀行經(jīng)營(yíng)管理高層論壇，http：/ 2005年4月9日，新浪科技 2Bell，T.B.，Mars，F(xiàn).O.，Solomon，I.，and Thomas，H.，Au

15、diting Organizations Through aStrategic-Systems Lens：the KPMG Business Measurement Process，KPMG，Peat Marwick LLP，Montvale，NJ 1997 3CICA/AICPA.1999.Continuous Auditing，Reseamh Report.The Canadian Institute of Chartered Accountants，Toronto,0ntario 4Secretariat of the Basel Committee on Banking Supervision,Bank for International Settlements，The New Basil Capital Accord，January 2001 5Greenstein，M.and