|
一泓
今年年初,銀監會提出了《銀行業信息資產風險監管暫行辦法(送審稿)》。從最初的《銀行業金融機構運用電子計算機管理業務數據系統的監管檢查辦法(征求意見稿)》,到后來的《銀行業金融機構計算機信息風險監管暫行辦法》,再到如今的《銀行業信息資產風險監管暫行辦法(送審稿)》,這一涉及到銀行業信息資產風險管理方方面面的法規已經八易其
稿,從名稱的演變可以看出,銀監會在信息資產風險管理的監管思路在不斷升華。那么,銀監會為何要出臺這一法規?本法規對銀行業的發展又意味著什么?
銀行信息安全業界人士普遍認為,該辦法的出臺主要出于兩種因素的影響:一是為了適應金融全球化趨勢、金融風險管理技術的迅速發展,以及計算機技術在銀行業中的廣泛運用,同時也為了面對強化金融風險管理的新巴塞爾資本協議,信息資產風險監管的課題也被提到議事日程上來。二是我國銀行業在改制、上市及發展中,也迫切需要提高自身在風險管理方面的水平。
新巴塞爾協議對風險管理的理念進一步強化,即銀行業不僅要在宏觀管理層面上,要求有統一的風險管理戰略、風險管理政策、風險管理制度、風險管理文化,也要在微觀操作層面上,全面考慮包括信用風險、市場風險、操作風險等在內的各種風險管理。風險管理必須逐步應用于信貸決策、資本配置、貸款定價、經營績效考核等方面,貫穿于業務經營管理的全過程。我們知道,對于操作風險的管理,直接涉及到對銀行信息系統的安全管理,因此,加強操作風險的管理,就必須高度重視銀行的信息資產風險管理。此外,我們也知道,只有全面風險管理的信息體系,才可幫助銀行將風險進行量化,有效防范信用風險、利率風險、匯率風險等各種風險的發生,這就會大量應用先進的信息技術,而這當中就必然會面臨信息資產安全的防范問題。根據新巴塞爾資本協議的精神,世界上已有不少國家的監管當局已經開始探索在各類風險管理中IT風險防范的新路子,我國也不例外。
那么,信息資產風險監管是否就等同于信息安全管理?有專家指出,雖然我國的銀行業信息化水平在不斷提高,而且信息安全措施也在不斷完善,但是信息資產風險監管“并未做到家”。信息安全管理只是銀行業信息資產風險管理若干問題中的一個環節和方面,無法覆蓋信息化的全部,尤其是機構內控問題。信息資產風險監管關注的是信息化的全過程,包含信息化的規劃、信息化項目的實施與管理、信息安全、信息化項目審計、信息資產風險評估。信息安全是信息資產風險監管的重要組成部分,它主要關注技術風險防范。所以以信息資產風險監管為契機,可以更好地把信息安全工作做“深”,做“實”。
據業內人士介紹,該《暫行辦法》(送審稿)的精髓在于,強調信息資產風險監管要堅持“管法人、管風險、管內控、增強透明度”的理念,以防范和化解風險為中心,以法人為主體,綜合運用現場檢查、非現場分析與評價、發布規章指引、強化市場約束等手段,同時遵循“誰主管、誰負責,誰運營、誰負責”的信息安全管理原則,搞好監管工作。以資產風險方式進行監督和管理,需關注資產質量、資產保值、增值和資產的風險。同時,提高機構內部控制的信息化水平也是信息資產保值、增值和降低資產風險的主要內容。
對于信息資產風險監管的探索才剛剛開始,在沒有更多可資借鑒經驗的情形下,監管辦法的完善還需金融業各參與方的共同努力。但愿信息資產風險能引起金融業各方人士的高度重視,并將之列入當前最重要的研究課題。
| 
