銀行管理論文-基于ＣＯＢＩＴ的網(wǎng)上銀行風(fēng)險(xiǎn)評估體系研究.doc

銀行管理論文-基于的網(wǎng)上銀行風(fēng)險(xiǎn)評估體系研究內(nèi)容摘要:作為金融創(chuàng)新之一的網(wǎng)上銀行,在快速發(fā)展的同時(shí)也蘊(yùn)含了巨大的風(fēng)險(xiǎn)。本文在借鑒COBIT框架基礎(chǔ)上,建立一套符合我國實(shí)際的網(wǎng)上銀行風(fēng)險(xiǎn)評估體系,以全面動態(tài)地評價(jià)網(wǎng)上銀行風(fēng)險(xiǎn),從而實(shí)現(xiàn)對網(wǎng)上銀行的分級監(jiān)管,促進(jìn)電子金融業(yè)的健康穩(wěn)定發(fā)展。關(guān)鍵詞:COBIT網(wǎng)上銀行風(fēng)險(xiǎn)評估目前,世界范圍內(nèi)的金融危機(jī)讓人們開始重新審視金融創(chuàng)新所蘊(yùn)含的巨大風(fēng)險(xiǎn)。作為金融創(chuàng)新之一的網(wǎng)上銀行以其低成本、高效益、方便快捷、應(yīng)用廣泛的特點(diǎn),顯示出強(qiáng)大生命力,同時(shí)也由于它是建立在開放網(wǎng)絡(luò)上的銀行信息系統(tǒng),技術(shù)風(fēng)險(xiǎn)的負(fù)面效應(yīng)及控制不當(dāng),會導(dǎo)致風(fēng)險(xiǎn)的大量聚集和擴(kuò)散,引發(fā)馬太效應(yīng)。而傳統(tǒng)的風(fēng)險(xiǎn)監(jiān)管措施存在滯后現(xiàn)象,難以應(yīng)對網(wǎng)上銀行日益頻發(fā)的風(fēng)險(xiǎn)危機(jī)。要使監(jiān)管當(dāng)局更加全面、直接的掌握網(wǎng)上銀行風(fēng)險(xiǎn)的實(shí)際情況,識別、評估各種風(fēng)險(xiǎn)的總體有效程度,需要建立網(wǎng)上銀行風(fēng)險(xiǎn)評級體系。作為網(wǎng)上銀行風(fēng)險(xiǎn)監(jiān)管有效工具的風(fēng)險(xiǎn)評級,它的核心內(nèi)容是通過一定的風(fēng)險(xiǎn)評級模型對監(jiān)管對象的風(fēng)險(xiǎn)狀況和風(fēng)險(xiǎn)管理能力進(jìn)行等級劃分,從而對其風(fēng)險(xiǎn)表現(xiàn)形態(tài)和內(nèi)部風(fēng)險(xiǎn)控制能力進(jìn)行科學(xué)判斷,進(jìn)而有針對性采取監(jiān)管措施,改善風(fēng)險(xiǎn)狀況,提高監(jiān)管效率。許多權(quán)威的信息系統(tǒng)風(fēng)險(xiǎn)評級體系都參考了國際上公認(rèn)最為權(quán)威的信息系統(tǒng)安全與技術(shù)管理和控制標(biāo)準(zhǔn)COBIT(ControlObjectivesForInformationandRelatedTechnology),它已經(jīng)成為國際上對信息和信息資源進(jìn)行風(fēng)險(xiǎn)評估和控制的實(shí)施標(biāo)準(zhǔn),被廣泛采用并取得了很好的效果。COBIT目標(biāo)控制體系概述COBIT是由信息系統(tǒng)審計(jì)與控制基金會(ISACF)與IT治理研究所(IGI)共同研究與開發(fā),并于1996年由信息系統(tǒng)審計(jì)和控制協(xié)會(ISACA)頒布的信息系統(tǒng)安全與技術(shù)管理和控制標(biāo)準(zhǔn)。COBIT是信息管理系統(tǒng)監(jiān)管層面的高級控制目標(biāo),比單純信息安全的視角更廣。它從一個(gè)簡單而實(shí)際的假設(shè)開始:為了提供組織(政府或企業(yè))達(dá)到其目標(biāo)而需要的信息,IT資源需要由一組自然分類的IT過程(ITProcesses)管理。根據(jù)這一假設(shè),IT資源、IT處理過程和業(yè)務(wù)需求三者之間存在密不可分的聯(lián)系。COBIT控制目標(biāo)體系將IT過程、IT資源及組織的策略與目標(biāo)聯(lián)系起來,形成一個(gè)三維的體系結(jié)構(gòu)(見圖1)。信息準(zhǔn)則維度集中反映了組織的戰(zhàn)略目標(biāo),主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源維度主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)資源,這是IT治理過程的主要對象；IT過程維度則是在IT準(zhǔn)則的指導(dǎo)下,對信息及相關(guān)資源進(jìn)行規(guī)劃與處理,從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控四個(gè)方面確定了34個(gè)信息技術(shù)處理過程,每個(gè)處理過程包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針,對IT處理過程進(jìn)行評估。網(wǎng)上銀行信息系統(tǒng)及風(fēng)險(xiǎn)分析網(wǎng)上銀行是以Internet技術(shù)為支撐,以客戶終端的計(jì)算機(jī)系統(tǒng)為主體,以互聯(lián)網(wǎng)網(wǎng)頁為交易平臺,以銀行強(qiáng)大的綜合業(yè)務(wù)計(jì)算機(jī)處理系統(tǒng)為后臺,以網(wǎng)絡(luò)安全認(rèn)證加密技術(shù)為保障的一種新興的非現(xiàn)場客戶信息交易服務(wù)系統(tǒng)。它是一個(gè)涉及計(jì)算機(jī)技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)、金融理論與實(shí)務(wù)、現(xiàn)代金融管理等多個(gè)學(xué)科的復(fù)雜系統(tǒng),現(xiàn)有的網(wǎng)上銀行技術(shù)結(jié)構(gòu)是根據(jù)其業(yè)務(wù)需求、安全要求及與其他銀行業(yè)務(wù)信息系統(tǒng)之間的關(guān)系等進(jìn)行科學(xué)配置而成的。盡管各商業(yè)銀行根據(jù)其對風(fēng)險(xiǎn)認(rèn)識的不同和自身業(yè)務(wù)功能的差異,會有不同類型的設(shè)計(jì)和組合,但網(wǎng)上銀行基本的技術(shù)構(gòu)成是類似的,主要由九個(gè)部分組成:客戶瀏覽器、路由器防火墻、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、RAS服務(wù)器、通信服務(wù)器、SNA網(wǎng)關(guān)和銀行主機(jī)系統(tǒng)(見圖2)。網(wǎng)上銀行風(fēng)險(xiǎn)的最大來源是它所依托的互聯(lián)網(wǎng)絡(luò)。作為一套基于互聯(lián)網(wǎng)絡(luò)的信息系統(tǒng),它把銀行和客戶通過Internet連接起來,提供聯(lián)機(jī)的銀行業(yè)務(wù)操作。在這個(gè)開放的網(wǎng)絡(luò)平臺上,風(fēng)險(xiǎn)的聚集和擴(kuò)散速度遠(yuǎn)遠(yuǎn)超過傳統(tǒng)銀行。網(wǎng)上銀行風(fēng)險(xiǎn)的放大和擴(kuò)散,很容易波及到傳統(tǒng)銀行,發(fā)生擠兌風(fēng)潮,引發(fā)馬太效應(yīng),使整個(gè)網(wǎng)上銀行業(yè)信譽(yù)崩潰,帶來巨大的經(jīng)濟(jì)影響和金融危機(jī)。網(wǎng)上銀行的風(fēng)險(xiǎn)從業(yè)務(wù)和技術(shù)角度分為兩大類,分別是基于虛擬金融服務(wù)品種形成的業(yè)務(wù)風(fēng)險(xiǎn)和基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的技術(shù)風(fēng)險(xiǎn)。作為傳統(tǒng)銀行延續(xù)的網(wǎng)上銀行,它在經(jīng)營過程中帶有傳統(tǒng)銀行的各種業(yè)務(wù)風(fēng)險(xiǎn)；網(wǎng)上銀行又是傳統(tǒng)銀行的創(chuàng)新,它的存在形態(tài)虛擬化、運(yùn)行方式網(wǎng)絡(luò)化的特點(diǎn)決定了網(wǎng)上銀行風(fēng)險(xiǎn)又帶有許多新的技術(shù)特性。網(wǎng)上銀行的技術(shù)風(fēng)險(xiǎn)具有非行業(yè)性和外生性的特點(diǎn),其產(chǎn)生不僅依賴于市場價(jià)格的波動、經(jīng)濟(jì)增長的質(zhì)量,而且依賴于軟硬件配置、技術(shù)設(shè)備的可靠程度、控制和管理能力、選擇開發(fā)商、供應(yīng)商、咨詢或評估公司的水平。發(fā)生技術(shù)風(fēng)險(xiǎn)時(shí),銀行要承擔(dān)更大的資金損失和更多的成本修復(fù),并引發(fā)一系列的負(fù)面效應(yīng)?；贑OBIT的網(wǎng)上銀行風(fēng)險(xiǎn)評估體系建立面對網(wǎng)上銀行業(yè)務(wù)的迅速發(fā)展和風(fēng)險(xiǎn)事件的頻發(fā),我國銀行監(jiān)管當(dāng)局已經(jīng)著手建立能夠全面動態(tài)評價(jià)網(wǎng)上銀行風(fēng)險(xiǎn),實(shí)現(xiàn)分級監(jiān)管的風(fēng)險(xiǎn)評估體系?；贑OBIT標(biāo)準(zhǔn)構(gòu)建網(wǎng)上銀行風(fēng)險(xiǎn)評級體系,將有助于對網(wǎng)上銀行信息系統(tǒng)的建設(shè)、運(yùn)行和維護(hù)過程進(jìn)行分析研究,有效評估網(wǎng)上銀行信息系統(tǒng)的相關(guān)風(fēng)險(xiǎn),指導(dǎo)建立相應(yīng)的分級監(jiān)管機(jī)制,將網(wǎng)上銀行信息系統(tǒng)的風(fēng)險(xiǎn)置于有效的管理與控制之下。網(wǎng)上銀行風(fēng)險(xiǎn)評級體系在指標(biāo)設(shè)計(jì)上應(yīng)遵從全面性、獨(dú)立性、可計(jì)量性、可操作性原則。全面性即指標(biāo)體系能夠?qū)Ρ粰z查機(jī)構(gòu)的技術(shù)風(fēng)險(xiǎn)和管理活動進(jìn)行全面的、毫無遺漏的反映；獨(dú)立性是指同一層次的指標(biāo)間必須相互獨(dú)立,指標(biāo)間的重疊和包含應(yīng)盡可能的少,不能存在因果關(guān)系；可計(jì)量性指體系中指標(biāo)的計(jì)算方法應(yīng)當(dāng)明確,不應(yīng)過于復(fù)雜；可操作性是指數(shù)據(jù)的獲取應(yīng)盡可能和技術(shù)風(fēng)險(xiǎn)現(xiàn)場檢查同步,將指標(biāo)體系的簡明性和復(fù)雜性很好地結(jié)合起來。網(wǎng)上銀行風(fēng)險(xiǎn)評估體系設(shè)計(jì)在內(nèi)容上要包括能夠反映網(wǎng)上銀行整體計(jì)算機(jī)技術(shù)審計(jì)工作充分性的指標(biāo),反映信息系統(tǒng)開發(fā)與運(yùn)行管理水平的指標(biāo),反映被評級機(jī)構(gòu)識別、獲取、配置、維護(hù)信息技術(shù)解決方案能力的指標(biāo)和反映被評級機(jī)構(gòu)在一個(gè)安全的環(huán)境下提供技術(shù)支持與服務(wù)能力的指標(biāo)。網(wǎng)上銀行風(fēng)險(xiǎn)評估體系評估指標(biāo)的設(shè)立也要根據(jù)不同的風(fēng)險(xiǎn)來確定。總的來說是選擇一組或多組具有關(guān)鍵性、穩(wěn)定性、敏感性和可測性的指標(biāo)作為預(yù)警指標(biāo),確定各指標(biāo)的風(fēng)險(xiǎn)區(qū)間和臨界值,通過觀察指標(biāo)的變動情況判斷即時(shí)風(fēng)險(xiǎn)程度和未來風(fēng)險(xiǎn)的變動趨勢。在設(shè)立評價(jià)指標(biāo)時(shí)應(yīng)結(jié)合定量分析和定性分析分別考慮。在建立風(fēng)險(xiǎn)評價(jià)模型的分析過程中,采集大量相關(guān)數(shù)據(jù)和基本信息,經(jīng)不斷檢驗(yàn)其有效性,篩選出若干個(gè)預(yù)測能力最強(qiáng)的變量信息來建立最終的評價(jià)模型。在確定評價(jià)指標(biāo)時(shí),參考COBIT控制目標(biāo),確定四個(gè)一級指標(biāo)和若干個(gè)二、三級指標(biāo)(見表1)。風(fēng)險(xiǎn)評價(jià)指標(biāo)確定后,應(yīng)在全面細(xì)致分析每一個(gè)指標(biāo)性質(zhì)、類型基礎(chǔ)上,確認(rèn)風(fēng)險(xiǎn)評估的重點(diǎn)方向和指標(biāo)評分權(quán)重。結(jié)合我國網(wǎng)上銀行風(fēng)險(xiǎn)特點(diǎn),不同的評級指標(biāo)有不同的權(quán)重,各評級單項(xiàng)指標(biāo)的分值由其下各小項(xiàng)加權(quán)匯總得出,根據(jù)總分的高低設(shè)立不同的等級標(biāo)準(zhǔn)和區(qū)間,一般設(shè)定A、B、C、D、E五個(gè)從高到低的等級。評級結(jié)果將作為監(jiān)管的基本依據(jù),用以確定對網(wǎng)上銀行現(xiàn)場檢查的頻率、范圍和依法采取的風(fēng)險(xiǎn)控制措施。風(fēng)險(xiǎn)評級的目的是向銀行監(jiān)管當(dāng)局提交評估報(bào)告,真實(shí)反映網(wǎng)上銀行的風(fēng)險(xiǎn)狀況,進(jìn)而制定規(guī)避風(fēng)險(xiǎn)的措施和監(jiān)管策略。在風(fēng)險(xiǎn)評級的基礎(chǔ)上,監(jiān)管當(dāng)局可以對不同風(fēng)險(xiǎn)級別的網(wǎng)上銀行進(jìn)行分級管理。不同級別的監(jiān)管類型在檢查程序、檢查順序、檢查內(nèi)容以及檢查人員等方面都要體現(xiàn)差異性。評定的級別不是一成不變的,一般每個(gè)檢查周期完成之后要根據(jù)檢查結(jié)構(gòu)重新確定級別,檢查之前,也要根據(jù)兩次相鄰檢查期間內(nèi)銀行風(fēng)險(xiǎn)變化的情況,對前一次級別做適當(dāng)調(diào)整。而監(jiān)管的級別實(shí)際上是以調(diào)整后的級別為依據(jù)的。有效的分級監(jiān)管可以更大程度的保障網(wǎng)上銀行系統(tǒng)的安全,維護(hù)電子金融秩序的穩(wěn)定。綜上所述,我國網(wǎng)上銀行風(fēng)險(xiǎn)評級工作開始比較晚,尚處于起步階段,有關(guān)評估的指引和標(biāo)準(zhǔn)還在編制完善之中。監(jiān)管機(jī)構(gòu)要對網(wǎng)上銀行風(fēng)險(xiǎn)評估