「商业银行信息资产风险管理一种风险管理的新视角」.pdfVIP

商业银行信息资产风险管

理一种风险管理的新视角

一、银行信息资产风险管理概念及其现状

银行信息资产是指银行业金融机构运用信息技术处理

业务活动的信息系统及其所产生的生产经营信息、研发和服

务能力、管理水平以及其他与信息化相关的各种有形和无形

资产银行信息资产风险是指信息资产在形成、运用、管理过

程中产生的各类风险在银行业务与信息化高度融合的业务处

理系统、信息‘；6８098７257Ｌ；’管理系统和决策支持

系统中存在大量信息资产风险它不仅涵盖了传统的操作风

险、信誉风险而且还包含了在银行的经营管理过程中所表现

出的许多与信息化相关联的其他类型风险

商业银行的内控应该以风险管理为中心尤其是银行

信息资产的风险管理目前虽然各银行都有自己的信息安全主

管部门并作为信息安全的建设者和维护者对信息安全有着丰

富的现场经验与专业经验但由于他们身兼运动员和裁判员双

重身份所以很难向最高管理层保证信息安全的有效性因此建

立科学的信息风险监督机制对加强银行风险管理确保银行信

息系统的安全稳定、持续有效地运行显得尤为重要

新巴塞尔协议对商业银行的风险管理提出了更高的

要求即银行业不仅要在宏观管理层面上有统一的风险管理战

略、风险管理政策、风险管理制度、风险管理文化也要在微

观操作层面上全面考虑包括信用风险、市场风险、操作风险

等在内的各种风险管理风险管理必须逐步应用于信贷决策、

资本配置、贷款定价、经营绩效考核等方面贯穿于业务经营

管理的全过程对于操作风险的管理直接涉及到对银行信息系

统的安全管理因此加强操作风险的管理就必须高度重视银行

的信息资产风险管理

根据新巴塞尔资本协议的精神世界上已有不少国家的

监管当局已经开始探索银行信息资产风险监管的新方法我国

也不例外

在２004年2月出台的银行业监督管理法中明文规定

“要对银行业金融机构运用电子计算机管理业务数据系统进

行检查”这成为银行信息资产风险监督的最初起源信息风险

监督是指对特定环境中的信息系统及其处理的传输和存储的

信息的保密性、完整性和可用性等进行监督进而对其安全性

进行风险分析、评估找出潜在的致命缺陷和易被忽略的问题

为信息系统的安全设计选择合理的安全产品和安全管理提供

可靠的依据信息风险监督的内容包括信息系统的物理安全、

系统安全、网络安全、技术安全保障和安全管理控制五个部

分

2005年初银监会提出了《银行业信息资产风险监管

暂行办法（送审稿)》从最初的《银行业金融机构运用电子计

算机管理业务数据系统的监管检查办法(征求意见稿)》到后来

的《银行业金融机构计算机信息风险监管暂行办法》再到如

今的《银行业信息资产风险监管暂行办法(送审稿)》可以看出

银监会对商业银行信息资产风险管理的监管思路在不断走向

成熟和趋向系统化这既是我国金融业适应金融全球化趋势和

新巴塞尔资本协议强调金融风险管理的要求也是我国金融业

迎接跨国银行的竞争提高核心竞争力的需要

当前我国商业银行信息资产存在以下风险

1.信息系统软硬件本身存在着很大的脆弱性

一方面表现在设备的自然损耗、制造缺陷和不可预测

的自然环境因素如火灾、水灾、地震、战争等不可抗拒的自

然灾难另一方面表现在由于技术发展的局限和人类的能力限

制面对庞大的操作系统、复杂的应用程序在设计之初人们不

能认识所有的问题失误和考虑不周在所难免

２.银行数据传输网络的脆弱性

随着金融网上业务的拓展网上银行、移动银行、电子

商务等已成为银行追逐的利润增长点银行业务系统要顺应开

放和互连的趋势其信息安全范畴已经突破了以业务系统物理

隔离和协议隔离为基础的传统银行信息安全在公网环境下防

止黑客、病毒的破坏在Ｉnternet上保证金融数据的安全采

集、安全存储、安全传输和安全处理将是金融信息系统建设

面临的重要挑战

３．安全技术保障的欠缺

当前我国金融业信息安全建设在整体安全系统、内

部网络安全监控与防范的、智能与主动性安全防范体系、全

面集中安全管理策略平台定制等方面都有很多不足之处

４.信息资产的结构和质量存在不足

目前我国诸多商业银行大多是国有银行并且按地区

按部门分割现象严重其信息资产的功能和结构也比较僵化业

务流程不畅组织结构和风险管理缺乏弹性快速