【風險管理】巴賽爾協定第二部:操作性風險與資訊安全
巴賽爾協定第二部:操作性風險與資訊安全
作者:Bruce Moulton/賽門鐵克公司/資訊安全業務策略副總裁
醜聞撼動全球金融圈
1991年,令人震驚的違法活動導致 BCCI 被 100億美元的損失壓垮。四年後,Daiwa New York 因為未經授權的交易行為而損失 11 億美元。而 1995 年發生的 Barings 事件,使得這家擁有 233 年歷史的金融機構被一個無賴交易員在衍生性商品中給搞垮。
然而這些“災難事件”(以及其他事件)並沒有因為銀行業國際法規遵循制定機構─「巴賽爾銀行監理委員會」(Basel Committee on Banking Supervision)的成立而消聲匿跡。因此促成了 2001 年「巴賽爾協定第二部」(Basel II Accord)的發佈,Aberdeen Group Inc. 提到「銀行不是增加他們的準備金(capital reserves)就是必須要展現他們有能力有系統的控管其可信度與操作性風險。」我們可以看看巴賽爾協定構思金融機構處理操作性風險的方式,然後再看看資訊安全對協助降低風險的必要性。
操作性風險的方法
概要來說,金融機構在 2006 年底開始必須遵守巴賽爾協定第二部,這個協定為銀行業提出一些方法以更精確的根據信用、業務與操作性風險來計算非經常性的撥款(capital provisions )。此委員會提到「改善的資本適足(capital adequacy)架構是要強調風險管理,並且鼓勵持續強化風險評估的能力。」
當然, 銀行業對風險並不陌生。但是,確實來說,它的重要性可能在整體的銀行業務之下。幾個世紀以來,銀行已藉由評估與管理風險而獲得成功。然而,巴賽爾協定的創新之處在於,它明確的將操作性風險列為總體資本需求計算的因素之一。而且還有一個非常重要的轉變:一家銀行的操作性風險管理投入越有效,他們必須預留下來的錢也會越少。這對駕馭操作性風險管理來說是個強而有力的基本誘因。
巴賽爾協定將操作性風險定義為:“因為內部程序、人員或系統的不足或無效,或因為外部事件所造成的損失風險”。如果您想看到資訊安全控管失敗或不足所造成的操作性衝擊,只要看看最近的病毒或病蟲事件即可。與上述的操作性影響相較而言,病毒蟲的衝擊相對而言可是小多了。這是將資訊安全控管定位為操作性風險管理的基礎之一。
巴賽爾協定提出三種技術,讓銀行可以計算必須預留作為操作性風險緩衝的資金總額:
基本指標法
就像 1998 年早期的巴賽爾協定第一部,巴賽爾協定第二部允許銀行使用單一指標(例如:平均年毛收入的 20%)來決定其資本支出(capital charge)。對於這種方法目前並沒有相關的審核標準,而且也無需大幅修改現有的最佳實務準則。一般而言,只有小規模的銀行才被要求採用這個基本的方法。
標準化的方法
遵照這個方法的銀行必須要使用一項風險指標以針對每條業務線計算資本需求(例如:年平均資產或毛收入)。在保留支出中省下來的錢跟基本指標方法普遍的(across-the-board) 20% 相較之下可能更大。(因此讓銀行從基本指標方法轉為標準化方法的誘因真是再清楚不過了)。想採用此方法的銀行必須符合以下條件:
• 展現他們已準備好的操作性風險管理系統。
• 有系統的追蹤操作性風險資料,這必須涵括業務線損失物資的相關資料。
• 定期向業務單位的管理人員、資深管理人員以及董事會成員提報包括物資操作性遺失的風險缺失。
• 已備有一套流程以確保遵循有關操作性風險管理系統的內部政策、控管與程序
• 其操作性風險管理流程與評估系統必須受限於有效性與定期性的獨立檢查
進階的評估方法(AMA)
在這三個協助您計算操作性風險的方法中,AMA因為其彈性及其所提供的自律(self-discipline)總數,因此很有可能最具吸引力。巴賽爾委員會(Basel Committee)提到「在AMA的方法中,只要銀行的工具夠完整與系統化,他們就可能會使用自己的工具來評估其操作性風險弱點。」如同 Aberdeen Group 觀察到的「這種方法平均而言比其他方法更好,因此該銀行就會被允許收集其損失的歷史記錄,並加以分析,然後利用多種風險因子來推論出損失的可能性。」
AMA 的使用受限於監督者的核可,而銀行需要根據交易意外事件對其業務的衝擊來加以分類。然而,體認到操作性風險管理實務準則的快速演變,巴賽爾委員會已經開始進行「準備以前所未有的彈性,使銀行可以研擬出一套方法來計算操作性風險資本,而他們相信此資本與其活動及潛在風險的總合一致。」
一般而言,銀行首先必須要將內部的風險評估方法直接整合進其例行性的操作程序與主要的決策過程。但是這裡的基準點非常清楚:如果有 AMA ,銀行可以把自己的內部損失資料提供給管理階層,讓他們知道應該可以降低的準備金。雖然許多 AMA 的相關細節還在研議中,但您可以將這種方法提供給高層管理人員參考,對他們應該非常有幫助。
資訊安全與操作性風險
我相信資訊安全只被認為是一種操作性風險管理的工具。同時我也相信巴賽爾協定第二部代表資訊安全協助金融機構降低其操作性風險的真正機會,也因此可對其基準有正面的影響。
資訊對每個金融機構的運作來說都是很重要的。
• 如果敏感或隱私資訊的機密性遭到破壞,則隨之而來的訴訟或法律制裁可能就會導致罰則,一旦客戶的信任被破壞,就可能導致客戶的抗議。
• 如果重要資訊的完整性遭到破壞,那麼類似的負面結果也可能導致處理上的失誤。
• 如果重要資訊沒有適時且適當的提供,那麼重要的流程可能因為類似的結果而完全失敗。
上述三項領域只要其中之一出錯,單是復原的成本就會很高,而對業務的衝擊從小干擾到大災難都有可能。當您的財務資訊是電子格式時,您更需要管理其安全性;此必須為操作性風險管理中的中心目標。
在以標準化方法計算資金需求的前後關係中,與資訊安全方案相關的標準是很高的。如同我們所見,該銀行必須要展現他們已經有資訊防護控管系統,可有系統的追蹤業務線(及可能的根本原因)的操作性損失;而且擁有一套流程以確保遵循有關資訊安全控管的書面內部政策、控管機制與程序。
雖然這些對任何尚未執行的機構來說是重大(non-trivial)的挑戰,但是正式、組織良好的資訊安全方案是可以顯著的減緩風險的程度(並且因而降低損失)。
值得商榷的是,資訊安全專家是否真能在 AMA 的模式下運作。時至今日,將資訊風險管理加以量化仍是令很多人頭痛的課題,但是一旦實現,則量化後所建構出來的風險模型將可讓管理人員大膽訂出安全投資的優先順序。且此也可支援每個系統化與精確的資訊風險管理,也就是巴賽爾協定第二部(Basel II )以最低準備金要求來鼓勵企業的真正原因,這確實是發展類似模型的強烈驅力。
建立“風險文化”
遵循巴賽爾協定第二部,以及降低銀行資金所需的能力,是建立可以被稱之為“風險文化”的必須能力,也就是企業必須體認到無法正確控制資訊會有許多後果。因此,巴賽爾委員會已經發佈一套為協助金融機構發展“適當風險管理環境”的原則。
幸運的是,對金融機構來說,這些原則並非在真空的情境下建立。這些原則與現有的國際標準與指南之間有很清楚的參考點。的確,巴賽爾 IT 操作性風險原則中有許多可以透過採用有關資訊安全管理系統國際標準(ISO/IEC 17799)來達成,這個標準於 2000 年12月發佈,而經濟合作暨發展組織(OECD) 的資訊安全指南則於2002年8月發佈。
藉由努力的推廣與記錄風險文化,資訊安全將可協助金融機構安然渡過今日越來越多變的環境,今日的環境有新興以及非常複雜的產品大量出現,電子銀行的交易越來越多,而全球性的整合性系統的需求也越來越大。在這樣的環境中,銀行可能會面臨一個抉擇:他們必須要備有大筆的操作性風險準備金,或者展現他們可以自行評估、監控、篩選與減緩風險的能力。我敢打賭選擇舊方法的銀行最終會發現自己處於不利的競爭地位。巴賽爾協定第二部在這此明白表示:金融機構期待發展一套架構以就管制資金目的來進行操作性風險評估與篩選。而評估必須要將資訊風險因子納為明確變數。
而且,從「美國金融服務法」(Gramm-Leach-Bliley Act )、加州的「妨害資訊安全法案」(Security Breach Information Act) 到「沙氏法案」(Sarbanes-Oxley Act )等近期的法案都顯示風險管理越來越重要,而且許多產業觀察家預期它會在大多數的國家變成法務或會計標準的需求。我們也應該注意到巴賽爾協定第二部不需要公司從頭開始,他們可以整合已經做好與其他法規相關的工作。
這對資訊安全專家而言必定是:有備無患。資訊安全控管是此流程的基礎部分。
結論
雖然巴賽爾協定第二部的建置已經有幾年的時間,現在金融機構需要主動的做好規劃。根據 2003 年7月EDS 的報告,金融服務產業中,據估計有一半的公司正處於辨識與收集操作性風險型態相關資料的第一階段,而且 1/3 的公司因為其本身發生損失,因此有意要開始進行其操作性風險管理的規劃。
儘管巴賽爾協定第二部可能會有所改變,但根據 Gartner 表示「無論新協定的最後格式為何,建立回應式、整合式風險管理能力的機構將可透過提升客戶維持率、降低工作資本並且強化信用評等,就可以比沒有經驗的競爭者更能達到更低資本的目標。」
有時候,巴賽爾協定第二部可以說是喚醒金融機構正視整體企業風險的起床號。透過堅實的資訊安全控管來控制這種風險將有機會可以大幅降低準備金,並且在未來多變的環境中成功。
作者:Bruce Moulton/賽門鐵克公司/資訊安全業務策略副總裁
醜聞撼動全球金融圈
1991年,令人震驚的違法活動導致 BCCI 被 100億美元的損失壓垮。四年後,Daiwa New York 因為未經授權的交易行為而損失 11 億美元。而 1995 年發生的 Barings 事件,使得這家擁有 233 年歷史的金融機構被一個無賴交易員在衍生性商品中給搞垮。
然而這些“災難事件”(以及其他事件)並沒有因為銀行業國際法規遵循制定機構─「巴賽爾銀行監理委員會」(Basel Committee on Banking Supervision)的成立而消聲匿跡。因此促成了 2001 年「巴賽爾協定第二部」(Basel II Accord)的發佈,Aberdeen Group Inc. 提到「銀行不是增加他們的準備金(capital reserves)就是必須要展現他們有能力有系統的控管其可信度與操作性風險。」我們可以看看巴賽爾協定構思金融機構處理操作性風險的方式,然後再看看資訊安全對協助降低風險的必要性。
操作性風險的方法
概要來說,金融機構在 2006 年底開始必須遵守巴賽爾協定第二部,這個協定為銀行業提出一些方法以更精確的根據信用、業務與操作性風險來計算非經常性的撥款(capital provisions )。此委員會提到「改善的資本適足(capital adequacy)架構是要強調風險管理,並且鼓勵持續強化風險評估的能力。」
當然, 銀行業對風險並不陌生。但是,確實來說,它的重要性可能在整體的銀行業務之下。幾個世紀以來,銀行已藉由評估與管理風險而獲得成功。然而,巴賽爾協定的創新之處在於,它明確的將操作性風險列為總體資本需求計算的因素之一。而且還有一個非常重要的轉變:一家銀行的操作性風險管理投入越有效,他們必須預留下來的錢也會越少。這對駕馭操作性風險管理來說是個強而有力的基本誘因。
巴賽爾協定將操作性風險定義為:“因為內部程序、人員或系統的不足或無效,或因為外部事件所造成的損失風險”。如果您想看到資訊安全控管失敗或不足所造成的操作性衝擊,只要看看最近的病毒或病蟲事件即可。與上述的操作性影響相較而言,病毒蟲的衝擊相對而言可是小多了。這是將資訊安全控管定位為操作性風險管理的基礎之一。
巴賽爾協定提出三種技術,讓銀行可以計算必須預留作為操作性風險緩衝的資金總額:
基本指標法
就像 1998 年早期的巴賽爾協定第一部,巴賽爾協定第二部允許銀行使用單一指標(例如:平均年毛收入的 20%)來決定其資本支出(capital charge)。對於這種方法目前並沒有相關的審核標準,而且也無需大幅修改現有的最佳實務準則。一般而言,只有小規模的銀行才被要求採用這個基本的方法。
標準化的方法
遵照這個方法的銀行必須要使用一項風險指標以針對每條業務線計算資本需求(例如:年平均資產或毛收入)。在保留支出中省下來的錢跟基本指標方法普遍的(across-the-board) 20% 相較之下可能更大。(因此讓銀行從基本指標方法轉為標準化方法的誘因真是再清楚不過了)。想採用此方法的銀行必須符合以下條件:
• 展現他們已準備好的操作性風險管理系統。
• 有系統的追蹤操作性風險資料,這必須涵括業務線損失物資的相關資料。
• 定期向業務單位的管理人員、資深管理人員以及董事會成員提報包括物資操作性遺失的風險缺失。
• 已備有一套流程以確保遵循有關操作性風險管理系統的內部政策、控管與程序
• 其操作性風險管理流程與評估系統必須受限於有效性與定期性的獨立檢查
進階的評估方法(AMA)
在這三個協助您計算操作性風險的方法中,AMA因為其彈性及其所提供的自律(self-discipline)總數,因此很有可能最具吸引力。巴賽爾委員會(Basel Committee)提到「在AMA的方法中,只要銀行的工具夠完整與系統化,他們就可能會使用自己的工具來評估其操作性風險弱點。」如同 Aberdeen Group 觀察到的「這種方法平均而言比其他方法更好,因此該銀行就會被允許收集其損失的歷史記錄,並加以分析,然後利用多種風險因子來推論出損失的可能性。」
AMA 的使用受限於監督者的核可,而銀行需要根據交易意外事件對其業務的衝擊來加以分類。然而,體認到操作性風險管理實務準則的快速演變,巴賽爾委員會已經開始進行「準備以前所未有的彈性,使銀行可以研擬出一套方法來計算操作性風險資本,而他們相信此資本與其活動及潛在風險的總合一致。」
一般而言,銀行首先必須要將內部的風險評估方法直接整合進其例行性的操作程序與主要的決策過程。但是這裡的基準點非常清楚:如果有 AMA ,銀行可以把自己的內部損失資料提供給管理階層,讓他們知道應該可以降低的準備金。雖然許多 AMA 的相關細節還在研議中,但您可以將這種方法提供給高層管理人員參考,對他們應該非常有幫助。
資訊安全與操作性風險
我相信資訊安全只被認為是一種操作性風險管理的工具。同時我也相信巴賽爾協定第二部代表資訊安全協助金融機構降低其操作性風險的真正機會,也因此可對其基準有正面的影響。
資訊對每個金融機構的運作來說都是很重要的。
• 如果敏感或隱私資訊的機密性遭到破壞,則隨之而來的訴訟或法律制裁可能就會導致罰則,一旦客戶的信任被破壞,就可能導致客戶的抗議。
• 如果重要資訊的完整性遭到破壞,那麼類似的負面結果也可能導致處理上的失誤。
• 如果重要資訊沒有適時且適當的提供,那麼重要的流程可能因為類似的結果而完全失敗。
上述三項領域只要其中之一出錯,單是復原的成本就會很高,而對業務的衝擊從小干擾到大災難都有可能。當您的財務資訊是電子格式時,您更需要管理其安全性;此必須為操作性風險管理中的中心目標。
在以標準化方法計算資金需求的前後關係中,與資訊安全方案相關的標準是很高的。如同我們所見,該銀行必須要展現他們已經有資訊防護控管系統,可有系統的追蹤業務線(及可能的根本原因)的操作性損失;而且擁有一套流程以確保遵循有關資訊安全控管的書面內部政策、控管機制與程序。
雖然這些對任何尚未執行的機構來說是重大(non-trivial)的挑戰,但是正式、組織良好的資訊安全方案是可以顯著的減緩風險的程度(並且因而降低損失)。
值得商榷的是,資訊安全專家是否真能在 AMA 的模式下運作。時至今日,將資訊風險管理加以量化仍是令很多人頭痛的課題,但是一旦實現,則量化後所建構出來的風險模型將可讓管理人員大膽訂出安全投資的優先順序。且此也可支援每個系統化與精確的資訊風險管理,也就是巴賽爾協定第二部(Basel II )以最低準備金要求來鼓勵企業的真正原因,這確實是發展類似模型的強烈驅力。
建立“風險文化”
遵循巴賽爾協定第二部,以及降低銀行資金所需的能力,是建立可以被稱之為“風險文化”的必須能力,也就是企業必須體認到無法正確控制資訊會有許多後果。因此,巴賽爾委員會已經發佈一套為協助金融機構發展“適當風險管理環境”的原則。
幸運的是,對金融機構來說,這些原則並非在真空的情境下建立。這些原則與現有的國際標準與指南之間有很清楚的參考點。的確,巴賽爾 IT 操作性風險原則中有許多可以透過採用有關資訊安全管理系統國際標準(ISO/IEC 17799)來達成,這個標準於 2000 年12月發佈,而經濟合作暨發展組織(OECD) 的資訊安全指南則於2002年8月發佈。
藉由努力的推廣與記錄風險文化,資訊安全將可協助金融機構安然渡過今日越來越多變的環境,今日的環境有新興以及非常複雜的產品大量出現,電子銀行的交易越來越多,而全球性的整合性系統的需求也越來越大。在這樣的環境中,銀行可能會面臨一個抉擇:他們必須要備有大筆的操作性風險準備金,或者展現他們可以自行評估、監控、篩選與減緩風險的能力。我敢打賭選擇舊方法的銀行最終會發現自己處於不利的競爭地位。巴賽爾協定第二部在這此明白表示:金融機構期待發展一套架構以就管制資金目的來進行操作性風險評估與篩選。而評估必須要將資訊風險因子納為明確變數。
而且,從「美國金融服務法」(Gramm-Leach-Bliley Act )、加州的「妨害資訊安全法案」(Security Breach Information Act) 到「沙氏法案」(Sarbanes-Oxley Act )等近期的法案都顯示風險管理越來越重要,而且許多產業觀察家預期它會在大多數的國家變成法務或會計標準的需求。我們也應該注意到巴賽爾協定第二部不需要公司從頭開始,他們可以整合已經做好與其他法規相關的工作。
這對資訊安全專家而言必定是:有備無患。資訊安全控管是此流程的基礎部分。
結論
雖然巴賽爾協定第二部的建置已經有幾年的時間,現在金融機構需要主動的做好規劃。根據 2003 年7月EDS 的報告,金融服務產業中,據估計有一半的公司正處於辨識與收集操作性風險型態相關資料的第一階段,而且 1/3 的公司因為其本身發生損失,因此有意要開始進行其操作性風險管理的規劃。
儘管巴賽爾協定第二部可能會有所改變,但根據 Gartner 表示「無論新協定的最後格式為何,建立回應式、整合式風險管理能力的機構將可透過提升客戶維持率、降低工作資本並且強化信用評等,就可以比沒有經驗的競爭者更能達到更低資本的目標。」
有時候,巴賽爾協定第二部可以說是喚醒金融機構正視整體企業風險的起床號。透過堅實的資訊安全控管來控制這種風險將有機會可以大幅降低準備金,並且在未來多變的環境中成功。
延伸閱讀:
- 巴賽爾銀行監理委員會:“Sound Practices for the Management and Supervision of Operational Risk”
- U.S. Federal Reserve Board et al.:Draft Supervisory Guidance on Operational Risk Advanced Measurement Approaches for Regulatory Capital
留言
張貼留言