關(guān)莉莉

中圖分類號(hào):F830 文獻(xiàn)標(biāo)識(shí)碼:A

內(nèi)容摘要:作為金融創(chuàng)新之一的網(wǎng)上銀行,在快速發(fā)展的同時(shí)也蘊(yùn)含了巨大的風(fēng)險(xiǎn)。本文在借鑒COBIT框架基礎(chǔ)上,建立一套符合我國(guó)實(shí)際的網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)估體系,以全面動(dòng)態(tài)地評(píng)價(jià)網(wǎng)上銀行風(fēng)險(xiǎn),從而實(shí)現(xiàn)對(duì)網(wǎng)上銀行的分級(jí)監(jiān)管,促進(jìn)電子金融業(yè)的健康穩(wěn)定發(fā)展。

關(guān)鍵詞:COBIT 網(wǎng)上銀行 風(fēng)險(xiǎn)評(píng)估

目前,世界范圍內(nèi)的金融危機(jī)讓人們開始重新審視金融創(chuàng)新所蘊(yùn)含的巨大風(fēng)險(xiǎn)。作為金融創(chuàng)新之一的網(wǎng)上銀行以其低成本、高效益、方便快捷、應(yīng)用廣泛的特點(diǎn),顯示出強(qiáng)大生命力,同時(shí)也由于它是建立在開放網(wǎng)絡(luò)上的銀行信息系統(tǒng),技術(shù)風(fēng)險(xiǎn)的負(fù)面效應(yīng)及控制不當(dāng),會(huì)導(dǎo)致風(fēng)險(xiǎn)的大量聚集和擴(kuò)散,引發(fā)馬太效應(yīng)。而傳統(tǒng)的風(fēng)險(xiǎn)監(jiān)管措施存在滯后現(xiàn)象,難以應(yīng)對(duì)網(wǎng)上銀行日益頻發(fā)的風(fēng)險(xiǎn)危機(jī)。

要使監(jiān)管當(dāng)局更加全面、直接的掌握網(wǎng)上銀行風(fēng)險(xiǎn)的實(shí)際情況,識(shí)別、評(píng)估各種風(fēng)險(xiǎn)的總體有效程度,需要建立網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)級(jí)體系。作為網(wǎng)上銀行風(fēng)險(xiǎn)監(jiān)管有效工具的風(fēng)險(xiǎn)評(píng)級(jí),它的核心內(nèi)容是通過一定的風(fēng)險(xiǎn)評(píng)級(jí)模型對(duì)監(jiān)管對(duì)象的風(fēng)險(xiǎn)狀況和風(fēng)險(xiǎn)管理能力進(jìn)行等級(jí)劃分,從而對(duì)其風(fēng)險(xiǎn)表現(xiàn)形態(tài)和內(nèi)部風(fēng)險(xiǎn)控制能力進(jìn)行科學(xué)判斷,進(jìn)而有針對(duì)性采取監(jiān)管措施,改善風(fēng)險(xiǎn)狀況,提高監(jiān)管效率。許多權(quán)威的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)級(jí)體系都參考了國(guó)際上公認(rèn)最為權(quán)威的信息系統(tǒng)安全與技術(shù)管理和控制標(biāo)準(zhǔn)COBIT(Control Objectives For Information and Related Technology),它已經(jīng)成為國(guó)際上對(duì)信息和信息資源進(jìn)行風(fēng)險(xiǎn)評(píng)估和控制的實(shí)施標(biāo)準(zhǔn),被廣泛采用并取得了很好的效果。

COBIT目標(biāo)控制體系概述

COBIT是由信息系統(tǒng)審計(jì)與控制基金會(huì)(ISACF)與IT治理研究所(IGI)共同研究與開發(fā),并于1996年由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)頒布的信息系統(tǒng)安全與技術(shù)管理和控制標(biāo)準(zhǔn)。COBIT是信息管理系統(tǒng)監(jiān)管層面的高級(jí)控制目標(biāo),比單純信息安全的視角更廣。它從一個(gè)簡(jiǎn)單而實(shí)際的假設(shè)開始:為了提供組織(政府或企業(yè))達(dá)到其目標(biāo)而需要的信息,IT資源需要由一組自然分類的IT過程(IT Processes)管理。根據(jù)這一假設(shè),IT資源、IT處理過程和業(yè)務(wù)需求三者之間存在密不可分的聯(lián)系。COBIT控制目標(biāo)體系將IT過程、IT資源及組織的策略與目標(biāo)聯(lián)系起來(lái),形成一個(gè)三維的體系結(jié)構(gòu)(見圖1)。

信息準(zhǔn)則維度集中反映了組織的戰(zhàn)略目標(biāo),主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性;IT資源維度主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)資源,這是IT治理過程的主要對(duì)象;IT過程維度則是在IT準(zhǔn)則的指導(dǎo)下,對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理,從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控四個(gè)方面確定了34個(gè)信息技術(shù)處理過程,每個(gè)處理過程包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針,對(duì)IT處理過程進(jìn)行評(píng)估。

網(wǎng)上銀行信息系統(tǒng)及風(fēng)險(xiǎn)分析

網(wǎng)上銀行是以Internet技術(shù)為支撐,以客戶終端的計(jì)算機(jī)系統(tǒng)為主體,以互聯(lián)網(wǎng)網(wǎng)頁(yè)為交易平臺(tái),以銀行強(qiáng)大的綜合業(yè)務(wù)計(jì)算機(jī)處理系統(tǒng)為后臺(tái),以網(wǎng)絡(luò)安全認(rèn)證加密技術(shù)為保障的一種新興的非現(xiàn)場(chǎng)客戶信息交易服務(wù)系統(tǒng)。它是一個(gè)涉及計(jì)算機(jī)技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)、金融理論與實(shí)務(wù)、現(xiàn)代金融管理等多個(gè)學(xué)科的復(fù)雜系統(tǒng),現(xiàn)有的網(wǎng)上銀行技術(shù)結(jié)構(gòu)是根據(jù)其業(yè)務(wù)需求、安全要求及與其他銀行業(yè)務(wù)信息系統(tǒng)之間的關(guān)系等進(jìn)行科學(xué)配置而成的。盡管各商業(yè)銀行根據(jù)其對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)的不同和自身業(yè)務(wù)功能的差異,會(huì)有不同類型的設(shè)計(jì)和組合,但網(wǎng)上銀行基本的技術(shù)構(gòu)成是類似的,主要由九個(gè)部分組成:客戶瀏覽器、路由器防火墻、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、RAS服務(wù)器、通信服務(wù)器、SNA網(wǎng)關(guān)和銀行主機(jī)系統(tǒng)(見圖2)。

網(wǎng)上銀行風(fēng)險(xiǎn)的最大來(lái)源是它所依托的互聯(lián)網(wǎng)絡(luò)。作為一套基于互聯(lián)網(wǎng)絡(luò)的信息系統(tǒng),它把銀行和客戶通過Internet連接起來(lái),提供聯(lián)機(jī)的銀行業(yè)務(wù)操作。在這個(gè)開放的網(wǎng)絡(luò)平臺(tái)上,風(fēng)險(xiǎn)的聚集和擴(kuò)散速度遠(yuǎn)遠(yuǎn)超過傳統(tǒng)銀行。網(wǎng)上銀行風(fēng)險(xiǎn)的放大和擴(kuò)散,很容易波及到傳統(tǒng)銀行,發(fā)生擠兌風(fēng)潮,引發(fā)馬太效應(yīng),使整個(gè)網(wǎng)上銀行業(yè)信譽(yù)崩潰,帶來(lái)巨大的經(jīng)濟(jì)影響和金融危機(jī)。

網(wǎng)上銀行的風(fēng)險(xiǎn)從業(yè)務(wù)和技術(shù)角度分為兩大類,分別是基于虛擬金融服務(wù)品種形成的業(yè)務(wù)風(fēng)險(xiǎn)和基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的技術(shù)風(fēng)險(xiǎn)。作為傳統(tǒng)銀行延續(xù)的網(wǎng)上銀行,它在經(jīng)營(yíng)過程中帶有傳統(tǒng)銀行的各種業(yè)務(wù)風(fēng)險(xiǎn);網(wǎng)上銀行又是傳統(tǒng)銀行的創(chuàng)新,它的存在形態(tài)虛擬化、運(yùn)行方式網(wǎng)絡(luò)化的特點(diǎn)決定了網(wǎng)上銀行風(fēng)險(xiǎn)又帶有許多新的技術(shù)特性。網(wǎng)上銀行的技術(shù)風(fēng)險(xiǎn)具有非行業(yè)性和外生性的特點(diǎn),其產(chǎn)生不僅依賴于市場(chǎng)價(jià)格的波動(dòng)、經(jīng)濟(jì)增長(zhǎng)的質(zhì)量,而且依賴于軟硬件配置、技術(shù)設(shè)備的可靠程度、控制和管理能力、選擇開發(fā)商、供應(yīng)商、咨詢或評(píng)估公司的水平。發(fā)生技術(shù)風(fēng)險(xiǎn)時(shí),銀行要承擔(dān)更大的資金損失和更多的成本修復(fù),并引發(fā)一系列的負(fù)面效應(yīng)。

基于COBIT的網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)估體系建立

面對(duì)網(wǎng)上銀行業(yè)務(wù)的迅速發(fā)展和風(fēng)險(xiǎn)事件的頻發(fā),我國(guó)銀行監(jiān)管當(dāng)局已經(jīng)著手建立能夠全面動(dòng)態(tài)評(píng)價(jià)網(wǎng)上銀行風(fēng)險(xiǎn),實(shí)現(xiàn)分級(jí)監(jiān)管的風(fēng)險(xiǎn)評(píng)估體系?；贑OBIT標(biāo)準(zhǔn)構(gòu)建網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)級(jí)體系,將有助于對(duì)網(wǎng)上銀行信息系統(tǒng)的建設(shè)、運(yùn)行和維護(hù)過程進(jìn)行分析研究,有效評(píng)估網(wǎng)上銀行信息系統(tǒng)的相關(guān)風(fēng)險(xiǎn),指導(dǎo)建立相應(yīng)的分級(jí)監(jiān)管機(jī)制,將網(wǎng)上銀行信息系統(tǒng)的風(fēng)險(xiǎn)置于有效的管理與控制之下。

網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)級(jí)體系在指標(biāo)設(shè)計(jì)上應(yīng)遵從全面性、獨(dú)立性、可計(jì)量性、可操作性原則。全面性即指標(biāo)體系能夠?qū)Ρ粰z查機(jī)構(gòu)的技術(shù)風(fēng)險(xiǎn)和管理活動(dòng)進(jìn)行全面的、毫無(wú)遺漏的反映;獨(dú)立性是指同一層次的指標(biāo)間必須相互獨(dú)立,指標(biāo)間的重疊和包含應(yīng)盡可能的少,不能存在因果關(guān)系;可計(jì)量性指體系中指標(biāo)的計(jì)算方法應(yīng)當(dāng)明確,不應(yīng)過于復(fù)雜;可操作性是指數(shù)據(jù)的獲取應(yīng)盡可能和技術(shù)風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查同步,將指標(biāo)體系的簡(jiǎn)明性和復(fù)雜性很好地結(jié)合起來(lái)。網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)在內(nèi)容上要包括能夠反映網(wǎng)上銀行整體計(jì)算機(jī)技術(shù)審計(jì)工作充分性的指標(biāo),反映信息系統(tǒng)開發(fā)與運(yùn)行管理水平的指標(biāo),反映被評(píng)級(jí)機(jī)構(gòu)識(shí)別、獲取、配置、維護(hù)信息技術(shù)解決方案能力的指標(biāo)和反映被評(píng)級(jí)機(jī)構(gòu)在一個(gè)安全的環(huán)境下提供技術(shù)支持與服務(wù)能力的指標(biāo)。

網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)估體系評(píng)估指標(biāo)的設(shè)立也要根據(jù)不同的風(fēng)險(xiǎn)來(lái)確定?？偟膩?lái)說(shuō)是選擇一組或多組具有關(guān)鍵性、穩(wěn)定性、敏感性和可測(cè)性的指標(biāo)作為預(yù)警指標(biāo),確定各指標(biāo)的風(fēng)險(xiǎn)區(qū)間和臨界值,通過觀察指標(biāo)的變動(dòng)情況判斷即時(shí)風(fēng)險(xiǎn)程度和未來(lái)風(fēng)險(xiǎn)的變動(dòng)趨勢(shì)。在設(shè)立評(píng)價(jià)指標(biāo)時(shí)應(yīng)結(jié)合定量分析和定性分析分別考慮。在建立風(fēng)險(xiǎn)評(píng)價(jià)模型的分析過程中,采集大量相關(guān)數(shù)據(jù)和基本信息,經(jīng)不斷檢驗(yàn)其有效性,篩選出若干個(gè)預(yù)測(cè)能力最強(qiáng)的變量信息來(lái)建立最終的評(píng)價(jià)模型。在確定評(píng)價(jià)指標(biāo)時(shí),參考COBIT控制目標(biāo),確定四個(gè)一級(jí)指標(biāo)和若干個(gè)二、三級(jí)指標(biāo)(見表1)。風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)確定后,應(yīng)在全面細(xì)致分析每一個(gè)指標(biāo)性質(zhì)、類型基礎(chǔ)上,確認(rèn)風(fēng)險(xiǎn)評(píng)估的重點(diǎn)方向和指標(biāo)評(píng)分權(quán)重。結(jié)合我國(guó)網(wǎng)上銀行風(fēng)險(xiǎn)特點(diǎn),不同的評(píng)級(jí)指標(biāo)有不同的權(quán)重,各評(píng)級(jí)單項(xiàng)指標(biāo)的分值由其下各小項(xiàng)加權(quán)匯總得出,根據(jù)總分的高低設(shè)立不同的等級(jí)標(biāo)準(zhǔn)和區(qū)間,一般設(shè)定A、B、C、D、E五個(gè)從高到低的等級(jí)。評(píng)級(jí)結(jié)果將作為監(jiān)管的基本依據(jù),用以確定對(duì)網(wǎng)上銀行現(xiàn)場(chǎng)檢查的頻率、范圍和依法采取的風(fēng)險(xiǎn)控制措施。

風(fēng)險(xiǎn)評(píng)級(jí)的目的是向銀行監(jiān)管當(dāng)局提交評(píng)估報(bào)告,真實(shí)反映網(wǎng)上銀行的風(fēng)險(xiǎn)狀況,進(jìn)而制定規(guī)避風(fēng)險(xiǎn)的措施和監(jiān)管策略。在風(fēng)險(xiǎn)評(píng)級(jí)的基礎(chǔ)上,監(jiān)管當(dāng)局可以對(duì)不同風(fēng)險(xiǎn)級(jí)別的網(wǎng)上銀行進(jìn)行分級(jí)管理。不同級(jí)別的監(jiān)管類型在檢查程序、檢查順序、檢查內(nèi)容以及檢查人員等方面都要體現(xiàn)差異性。評(píng)定的級(jí)別不是一成不變的,一般每個(gè)檢查周期完成之后要根據(jù)檢查結(jié)構(gòu)重新確定級(jí)別,檢查之前,也要根據(jù)兩次相鄰檢查期間內(nèi)銀行風(fēng)險(xiǎn)變化的情況,對(duì)前一次級(jí)別做適當(dāng)調(diào)整。而監(jiān)管的級(jí)別實(shí)際上是以調(diào)整后的級(jí)別為依據(jù)的。有效的分級(jí)監(jiān)管可以更大程度的保障網(wǎng)上銀行系統(tǒng)的安全,維護(hù)電子金融秩序的穩(wěn)定。

綜上所述,我國(guó)網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)級(jí)工作開始比較晚,尚處于起步階段,有關(guān)評(píng)估的指引和標(biāo)準(zhǔn)還在編制完善之中。監(jiān)管機(jī)構(gòu)要對(duì)網(wǎng)上銀行風(fēng)險(xiǎn)評(píng)估的作用和重要性有充分的認(rèn)識(shí),通過風(fēng)險(xiǎn)評(píng)級(jí)體系的建立,分析、識(shí)別系統(tǒng)中存在的風(fēng)險(xiǎn),從而實(shí)現(xiàn)對(duì)網(wǎng)上銀行的分類監(jiān)管,保護(hù)客戶的利益,維護(hù)電子金融體系的安全。

參考文獻(xiàn):

1.中國(guó)銀監(jiān)會(huì).商業(yè)銀行信用風(fēng)險(xiǎn)內(nèi)部評(píng)級(jí)體系監(jiān)管指引,2008.10

2.巴塞爾銀行監(jiān)管委員會(huì).電子銀行風(fēng)險(xiǎn)管理原則,2001.5

3.胡克謹(jǐn).IT審計(jì)(第2版)[M].電子工業(yè)出版社,2004