三种思路将风险降到最低
3月15日,在第二届金融科技论坛上,来自中国银监会、国内国际各大商业银行的专业人士,对金融业风险管理的话题进行了深入探讨,并提出一些利用IT手段降低金融业风险的思路方法。
①管理模型应对循规风险。国家开发银行营运中心高级营运经理许成军提出ITB四面体模型,力图破解银行信息化发展与风险管理的难题。
ITB四面体是针对银行信息化发展而建构的模型。A、B、C、D四个面分别表示:系统开发建设、生产系统运行、管理体系和风险管理。四面体的体积值可以看成是IT发展的综合指数,四方面各有各的发展指标,相互促进又相互制约,四方面能够平衡发展就可以获得最大的指标值,并达到理想的信息化管理状态。量化指标则可以遵循一定的函数计算法得出。
如果金融机构能够从整体上把控信息化建设与风险管理之间的关系平衡,管理层针对具体的法规政策制定的发展策略,能由IT系统合理完善地支持运维,则可以很好地应对Lene Northwood最担心的循规风险。
②教计算机学会思考防范金融诈骗。人们能否做到在两个地方用同一张信用卡同时进行交易呢?某个用户的借记卡平均每星期只刷100元,忽然有一天刷去了一万元,这是否有些不太寻常呢?
这些问题摆在任何一个普通人面前,都会觉得其中必有蹊跷,但计算机无法思考其中的逻辑关系。如果单纯依赖计算机,这些问题必然会使银行措手不及,因此银行的IT部门要教计算机学会思考。
荷兰银行建设了两套系统,其中一套用来记录和分析不同类型的用户,记录他们的消费习惯、分析他们与银行相关活动的轨迹。另一套系统则用来追踪信用卡的不寻常交易,一旦发现偶然事件,系统会发出警报信息,特定工作人员就会立即给信用卡持有者打电话,询问用户是否确实进行过交易,以防备诈骗案件发生。
③网络接入和网络访问控制——在门口阻住黑客。交通局对上路的车辆通过交规进行管理,而对于安全管理要求格外严格的银行,在网络接入控制方面竟然是一片空白。
就像车辆上路前,交通管理部门要对驾驶者、车辆进行全面检查考核一样,银行的IT系统更需要对网络接入和网络访问进行技术控制。
Juniper公司系统工程师李世朋认为,外来系统在接入银行网络系统前,银行系统一定要采取身份认证、终端检查、主动隔离修复等措施进行第一轮“盘查”,在外来系统已经接入银行网络系统时,银行网络更要维持对终端的持续检查,一旦发现违规立刻切断网络连接,并进行隔离修复。Juniper公司和其他一些服务提供商已经提供了相对完备的解决方案,银行所需要做的就是继续完善“IT岗哨”,将黑客阻挡在银行大门之外。
对于信息科技风险,中国银监会也确立了明确的监管思路:“管法人、管风险、管内控、提高透明度”的理念贯穿始终。而且近一阶段,银监会进一步加强了信息科技风险的监管工作,陆续实施了一系列政策和措施,发布了《信息系统风险管理指引》,部署信息科技风险领域内部和外部的评价审计;引进并实施了信息科技风险自我评估系统(SCSA 系统);组织了多次信息科技风险专项培训;对照国际准则对国内信息科技风险监管制度法规进行差距性分析……
将风险降到最低,保障企业和个人的交易安全,金融业的斗争才刚刚开始。
