两万字实操手册:金融机构操作风险管理
目 录 |
一、操作风险识别 |
(一)操作风险特征和分类 |
(二)按照损失时间类型的操作风险分类 |
(三)按照损失形态的操作风险分类 |
二、操作风险识别方法 |
(一)操作风险识别定义 |
(二)操作风险识别方法 |
1、事前识别和事后识别 |
2、因果分析模型 |
(三)操作风险识别内容 |
三、操作风险评估 |
(一)风险与控制自我评估 |
(二)操作风险评估流程 |
四、操作风险监测与报告 |
(一)关键风险指标 |
1、关键风险指标监测原则 |
2、关键风险指标法的核心步骤 |
(二)损失数据收集 |
1、损失数据收集统计原则 |
2、损失数据收集统计要求 |
3、损失数据收集核心环节 |
(三)操作风险报告 |
五、操作风险控制与缓释 |
(一)操作风险控制 |
(二)操作风险缓释 |
六、操作风险资本计量 |
(一)基本指标法 |
(二)标准法 |
1、标准法计算公式 |
2、标准法计量原则 |
3、标准法实施的基础条件 |
(三)高级计量法 |
(四)银行类金融机构的新标准法 |
1、计算业务指标(BI) |
2、计算业务指标部分(BIC) |
3、计算内部损失乘数(ILM) |
4、操作风险最低资本要求 |
七、外包风险管理 |
(一)外包的定义及原则 |
(二)外包风险管理主要框架 |
1、金融机构外包管理组织结构 |
2、外包风险管理 |
八、信息科技风险管理 |
(一)信息科技风险定义和特征 |
(二)信息科技风险管理主要框架 |
1、信息科技治理 |
2、信息科技风险管理 |
3、信息安全 |
4、信息系统开发、测试和维护 |
5、信息科技运行 |
6、内外部审计 |
一、操作风险识别
(一)操作风险特征和分类
操作风险广泛存在于金融机构的各业务和管理的各个领域,具有普遍性和非营利性,不能给金融机构带来盈利。其具有如下特征:
一 | 具体性 |
操作风险不能用一种方法对其进行准确的识别和计量,因为其存在于金融机构的各类业务操作中,涵盖所有业务,操作风险事件前后之间有关联,但是单个的操作风险因素与操作性损失之间并不存在可以定量界定的数量关系,个体性较强。 | |
二 | 分散性 |
操作风险与各类风险相互交叠,涉及面广,因此操作风险管理不可能由一个部门完成,必须建立操作风险管理的框架体系 | |
三 | 差异性 |
不同业务领域操作风险的表现方式不同,业务规模小、交易量小、结构变化不太迅速的业务领域,操作风险造成的损失不一定低,但是发生操作风险的频率相对较低;而业务规模大、交易量大、结构变化迅速的业务领域,受到操作风险冲击的可能性也大 | |
四 | 复杂性 |
引起操作风险的因素较复杂,如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作风险,而通常可以监测和识别的操作风险,与由此可能导致损失的规模、频率之间不存在直接关系,常常带有鲜明的个案特征 | |
五 | 内生性 |
操作风险的风险因素很大比例上来源于金融机构业务操作,属于金融机构的内生风险 | |
六 | 转化性 |
操作风险是基础性风险,对其他类别风险,如信用风险、市场风险等有重要影响,操作风险管理不善,将会引起风险的转化,导致其他风险的产生 |
(二)按照损失时间类型的操作风险分类
金融机构对其面临的各项操作风险进行正确分类,是建立有效的操作风险识别体系的重要基础。按照操作风险损失事件类型,操作风险可分为七大类:
一 | 内部欺诈 |
故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件 | |
行为未经授权 1、故意隐瞒交易 2、未经授权交易导致资金损失 3、故意错误估价 4、其他 | |
盗窃和欺诈 1、欺诈、信用欺诈、不实存款 2、盗窃、勒索、挪用公款、抢劫 3、盗用资产 4、恶意损坏资产 5、伪造 6、支票欺诈 7、走私 8、窃取账户资金、假账、假冒开户人等 9、违规纳税、故意逃税 10、贿赂、回扣 11、内幕交易 12、其他 | |
二 | 外部欺诈 |
第三方故意骗取、盗用财产或逃避法律导致的损失 | |
盗窃和欺诈 1、盗窃、抢劫 2、伪造 3、支票诈骗 4、其他 | |
系统安全性 1、黑客攻击损失 2、窃取信息造成资金损失 3、其他 | |
三 | 就业制度和工作场所安全事件 |
违反劳动合同法、就业、健康或安全方面的法规或协议,个人工伤赔付或因歧视及差别待遇事件导致的损失 | |
劳资关系 1、薪酬、福利、劳动合同终止后的安排 2、有组织的工会活动 3、其他 | |
环境安全性 1、一般性责任 2、违反员工健康及安全规定 3、劳方索偿 4、其他 | |
歧视及差别待遇事件 | |
四 | 客户、产品和业务活动事件 |
因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件 | |
适当性、披露和诚信事件 1、违背诚信责任、违反规章制度 2、适当性及披露问题 3、未尽向客户进行信息披露 4、泄露隐私 5、强制推销 6、为多收手续费反复操作客户账户 7、保密信息使用不当 8、其他 | |
不良的业务和市场行为 1、垄断 2、不良交易和市场行为 3、操纵市场 4、内幕交易 5、未经有效批准的业务活动 6、洗钱 7、其他 | |
产品瑕疵 1、产品缺陷 2、模型错误 3、其他 | |
客户选择、业务推介和风险暴露 1、未按照规定审查客户信用 2、对客户超风险限额 3、其他 | |
咨询业务 | |
五 | 实物资产的损坏 |
因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件 | |
自然灾害 | |
外力(恐怖袭击、故意破坏)造成的人员伤亡和损失 | |
六 | 信息科技系统事件 |
因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件 | |
硬件 | |
软件 | |
网络或通讯线路 | |
动力输送损耗或中断 | |
其他 | |
七 | 执行、交割和流程管理事件 |
因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件 | |
交易认定、执行和维护 1、错误传达信息 2、数据录入、维护或登载错误 3、超过最后期限或未履行义务 4、模型/系统误操作 5、账务处理错误、交易归属错误 6、其他任务履行错误 7、交割错误 8、担保品管理失效 9、交易相关数据维护 10、其他 | |
监控和报告 1、未履行强制报告职责 2、外部报告不准确导致损失 3、其他 | |
招揽客户和文件记录 1、客户许可/免责声明缺失 2、法律文件缺失/不全备 3、其他 | |
个人/企业客户账户管理 1、未经批准登陆账户 2、客户信息记录错误导致损失 3、因疏忽导致客户资产损失 4、其他 | |
交易对手方 1、与同业交易处理不当 2、与同业交易对手方的争议 3、其他 | |
外包纠纷与风险 |
(三)按照损失形态的操作风险分类
操作风险损失一般包括直接损失和间接损失,一起操作风险损失事件可能发生多形态的损失。
一 | 法律成本 |
因发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等 | |
二 | 监管罚没 |
因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等 | |
三 | 资产损失 |
由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等 | |
四 | 对外赔偿 |
由于内部操作风险事件,导致金融机构未能履行应承担的责任造成对外的赔偿。如因金融机构自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额 | |
五 | 追索失败 |
由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等 | |
六 | 账面减值 |
由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产或收入损失,以及未经授权或超授权交易导致的账面损失等 | |
七 | 其他损失 |
由于操作风险事件引起的其他损失 |
二、操作风险识别方法
操作风险管理首先从识别金融机构业务活动、政策和流程中的风险开始。操作风险识别对开发操作风险监测和控制系统至关重要,可以对风险控制或缓释机制的建立,保证管理当局了解操作风险事件起到重要作用。
(一)操作风险识别定义
操作风险识别是指通过一定的标准和手段,鉴别分析业务活动中可能导致操作风险的隐患和产生风险的环节点,确定风险的性质、种类以及风险产生的原因与影响程度的过程。
操作风险识别应该以当前和未来潜在的操作风险两方面为重点,考虑潜在操作风险的整体情况、金融机构运行所处的内外部环境、银行的战略目标、银行提供的产品和服务、银行的独特环境因素、内外部的变化以及变化的速度等。
(二)操作风险识别方法
1、事前识别和事后识别
金融机构操作风险识别包括事前识别和事后识别。事前识别是操作风险事件还没有发生时,在内含风险暴露基础上进行的识别,主要通过对每个产品线的操作流程以及工作人员、技术、外部环境进行分析,找出存在潜在风险的环节和部位。事后识别是在操作风险事件发生后,根据金融机构操作风险定义和事件分类标准,确定风险事件是否为操作风险及其所属类别,并分析发生的原因和产生的影响。
2、因果分析模型
金融机构可借助因果分析模型,对所有业务岗位和流程中的操作风险进行全面且有针对性的识别,并建立操作风险成因和损失事件之间的关系。
在综合自我评估结果和各类操作风险报告的基础上,利用因果分析模型能够对风险损失、风险成因和风险类别进行逻辑分析和数据统计,进而形成三者之间相互关联的多元分布。
因果分析模型可以识别哪些风险因素与风险损失具有最高的关联度,使得操作风险识别、评估、控制和监测流程变得更加有针对性和效率。在实践中,商业银行通常先收集损失事件,然后识别导致损失的风险成因,方法包括实证分析法、与业务管理部门会谈等,最终获得损失事件与风险成因之间的因果关系。
(三)操作风险识别内容
风险识别的内容主要包括对潜在风险的识别和已暴露风险的识别。潜在风险识别是对金融机构业务活动中的潜在风险点进行的识别,包括内部流程、人员、技术中的弱点和不足,也包括外部环境可能对经营活动产生的潜在不利影响。金融机构通常会对所有重要产品、活动、程序和系统中内含的潜在操作风险进行定期识别。在引进新产品、采取新程序和系统之前,或者上述内容发生重大变化时,须对其潜在操作风险进行单独识别。已暴露风险的识别主要是针对已发生的风险事件所做的鉴别分析,识别的内容不仅包括事件的性质,还包括事件是否会造成影响,可能造成什么影响,是直接损失还是间接损失,以及事件产生的深层次原因。
三、操作风险评估
金融机构通常采用定性与定量相结合的方法来评估操作风险。定性分析需要依靠有经验的风险管理专家对操作风险的发生频率和影响程度作出评估;定量分析方法则主要基于对内部操作风险损失数据和外部数据进行分析。随着时间的变化,金融机构还应当根据内部损失的实际结果、相关的外部数据,以及所做的适度调整,对操作风险评估流程和评估结果进行验证。
(一)风险与控制自我评估
风险与控制自我评估(RCSA)是主流的操作风险评估工具,旨在防患于未然,对操作风险管理和内部控制的适当程度及有效性进行检查和评估。金融机构对自身经营管理中存在的操作风险点进行识别,评估固有风险,再通过分析现有控制活动的有效性,评估剩余风险,进而提出控制优化措施的工作。风险与控制自我评估的内容主要包括固有风险、控制措施、剩余风险三个组成部分,其原理为“固有风险-控制措施=剩余风险”:
一 | 固有风险 |
在没有任何管理控制措施的情况下,经营管理过程本身所具有的风险。金融机构通常要评估所有重要产品、活动、程序和系统中固有的操作风险,在新产品、新活动、新流程和新系统投产或引入前,也要充分评估其固有风险 | |
二 | 控制措施 |
通过建立良好的内部控制机制和有效的内部控制手段,以保证充分识别经营过程中的固有风险,并对已识别风险及时进行适当控制。银行的控制措施应合理到位,才能够有效缓解或规避风险 | |
三 | 剩余风险 |
在实施了旨在改变风险可能性和影响强度的管理控制活动后,仍然保留的风险 |
自评工作要坚持下列原则:一是全面性。自我评估范围应包括各级行的操作风险相关机构,原则上覆盖所有业务品种。二是及时性。自我评估工作应及时开展,评估结果应及时报送,管理行动应及时实施,对实施效果应及时追踪。三是客观性。自我评估工作应当谨慎、客观,从而保证作出恰当的决策并采取适当的管理行动。四是前瞻性。自我评估应当充分考虑金融机构内、外部环境变化因素。五是重要性。自我评估应以操作风险管理薄弱或者风险易发、高发环节为主。
(二)操作风险评估流程
操作风险评估包括准备、评估和报告三个步骤。
一 | 准备阶段 |
1.制定评估计划 计划内容包括自我评估的目的、对象、范围、时间安排、开展模式和方法及评估人员组成等。 2.识别评估对象 操作风险评估的对象通常为“业务流程”和“管理活动”,在特定情况下,也可能是某个特定的操作风险事件。 3.绘制流程图 应遵循业务步骤的逻辑顺序,标明手工或自动化操作环节、运用的系统名称、与 外部供应商或其他业务流程的交接点等信息。 4.收集评估背景信息 评估前应收集尽可能多的操作风险信息,包括内外部损失数据、检查发现的问题、重大风险事件、监管机构的风险提示等。 | |
二 | 评估阶段 |
1、识别主要风险点 识别对业务和管理目标的实现有重要影响的主要风险。识别风险点时应重点关注业务操作规程和管理流程存在的缺陷;信息科技系统存在的缺陷;因主、客观原因难以执行、实际控制失效的制度规定;实际操作过程中易发生误操作或差错频繁发生的环节等。 2、召开会议 操作风险与控制评估可采取讨论组会议(workshop)、当面访谈、电话访谈或问卷调查等方式。采取讨论组会议时,评估部门应选派有业务经验、有主持讨论会能力、有一定资历的人员作为指导人主持会议。 3、开展评估 一是固有风险评估。对金融机构所面临的每个操作风险点都必须进行固有风险分析。通常用发生频率和损失严重度矩阵来分析固有风险。 二是控制有效性评估。固有风险评级后,需要识别有助于减少其发生频率和严重度的控制活动。评估控制活动有效性要从控制的设计和控制的实施两方面进行,确定控制有效性评级。 三是剩余风险评估。综合考虑固有风险评级和控制有效性评级,根据“固有风险暴露-控制有效性=剩余风险暴露”原则确定剩余风险评级。 4、制定改进方案 根据风险和收益匹配原则,对不同水平的剩余风险相应采取规避风险、转移风险、降低风险和承担风险等措施。 | |
三 | 报告阶段 |
1、整合结果 评估部门应整合本条线的风险识别结果,明确被评估业务流程中须重点关注和监控的主要风险,进而明确本条线的主要风险,并进行监测和管理。 2、双线报告 各部门自我评估后,应填制操作风险自我评估工作表,向上级对口部门和同级操作风险管理部门报告,商业银行总行操作风险管理部门负责整理全行自我评估报告。 |
四、操作风险监测与报告
(一)关键风险指标
操作风险监测是针对评估发现的关键风险单元,通过设计关键风险指标及门槛值,对关键风险因素进行量化、跟踪,及时掌握风险大小的变化和发布操作风险提示信息,以降低损失事件发生频率和影响程度的过程。
1、关键风险指标监测原则
金融机构建立关键风险指标开展操作风险监测工作,关键风险指标是代表某一业务领域操作风险变化情况的统计指标,是识别操作风险的重要工具。关键风险指标通常包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平等。设计良好的关键风险指标体系要满足整体性、重要性、敏感性、可靠性原则,且须明确数据口径、门槛值、报告路径等要素。
一是在整体性方面,监测工作要能够反映操作风险全局状况及变化趋势,揭示诱发操作风险的系统性原因,实现对金融机构操作风险状况的预警。
二是在重要性方面,监测工作要提示重点地区、重点业务、关键环节的操作风险隐患,反映金融机构操作风险的主要特征。
三是在敏感性方面,监测指标要与操作风险事件密切相关,并能够及时预警风险变化,有助于实现对操作风险的事前和事中控制。
四是在可靠性方面,监测数据来源要准确可靠,具有可操作性,要保证监测工作流程、质量可控,要建立起监测结果的验证机制。
五是在有效性方面,监测工作要根据经营发展和风险管理战略不断发展和完善,指标是开放的、动态调整的,监测工作要持续、有效。
2、关键风险指标法的核心步骤
关键风险指标法可选择已经识别出来的主要操作风险因素,并结合金融机构的内、外部操作风险损失事件数据形成统计分析指标,用于评估金融机构整体的操作风险水平。这一方法的难点在于对各项关键指标设定合理的阈值,即风险指标处于何种范围之内可以被认为是处于较低风险水平、中等风险水平或较高风险水平,并针对不同评估结果采取何种适当的风险控制措施。具体来看,关键风险指标监测由设置关键风险指标,监测分析、报告关键风险指标,更新关键风险指标等步骤组成。具体步骤如下:
一 | 识别与定义关键风险指标 |
对所选取的每一个关键风险信息设置足够的备选关键风险指标,以便后续阶段从备选关键风险指标中筛选可供执行的关键风险指标 | |
二 | 设置关键风险指标阈值 |
指标管理部门根据业务实践和管理经验,判断关键风险指标所对应的阈值模式,并设置关键风险指标阈值。指标管理部门需结合业务实践和管理经验,本着谨慎性原则设定关键风险指标阈值,并依据关键风险指标实际表现及一段时期内变动趋势,对关键风险指标阀值进行调整和改进 | |
三 | 确认关键风险指标 |
指标管理部门对最终选取的关键风险指标信息要素(包括定义、数据和阀值等信息)进行确认,并明确后续监测和报告工作的要点,主要包括记录所设定的关键风险指标、完成关键风险指标信息模板、审批关键风险指标等三个步骤 | |
四 | 监测和分析关键风险指标 |
指标管理部门定期计算关键风险指标的结果,并对指标结果进行分析,以了解关键风险指标的表现及其所反映的操作风险管理现状。关键风险指标数据的收集及监测频率应满足风险监测的需要,原则上不低于每季度一次,并尽量采取更高的监测频率 | |
五 | 制订优化或整改方案 |
指标管理部门依据关键风险指标的监测结果及预警信号,对所有关键风险指标突破阈值的情况进行分析,判断是否需要制订优化或整改方案 | |
六 | 报告关键风险指标 |
指标管理部门按照一定频率定期报告关键风险指标的监测和分析结果(及制订的优化或整改方案) | |
七 | 关键风险指标更新 |
指标管理部门对关键风险指标要素(指标名称、内容、阀值和数据要求等)及体系运行的质量和效果进行验证,对关键风险指标的工作流程进行检查 |
(二)损失数据收集
操作风险损失数据收集(Loss
Data Collection简称LDC)指操作风险损失数据(包括损失事件信息和会计记录中确认的财务影响)的搜集、汇总、监控、分析和报告工作。损失数据收集是金融机构对因操作风险引起的损失事件进行收集、报告并管理的相关工作。
1、损失数据收集统计原则
一是重要性原则。在统计操作风险损失事件时,要对损失金额较大和发生频率较高的操作风险损失事件进行重点审查和确认,要对重点地区、重要业务线及产品的操作风险损失事件进行认真识别和监测。
二是准确性原则。应及时确认、完整记录、准确统计因操作风险事件导致的实际资产损失,避免因提前或延后造成当期统计数据不准确。对因操作风险损失事件带来的声誉影响,要及时分析和报告,但不要求量化损失。
三是统一性原则。操作风险损失事件的统计标准、范围、程序和方法要保持一致,以确保统计结果客观、准确及可比。
四是谨慎性原则。对操作风险损失进行确认时,要保持必要的谨慎,应进行客观、公允统计,准确计量损失金额,不得出现多计或少计操作风险损失的情况。
五是全面性原则。操作风险损失事件统计内容应至少包含:损失事件发生的时间、发现的时间及损失确认时间、业务条线名称、损失事件类型、涉及金额、损失金额、缓释金额、非财务影响、与信用风险和市场风险的交叉关系等。
2、损失数据收集统计要求
损失收集工作要明确损失的定义、损失形态、统计标准、职责分工和报告路径等内容、保障损失数据统计工作的规范性。为确保数据收集的审慎性、准确性和适当性,银行须从以下方面进一步规范数据管理工作。
一是要明确损失数据口径,包括总损失、回收后净损失、保险缓释后净损失。总损失(Gross Loss)是在扣除任何形式的损失回收之前的损失。净损失(Net Loss)是考虑了损失回收影响之后的损失,包括保险缓释前净损失和保险缓释后净损失两个口径。回收(Recovery)是指与初始损失事件相关,但在不同时间获得来自第三方的资金或收益的独立事件。
二是要建立适当的数据阈值,可就数据收集和建模制定不同阈值,但应避免建模阈值大大高于收集阈值,并就阈值情况进行合理解释说明。
三是分析不同数据采集时点的差异,包括发生日、发现日、核算日(准备计提日)等。
四是明确合并及分拆规则,如一次事件多次损失、有因果关系的多次损失等。
3、损失数据收集核心环节
金融机构应确定操作风险损失数据收集的流程及报送路线,并对涉及的各个环节进行详细说明,损失数据收集主要包括如下核心环节。
一是损失事件识别。主要是明确损失数据收集范围,同时判断损失金额是否达到损失数据收集门槛;只有属于是由操作风险引起且事件的损失金额达到损失数据收集门槛的,才予以收集。
二是损失事件填报。主要是填报单个损失事件的内容,对于每个损失事件,需要通过系统记录事件的事实情况、总体的财务损失金额以及逐笔损失、成本或挽回的明细信息。这一步骤的难点在于确定损失事件个数和进行损失事件分类时容易出现理解偏差。一个事件可能造成一系列的损失(或影响)。这种情况下应对事件进行详细调查来识别“根本事件”,即最初的事件,若该事件没有发生,所有的后续损失和影响都不会产生。此时应将该根本事件及其相关的损失按一个事件来填报。对于每个填报的损失事件,应确定其对应的损失事件分类。需要注意的是,损失事件分类应根据发生的事件本身来确定,而不是根据导致事件发生的原因来确定,在操作风险管理中,要明确发生了什么,而不是考虑为什么会发生。
三是损失金额确定。操作风险损失是指操作风险事件造成的直接损失和成本金额,也即事件直接导致的对金融机构收益或股东权益造成的负面影响,或直接导致的运营成本或费用的额外增加。判断是否应纳入的决定因素是:损失和成本是否直接由操作风险事件导致,或者与操作风险事件直接相关,且是真正的经济损失,而不是预期收入的减少。主要包含的是将发生事件的机构恢复到事件发生前的状态,或为挽回损失所支付的各类成本;在事件发生后提取的预计诉讼赔款等。
四是损失事件信息审核。确认损失事件信息的要素是否完整、描述性信息是否全面、内容是否准确。操作风险管理牵头部门应对每个损失事件信息的完整性和事件属性的准确性进行审核。损失事件的更新信息及结束信息的审核遵循初次填报相同的审核要求。
五是损失数据验证。为了保证损失数据收集的质量,应组织损失数据验证,如发现漏报、错报、迟报、不符合填报要求等情况,应通知相关机构或部门及时补报或修改。验证工作重点关注数据的全面性、准确性和及时性。
(三)操作风险报告
金融机构负责操作风险管理的部门、承担主要操作风险的部门应定期提交金融机构的操作风险管理与控制情况报告,报告中应包括主要操作风险事件的详细信息、已确认或潜在的重大操作风险损失等信息、操作风险及控制措施的评估结果、关键风险指标监测结果,并制定流程对报告中反映的信息采取有效行动。操作风险报告主要包括操作风险管理报告(定期分析报告期内全面操作风险的基本状况、采取的主要举措、存在的风险隐患和应关注的管理问题,并提出工作建议,报告应提交高管层和董事会);操作风险专项报告(分析报告各项业务或产品中存在的风险隐患,提交操作风险牵头部门,并向高管层报告);操作风险监测报告(根据各项监测指标值的变化和异动情况分析金融机构有关操作风险的变化趋势,并对潜在的重大风险隐患进行提前揭示);操作风险损失事件报告(报告的要素包括事件发生时间、涉及业务领域、损失金额等内容,并对重大事件进行具体说明)。
五、操作风险控制与缓释
(一)操作风险控制
操作风险与金融机构的机构设置、业务结构密切相关,国际上并无统一的操作风险控制具体形式,但一般均应包括以下基本要素:董事会的监督控制,高级管理层的职责,适当的组织架构,操作风险管理政策、方法、程序和信息系统等。
根据风险和收益匹配原则,金融机构一般选择四种策略控制操作风险。即降低风险(通过风险管理、内部控制程序对各风险环节进行控制,减少操作风险发生的可能性,降低风险损失的严重程度);承受风险(对无法降低又无法避免的风险,如人员、流程、系统等引起的操作风险,采取承担并通过定价、拨备、资本等方式进行主动管理);转移或缓释风险(通过外包、保险、专门协议等工具,将损失全部或部分转移至第三方);回避风险(通过撤销危险地区网点、关闭高风险业务等方式进行规避)。
(二)操作风险缓释
操作风险缓释是在量化分析风险点分布、发生概率和损失程度的基础上,采用适当的缓释工具,限制、降低或分散操作风险。目前,主要的操作风险缓释手段有业务连续性管理计划、商业保险和业务外包等。
一 | 业务连续性管理计划 |
当金融机构的营业场所、电力、通信、技术设备等因不可抗力事件而严重受损或无法使用时,金融机构可能因无力履行部分或全部业务职责遭受重大经济损失,甚至个别金融机构的业务中断可能造成更广泛的系统性瘫痪。面临此类低频高损事件的威协,金融机构应当建立完备的灾难应急恢复和业务连续性管理应急计划,涵盖可能遭受的各种意外冲击,明确那些对迅速恢复服务至关重要的关键业务程序,包括依赖外包商服务,明确在中断事件中恢复服务的备用机制。 巴塞尔委员会2006年发布了《业务连续性业务原则》,要求商业银行董事会和高管层共同承担银行业务连续性管理职责;各金融机构应对可能发生的重大业务中断有青晰的思考和计划,并将其包括在业务连续性管理中;金融机构应建立明确的恢复目标;金融机构应对业务连续性计划进行测试,评价有效性,进行更新。《商业银行操作风险管理指引》中指出,“商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案”。《商业银行资本管理办法(试行)》也规定“商业银行应当制定全行统一的业务连续性管理政策措施,建立业务连续性管理应急计划”。 业务连续性计划是指为实现业务连续性而制定的各类规划及实施的各项流程。业务连续性计划应当是一个全面的计划,与金融机构经营的规模和复杂性相适应,强调操作风险识别、缓释、恢复以及持续计划,具体包括业务和技术风险评估、面对灾难时的风险缓释措施、常年持续性/经营性的恢复程序和计划、恰当的治理结构、危机和事故管理、持续经营意识培训等方面。 金融机构应定期检查灾难恢复和业务连续性管理方案,保证其与目前的经营和业务战略吻合,并对这些方案进行定期测试,确保商业银行发生业务中断时,能够迅速执行既定方案。 | |
二 | 商业保险 |
在金融机构投保前,不论是金融机构还是保险机构都要充分评估金融机构操作风险的状况、风险管理能力及财务承受能力,最终确定金融机构自担风险还是保险机构承保。国内金融机构在利用保险进行操作风险缓释方面还处于探索阶段。 应当清醒地认识到,购买保险只是操作风险缓释的一种措施。预防和减少操作风险事件的发生,根本上还是要靠金融机构不断提高自身的风险管理水平。国际上,金融机构所面临的很多操作风险可以通过购买特定的保险加以缓释,例如一揽子保险(主要承保金融机构内部盗窃和欺诈以及外部欺诈风险);错误与遗漏保险(主要承保无法为客户提供专业服务或在提供服务过程中出现过失的风险);经理与高级职员责任险(主要承保金融机构经理与高级职员操纵市场、洗钱、未对敏感信息进行披露、不当利用重要信息等行为给金融机构造成潜在损失的风险);未授权交易保险(主要承保未报告交易、未经授权交易及超限额交易引起的直接财务损失);财产保险(主要承保由于火灾、雷电、爆炸、碰撞等自然灾害引起的被保人物理财产损失);营业中断保险(主要承保因设备瘫痪、电信中断等事件所导致的营业中断而引发的损失);商业综合责任保险(主要承保由于营业过程中发生的事故对第三者造成身体伤害或物质损失的责任);电子保险(主要承保由于电子设备自身的脆弱性所引发的风险损失);计算机犯罪保险(主要承保由于有目的地利用计算机犯罪而引发的风险)。金融机构在计量操作风险监管资本时,可以将保险理赔收人作为操作风险的缓释因素,但保险的缓释最高不超过操作风险监管资本要求的20%。 | |
三 | 业务外包 |
金融机构可以将某些业务外包给具有较高技能和规模的其他机构来管理,用于转移操作风险。同时,外包非核心业务有助于金融机构将重点放在核心业务上,从而提高效率、降低成本。从风险实质性上说,业务操作或服务虽然可以外包,但其最终责任并未被“包”出去。外包并不能减少或免除董事会和高级管理层确保第三方行为的安全稳健以及遵守相关法律的责任。金融机构必须对外包业务的风险进行管理,一些关键过程和核心业务,如账务系统、资金交易业务等不应外包出去,因为过多的外包也会产生额外的操作风险或其他隐患。金融机构仍然是外包过程中出现的操作风险的最终责任人,对客户和监管者承担着保证服务质量、安全、透明度和管理汇报的责任。常见的外包工作有以下几类:技术外包(如呼叫中心、计算机中心、网络中心、IT策划中心等处理);程序外包(如消费信贷业务有关客户身份及亲笔签名的核对、信用卡客户资料的输入与装封等);业务营销外包(如汽车贷款业务的推销、住房贷款推销、银行卡营销等);专业性服务外包(如法律事务、不动产评估、安全保卫等);后勤性事务外包(如贸易金融服务的后勤处理作业、凭证保存等)。 |
六、操作风险资本计量
操作风险资本计量方法包括基本指标法、标准法和高级计量法,以及2017年《巴塞尔Ⅲ最终方案》提出的新标准法。操作风险计提资本不是目的,关键是通过计提和分配资本以推动商业银行改进操作风险管理。
(一)基本指标法
金融机构自主决定是否采用基本指标法计量操作风险资本要求。基本指标法以总收入为计量基础,总收入定义为金融机构的净利息收入与净非利息收入之和。基本指标法操作风险资本等于金融就前三年总收入的平均值乘上一个固定比例(用a表示)。资本计量公式为:
其中,KBIA为按基本指标法计量的操作风险资本要求,GI为过去三年中每年正的总收入,n为过去三年中总收入为正的年数。α为15%。
总体上看,基本指标法计量方法简单,资本与收入呈线性分布,金融机构的收入越高,操作风险资本要求越大,资本对风险缺乏敏感性,对改进风险管理作用不大。基本指标法实施的基础条件:基本指标法比较简单,监管当局未对采用该方法的银行提出具体要求。
(二)标准法
1、标准法计算公式
标准法以各业务条线的总收入为计量基础,与基本指标法类似,总收入是个广义的指标,代表业务经营规模,因此也大致代表了各业务条线的操作风险暴露。标准法操作风险资本等于金融机构各条线前三年总收入的平均值乘上一个固定的比例(用βi表示)再加总,计算公式为:
其中, KTSA为标准法计量的操作风险资本要求,
代表各年为正的操作风险资本要求,GIi为各业务条线总收入,βi为各业务条线的操作风险资本系数。以商业银行为例,公司金融β系数为18%,交易和销售β系数为18%,零售银行业务β系数为12%,商业银行β系数为15%,支付和清算β系数为18%,代理服务β系数为15%,资产管理β系数为12%,零售经纪β系数为12%,其他业务β系数为18%。
2、标准法计量原则
同样以银行为例,为指导银行使用标准法,监管当局明确了业务条线的9条归类原则:一是所有业务活动必须按1级目录规定的9个业务条线对应归类,相互不重合,列举须穷尽;二是对业务条线框架内业务起辅助作用的银行业务或非银行业务,如果无法按业务条线直接对应归类,必须归入其所辅助的业务条线。如果辅助多个业务条线,则必须采用客观标准归类;三是在将总收入归类时,如果此业务无法与某一特定业务条线对应,则适用资本要求最高的业务条线,此业务条线也同样适用于任何相关的辅助业务;四是如果银行总收入(按基本指标法计算)仍等于9个业务条线的总收入之和,银行可以使用内部定价方法在各业务条线间分配总收入;五是因计算操作风险将业务按业务条线归类时采用的定义,必须与计算其他类风险(如信用风险、操作风险)监管资本所采用的定义相同,一旦背离此原则,则需引起异议并明确记录;六是银行采用的对应流程应有明确的文字说明,尤其是业务条线的书面定义应清晰、详尽,使第三方可以复制业务条线对应的做法,文字说明中必须规定对违反情况应引起异议并保持记录;七是必须制定新业务或产品对应的流程;八是需由高级管理层负责制定业务条线对应政策;九是业务条线对应流程必须接受独立审查。银行总收入构成表:
3、标准法实施的基础条件
实施标准法必须至少符合监管当局的以下规定:董事会和高级管理层适当积极参与操作风险管理框架的监督;操作风险管理系统概念稳健,执行正确有效;有充足的资源支持在主要产品线上和控制及审计领域采用标准法。除此以外,还需满足下列更高要求。
一是操作风险管理系统必须对操作风险管理功能进行明确的职责界定,包括开发识别、监测、控制/缓释操作风险的策略;制定金融机构的操作风险管理和控制的政策和程序;设计并实施金融机构的操作风险评估方法;设计并实施操作风险报告系统。
二是金融机构必须系统地跟踪与操作风险相关的数据,包括各产品线发生的巨额损失。必须将操作风险评估系统整合入金融机构的风险管理流程。评估结果必须成为金融机构操作风险状况监测和控制流程的有机组成部分。例如,该信息必须在风险报告、管理报告和风险分析中发挥重要作用。金融机构必须在全机构范围采取激励手段鼓励改进操作风险管理。
三是银行必须定期向业务管理层、高级管理层和董事会报告操作风险暴露情况,包括重大操作损失。必须制定流程,规定如何针对管理报告中反映的信息采取适当行动。
四是金融机构的操作风险管理系统必须文件齐备,必须有日常程序确保符合操作风险管理系统内部政策、控制和流程等文件的规定,且应规定如何对不符合规定的情况进行处理。
五是金融机构的操作风险管理流程和评估系统必须接收验证和定期独立审查,这些审查必须明确业务部门的活动和操作风险管理岗位的情况。
六是金融机构操作风险评估系统必须接受外部审计师和监管当局的定期审查。
(三)高级计量法
高级计量法(Advanced
Measurement Approach,简称AMA),是金融机构根据业务性质、规模和产品复杂程度以及风险管理水平,基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制因素,建立操作风险计量模型以计算操作风险的实际情况。金融机构采用高级计量法,建立模型使用的内部损失数据应充分反映本行操作风监管资本的方法。高级计量法体系中含有损失分布法(LDA)、内部衡量法(IMA)和打分卡法(SCA)三种计量模型。
高级计量法风险敏感度高,具有资本激励和管理激励效应,实现了风险计量和风险管理有机结合,有助于展示金融机构风险管理成效。随着实施机构的不断增多,高级计量法体系的一些缺点逐步显现:一是实施成本较高,开发难度大,透明度较差,监管核准的流程相对较长;二是大部分金融机构缺乏尾部数据建模基础,数据源重复;三是不同金融机构之间的模型基础和数据严重不可比。就银行类金融机构而言,2016年3月,巴塞尔委员会正式公开建议取消高级计量法。
(四)银行类金融机构的新标准法
2017年《巴塞尔Ⅲ最终方案》将原有的三种操作风险计量方法统一为一种,要求所有银行均执行标准法,即“新标准法”。新标准法主要由两个部分构成:一是业务指标部分(BIC);二是内部损失乘数(ILM)。
1、计算业务指标(BI)
业务指标(BI)由三个部分相加得到,包括利息、租赁及股利部分(ILDC),服务部分(SC)及金融部分(FC)。各个组成部分的定义如下:
ILDC=Min[Abs(利息收入-利息支出),2.25%×生息资产]+股息收入
SC=Max[其他营业收入,其他营业支出]+Max[手续费收入,手续费支出]FC=Abs(交易账簿净损益)+Abs(银行账簿净损益)
在上述公式中,术语中的该数值是按3年的平均值计算:t、t-1及1-2,首先逐年计算各项净值(例如,利息收入一利息支出)的绝对值,逐年计算之后方可计算3年的平均值,
2、计算业务指标部分(BIC)
业务指标部分(BIC)由业务指标(BI)乘以边际系数αi得出。边际系数随着BI规模的增加而增加,每单位BI数值乘以相应区段的百分比(区段1为12%,区段2为15%,区段3为18%)之后,再相加就得出BIC。
3、计算内部损失乘数(ILM)
金融机构的内部操作风险损失会通过内部损失乘数影响操作风险资本的计算。ILM的定义如下:
其中,损失部分(LC)等于过去10年年均操作风险损失的15倍,如损失部分与业务指标部分(BIC)相等,则LIM为1。如LC大于BIC,则LIM大于1。换言之,如金融机构的损失高于BIC,则金融机构需要持有较多资本,相反,如LC低于BIC,则LIM少于1。换言之,如果金融就的损失低于BIC,则金融机构只需要持有较少资本。
针对银行类金融机构,为降低实施成本,《巴塞尔III最终方案》规定,对于BI小于10亿欧元的小银行,ILM设定为1;同时,监管当局有权自主决定是否将其他所有银行的ILM也设定为1。内部损失乘数的提出,对各银行在操作风险事件的记录、分类、数据收集方面提出了更高的要求,将促使商业银行在数据基础设施建设、信息系统建设方面打好基础,做好内部损失数据的收集工作。
4、操作风险最低资本要求
操作风险最低资本要求(ORC)由业务指标部分乘以内部损失乘数计算得出,对应公式为:
ORC=BIC×ILM
七、外包风险管理
(一)外包的定义及原则
外包是指金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,金融机构母公司或其所属集团设立子公司、关联公司或附属机构。外包不能消灭风险,但通过将该业务的管理置于经验和技能更丰富的第三方手中,可以降低金融机构的原有风险。
金融机构开展外包活动应遵循以下原则:一是由董事会和高级管理层承担外包活动的最终责任;二是制定外包的风险管理框架以及相关制度,并将其纳入全面风险管理体系;三是根据审慎经营原则制定其外包战略发展规划,确定与其风险管理水平相适宜的外包活动范围;四是对于战略管理、核心管理以及内部审计等职能不宜外包。
(二)外包风险管理主要框架
1、金融机构外包管理组织结构
金融机构外包管理的组织架构包括董事会、高级管理层及外包管理团队。其中,董事会负责审议批准外包的战略发展规划;审议批准外包的风险管理制度;审议批准本机构的外包范围及相关安排;定期审阅本机构外包活动相关报告;定期安排内部审计,确保审计范围涵盖所有的外包安排。高级管理层负责制定外包战略发展规划;制定外包风险管理的政策、操作流程和内控制度;确定外包业务的范围及相关安排;确定外包管理团队职责,并对其行为进行有效监督。
外包管理团队负责执行外包风险管理的政策、操作流程和内控制度;负责外包活动的日常管理,包括尽职调查、合同执行情况的监督及风险状况的监督;向高级管理层提出有关外包活动发展和风险管控的意见和建议;在发现外包服务提供商业的业务活动存在缺陷时,采取及时有效的措施。
2、外包风险管理
金融机构应将外包风险管理纳人全面风险管理体系,建立严格的客户信息保密制度,并做好以下工作:
一 | 外包风险评估 |
在制定外包活动政策时,应当评估以下风险因素:外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险;影响外包活动的外部因素;本机构对外包活动的风险管控能力;服务提供商的技术能力及专业能力,业务策略和业务规模,业务连续性及破产风险,风险控制能力及外包服务的集中度。 | |
二 | 尽职调查 |
金融机构在进行外包活动时还应当对服务提供商进行尽职调查,尽职调查应当包括管理能力和行业地位;财务稳健性;经营声誉和企业文化;技术实力和服务质量;突发事件应对能力;对金融机构所在行业的熟悉程度;对其他同业提供服务的情况;其他重要事项;外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。 | |
三 | 外包协议管理 |
金融机构开展外包活动时应当签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:外包服务的范围和标准;外包服务的保密性和安全性的安排;外包服务的业务连续性的安排;外包服务的审计和检查;外包争端的解决机制;合同或协议变更或终止的过渡安排;违约责任。对于具有专业技术性的外包活动,可签订服务标准协议。 | |
四 | 外包服务承诺 |
金融机构在外包合同中应当要求外包服务提供商承诺以下事项:定期通报外包活动的有关事项;及时通报外包活动的突发性事件;配合金融机构接受监督管理机构的检查;保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,金融机构有权随时终止外包合同;不得以金融机构的名义开展活动。 | |
五 | 分包风险管理 |
金融机构应当关注外包服务提供商分包的风险,并在合同中明确以下事项:服务提供商分包的规则;分包服务提供商应当严格遵守主服务提供商与金融机构确定的外包合同或协议中的相关条款;主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;不得将外包活动的主要业务分包。 | |
六 | 跨境外包管理 |
金融机构在开展跨境外包活动时,应当遵守以下原则:审慎评估法律和管制风险;确保客户信息的安全;选择境外服务提供商时,应当明确其所在国家或地区监管当局已与我国监督管理机构签订谅解备忘录或双方认可的其他约定。 | |
七 | 其他事项 |
金融机构应当事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施,确保业务活动的正常经营。应当定期对外包括动进行全面审计与评价。 |
八、信息科技风险管理
(一)信息科技风险定义和特征
信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在金融机构业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制定完善的管理制度和流程。信息科技风险是指信息科技在金融机构运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险具有特征:
一是隐蔽性强。金融机构许多业务流程已经实现了信息化,如果系统的设计者对具体业务流程不熟悉或对风险点考虑不周,可能在系统设计之初留下隐患,随着内外部环境的发展和变化,如果不采取风险缓释措施,可能会发生衍生风险事件。
二是突发性强,应急处置难度大。信息科技风险是唯一能够导致金融机构瞬间瘫痪的风险,外部因素的突然变化可能导致风险事件的发生,如黑客攻击、地震、火灾等,这些因素变化事前难以预测,一旦发生就可能失去控制、迅速蔓延,对金融机构的应急处置能力提出了很大的挑战。
三是影响范围广,后果具有灾难性。信息科技风险贯穿于金融机构各部门和各条线的管理和业务流程之中,一旦核心系统和主干网络发生故障,可能引发连锁反应,造成整个金融机构的业务停顿、资金损失和客户流失,甚至可能导致机构倒闭等灾难性后果。
(二)信息科技风险管理主要框架
信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
1、信息科技治理
金融机构应在建立良好公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。
金融机构的董事会履行以下信息科技管理职责:遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实监督管理机构相关监管要求;审查批准信息科技战略,确保其与金融机构总体业务战略和重大策略相一致;评估信息科技及其风险管理工作的总体效果和效率;掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制;规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识;设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况;加强信息科技专业队伍的建设,建立人才激励机制;确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改;每年审阅并向监督管理机构及其派出机构报送信息科技风险管理的年度报告;确保信息科技风险管理工作所需资金;确保金融机构所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训;确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合监督管理机构监管和实施现场检查的要求,防范跨境风险;及时向监督管理机构及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应;配合监督管理机构及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
金融机构应设立首席信息官,直接向总裁/行长汇报,并参与决策。首席信息官的责包括:直接参与本机构与信息科技运用有关的业务发展决策;确保信息科技战略,尤其是信息系统开发战略,符合总体业务战略和信息科技风险管理策略;负责建立一个切实有效的信息科技部门,承担本金融机构的信息科技职责;确保其履行信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责;确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构;组织专业培训,提高人才队伍的专业技能;履行信息科技风险管理其他相关工作。
2、信息科技风险管理
金融机构应制定符合该机构总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。金融机构应制定全面的信息科技风险管理策略,包括信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。
金融机构应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
金融机构应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示;确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化;建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容。
金融机构应建立持续的信息科技风险计量和监测机制,其中应包括:建立信息科技项目实施前及实施后的评价机制;建立定期检查系统性能的程序和标准;建立信息科技服务投诉和事故处理的报告机制;建立内部审计、外部审计和监管发现问题的整改处理机制;安排供应商和业务部门对服务水平协议的完成情况进行定期审查;定期评估新技术发展可能造成的影响和已使用软件面临的新威胁;定期进行运行环境下操作风险和管理控制的检查;定期进行信息科技外包项目的风险状况评价。在境外设立机构的金融机构,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。
3、信息安全
金融机构信息科技部门负责建立和实施信息分类和保护体系,使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程:
一 | 落实信息安全管理职能 |
包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。 | |
二 | 建立有效管理用户认证和访问控制的流程 |
用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开时,应在系统中及时检查、更新或注销用户身份。应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。 | |
三 | 划分为不同的逻辑安全域 |
对安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等 | |
四 | 确保计算机操作系统和软件系统安全 |
制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求;明确定义包括终细用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限:制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察:要求技术人员定期检查可用的安全补丁,并报告补丁管理状态;在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项:手动或自动监控系统出现的任何异常事件,定期汇报监控情况 | |
五 | 信息系统安全 |
明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责;针对信息系统的重要性和敏感程度,采取有效的身份验证方法;加强职责划分,对关键或敏感岗位进行双重控制;在关键的接合点进行输入验证或输出核对;采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、慕改:确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息;以书面或电子格式保存审计痕迹;要求用户管理员监控和审查未成功的登录和用户账户的修改。 | |
六 | 管理生产系统活动日志 |
应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:一是交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。二是系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准 | |
七 | 采取加密技术 |
采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,确保使用符合国家要求的加密技术和加密设备;管理、使用密码设备的员工经过专业培训和严格审查;加密强度满足信息机密性的要求;制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。 | |
八 | 系统配套 |
配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备应进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等 | |
九 | 制度建设 |
制定相关制度和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁 | |
十 | 培训 |
对所有员工进行必要培训,使其充分掌握信息科技封信啊管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策 |
4、信息系统开发、测试和维护
金融机构要对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。
5、信息科技运行
金融机构管理信息科技运行时,应满足以下要求:
一 | 在选择数据中心的地理位置时,应充分考虑环境威胁(如是接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。 |
二 | 严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查 |
三 | 将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责作出明确规定 |
四 | 按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求 |
五 | 制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期) |
六 | 建立事故管理及处置机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决 |
七 | 建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核 |
八 | 建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正 |
九 | 制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长 |
十 | 及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性 |
十一 | 制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更 |
6、内外部审计
内部审计方面,应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。外部审计方面,金融机构可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。在委托审计过程中,应确保外部审计机构能够对金融机构的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
投行君最近建了一个资管业务交流群,仅面向险资、银行、信托、券商等业内资管人士,免费实名入群,有兴趣的朋友可在文末扫码投行君的微信。各路中介勿扰。 知识星球《投行圈子》将打造投行圈最靠谱的人脉拓展平台。还可以获取海量实用干货、进入业内人士云集的私域交流群。各位老铁速来扫码集合。 
要想每天都能看到我们的文章,记得点亮“星标”
微信扫码关注该文公众号作者