[摘要]突发事件的攀升及美国次级债的恶化,使操作风险的内部管理和外部监管越来越受到重视。为了加强我国商业银行的操作风险管理,银监会于2007年6月在其网站公布《商业银行操作风险管理指引》,就如何管理、计量操作风险进行阐述,再次说明这是当前银行业风险管理面临的一项重要挑战。本文在分析巴塞尔新资本协议操作风险和实际工作的基础上,提出将信息资产作为商业银行一类特殊产品线,采用信息安全管理体系is027001完善和细化操作风险管理,以此提升风险管理和内控能力。
[关键词]巴塞尔新资本协议;操作风险管 ;is027001;信息资产
金融 业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年发布的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。
一、操作风险管理的困惑与问题
到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。wWW.11665.cOm本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理业务、资产管理和零售经纪八大类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法 计算 操作风险总体资本要求。
巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么 样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对it系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现iso27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,iso27001不仅适用于多数it软硬件开发等 企业 ,同时也适用于银行、保险等信息化程度较高的金融行业。
因此,我们希望能够使用iso27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。
二、iso27001简介
iso/iec27001源自英国标准协会制定的bs7799,包括两部分内容:bs7799—1信息安全管理实施细则和bs7799-2信息安全管理体系规范。其中,bs7799-1被iso组织吸纳为iso/iec17799,bs7799-2升版并转换为国际标准iso/iec2700i,它是建立信息安全管理体系isms(information se-curity management systems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。
信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据iso/iec27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。
1 机密性——信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。
2 完整性——保护资产的准确和完整的特性。
3 可用性——根据授权实体的要求可访问和利用的特性。
企业 的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理八大产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。
可见,信息安全风险,是指由于系统存在的脆弱性、人为或 自然 的威胁导致安全事件发生的可能性及其造成的影响,包括由于it流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及it基础设施等信息资产中,而且存在于业务流程及管理流程中。isms是通过实施一整套适当的控制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、 法律 等方面的。is017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,iso/iec27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。
三、基于风险的信息安全管理体系的构建
信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的plan-do-check-act(pdca)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。
(一)策划并建立信息安全管理体系
1 确定安全方针和范围
信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定isms方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2 资产的识别和评价
资产管理是实施有效isms的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。
资产识别a:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。
资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
3 风险评估
资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。
(1)威胁识别t:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。
(2)脆弱性识别v:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。
(3)对已有安全控制措施进行确认。
(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级r。即r=f(a,v,t)=f[i a ,l(v a ,t)],其中i a 表示资产的重要程度;v a 表示某资产本身的脆弱性,l表示威胁利用脆弱性对资产造成安全事件的可能性。
(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。
(6)选择控制目标和措施
选择并建立文件化的控制目标和措施,制定风险处置计划。iso27001系列强调在风险处理方式及控制措施的选择上,组织应考虑 发展 战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。
(7)获得最高管理者的授权批准
风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。
(二)实施并运行信息安全管理体系
阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。
(三)监视并评审信息安全管理体系
监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。
(四)改进信息安全管理体系
基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的pdca循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。
四、信息资产类操作风险管理的实施建议
iso27001是文件化的体系,它把传统的银行信息安全与it治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的iso27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。
银行风险管理部门在具体实施上述信息资产管理体系过程中,首先,应取得管理层的高度重视和支持,明确各部门及员工的职责,采用自上而下的推进方法,组织和动员全行员工共同参与此项工作,尤其是在资产识别和风险评估阶段,更离不开组织内员工的大力帮助。通过有效的 教育 和培训,逐步建立和发展信息安全风险管理的文化,提高和强化员工的信息安全风险管理意识与能力。其次,80%的操作风险都是由于有制度却未严格执行而造成的,即使再完善的管理和控制体系都将如同摆设。因此,要加强制度执行的权威性。推行管理问责制,加大风险责任追究;强化激励机制,除业务指标外,将风险指标纳入每一位员工的业绩衡量和薪酬激励;建立风险事件奖励举报制,加强民主监督,引导员工从被动的风险应对转变为积极的风险防范。同时,银行应根据自身业务及管理程序的特点,做好数据收集,建立风险事件管理平台,及时报告、响应、跟踪、分析各类风险事件,最大限度地降低损失。当然,要使这套体系得以有效运转,运用pd-ca的方法加以跟踪管理是至关重要的。
虽然各家银行还在不断探索和完善管理操作风险的有效方法。然而,毋庸置疑的是,由于信息资产在银行业机构中的重要地位,银行对操作风险管理的有效与否将在很大程度上取决于银行对其自身信息资产的风险管理能力。因此,银行必须高度重视和加强对信息资产的风险管理,以全面提高其操作风险的管理水平。本文从细化银行操作风险出发,提出了一种新的管理思路,尝试将信息资产作为商业银行一类特殊产品线,并使用iso27001标准和方法来强化对信息资产的管理,为全面分析和准确把握操作风险管理体系打下基础。然而,如何在操作风险管理的总体要求框架下将信息资产与另八类产品进行融合,是进一步探讨的内容。
