[摘要]面对日趋复杂的金融活动，金融操作风险已经成为金融机构越来越显著的风险因素，操作风险的监管日趋重要。金融机构作为“信息系统依赖型”企业和“信息资产密集型”企业，对信息系统的依赖程度不断增强。金融信息系统的安全性、可靠性、有效性直接关系到整个金融业的安全和稳健。本文借鉴MSF风险管理框架，结合金融机构操作风险威胁和信息资产安全特点，提出金融机构完善信息资产安全、进行操作风险管理的初步框架。

[关键词]金融机构；信息资产；操作风险；风险管理

金融机构操作风险具有不同于信用风险和市场风险的显著特征，是其基础性风险。巴塞尔委员会对操作风险的定义是：“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”它是指由于不当或不足的方式操作业务或外部事件而对银行业务带来负面影响的可能性。操作风险是与银行业务操作紧密相联系的风险，它和信用风险、市场风险共同构成商业银行的三大风险。对于操作风险的监管。直接涉及银行信息资产风险的监管，银行信息资产风险监管与操作风险监管有着密切关系，加强操作风险的监管，就必须高度重视信息资产风险的监管。

一、IT环境下操作风险的挑战

(一)IT环境下操作风险的隐患

当前由于银行系统漏洞或缺陷导致的操作风险事件呈现出上升趋势。据银监会通报，2007年以来银行业发生的5起典型信息系统风险事件，分别是：2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近4个小时，所有营业网点无法正常开展业务；2007年8月15日，中国工商银行对计算机系统进行升级，由于没有避开业务高峰期，导致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续5个半小时后，系统才逐步恢复正常；2007年10月18日，中国建设银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行，事故持续了两个小时，在证券交易收盘后才恢复正常；2007年12月21日，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行，虽启动了应急预案，但仍然中断营业近1个小时：2008年1月7日，北京银行因主干专线的入户接入设备发生故障，造成在京117家支行所属网点柜台交易缓慢，业务无法正常进行，故障在1个多小时后才得以解决。上述案例中，既有信息系统自身原因引发的故障，也有人员操作失误引发的故障，信息系统风险已成为商业银行关注和防范的焦点。

金融业信息技术事故统计表明，如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2—3天以上不能恢复。将直接危及其他银行乃至整个金融系统的稳定。目前。我国银行业的IT建设正处于高速发展期，在设备规模和技术水平不断提高的同时，信息科技风险管理显得相对薄弱。

技术型操作风险的隐患源于：1.操作系统漏洞。银行应用的Unix，Win-dows等操作系统存在一定安全隐患；2.安全设施的漏洞。网络层、应用层的防火墙自身是否安全、设置是否错误，需要经过检验。美国一项调查表明，32％的泄密是由内部作案造成，所有的防火墙都不同程度地被黑客攻击过；3.安全管理的漏洞。现有的一些信息系统缺少定期的安全测试与检查，更缺少安全监控。在已破获的采用计算机技术犯罪的案件中，内部授权人员作案的占58％；4.安全协议的漏洞。由于银行网络系统内部运行的各种协议(如TCP／IP，IPX／SPX等)是在资源及网络技术均不成熟的情况下设计的，还存在着脆弱的认证机制、容易被窃听和监视、易受欺骗等安全隐患；5.内控制度的漏洞。管理制度、运行规程不完善，不能有效地杜绝内部作案，更缺乏良好的故障处理反应机制。

(二)lT环境下操作风险的表现形式

技术导向型操作风险是指由于技术问题，特别是信息技术的应用对银行的系统、流程、产品、服务和交易等产生不良影响而导致的操作风险，包括IT技术、网络系统、产品的服务缺陷。以及外部法律、税收和监管方面的变化对银行冲击而造成的风险。关于金融机构技术导向型操作风险涵盖的范畴及其风险的含义，在2006年出台的银行业监督管理法中给出了明确定义：“主要包括总体风险，研发风险、运行维护风险、外包风险等信息系统生命周期几个高风险点……其中，总体风险是指金融机构信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险；研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险；运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险；外包风险是指金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务或外部技术供应商时形成的风险。”

二、金融机构信息资产安全的需求

金融机构信息系统是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。金融机构信息系统具有如下特点：1.金融信息化的建设以及网上银行业务的迅猛发展，使得银行等金融机构的业务集中度非常高。2.数据大集中后，由于单笔交易所跨越的网络环节越来越多，信息系统对网络的依赖性越来越高。3.信息安全性要求高，信息系统的各种文档资料和用户资料均需保密。

(一)信息资产安全的边界

有关信息资产的含义，目前众说纷纭，本文借鉴屈延文(2006)给出的定义，即信息资产是由信息范畴资产、系统范畴资产和附加范畴资产组成。其中信息范畴资产是指信息存在形式、信息内容、内容价值；系统范畴资产是指系统存在形式、系统行为、行为价值；附加范畴资产则是不同的关注者(计划者、拥有者、设计者、实施者和用户等)对信息与系统两个范畴关注的需求价值(附加价值)。例如包括开发、运营、管理、维护和服务等产生的关注性的资产。

随着信息技术的发展与应用，信息安全的内涵也在不断的延伸。从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。

(二)信息资产安全性原则

信息，在ISO17799中被看作是一种资产，这种资产可以增加组织的价值，因而它也需要得到恰当的保护。信息资产安全需要保护信息资源，防止未经授权或偶然因素对信息资源的破坏、修改、非法利用或恶意泄露，以实现信息保密性、完整性与可用性的要求。在国际标准化组织的信息安全管理标准规范(1SO，IEC 17799)和其他一些机构的文

献中，都定义了信息安全的基本特性：如保密性，完整性。有效性；另外也可包括诸如真实性，可审计性，不可否认性和可控性等。

三、金融机构信息资产操作风险监管的对策

风险监管是信息资产安全管理的核心。信息系统风险管理的目标是通过建立有效的机制。实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。

(一)信息资产操作风险管理的原则和目标

实施信息资产风险管理的原则为：1.针对性。对金融机构信息资产所面临的安全需求进行认真全面地分析，找出具有针对性的安全威胁。有的放矢地做好安全工作：2.均衡性。对信息安全的各个环节进行安全强度分析，找出信息安全的脆弱点，提出强度均衡的设计方案；3.时效性。在实施信息安全管理时，要量力而行，安全投入与所需要的功效相适应。即对信息安全面临的威胁及可能承担的风险进行定性和定量的分析，从而制定出合理的安全策略；4.独立性。信息安全所采用的技术均应立足国内，不得直接引用未经消化改造的境外安全保密技术和设备；5.综合性。信息安全必须通过技术、管理和安全基础设施的综合实施才能奏效，即信息安全=风险分析+执行策略+基础实施+漏洞监测+实时响应。

金融机构信息资产安全管理的目标为：一是对信息资产安全现状做出正确判断；二是较为准确地估计特定系统风险；三是建立相应的控制风险的机制，并把这些机制融为一体形成防护体系；四是最大限度地提高系统的可用性，并把系统带来的风险控制在可接受范围内。

(二)构建信息资产操作风险管理框架

金融信息化环境下，很多机构的信息资产面临诸多威胁(包括来自内部的威胁和来自外部的威胁)。威胁利用信息系统存在的各种漏洞(如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等)，对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企业资产的暴露。资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露)，会对资产的价值产生影响(包括直接和间接的影响)。风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定。对企业信息系统安全风险的分析。就得出了系统的防护需求。根据防护需求的不同，制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对金融机构造成的影响。资产、威胁和脆弱性构成了风险的三个关键要素，而风险评估则是围绕这些要素及其相关属性依据国家有关管理要求和技术标准，对信息系统及其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。本文借鉴MSF风险管理框架，建立以操作风险管理为核心的信息资产安全模型。即风险识别、风险分析和分级、风险计划和调度、风险跟踪和报告、风险控制以及风险学习六个步骤。

1风险识别。风险识别的目的是发现潜在的威胁，预防某个特定威胁利用某个特定系统的脆弱性对系统造成损失，威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。风险识别应该在信息系统的生命周期中不断地重复。

2风险分析与分级。风险分析是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。

3风险计划和调度。风险计划提取风险分析中获得的信息并用其明确表达策略、计划和工作。风险调度可以确保计划被认可并融入标准的日常信息资产安全管理进程和基础设施中，从而确保风险管理作为日常工作的一部分执行。

4风险跟踪。风险跟踪监控特定风险的状况以及它们各自工作计划中的进展情况。风险跟踪也包含监控变化风险的概率、影响、暴露程度以及其他因素，这些变化可能改变优先级或风险计划、信息资产特性、资源或是进度表。风险跟踪从风险等级的角度定义风险管理过程在信息资产中的可见度。

5风险控制。风险控制是执行风险工作计划和相关现状报告的过程。风险控制也包含项目变化控制请求的初始化，而风险状况或风险计划的更改可能导致信息资产特性、资源或进度表的更改。

6风险学习。使知识和相应项目案例及工具正式化，并在团队和企业内部以可再度使用的形式提取知识。

信息系统的安全性、可靠性、有效性直接关系到整个金融业的安全和稳健运行。在当前构建和谐社会的重要阶段，金融业的安全变得更为关键。操作风险防范的重要内容就是从技术防范为主的被动信息安全转移到以预防为主的主动风险管理框架中来，把风险控制在可承受的范围之内，为社会提供安全、持续的金融服务。

赵秀云教授简介

天津财经大学教授，天津大学管理科学与工程博士，硕士生导师，会计硕士专业学位(MPACC)教育中心主任，澳大利亚纽卡素大学商学院高级访问学者，曾获天津财经学院优秀教师称号。

主要研究方向：管理控制系统、财务信息系统分析与决策、会计信息系统风险控制、信息系统审计等。近年来，参加国家自然科学基金项目一项，主持并完成教育部等省部级项目四项，主持天津市普通高校教学改革等局级项目四项。撰写财务信息化方面文章几十篇，出版《财务信息化禁忌40例》(电子工业出版社，2007)等专著两部。