商业银行信息资产风险管理一种风险管理的新视角.docVIP

商业银行信息资产风险管理：一种风险管理的新视角 一、银行信息资产风险管理概念及其现状 银行信息资产，是指银行业金融机构运用信息技术处 理业务活动的信息系统及其所产生的生产经营信息、研发 和服务能力、管理水平以及其他与信息化相关的各种有形 和无形资产。银行信息资产风险。是指信息资产在形成、 运用、管理过程中产生的各类风险。在银行业务与信息化 高度融合的业务处理系统、信息‘；680987257L;’管理系 统和决策支持系统中，存在大量信息资产风险。它不仅涵 盖了传统的操作风险、信誉风险，而且还包含了在银行的 经营管理过程中，所表现出的许多与信息化相关联的其他 类型风险。 商业银行的内控应该以风险管理为中心，尤其是银行 信息资产的风险管理。目前虽然各银行都有自己的信息安 全主管部门，并作为信息安全的建设者和维护者，对信息 安全有着丰富的现场经验与专业经验，但由于他们身兼运 动员和裁判员双重身份，所以很难向最高管理层保证信息 安全的有效性。因此，建立科学的信息风险监督机制，对 加强银行风险管理，确保银行信息系统的安全稳定、持续 有效地运行，显得尤为重要。 新巴塞尔协议对商业银行的风险管理提出了更高的要 求，即银行业不仅要在宏观管理层面上，有统一的风险管 理战略、风险管理政策、风险管理制度、风险管理文化， 也要在微观操作层面上，全面考虑包括信用风险、市场风 险、操作风险等在内的各种风险管理。风险管理必须逐步 应用于信贷决策、资本配置、贷款定价、经营绩效考核等 方面，贯穿于业务经营管理的全过程。对于操作风险的管 理，直接涉及到对银行信息系统的安全管理，因此，加强 操作风险的管理，就必须高度重视银行的信息资产风险管 根据新巴塞尔资本协议的精神，世界上已有不少国家 的监管当局己经开始探索银行信息资产风险监管的新方法 我国也不例外。 在XX年2月出台的银行业监督管理法中明文规定： “要对银行业金融机构运用电子计算机管理业务数据系统 进行检查。”这成为银行信息资产风险监督的最初起源。 信息风险监督是指对特定环境中的信息系统及其处理的传 输和存储的信息的保密性、完整性和可用性等进行监督， 进而对其安全性进行风险分析、评估，找出潜在的致命缺 陷和易被忽略的问题，为信息系统的安全设计，选择合理 的安全产品和安全管理提供可靠的依据。信息风险监督的 内容包括信息系统的物理安全、系统安全、网络安全、技 术安全保障和安全管理控制五个部分。 XX年初，银监会提出了《银行业信息资产风险监管暂 行办法（送审稿）》。从最初的《银行业金融机构运用电子计 算机管理业务数据系统的监管检查办法（征求意见稿）》，到 后来的《银行业金融机构计算机信息风险监管暂行办法》， 再到如今的《银行业信息资产风险监管暂行办法（送审 稿）》，可以看出，银监会对商业银行信息资产风险管理的 监管思路在不断走向成熟和趋向系统化。这既是我国金融 业适应金融全球化趋势和新巴塞尔资本协议强调金融风险 管理的要求，也是我国金融业迎接跨国银行的竞争，提高 核心竞争力的需要。 当前，我国商业银行信息资产存在以下风险： 信息系统软硬件本身存在着很大的脆弱性。 一方面表现在设备的自然损耗、制造缺陷和不可预测 的自然环境因素，如火灾、水灾、地震、战争等不可抗拒 的自然灾难。另一方面表现在由于技术发展的局限和人类 的能力限制，面对庞大的操作系统、复杂的应用程序，在 设计之初人们不能认识所有的问题，失误和考虑不周在所 难免。 银行数据传输网络的脆弱性。 随着金融网上业务的拓展，网上银行、移动银行、电 子商务等，己成为银行追逐的利润增长点。银行业务系统 要顺应开放和互连的趋势，其信息安全范畴己经突破了以 业务系统物理隔离和协议隔离为基础的传统银行信息安全， 在公网环境下防止黑客、病毒的破坏，在Internet上保证 金融数据的安全采集、安全存储、安全传输和安全处理， 将是金融信息系统建设面临的重要挑战。 安全技术保障的欠缺。 当前，我国金融业信息安全建设，在整体安全系统、 内部网络安全监控与防范的、智能与主动性安全防范体系、 全面集中安全管理策略平台定制等方面，都有很多不足之 处。 信息资产的结构和质量存在不足。 目前，我国诸多商业银行大多是国有银行，并且按地 区按部门分割现象严重，其信息资产的功能和结构也比较 僵化，业务流程不畅，组织结构和风险管理缺乏弹性，快 速反应能力不足，不能及时适应竞争环境的变迁和客户需 求的变化。 二、实施商业银行信息资产风险管理的措施 要有前瞻性的信息资产设计战略。 即首先要建立集中统一的面向业务目标的端到端的信 息资产战略及解决方案。其包含的主要内容有：支持业务 战略的明确的信息资产战略；以优化的技术方案实现业务 功能：弹性的、灵活的信息资产基础设施：信息资产投资 计划、信息资产规划和