[摘要]突发事件的攀升及美国次级债的恶化，使操作风险的内部管理和外部监管越来越受到重视。为了加强我国商业银行的操作风险管理，银监会于2007年6月在其网站公布《商业银行操作风险管理指引》，就如何管理、计量操作风险进行阐述，再次说明这是当前银行业风险管理面临的一项重要挑战。本文在分析巴塞尔新资本协议操作风险和实际工作的基础上，提出将信息资产作为商业银行一类特殊产品线，采用信息安全管理体系is027001完善和细化操作风险管理，以此提升风险管理和内控能力。
[关键词]巴塞尔新资本协议；操作风险管 ；is027001；信息资产

金融业的全面开放和金融服务的管制放松，以及高端化的信息技术，使银行的业务、产品日益多元化，这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大，迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范，加强合规管理。2004年发布的巴塞尔新资本协议，将操作风险正式纳入资本监管范围，并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而，由于操作风险情况复杂，与银行自身的规模、经验、业务特征等密切相关，具有和动态变化等特点。因此，探索适合银行不同类别操作风险特点的管理和计量方法，是一项十分重要而紧迫的课题。

一、操作风险管理的困惑与问题

到目前为止，有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构，国内外银行也未对它形成统一的认识。localHosT本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义，即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型，包括内部欺诈，外部欺诈，雇员活动和工作场所的安全问题，客户、产品和业务活动的安全问题，银行维系经营的实物资产损坏，业务中断和系统故障，执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外，按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理业务、资产管理和零售经纪八大类，并对每一类产品分别规定不同的操作风险资本要求系数，籍以用标准法计算操作风险总体资本要求。
巴塞尔委员会给出了管理操作风险的十大原则，但这些原则都是从宏观角度要求商业银行应该建立什么 样的组织、制度和流程，并未给出管理操作风险的详细方法和手段。实际工作中，我们发现信息资产是商业银行极其重要的一类资产，在信息时代，一个机构要利用其拥有的资产，特别是信息资产来完成其使命，因此，对信息资产的管理关系到该机构能否完成其使命的大事。然而，由于信息资产对it系统的依赖性很强，绝大部分具有无形化、易变化、易传播的特点，且风险存在于其产生、传递、使用和销毁等各个环节，与一般银行产品相比，具有很大的独特性。所以，我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中，我们发现iso27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求，其管理思想完全符合操作风险的管理原则，并且是在其原则基础上的细化，如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进，等等。可见，iso27001不仅适用于多数it软硬件开发等企业，同时也适用于银行、保险等信息化程度较高的金融行业。
因此，我们希望能够使用iso27001的管理标准来细化商业银行信息资产类产品的风险管理，进而按照操作风险管理的总体原则与其他类产品进行融合，最终实现在总体框架要求下对信息资产类操作风险的细化管理。

二、iso27001简介

iso／iec27001源自英国标准协会制定的bs7799，包括两部分内容：bs7799—1信息安全管理实施细则和bs7799-2信息安全管理体系规范。其中，bs7799-1被iso组织吸纳为iso／iec17799，bs7799-2升版并转换为国际标准iso／iec2700i，它是建立信息安全管理体系isms(information se-curity management systems)的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出组织应遵循的风险评估标准。
信息是一种资产，就像其他重要的业务资产一样，对组织是不可或缺的，需要妥善保护。根据iso／iec27001的定义，资产是对组织有价值的任何东西。它能以多种形式存在，如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外，也可包括诸如真实性、可核查性、不可否认性和可靠性等。
1 机密性——信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。
2 完整性——保护资产的准确和完整的特性。
3 可用性——根据授权实体的要求可访问和利用的特性。
企业的业务战略以企业的资产来得以体现，但资产自身不可避免地带有漏洞，我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性，给企业带来风险。信息安全就是要保护信息资产免受威胁的影响，从而确保业务的连续性，缩减业务风险，最大化投资收益并充分把握业务机会。构建信息安全管理体系，就是通过对组织信息资产的风险评估，确定重要信息资产清单以及风险等级，从而采取相应的控制措施来实现信息资产的安全性。信息安全管理

[1] [2] [3] 下一页