 |
| 关于新资本协议信息科技监管的思考 |
中国银行业监督管理委员会信息中心主任 吴跃 现代银行业务和管理高度依赖信息科技,信息科技已贯穿于银行所有产品、流程和经营活动中。新《巴塞尔资本协议》(以下简称“新资本协议”)的实施,必将推动银行业务流程和管理模式向全面风险管理为本的方向转化,这既是对中国银行业风险管理能力的一次大考,也对银行机构信息科技工作提出了更高要求;此外,新资本协议首次将操作风险纳入资本监管要求,信息科技支持的充分性、有效性和信息科技风险计量的科学性、合理性将成为有关银行顺利实施新资本协议的重要因素。
一、新资本协议对信息系统 数据管理提出新挑战
新资本协议(Basel II)与老资本协议(Base I)最关键的区别就是新资本协议增加了风险敏感度,提升了风险计量要求。新资本协议通过资本优惠鼓励商业银行采取先进的风险管理方法,实现风险的精细化计量,以达到提高风险管理水平的目的。
风险计量精细化的基础是风险数据的精细化。银行所有的数据都通过信息系统存储、流动和加工,离开信息系统的支持,新资本协议所需要的数据基础只能是空中楼阁。银监会2007年《关于印发〈中国银行业实施新资本协议指导意见〉的通知》(以下简称《指导意见》)第六部分“推进新资本协议实施的主要措施”中明确指出,要“强化数据基础⋯⋯建立符合新资本协议要求的完整、严格、一致的数据标准和相应的数据处理平台,制定数据质量管理规章,确保数据的及时性、准确性和全面性。”
为了满足实施新资本协议和风险精细化管理的需要,信息系统在支持数据管理精细化方面至少要达到以下四个要求:一是完整性,即能够获取与风险相关的所有数据,在时间维度上,要保障新资本协议和银监会有关指引所要求的充足的历史数据以满足建模和验证的需要;在空间维度上,要保障风险模型的所有变量数据都能够得到。二是可获得性,对于风险计量要求的数据要能够随时、方便地获取。在我国银行业已实现数据大集中后,这个问题看似简单,但这种集中大多是物理集中,数据在逻辑上却相互独立,服务于不同的应用系统,而系统与系统之间仍存在孤岛问题,风险数据散落在多个应用系统中,其应用和存储的方式各不相同,要从风险的角度获取一组逻辑相关的数据并不容易。三是唯一性,银行的数据浩繁复杂,由于缺乏数据标准,同一数据在不同的应用系统中可能有不同的解释、不同的取值范围和精度要求,这给获取唯一的风险数据带来了困难,也是实施新资本协议必须跨越的一道障碍。四是准确性,所有基础数据都通过信息系统输入输出,信息系统要提供必要的质量检验规则,从源头并在数据处理的全过程中保障数据的准确性,否则会给风险计量带来较大的偏差。
为此,银行一方面要加强数据标准建设,提高数据管理水平,尽快完善数据参考体系;另一方面,需要建立风险主题的数据仓库和数据集市,实现统一的风险数据视图,建立数据质量检验规则,保障数据的完整性和准确性,满足风险计量的要求。
二、新资本协议对信息系统建设提出更高要求
新资本协议对商业银行使用敏感性高的资本计量方法设定了许多条件,涉及资产分类、风险量化、风险管理组织框架和政策流程等许多方面。为实现敏感性更高的资本计量方法,银行机构需要对现有的信息系统进行改造,以支持资本计量和全面风险管理的要求。
为了实施新资本协议,银行需要从以下几方面加强信息系统建设:一是要建立各类风险数据集市应用环境,满足风险参数计算、风险定价、组合管理和监管资本计算要求,包括风险计算、风险计量应用和风险报表/报告展示三个层面。底层是以模型计算为基础的各类风险管理系统、经济资本及监管资本计算引擎系统,实现信用风险、市场风险和操作风险等新资本协议要求的风险计算分析功能,并生成监管资本、经济资本计算结果;中间层实现经济资本配置、风险限额、产品/贷款定价等风险计量应用;上层完成对信用风险、市场风险、操作风险进行组合风险分析、报告,支持信息披露和监管报告。二是建立银行统一的数据仓库。数据仓库是银行统一数据视图和风险数据架构的心脏,按照客户、产品、事件等不同的数据主题,整合核心业务、信贷业务、资金交易等源系统交易数据和账户数据,为风险计量模型开发和风险管理应用提供基础数据。三是要对相关业务源系统进行改造、整合和升级。在信用风险、市场风险方面,要建设风险管理引擎并嵌入信贷业务系统、市场交易系统中,将客户评级、评分结果导入原有信贷业务系统、资金交易系统,实现交易限额管理和授信管理;要建立集中统一的客户、押品、额度管理系统,统一客户视图,提高数据的一致性和完整性,适应新资本协议所要求的组合风险管理方法和复杂计量过程;在操作风险方面,要建设操作风险损失数据收集、风险事中监控和事后审计管理系统,建立操作风险基础数据采集环境。
2009年第四季度,银监会已启动了有关银行的预评估工作,以深入了解掌握实施新资本协议的情况。从预评估的情况来看,新资本协议的实施推动了银行数据管理的变革,促使银行机构重新审视和规划其IT架构,加强了应用系统整合和风险管理的全流程再造。一是逐步完善数据治理,建立了数据标准和数据质量控制体系,开始启动数据逻辑模型的构建,并在此基础上建立面向风险主题的数据仓库和数据集市,对海量数据按照新资本协议风险管理的要求进行分析、梳理、标记、关联和应用,使数据转化成有效的风险管理信息,为建立统一的风险信息视图和风险计量奠定了良好基础。二是完善风险管理IT应用体系架构设计,明确信用、市场、操作、利率和流动性等各类风险相应的IT系统建设实施路径,建立和完善各类风险管理应用,将内部评级、组合管理、自我评估、定量测算等先进的风险管理工具逐步嵌入公司、零售、信用卡等各个业务流程,将风险管理环节设计为银行的关键业务流程节点。三是加强了IT项目管理能力,各行普遍建立了新资本协议风险管理IT项目群,加强资源保障,促进了风险管理信息系统建设的长期、持续和有序化,同时提高了IT项目管理能力。
三、新资本协议对信息科技 风险管理提出量化要求
新资本协议将操作风险定义为由不充分或失败的内部流程、人员、系统或外部事件引起损失的风险,其中系统事件损失是直接与IT相关的风险。在操作风险计量方面,巴塞尔委员会并没有指定固定的计量模型,而是鼓励银行机构采取自己的监管资本计量模型并独立验证。但是,巴塞尔委员会明确了一些详细的风险计量条件,其中一个重要方面就是要求机构的操作风险定义范围必须与委员会一致,并且要求银行的操作风险计量系统具有足够细的粒度。新资本协议定义了操作风险的七类风险事件类型(Risk Event Types),其中大多与IT系统有着直接或间接的关系。IT风险的量化是操作风险量化的重要基础,IT风险损失事件应当作为重点风险事件收集。因此,新资本协议对操作风险的量化需求将直接影响银行的IT风险管理体系,特别是对采用高级评级法的银行机构,必须建立相关系统收集IT风险损失事件,估算IT风险的预期和非预期损失,采取有效措施缓释IT风险,并最终将IT风险所需资本纳入监管资本要求。四、新资本协议对银行信息 科技监管提出新的要求
新资本协议改变了银行的风险管理模式,也为监管机构提出新的挑战。作为监管机构,一方面要结合中国国情制定相应的法规制度和实施指引,推动新资本协议的实施;另一方面也需要与时俱进,不断研究探索新的监管模式。风险计量的细化对监管人员提出了更高的要求,不仅要更新知识,掌握新资本协议核心的风险框架体系,还要深度掌握整个计量过程的细节,才能有效地指导和监督银行机构采用适当的风险计量方式。鉴于IT系统对新资本协议的实施如此重要,如何开展实施新资本协议银行的信息科技监管也成为摆在监管者面前的重要课题之一。以下几个方面应作为近期研究和探索的重点。
(1)建立和完善新资本协议相关的IT准入政策,研究探索IT准入条件。IT对实施新资本协议的重要性已经体现在银监会的指导意见和系列《指引》之中,IT能否充分、有效地支持银行实施新资本协议应当作为有关银行申请实施新资本协议的重要基础条件。监管机构应审慎评估银行IT系统支持数据管理、应用系统的完备性及有效性、系统的安全性及可靠性,衡量IT对新资本协议支持的充分性,建立IT有效性的基准,在银行机构的IT状况没有达到一定要求的情况下,审慎考虑银行机构实施新资本协议的申请。
(2)研究探索实施新资本协议银行IT监管的特别关注点。新资本协议实施银行首先要满足信息科技风险监管的基本要求,即能够按照《商业银行信息科技风险管理指引》的要求开展信息科技风险防控工作。但是,与一般银行相比,新资本协议实施银行的IT监管关注范围有其特别之处:一是关注IT系统支持数据管理的有效性;二是关注信用、市场和操作风险有关的风险管理系统、风险计量模型和经济资本管理系统的建设情况;三是根据银监会新资本协议有关指引中对数据和IT系统的要求,关注银行的IT合规建设;四是对实施操作风险标准法和高级计量法的银行关注其IT风险计量体系。
综上所述,新资本协议的实施对银行机构信息科技工作既是严峻的挑战,也是难得的重大机遇。银行机构应紧紧抓住这一契机,加强IT治理建设,促进IT架构的革新,加强数据管理,提升IT管理和服务水平,促进以客户为中心的流程银行建设,实现新资本协议框架下的全面风险管理。FCC
|
|
|
|
|
 |
过刊查询 |
|
|
|
|
|
本期精选 |
|
|
|
|
|
|
