细化商业银行操作风险管理的新思路
[摘要]突发事件的攀升及美国次级债的恶化,使操作风险的内部管理和外
部监管越来越受到重视。为了加强我国商业银行的操作风险管理,银监会于
2007 年 6 月在其网站公布《商业银行操作风险管理指引》,就如何管理、计量
操作风险进行阐述,再次说明这是当前银行业风险管理面临的一项重要挑战。
本文在分析巴塞尔新资本协议操作风险和实际工作的基础上,提出将信息资产
作为商业银行一类特殊产品线,采用信息安全管理体系 IS027001 完善和细化操
作风险管理,以此提升风险管理和内控能力。
[关键词]巴塞尔新资本协议;操作风险管 ;IS027001;信息资产
金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银
行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内
外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融
监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004 年发
布的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了
明确的监管资本要求。2007 年我国银监会再次对其进行解读和说明。然而,由
于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有
和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量
方法,是一项十分重要而紧迫的课题。
一、操作风险管理的困惑与问题
到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业
银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大
多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善
或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议
从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺
诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银
行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理
等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品
线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行
业务、支付和结算、代理业务、资产管理和零售经纪八大类,并对每一类产品
分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本
要求。
巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角
度要求商业银行应该建立什么 样的组织、制度和流程,并未给出管理操作风险
的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一
类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成
其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然
而,由于信息资产对 IT 系统的依赖性很强,绝大部分具有无形化、易变化、易
传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银
行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一