金融技術(shù)風(fēng)險(xiǎn)管理

金融技術(shù)風(fēng)險(xiǎn)管理2024/5/281金融技術(shù)風(fēng)險(xiǎn)銀行業(yè)是國(guó)民經(jīng)濟(jì)中信息技術(shù)應(yīng)用最密集、應(yīng)用水平最高的行業(yè)之一?；谟?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各類(lèi)銀行信息系統(tǒng)已經(jīng)成為銀行實(shí)施戰(zhàn)略決策的關(guān)鍵組成部分，許多新的銀行產(chǎn)品的開(kāi)發(fā)和推廣、銀行業(yè)務(wù)的開(kāi)展、銀行日常管理和決策等都依賴(lài)于基于信息技術(shù)的銀行信息系統(tǒng)。計(jì)算機(jī)信息系統(tǒng)在銀行的這種戰(zhàn)略地位也使銀行面臨新的風(fēng)險(xiǎn)——銀行技術(shù)風(fēng)險(xiǎn)。金融技術(shù)風(fēng)險(xiǎn)的表現(xiàn)一方面表現(xiàn)在銀行信息系統(tǒng)的安全性面臨著更大的挑戰(zhàn)，對(duì)銀行信息系統(tǒng)的安全性和可靠性提出了更高的要求。另一方面，由于銀行信息系統(tǒng)中傳輸和存放的數(shù)據(jù)都與金錢(qián)有關(guān)，使銀行的計(jì)算機(jī)系統(tǒng)成為犯罪分子關(guān)注的焦點(diǎn)。有調(diào)查表明，2001年57%的黑客攻擊都是針對(duì)金融業(yè)的，使金融業(yè)因此面臨著各種威脅。隨著電子銀行的發(fā)展，銀行越來(lái)越多地依賴(lài)于信息技術(shù)來(lái)提供服務(wù)和處理信息，技術(shù)風(fēng)險(xiǎn)會(huì)導(dǎo)致銀行面臨財(cái)務(wù)和信譽(yù)損失，從而潛在地威脅到整個(gè)國(guó)家經(jīng)濟(jì)和社會(huì)的安全性和穩(wěn)定性。技術(shù)問(wèn)題案例l

2002年9月5日廣東某商業(yè)銀行昨出現(xiàn)系統(tǒng)故障全線停業(yè)一個(gè)半小時(shí)l

2003年11月19日北京某銀行“偏癱”三小時(shí)。l

2004年1月29日北京市某銀行的計(jì)算機(jī)系統(tǒng)在下午4時(shí)30分發(fā)生故障，造成全市所有營(yíng)業(yè)網(wǎng)點(diǎn)全部癱瘓。原因是交易量大，發(fā)生計(jì)算機(jī)運(yùn)營(yíng)線路擁堵，造成了系統(tǒng)的超負(fù)荷，導(dǎo)致系統(tǒng)被“擠爆”。l

2003年9月21日淄博市某銀行系統(tǒng)突然出故障，金融業(yè)務(wù)停辦長(zhǎng)達(dá)7小時(shí)。l

2003年12月08日計(jì)算機(jī)故障使銀行系統(tǒng)中斷兩小時(shí)l

2004-2-27上海某銀行柜面交易因故大面積停業(yè)5小時(shí)世界銀行案例2001年5月31日匯豐銀行及恒生銀行電腦系統(tǒng)主機(jī)下午發(fā)生故障，轄下柜員機(jī)、分行電腦、電話及網(wǎng)上理財(cái)服務(wù)停頓少則20分鐘多則近兩小時(shí)，部分分行出現(xiàn)排隊(duì)長(zhǎng)龍，無(wú)數(shù)銀行交易受到延誤，兩銀行推遲一小時(shí)關(guān)門(mén)，應(yīng)付客戶需要。這是匯豐自1997年發(fā)生大型電腦故障以來(lái)，最嚴(yán)重、服務(wù)受影響最大的電腦事故。匯豐、恒生在1999年度曾三度出現(xiàn)“死機(jī)”，其中兩次使分行及自動(dòng)柜員機(jī)電腦系統(tǒng)受到影響，銀行曾因此而停止服務(wù)達(dá)半小時(shí)；1999年的另外一次事件，則出現(xiàn)在外匯交易部，使交易受到影響。2004年１月２６日日本金融廳長(zhǎng)官高木祥吉宣布，日本主要銀行之間的計(jì)算機(jī)系統(tǒng)當(dāng)天發(fā)生故障，利用現(xiàn)金卡跨行存取款業(yè)務(wù)不能正常進(jìn)行。日本四大銀行中的東京三菱銀行、瑞穗金融集團(tuán)和日本聯(lián)合金融集團(tuán)以及大部分地方銀行的存取款機(jī)２６日均發(fā)生了不同程度的故障。目前，故障原因正在調(diào)查中。從今年１月４日開(kāi)始，日本所有商業(yè)銀行和地方銀行實(shí)行了存取款系統(tǒng)網(wǎng)絡(luò)化，儲(chǔ)戶可以在任何一家銀行取出自己的存款。專(zhuān)家認(rèn)為，故障很可能發(fā)生在網(wǎng)絡(luò)系統(tǒng)中。典型案例2003年11月7日晚，來(lái)自江蘇的武警小于到西安市一家銀行的ATM機(jī)上取款，像平時(shí)一樣插卡輸完密碼后，正準(zhǔn)備提款的小于看到屏幕大吃一驚：原來(lái)自己賬上的兩三百元竟然被一長(zhǎng)串令人發(fā)暈的數(shù)字所替代，細(xì)細(xì)數(shù)了一下，竟然達(dá)到2.9億！2003年07月04日首都機(jī)場(chǎng)系統(tǒng)出故障三千乘客無(wú)法準(zhǔn)時(shí)登機(jī)2002年上海某銀行的外匯交易系統(tǒng)居然在短短一個(gè)月內(nèi)接連三次出現(xiàn)故障導(dǎo)致報(bào)價(jià)“誤差”，美元兌換瑞士法郎的匯率出現(xiàn)了異常低價(jià)?？蛻羿嵪壬鸀榇藦牧P交易中共獲利231587.31瑞士法郎，折合人民幣達(dá)一百一十五萬(wàn)余元。當(dāng)銀行在境外集中平倉(cāng)時(shí)，突然發(fā)現(xiàn)大量資金虧損后，立即采取保護(hù)性措施，暫時(shí)停止了異常交易中相關(guān)賬戶的對(duì)外劃款和現(xiàn)金提取業(yè)務(wù)，并兩度凍結(jié)了鄭先生的外匯交易賬戶。銀行技術(shù)風(fēng)險(xiǎn)的主要挑戰(zhàn)（1）第一，電子銀行的技術(shù)創(chuàng)新和客戶服務(wù)變革的速度很難預(yù)期，表現(xiàn)在新技術(shù)和新業(yè)務(wù)的推出時(shí)間周期大大縮短，因此，在實(shí)現(xiàn)這些新應(yīng)用之前，能否有合適的戰(zhàn)略評(píng)估、風(fēng)險(xiǎn)分析以及安全檢查就是一項(xiàng)大的管理挑戰(zhàn)。第二，在電子交易中，Web站點(diǎn)要與銀行后臺(tái)傳統(tǒng)核心業(yè)務(wù)系統(tǒng)相連，這種模式要求系統(tǒng)有完善的設(shè)計(jì)、合理的體系結(jié)構(gòu)、良好的互操作性和可用性。這種技術(shù)依賴(lài)性使風(fēng)險(xiǎn)更為集中，管理也更為技術(shù)化。第三，電子銀行的操作和安全復(fù)雜性增強(qiáng)，特別是引入了更多合作伙伴、聯(lián)盟以及外包服務(wù)商，形成了新的服務(wù)模式，這種模式融入了銀行和非銀行機(jī)構(gòu)，如中間涉及到外包商、電信、電力、商家等多個(gè)部門(mén)和企業(yè)，但這些非銀行機(jī)構(gòu)并不在銀行的監(jiān)管之列，使得技術(shù)風(fēng)險(xiǎn)監(jiān)管產(chǎn)生了許多復(fù)雜的問(wèn)題，在出現(xiàn)故障或發(fā)生問(wèn)題時(shí)，很難界定各自的責(zé)任問(wèn)題。銀行技術(shù)風(fēng)險(xiǎn)的主要挑戰(zhàn)（2）第四，互聯(lián)網(wǎng)本身無(wú)所不在的特性，使信息訪問(wèn)的各個(gè)環(huán)節(jié)都很難控制，服務(wù)對(duì)象、信息路由、訪問(wèn)渠道（撥號(hào)、無(wú)線等等）都是不確定的。因此，安全控制技術(shù)、客戶身份確認(rèn)技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、稽核跟蹤技術(shù)以及客戶私密標(biāo)準(zhǔn)等變得比以往更重要。第五，伴隨著我國(guó)各商業(yè)銀行數(shù)據(jù)大集中的開(kāi)展，銀行各種技術(shù)風(fēng)險(xiǎn)也相應(yīng)集中。有關(guān)數(shù)據(jù)表明，國(guó)內(nèi)一個(gè)大型銀行的業(yè)務(wù)處理在高峰時(shí)期每秒鐘的交易量在700-1000筆。一旦出現(xiàn)宕機(jī)不能對(duì)外服務(wù)，將不再是一個(gè)省、市不能正常服務(wù)，而是多個(gè)省、甚至半個(gè)，乃至整個(gè)中國(guó)無(wú)法開(kāi)展正常的銀行業(yè)務(wù)，影響和損失將是巨大的，因此對(duì)數(shù)據(jù)大集中的穩(wěn)定性、高效性和可靠性提出了非常高的要求。銀行技術(shù)風(fēng)險(xiǎn)1.風(fēng)險(xiǎn)與金融風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指損失發(fā)生的不確定性。金融風(fēng)險(xiǎn)是指在金融領(lǐng)域，由于風(fēng)險(xiǎn)因素誘發(fā)風(fēng)險(xiǎn)事件而導(dǎo)致金融機(jī)構(gòu)損失的可能性。即金融機(jī)構(gòu)在經(jīng)營(yíng)過(guò)程中，由于決策失誤、客觀情況變化或其他使資金、財(cái)產(chǎn)、信譽(yù)、系統(tǒng)等遭受損失的可能性。2.銀行技術(shù)風(fēng)險(xiǎn)銀行技術(shù)風(fēng)險(xiǎn)（BankTechnicalRisk）是指銀行在使用與計(jì)算機(jī)、網(wǎng)絡(luò)等IT（InformationTechnical—信息技術(shù)）相關(guān)的產(chǎn)品、服務(wù)、傳遞渠道、系統(tǒng)等時(shí)，所產(chǎn)生或引發(fā)的銀行經(jīng)營(yíng)的不確定性或?qū)︺y行管理的不利因素。其中的IT是指用來(lái)存儲(chǔ)、接收、傳遞、處理和恢復(fù)銀行信息的工具和系統(tǒng)，包括計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)通訊設(shè)備，各種銀行終端設(shè)備如ATM（AutomaticTellerMachine—自動(dòng)柜員機(jī)）、POS（PointOfSale—銷(xiāo)售點(diǎn)終端）、電話、手機(jī)等。銀行技術(shù)風(fēng)險(xiǎn)的特點(diǎn)1.突發(fā)性。金融機(jī)構(gòu)會(huì)因信息技術(shù)基礎(chǔ)設(shè)施的破壞而面臨突發(fā)性的服務(wù)中斷，增加了經(jīng)營(yíng)風(fēng)險(xiǎn)；同時(shí)，Internet等現(xiàn)代通信技術(shù)的快速傳遞特性，會(huì)使巨額資金可以瞬間通過(guò)銀行的網(wǎng)絡(luò)系統(tǒng)從一個(gè)地方傳遞到另一個(gè)地方，大量資金突發(fā)性轉(zhuǎn)移增大了銀行業(yè)務(wù)的不穩(wěn)定性和銀行的流動(dòng)性風(fēng)險(xiǎn)。2.快速傳遞性。計(jì)算機(jī)網(wǎng)絡(luò)快速傳遞的特性，可以使金融風(fēng)險(xiǎn)從局部地域迅速蔓延和擴(kuò)大，導(dǎo)致更大范圍金融市場(chǎng)的波動(dòng)。3.跨越時(shí)空性?，F(xiàn)代銀行業(yè)務(wù)的交易過(guò)程幾乎全部在網(wǎng)上完成，金融機(jī)構(gòu)的“虛擬化”使銀行業(yè)務(wù)突破了時(shí)空限制，交易對(duì)象和交易動(dòng)機(jī)的確認(rèn)比較困難。4.犯罪渠道的多元化。電子銀行的建設(shè)和發(fā)展，使得犯罪活動(dòng)可以通過(guò)電話、計(jì)算機(jī)、ATM、POS、電視等多種終端設(shè)備和渠道來(lái)完成。5.責(zé)任的難以區(qū)分性。在金融信息化迅速發(fā)展的今天，銀行信息系統(tǒng)的參與者不僅涉及到銀行本身，而且還涉及到電信、電力、產(chǎn)品提供商、外包商、商家等多個(gè)行為主體。一旦發(fā)生宕機(jī)、服務(wù)中斷等事故，原因?qū)?huì)是多方面，這給事故責(zé)任的分?jǐn)値?lái)困難。銀行技術(shù)風(fēng)險(xiǎn)分類(lèi)信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、運(yùn)行風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)和信譽(yù)風(fēng)險(xiǎn)等，但其技術(shù)風(fēng)險(xiǎn)主要包括運(yùn)行風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)等。從技術(shù)角度分析，銀行技術(shù)風(fēng)險(xiǎn)可分為三類(lèi)：電子銀行面臨的業(yè)務(wù)風(fēng)險(xiǎn)、電子銀行基礎(chǔ)環(huán)境所引發(fā)的風(fēng)險(xiǎn)和電子銀行開(kāi)發(fā)方式帶來(lái)的風(fēng)險(xiǎn)—外包風(fēng)險(xiǎn)。銀行技術(shù)風(fēng)險(xiǎn)不僅涉及經(jīng)營(yíng)、管理的各個(gè)方面，而且由于支撐基礎(chǔ)技術(shù)環(huán)境的開(kāi)放性，使其引發(fā)風(fēng)險(xiǎn)的因素復(fù)雜。

基礎(chǔ)環(huán)境引發(fā)的風(fēng)險(xiǎn)業(yè)務(wù)風(fēng)險(xiǎn)外包風(fēng)險(xiǎn)電子銀行風(fēng)險(xiǎn)流動(dòng)性風(fēng)險(xiǎn)市場(chǎng)風(fēng)險(xiǎn)法律風(fēng)險(xiǎn)運(yùn)行風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)跨國(guó)界風(fēng)險(xiǎn)系統(tǒng)失控風(fēng)險(xiǎn)戰(zhàn)略信息傷害風(fēng)險(xiǎn)信譽(yù)風(fēng)險(xiǎn)無(wú)法獲得滿意服務(wù)風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)系統(tǒng)可用性風(fēng)險(xiǎn)安全性風(fēng)險(xiǎn)客戶誤操作風(fēng)險(xiǎn)內(nèi)部管理風(fēng)險(xiǎn)認(rèn)證系統(tǒng)風(fēng)險(xiǎn)技術(shù)風(fēng)險(xiǎn)

銀行

技術(shù)

風(fēng)險(xiǎn)

管理

事項(xiàng)類(lèi)別事項(xiàng)

規(guī)劃與開(kāi)發(fā)在考慮、規(guī)劃和實(shí)施某項(xiàng)技術(shù)時(shí)，決策過(guò)程是否充分技術(shù)成本和價(jià)格決策對(duì)財(cái)務(wù)狀況的影響州際間和全球性業(yè)務(wù)的戰(zhàn)略意義系統(tǒng)設(shè)計(jì)和容量是否滿足客戶的需求非金融實(shí)體的卷入和日益加劇的競(jìng)爭(zhēng)所產(chǎn)生的影響一攬子證券等對(duì)銀行電子業(yè)務(wù)的不確定的適應(yīng)性運(yùn)行政策和業(yè)務(wù)程序與電子銀行業(yè)務(wù)相關(guān)的管理或技術(shù)方面的不勝任現(xiàn)有的管理是否充分保護(hù)機(jī)密的電子信息政策和業(yè)務(wù)程序是否充分考慮到電子渠道的交易速度和廣泛性審計(jì)在電子銀行系統(tǒng)中是否含有審計(jì)跟蹤功能

法律和法規(guī)數(shù)字合同、協(xié)議和簽名實(shí)施的不確定性用戶或參與者索賠引起的額外債務(wù)稅收、犯罪和民法方面司法權(quán)的不確定性對(duì)州際和國(guó)際業(yè)務(wù)的影響不確定的監(jiān)管環(huán)境（地方、全國(guó)、國(guó)際、金融領(lǐng)域和其他領(lǐng)域）儲(chǔ)備要求對(duì)于電子貨幣不確定的適用性金融記錄保存、披露和其他要求的不確定的適用性不同法律條件下電子文件及其披露的不確定的適用性

管理和系統(tǒng)運(yùn)行硬件/軟件的失效和中斷系統(tǒng)/數(shù)據(jù)庫(kù)性能變劣系統(tǒng)容量不足系統(tǒng)過(guò)時(shí)多重標(biāo)準(zhǔn)和協(xié)議的管理對(duì)電子通信保護(hù)是否充分系統(tǒng)安全控制是否充分供貨商和外包依賴(lài)供貨商的能力實(shí)現(xiàn)關(guān)鍵性功能內(nèi)部控制可能延伸不到第三方供貨商供貨商對(duì)系統(tǒng)支持薄弱多個(gè)相互關(guān)聯(lián)的系統(tǒng)和多種業(yè)務(wù)的維護(hù)與管理對(duì)系統(tǒng)中多個(gè)參與者之間的相互關(guān)系的協(xié)調(diào)我國(guó)銀行的技術(shù)風(fēng)險(xiǎn)監(jiān)管

我國(guó)銀行技術(shù)風(fēng)險(xiǎn)監(jiān)管的根本目標(biāo)是確保交易性銀行信息系統(tǒng)安全、可靠地運(yùn)行，保護(hù)消費(fèi)者的利益，維護(hù)金融體系的安全。具體應(yīng)該包括：1.確保銀行技術(shù)風(fēng)險(xiǎn)的監(jiān)管制度與時(shí)俱進(jìn)，既能適應(yīng)銀行信息化技術(shù)的最新發(fā)展，也不會(huì)妨礙銀行創(chuàng)新的動(dòng)力。2.確保銀行信息系統(tǒng)主機(jī)、生產(chǎn)系統(tǒng)及相關(guān)系統(tǒng)的安全與穩(wěn)定運(yùn)行。3.確保銀行內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)不受到威脅。4.保護(hù)消費(fèi)者的利益。5.維護(hù)我國(guó)金融體系的安全。技術(shù)風(fēng)險(xiǎn)監(jiān)管應(yīng)該堅(jiān)持成本/效益原則、安全/效率原則和安全/成本原則URSIT銀行統(tǒng)一信息技術(shù)評(píng)級(jí)系統(tǒng)（UniformRatingSystemforInformationTechnology）URSIT對(duì)運(yùn)用信息技術(shù)的銀行進(jìn)行評(píng)級(jí)，分為總體評(píng)級(jí)和部分評(píng)級(jí)兩個(gè)部分。總體評(píng)級(jí)建立在部分評(píng)級(jí)的基礎(chǔ)之上。部分評(píng)級(jí)分別為：（簡(jiǎn)稱(chēng)為AMDS）審計(jì)（Audit）管理（Management）開(kāi)發(fā)與獲?。―evelopmentandAcquisition）客戶技術(shù)支持和提交服務(wù)（SupportandDelivery）URSIT的四個(gè)部分綜合起來(lái)評(píng)估一家機(jī)構(gòu)信息技術(shù)的總體運(yùn)行狀況。檢查者通過(guò)對(duì)每一個(gè)部分評(píng)估機(jī)構(gòu)的識(shí)別、度量、監(jiān)督和控制信息技術(shù)風(fēng)險(xiǎn)的能力來(lái)評(píng)價(jià)信息技術(shù)的使用情況。最終，根據(jù)評(píng)估的整體情況，被檢查的機(jī)構(gòu)被賦予一個(gè)總體級(jí)別或部分級(jí)別。信息技術(shù)的總體評(píng)級(jí)和每一項(xiàng)部分評(píng)級(jí)都被分為5個(gè)級(jí)別。我國(guó)銀行技術(shù)風(fēng)險(xiǎn)監(jiān)管指標(biāo)體系

安全可靠性：包括安全