操作风险管理视角下的商业银行信息科技风险管理研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇操作风险管理视角下的商业银行信息科技风险管理研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
内容摘要:现代商业银行对信息科技的高度依赖,使信息科技风险越来越成为银行风险管理的重要内容。本文利用操作风险管理的框架和工具,对信息科技风险的识别、计量、监测和控制等进行研究。本文认为在信息安全管理的基础上,利用操作风险管理的方法,有助于从全面风险管理的角度对信息科技风险进行有效管理。
关键词:商业银行 风险管理操作风险信息科技风险
中图分类号:F830.33 文献标识码:A 文章编号:1006-1770(2010)09-032-05
一、引言
随着信息技术与现代商业银行业务的深度融合,银行对信息技术和信息系统的依赖日益增强。信息科技已成为商业银行日常运营的操作平台、管理决策的重要支持、以及业务创新的基础工具。同时,与之相关的信息科技风险也渗透到了银行经营和决策的各个方面,信息科技风险管理不仅维系着商业银行的持续安全运营,而且也成为银行价值创造的重要支柱,因而信息科技风险成为现代商业银行风险管理不可或缺的重要内容。
商业银行传统的信息安全管理,更多是从信息技术开发和管理的本身出发,建立相应的技术标准而进行的,这些标准适用于信息技术部门内部的信息安全管理,也是信息科技风险管理的重要基础。但信息安全管理的本质是风险管理,现代商业银行构建全面风险管理体系,也需要借助操作风险管理框架和工具对信息科技风险进行有效管理。
我国主要商业银行正在积极实施《巴塞尔新资本协议》,这需要对包括操作风险在内的三大风险建立全面风险管理体系,而信息科技风险作为操作风险的重要表现形式之一,也成为银行风险管理的一个新的焦点。因此,本文试图在操作风险管理视角下探讨信息科技风险的识别、计量、监测和控制等流程和方法,以提高商业银行对信息科技的应用水平和对信息科技风险的管理效率,增强银行全面风险管理能力。
二、信息科技风险与操作风险管理框架
商业银行信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术应用水平,增强核心竞争力和可持续发展能力。
操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外,所强调的商业银行面临的另一种重要风险类型,是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险(表1)。”策略风险和声誉风险不包含在此定义中。我国银监会也基本沿用了这一定义。
可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中,需将信息科技风险作为操作风险的重要内容统一进行管理;对信息科技风险的管理,可以借用操作风险的管理框架和工具。
从风险管理的流程来看,一个完整的操作风险管理(Operational Risk Management,ORM)框架首先要确定执行和负责操作风险管理的组织机构,然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行,形成一个循环往复、不断提升的风险管理过程。这一过程可用如下的操作风险管理“转轮”来表示(图1)。这一框架能提供一个对操作风险管理的完整流程,并允许银行在事先管理操作风险,而不论风险是否存在于业务过程、人员、信息科技系统或是外部事件中。
操作风险管理框架中的每一阶段都有不同的任务,理论界和实务界也都分别提出相应的工具和方法。下文尝试将操作风险的管理框架应用于商业银行信息科技风险管理,从而使信息科技风险管理成为银行全面风险管理的有机组成部分。
三、ORM框架下的信息科技风险管理
(一)信息科技风险管理的组织建设――信息科技治理
根据银监会的要求,IT治理的目标是在良好的公司治理的基础上,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。从银行内部来看,IT治理是公司治理的重要组成部分,包括与信息科技相关的领导关系、组织结构和工作流程等,其目的是保障信息科技与业务发展战略目标相一致。
信息科技治理是良好信息科技风险管理的基石,商业银行需要在公司治理基础上建立自上而下的信息科技治理结构。具体地,商业银行的董事会、高管层要对本行信息科技风险最终负责;董事会下的风险管理委员会可专设信息科技风险管理分委员会,由高级管理层、信息科技部门和主要业务部门代表组成;设立首席信息官(CIO),负责信息科技相关的重大决策,向上直接向行长和董事会报告信息科技运行和管理情况,向下统一领导信息科技板块各个部门,布置信息科技风险管理措施的实施;同时,风险管理部、尤其是操作风险管理部,也应把信息科技风险作为操作风险管理的一个特殊而重要的类型进行统一管理。此外,内部审计部门负责对信息科技风险管理的合规性和有效性进行审核(图2)。
在这样的信息科技治理结构之上,商业银行可将信息科技风险纳入总体风险管理框架,针对信息科技风险分布广泛、专业性强等特点,可以构建由信息科技业务经营部门、信息科技条线管理部门、风险管理部门和内部审计部门构成的“四道防线”,实现对信息科技风险的有效防范和管理。
(二)信息科技风险的识别方法
信息科技风险识别是指风险管理者通过一定的方法和手段,按照信息科技风险的来源范围和表现形式,鉴别信息系统开发和运行过程中一切可能导致信息科技风险的因素和产生风险的环节点的过程。信息科技风险识别方法可借用操作风险的识别工具。
1.风险与控制自评估法
信息科技风险的风险与控制自评估法(RCSA),是指银行IT风险管理部门对本行信息系统开发、信息数据管理、系统运行与维护等IT条线业务进行流程分析,识别并评估其中隐含的风险点,并对业务流程现有的控制措施的合理性和有效性进行评价的过程。
RCSA从梳理IT条线的主流程及其包含的子流程入手,针对这些流程设计RCSA问卷。这一问卷包含了每一流程步骤涉及的风险类型、相应的控制类型等内容,需要评分人对现有的控制设计和有效性进行评估,对风险导致的固有风险暴露、以及采取控制措施之后的剩余风险进行评分。最后要根据RCSA的结果决定是否采取对特定风险的控制行动。
2.风险地图法
风险地图(Risk Mapping)能够显示特定风险事件的风险暴露分布状况,将风险暴露与银行或业务部门的风险容忍度连接起来,根据特定风险在风险地图中的落点可决定对风险是否采取适当的控制措施。
风险地图是一个严重性-可能性矩阵。根据特定风险可能导致损失的严重程度及损失发生的可能性,可以共同确定风险暴露及其在风险地图的落点。风险地图不同区域所代表了不同风险容忍度,风险的不同落点有不同的涵义(图3)。
A.绿色区域:表示风险处于安全区域,不需采取控制措施降低风险暴露。
B.黄色区域:表示风险在加强监控的区域,应对风险进行关注和加强监控,但还不需采取具体控制措施。
C.橙色区域:表示风险在警戒范围内,风险管理部门应立即采取控制措施,将风险暴露降低到安全区域之内。
D.红色区域:表示风险已不可容忍,除了应立即采取措施降低风险暴露至安全范围内,还应该对风险暴露过高的原因进行追溯和问责。
需要说明的是,不同银行、不同业务条线的风险容忍度不同,因而风险地图的具体风险轮廓各异。即使同样的风险暴露在不同部门的风险地图上所处的区域可能都不一样,严重程度也不一样。对具体的信息科技风险管理者而言,要根据本行信息科技业务特点和自己的风险偏好,确定以上四个区域的临界值。
3.关键风险指标(KRI)
KRI是可用于表示商业银行信息科技风险状况的定量指标。通过指标的定期监控,可以对信息科技风险变化有代表性的某些方面进行跟踪和预警,并根据指标所处的区域决定是否采取控制措施。
关键风险指标应能代表信息科技领域最主要的风险指标,容易度量并能反映信息科技风险的暴露水平或者控制状态。商业银行首先需要明确各项与信息科技相关的关键风险指标,对每一指标设定相应门槛值。银行通过对所有KRI的动态跟踪,在超过门槛值时采取必要的控制措施,从而及时降低风险暴露程度,使基于KRI的风险控制行动能防止重大损失事件的发生。
与信息科技风险相关的KRI可根据信息科技业务的风险表现和分布特点而设定,具体指标可能包括:系统故障频率、系统中断次数、系统中断持续时间、系统交易失败比例、IT人员离职率、IT风险事件总数等。
4.损失数据收集(LDC)
首先要根据信息科技风险的分布特点,确定损失数据的收集范围、起点金额以及统一的损失数据内容(具体表现为损失数据库的字段格式)。
关于收集范围,巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,其中与信息科技风险损失事件有关的整理如表2。银监会《商业银行操作风险管理指引》中规定应收集并报告的重大操作风险事件中,就包括“造成涉及两个或以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上”的系统业务中断事件等等。
损失起点金额要根据IT风险损失的分布特征和银行的风险容忍度而定。而损失数据内容则包括损失事件产生原因、发生时间、所在部门、损失金额、控制措施及有效性等。损失数据要按统一字段格式及时录入操作损失数据库。巴塞尔新资本要求采用高级计量法(AMA)的银行需要至少三年的历史损失数据积累。
(三)信息科技风险度量方法
操作风险度量方法包括基本指标法(BIA),标准法(SA),以及高级度量法(AMA),后者包括内部度量法、损失分布法和极值法等。目前我国商业银行对操作风险计量在实践中采用标准法。
但标准法设定的8个业务线,并未将信息科技业务条线专门列出,因而不能充分体现对信息科技风险的资本要求。事实上,信息科技风险不仅存在于商业银行信息科技业务条线,同时也广泛分布于其他业务条线之中。因而,在标准法的基础上,我们提出将信息科技风险按照所存在的业务部门分为两部分,分别进行风险计量和资本计提。
第一部分是存在于8大业务线内部的信息科技风险,在根据标准法对8大业务类型的操作风险计量时,已经包含了其中涉及到信息系统操作、运行等相关的信息科技风险。第二部分是信息科技条线的业务平台上涉及到的信息科技风险,主要包括信息系统开发、信息系统运行维护、数据中心建设和管理、软件外包、业务连续性经营等方面的风险。
具体计量时,第一部分已经涵盖在各个业务线的操作风险中;第二部分则由于信息科技业务并不直接产生收入盈利,可根据前三年信息科技投入的平均值,按其一定比例计算信息科技风险的资本要求。
其中Ii表示此前第i年信息科技投入的金额,βIT表示根据信息科技业务风险特征所确定的资本计提比例,KIT表示信息科技风险的资本要求,与其他业务的资本要求相加得到全行总的操作风险资本要求。
(四)信息科技风险监测与报告
风险管理是一个持续提升的过程,因而信息科技风险也需要定期持续的监测,以掌握风险发展的动态。监测一方面可以结合信息安全管理和内控措施,发现信息科技业务中存在的风险点及严重程度;另一方面也可以通过对之前设定的KRI的定期检查,判断风险是否在可容忍的范围之内。
对风险监测的结果和风险控制的现状,需要定期撰写风险报告,并逐级向上级风险管理部门汇总,最后由总行风险管理部向高管层和董事会定期提交风险报告。如总行操作风险部可以逐月汇总来自信息安全管理部和所有分行有关操作风险报告,其中包含信息科技风险的相关内容,然后逐季向高管层和董事会提交全行的风险报告。当遇到重大信息科技风险事件时,应随时上交风险报告。
风险报告是支持全面风险管理决策的重要依据,信息科技风险报告内容应包含在操作风险报告之中,其内容应涵盖报告期内:面临的或潜在的信息科技风险类型,已发生的信息科技风险事件,风险事件原因和过程,风险导致的损失,风险控制/缓释措施及其有效性,对风险事件的总结等。
(五)信息科技风险控制措施
由于信息科技风险自身的技术特点,对其有效控制的基础是在信息科技部门的开发、服务、运营等具体业务流程中实施先进的信息安全管理标准,如ISO20000 IT服务管理国际标准、ISO27001信息安全管理制度标准等。从信息科技风险整体的控制方面,可以实施以下几项措施。
1.完善内部控制机制。为实现信息科技风险的有效控制,商业银行需要建立并完善与信息科技风险相关业务的内部控制机制,确定信息科技相关业务和信息系统应用中不同职位的人员在信息科技风险管理中的分工和责任。这包括不同系统在物理上和技术上的隔离、规范业务操作流程、确定并执行严格的权限范围、建立业务流程之间相互平衡的制约机制等。
2.信息系统审计(IS audit)。指收集并评价证据,以判断一个信息系统能否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源的过程。商业银行内部或外部的信息系统审计部门,可通过一般控制和应用控制等审计方法对全行范围内的信息系统生命周期内的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况进行综合评价。从而总体把握商业银行信息系统的风险状况,并向商业银行风险管理部门和信息科技部门提出咨询意见。
3.业务连续性管理(BCM)。BCM的目的是通过有效的管理,使在各种意外情况发生时,银行信息系统和相关业务都能始终不间断运营;或者退一步,BCM使意外冲击对信息系统正常运行或业务连续经营的影响降至最小。影响信息科技基础设施(如银行的数据中心或业务处理中心)连续运营的主要因素有,黑客攻击、电脑病毒、软件错误、人为失误、硬件故障、自然灾难等。
有效的BCM是针对以上影响因素严重程度制订的一整套管理方法。如首先是要建立信息系统应急机制和紧急变更预案,从制度上保证出现业务中断时的行动路线。其次加强重要数据的灾难备份。目前我国大部分大中型商业银行都已经成立了灾备中心,进行核心数据的同城镜像和异地灾备。此外还需要对业务处理系统进行切换演练,通过定期进行切换演练,对可能面对的不同冲击进行情景分析和压力测试,降低突发事件威胁,提高应急处理能力。
4.通过保险和外包来缓释和转移风险。由于发生概率较低但损失程度较大的信息科技风险是难以预测、量化及分配资本的,因此对信息科技风险的缓释和转移,可大大降低银行相关风险暴露程度。
使用保险作为操作风险的重要缓释工具有很大的必要性。商业银行与保险公司可以根据主要信息科技风险的损失分布特征,共同开发适当的保险产品以此对商业银行面临的信息科技风险进行缓释。同时软件开发等的外包,即可利用外部专业资源,又可转移商业银行自身承担的失败风险。但也需注意要通过签署权责明确的事前协议,来规避外包过程中的潜在风险。
综上,信息科技风险管理可利用操作风险管理的框架,但信息科技风险的组织结构、识别、计量、报告和控制等都有其具体的方法和工具。这一框架可以表示为如下图4,其中左半部分表示了操作风险管理的框架,右边虚线内是信息科技风险管理的具体内容。
四、结论和建议
本文在操作风险视角下研究了信息科技风险的管理流程和具体措施。研究发现,首先,商业银行的信息科技风险是操作风险的重要表现形式之一,因而有必要利用操作风险管理框架对其进行管理。其次,操作风险管理的流程和工具,可为信息科技风险的识别、计量、监测和控制提供规范化的参考依据。另外,值得注意的是,信息科技风险有其具体的表现形式和技术特点,对信息科技风险的评估、监测和控制等具体措施等有明显的技术特点,因而信息技术部门内部的信息安全管理是信息科技风险管理必不可少的重要基础。
研究建议,商业银行应在信息技术部门内部的信息安全管理的基础上,通过在信息技术条线推行操作风险管理,利用操作风险的规范流程和科学方法对信息科技风险进行有效管理。这不仅有利于落实《新巴塞尔资本协议》的监管要求,也有助于提升我国商业银行全面风险管理体系的建设水平。
注:
本文得到中国博士后科学基金第四十七批面上资助,项目名称《商业银行信息科技风险管理研究――基于操作风险管理框架》(资助编号20100470108)。特此感谢,当然文责自负。
作者简介:
吴博交通银行博士后工作站、中国社科院博士后流动站