基于ＣＯＢＩＴ的網上銀行風險評估體系研究

關莉莉

中圖分類號:F830 文獻標識碼:A

內容摘要:作為金融創新之一的網上銀行,在快速發展的同時也蘊含了巨大的風險。本文在借鑒COBIT框架基礎上,建立一套符合我國實際的網上銀行風險評估體系,以全面動態地評價網上銀行風險,從而實現對網上銀行的分級監管,促進電子金融業的健康穩定發展。

關鍵詞:COBIT 網上銀行 風險評估

目前,世界范圍內的金融危機讓人們開始重新審視金融創新所蘊含的巨大風險。作為金融創新之一的網上銀行以其低成本、高效益、方便快捷、應用廣泛的特點,顯示出強大生命力,同時也由于它是建立在開放網絡上的銀行信息系統,技術風險的負面效應及控制不當,會導致風險的大量聚集和擴散,引發馬太效應。而傳統的風險監管措施存在滯后現象,難以應對網上銀行日益頻發的風險危機。

要使監管當局更加全面、直接的掌握網上銀行風險的實際情況,識別、評估各種風險的總體有效程度,需要建立網上銀行風險評級體系。作為網上銀行風險監管有效工具的風險評級,它的核心內容是通過一定的風險評級模型對監管對象的風險狀況和風險管理能力進行等級劃分,從而對其風險表現形態和內部風險控制能力進行科學判斷,進而有針對性采取監管措施,改善風險狀況,提高監管效率。許多權威的信息系統風險評級體系都參考了國際上公認最為權威的信息系統安全與技術管理和控制標準COBIT(Control Objectives For Information and Related Technology),它已經成為國際上對信息和信息資源進行風險評估和控制的實施標準,被廣泛采用并取得了很好的效果。

COBIT目標控制體系概述

COBIT是由信息系統審計與控制基金會(ISACF)與IT治理研究所(IGI)共同研究與開發,并于1996年由信息系統審計和控制協會(ISACA)頒布的信息系統安全與技術管理和控制標準。COBIT是信息管理系統監管層面的高級控制目標,比單純信息安全的視角更廣。它從一個簡單而實際的假設開始:為了提供組織(政府或企業)達到其目標而需要的信息,IT資源需要由一組自然分類的IT過程(IT Processes)管理。根據這一假設,IT資源、IT處理過程和業務需求三者之間存在密不可分的聯系。COBIT控制目標體系將IT過程、IT資源及組織的策略與目標聯系起來,形成一個三維的體系結構(見圖1)。

信息準則維度集中反映了組織的戰略目標,主要從質量、成本、時間、資源利用率、系統效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性;IT資源維度主要包括以人、應用系統、技術、設施及數據在內的信息相關資源,這是IT治理過程的主要對象;IT過程維度則是在IT準則的指導下,對信息及相關資源進行規劃與處理,從信息技術的規劃與組織、采集與實施、交付與支持、監控四個方面確定了34個信息技術處理過程,每個處理過程包括更加詳細的控制目標和審計方針,對IT處理過程進行評估。

網上銀行信息系統及風險分析

網上銀行是以Internet技術為支撐,以客戶終端的計算機系統為主體,以互聯網網頁為交易平臺,以銀行強大的綜合業務計算機處理系統為后臺,以網絡安全認證加密技術為保障的一種新興的非現場客戶信息交易服務系統。它是一個涉及計算機技術、通信技術、網絡技術、金融理論與實務、現代金融管理等多個學科的復雜系統,現有的網上銀行技術結構是根據其業務需求、安全要求及與其他銀行業務信息系統之間的關系等進行科學配置而成的。盡管各商業銀行根據其對風險認識的不同和自身業務功能的差異,會有不同類型的設計和組合,但網上銀行基本的技術構成是類似的,主要由九個部分組成:客戶瀏覽器、路由器防火墻、Web服務器、應用服務器、數據庫服務器、RAS服務器、通信服務器、SNA網關和銀行主機系統(見圖2)。

網上銀行風險的最大來源是它所依托的互聯網絡。作為一套基于互聯網絡的信息系統,它把銀行和客戶通過Internet連接起來,提供聯機的銀行業務操作。在這個開放的網絡平臺上,風險的聚集和擴散速度遠遠超過傳統銀行。網上銀行風險的放大和擴散,很容易波及到傳統銀行,發生擠兌風潮,引發馬太效應,使整個網上銀行業信譽崩潰,帶來巨大的經濟影響和金融危機。

網上銀行的風險從業務和技術角度分為兩大類,分別是基于虛擬金融服務品種形成的業務風險和基于計算機網絡技術的技術風險。作為傳統銀行延續的網上銀行,它在經營過程中帶有傳統銀行的各種業務風險;網上銀行又是傳統銀行的創新,它的存在形態虛擬化、運行方式網絡化的特點決定了網上銀行風險又帶有許多新的技術特性。網上銀行的技術風險具有非行業性和外生性的特點,其產生不僅依賴于市場價格的波動、經濟增長的質量,而且依賴于軟硬件配置、技術設備的可靠程度、控制和管理能力、選擇開發商、供應商、咨詢或評估公司的水平。發生技術風險時,銀行要承擔更大的資金損失和更多的成本修復,并引發一系列的負面效應。

基于COBIT的網上銀行風險評估體系建立

面對網上銀行業務的迅速發展和風險事件的頻發,我國銀行監管當局已經著手建立能夠全面動態評價網上銀行風險,實現分級監管的風險評估體系。基于COBIT標準構建網上銀行風險評級體系,將有助于對網上銀行信息系統的建設、運行和維護過程進行分析研究,有效評估網上銀行信息系統的相關風險,指導建立相應的分級監管機制,將網上銀行信息系統的風險置于有效的管理與控制之下。

網上銀行風險評級體系在指標設計上應遵從全面性、獨立性、可計量性、可操作性原則。全面性即指標體系能夠對被檢查機構的技術風險和管理活動進行全面的、毫無遺漏的反映;獨立性是指同一層次的指標間必須相互獨立,指標間的重疊和包含應盡可能的少,不能存在因果關系;可計量性指體系中指標的計算方法應當明確,不應過于復雜;可操作性是指數據的獲取應盡可能和技術風險現場檢查同步,將指標體系的簡明性和復雜性很好地結合起來。網上銀行風險評估體系設計在內容上要包括能夠反映網上銀行整體計算機技術審計工作充分性的指標,反映信息系統開發與運行管理水平的指標,反映被評級機構識別、獲取、配置、維護信息技術解決方案能力的指標和反映被評級機構在一個安全的環境下提供技術支持與服務能力的指標。

網上銀行風險評估體系評估指標的設立也要根據不同的風險來確定?？偟膩碚f是選擇一組或多組具有關鍵性、穩定性、敏感性和可測性的指標作為預警指標,確定各指標的風險區間和臨界值,通過觀察指標的變動情況判斷即時風險程度和未來風險的變動趨勢。在設立評價指標時應結合定量分析和定性分析分別考慮。在建立風險評價模型的分析過程中,采集大量相關數據和基本信息,經不斷檢驗其有效性,篩選出若干個預測能力最強的變量信息來建立最終的評價模型。在確定評價指標時,參考COBIT控制目標,確定四個一級指標和若干個二、三級指標(見表1)。風險評價指標確定后,應在全面細致分析每一個指標性質、類型基礎上,確認風險評估的重點方向和指標評分權重。結合我國網上銀行風險特點,不同的評級指標有不同的權重,各評級單項指標的分值由其下各小項加權匯總得出,根據總分的高低設立不同的等級標準和區間,一般設定A、B、C、D、E五個從高到低的等級。評級結果將作為監管的基本依據,用以確定對網上銀行現場檢查的頻率、范圍和依法采取的風險控制措施。

風險評級的目的是向銀行監管當局提交評估報告,真實反映網上銀行的風險狀況,進而制定規避風險的措施和監管策略。在風險評級的基礎上,監管當局可以對不同風險級別的網上銀行進行分級管理。不同級別的監管類型在檢查程序、檢查順序、檢查內容以及檢查人員等方面都要體現差異性。評定的級別不是一成不變的,一般每個檢查周期完成之后要根據檢查結構重新確定級別,檢查之前,也要根據兩次相鄰檢查期間內銀行風險變化的情況,對前一次級別做適當調整。而監管的級別實際上是以調整后的級別為依據的。有效的分級監管可以更大程度的保障網上銀行系統的安全,維護電子金融秩序的穩定。

綜上所述,我國網上銀行風險評級工作開始比較晚,尚處于起步階段,有關評估的指引和標準還在編制完善之中。監管機構要對網上銀行風險評估的作用和重要性有充分的認識,通過風險評級體系的建立,分析、識別系統中存在的風險,從而實現對網上銀行的分類監管,保護客戶的利益,維護電子金融體系的安全。

參考文獻:

1.中國銀監會.商業銀行信用風險內部評級體系監管指引,2008.10

2.巴塞爾銀行監管委員會.電子銀行風險管理原則,2001.5

3.胡克謹.IT審計(第2版)[M].電子工業出版社,2004