1、商業(yè)銀行信息資產(chǎn)風(fēng)險管理：一種風(fēng)險管理的新視角一、銀行信息資產(chǎn)風(fēng)險管理概念及其現(xiàn)狀 銀行信息資產(chǎn)，是指銀行業(yè)金融機構(gòu)運用信息技術(shù)處理業(yè)務(wù)活動的信息系統(tǒng)及其所產(chǎn)生的生產(chǎn)經(jīng)營信息、研發(fā)和服務(wù)能力、管理水平以及其他與信息化相關(guān)的各種有形和無形資產(chǎn)。銀行信息資產(chǎn)風(fēng)險。是指信息資產(chǎn)在形成、運用、管理過程中產(chǎn)生的各類風(fēng)險。在銀行業(yè)務(wù)與信息化高度融合的業(yè)務(wù)處理系統(tǒng)、信息；680987257L；管理系統(tǒng)和決策支持系統(tǒng)中，存在大量信息資產(chǎn)風(fēng)險。它不僅涵蓋了傳統(tǒng)的操作風(fēng)險、信譽風(fēng)險，而且還包含了在銀行的經(jīng)營管理過程中，所表現(xiàn)出的許多與信息化相關(guān)聯(lián)的其他類型風(fēng)險。 商業(yè)銀行的內(nèi)控應(yīng)該以風(fēng)險管理為中心，尤其是銀行信息

2、資產(chǎn)的風(fēng)險管理。目前雖然各銀行都有自己的信息安全主管部門，并作為信息安全的建設(shè)者和維護者，對信息安全有著豐富的現(xiàn)場經(jīng)驗與專業(yè)經(jīng)驗，但由于他們身兼運動員和裁判員雙重身份，所以很難向最高管理層保證信息安全的有效性。因此，建立科學(xué)的信息風(fēng)險監(jiān)督機制，對加強銀行風(fēng)險管理，確保銀行信息系統(tǒng)的安全穩(wěn)定、持續(xù)有效地運行，顯得尤為重要。 新巴塞爾協(xié)議對商業(yè)銀行的風(fēng)險管理提出了更高的要求，即銀行業(yè)不僅要在宏觀管理層面上，有統(tǒng)一的風(fēng)險管理戰(zhàn)略、風(fēng)險管理政策、風(fēng)險管理制度、風(fēng)險管理文化，也要在微觀操作層面上，全面考慮包括信用風(fēng)險、市場風(fēng)險、操作風(fēng)險等在內(nèi)的各種風(fēng)險管理。風(fēng)險管理必須逐步應(yīng)用于信貸決策、資本配置、貸款

3、定價、經(jīng)營績效考核等方面，貫穿于業(yè)務(wù)經(jīng)營管理的全過程。對于操作風(fēng)險的管理，直接涉及到對銀行信息系統(tǒng)的安全管理，因此，加強操作風(fēng)險的管理，就必須高度重視銀行的信息資產(chǎn)風(fēng)險管理。 根據(jù)新巴塞爾資本協(xié)議的精神，世界上已有不少國家的監(jiān)管當(dāng)局已經(jīng)開始探索銀行信息資產(chǎn)風(fēng)險監(jiān)管的新方法，我國也不例外。 在2004年2月出臺的銀行業(yè)監(jiān)督管理法中明文規(guī)定：“要對銀行業(yè)金融機構(gòu)運用電子計算機管理業(yè)務(wù)數(shù)據(jù)系統(tǒng)進行檢查?！边@成為銀行信息資產(chǎn)風(fēng)險監(jiān)督的最初起源。信息風(fēng)險監(jiān)督是指對特定環(huán)境中的信息系統(tǒng)及其處理的傳輸和存儲的信息的保密性、完整性和可用性等進行監(jiān)督，進而對其安全性進行風(fēng)險分析、評估，找出潛在的致命缺陷和易被忽

4、略的問題，為信息系統(tǒng)的安全設(shè)計，選擇合理的安全產(chǎn)品和安全管理提供可靠的依據(jù)。信息風(fēng)險監(jiān)督的內(nèi)容包括信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、技術(shù)安全保障和安全管理控制五個部分。 2005年初，銀監(jiān)會提出了銀行業(yè)信息資產(chǎn)風(fēng)險監(jiān)管暫行辦法(送審稿)。從最初的銀行業(yè)金融機構(gòu)運用電子計算機管理業(yè)務(wù)數(shù)據(jù)系統(tǒng)的監(jiān)管檢查辦法(征求意見稿)，到后來的銀行業(yè)金融機構(gòu)計算機信息風(fēng)險監(jiān)管暫行辦法，再到如今的銀行業(yè)信息資產(chǎn)風(fēng)險監(jiān)管暫行辦法(送審稿)，可以看出，銀監(jiān)會對商業(yè)銀行信息資產(chǎn)風(fēng)險管理的監(jiān)管思路在不斷走向成熟和趨向系統(tǒng)化。這既是我國金融業(yè)適應(yīng)金融全球化趨勢和新巴塞爾資本協(xié)議強調(diào)金融風(fēng)險管理的要求，也是我國金融業(yè)迎

5、接跨國銀行的競爭，提高核心競爭力的需要。 當(dāng)前，我國商業(yè)銀行信息資產(chǎn)存在以下風(fēng)險： 1.信息系統(tǒng)軟硬件本身存在著很大的脆弱性。 一方面表現(xiàn)在設(shè)備的自然損耗、制造缺陷和不可預(yù)測的自然環(huán)境因素，如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭等不可抗拒的自然災(zāi)難。另一方面表現(xiàn)在由于技術(shù)發(fā)展的局限和人類的能力限制，面對龐大的操作系統(tǒng)、復(fù)雜的應(yīng)用程序，在設(shè)計之初人們不能認(rèn)識所有的問題，失誤和考慮不周在所難免。 2.銀行數(shù)據(jù)傳輸網(wǎng)絡(luò)的脆弱性。 隨著金融網(wǎng)上業(yè)務(wù)的拓展，網(wǎng)上銀行、移動銀行、電子商務(wù)等，已成為銀行追逐的利潤增長點。銀行業(yè)務(wù)系統(tǒng)要順應(yīng)開放和互連的趨勢，其信息安全范疇已經(jīng)突破了以業(yè)務(wù)系統(tǒng)物理隔離和協(xié)議隔離為基礎(chǔ)的傳統(tǒng)銀

6、行信息安全，在公網(wǎng)環(huán)境下防止黑客、病毒的破壞，在Internet上保證金融數(shù)據(jù)的安全采集、安全存儲、安全傳輸和安全處理，將是金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)。 3.安全技術(shù)保障的欠缺。 當(dāng)前，我國金融業(yè)信息安全建設(shè)，在整體安全系統(tǒng)、內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范的、智能與主動性安全防范體系、全面集中安全管理策略平臺定制等方面，都有很多不足之處。 4.信息資產(chǎn)的結(jié)構(gòu)和質(zhì)量存在不足。 目前，我國諸多商業(yè)銀行大多是國有銀行，并且按地區(qū)按部門分割現(xiàn)象嚴(yán)重，其信息資產(chǎn)的功能和結(jié)構(gòu)也比較僵化，業(yè)務(wù)流程不暢，組織結(jié)構(gòu)和風(fēng)險管理缺乏彈性，快速反應(yīng)能力不足，不能及時適應(yīng)競爭環(huán)境的變遷和客戶需求的變化。 二、實施商業(yè)銀行信

7、息資產(chǎn)風(fēng)險管理的措施 1.要有前瞻性的信息資產(chǎn)設(shè)計戰(zhàn)略。 即首先要建立集中統(tǒng)一的面向業(yè)務(wù)目標(biāo)的端到端的信息資產(chǎn)戰(zhàn)略及解決方案。其包含的主要內(nèi)容有：支持業(yè)務(wù)戰(zhàn)略的明確的信息資產(chǎn)戰(zhàn)略；以優(yōu)化的技術(shù)方案實現(xiàn)業(yè)務(wù)功能；彈性的、靈活的信息資產(chǎn)基礎(chǔ)設(shè)施；信息資產(chǎn)投資計劃、信息資產(chǎn)規(guī)劃和管理。尤其是信息系統(tǒng)的設(shè)計要具有超前眼光，能支撐起銀行未來的業(yè)務(wù)發(fā)展。因此，總行領(lǐng)導(dǎo)和相關(guān)信息資產(chǎn)主管必須具備非凡的洞察力和專業(yè)勝任能力，必須明確當(dāng)前和未來客戶的類型及需求特征。 此外，總行應(yīng)對財務(wù)管理信息系統(tǒng)實行統(tǒng)一核算模式，打破原來財務(wù)系統(tǒng)按部門或地區(qū)分割的模式，總行的信息管理要隨時能夠反映和監(jiān)控全行所有部門、所有網(wǎng)點的

8、運營狀況。 2.建立適應(yīng)客戶需求變化的信息資產(chǎn)風(fēng)險管理統(tǒng)一框架。 內(nèi)容包括風(fēng)險管理框架的統(tǒng)一設(shè)計；風(fēng)險管理業(yè)務(wù)及信息技術(shù)流程的建立；信用風(fēng)險管理、資產(chǎn)負債管理、反洗錢及智能預(yù)警等信息資產(chǎn)系統(tǒng)的建立和實施。還包括全面支持核心業(yè)務(wù)能力和全行風(fēng)險管理、全行單一的客戶視圖及多渠道整合解決方案；面向服務(wù)架構(gòu)(SOA，Service-or-ientedArchitecture)的信息資產(chǎn)系統(tǒng)設(shè)計；提供強大的新產(chǎn)品創(chuàng)新支持等。 在完成信息資產(chǎn)系統(tǒng)基礎(chǔ)設(shè)施的集中后，商業(yè)銀行的業(yè)務(wù)流程整合、業(yè)務(wù)信息整合、應(yīng)用整合和業(yè)務(wù)控管應(yīng)進一步向總行、省行集中。實施優(yōu)質(zhì)資源的整合，提高風(fēng)險管理的整體經(jīng)濟效果和效率。 3、建立

9、與現(xiàn)代銀行治理結(jié)構(gòu)相對接的信息資產(chǎn)日常風(fēng)險管理規(guī)范。 隨著銀行業(yè)務(wù)跨地區(qū)跨國家的發(fā)展和銀行客戶業(yè)務(wù)的日趨復(fù)雜化。銀行承擔(dān)的責(zé)任和風(fēng)險也日益加大，尤其是信息資產(chǎn)的風(fēng)險日趨集中，那么有效的內(nèi)部控制系統(tǒng)和公司治理規(guī)范就成為化解銀行風(fēng)險的有效工具。 因此，根據(jù)國內(nèi)外關(guān)于銀行公司治理的規(guī)范要求，建立運行有效的內(nèi)部控制制度，提高信息透明度和受托責(zé)任問責(zé)機制。加強常規(guī)性的風(fēng)險管理，是保證銀行穩(wěn)健經(jīng)營的根本保證。根據(jù)IMF發(fā)布的公告，內(nèi)部控制是一套按持續(xù)性基礎(chǔ)控制組織活動的機制，這些活動來自組織的中心、部門或分部，有效內(nèi)部控制的關(guān)鍵元素是牢固會計和信息系統(tǒng)的有效運行。并擁有良好的適應(yīng)性的控制文化。 商業(yè)銀行信

10、息資產(chǎn)風(fēng)險管理應(yīng)根據(jù)相關(guān)法規(guī)的要求，建立有效的激勵約束機制，按照股東大會、董事會和監(jiān)事會等機構(gòu)的職能和性質(zhì)，構(gòu)建多重防御體系，并將風(fēng)險監(jiān)控和增強信息透明度相結(jié)合，綜合運用現(xiàn)場檢查、非現(xiàn)場分析與評價、發(fā)布規(guī)章指引、強化市場約束等手段，提高風(fēng)險管理水平。 4.設(shè)立信息資產(chǎn)風(fēng)險監(jiān)控指標(biāo)。 首先對銀行業(yè)務(wù)過程按照控制規(guī)范的要求，進行風(fēng)險控制點的分解，并設(shè)立相應(yīng)監(jiān)控指標(biāo)作為風(fēng)險預(yù)警信號，由系統(tǒng)自動檢查和評價，并在狀態(tài)異常下自動報警。主要指標(biāo)可分為三類。分別是關(guān)鍵業(yè)績指標(biāo)KPIs(key perlormance indicators)，過程主管指標(biāo)POIs(process owner indicators

11、)and風(fēng)險分析指標(biāo)RAIs(risk analytical indicators)，這三類指標(biāo)可持續(xù)適用于銀行業(yè)務(wù)微觀過程和交易方法，并通過比較銀行風(fēng)險點監(jiān)控目標(biāo)與實際指標(biāo)的差異，來加強信息資產(chǎn)過程控制。 如可將銀行信息資產(chǎn)監(jiān)控過程劃分為一體化監(jiān)督控制、審計跟蹤、風(fēng)險分析和履約事項監(jiān)控等過程，每個監(jiān)控過程通過包含信息自動更新的現(xiàn)場知識管理系統(tǒng)實施在線評價和過程審計，以促進銀行業(yè)務(wù)內(nèi)部規(guī)則的溝通和過程變革的管理。 各風(fēng)險控制點指標(biāo)由過程監(jiān)控人采集，并負責(zé)進行風(fēng)險等級劃分和報告，風(fēng)險控制點主管按照事件發(fā)生的概率評價各風(fēng)險程度和預(yù)計損失大小，這種信息被及時傳遞到相關(guān)業(yè)務(wù)決策部門，以幫助銀行各級部門

12、提前作好風(fēng)險防范。 5.加強對信息資產(chǎn)的過程審計和風(fēng)險驗證。 銀行可在信息系統(tǒng)當(dāng)中。對信息資產(chǎn)的各環(huán)節(jié)設(shè)立微處理器進行記錄和控制。銀行內(nèi)部審計師使用微處理器的步驟作為審計清單。并評價過程負責(zé)人所作的風(fēng)險自我分析，評估執(zhí)行的過程，和風(fēng)險自我分析的準(zhǔn)確性。這種方法有利于審計師及時跟蹤重大風(fēng)險和異常狀況。提高審計的成本效益比。 如銀行的經(jīng)營風(fēng)險矩陣可按0到5五級風(fēng)險矩陣排列，這種風(fēng)險評級要求有風(fēng)險因子概率和潛在的損失數(shù)量。并按照銀行的風(fēng)險分類調(diào)整這些數(shù)字，對業(yè)務(wù)線的風(fēng)險水平作出估計。一旦按業(yè)務(wù)線的估計完成，一張風(fēng)險及其暴露表就生成。按照巴塞爾協(xié)議計算的資本分配條款及其風(fēng)險大小也自動顯示出來，這些風(fēng)險

13、分析及分解方法是重要的審計計劃和審計資源分配工具。 銀行可將業(yè)務(wù)處理的廣泛文件記錄都分解給不同的微處理器。使用這些微處理器作為控制工具的一個前提是這些微處理器的發(fā)布都在公司的內(nèi)部網(wǎng)上。這些微處理器的圖示可描繪風(fēng)險結(jié)構(gòu)中的不同風(fēng)險，并進行風(fēng)險預(yù)警。 銀行信息資產(chǎn)分類指標(biāo)分別是指關(guān)鍵業(yè)績顯示指標(biāo)、過程主管顯示指標(biāo)和風(fēng)險分析顯著指標(biāo)。其中關(guān)鍵業(yè)績顯示是指有助于戰(zhàn)略監(jiān)督和審計分析評價的宏觀指標(biāo)。如凈資產(chǎn)報酬率、毛利率和銷售成本率；過程主管顯示指標(biāo)是指在功能績效中支持過程主管的分析指標(biāo)，如一段時間單位客戶的接待次數(shù)，客戶、產(chǎn)品交易的總量；風(fēng)險分析顯示指標(biāo)是對每個具體的局部單元風(fēng)險的量化，如錯誤數(shù)、微處理

14、器的有效記錄數(shù)，后臺徼處理器在一段時間的差錯數(shù)。從目前來看，越來越多的銀行在信息資產(chǎn)中使用SAP系統(tǒng)和它的關(guān)系數(shù)據(jù)庫來進行計量和方便系統(tǒng)監(jiān)督和例外事項的報告。根據(jù)SAP和其他公司系統(tǒng)所得的關(guān)鍵計量指標(biāo)逐漸出現(xiàn)在為微觀過程、交易和戰(zhàn)略轉(zhuǎn)移監(jiān)督服務(wù)的指數(shù)形式中，例外事項預(yù)警也根據(jù)精心擬定的協(xié)議提供，決定它們是否被傳遞到下列實體，如過程主管、高管人員、內(nèi)部審計師或外部審計師。 參考文獻： 1秦尚民：掌控全成本，構(gòu)建商業(yè)銀行盈利能力，中國商業(yè)銀行經(jīng)營管理高層論壇，http：/ 2005年4月9日，新浪科技 2Bell，T.B.，Mars，F(xiàn).O.，Solomon，I.，and Thomas，H.，Au

15、diting Organizations Through aStrategic-Systems Lens：the KPMG Business Measurement Process，KPMG，Peat Marwick LLP，Montvale，NJ 1997 3CICA/AICPA.1999.Continuous Auditing，Reseamh Report.The Canadian Institute of Chartered Accountants，Toronto,0ntario 4Secretariat of the Basel Committee on Banking Supervision,Bank for International Settlements，The New Basil Capital Accord，January 2001 5Greenstein，M.and