银行需要信息资产风险监管

作者： 张杰

　　银行资产风险管理监管，不是新话题，但说到银行信息资产风险监管，却是一个崭新的话题。在银行业务与信息化高度融合的业务处理系统、信息管理系统和决策支持系统中存在的信息资产风险，不仅涵盖了传统的操作风险、声誉风险和国家风险，而且使银行的经营管理和监督管理过程，表现出许多与信息化相关联的其他类型风险。

　　信息资产的风险对银行业金融机构综合风险的影响也越来越显著。可以说，银行业金融机构信息资产质量的高低，已直接关系到该机构的内控水平，要提高银行业金融机构内控能力，应从信息资产管理入手，全面提升机构内控的信息化内涵。

　　中国银监会 陈文雄

　　9月12日，记者就即将出台的《银行业信息资产风险监管暂行办法》，独家专访了中国银行业监督管理委员会信息中心处长、高级工程师陈文雄。他是这项工作的积极参与者和推动者之一。

　　8易其稿，即将出台

　　记者在采访陈文雄时，首先注意到了《银行业信息资产风险监管暂行办法》的名称及其法律来源。他表示，暂行办法的出台最早要追溯到去年2月，银行业监督管理法中明文规定要对银行业金融机构运用电子计算机管理业务数据系统进行检查。

　　暂行办法目前是送审稿，但预计今年底或明年初就会出台。“办法的名称和内容几经修改，有几次的修改是颠覆性的。”陈文雄说，“颠覆性就是整个办法从名称到内容都产生了重大的变化。”

　　从最初的《银行业金融机构运用电子计算机管理业务数据系统的监管检查办法(征求意见稿)》，到后来的《银行业金融机构计算机信息风险监管暂行办法》，再到如今的《银行业信息资产风险监管暂行办法》(送审稿)。从名称演变可以看出，银监会在信息资产风险管理的监管思路上在不断升华。

　　一方面，这与国际大背景有密切的关系。为了适应金融全球化趋势、金融风险管理技术的迅速发展以及计算机技术在银行业中的广泛运用，强化金融风险管理的新《巴塞尔资本协议》应运而生。部分国家的监管当局也在探索IT风险防范的新路子。另一方面，中国银行业在改制、上市及发展中，也迫切需要提高自身在风险管理方面的水平。

　　据陈文雄介绍，暂行办法大的修改就有七、八次，其中有几次几乎是推倒重来，而小的修改多达数十次。在暂行办法的起草过程中，银监会征求了国务院信息化办公室、银监局、部分商业银行的意见。到最后定稿时，工、农、中、建四大商业银行直接提出了具体的意见。

　　由于这部暂行办法起点高，而且可以参考和借鉴的国外经验和资料不多，因此，对银监会来说，也是一次全新的挑战。更重要的是，这部暂行办法一旦出台，紧接着，相关的配套的标准、实施细则也必须陆续出台。一旦转入实质性的监管阶段，银监会的责任和担子就会大大加强。而目前的主要障碍是机构、人员准备得还不够充分。

　　将风险管理价值化

　　与旧版巴塞尔协议不同的是，新巴塞尔协议改变了原来只对信用风险进行资本监管，扩展到将操作风险也纳入了资本监管的范围。

　　风险管理的理念，在新巴塞尔协议中得到了进一步强化。也就是说，在新的形势下，银行业不仅要在宏观管理层面上要求有统一的风险管理战略、风险管理政策、风险管理制度、风险管理文化。在微观操作层面上，不但要重视对传统的信用风险的管理，而且要全面考虑对市场风险、操作风险等风险因素的管理。风险管理必须逐步应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面，贯穿于业务经营管理的全过程。

　　陈文雄表示，将风险管理价值化，就意味着要对风险进行量化，这的确是一个难点问题。虽然我国的银行业信息化水平在不断提高，而且信息安全措施也在不断完善。但是，信息安全的风险管理只是银行业信息资产风险管理若干问题中的一个环节和方面，无法覆盖信息化的全部，尤其是机构内控问题。

　　信息资产风险监管关注的是信息化的全过程，包含信息化的规划、信息化项目的实施与管理、信息安全、信息化项目审计、信息资产风险评估。信息安全是信息资产风险监管的重要组成部分，它主要关注技术风险防范。所以以信息资产风险监管为契机，可以更好地把信息安全工作做“深”，做“实”。

　　暂行办法的精髓在于，它强调信息资产风险监管要坚持“管法人、管风险、管内控、增强透明度”的理念，以防范和化解风险为中心，以法人为主体，综合运用现场检查、非现场分析与评价、发布规章指引、强化市场约束等手段，同时遵循“谁主管、谁负责，谁运营、谁负责”的信息安全管理原则，搞好监管工作。

　　陈文雄最后强调，以资产风险方式进行监督和管理，要关注资产质量、资产保值、增值和资产的风险。同时，提高机构内部控制的信息化水平也是信息资产保值、增值和降低资产风险的主要内容。

　　法规源头

　　2004年2月，《中华人民共和国银行业监督管理法》正式实施。监督管理法第三十四条:

　　银行业监督管理机构根据审慎监管的要求，可以采取下列措施进行现场检查:

　　1、进入银行业金融机构进行检查;

　　2、询问银行业金融机构的工作人员,要求其对有关检查事项作出说明;

　　3、查阅、复制银行业金融机构与检查事项有关的文件、资料,对可能被转移、隐匿或者毁损的文件、资料予以封存;

　　4、检查银行业金融机构运用电子计算机管理业务数据的系统。

　　信息资产风险监管的几个定义

　　1、信息资产，是指银行业金融机构运用信息技术处理业务活动的信息系统及其所产生的生产经营信息、研发和服务能力、管理水平以及其他与信息化相关的各种有形和无形资产。

　　2、信息资产风险，是指信息资产在形成、运用、管理过程中产生的各类风险。

　　3、信息资产风险监管的目标是通过依法、公正、公开和效率监管，促进我国银行业的合法、持续、稳健运行。

　　4、信息资产风险监管的主要内容:信息资产的发展规划管理、信息安全、信息资产审计和信息资产风险评估。

　　《银行业信息资产风险监管暂行办法》(送审稿)的三部曲

　　1、2004年5月，召集国有商业银行信息科技部负责同志和稽核部门的同志，座谈编写计算机检查办法的方式;

　　2、10月《银行业金融机构运用电子计算机管理业务数据系统的监管检查办法(征求意见稿)》向办公厅、法规部、各监管部、统计部、各银监局、各政策性银行、国有商业银行和部分股份制商业银行征求意见;

　　3、11月《银行业金融机构计算机信息风险监管暂行办法》征求办公厅、法规部、各监管部、统计部、国际部、人事部、部分银监局、国有商业银行意见;

　　4、2005年1月形成《银行业信息资产风险监管暂行办法》。

来源： 中国计算机用户