欢迎来到天天文库
浏览记录
ID:10304035
大小:61.00 KB
页数:7页
时间:2018-07-06
《细化商业银行操作风险管理的新思路》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、细化商业银行操作风险管理的新思路[摘要]突发事件的攀升及美国次级债的恶化,使操作风险的内部管理和外部监管越来越受到重视。为了加强我国商业银行的操作风险管理,银监会于2007年6月在其网站公布《商业银行操作风险管理指引》,就如何管理、计量操作风险进行阐述,再次说明这是当前银行业风险管理面临的一项重要挑战。本文在分析巴塞尔新资本协议操作风险和实际工作的基础上,提出将信息资产作为商业银行一类特殊产品线,采用信息安全管理体系is027001完善和细化操作风险管理,以此提升风险管理和内控能力。[关键词]巴塞尔新资本协议;操作风险管;is027001;信
2、息资产金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年发布的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理
3、和计量方法,是一项十分重要而紧迫的课题。一、操作风险管理的困惑与问题到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。localHosT本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过
4、程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理业务、资产管理和零售经纪八大类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来
5、完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对it系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现iso27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理
6、、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,iso27001不仅适用于多数it软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。因此,我们希望能够使用iso27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。二、iso27001简介iso/iec27001源自英国标准协会制定的bs7799,包括两部分内容:bs7799—1信息安全管理实施细则和bs7799-2信息安全管理体系规范。其中,bs
7、7799-1被iso组织吸纳为iso/iec17799,bs7799-2升版并转换为国际标准iso/iec2700i,它是建立信息安全管理体系isms(informationse-curitymanagementsystems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据iso/iec27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声
8、誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性
此文档下载收益归作者所有