一、操作风险识别 (一)操作风险特征和分类 操作风险广泛存在于金融机构的各业务和管理的各个领域,具有普遍性和非营利性,不能给金融机构带来盈利。其具有如下特征:
(二)按照损失时间类型的操作风险分类 金融机构对其面临的各项操作风险进行正确分类,是建立有效的操作风险识别体系的重要基础。按照操作风险损失事件类型,操作风险可分为七大类:
(三)按照损失形态的操作风险分类 操作风险损失一般包括直接损失和间接损失,一起操作风险损失事件可能发生多形态的损失。
二、操作风险识别方法 操作风险管理首先从识别金融机构业务活动、政策和流程中的风险开始。操作风险识别对开发操作风险监测和控制系统至关重要,可以对风险控制或缓释机制的建立,保证管理当局了解操作风险事件起到重要作用。 (一)操作风险识别定义 操作风险识别是指通过一定的标准和手段,鉴别分析业务活动中可能导致操作风险的隐患和产生风险的环节点,确定风险的性质、种类以及风险产生的原因与影响程度的过程。 操作风险识别应该以当前和未来潜在的操作风险两方面为重点,考虑潜在操作风险的整体情况、金融机构运行所处的内外部环境、银行的战略目标、银行提供的产品和服务、银行的独特环境因素、内外部的变化以及变化的速度等。 (二)操作风险识别方法 1、事前识别和事后识别 金融机构操作风险识别包括事前识别和事后识别。事前识别是操作风险事件还没有发生时,在内含风险暴露基础上进行的识别,主要通过对每个产品线的操作流程以及工作人员、技术、外部环境进行分析,找出存在潜在风险的环节和部位。事后识别是在操作风险事件发生后,根据金融机构操作风险定义和事件分类标准,确定风险事件是否为操作风险及其所属类别,并分析发生的原因和产生的影响。 2、因果分析模型 金融机构可借助因果分析模型,对所有业务岗位和流程中的操作风险进行全面且有针对性的识别,并建立操作风险成因和损失事件之间的关系。 在综合自我评估结果和各类操作风险报告的基础上,利用因果分析模型能够对风险损失、风险成因和风险类别进行逻辑分析和数据统计,进而形成三者之间相互关联的多元分布。 因果分析模型可以识别哪些风险因素与风险损失具有最高的关联度,使得操作风险识别、评估、控制和监测流程变得更加有针对性和效率。在实践中,商业银行通常先收集损失事件,然后识别导致损失的风险成因,方法包括实证分析法、与业务管理部门会谈等,最终获得损失事件与风险成因之间的因果关系。 (三)操作风险识别内容 风险识别的内容主要包括对潜在风险的识别和已暴露风险的识别。潜在风险识别是对金融机构业务活动中的潜在风险点进行的识别,包括内部流程、人员、技术中的弱点和不足,也包括外部环境可能对经营活动产生的潜在不利影响。金融机构通常会对所有重要产品、活动、程序和系统中内含的潜在操作风险进行定期识别。在引进新产品、采取新程序和系统之前,或者上述内容发生重大变化时,须对其潜在操作风险进行单独识别。已暴露风险的识别主要是针对已发生的风险事件所做的鉴别分析,识别的内容不仅包括事件的性质,还包括事件是否会造成影响,可能造成什么影响,是直接损失还是间接损失,以及事件产生的深层次原因。 三、操作风险评估 金融机构通常采用定性与定量相结合的方法来评估操作风险。定性分析需要依靠有经验的风险管理专家对操作风险的发生频率和影响程度作出评估;定量分析方法则主要基于对内部操作风险损失数据和外部数据进行分析。随着时间的变化,金融机构还应当根据内部损失的实际结果、相关的外部数据,以及所做的适度调整,对操作风险评估流程和评估结果进行验证。 (一)风险与控制自我评估 风险与控制自我评估(RCSA)是主流的操作风险评估工具,旨在防患于未然,对操作风险管理和内部控制的适当程度及有效性进行检查和评估。金融机构对自身经营管理中存在的操作风险点进行识别,评估固有风险,再通过分析现有控制活动的有效性,评估剩余风险,进而提出控制优化措施的工作。风险与控制自我评估的内容主要包括固有风险、控制措施、剩余风险三个组成部分,其原理为“固有风险-控制措施=剩余风险”:
自评工作要坚持下列原则:一是全面性。自我评估范围应包括各级行的操作风险相关机构,原则上覆盖所有业务品种。二是及时性。自我评估工作应及时开展,评估结果应及时报送,管理行动应及时实施,对实施效果应及时追踪。三是客观性。自我评估工作应当谨慎、客观,从而保证作出恰当的决策并采取适当的管理行动。四是前瞻性。自我评估应当充分考虑金融机构内、外部环境变化因素。五是重要性。自我评估应以操作风险管理薄弱或者风险易发、高发环节为主。 (二)操作风险评估流程 操作风险评估包括准备、评估和报告三个步骤。
四、操作风险监测与报告 (一)关键风险指标 操作风险监测是针对评估发现的关键风险单元,通过设计关键风险指标及门槛值,对关键风险因素进行量化、跟踪,及时掌握风险大小的变化和发布操作风险提示信息,以降低损失事件发生频率和影响程度的过程。 1、关键风险指标监测原则 金融机构建立关键风险指标开展操作风险监测工作,关键风险指标是代表某一业务领域操作风险变化情况的统计指标,是识别操作风险的重要工具。关键风险指标通常包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平等。设计良好的关键风险指标体系要满足整体性、重要性、敏感性、可靠性原则,且须明确数据口径、门槛值、报告路径等要素。 一是在整体性方面,监测工作要能够反映操作风险全局状况及变化趋势,揭示诱发操作风险的系统性原因,实现对金融机构操作风险状况的预警。 二是在重要性方面,监测工作要提示重点地区、重点业务、关键环节的操作风险隐患,反映金融机构操作风险的主要特征。 三是在敏感性方面,监测指标要与操作风险事件密切相关,并能够及时预警风险变化,有助于实现对操作风险的事前和事中控制。 四是在可靠性方面,监测数据来源要准确可靠,具有可操作性,要保证监测工作流程、质量可控,要建立起监测结果的验证机制。 五是在有效性方面,监测工作要根据经营发展和风险管理战略不断发展和完善,指标是开放的、动态调整的,监测工作要持续、有效。 2、关键风险指标法的核心步骤 关键风险指标法可选择已经识别出来的主要操作风险因素,并结合金融机构的内、外部操作风险损失事件数据形成统计分析指标,用于评估金融机构整体的操作风险水平。这一方法的难点在于对各项关键指标设定合理的阈值,即风险指标处于何种范围之内可以被认为是处于较低风险水平、中等风险水平或较高风险水平,并针对不同评估结果采取何种适当的风险控制措施。具体来看,关键风险指标监测由设置关键风险指标,监测分析、报告关键风险指标,更新关键风险指标等步骤组成。具体步骤如下:
(二)损失数据收集 操作风险损失数据收集(Loss
Data Collection简称LDC)指操作风险损失数据(包括损失事件信息和会计记录中确认的财务影响)的搜集、汇总、监控、分析和报告工作。损失数据收集是金融机构对因操作风险引起的损失事件进行收集、报告并管理的相关工作。 1、损失数据收集统计原则 一是重要性原则。在统计操作风险损失事件时,要对损失金额较大和发生频率较高的操作风险损失事件进行重点审查和确认,要对重点地区、重要业务线及产品的操作风险损失事件进行认真识别和监测。 二是准确性原则。应及时确认、完整记录、准确统计因操作风险事件导致的实际资产损失,避免因提前或延后造成当期统计数据不准确。对因操作风险损失事件带来的声誉影响,要及时分析和报告,但不要求量化损失。 三是统一性原则。操作风险损失事件的统计标准、范围、程序和方法要保持一致,以确保统计结果客观、准确及可比。 四是谨慎性原则。对操作风险损失进行确认时,要保持必要的谨慎,应进行客观、公允统计,准确计量损失金额,不得出现多计或少计操作风险损失的情况。 五是全面性原则。操作风险损失事件统计内容应至少包含:损失事件发生的时间、发现的时间及损失确认时间、业务条线名称、损失事件类型、涉及金额、损失金额、缓释金额、非财务影响、与信用风险和市场风险的交叉关系等。 2、损失数据收集统计要求 损失收集工作要明确损失的定义、损失形态、统计标准、职责分工和报告路径等内容、保障损失数据统计工作的规范性。为确保数据收集的审慎性、准确性和适当性,银行须从以下方面进一步规范数据管理工作。 一是要明确损失数据口径,包括总损失、回收后净损失、保险缓释后净损失。总损失(Gross Loss)是在扣除任何形式的损失回收之前的损失。净损失(Net Loss)是考虑了损失回收影响之后的损失,包括保险缓释前净损失和保险缓释后净损失两个口径。回收(Recovery)是指与初始损失事件相关,但在不同时间获得来自第三方的资金或收益的独立事件。 二是要建立适当的数据阈值,可就数据收集和建模制定不同阈值,但应避免建模阈值大大高于收集阈值,并就阈值情况进行合理解释说明。 三是分析不同数据采集时点的差异,包括发生日、发现日、核算日(准备计提日)等。 四是明确合并及分拆规则,如一次事件多次损失、有因果关系的多次损失等。 3、损失数据收集核心环节 金融机构应确定操作风险损失数据收集的流程及报送路线,并对涉及的各个环节进行详细说明,损失数据收集主要包括如下核心环节。 一是损失事件识别。主要是明确损失数据收集范围,同时判断损失金额是否达到损失数据收集门槛;只有属于是由操作风险引起且事件的损失金额达到损失数据收集门槛的,才予以收集。 二是损失事件填报。主要是填报单个损失事件的内容,对于每个损失事件,需要通过系统记录事件的事实情况、总体的财务损失金额以及逐笔损失、成本或挽回的明细信息。这一步骤的难点在于确定损失事件个数和进行损失事件分类时容易出现理解偏差。一个事件可能造成一系列的损失(或影响)。这种情况下应对事件进行详细调查来识别“根本事件”,即最初的事件,若该事件没有发生,所有的后续损失和影响都不会产生。此时应将该根本事件及其相关的损失按一个事件来填报。对于每个填报的损失事件,应确定其对应的损失事件分类。需要注意的是,损失事件分类应根据发生的事件本身来确定,而不是根据导致事件发生的原因来确定,在操作风险管理中,要明确发生了什么,而不是考虑为什么会发生。 三是损失金额确定。操作风险损失是指操作风险事件造成的直接损失和成本金额,也即事件直接导致的对金融机构收益或股东权益造成的负面影响,或直接导致的运营成本或费用的额外增加。判断是否应纳入的决定因素是:损失和成本是否直接由操作风险事件导致,或者与操作风险事件直接相关,且是真正的经济损失,而不是预期收入的减少。主要包含的是将发生事件的机构恢复到事件发生前的状态,或为挽回损失所支付的各类成本;在事件发生后提取的预计诉讼赔款等。 四是损失事件信息审核。确认损失事件信息的要素是否完整、描述性信息是否全面、内容是否准确。操作风险管理牵头部门应对每个损失事件信息的完整性和事件属性的准确性进行审核。损失事件的更新信息及结束信息的审核遵循初次填报相同的审核要求。 五是损失数据验证。为了保证损失数据收集的质量,应组织损失数据验证,如发现漏报、错报、迟报、不符合填报要求等情况,应通知相关机构或部门及时补报或修改。验证工作重点关注数据的全面性、准确性和及时性。 (三)操作风险报告 金融机构负责操作风险管理的部门、承担主要操作风险的部门应定期提交金融机构的操作风险管理与控制情况报告,报告中应包括主要操作风险事件的详细信息、已确认或潜在的重大操作风险损失等信息、操作风险及控制措施的评估结果、关键风险指标监测结果,并制定流程对报告中反映的信息采取有效行动。操作风险报告主要包括操作风险管理报告(定期分析报告期内全面操作风险的基本状况、采取的主要举措、存在的风险隐患和应关注的管理问题,并提出工作建议,报告应提交高管层和董事会);操作风险专项报告(分析报告各项业务或产品中存在的风险隐患,提交操作风险牵头部门,并向高管层报告);操作风险监测报告(根据各项监测指标值的变化和异动情况分析金融机构有关操作风险的变化趋势,并对潜在的重大风险隐患进行提前揭示);操作风险损失事件报告(报告的要素包括事件发生时间、涉及业务领域、损失金额等内容,并对重大事件进行具体说明)。 五、操作风险控制与缓释 (一)操作风险控制 操作风险与金融机构的机构设置、业务结构密切相关,国际上并无统一的操作风险控制具体形式,但一般均应包括以下基本要素:董事会的监督控制,高级管理层的职责,适当的组织架构,操作风险管理政策、方法、程序和信息系统等。 根据风险和收益匹配原则,金融机构一般选择四种策略控制操作风险。即降低风险(通过风险管理、内部控制程序对各风险环节进行控制,减少操作风险发生的可能性,降低风险损失的严重程度);承受风险(对无法降低又无法避免的风险,如人员、流程、系统等引起的操作风险,采取承担并通过定价、拨备、资本等方式进行主动管理);转移或缓释风险(通过外包、保险、专门协议等工具,将损失全部或部分转移至第三方);回避风险(通过撤销危险地区网点、关闭高风险业务等方式进行规避)。 (二)操作风险缓释 操作风险缓释是在量化分析风险点分布、发生概率和损失程度的基础上,采用适当的缓释工具,限制、降低或分散操作风险。目前,主要的操作风险缓释手段有业务连续性管理计划、商业保险和业务外包等。
六、操作风险资本计量 操作风险资本计量方法包括基本指标法、标准法和高级计量法,以及2017年《巴塞尔Ⅲ最终方案》提出的新标准法。操作风险计提资本不是目的,关键是通过计提和分配资本以推动商业银行改进操作风险管理。 (一)基本指标法 金融机构自主决定是否采用基本指标法计量操作风险资本要求。基本指标法以总收入为计量基础,总收入定义为金融机构的净利息收入与净非利息收入之和。基本指标法操作风险资本等于金融就前三年总收入的平均值乘上一个固定比例(用a表示)。资本计量公式为: 其中,KBIA为按基本指标法计量的操作风险资本要求,GI为过去三年中每年正的总收入,n为过去三年中总收入为正的年数。α为15%。 总体上看,基本指标法计量方法简单,资本与收入呈线性分布,金融机构的收入越高,操作风险资本要求越大,资本对风险缺乏敏感性,对改进风险管理作用不大。基本指标法实施的基础条件:基本指标法比较简单,监管当局未对采用该方法的银行提出具体要求。 (二)标准法 1、标准法计算公式 标准法以各业务条线的总收入为计量基础,与基本指标法类似,总收入是个广义的指标,代表业务经营规模,因此也大致代表了各业务条线的操作风险暴露。标准法操作风险资本等于金融机构各条线前三年总收入的平均值乘上一个固定的比例(用βi表示)再加总,计算公式为: 其中, KTSA为标准法计量的操作风险资本要求, 代表各年为正的操作风险资本要求,GIi为各业务条线总收入,βi为各业务条线的操作风险资本系数。以商业银行为例,公司金融β系数为18%,交易和销售β系数为18%,零售银行业务β系数为12%,商业银行β系数为15%,支付和清算β系数为18%,代理服务β系数为15%,资产管理β系数为12%,零售经纪β系数为12%,其他业务β系数为18%。 2、标准法计量原则 同样以银行为例,为指导银行使用标准法,监管当局明确了业务条线的9条归类原则:一是所有业务活动必须按1级目录规定的9个业务条线对应归类,相互不重合,列举须穷尽;二是对业务条线框架内业务起辅助作用的银行业务或非银行业务,如果无法按业务条线直接对应归类,必须归入其所辅助的业务条线。如果辅助多个业务条线,则必须采用客观标准归类;三是在将总收入归类时,如果此业务无法与某一特定业务条线对应,则适用资本要求最高的业务条线,此业务条线也同样适用于任何相关的辅助业务;四是如果银行总收入(按基本指标法计算)仍等于9个业务条线的总收入之和,银行可以使用内部定价方法在各业务条线间分配总收入;五是因计算操作风险将业务按业务条线归类时采用的定义,必须与计算其他类风险(如信用风险、操作风险)监管资本所采用的定义相同,一旦背离此原则,则需引起异议并明确记录;六是银行采用的对应流程应有明确的文字说明,尤其是业务条线的书面定义应清晰、详尽,使第三方可以复制业务条线对应的做法,文字说明中必须规定对违反情况应引起异议并保持记录;七是必须制定新业务或产品对应的流程;八是需由高级管理层负责制定业务条线对应政策;九是业务条线对应流程必须接受独立审查。银行总收入构成表: 3、标准法实施的基础条件 实施标准法必须至少符合监管当局的以下规定:董事会和高级管理层适当积极参与操作风险管理框架的监督;操作风险管理系统概念稳健,执行正确有效;有充足的资源支持在主要产品线上和控制及审计领域采用标准法。除此以外,还需满足下列更高要求。 一是操作风险管理系统必须对操作风险管理功能进行明确的职责界定,包括开发识别、监测、控制/缓释操作风险的策略;制定金融机构的操作风险管理和控制的政策和程序;设计并实施金融机构的操作风险评估方法;设计并实施操作风险报告系统。 二是金融机构必须系统地跟踪与操作风险相关的数据,包括各产品线发生的巨额损失。必须将操作风险评估系统整合入金融机构的风险管理流程。评估结果必须成为金融机构操作风险状况监测和控制流程的有机组成部分。例如,该信息必须在风险报告、管理报告和风险分析中发挥重要作用。金融机构必须在全机构范围采取激励手段鼓励改进操作风险管理。 三是银行必须定期向业务管理层、高级管理层和董事会报告操作风险暴露情况,包括重大操作损失。必须制定流程,规定如何针对管理报告中反映的信息采取适当行动。 四是金融机构的操作风险管理系统必须文件齐备,必须有日常程序确保符合操作风险管理系统内部政策、控制和流程等文件的规定,且应规定如何对不符合规定的情况进行处理。 五是金融机构的操作风险管理流程和评估系统必须接收验证和定期独立审查,这些审查必须明确业务部门的活动和操作风险管理岗位的情况。 六是金融机构操作风险评估系统必须接受外部审计师和监管当局的定期审查。 (三)高级计量法 高级计量法(Advanced
Measurement Approach,简称AMA),是金融机构根据业务性质、规模和产品复杂程度以及风险管理水平,基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制因素,建立操作风险计量模型以计算操作风险的实际情况。金融机构采用高级计量法,建立模型使用的内部损失数据应充分反映本行操作风监管资本的方法。高级计量法体系中含有损失分布法(LDA)、内部衡量法(IMA)和打分卡法(SCA)三种计量模型。 高级计量法风险敏感度高,具有资本激励和管理激励效应,实现了风险计量和风险管理有机结合,有助于展示金融机构风险管理成效。随着实施机构的不断增多,高级计量法体系的一些缺点逐步显现:一是实施成本较高,开发难度大,透明度较差,监管核准的流程相对较长;二是大部分金融机构缺乏尾部数据建模基础,数据源重复;三是不同金融机构之间的模型基础和数据严重不可比。就银行类金融机构而言,2016年3月,巴塞尔委员会正式公开建议取消高级计量法。 (四)银行类金融机构的新标准法 2017年《巴塞尔Ⅲ最终方案》将原有的三种操作风险计量方法统一为一种,要求所有银行均执行标准法,即“新标准法”。新标准法主要由两个部分构成:一是业务指标部分(BIC);二是内部损失乘数(ILM)。 1、计算业务指标(BI) 业务指标(BI)由三个部分相加得到,包括利息、租赁及股利部分(ILDC),服务部分(SC)及金融部分(FC)。各个组成部分的定义如下: ILDC=Min[Abs(利息收入-利息支出),2.25%×生息资产]+股息收入 SC=Max[其他营业收入,其他营业支出]+Max[手续费收入,手续费支出]FC=Abs(交易账簿净损益)+Abs(银行账簿净损益) 在上述公式中,术语中的该数值是按3年的平均值计算:t、t-1及1-2,首先逐年计算各项净值(例如,利息收入一利息支出)的绝对值,逐年计算之后方可计算3年的平均值, 2、计算业务指标部分(BIC) 业务指标部分(BIC)由业务指标(BI)乘以边际系数αi得出。边际系数随着BI规模的增加而增加,每单位BI数值乘以相应区段的百分比(区段1为12%,区段2为15%,区段3为18%)之后,再相加就得出BIC。 3、计算内部损失乘数(ILM) 金融机构的内部操作风险损失会通过内部损失乘数影响操作风险资本的计算。ILM的定义如下: 其中,损失部分(LC)等于过去10年年均操作风险损失的15倍,如损失部分与业务指标部分(BIC)相等,则LIM为1。如LC大于BIC,则LIM大于1。换言之,如金融机构的损失高于BIC,则金融机构需要持有较多资本,相反,如LC低于BIC,则LIM少于1。换言之,如果金融就的损失低于BIC,则金融机构只需要持有较少资本。 针对银行类金融机构,为降低实施成本,《巴塞尔III最终方案》规定,对于BI小于10亿欧元的小银行,ILM设定为1;同时,监管当局有权自主决定是否将其他所有银行的ILM也设定为1。内部损失乘数的提出,对各银行在操作风险事件的记录、分类、数据收集方面提出了更高的要求,将促使商业银行在数据基础设施建设、信息系统建设方面打好基础,做好内部损失数据的收集工作。 4、操作风险最低资本要求 操作风险最低资本要求(ORC)由业务指标部分乘以内部损失乘数计算得出,对应公式为: ORC=BIC×ILM 七、外包风险管理 (一)外包的定义及原则 外包是指金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,金融机构母公司或其所属集团设立子公司、关联公司或附属机构。外包不能消灭风险,但通过将该业务的管理置于经验和技能更丰富的第三方手中,可以降低金融机构的原有风险。 金融机构开展外包活动应遵循以下原则:一是由董事会和高级管理层承担外包活动的最终责任;二是制定外包的风险管理框架以及相关制度,并将其纳入全面风险管理体系;三是根据审慎经营原则制定其外包战略发展规划,确定与其风险管理水平相适宜的外包活动范围;四是对于战略管理、核心管理以及内部审计等职能不宜外包。 (二)外包风险管理主要框架 1、金融机构外包管理组织结构 金融机构外包管理的组织架构包括董事会、高级管理层及外包管理团队。其中,董事会负责审议批准外包的战略发展规划;审议批准外包的风险管理制度;审议批准本机构的外包范围及相关安排;定期审阅本机构外包活动相关报告;定期安排内部审计,确保审计范围涵盖所有的外包安排。高级管理层负责制定外包战略发展规划;制定外包风险管理的政策、操作流程和内控制度;确定外包业务的范围及相关安排;确定外包管理团队职责,并对其行为进行有效监督。 外包管理团队负责执行外包风险管理的政策、操作流程和内控制度;负责外包活动的日常管理,包括尽职调查、合同执行情况的监督及风险状况的监督;向高级管理层提出有关外包活动发展和风险管控的意见和建议;在发现外包服务提供商业的业务活动存在缺陷时,采取及时有效的措施。 2、外包风险管理 金融机构应将外包风险管理纳人全面风险管理体系,建立严格的客户信息保密制度,并做好以下工作:
八、信息科技风险管理 (一)信息科技风险定义和特征 信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在金融机构业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制定完善的管理制度和流程。信息科技风险是指信息科技在金融机构运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险具有特征: 一是隐蔽性强。金融机构许多业务流程已经实现了信息化,如果系统的设计者对具体业务流程不熟悉或对风险点考虑不周,可能在系统设计之初留下隐患,随着内外部环境的发展和变化,如果不采取风险缓释措施,可能会发生衍生风险事件。 二是突发性强,应急处置难度大。信息科技风险是唯一能够导致金融机构瞬间瘫痪的风险,外部因素的突然变化可能导致风险事件的发生,如黑客攻击、地震、火灾等,这些因素变化事前难以预测,一旦发生就可能失去控制、迅速蔓延,对金融机构的应急处置能力提出了很大的挑战。 三是影响范围广,后果具有灾难性。信息科技风险贯穿于金融机构各部门和各条线的管理和业务流程之中,一旦核心系统和主干网络发生故障,可能引发连锁反应,造成整个金融机构的业务停顿、资金损失和客户流失,甚至可能导致机构倒闭等灾难性后果。 (二)信息科技风险管理主要框架 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 1、信息科技治理 金融机构应在建立良好公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。 金融机构的董事会履行以下信息科技管理职责:遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实监督管理机构相关监管要求;审查批准信息科技战略,确保其与金融机构总体业务战略和重大策略相一致;评估信息科技及其风险管理工作的总体效果和效率;掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制;规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识;设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况;加强信息科技专业队伍的建设,建立人才激励机制;确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改;每年审阅并向监督管理机构及其派出机构报送信息科技风险管理的年度报告;确保信息科技风险管理工作所需资金;确保金融机构所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训;确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合监督管理机构监管和实施现场检查的要求,防范跨境风险;及时向监督管理机构及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应;配合监督管理机构及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。 金融机构应设立首席信息官,直接向总裁/行长汇报,并参与决策。首席信息官的责包括:直接参与本机构与信息科技运用有关的业务发展决策;确保信息科技战略,尤其是信息系统开发战略,符合总体业务战略和信息科技风险管理策略;负责建立一个切实有效的信息科技部门,承担本金融机构的信息科技职责;确保其履行信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责;确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构;组织专业培训,提高人才队伍的专业技能;履行信息科技风险管理其他相关工作。 2、信息科技风险管理 金融机构应制定符合该机构总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。金融机构应制定全面的信息科技风险管理策略,包括信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。 金融机构应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。 金融机构应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示;确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化;建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容。 金融机构应建立持续的信息科技风险计量和监测机制,其中应包括:建立信息科技项目实施前及实施后的评价机制;建立定期检查系统性能的程序和标准;建立信息科技服务投诉和事故处理的报告机制;建立内部审计、外部审计和监管发现问题的整改处理机制;安排供应商和业务部门对服务水平协议的完成情况进行定期审查;定期评估新技术发展可能造成的影响和已使用软件面临的新威胁;定期进行运行环境下操作风险和管理控制的检查;定期进行信息科技外包项目的风险状况评价。在境外设立机构的金融机构,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。 3、信息安全 金融机构信息科技部门负责建立和实施信息分类和保护体系,使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程:
4、信息系统开发、测试和维护 金融机构要对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。 5、信息科技运行 金融机构管理信息科技运行时,应满足以下要求:
6、内外部审计 内部审计方面,应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。外部审计方面,金融机构可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。在委托审计过程中,应确保外部审计机构能够对金融机构的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。 |
|