銀行信息風險評估實證研究范文

本站小編為你精心準備了銀行信息風險評估實證研究參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

隨著信息技術在商業銀行的逐步發展和應用,信息科技風險管理日益被商業銀行提上日程,成為一門新興的應用管理學科,對信息科技風險的管理也已成為商業銀行全面風險管理中的一個重要組成部分。由于在信息科技業務開展過程中缺乏客觀而完整的風險管理視圖,各項工作受人員個人經驗或偏好影響,造成信息科技風險管理的隨意性,以及常規定性為主的風險評估方法尚欠科學性,評估輸入項不規范、不全面,評估結果也不一致,對同一場景的定性評估也因人而異。2009年6月,銀監會《商業銀行信息科技風險管理指引》,對商業銀行進行信息科技風險的非現場監管與建立信息科技風險評估體系提出了要求。

中國商業銀行信息科技風險管理評估還處在研究發展階段,為了使中國商業銀行對信息科技的使用狀況進行評估,使商業銀行更全面、更科學地掌握自身信息科技風險情況,評估其在防控各種信息科技風險方面的總體效果,從而對商業銀行的信息科技風險表現形態和內在風險控制能力進行的科學、審慎的評估與判斷,制定相應的管理措施,達到防范信息科技風險的目的。本文在借鑒美國金融業統一的技術風險評估體系URSIT(UniformRatingSys-temInformationTechnology)①和國際公認的信息系統安全與技術管理和控制標準COBIT(ControlObjectivesforInformationandRelatedTechnolo-gy)②的經驗、方法和成果基礎之上,結合中國商業銀行風險評估的特點,特別是商業銀行信息科技風險關注點,構造了適合中國商業銀行信息科技風險的評估模型、指標體系。

一、信息科技風險評估體系設計思想

URSIT是美國聯邦機構金融檢查委員會(FederalFinancialInstitutionsExaminationCoun-cil,FFIEC)制定的與駱駝(CAMELS)評級體系相一致的美國金融業統一的技術風險評級體系[1]。1978年,FFIEC首次推薦各金融機構采用URSIT,它作為一套專門的技術風險監管工具被美國的金融機構以及IT服務提供商廣泛應用在技術風險檢查中[2]。

隨著信息技術的不斷進步與發展,URSIT也進行了多次相應的修改。1998年,FFIEC在參考了COBIT基礎之上,結合金融行業的特點,增加了衡量執行效果的判斷標準,使URSIT更科學,也更易于執行[3]。

中國商業銀行信息科技風險評估體系在表達上與《商業銀行信息科技風險管理指引》和《股份制商業銀行風險評級體系》保持一致[4]153-167,首先確定若干評估度量域,每一個度量域包含若干度量類,在確定評估度量域時,借鑒銀監會《商業銀行信息科技風險管理指引》的九個方面:信息科技治理,信息科技風險管理,信息安全,系統開發、測試與維護,信息科技運行,業務連續性管理,外包管理,內部審計和外部審計,同時結合中國商業銀行信息科技風險特征進行設置。

二、多級指標體系的構建

考慮到評級指標有多個類別和多個層次的特性,中國商業銀行信息科技風險指標體系結構可以采用多級指標形式,即在每一父類指標下又包含若干個子類指標[5]。按照從屬關系依次分為度量域、度量類、度量項等。如果一個指標下又包含多個指標,則該指標稱為一個指標項,否則成為一個指標。信息科技風險評級指標體系以ISO27001標準所約定的信息安全管理體系的框架,采用域、類、指標劃分的三層結構,從上到下分別包含9個域、46類和841項度量指標[6]。具體的商業銀行信息科技風險評級指標體系結構如表1所示。

我們把綜合評級中的九評級單項指標稱為“一級指標”。綜合評級的分值由九個“一級指標”分值加權匯總求得。從單項評級模型上看,每個單項評級指標(一級指標)的分值又由其下的多個指標(二級指標)分值加權匯總得出。“三級指標”分值加權匯總得出“二級指標”的分值。如果“三級指標”仍不能獨立說明情況,還需要其他多個指標來輔助,那么就需要制定“四級指標”。單項評級模型中的指標級數可根據需要來確定。

三、評估模型的設計

中國商業銀行信息科技風險評估模型是由單項評估模型和綜合評估模型組成,各項指標歸屬于不同的信息科技域、相關主題和責任部門,通過對各單項指標評估數據的匯總,可以形成對商業銀行信息科技風險的整體評估[7]。

單項評估模型為:

在進行信息科技風險單項評估時,根據按照已經設定好的單項指標評分標準進行評分,并賦予不同的指標相應的權重屬性,最后進行加權求和得出單項評估分值。

評估信息科技風險管理工作成效,需要考慮控制措施定義、控制措施執行情況和工作記錄情況三個方面,結合控制缺失造成風險的高低,最終進行綜合評估。為此,我們假設單項指標的評分標準為0、1、2、3、4、5共六個級別。例如,單項評估中A域的“信息安全管理體系”,包含有n個度量類;Ai表示為A域中第i個度量類的分值,它是一個0~5之間的值,此評估標準綜合評估模型為:Risk=A×WA+B×WB+…+J×WJ其中,變量Risk表示為商業銀行信息科技風險總量;變量A,B,…,X表示為商業銀行信息科技風險中相關的度量域;變量WA,WB,…,WX表示A,B,…,X各度量域的綜合評估權重值。

四、評估中應注意的問題

(一)權重的確定

指標權重的選取對最終的評級結果很重要,不同指標在技術風險監管中的重要程度不盡相同[8]。因此應該根據具體情況考慮給不同的指標賦予適當的權重,以表明其重要性。

指標權重的確定方法可分為主觀賦權法和客觀賦權法[9]。主觀賦權法是根據人們主觀上對各指標的重要程度理解來決定權重的方法,如Delphi方法;而客觀賦權法就是根據各指標間的相關關系或各指標值的差異程度來確定權重,如主成分分析法、熵值法、相關系數法等。另外,還有層次分析法,它實際上是一種主客觀相結合的賦權方法。筆者建議將多種賦權方法組合使用,即以Delphi法通過反復征求專家意見得到不同指標權重的初值;再通過層次分析法根據各指標權重的相對重要性構造判斷矩陣,計算出各層次指標的組合權重;最后利用熵值法對得到的組合權重進行修正。

應該說明的是,隨著中國對銀行信息科技風險監管的加強和重視,不同指標的權重大小應隨著銀行信息科技風險的變化和監管的重點與難點的變化而適時做出調整。

(二)篩選形成信息科技風險評估控制表和信息科技風險評估表

對于信息科技風險評估控制表和信息科技風險評估表的篩選應按以下步驟進行:1.篩選工具。選用Excel2003或Excel2007作為篩選工具。Excel2003可以滿足一般的篩選功能,Excel2007在進行多項條件(兩項以上)篩選時更加方便。

2.分情況篩選。在確定信息科技風險評估對象所涉及單位、參與評估的人員崗位、一級控制域和二級控制域后,可按照以下步驟對信息科技風險評估控制矩陣進行篩選。

(1)根據評估對象所屬控制域對“一級控制域”和“二級控制域”列進行篩選。假定評估對象所屬的一級控制域為“信息安全”,二級控制域為“物理及環境的安全管理”,篩選時應選擇一級控制域列為“信息安全”并且二級控制域列為“物理及環境的安全管理”的篩選條件,完成篩選。

(2)根據評估對象所涉及單位,對“適用單位”列進行篩選。

假定評估對象是所涉及的單位是數據中心(上海),篩選時應選擇“適用單位”列包含“所有單位”或“數據中心(上海)”的篩選條件,完成篩選。選擇多項條件時通過“自定義”設置選項。在彈出的自定義自動篩選方式窗口中,適用單位選擇的設置。如果使用Excel2007,可直接勾選多項條件。

(3)根據評估對象涉及的人員崗位,對“適用角色”列進行篩選。

假定評估對象是所涉及的人員崗位包括“項目經理”和“所有崗位”,篩選時應選擇“適用角色”列包含“所有崗位”或“項目經理”的篩選條件,完成篩選。

3.形成信息科技風險評估控制表和信息科技

風險評估表。在完成上述篩選工作后,還需要按照以下步驟形成信息科技風險評估控制表和信息科技風險評估表。

(1)將從信息科技風險評估控制矩陣中篩選出來的行和表頭全部都拷貝到一個新表中,形成信息科技風險評估控制表,作為單獨文件保存。

(2)以信息科技風險評估控制表為基礎,刪除表中的“風險值”、“參考文件”、“參考文件章節”、“適用單位”、“適用角色”列的內容,形成信息科技風險評估表,作為單獨文件保存。

(3)應按照模板要求調整信息科技風險評估控制表和信息科技風險評估表格式,包含模版中的基本要素,并且盡量美觀,方便填寫。

五、實證分析

對某行的運行管理領域開展信息科技風險評估,下面為應用此評估模型實證檢驗的結果(見表3)及分析。

1.變更管理。變更管理包括版本投產變更和運行變更管理兩部分,共包括20個風險點,126個題目,存在差異項28個,占評估要點的22.22%。評估發現的差異項主要體現在變更申請、變更方案的制定等方面。

在變更要素的規范性方面,某行存在的差異主要包括變更申請時間不符合要求、變更回退方案不夠詳細、變更審批流程不規范等方面,要求加強變更管理,嚴格執行科技制度的有關規定。

2.操作管理。本次操作管理領域風險評估共包括14個風險點,29個題目,存在差異項13個,占評估要點的44.83%。評估發現的差異項主要體現在操作培訓、操作準備、操作實施、操作記錄方面的風險。

在操作實施方面,由于分行操作人員有限,目前無法對所有生產操作內容做到全部雙人操作,部分操作只能做到事后檢查復核,可能存在一定的操作風險。建議基于現狀加強事后檢查復核的力度,通過補償控制措施降低操作風險。

3.事件管理。本次事件管理領域風險評估共包括14個風險點,53個題目,存在差異項9個,占評估要點的16.98%。評估發現的差異項主要體現在生產故障事件報告、生產故障事件受理、生產故障事件解決、生產故障事件反饋方面的風險。某行在生產故障事件反饋環節對于一些業務部門提交的事件單,在事件解決后由于各種原因無法及時聯系到業務部門人員,無法按照制度要求在一個工作日內關閉事件。

4.數據管理。本次數據管理領域風險評估共包括13個風險點,61個題目,存在差異項10個,占評估要點的16.39%。評估發現的差異項主要體現在數據存儲介質和數據抽檢管理、數據保密管理、數據變形策略等方面。其中數據變形策略在某行實際工作中尚未開展,主要原因是某行缺乏成熟的數據變形策略,目前暫未下發過某行數據變形工具,某行無法對數據實施變形。

5.問題管理。本次問題管理領域風險評估共包括6個風險點,14個題目,存在差異項2個,占評估要點的14.29%。評估發現的差異項主要體現在問題反饋、問題匯總、分析方面。生產問題已經納入ServiceDesk系統統一管理,但目前某行未按照制度規定將問題資料統一編號、整理、歸檔。

6.應急管理。應急管理包括應急管理和遠程應急管理兩部分,本領域風險評估共包括11個風險點,32個題目,存在差異項2個,占評估要點的6·25%。差異項主要體現在應急準備、應急接管環境的日常維護方面。經評估組分析,本領域發現的差異項對實際工作影響較小,風險可接受。