前言:中文期刊网精心挑选了经济金融风险防控方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
经济金融风险防控方案范文1
【关键词】互联网金融 风险 措施
一、当前互联网金融风险的主要类型
在现阶段的互联网金融中存在的风险有别于传统的金融风险,在一定意识上来说增加了风险规避和预测的难度。在现阶段的互联网金融中存在的主要金融风险有以下几点: (一)法律政策风险。 虽然现阶段相关的法律有《电子签名法》、《网上银行业务管理暂行办法》、《网上证券委托管理暂行办法》、《证券账户非现场开户实施暂行办法》对一些金融业务进行管理规定,但是这都是主要针对传统的金融业务的一些网上服务制定的,针对具体的互联网金融行业的先关法律法规还尚未完善。例如在现阶段的互联网金融电子支付中都是通过协议进行制定的,仅仅是通过相关的说明,明确双方的权利与义务,从而进行合同的签订,一旦出现问题了只有通过仲裁的方法进行解决。但是在执行的过程中网网因为法律的缺失,导致了仲裁结果执行难的实际问题。 (二)业务管理风险。这类风险主要存在以下两个方面,第一方面就是互联网金融行业自身的问题,现阶段的互联网金融行业基本上都是由传统的金融行业演变而来的,缺乏对金融风险的重要认识,在业务管理是缺乏相关的制度规定。例如在网络借贷公司中,没有制定相关的风险预测,对于分先预备金没有起到重视,在网上理财产品的前期宣传制定的过程中缺乏风险提示;在第三方支付机构对于用户的核对工作手续较为简单,存在着很大的安全隐患。在另一个角度来说就是无法应对市场环境趋势变化,在互联网金融行业在面对不稳定的市场环境中,存在着一些操作预防的不稳定性,针对一些可能产生的流动性风险、资金安全风险,没有制定具体的应对措施;例如在第三方支付过程中产生的时滞现象就很容易造成互联网金融行业产生流动性的风险。 (三)网络技术风险,互联网金融行业的基础就是依靠于计算机网络系统。所以计算机网络系统自身的缺陷对于互联网金融是有一定的风险的,例如在开放式的互联网络系统中。存在着密钥管理及加密技术,TCP/IP协议的安全性问题;以及一些网络病毒以及电脑黑客的攻击很容易对互联网金融带来一定的风险。在互联网金融的经营过程中也是需要相关的网络技术进行系统日常的生产运营维护,这也就意味着互联网技术的程度决定着金融存在的风险,在互联网金融行业选择的日常维护的技术支持系统以及客户终端的具体兼容性的时候是存在着一定的安全隐患的。
二、互联网金融风险预测流程
(一)完善针对互联网金融的法律法规。针对互联网金融行业的具体情况加强互联网金融的相关立法,提高电子交易的合法性、加强电子商务的安全性,禁止通过互联网犯罪的情况,要提高数字签名、电子凭证的有效性,对于互联网金融业务中的交易双方要明确各自的权利与义务,不断的完善修改相关的法律法规,提高对互联网洗钱等犯罪的量刑力度,对于在互联网金融风险中存在的法律责任要明确化。对于在互联网中的数字签名、电子交易凭证以及个人信息等都要进行详细的规定,在最大程度上保障互联网金融业务的正常有序的运行。
(二)构建一个健全完善的互联网金融风险监控体系,对此要从以下三个方面进行:首先是风险评估,在实施互联网金融风险监控体系中,风险评估是前期的控制阶段。在互联网金融行业中只有发现自身存在的风险才可以进行制定相关的风险防控策略。在对互联网金融进行风险监控的过程中,要针对自身的整体情况进行风险评估,全面的认识到自身存在的风险,这样才可以有针对的进行相关的对策的实施。互联网金融风险管理人员要准确的分析互联网金融机构存在的风险水平以及承受分析的能力,要在最大程度行降低风险爆发的危害程度,确保互联网金融机构的正常运行。其次就是在进行风险评估后要采取一定的控制措施,预防可能发展的风险。在风险控制流程的实施过程中要根据具体的风险情况采取有效的措施和手段,把互联网金融机构中的风险控制安全范围之内,在在最大程度上减少风险爆发的因素,在根本上控制风险的发生。制定一个合适的风险监控方案,完善具体的实施应对策略,保障在风险爆发的时候可以快速的做出应对处理,减少风险带来的损失。最后就是在根据互联网金融行业中存在的风险漏洞制定的应对措施进行及时的调整完善。可以利用互联网金融行业协会以及研究机构等组织通过与相关的监管部门针对特定的问题进行一定的探讨沟通,不断的完善自身的应对措施。
三、结束语
在现阶段的互联网金融的繁荣发展进程中,一定要重视对存在的风险问题的认知程度,不断的完善我国互联网金融体系风险监控程度,完善互联网金融的法津体系,全面的发展计算机网络技术,创建一个安全的互联网金融网络环境,推动互联网金融的可持续发展。
参考文献:
[1]杨凯生.究竟什么是互联网金融[DB/OL].http://.c/renwu2013/133/2013/1014/271675shtml ,2013(1).
[2]张明.警惕互联网金融行业的潜在风险[DB/OL].http: / //story/001053422?full=y#atm_campaigrr1B 110427&sourceless/marketing&atm_ medium=campaign,2013(1).
经济金融风险防控方案范文2
【关键词】电网风险;风险源;防控措施
国家偌大的电网体系常常在不同的地域遭遇不同的风险威胁,电网系统下风险源众多,而要想防控则需要动用大量的人力、物力、财力,同时还要建立起实用性高的防控体制,而防控体制的建立就应该因地制宜,从风险源出发,根据风险源的特点,建立风险预测体系,提高电网的抗风险能力,还要制定系统的应对措施。
一、电网风险的分析
1.气象风险源
我国的地域广阔,从南到北纵跨多重气象带,使电网面临的风险在无形中增加不少。近几年的气候可预测性正在不断降低,所以对于突如其来的气象灾害也对电网的风险抵御能力提出了挑战。
近年来我国南方多发冻雨且地震、泥石流灾害频发,所以当前以成为考验我国南方电网的关键期。以华东地区的电网为例,华东地区多受台风影响,电网常常遭遇飑线风,对电网运输线路在恶劣环境下的输电能力提出了更高的要求,同时华东地区是我国工业发展迅速区域,因此工业的发展对电力的需求相对较高,这也对电网的运输能力提出了要求。在比如我国的西南地区,这一地区是地震灾害多发区,还时常连发泥石流、冻雨,低温状况下的电力运输是难上加难,日常低温环境下或灾害期间的电网系统中断的问题已成为了老生长谈,所以气象风险源对电网的考验是高频率的,也是不容忽视的,所以作为一大风险源必须引起电力部门的注意。
2.设备风险源
之所以设备也作为一大风险源被提及是因为当前我国的电网设备上存在十分严重的设备老化问题,在智力电网改革的当口,设备老化问题的排除也被做为重大议题而提上日程。
设备在自然或人为的因素下老化从而增加电网的故障发生率。我国的电力供求存在地域不平衡的特点,因此跨区域的资源调度成为我国资源再分配的关键方法,因而电网的长距离运输负担不断加重,这也在无形中增加了电网的风险,即一旦在电网运输的某一环节出现问题便会影响到国内许多地区的用电,电力的供应不足将会直接导致国家经济和社会的财产损失。而一旦设备出现老化现象就会在高负荷的运输环境下出现瘫痪,成为电网运输的一大风险。
3.智能电网改革下的电网风险
智能电网改革引入了大量的新设备和线路模式,但是传统电网设备存在的风险仍然存在,一些新设备由于各种原因而导致的数据采样模糊,部分新设备与旧设备并用的电站存在的设备协调不平衡的问题都存在,而且严重影响了电网效用的发挥。
智能化的电网主要是借用新技术及一些新的管理方法,尤其是操作上减少了人的参与,进而一些原本有人直接参与的工作,现在都转化成为了软件远程控制,从而使得一些潜在的危险显性化的可能增大,因而,建议在智能电网的转型初期,尽量做好传统方式与智能方式的协调,在一些风险多发地区尽量避免单纯的远程控制。
智能电网除了出现以上工程风险,还会面临金融风险,金融风险的主要风险源有市场、操作、信用、法律等。风险因为市场化就更加增加了电网风险的可预测能力,因此电力行业的未来发展所面临的风险只会有增无减,所以电网的风险评估体系也应该做适当的调整。
二、电网风险防控措施
电网的发展面临多层次的风险,因此要正确认识风险并且制定出有效的防控体系。
1.积极到位的风险评估
气象方面,自然条件的变化能够影响到设备,进而影响到电力运输。传统的电力风险防控中常忽略了气象因素,从而在气象灾害多发区域没有专门的应对措施,而导致电网经常受到台风、雷电、冻雨等的影响,故电力中心的气象预测工作要到位,成立气象分析小组,定时召开电网风险分析会议,进而制定出防灾预案以着手应对气象风险。另外要在灾害多发区加强防护措施,提高线路的抗灾能力。
设备方面,电网的母线要配置相关的故障断路器,这种器械能够保证故障发生时,只有母线失电,这样就避免了其他线路失电造成的损失。此外对于母线检修时危害电网安全的特点,可以用半断路器的母线连接方式及电网拓扑连接关系在线关注一些具有潜在风险的设备集,从而可以有效的降低风险的危害,而且能够完善相关的风险预测及预警机制。
设备方面也可以应用一些设备风险分析软件,这种软件能够自动分析电力网络的运行方式,并且能够分析出潜在风险设备,为工作人员提供预警,及时采取措施,能够实现电网管理的精细化。
2.有效的风险防控机制
电网安全风险防控机制的建立要覆盖运行对象、运行状态、运行周期、运行中参与要素及外部环境等范围。要针对每一方面配备专业的风险抵御技术及管理方法,以确保所有细节都能得到有效额防控。
风险防控机制的建立过程中要伴随着风险抵御方法的升级,不断注入新技术、新理念,从而一步步实现风险抵御方案从离线预案和人工控制到辅助决策到智能决策和人工流程监控。
在电网特性方面的风险防控方面,电网安全风险防控机制要朝着多角度、全深度的方向发展,这就需要综合考虑设备的短路问题及电网的超负荷运输的风险防控,以增加电网的稳定性进而增加防控的稳定度。
此外电网的风险防控需要制定同步的各类计划,如实时运行、小时前运行计划、日前运行计划、未来中长期计划等,计划的目的就是在计划中预测未来,增加未来防控的准确性。
在此特别关注一下气象及环境方面的风险防控机制,环境方面的风险防控要切实跟踪环境的变化。因为自然环境和政策环境多具有不可控性,有许多电网的故障都是突如其来的气象环境变化造成的。因而要随时关注环境变化,及时采取有效的防控措施,并在发现环境变化是将其变化及时反映到调度运行中。
防控中要将人为差错也包含进风险防控机制中去,人的技术操作和管理方式,甚至人员的素质高低等都会对风险防控机制的运行产生影响。
3.电网评估机制
风险防控工作要做好基本的风险评估,也需要建立系统的风险防控体制机制,还需要有相应的防控措施的评估及实践调整,因此电网的评估机制也能致力于电网风险的防控工作。
电网的评估离不开科技创新的参与,着重的是掌握电网运行状况,并阶段性的对电网风险预测和风险防控机制的总结和改进。电网防控机制的进一步调整基于对电网情况的实时监视, 目的是为防控机制提供辅助意见, 以期电网能够应对千变万化的运行环境,更加安全、高质量的运作。
电网的运行伴随着一定的热稳定条件、静态电压条件、暂态的安全条件及小干扰稳定状态等,这些条件都需要伴随适时的评估环节,有效的评估能够稳定整个电网系统,为电网的风险应对提供及时的数据,为辅决策做参考。
三、结语
中国电网的发展正处于由传统电网向智能电网过渡的转折期,也是一个风险高发期,总结传统电网发展中场面临的风险及其应对措施,从而为转折关键时期的风险应对方法提供借鉴。
参考文献:
经济金融风险防控方案范文3
一、金融监管现状及对文创产业的影响
我国金融监管原先存在的矛盾进一步扩大,新的矛盾也会在新的时代和政策背景下逐渐显现。银行业,证券业,保险业三业雄踞,各司其职,各中相互关联,再加上外汇行业的兴起,虽然国家不会将其作为一个独立的金融行业另辟板块,但是将其与证券业相容和,势必在金融监管上将会出现更大的监管漏洞。无论是国际结算还是国家宏观调控都将出现困难。美国福汇作为最大的外汇商,日前受到美国监管,其做市商的罪名已被证实,并且被嘉盛收购,股市代码也有所改变,但是嘉盛具有同样的性质,只是其在法律性质中写明其做市商的前提,两者的结局就大相径庭,可见外汇行业的金融监管的难点以及法律方面角色和占位的缺失。我国近年来外汇事业有所涌现,国家将其纳入证券业只是用其进行宏观调控,对冲风险。美国新总统特朗普上台,局势动荡,金融行业的起伏很大程度上取决于美国总统能否实现他重贸易,弱美元的计划,国家的外汇存在风险,很多灰色经纪商也处于难以监管的范围,我国的金融监管困难重重。金融监管同时也要防范金融风险,防控金融风险不完全是传统意义上的房地产风险或企业债务风险,也包括金融领域内部加杠杆、影子银行和表外业务的风险,近年来银行信用风险加大,去产能、去库存力度加大,“僵尸”企业的出清给银行信用风险带来压力。我给金融监管现状惨淡,不作为与放任不管屡见不鲜,导致的各行各业的资金压力和资金风险也在加大,金融监管体制改革不能成为只提不实行的空话,我国金融监管体制改革任重而道远。金融行业难以得到有效监管,金融监管投资没有得到有效改革,金融就不可能很好地服务于实体经济,作为实体经济中新兴发展的文化创意产业,对于资金的需求和资金成本的敏感度较高,金融监管体制出现漏洞,则对于文化创意产业的发展很难实现真正的推动作用。2017年2月期末投资者数量达到11911.03万,新增投资者达到21.92万;期末投资者数量呈现逐年递增的趋势。虽然文化创意产业近年被提上发展重点,并且财政部2016年对文化创意产业的专项拨款达到44.2亿,但是相对于金融体制内的大量资金闲置和错配,文化创意产业任重而道远,金融监管体制改革迫在眉睫。相当多的金融机构在部分投资领域大力加杠杆,期限错配严重,而今年货币政策变化将对其造成影响,与此同时金融机构创新步伐加快,混业经营愈发明显,银行、证券、保险等领域风险的交叉传染可能性加大,新兴金融领域尤其是互联网金融,外汇投资领域等存在监管真空地带,填补欠缺漏洞要在源头解决,其潜在风险需要进一步关注。文化创意产业作为一个新兴的产业,涵盖广播影视、动漫、音像、传媒、视觉艺术、表演艺术、工艺与设计、雕塑、环境艺术、广告装潢、服装设计、软件和计算机服务等各个方面,为经济增长做出重要贡献,与此同时,国家有意扶持,并且希望借其实现产业结构的优化调整,以其为依托实现国民经济的新的增长点,两者各取所需,实现经济新增长。而金融本身存在的矛盾加剧,高泡沫,高杠杆没有得到很好的缓解,资本利用效率不高,金融监管漏洞大,监管各个环节相对薄弱,文化创意产业融资来源匮乏,银行融资贷款门槛较高,政府或者园区背书之外,初创型文化创意产业要实现新一轮的融资可谓难上加难,那么该如何实现文化创意产业的发展与金融业发展的结合?除了各自的规划发展与监管到位以外,供给侧改革在实现两者协调配合发展方面肩负了巨大的促进作用。
二、供给侧改革给文化创意产业带来了什么
供给侧改革从供给层面实现去产能,去杠杆,通过政策的实施来实现供需错配问题的缓解,实现产业结构的优化升级,促进国民经济稳定健康发展。从供给侧层面看金融,我们不难发现,改善金融供给与实体经济需求的供求关系,通过加大金融供给侧改革力度,提升金融配置效率,降低融资成本,满足实体经济融资需求,有助于实现金融、实体双发展。畅通金融为实体经济输送资本和活力的渠道,文化创意产业如果可以依托金融,实现融资简单化,并且政策层面通过税收优惠,土地减免,办公场所阶段性免费等措施,那么文化创意产业的发展道路将显得异常开阔,我们需要给文化创意产业注入新的活力和坚实的背景基础。供给侧改革带来的政策层面的支持对于文化创意产业来说是一个新的发展契机,也是发现新兴经济增长点,实现经济稳步发展的重要选择;供给侧改革下的文化创意产业将有更好的政策和基础背景实现与金融监管体制改革的协调配合。供给侧改革作为政策层面的强力支持,对文化创意产业来说是支撑的来源,也是文化创意产业之所以被提上重点的一个重要原因,文化创意产业享受供给侧改革的荫蔽,也在一定程度上证实了供给侧改革的正确导向性。
三、文化创意产业的发展动能
(一)加大金融供给侧改革力度,提升金融配置效率,降低融资成本,满足实体经济融资需求。深化金融体制改革,深化金融体制供给侧改革,调节杠杆,继续推进利率、汇率市场化改革,优化金融市场体系,改革完善金融监管体制,在保持市场流动性合理充裕的基础上,畅通金融支持实体经济传导机制,对于初创型文化创意企业,实行资金融通和基础设施配备支持,包括文化创意产业园的工作场地和设备的支持,适当的融资推介会等;对于成长性文化创意企业,通过其赢利点,为其提供特快融资渠道,实现融资对接,避免资金周转问题带来的企业发展青黄不接的窘境,与此同时,成长性文化创意产业对于市场需求和前景发展敏感度较高,市场的扩大需要良好的资金运作,资金渠道完善,金融监管体制改革,金融供给侧改革将为文化创意产业的发展带来市场保障前提。(二)防范外汇风险,促进文化创意产品的内销与出口。美联储加息周期启动以后,全球流动性整体收紧,给中国人民币汇率、外汇占款投放带来压力,国内流动性压力加大,外汇风险加剧。再加上美国总统换届,特朗普上台,他计划重视美国的对外贸易,对中国存在一定的抵触心理,弱化美元的,中国的美国国债势必受到影响,如果特朗普真正落实其计划的政策,那么美元空头即将来临,我国面临的的外汇风险将会加剧,防范外汇风险,金融监管体制改革也是迫在眉睫。但是单从出口层面来看,对文化创意产品的出口在一定程度上有促进作用,但是作为政策调控方来说,确实一个挑战,所以在促进文化创意产品出口的同时,要扩大内需,促进内销,实现经济真正拉动。在规避外汇风险的基础上真正实现文化创意产业的市场扩大,不宜以牺牲外汇资本自由度和政策自由度换取文化创意产业的发展,因小失大。(三)提升内生动力,实现新的赢利点。文化创意产业的兴起最初是通过政策层面的导向开始的,逐步通过“大众创业,万众创新”,创新创业的改革点逐步显现,而文化创意产业作为一个门槛相对较低的行业,同时,相比于其他实体经济初创型文化创意企业资金需求量相对较少,借此吸引了大批有想法,有计划的青年通过不断的创新,以及对文化创意产业的深刻理解,将自己的创新理念融入文化,文化创意产业的新发展出现了新的契机。实现新的经济增长点,不能仅仅依靠政策层面的支持,政府背书,政策背书,文化创意产业本身的发展动力才是真正促进文化创意产业新发展的依靠点。不断提升自身特色,促进产品的特色化,提升内生增长动力,得以实现新的盈利点。(四)扩大市场渠道,以特点吸引。文化创意产业作为一个一直存在但是近年来才被重视的产业,其市场前景良好,潜在消费人数增长快,消费增速快,所以,扩大市场渠道,开发潜在市场和潜在需求客户日益重要。通过不断的探索和实地调查,总结地域特色和特殊需求,制定不同的区域产品规划方案和地域特色销售方案。同时在金融监管体制改革所创造的金融条件下,利用资金优势和成本优势,依托区位优势和产品特色开辟新的市场,并且根据不同市场的消费人群的消费层次和消费偏好,预测市场容量和潜在消费人群,制定不同的销售策略,不断使得消费者数量接近预计值。(五)国内资本与外资相结合加之政策细则落实。国内资本与外资相结合,实现互利共赢,国内外资本将结合对于金融监管体制的要求更大,金融监管体制改革的重要性和必要性也日益凸显,在金融监管体制改革基础之上,依托不同的市场和区域,加上政策细则的逐步落实,文化创意产业可以依托政策背景和各种优惠政策,以文化创新点为基石,逐步发展壮大文化创意产业,实现国民经济稳定发展。
总而言之,金融监管体制改革和供给侧改革对文化创意产业的发展既是机遇又是挑战,金融行业包括银行,证券,保险等各个行业受到良好的监管,减少灰色监管地带,减少不必要的冗余和效率低下;政府切实落实供给侧改革,让供给侧改革不在只是一个名词和一个框架,从政策框架逐步落实为实施细则,实现“大众创业,万众创新”,切实推进文化创意产业的发展,为国民经济提供新的经济增长点,促进产业结构优化调整,实现社会经济稳定健康发展。金融监管体制改革推动供给侧改革下的文化创意产业发展,当然,前提在于金融监管体制得到有效改革,供给侧改革下的文化创意产业有内在的发展动能。金融监管体制改革势必在资本成本及资金供给等方面促进文化创意产业发展,供给侧改革也使得文化创意产业有了政府背书和政策背书,文化创意产业依托资金和政策获得了发展的必要条件;与此同时,供给侧改革下的文化创意产业发展所面临的问题以及亟待解决的问题也影响着金融监管体制改革,使得金融监管体制改革的步伐进一步加快,金融监管体制改革会以更有利于实体经济发展为导向之一,两者相辅相成,促进国民经济稳定健康发展。
参考文献:
[1]陶士贵.制度惯性中的金融监管体制改革.经济改革2016.10
[2]丁志杰.金融监管体制的主要问题及改革方向.甘肃金融2016.2
[3]王志成,徐权,赵文发.对中国金融监管体制改革的几点思考.国际金融研究.2016.7
[4]张祥志,尹靓.基于供给侧改革的的文化产业创造力激励研究.中国出版.2016.7
[5]殷军,皮建才,陈旭阳.供给侧改革背景下的产业选择.财经科学.2016.3
经济金融风险防控方案范文4
主要内容
对银行和信用卡支付卡授权商的系统风险管理。新加坡金管局在2013年6月21日了644号和644A号通知,并于2014年7月1日起开始执行。两个通知分别对在新加坡的银行和信用卡或支付卡授权商的系统风险管理做了安排。644A号文规定信用卡或支付卡授权商是被授权依法进行在新加坡开立信用卡或支付卡业务的个人。通知规定,银行和信用卡或支付卡授权商应该落实一个框架,处理识别核心系统,尽最大努力维持核心系统的高可靠性,确保每一个影响和授权商操作和对客户服务的核心系统的最大意外停机每12个月不超过4小时。并且银行和授权商应该建立一个修复时间目标(RTO,指从故障发生到系统修复的持续时间),对于每一个核心系统不超过4个小时。每12个月须至少验证并且记录一次核心系统在系统修复测试中的表现以及测试时间。一旦核心系统发生故障或事故,银行和授权商应在1小时以内通知新加坡金管局。在重大事件发生的14天以内,或者经当局许可的更长一段时间内,银行和授权商应向新加坡金管局提交一份根本原因和冲击分析报告。报告应该包括:重大事件的综合摘要、触发重大事件的根本原因分析、描述重大事件对银行的冲击、描述已采取的补救措施以解决根本原因和重大事件的结果。最后,银行和授权商应实施IT控制以保护客户信息免遭非法入侵和曝光。
有关IT外包的监管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》对外包商的监管作了明确规定。文件中指出,外包是指位于新加坡国内外的一个或多个提供第三方IT技术和设备的供应商,包括从系统开发、维护和支持到数据中心操作、网络管理、故障修复服务、应用托管和云计算。金融机构要落实正确的框架、政策和流程去评估、审批、复审、控制和监控所有外包活动的风险和实质。在与外包商签订合同之前,金融机构应该就所有的外包建议做一个彻底的风险评估,可以参考基于移动终端的信息化应用服务(MAS)的外包技术调查问卷作为进一步指导,金融机构在签订任何外包委托之前向服务商提交完成后的问卷。新加坡金管局没有直接涵盖对银行技术外包服务商(TSP-Technology Service Providers)的具体要求,而是要求金融机构确保外包商采用高标准的政策和流程以确保敏感信息的机密性和安全性,敏感信息例如客户资料、计算机文件、档案、目标程序和源代码。在与外包商的合同终止时,金融机构应该在有合同的保证下,可以快速移除或销毁所有的IT信息和资产。
对个人移动设备的监管。2014年9月26日,新加坡金管局了《Circular SRD TR02 2014》,对金融机构中“自带设备”所带来的风险进行了规定。文件中指出“自带你的移动设备”(BYOD)是越来越多的金融机构采用的一种相对较新的实践,让员工从他们的个人移动设备访问公司电子邮件、日历、应用程序和数据。但是“自带设备”相应地会增加金融风险,金融机构应该发展出一套综合的防止资料损失的策略,去保护敏感或机密的用户信息。一些不利于策略有效应用的因素包括几个方面,第一,隐私和个人使用的冲击。在“自带设备”环境中,雇员可以根据他们的选择自由在他们的移动设备上安装应用,并且拒绝安装特定的安全软件;第二,不同的设备组合。实施“自带设备”的金融机构将不得不支持大范围的设备,操作系统和应用组合。这将造成一个一致而有效的方式难以被应用于不同平台的混合环境;第三,缺乏对于设备升级的控制。在自带设备的环境中,雇员们可以随意在他们的个人设备上安装应用和运行软件升级,这可能给他们的设备带来安全漏洞和恶意软件。这将危及可由这些设备进入的金融机构的资料和公司系统,第四,移动安全方法的成熟性。移动的安全方法仍然普遍处于起始阶段。 两个常见的解决“自带设备”安全隐患的方法是使用移动设备管理和虚拟化。移动设备管理方面,在移动设备被许可进入公司网络之前,设备要被验证以确保没有被越狱或被嵌入的风险。移动设备管理方法也可以在一个沙盒环境(指在一个受限制的操作系统环境中执行一个应用去保护公司应用可能使用的资源)中管理公司应用、资料、政策和设置。这样做目的是允许雇员们自由地使用设备,同时使企业得以保护其工作环境。一个健全的移动设备管理方法应该被应用于所有的“自带设备”安排中。在虚拟化方面,允许雇员们通过一个请求式的入口从他们的移动设备进入公司的资源和资料,使用强力认证和网络加密。由于公司的资料在公司数据中心内部处理而不能被下载进入移动设备。在虚拟环境中严格的安全政策限制设备的复制和使用,例如打印机,可移动存储设备等,以帮助防止数据进一步的数据泄露。
新加坡金管局要求,如果金融机构不能够恰当地管理相关的安全风险,则不应该实施自带设备。金融机构要牢记保持警戒并且紧跟移动领域的技术进步和关注紧急威胁。定期在自带设备基础设施上实施漏洞评估和渗透测试以确保任何安全漏洞被识别并尽快做出调整。
对我国的启示
2006年银监会《银行业金融机构信息系统风险管理指引》(以下简称《指引》),填补了我国银行业信息系统监管领域的空白,为推动国内银行业信息科技风险管理奠定了基础。2009年3月,银监会对原《指引》进行修订,并重新定名为《商业银行信息科技风险管理指引》。新《指引》贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念。新《指引》规定,“商业银行法定代表人是本机构信息科技风险管理的第一责任人”。要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平。要求商业银行在信息系统开发、测试和维护以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。在新《指引》中,提出要构建信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计。
从银监会对商业银行信息系统风险管理的现场检查实践来看,主要有如下几个问题:高层的知晓度和参与度较低,存在重建设、轻管理的现象;信息科技风险管理三道防线的设置存在缺失、重合和分工不清晰的问题;信息系统开发风险须引起全行更多关注;银行业金融机构对灾难性、突发性事件的应对能力有待提升。
新加坡金管局从2001年开始开展信息科技风险监管工作,经过不断实践、探索,摸索出一套较为先进的监管做法。新加坡金管局的信息科技风险监管由现场检查和非现场监管构成。现场检查的工作方式有访谈、调阅资料、现场取证等,检查结束后金管局给金融机构检查意见书,金融机构要在三个星期内向金管局提交整改报告(已整改的问题、未整改问题的整改计划),金管局会在下次现场检查时核查整改情况。金融机构按照新加坡金管局的要求填报调查问卷作为非现场监管的资料。在处罚方面,罚款是处罚的一种方式,另一种处罚方式是提高存款准备金率。另外,新加坡金管局定期召集商业银行高管人员会议传达科技监管信息。金管局利用此种形式,向被监管机构定期讲解信息科技风险发展的最新形势,对金融机构进行技术辅导,警示风险,并介绍有关风险领域的解决方案。
结合新加坡的监管安排及我国银行及监管的实践,新加坡的监管经验对我国有一定的启发。
加强我国信息科技风险管理部门建设。大力度培养复合型信息科技风险监管人员,提高科技人员的业务监督能力,推动业务监管人员掌握信息科技监督知识。
进一步完善我国银行业信息科技风险监管的有关规章制度。有必要完善信息科技风险评估体系,系统分析银行业机构采取的风险防控措施的有效性,客观评价银行业机构信息科技风险管理水平;建立健全IT外包监管体系,建立IT外包监督流程,要求商业银行健全外包商的风险评估机制,加强对外包风险的识别和监控;进一步出台有关银行数据保护规范或政策,要求商业银行对数据进行分类、定级,确定不同的保护措施和方法。
向银行业及时提示信息科技风险信息。各级银行监管机构应定期召集辖内商业银行信息科技工作高级管理人员举办情况通报会议,每次会议选定重点关注的信息科技风险点,及时传达监管部门的工作意图,使商业银行能够及时获取风险控制手段和工作技巧。
因此,对于我国银行机构防控信息系统风险来说,有如下几点应予以重视。
加强对电子支付欺诈案件的防范。首先,网上支付安全最重要的基础是客户端的安全。MAS认为客户端安全的责任在银行而非客户本身,银行有义务对客户进行安全教育,并提供更安全和便捷的技术工具去增强客户端的安全性。其次,加快推广银行卡的EMV(芯片卡)和动态认证的实施进程。相对于磁条卡,EMV有安全性高和不易伪造的特点。在芯片卡的认证方式上,MAS要求银行发放动态和混合数据认证的芯片卡并逐步替代已有的静态数据认证芯片卡,以解决静态卡中可能存在的仿冒风险,以强化电子支付的安全性。
强化银行数据安全问题的关注。近年来国际上发生的一系列数据丢失并导致了客户资金被盗等恶性案件。如2009年8月德国某银行由于数据泄漏而导致了30万欧元的经济损失,2010年3月汇丰瑞士私人银行的一个IT员工窃取了该行24000个账户信息。新加坡金管局在其许多监管文件中都反复提到了数据泄露保护(DLP-Data Loss Prevention)。在IT外包,核心系统可靠性和个人移动设备管理上下大力气保护敏感信息的机密性和安全性。借鉴国际银行业数据中心先进经验,加强对银行数据中心、灾难恢复能力的建设。深入研究和解决目前在灾难备份系统建设方面存在的突出问题和技术难点。