对外经济贸易大学金融科技中心

e-banking UIBE,金融技术风险管理,对外经济贸易大学教授,陈进,2024/10/23,1,金融技术风险,银行业是国民经济中信息技术应用最密集、应用水平最高的行业之一。,基于计算机网络系统的各类银行信息系统已经成为银行实施战略决策的关键组成部分，许多新的银行产品的开发和推广、银行业务的开展、银行日常管理和决策等都依赖于基于信息技术的银行信息系统。,计算机信息系统在银行的这种战略地位也使银行面临新的风险银行技术风险。,金融技术风险的表现,一方面表现在银行信息系统的安全性面临着更大的挑战，对银行信息系统的安全性和可靠性提出了更高的要求。,另一方面，由于银行信息系统中传输和存放的数据都与金钱有关，使银行的计算机系统成为犯罪分子关注的焦点。有调查表明，,2001,年,57%,的黑客攻击都是针对金融业的，使金融业因此面临着各种威胁。,随着电子银行的发展，银行越来越多地依赖于信息技术来提供服务和处理信息，技术风险会导致银行面临财务和信誉损失，从而潜在地威胁到整个国家经济和社会的安全性和稳定性。,技术问题案例,l,2002,年9月5日广东某商业银行昨出现系统故障 全线停业一个半小时,l,2003,年11月19日北京某银行,“,偏瘫,”,三小时。,l,2004,年1月29日北京市某银行的计算机系统在下午4时30分发生故障，造成全市所有营业网点全部瘫痪。原因是交易量大，发生计算机运营线路拥堵，造成了系统的超负荷，导致系统被,“,挤爆,”,。,l,2003,年 9月 21日淄博市某银行系统突然出故障，金融业务停办长达 7小时。,l,2003,年12月08日计算机故障使银行系统中断两小时,l,2004-2-27,上海某银行柜面交易因故大面积停业5小时,世界银行案例,2001,年5月 31日汇丰银行及恒生银行电脑系统主机下午发生故障，辖下柜员机、分行电脑、电话及网上理财服务停顿少则 20分钟多则近两小时，部分分行出现排队长龙，无数银行交易受到延误，两银行推迟一小时关门，应付客户需要。这是汇丰自 1997年发生大型电脑故障以来，最严重、服务受影响最大的电脑事故。汇丰、恒生在1999年度曾三度出现,“,死机,”,，其中两次使分行及自动柜员机电脑系统受到影响，银行曾因此而停止服务达半小时；1999年的另外一次事件，则出现在外汇交易部，使交易受到影响。,2004,年月日日本金融厅长官高木祥吉宣布，日本主要银行之间的计算机系统当天发生故障，利用现金卡跨行存取款业务不能正常进行。日本四大银行中的东京三菱银行、瑞穗金融集团和日本联合金融集团以及大部分地方银行的存取款机日均发生了不同程度的故障。目前，故障原因正在调查中。从今年月日开始，日本所有商业银行和地方银行实行了存取款系统网络化，储户可以在任何一家银行取出自己的存款。专家认为，故障很可能发生在网络系统中。,典型案例,2003,年11月7日晚，来自江苏的武警小于到西安市一家银行的,ATM,机上取款，像平时一样插卡输完密码后，正准备提款的小于看到屏幕大吃一惊：原来自己账上的两三百元竟然被一长串令人发晕的数字所替代，细细数了一下，竟然达到2.9亿！,2003,年07月04日首都机场系统出故障 三千乘客无法准时登机,2002,年上海某银行的外汇交易系统居然在短短一个月内接连三次出现故障导致报价,“,误差,”,，美元兑换瑞士法郎的汇率出现了异常低价。客户郑先生为此从六笔交易中共获利231587.31瑞士法郎，折合人民币达一百一十五万余元。当银行在境外集中平仓时，突然发现大量资金亏损后，立即采取保护性措施，暂时停止了异常交易中相关账户的对外划款和现金提取业务，并两度冻结了郑先生的外汇交易账户。,银行技术风险的主要挑战（1）,第一，电子银行的技术创新和客户服务变革的速度很难预期，表现在新技术和新业务的推出时间周期大大缩短，因此，在实现这些新应用之前，能否有合适的战略评估、风险分析以及安全检查就是一项大的管理挑战。,第二，在电子交易中，,Web,站点要与银行后台传统核心业务系统相连，这种模式要求系统有完善的设计、合理的体系结构、良好的互操作性和可用性。这种技术依赖性使风险更为集中，管理也更为技术化。,第三，电子银行的操作和安全复杂性增强，特别是引入了更多合作伙伴、联盟以及外包服务商，形成了新的服务模式，这种模式融入了银行和非银行机构，如中间涉及到外包商、电信、电力、商家等多个部门和企业，但这些非银行机构并不在银行的监管之列，使得技术风险监管产生了许多复杂的问题，在出现故障或发生问题时，很难界定各自的责任问题。,银行技术风险的主要挑战（2）,第四，互联网本身无所不在的特性，使信息访问的各个环节都很难控制，服务对象、信息路由、访问渠道（拨号、无线等等）都是不确定的。因此，安全控制技术、客户身份确认技术、数据保护技术、稽核跟踪技术以及客户私密标准等变得比以往更重要。,第五，伴随着我国各商业银行数据大集中的开展，银行各种技术风险也相应集中。有关数据表明，国内一个大型银行的业务处理在高峰时期每秒钟的交易量在,700-1000,笔。一旦出现宕机不能对外服务，将不再是一个省、市不能正常服务，而是多个省、甚至半个，乃至整个中国无法开展正常的银行业务，影响和损失将是巨大的，因此对数据大集中的稳定性、高效性和可靠性提出了非常高的要求。,银行技术风险,1.风险与金融风险,风险是指损失发生的不确定性。金融风险是指在金融领域，由于风险因素诱发风险事件而导致金融机构损失的可能性。即金融机构在经营过程中，由于决策失误、客观情况变化或其他使资金、财产、信誉、系统等遭受损失的可能性。,2.银行技术风险,银行技术风险（,Bank Technical Risk）,是指银行在使用与计算机、网络等,IT（Information Technical,信息技术）相关的产品、服务、传递渠道、系统等时，所产生或引发的银行经营的不确定性或对银行管理的不利因素。其中的,IT,是指用来存储、接收、传递、处理和恢复银行信息的工具和系统，包括计算机硬件、软件、网络通讯设备，各种银行终端设备如,ATM（Automatic Teller Machine,自动柜员机）、,POS（Point Of Sale,销售点终端）、电话、手机等。,银行技术风险的特点,1.突发性。金融机构会因信息技术基础设施的破坏而面临突发性的服务中断，增加了经营风险；同时，,Internet,等现代通信技术的快速传递特性，会使巨额资金可以瞬间通过银行的网络系统从一个地方传递到另一个地方，大量资金突发性转移增大了银行业务的不稳定性和银行的流动性风险。,2.快速传递性。计算机网络快速传递的特性，可以使金融风险从局部地域迅速蔓延和扩大，导致更大范围金融市场的波动。,3.跨越时空性。现代银行业务的交易过程几乎全部在网上完成，金融机构的“虚拟化”使银行业务突破了时空限制，交易对象和交易动机的确认比较困难。,4.犯罪渠道的多元化。电子银行的建设和发展，使得犯罪活动可以通过电话、计算机、,ATM、POS、,电视等多种终端设备和渠道来完成。,5.,责任的难以区分性。在金融信息化迅速发展的今天，银行信息系统的参与者不仅涉及到银行本身，而且还涉及到电信、电力、产品提供商、外包商、商家等多个行为主体。一旦发生宕机、服务中断等事故，原因将会是多方面，这给事故责任的分摊带来困难。,银行技术风险分类,信用风险、流动性风险、市场风险、运行风险、法律风险、战略风险和信誉风险等，但其技术风险主要包括运行风险、战略风险、信誉风险、法律风险、外包风险等。,从技术角度分析，银行技术风险可分为三类：电子银行面临的业务风险、电子银行基础环境所引发的风险和电子银行开发方式带来的风险外包风险。,银行技术风险不仅涉及经营、管理的各个方面，而且由于支撑基础技术环境的开放性，使其引发风险的因素复杂。,基础环境引发的风险,业务风险,外包风险,电子银行风险,流动性风险,市场风险,法律风险,运行风险,战略风险,跨国界风险,系统失控风险,战略信息伤害风险,信誉风险,无法获得满意服务风险,信用风险,系统可用性风险,安全性风险,客户误操作风险,内部管理风险,认证系统风险,技术风险,银行技术风险管理,事项类别,事 项,规划与开发,在考虑、规划和实施某项技术时，决策过程是否充分,技术成本和价格决策对财务状况的影响,州际间和全球性业务的战略意义,系统设计和容量是否满足客户的需求,非金融实体的卷入和日益加剧的竞争所产生的影响,一揽子证券,等对银行电子业务的不确定的适应性,运行政策和,业务程序,与电子银行业务相关的管理或技术方面的不胜任,现有的管理是否充分保护机密的电子信息,政策和业务程序是否充分考虑到电子渠道的交易速度和广泛性,审计,在电子银行系统中是否含有审计跟踪功能,法律和法规,数字合同、协议和签名实施的不确定性,用户或参与者索赔引起的,额外,债务,税收、犯罪和民法方面司法权的不确定性,对州际和国际业务的影响,不确定的监管环境（地方、全国、国际、金融领域和其他领域）,储备要求对于电子货币不确定的适用性,金融记录保存、披露和其他要求的不确定的适用性,不同法律条件下电子文件及其披露的不确定的适用性,管理和系统运行,硬件/软件的失效和中断,系统/数据库性能变劣,系统容量不足,系统过时,多重标准和协议的管理,对电子通信保护是否充分,系统安全控制是否充分,供货商和外包,依赖供货商的能力实现关键性功能,内部控制可能延伸不到第三方供货商,供货商对系统支持薄弱,多个相互关联的系统和多种业务的维护与管理,对系统中多个参与者之间的相互关系的协调,我国银行的技术风险监管,我国银行技术风险监管的根本目标是确保交易性银行信息系统安全、可靠地运行，保护消费者的利益，维护金融体系的安全。具体应该包括：,1.,确保银行技术风险的监管制度与时俱进，既能适应银行信息化技术的最新发展，也不会妨碍银行创新的动力。,2.,确保银行信息系统主机、生产系统及相关系统的安全与稳定运行。,3.,确保银行内部计算机网络不受到威胁。,4.,保护消费者的利益。,5.,维护我国金融体系的安全。,技术风险监管应该坚持成本,/,效益原则、安全,/,效率原则和安全,/,成本原则,URSIT,银行统一信息技术评级系统（,Uniform Rating System for Information Technology）,URSIT,对运用信息技术的银行进行评级，分为总体评级和部分评级两个部分。总体评级建立在部分评级的基础之上。部分评级分别为：,（,简称为,AMDS）,审计（,Audit）,管理（,Management）,开发与获取（,Development and Acquisition）,客户技术支持和提交服务（,Support and Delivery）,URSIT,的四个部分综合起来评估一家机构信息技术的总体运行状况。检查者通过对每一个部分评估机构的识别、,度量,、监督和控制信息技术风险的能力来评价信息技术的使用情况。最终，根据评估的整体情况，被检查的机构被赋予一个总体级别或部分级别。信息技术的总体评级和每一项部分评级都被分为5个级别。,我国银行技术风险监管指标体系,安全可靠性：包括安全性监控、备份系统、业务恢复、物理安全、认证、安全可靠性技术。,管理：包括战略规划、,IT,管理能力、人力资源管理、风险监管能力、职员、安全策略。,开发与获取：包括系统开发、系统测试、软件分发。,客户服务与支持：包括客户服务、运行管理、服务商能力。,审计：包括审计准备、内部审计、外部审计、对服务商的控制。,法律与法规：包括合规性、合同与协议。,金融IT技术风险,问题：,系统故障,安全漏洞,财务损失,竞争力降低,机遇：,有效管理,智能水平提高,先进技术应用,技术与业务融合,谢谢大家！,