文/ 萬幼筠、林靜芬、劉曉軒
自1999年來,全球各地的金融機構在同業的競爭與整合、新制定的規範,與方法論、政治環境的瞬息萬變,還有資本市場的興起與巨變中,有了許多新的看法:
* 許多的金融公司在經歷了購併的經驗中,修正了對於結合風險管理體系與流程的看法。
* 管理者亦持續影響風險管理的趨勢,其中又以國際清算銀行Bank of International Settlements, BIS)在2003年四月所公佈的新巴賽爾資本協定第三版諮詢文件(Basel II,CP3),以取代自1988年以來所公佈的一連串巴賽爾相關文件最為顯著,在此份諮詢文件中,國際清算銀行除了對信用風險的內容多所更動外,也更一步闡釋作業風險的處理方式。
* 風險管理系統的廠商採用新開發的技術與先進的系統,將新方法論及更具整合性功能的產品投入市場中,以獲取更大的市場佔有率。
* 在911的恐怖攻擊事件之後,全球各大企業更加重視因恐怖主義與戰爭所導致的營運中斷之風險。
* 在美國恩隆案戲劇化的崩解之後,包含金融機構在內的各大企業,均在公司治理、董事會監督與資產負債表外的風險等幾個層面上,引起廣大的討論與辯論。
風險管理的趨勢
因此,整合性的風險管理機制與企業風險管理的趨勢,將持續引起所有金融機構在未來幾年的關注。在一份勤業眾信會計師事務所(DTT)全球的調查報告結果中指出,在全球的風險管理有三大趨勢:
一、風險管理已逐漸增加其影響力,甚至成為金融機構的策略性重要指標。因此,日漸增加的風險管理其權責除了採集中式管理之外,更提昇其位階直接向董事會提出報告。
二、對於逐漸採用精密量化工具的趨勢,協助風險管理的持續性。雖然這項發展多可歸咎於管理者的要求(如新巴賽爾資本協定),惟這也是全球金融機構其風險管理的策略性重要指標,與藉由風險調整定
價策略及投資組合最佳化技術的系統,達成其改善績效指標的一個具體實現。
三、在持續發展風險管理的能力方面,最關鍵的挑戰仍為金融機構的資訊科技基礎架構,其所採用的應用系統分散處理各項業務,與其所造成之資料缺乏一致性。金融機構目前正積極投入資源,冀望能解決
這些問題,尤其是在於考慮各項業務專案的資源分配時。
此外,目前的金融機構、金控公司或是新進入者經由不斷創新的電子化行銷通路產生了較為整合性的財務資訊服務平台,也使得消費者更容易取得新金融商品的相關資訊與服務。然而,快速的電子財務服務功能與金融機構的合併在產生利益的同時,也帶來了風險。
金融控股公司的風險現狀
新巴賽爾資本協定將按原訂計劃於2006年導入,惟巴賽爾委員會僅公佈一般性原則。為了將新巴賽爾資本協定中的一般性原則對應到風險管理面之實際執行面,可將金融控股公司風險管理的最佳典範實務歸納為以下幾點:
風險管理機制
一個健全的風險管理機制,包含了下列組成要素:
* 風險架構
* 風險策略
* 風險政策
* 風險指南與作業程序
* 風險管理體系
上面所述的每一個組成要素必須滿足風險辨識、風險衡量、風險分析、風險管理與風險監督等議題。舉例來說,風險政策應說明經營管理階層如何達成董事會所制定的風險策略之目標,而風險指南與作業程序則是風險政策針對作業功能所細部分解出的細部作業手冊,所有的風險資訊(如交易部位、曝險與價格資訊等)應在風險管理體系中完整收集並做適當之處理。而對於攸關決策之資訊,亦能夠經由適當之提報方式,交由決策者做為營運分析之判斷。
目前部分金融控股公司已發展出上述之相關組成要素,而如何執行細部之衡量指標分析以加強其風險管理,則成為目前金融控股公司的主要課題。
集中式的風險管理職責
將風險管理職責劃分於風險管理委員會或風險管理部。
目前各金融控股公司之風險控管權責即使歸屬之部門不一致,惟應以足以適當評估目前風險管理功能為原則,並適當規劃各風險管理權責單位(如董事會、風險長等)所擔任之角色,同時明確定義風險報告之機制。
ISO13569資訊安全規範
ISO/TR13569:1998修正1係屬於第三類技術報告,由ISO技術委員會「ISO/TC68銀行、債券及它項金融服務」及下屬委員會「SC2資訊安全防護管理及一般銀行運作」編製而成。目前國際對金融資訊業務相關的ISO 13569標準乃以ISO13569:1997為主,加上修正的ISO13569:1998。
ISO13569建立之目的在於建立銀行及相關金融服務業之資訊安全防護指引,工作效率與系統運作之更有效率,金融機構對資訊科技的依賴也隨之加重。金融機構透過審慎運作、謹慎簽約、保險及適當之安全防護措施,達到風險管理之目的,因此金融機構內部之資訊安全防護工作實須以多元方式達到管理之目的。而針對所有狀況提供一般性解決之道並非ISO13569提出之用意。針對每一種情況,都須對其利害得弊及所擇定之適當行動進行檢查,故其提供的是指引,而非解決之道。總而言之,本技術報告之用意為:(一)就資訊安全防護,提供一計畫結構、(二)為求運作之審慎度達可接受之標準,就資訊安全控制、(三)在目標及資訊安全認證標準上,能與現有及未來標準一致。
VISA國際組織曾對全球金融機構發表過一些看法,認為其會員組織應需要符合其內部之資訊安全標準規範,VISA國際組織也補充了其最佳典範實務指引,採用美國國家標準協會(ANSI)、金融機構資訊安全指引(X9/ TG-5, 1992)以及ISO/ TR 13569銀行業及相關之金融服務機構資訊安全指引。在2001年,VISA國際組織與其美國之信用卡會員公司試行了這套辦法,同時預期能在2003年將這樣的做法推展至全球之信用卡會員公司。
電子金融的作業風險管理
回應上述金融機構所涉及之作業風險,電子金融相關之風險管理可分為下列兩項:
董事會與管理階層的監督
董事會與高階管理階層應建立有效的管理監督機制以管理相關活動之風險,包含權責劃分、設立政策及控管程序以管理這些風險。
管理階層應明確地建立與電子金融應用系統相關的企業組織風險,建立關鍵的授權與報告機制,包含影響銀行安全事件或信譽的因應程序(包含員工違反安全政策或嚴重之資訊或資訊設備之誤用)。也唯有辨別任一有關於確保電子金融產品/服務於其相關之安全性、整合性及可取用性之風險因素,且對其若以銀行委外第三方處理之關鍵系統亦須採用相關之衡量機制。再者,也應確保銀行實施交錯式商業活動前,已適當的執行協議程序與風險分析。
董事會與高階管理階層亦應覆核及核准金融控股公司安全控管流程之關鍵方向。藉由詳盡之管理措施與工作執掌,檢核公司安全政策之建立與維護機制。利用適當之實體防護措施,以預防電腦環境之非法取存,同時採取適當之邏輯存取與監督流程,以預防內部或外部之非法存取應用系統或資料庫,尤其是金融控股公司下各子公司系統已相互接軌或整合時。
安全風險控管
金融控股公司應採取適當之衡量機制,以確認客戶之驗證及權限及其相關之資訊科技基礎建設之安全控管。採用交易驗證方式,以提升電子金融交易之不可否認性與權責之建立。同,建立應用系統、資料庫及資訊作業平台之適當權責劃分,並依據權責建立適當之權限控管與存取權限,以適當保護應用系統、資料庫及資訊作業平台之安全。最後並應配合明確之稽核軌跡檢視程序,以確保電子金融交易、記錄及資訊之資料整合性。而針對客戶資料之隱私權保護,若涉及客戶敏感性資訊之傳送與儲存時,亦應同時衡量及保護其機密性。
結語
文後附上新巴賽爾資本協定作業風險與資訊安全相關之範疇(紅色部份),現行之資訊安全乃針對網路安全之層面控管,惟對於國際清算組織之規範與國內金融管理機構之法令規範,資訊安全已無法獨立於營運流程層面之外而獨立看待。故唯有自現在開始進行金融控股公司及其子公司之資通安全評估,並展開後續之安全控管活動,才能與業務面之風險管理體系接軌,達成整體金融控股公司之完善風險管理體系。(本文作者皆任職於勤業眾信會計師事務所企業風險服務部)
