1 新巴塞尔协议和操作风险

    2004年6月26日，《巴塞尔新资本协议》（简称新巴塞尔协议）的终稿正式通过。新巴塞尔协议虽然不具有强制性，但是在国际上具有很大的影响力。新巴塞尔协议的核心内容为三个支柱，即最低资本要求、监管检查和市场约束。虽然中国银监会曾经表态，受到客观条件限制，我国在未来几年内仍将继续执行 1988年的老协议，但是当中国的银行进入国际银行业市场开拓业务时，巴塞尔协议可能会使中国商业银行在竞争中处于不利的地位，尤其是国际上业务较活跃的银行，势必会受到很大影响。所以，对于中国银行业来讲，研究和符合新巴塞尔协议是提高国际竞争力的重要战略决策。

    新巴塞尔协议强调在进行风险管理的时候，不仅仅要重视传统的信用风险，而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单，是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下：操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。
 
    2 操作风险管理

    操作风险作为银行面临的多种风险之一，具有其独特性。简单来讲，操作风险就是“没有采用正确的方法做事情”而带来的风险。操作风险和其他风险之间的关系如图所示。战略风险主要关心管理层是否选择的正确的业务方向和战略目标，业务相关的风险和具体的业务特点有关，而操作风险则主要指落实到具体执行层面的时候能否正确执行规范，以及有没有相关的规范可以参照执行。在风险管理领域中，战略是指导，而操作则贯穿整个业务活动的始终。因此，操作风险管理必须贯穿到整个公司管理过程之中去。

    新巴塞尔协议强调风险管理应是一种主动的事前行为，而不是事后的补救，强调通过分析既有的数据来预测和防范未来的风险，并从中稳妥地获取风险收益。建立高效的风险管理体系，是银行确保在这个高风险行业中生存下来并获得稳定发展的基础。

    巴塞尔银行监管委员会发布了操作风险管理和监控的十个原则：《操作风险管理和监控的实践》，其中明确了银行进行操作风险管理的四个步骤：识别，评估，监控，缓解/控制。这个文件对于银行进行操作风险管理具有指导性的意义。
 
    3 操作风险中的信息安全风险管理

    信息和信息系统安全在操作风险管理中是非常重要的一部分。由于现代银行几乎所有的业务都运行在IT基础设施之上，尤其是新出现的金融产品和服务更加趋于开放和互联，进一步加强了对信息系统的依赖程度。信息的保密性、完整性以及信息、信息系统可用性对业务的成败起着至关重要的作用。在西方国家已经有立法强制要求银行对某些关键信息的保密性、完整性等进行保护，比如美国的金融服务现代化法案(Gramm-Leach-Bliley Act，GLBA)。

    1999年，巴塞尔银行监管委员会专门设立了电子银行小组（EBG），对电子银行领域内的监管事务进行重点研究。2001年，EBG发表了《电子银行风险管理原则》，确定了进行电子银行业务风险管理的14条基本原则，是电子银行进行风险控制的重要参考。事实上，不管是《操作风险管理和监控的实践》，还是《电子银行风险管理原则》，其中的内容大部分都已经被涵盖在了当前的国际通用的信息安全管理标准中了，并且已经在某些银行的信息安全管理中得到了不同程度的应用，比如ISO/IEC 17799。

    操作风险管理和监控的实践的第八项原则规定：银行监管机构应要求所有银行都建立操作风险的风险识别、评估、监控、控制/缓解的有效框架。下面将分别讨论符合这一原则的信息安全风险管理框架中的各个部分。

    3.1风险的识别

    风险的识别就是识别当前信息和信息系统中的资产，判断面临的威胁，分析相关的脆弱性，从而识别相应的风险。简言之，风险的识别主要包括识别资产、识别威胁、识别脆弱性等三个过程。

    信息资产是构成信息系统的基本组成部分。信息资产的界定和赋值是整个工作的前提。资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。参照BS7799对信息资产的描述和定义，可以将信息资产分类为：数据、服务、软件、硬件、文档、设备、人员和其它类。我们根据不同的业务系统进行流程分析，得出涉及的信息资产，并且初步判断关键资产。关键资产对整个业务运作具有决定性作用，需要重点保护。

    威胁和脆弱性的识别可以根据相关的国际标准和指南性文件进行。

    在风险识别的过程中，需要从银行高层的角度统一各种资产、威胁和脆弱性的定义方法和分类方式，避免各个分支机构的不统一现象。
 
    3.2风险的评估

    巴塞尔银行监管委员会发布的操作风险的第四条管理原则表示，银行应该识别和评估所有产品、行为、流程和系统中存在的操作风险。银行应该确保在任何新产品、行为、流程和系统生效或执行前，进行了有效的操作风险评估。

    风险评估是明确安全现状，规划安全工作，制订安全策略，形成安全解决方案的基础。全面系统的风险评估可以保障后续安全工作的经济性、有效性和完整性。风险评估通过明确与安全风险相关的一系列因素的实际情况，得到以风险为度量的安全现状。只有以风险评估、控制和管理为目标，才能明确应被保护的资产是什么、实施保护的重点有哪些，进一步分析相应的威胁与脆弱性、已采取的安全措施的有效性，选择可采取的安全措施，真正做到安全工作有的放矢。安全评估由工具评估、人工评估、渗透测试、策略分析、安全审计等构成。其中安全审计又包括标准化审计、业务流程分析和网络架构分析，威胁分析等等。

    风险评估可以分为自评估、检查评估和委托评估等不同的形式。由于目前风险评估在具体操作中存在各种不同的方法，比如定性评估、定量评估或半定量评估等，所以在实施自评估或者委托评估之前最重要的是对评估方法进行规范，避免不同地区、不同部门采用不同的评估方法，造成数据的不统一，给总行的风险管理工作造成不必要的障碍。比如需要确定资产赋值的统一方法、脆弱性和威胁的对应关系、信息安全风险计算的方式和方法等等。

    3.3风险的监控

    巴塞尔银行监管委员会发布的操作风险的第五条管理原则是：银行应该建立经常性的操作风险监控流程，定期向管理层报告操作风险的相关信息，实现对操作风险的积极管理。

    由于银行业务的不断发展和信息技术的持续更新，信息系统始终处在不同的变更过程中；由于新的安全漏洞和威胁的不断出现，银行中的信息资产也会出现新的安全脆弱点，可能会影响到整个信息系统的安全风险状态和安全等级。所以，用户需要建立一套动态的安全状况跟踪和监控机制。所以根据具体需求，开发符合自身需要的一个标准化的信息资产风险管理系统是非常重要的。

    信息资产风险管理系统规范了风险管理中的各个要素以及识别、评估、监控、控制的全过程，对于银行总部统一管理各个分支机构的操作风险、实现有效数据收集能够起到很重要的作用。该系统可以实现信息系统的外部监控和内部监控，并且能够动态管理信息系统的风险状况和等级状态。外部监控主要包括对外部安全信息的收集和分析，包括信息系统涉及的厂家发布的安全信息跟踪、安全研究和事件响应（如CERT）组织发布的安全动向、以及其它网络资源（如邮件列表、民间安全论坛等），分析威胁、漏洞和安全环境的最新动向。内部监控是指对信息系统内部的信息资产变更、业务流程变更导致的信息系统调整、网络和系统安全配置变更、安全事件等进行记录和分析，及时把握信息系统安全状态和动向。所谓知己知彼，百战不殆，只有对外部环境和内部环境都有相当的了解，才能够在动态的环境中把握信息安全平衡。

    信息资产风险管理系统是进行风险实时监控的工具，对网络中所有资产、管理、运行相关的安全信息数据进行管理，同时在安全评估过程中自动产生相关人工评估表单、问卷等，对风险评估过程进行标准化，方便用户的自评估。所有安全信息都存放在后台的安全信息库，用户可使用随时对信息库进行访问和各种数据查询分析，输出或打印需要的相关报告，了解相应的信息系统的风险状况。该系统能详细的跟踪风险评估的各个阶段，并能有效的保留评估原始数据，提取风险的各种要素，并科学计算出每一个资产的风险值和信息系统风险状况。用户可以随时查看任何一个资产的风险值，如果经过多次风险要素采样以后还能直观的了解到整个资产的风险趋势图，同样用户能够更直接的获知当前系统存在的一些安全隐患，并详细的了解到如何来防范这些隐患从而降低风险。

    3.4风险的控制和缓解

    巴塞尔银行监管委员会发布的操作风险的第六条管理原则是：银行需建立策略、流程和步骤以控制和/或缓解操作风险。

    EBG发表的《电子银行风险管理原则》中的第四条到第十条对电子银行需要进行重点控制的几个部分进行了阐述，分别是：

    第四条　电子银行客户身份的识别

    第五条　电子银行交易的非拒绝性和可靠性

    第六条　确保职责分开的适当措施

    第七条　系统、数据库、应用的授权控制

    第八条　交易的数据、记录和信息的完整性

    第九条　交易的清晰审计记录的设立

    第十条　关键银行信息的保密

    第十一条　电子银行服务的适当披露

    对于不同安全等级要求的信息和信息系统，以及信息系统的不同阶段，我们都需要选择适当的安全控制方式。风险的处理方式可以参考AS/NZS 4360的建议方式进行处理，大致有降低可能性、减少影响、风险转移、风险规避、风险接受等几种方式。其中风险的接受程度依据安全级别的不同具有不同的接受程度。选定并开发安全控制措施后，列入安全规划，然后进行安全控制的有效性测试、实施和验证。

    巴塞尔银行监管委员会发布的操作风险的第七条管理原则是：银行需要建立业务应急和持续性计划以确保发生灾难事件时业务可以持续运作，将损失降到最小。

    业务应急和持续性计划对于降低安全事件的影响是非常重要的，是风险管理中的重要环节。业务持续性管理主要包括下面的内容：首先，评估灾难对业务的影响程度，并识别出对业务发展起关键作用的服务；然后，定义灾难后关键服务恢复所需的时间；第三，采取相应措施预防、检测灾难，降低灾难造成的损失，并进行详尽计划制订和演练测试。
    4 美国银行（Bank of America）的操作风险管理

    我们具有非常广泛和复杂的业务类型，成功的操作风险管理对于像我们一样的涉及面广泛的金融服务公司是非常重要的 ——美国银行2003年度报告

    美国银行是美国第三大银行，在三十个国家设有多达四千二百家分行，为多达三千万个家庭及二百万个商业客户提供服务。美国银行成立了企业操作风险管理部门和符合性风险管理部门，并通过培训等方式进行全员的操作风险和符合性意识教育。

    美国银行将操作风险分为两种类型：业务特定的操作风险；影响所有业务领域的企业范围的操作风险。美国银行在业务部门级别设立业务部门风险执行官，负责本部门内所有的操作风险。在管理他们的特定风险时，运用企业范围统一的操作风险策略、过程和评估方式。对于业务特定风险，企业操作和符合风险管理部门和业务部门一起制定符合整体策略的风险管理方法，同时参照业界的“最佳实践”。

    针对企业范围内的操作风险，比如信息安全、业务恢复、法律和符合性，操作和符合风险管理部门负责进行风险评估，开发一个企业范围内的统一方法，并且将该方法和每一个部门进行充分交流。为了帮助进行企业范围内的风险进行评估和管理，美国银行还雇用了专业支持小组，比如法律、信息安全、业务恢复、供应链管理、财务、技术和运作等。这些小组协助业务部门根据具体需要开发并实施了风险管理措施。

    操作和符合性风险管理部门还开发了管理和监控操作风险的重要工具。其中之一是企业范围内的每季度的一个自评估过程工具，能够帮助识别和评价当前的风险状况，以及相关的风险转移计划。这个自评估过程的重要目的是让管理层对变化中的环境及时掌握，并且帮助识别新出现的操作风险，并且确定如何在企业范围内管理这些风险。在这个过程中识别的风险还会被集成在每季度的财务预期中。除了这个自评估工具之外，美国银行还开发了关键操作风险指标，以帮助进行识别企业或特定业务部门内部的风险趋势和问题。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。