细化商业银行操作风险管理的新思路.pdfVIP

细化商业银行操作风险管理的新思路 [摘要]突发事件的攀升及美国次级债的恶化，使操作风险的内部管理和外 部监管越来越受到重视。为了加强我国商业银行的操作风险管理，银监会于 2007年6月在其网站公布《商业银行操作风险管理指引》，就如何管理、计量 操作风险进行阐述，再次说明这是当前银行业风险管理面临的一项重要挑战。 本文在分析巴塞尔新资本协议操作风险和实际工作的基础上，提出将信息资产 作为商业银行一类特殊产品线，采用信息安全管理体系IS027001完善和细化操 作风险管理，以此提升风险管理和内控能力。 [关键词]巴塞尔新资本协议；操作风险管 ；IS027001；信息资产 金融业的全面开放和金融服务的管制放松，以及高端化的信息技术，使银 行的业务、产品日益多元化，这直接导致其面临的风险更为复杂和多样。国内 外银行业重大违规事件及美国金融海啸影响的迅速扩大，迫切需要国内外金融 监管部门和从业机构反思对操作风险的管理和防范，加强合规管理。2004年发 布的巴塞尔新资本协议，将操作风险正式纳入资本监管范围，并进一步提出了 明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而，由 于操作风险情况复杂，与银行自身的规模、经验、业务特征等密切相关，具有 和动态变化等特点。因此，探索适合银行不同类别操作风险特点的管理和计量 方法，是一项十分重要而紧迫的课题。 一、操作风险管理的困惑与问题 到目前为止，有关操作风险的定义、管理及计量问题一直困扰着各家商业 银行和监管机构，国内外银行也未对它形成统一的认识。本文采用至今已被大 多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义，即由于不完善 或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议 从风险监管的角度将操作风险事件划分为七种类型，包括内部欺诈，外部欺 诈，雇员活动和工作场所的安全问题，客户、产品和业务活动的安全问题，银 行维系经营的实物资产损坏，业务中断和系统故障，执行、交付和过程管理 等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外，按产品 线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行 业务、支付和结算、代理业务、资产管理和零售经纪八大类，并对每一类产品 分别规定不同的操作风险资本要求系数，籍以用标准法计算操作风险总体资本 要求。 巴塞尔委员会给出了管理操作风险的十大原则，但这些原则都是从宏观角 度要求商业银行应该建立什么 样的组织、制度和流程，并未给出管理操作风险 的详细方法和手段。实际工作中，我们发现信息资产是商业银行极其重要的一 类资产，在信息时代，一个机构要利用其拥有的资产，特别是信息资产来完成 其使命，因此，对信息资产的管理关系到该机构能否完成其使命的大事。然 而，由于信息资产对IT系统的依赖性很强，绝大部分具有无形化、易变化、易 传播的特点，且风险存在于其产生、传递、使用和销毁等各个环节，与一般银 行产品相比，具有很大的独特性。所以，我们建议将此类资产作为商业银行一 类独特的产品线来进行管理。在实践中，我们发现ISO27001为有效管理组织的 信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对 信息资产的安全管理提出要求，其管理思想完全符合操作风险的管理原则，并 且是在其原则基础上的细化，如高层管理的支持和承诺、资源管理、风险评 估、内部审核、信息的沟通、有效性测量和改进，等等。可见，ISO27001不仅 适用于多数IT软硬件开发等企业，同时也适用于银行、保险等信息化程度较高 的金融行业。 因此，我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类 产品的风险管理，进而按照操作风险管理的总体原则与其他类产品进行融合， 最终实现在总体框架要求下对信息资产类操作风险的细化管理。 二、ISO27001简介 ISO／IEC27001源自英国标准协会制定的BS7799，包括两部分内容： BS7799—1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中， BS7799-1被ISO组织吸纳为ISO／IEC17799，BS7799-2升版并转换为国际标准 ISO／IEC2700I，它是建立信息安全管理体系ISMS(Information se-curity Management systems)的一套需求规范，其中详细说明了建立、实施和维护信息 安全管理体系的要求，指出组织