风险评估的形式范文
发布时间:2023-10-08 10:05:50
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇风险评估的形式范例,将为您的写作提供有力的支持和灵感!
篇1
一、引言
伴随金融风险复杂程度的上升银行业正在不断地改进和完善其风险管理理念、手段和技术商业银行风险管理已经逐步由传统的资产负债管理模式向以风险资本约束为核心的全面风险管理模式迈进。提升国内商业银行的全面风险管理能力业是贯彻落实科学发展观的具体体现事关国家金融安全稳定的大局其意义十分重大。
二、商业银行风险的识别
商业银行风险的主要类型有信用风险、市场风险、操作风险。故商业银行的风险识别相应的为:客户信用风险识别;商业银行市场风险识别;商业银行操作风险识别。
1、客户信用风险的识别。是指对客户各项风险因素的捕捉和分别进行判断的过程.实际上就是对客户信用风险的尽职调查过程。客户信用风险评级指标主要包括基本面指标、财务指标两大类内容。(1)基本面指标。又称为定性指标或非财务指标包括品质、实力、环境三个主要方面。品质类指标包括管理层素质、股东治理结构、还贷诚意、信用记录等多个方面。实力类指标从客户的资金、技术及设备、管理、人员等各方面考量企业实力高低。环境类指标包括市场竞争环境、信用环境、政策法规环境;(2)财务指标。对财务指标的分析主要包括偿债能力指标、营运能力指标、盈利能力指标、成长性指标和其他指标等几个方面。诬脍债能力指标主要考量客户的资产负债率、利息保障倍数、平衡的流动比率或速动比率等;②营运能力指标主要考量客户的总资产周转率、应收账款周转率、营运资金周转率以及流动资产周转率等等。③盈利能力指标主要考量客户总资产收益率、销售利润率、净资产收益率。④成长性指标主要计算和分析销售收人增长率、利润增长率、权益增长率等。
2、商业银行市场风险的识别。银行面临的风险可以分为重新定价风险、收益率曲线风险、基准风险和期权性风险。重新定价风险也称为期限错配风险来源于银行资产、负债和表外业务到期期限或重新定价期限所存在的差异;重新定价的不对称性也会使收益率曲线斜率、形态发生变化从而形成收益率曲线风险也称为利率期限结构变化风险;基准风险也称为利率定价基础风险是另一种重要的利率风险来源;期权性风险是一种越来越重要的利率风险来源于银行资产、负债和表外业务中所隐含的期权。商业银行应当对每项业务和产品中的市场风险因素进行分解和分析及时、准确地识别所有交易和非交易业务中市场风险的类别和性质。
3、商业银行操作风险的识别。操作风险识别过程应该以当前和未来潜在的操作风险两方面为重点。这个过程应该考虑:潜在操作风险的整体情况;银行运行所处的内外部环境;银行的战略目标;银行提供的产品和服务;银行的独特环境因素;内外部的变化以及变化的速度操作风险识别的主要手段有以下几种:(1)操作风险内部分析。其作为日常业务计划循环流程的一部分而完成典型的是通过一个业务部门员工会议来完成;(2)操作风险指标分析。银行可选择一些和风险产生有关的”关键指标”通过监控这些指标发现存在一些能够引起风险发生的条件;(3)升级触发指标分析或临界触发指标分析。通过将当前交易或事件与预先定义的标准相比较引起银行管理层对潜在领域进行关注;(4)损失事件数据分析。用以往单个操作风险损失事件的数据记录等信息来识别操作风险及其诱因;(5)流程图分析通过绘制业务和管理活动流程图排查和识别业务流程中的风险点。
三、商业银行风险的评估
风险估计是商业银行风险管理的第二步。通过风险识别商业银行在准确判明自己所承受的风险在性质上是何种具体形态之后随之需要进一步把握这些风险在量上可能达到何种程度以便决定是否加以控制如何加以控制。
1、商业银行客户信用风险的评估
客户信用风险的评估是指根据客户经理对客户信用风险识别判断的结果对客户整体的信用风险高低给予评估得到客户信用风险评级结果。其评估方法主要有:(1)专家判断法。专家判断法主要采取"5C"分析框架:借款人的品质(character)、还款能力〔capacit办资本金大小(capital)、抵押品情况(collateral),所处环境情况(condition),(2)信用评分法即结合信贷专家的业务经验预先设定的一系列主观和客观的风险因素将这些因素设计为相对固定的打分表由评级人按照打分表确定客户的信用风险评级结果。(3)模型法。其可分两类:一类是建立对客户信用风险的多变量判别模型包括线性概率模型、L.ogit模型、Probit模型和多元判别分析模型;另一类为市场模型或套利模型如期权定价型的破产模型、债券违约率模型和期限方法、神经网络分析系统等。
2、商业银行市场风险的评估与计量
在市场风险识别后应根据本行的业务性质、规模和复杂程度对银行账户和交易账户中不同类别的市场风险选择适当的、普遍接受的计量方法将所计量的银行账户和交易账户中的市场风险在全行范围内进行加总以便董事会和高级管理层了解本行的总体市场风险水平。可采取不同的方法或模型计量银行账户和交易帐户中不同类别的市场风险计量方式包括缺口分析、久期分析、外汇敞口分析、敏感性分析和运用内部模型计算风险价值等此外还可采用压力测试等手段进行补充。商业银行应采取措施确保假设前提、参数、数据来源和计量程序的合理性和准确性并当对市场风险计量系统的假设前提和参数定期进行评估制定修改假设前提和参数的内部程序。
3、商业银行操作风险的评估。
操作风险被识别出来后对其进行评估以决定哪些风险具有不可接受的性质应该作为风险缓解的目标。进行这一步骤时通常需要通过考察一项操作风险的驱动者和原因估计该项风险可能发生的概率;此外还应在不考虑控制战略影响的情况下评估一项操作风险可能的影响。对风险可能影响的评估不仅要考虑经济上的直接影响还应该更广泛地考虑风险对公司目标实现的影响。
四、商业银行风险的应对
做出适当的风险评估后需要决定如何应对这些风险。根据风险发生的概率和影响程度的高低银行所有人员需选择合理的风险应对对策包括规避风险、接受风险、降低风险和转移风险。
I、商业银行客户信用风险的应对。客户信用风险的应对是指基于对客户信用风险的评估结果银行应采取相应措施来防范、化解或控制其信用风险。表现为:①根据客户信用风险评级结果确定客户准人标准把好商业银行授信业务的第一道关口;②根据客户信用风险评级结果对存量客户进行分类管理。对于信用风险高低不同的客户银行应采取不同的管理政策和管理措施;③根据客户信用风险识别、分析和评估提供的关键信息提高对客户信用风险监控工作的针对性和效率;④参考客户信用风险评级结果确定贷款定价弥补信用风险可能产生的预期损失。
2,商业银行市场风险的控制与监测。(1)市场风险的控制与管理。包括:①限额管理。对市场风险实施限额管理制定对各类和各级限额的内部审批程序和操作规程根业务性质、规模、复杂程度和风险承受能力设定、定期审查和更新限额;②完善的市场风险管理信息系统;③对重大市场风险情况的应急处理方案;(2)市场风险的监测与报告商业银行定期、及时向董事会、高级管理层和其他管理人员提供有关市场风险情况的报告。向董事会提交银行的总体市场风险头寸、风险水平、盈亏状况和对市场风险限额及市场风险管理的其他政策和程序的遵守情况等内容;向高级管理层和其他管理人员提交按地区、业务经营部门、资产组合、金融工具和风险类别分解后的详细信息等。
篇2
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)04-0-01
2012年11月29日,财政部以财会〔2012〕21号 印发《行政事业单位内部控制规范(试行)》。该《规范》分总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则6章65条,自2014年1月1日起施行。笔者结合自身的工作经验,对行政事业单位内部控制的风险评估进行解析。
一、风险评估的概念
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素,同时采取应对策略的过程。要对识别的风险进行分析,形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
单位应当建立经济活动风险定期评估机制,对经济活动 存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
二、风险评估的程序
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在单位经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现单位的可持续发展。所以说单位总是在应对各类风险和挑战的过程中去赢得生存和发展。风险并不可怕,而可怕的是没有风险意识,不知晓风险,不能准确地识别风险,不能采取有效的风险应对策略。如果忽视风险盲目发展,必然导致单位处于不利地位。不做事不发展看似没有风险,然而逆水行舟不进则退,不发展本身也是一种风险。风险评估贯穿于单位经营过程的始终,也贯穿于内部控制的始终。
(一)目标设定。单位应当根据设定的控制目标,全面地、系统地、持续地收集相关信息,结合实际情况,及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。如前所述,单位实现了内部控制的五个方面的目标,就能够实现可持续发展,就能够转变发展方式,所以风险评估首先要设定目标。单位目标设定之后,要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。单位可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以便单位结合实际情况,及时进行风险评估。
(二)风险识别。风险识别是在目标设定的基础上,密切关注内外部主要风险因素。单位内外部各种风险因素,单位至少应当关注的主要风险,这些风险是在单位内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在单位经营过程中,应将各类风险进行分类整理,形成单位的风险清单。
(三)风险分析。风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。单位进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。定性分析一般不需要运用大量的统计资料,使用起来简单易行。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分析。在不需要进行量化时,或者进行定量分析需要的数据无法取得,以及出于成本效益原则考虑采用定量分析方法不经济时,一般应采用定性分析。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成的各个要素和潜在损失程度赋予数据或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。
(四)风险应对。风险应对是指风险应对政策的选择。单位应当根据风险分析的结果,结合风险承受度,确定风险应对策略。
风险应对策略包括风险规避、风险降低、风险分担和风险承受。风险规避是单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低指的是单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是单位准备借助他人的力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
单位应当综合运用这些风险应对策略,实现对风险的有效控制。
以目标设定为基础,单位在进行风险识别、风险分析之后,通过风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。配套指引中的系列应用指引明确单位至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险降低作出了规定,即系列应用指导提出的各项控制措施。
篇3
随着我国 金融 体制改革步伐的加快和金融业开放程度的提高,国内银行业面临着参与国际竞争的挑战。在金融全球化的新形势下,我国商业银行必须借鉴国际上先进的信用风险管理经验,强化信用风险管理,开发适用的信用风险管理模型,适应《巴赛尔协议》新框架的需要。我国处于 经济 发展的初期阶段,在今后很长一段时期,银行融资仍将是 企业 筹措资金的主要方式,银行体系面临的风险将是我国金融风险的主要构成因素。深入研究我国商业银行的信用风险管理问题,不仅是商业银行作为微观金融主体进行内部管理的自主行为,从全局上看也是防范商业银行的信用风险导致银行信用体系和支付体系崩溃,引发货币危机、股市暴跌和金融危机的需要。下面笔者仅就如何构建商行内部信用风险管理评估体系谈谈自己的一点浅见,仅供交流和探讨。
一、信用风险评级在银行风险管理中的地位
所谓信用风险的评级就是对一定的借款方的情况进行评估,并对由于借款方发生违约造成损失的可能性进行估计。而所谓的内部则是与一般的专业评级机构的评级加以区分,银行的内部信用评级是由银行内部人员完成的,并且这种评级的结果是不对外公布的。在当今的银行特别是大型银行或是跨国银行的风险管理中,信用风险的内部评级体系正占有着越来越重要的地位。对于一个有着数以万计的借款客户的银行来说,内部评级对于银行的风险信用管理来说是不可缺少的,只有建立了系统的内部评级体系,才能对数量庞大的不同的借款人之间的信用风险进行比对。大多数银行在风险管理的许多重要方面都会利用到评级结果,如放贷的决策指导、资产组合监管、贷款损失准备以及资本金的分析、贷款收益和定价的决定以及资产组合数量模型的数据输入等等。
对于具体的内部评级体系的设计,不同的银行之间可能有着较大的差异,如等级的划分、不同的等级之间所代表的风险度、评级的指标以及评级结果的评价等等。对于一个银行来说,当它设计本行的内部评级体系时,必须要考虑的因素有:不同评级指标的权重、评级的成本、评级的效率与信息的收集、评级结果的前后一致性、评级人员的激励、银行的业务范围以及评级结果的使用等等。
二、我国商业银行业信用风险评估方法现状分析
目前我国的信用分析和评估技术仍处于传统的比率分析阶段。银行机构主要使用 计算 贷款风险度的方法进行信用风险评估。信用风险的分析仍然是以单一投资项目、贷款和证券为主,衍生工具、表外资产的信用风险以及信用集中风险的评估尚属空白,更没有集多种技术于一体的动态量化的信用风险管理技术。其主要表现在以下几个方面:
(一)信用风险衡量采用专家制度。我国商业银行信用风险衡量大多采用专家制度。但专家制度存在一定的缺陷和不足,在实际运用中没有引起重视。如专门信用分析人员不足、实施效果很不稳定、银行应对市场变化的能力较低、银行在贷款组合方面过度集中的问题进一步加剧等。
(二)信用风险评估中定量分析不够。从信用风险的识别、衡量方面看,我国商业银行信用风险管理定性分析多,定量分析少(尽管已经使用了一些定量分析方法,但仍存在着不完善的地方);静态分析多,动态分析少;局部分析多,全局分析少。以企业信用评级为例,从评级要素的设计看,多侧重财务指标分析(总分值达三十分以上),而忽略了财务信息的质量问题。众所周知我国企业财务信息质量不高已是不争的事实;忽视了企业发展前景在信用评级中的作用,如企业所在行业发展状况、市场预期状况仅占1分,这样得出的评级结果更多反映的是企业过去和现在的信用状况,而未能反映企业未来的资信质量。从评级时间看,对企业的信用评级每年进行一次,不利于银行及时了解企业的信用等级变化,不能为风险管理提供动态的信息。再从国内银行对贷款的风险度测量方法看,一个最主要的问题就是贷款风险度涉及因素的选择和风险系数的确定很大程度上受到主观因素的影响。贷款风险度是否受到或仅受到企业信用等级、贷款方式的影响,有实证研究结果表明,
(一)开发内部评级法。我国目前缺乏外部信用评级机构,而要 发展 本国的外部信用评级机构需要花费较长时间,因此需从现在起就着手开发内部评级法。目前,信用模型尚不成熟,普遍适用的内部评级标准尚未建立,各家银行的内部评级系统差异较大,因此,监管当局将难以对各家银行的内部评级结果进行有效的评估和比较。此外,内部评级法还包含了许多主观判断因素。这有可能导致银行监管当局和银行之间在某些风险资产的评估当中产生不同意见。
(二)加强银行内部信用评级的立法,确立信用评级工作的 法律 地位。以立法的形式规定评估在货币市场、资本市场及其它信用市场中所处的地位,使信用评级行为与评级结果得到有效的法律规范,实现评估结果的客观性、公正性、 科学 性、权威性。
(三)建立健全科学的信用评级体系。建立银行内部信用评级体系应坚持“三结合”:一是国际标准与我国国情相结合;二是定性方法与定量方法相结合;三是传统研究方法与 现代 先进评级技术,特别是互联网技术相结合。统一评估体系和标准,实现评估科学化,提高评级质量。
(四)积极培育评级市场。市场 经济 需要信用评级,而其规范和发展关键在于政府引导、培育和完善。一方面通过类似贷款证的规定来推动评级需求的增加,另一方面鼓励跨地区的评级。提高评级机构素质和评级质量,引导、培育和完善信用评级市场。
(五)提高信息披露的质量标准,确保数据资料的真实性。因为信用评级主要根据的是公开披露的信息资料,评级对象能否适应外部环境和发挥内在优势最终都集中在公司的财务状况上,因此财务因素分析在评级活动中处于核心地位。而我国目前资本市场上,伪造、编造 会计 凭证、会计账簿和编制虚假财务会计报表现象非常严重,必然会影响评级事业的健康发展。因而必须提高信息披露的质量标准,在制度上保证 企业 不得不将真实的数字告知银行,并由此获得一个没有水分的信用级别。另外,银行评级人员也要提高识别真假数据的基本功,要培养自己“去粗取精”、“去伪存真”的能力,提高评级水平。
(六)信用评级是一个即重视理论,也重视经验的工作,评级业务即需要科学的评级理论的指导,同时也需要评级人员具有丰富的经验。借鉴国外先进的经验,商业银行有关部门应在稳定队伍中逐步提高评级人员的素质,如经济发达国家普遍实施的员工持股计划和期权制度,制定合理的激励机制,最大限度地调动信用评级人员的积极性。
总之,新巴塞尔资本协议已于今年开始正式实施,与1988 年的老巴塞尔协议相比,最大的区别就是在最低资本要求中引入了资产风险的因素,从而大幅度地提升了银行资产的风险敏感度,特别是两种信用风险评级体系之一的银行内部评级法( irb) ,对于各国的银行来说都是一大挑战。我国商业银行只有根据本国实际,建立先进、科学、有效的信用风险内部评级体系,切实提高信用风险管理水平,才能与国际行业通行标准接轨,增强自身的市场竞争力。
篇4
1电网风险评估的主要内容以及流程
电网的风险评估主要包括以下几个内容:计算设备故障率、计算选择系统状态和概率、系统状态分析以及风险指标计算。下面对此进行说明。
1.1设备故障率的计算
电网在运行过程中存在风险的根本原因是设备故障,根据《输变电设备状态检修试验规程》和相关的设备状态评价导则,电网调控值班人员可以根据电气设备实时状态信息计算出设备故障率。
1.2选择系统状态和概率的计算
选择系统状态方法有状态枚举和蒙特卡罗模拟法。这两种方法的应用条件各不相同,若是计算出来的设备故障率较小,同时电气系统的结构较为简单,那么建议采用状态枚举法,这样方法效果更佳;如果电气系统结构、运行过程相对复杂,同时严重隐患数量偏多,那么使用蒙特卡罗模拟法则是最好选择。
1.3系统状态分析
这一方法是对所选择的系统状态进行分析,状态分析内容主要包括潮流计算、功率平衡判断等,通过对这些内容的分析,电网调控值班人员基本可以确定系统状态下可能发生的风险类型,而且有时候一种运行状态下,风险类型可能会是多种而并非一种。
1.险指标计算
风险是指一件事情发生的概率以及可能带来的后果的综合。电网调控值班人员在评估电网运行风险指标时,主要依据是以下两项工作获得的信息:选择系统状态和概率的计算、系统状态分析。电网运行风险指标的计算主要包括以下几个内容:变压器过载风险、线路过载风险、低电压风险、过电压风险以及失负荷风险。上图中,电网调控值班人员是采用层次分析法来计算各项指标的权重指数,然后根据这些权重指数对电网的整体风险程度有一个准确判断。
2基于设备检修状态的设备故障率的计算
设备的运行状态和故障率息息相关。电网调控值班人员主要是采用基于健康指数的方法来对状态检修设备故障率进行推算和判断。首先,电网调控值班人员要根据设备实时运行状态信息以及相应的评估准则来为设备各个部分打分,这样就可以得到设备的健康指数;其次,设备的故障率和健康指数之间存在一个定性函数关系,根据这一函数,电网调控值班人员就可以推算出设备的故障率。这里提到的一个概念:设备的健康指数,是指描述设备状态的优劣程度的数值。在《输变电一次设备状态评价标准》中,主要将设备分为几个部分分别进行评价,由于运行状态和外部条件的不同,各个部分的运行情况也会涉及到若干个状态量。关于这些状态量,以及变电一次设备状态的得分标准和具体部件的权重,在《输变电设备状态检修试验规程》以及相关设备的状态评价导则里面都有明确的规定,电网调控值班人员在进行评价的时候,要严格依据这些依据规定来进行评价。(1)在这个函数关系式中,HI代表设备的健康指数值,λ代表电气设备的故障率,K代表比例函数,C代表曲率系数。根据这个函数计算出这些数值之后,再统计计算设备的年故障发生的概率,其次,电网调控值班人员对这些状态进行状态评价,然后再根据这些状态进行分类,确定在每个分类之下德尔设备的数量,之后再代入下面这个函数,根据这个函数,电网调控值班人员就可以计算出参数K和C的数值。(2)在这个公式中,P代表年故障发生的概率,n代表存在故障的设备数量,i代表设备的分类,m为分类总数,根据这个数值,电网调控值班人员可以计算出K和C的具体数值,然后再将K和C代入第一个公式,电网调控值班人员就可以得到准确的设备故障率结果。
3电网运行风险评估理论
风险评估的指标可以准确的反映出决定设备风险程度的因素,可以反映出设备发生故障的可能性以及故障可能导致的后果的严重程度。在这里有一个系统状态概率的概念,是指在电网运行风险评估过程中事件发生的可能性,然后电网调控值班人员将事件发生的可能性的严重状态定义为与系统状态相对应的严重度函数,这一函数表达式如下:(3)在这个函数关系式中,X代表风险指标类型,Ei是指第i个系统状态,m是指相应状态的系统状态总数。根据这个函数,电网调控值班人员可以准确的计算出风险指标的严重程度。在电网运行过程中,一旦发生电网事故,那么其系统状态概率就是根据基于状态检修的设备故障率的计算结果来评价的。主要用到的方法是蒙特卡罗模拟法。
4结束语
综上所述,本文主要对基于设备检修状态的电网运行风险评估办法进行研究,并建立了几种电网风险评估的模型,除此之外,笔者还应用了参差分析法对电网综合风险指标进行计算,计算结果也为电网在不同运行状态下的风险大小比较提供了参考依据。以此来证明以上方法的可行性,从而为系统电网安全运行提供参考,对电网风险评估研究提供帮助。最终验证了基于设备检修状态下电网运行风险评估办法的可行性和有效性。
参考文献
[1]李明.计及电网运行风险的设备状态检修理论研究[D].山东大学,2012.
[2]潘乐真.基于设备及电网风险综合评判的输变电设备状态检修决策优化[D].上海交通大学,2010.
篇5
中图分类号:TP311
文献标识码:A
1引言
商业银行作为现代经济的核心,在加快实现银行信息化建设的过程中,越来越关注信息化项目的合理性、有效性、经济性、可用性和安全性。在这种需求的推动下,银行信息系统风险评估走上了银行风险控制的前台,成为商业银行信息化项目治理的重要组成部分。运用先进的评估方法,逐步完善信息系统风险评估的流程,建立适合商业银行风险特征的评估的模型,并通过信息系统风险评估的手段,保障信息资产的安全、数据的完整、提高信息系统的效率,可以使商业银行不断加强信息系统风险管理和内部控制,以适应风险环境日益复杂化的需要,以确保信息系统安全、稳定、有效运行。
2商业银行信息系统风险分析
2.1商业银行信息系统基本特征
随着我国经济的飞速发展及加入WTO后和世界经济一体化进程的加快,企业以及个人相互之间的资金往来需要一个安全高效的资金划拨、支付结算手段及环境,银行不断完善信息管理系统,实现信息系统的电子化、网络化,使商业银行的信息系统具有了新的特点。
1)商业银行的业务系统的特点
网点虚拟化,将帐户的核算与管辖分开,会计核算由总行统一处理,各行处负责具体业务的经办,使业务处理打破了分支机构界限。通过帐务与业务的结合,使得会计系统和银行业务的联系更加紧密,客户的数据在各系统内可以共享,并通过流程的控制使业务操作更加安全、可靠。
面向业务设计银行业务处理,所有功能都由交易来驱动,记帐部分位于业务的底层,业务层通过调用统一的记帐核心来完成帐务处理。通过实施业务流程再造,实现银行业务的重组,更好地配置现有的资源。
2)商业银行信息系统的业务结构分析商业银行主要业务包括存款、贷款、信用卡、中间业务、国际业务、结算、代收代付、ATM、POS、网上银行等。商业银行信息系统为银行业务提供一个支撑平台,结构如图1所示。图1商业银行信息系统业务结构
3)商业银行信息系统结构分析商业银行信息系统构架为三个层次,第一层核心业务系统,主要提供帐务记录、主要业务支撑和业务报表;第二层中间业务平台,是核心数据与外部接口的交换平台,提供数据接口的转换功能;第三层系统,提供外部数据的接口,如图2所示。图2商业银行信息系统层次结构
2.2商业银行信息系统风险的特点
银行业务处理中对及时性和可靠性的特殊需求,使得商业银行信息系统风险体现出明显的行业特征。
1)商用银行信息系统风险的业务特点
网络和安全技术的飞速发展,使得商业银行已成为商品交易的电子平台和电子金库。因此商业银行对数据完整性要求极高,对业务和数据的可用性、安全性,以及对业务中断和数据丢失等事故的防范和处理要求十分严格。
2)商业银行信息系统风险的技术特点
银行开展信息化的时间较长,其应用系统较为普及,但长期来,银行信息系统相对较为封闭。近年来,随着网银、中间业务等银行新型业务和金融产品的出现,对开放信息系统的要求越来越高,银行的信息系统均开始不同程度向外界开放。
由于各商业银行实行数据大集中,导致单笔交易所跨越的网络环节越来越多,银行信息系统 对网络依赖程度越来越高。
3)商业银行信息系统风险的现状
信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业,由于信息化规模的不断扩大,信息技术迅速发展,银行信息系统所采用信息技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而对银行信息系统的机密性、完整性及可用性产生损害。
银行数据集中后使信息系统风险不易分解。目前各家商业银行已陆续完成数据大集中,实现银行账务数据与营业机构的分离,使银行从以账务和产品为中心转变为以客户为中心。但是,数据集中后信息系统风险增大,系统一旦出现问题,将影响到整个银行的正常运营。
电子金融服务的发展,使商业银行随时面对来自公共网络的威胁。近年来,网上银行、移动银行、电子商务等银行新业务,在成为商业银行利润增长点的同时,使商业银行的网络风险日益凸现。
人员的风险成为最大的风险。统计结果表明,在商业银行信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。
3商业银行信息系统风险评估模型设计
3.1商业银行信息系统风险评估的现状与趋势
信息系统风险评估已得到国际社会的普遍重视,风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现,风险评估作为保证信息安全的重要基石发挥着关键作用。在信息安全、安全技术的相关标准中,风险评估均作为关键步骤进行阐述,如ISO13335、COBIT、BS7799-3等。
我国的信息系统风险评估工作目前还处于起步阶段,还没有形成一套成形的专业规范,缺少一支能够全面开展信息系统风险评估的人才队伍。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动的应用范围,运用传统的信息技术和风险评估知识已经不能实现真正意义上的"风险基础模式"的风险评估,这些都影响到我国IT治理和信息系统风险控制的实施。
随着商业银行经营管理活动对信息技术的高度依存,信息科技风险控制已成为商业银行风险管理的重要内容,并需要从战略的角度将信息系统与实现公司治理的总体目标紧密联系在一起。因此,解析国内银行信息系统风险评估的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到我国银行业信息系统风险评估的有效方法,由此,实现信息系统风险评估在国内银行业质的飞跃。
3.2商业银行信息系统风险评估模型的设计
在目前所应用的风险控制与评估模型中,基本区分为两类,一类是基于业务风险控制的风险评估模型,这类模型的基础是传统的风险评估理论,因此更加注重于业务流程的控制和业务的风险管理;另一类是关注于技术控制的风险评估模型,这类模型建立在相关的信息安全标准之上,主要考虑的是技术的实现架构和实现方式,评估系统的技术风险。
银行在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。因此,必须结合业务风险模型和技术风险模型的相关方法,通过分析系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,完成系统弱点和安全威胁的定性分析,在银行信息系统内部风险各要素之间建立风险评估模型,如图3所示。
商业银行信息系统风险评估模型信息系统的风险评估模型由三个基本元素组成,分别是银行核心业务系统、银行信息系统风险管理和风险评估的方法和技术。
银行核心业务系统是业务运转的基础,是商业银行固有风险的体现,它通过硬件平台的支撑、应用软件的设计、数据资源的管理,实现银行业务职能。
银行信息系统风险管理,是商业银行控制剩余风险的能力。它主要包括系统建设风险控制、系统数据完备性、系统功能实现、业务流程风险控制、数据迁移等6个方面。
风险评估的方法和技术,是风险评估和控制的手段。它针对信息系统风险管理的需求和特点,采用不同的风险评估方法和技术,识别固有风险和剩余风险,对银行信息系统进行整体风险的评估。
4商业银行信息系统风险评估模型的实现
4.1风险评估的实现框架
商业银行随时面对遭遇伤害和损失的可能性,而这些风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点来确定。实现信息系统风险评估模型,需对信息资产的识别,进行威胁分析和弱点分析,实现框架如图4所示。
信息资产不仅包括硬件设备,还包括应用软件和信息系统的相关人员。信息资产的识别与赋值可以通过普查和调查的方式实现。
信息系统的威胁来源于内部风险的管理和外部风险环境的变化,通常使用的手段包括:用户访谈、异常行为检测、日志分析等方法进行分析。
弱点来源于信息系统的安全与业务安全需求的不匹配,弱点分析的方法有:应用软件评估、网络构架评估、人工评估、工具扫描、安全管理审计、策略评估等。
图险评估模型实现框架
4.2风险评估的实施步骤
商业银行信息系统风险评估的实施主要有如下步骤:
1)对信息系统风险战略进行分析
商业银行首先应建立信息系统风险战略,并在内部和维护,以对信息安全的支持与承诺,使其与银行的业务发展相一致。
信息系统风险评估必须对信息系统业务支持的可行性进行分析,了解技术发展的内外部状况和管理层对信息技术的支持度等情况,评价信息系统风险战略是否与业务发展战略相一致。如图5所示,首先需要确定总风险和剩余风险;其次把确认的风险进行排序,建立战略风险和流程风险项目;最后确定流程执行的效力。
2)对风险评估内容进行详细定义。
建立信息系统风险评估范围的表格,如该项评估所包含的系统、人员、资源等。对信息系统的运行进行评估,如主机系统、硬件设备、人员管理、灾难备份、权限管理等。建立信息系统流程评估表格,如主流程、次流程、流程所对应的操作;流程中的主要固有风险、风险的控制手段等。
3)明确审计的技术和步骤。
确定信息系统审计需要使用的技术和技术使用的步骤,常用的测试技术有现场观察、访谈、审阅、再执行、知识评估等。
4)出具审计报告。
对信息系统进行测试后,出具评估报告。评估报告应包括信息系统的基本情况、面临的内外部风险、评估所发现的问题、对评估发现事项提出的建议。
5)风险问题的跟踪和跟进。
评估完成后,对发现的问题需根据问题的重要性和对象,提出报告并跟踪解决。图5 信息系统风险战略及流程分析
