信息资产风险监管势在必行 | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://finance.sina.com.cn 2005年09月28日 09:56 金时网·金融时报 | |||||||||
一泓 今年年初,银监会提出了《银行业信息资产风险监管暂行办法(送审稿)》。从最初的《银行业金融机构运用电子计算机管理业务数据系统的监管检查办法(征求意见稿)》,到后来的《银行业金融机构计算机信息风险监管暂行办法》,再到如今的《银行业信息资产风险监管暂行办法(送审稿)》,这一涉及到银行业信息资产风险管理方方面面的法规已经八易其
银行信息安全业界人士普遍认为,该办法的出台主要出于两种因素的影响:一是为了适应金融全球化趋势、金融风险管理技术的迅速发展,以及计算机技术在银行业中的广泛运用,同时也为了面对强化金融风险管理的新巴塞尔资本协议,信息资产风险监管的课题也被提到议事日程上来。二是我国银行业在改制、上市及发展中,也迫切需要提高自身在风险管理方面的水平。 新巴塞尔协议对风险管理的理念进一步强化,即银行业不仅要在宏观管理层面上,要求有统一的风险管理战略、风险管理政策、风险管理制度、风险管理文化,也要在微观操作层面上,全面考虑包括信用风险、市场风险、操作风险等在内的各种风险管理。风险管理必须逐步应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面,贯穿于业务经营管理的全过程。我们知道,对于操作风险的管理,直接涉及到对银行信息系统的安全管理,因此,加强操作风险的管理,就必须高度重视银行的信息资产风险管理。此外,我们也知道,只有全面风险管理的信息体系,才可帮助银行将风险进行量化,有效防范信用风险、利率风险、汇率风险等各种风险的发生,这就会大量应用先进的信息技术,而这当中就必然会面临信息资产安全的防范问题。根据新巴塞尔资本协议的精神,世界上已有不少国家的监管当局已经开始探索在各类风险管理中IT风险防范的新路子,我国也不例外。 那么,信息资产风险监管是否就等同于信息安全管理?有专家指出,虽然我国的银行业信息化水平在不断提高,而且信息安全措施也在不断完善,但是信息资产风险监管“并未做到家”。信息安全管理只是银行业信息资产风险管理若干问题中的一个环节和方面,无法覆盖信息化的全部,尤其是机构内控问题。信息资产风险监管关注的是信息化的全过程,包含信息化的规划、信息化项目的实施与管理、信息安全、信息化项目审计、信息资产风险评估。信息安全是信息资产风险监管的重要组成部分,它主要关注技术风险防范。所以以信息资产风险监管为契机,可以更好地把信息安全工作做“深”,做“实”。 据业内人士介绍,该《暂行办法》(送审稿)的精髓在于,强调信息资产风险监管要坚持“管法人、管风险、管内控、增强透明度”的理念,以防范和化解风险为中心,以法人为主体,综合运用现场检查、非现场分析与评价、发布规章指引、强化市场约束等手段,同时遵循“谁主管、谁负责,谁运营、谁负责”的信息安全管理原则,搞好监管工作。以资产风险方式进行监督和管理,需关注资产质量、资产保值、增值和资产的风险。同时,提高机构内部控制的信息化水平也是信息资产保值、增值和降低资产风险的主要内容。 对于信息资产风险监管的探索才刚刚开始,在没有更多可资借鉴经验的情形下,监管办法的完善还需金融业各参与方的共同努力。但愿信息资产风险能引起金融业各方人士的高度重视,并将之列入当前最重要的研究课题。 |