金融 *** 安全解决方案_金融科技 *** 攻击

hacker|
150

金融机构如何识别应对金融科技带来的潜在风险

金融科技发展应用给金融机构带来的潜在风险

互联网科技与金融的高度融合,使金融科技这种轻资产重服务的 *** 模式慢慢渗透到金融模型、业务类型中,逐渐对传统金融业务产生了鲶鱼效应和示范效应,并推动金融机构产生变革。然而, *** 虚拟环境信息不对称、交易过程透明度低、信息安全无法得到保障,使传统金融机构在原有声誉风险、系统性风险等宏观风险的同时,容易引发道德风险、技术风险、信用风险、法律风险、操作风险、市场风险、流动性风险等微观风险。

金融科技是互联网技术与传统金融结合的产物,金融机构在发展金融科技和与互联网公司合作时,面临诸多的问题,总结金融机构金融科技风险的动因,主要包括以下几个方面:其一,金融科技政策的模糊、法律的缺失、监管的滞后,容易引发法律风险、市场风险;如e租宝、大大集团等风险的频发;其二,互联网虚拟环境下的信息不对称、交易不透明、身份不确定,容易引发道德风险;其三,金融科技对信息系统的依赖性、可篡改性、受攻击性,容易引发技术风险;其四,金融科技与传统金融业务的交叉性、综合性、替代性容易引发系统性风险。

金融机构金融科技风险分类和风险识别

金融科技究其本质,它还是金融,其活动没有脱离资金融通、信用创造、风险管理的范畴,没有违背风险收益相匹配的客观规律,也没有改变金融风险隐蔽性、突发性、传染性和负外部性的特征。不仅如此,现代 *** 空间的多维开放性和多向互动性,使得金融科技风险的波及面、扩散速度、外溢效应等影响都远超出传统金融。金融机构开展金融科技业务主要风险类别有以下几方面。

(一)是金融机构布局金融科技P2P业务,容易引发信用风险。一方面,传统金融机构纷纷布局金融科技业务,由于我国信用环境不健全、信用录入数据不完整,容易引发信用风险;另一方面,传统金融机构为P2P平台提供资金托管服务,基于平台自身制定项目审核和资金管理,一旦平台出现信用问题,投资人的合法权益很难得到保障,容易引发对传统金融机构资金托管的责任追究,导致信用风险爆发。

(二)是金融机构与第三方支付、众筹和互联网理财等合作,容易引发法律风险。传统金融机构利用第三方支付渠道投资网上货币市场基金,逐步拓展到定期理财、保险理财、指数基金等,支付机构会利用资金存管账户形成资金池,从而导致备付金数量剧增,支付机构违规操作挪用备付金引发客户兑付困难,从而引发法律风险;与违规经营企业合作导致的非法集资、集资诈骗、洗钱等违法问题发生,容易引发法律风险。

(三)是金融机构搭建金融科技综合经营平台,容易引发操作风险。传统金融机构纷纷布局金融科技综合服务平台,将金融投资、融资服务、证券交易、基金购买等金融业务植入网上平台,通过打通银政保业务界限,提高综合化经营水平,增强客户粘性。金融科技平台的便捷性促使平台更新信息并便于用户操作,然而,一方面由于网上开户容易缺乏充分的投资者教育,容易引发投资者操作不当,另一方面,由于业务交叉容易引起内部控制和操作程序的设计不当,由此造成投资者资金损失或身份信息泄露,进而引发操作风险。

(四)是金融机构与P2P、互联网理财、互联网银行合作,容易引发流动性风险。一方面,P2P、互联网理财违规采用拆标形式对投资者承诺保本保息、集中兑付等,容易引发流动性风险。另一方面,第三方支付账户活跃度较高并投身到金融科技领域,存在着资金期限错配的风险因素,一旦货币市场出现大的波动,就会出现大规模的资金挤兑,从而引发流动性风险。

(五)是移动通信技术的发展与普及,容易引发信息技术风险。移动通信技术的安全性很大程度取决于 *** 平台的IT技术、风险识别技术、抵御黑客和病毒攻击技术。近年来,伪基站、伪造银行服务信息、信息“拖库”“撞库”事件频发,如果防备不当,极易发生信息技术风险。

(六)是金融机构涉及宝宝类货币基金业务,存在监管套利风险。一方面导致产品功能跨界。另一方面可能从监管标准不一中套利。例如,互联网“宝宝”类产品投资与银行协议存款资金不属于一般性存款、不需要缴纳存款准备金,被一些人士认为是一种监管套利行为。

金融机构金融科技风险应对机制

目前,监管部门已经着手金融科技行业跨界互联网理财和跨界金融业务规范的制定,传统金融风险应对机制已经不能适应互联网的金融创新。一方面,互联网业务在确立负面清单、行为监管和投资者适当性原则等方面通过创新科技监管防范风险;另一方面,加强对资产、资金端、投资者的分类保护强化风险控制能力势在必行。此外,根据《商业银行并表管理与监管指引》,无论是银行集团各附属机构之间、附属机构与其他金融机构之间的交叉产品和合作业务的协同,或是其所属机构的公司治理、资本和财务等,都必须在现有体制下进行全面持续的并表管控。因此,传统金融机构布局金融科技或者与相关企业合作时,为防范风险跨业传染,同样必须将金融科技的风险类别融入现行风险管理体系中,构建一体化全面风险管理体系,才能有效识别、计量、监测和控制并表后总体风险状况。

(一)合理把控金融科技内控风险,首先,应建立完备的金融机构防范金融科技风险内控机制,提高金融机构内部控制、操作管理以及抵御外部风险的能力,有效防范操作风险;其次,加强金融机构依法合规经营风险防范意识,增强员工的道德教育和行为管控,提高员工的职业素养,有效防范道德风险;第三,加强账户和资金流转监测,严格身份识别、交易审核、大额对账等;第四,建立金融机构子公司风险承担、风险转移的差异化经营策略,有效防范和化解声誉风险;最后,建立风险预警应急措施,对涉嫌非法集资、集资诈骗、洗钱等违法违规行为做到早预警、早处理、早报告,一旦发现采取清收措施,并快速启动司法保护程序,有效防范法律风险。

(二)加强金融科技信息科技风险防范,首先,提升金融科技核心技术水平,运行安全防范体系,如维护操作系统安全、防火墙技术、虚拟专用 *** 技术、入侵检测技术、金融信息和数据安全防范技术等,防范系统故障、黑客攻击、病毒植入等技术风险;其次,自建信用信息征集和应用系统,配合监管机构实现信息共享,运用信息科技技术实现现场与非现场检查,有效防范通过互联网技术进行的非法集资、集资诈骗、洗钱等犯罪活动,有效防范系统性风险;最后,运用先进的、大数据挖掘、区块链等技术,建立信用评估体系和风险预警模型,有效防范防止信息泄露等产生的法律风险。

(三)构建金融科技风险量化监测指标体系,首先,运用量化指标,分析金融科技运行、强化金融科技风险管理和宏观决策,金融机构可在资产品质端另列金融科技板块,定期提供金融科技产品流动性风险?信用风险与操作风险资本等量化指标风险监测。其次,可依托现行风控指标模型选择指标,例如经由横跨银行?证券与保险采用的流动性覆盖率(LCR)与净稳定资金比率(NSFR)防范兑付流动性风险,利用资产组合的五级分类监测防范信用风险,或者通过关键风险敞口提列资本来防范操作风险。最后,从综合统计的视角构建风险数据采集的基本框架,通过汇集金融科技子平台相关信息构建指标体系,形成一套与现行风险管理制度融合统一的监测框架,作为传统金融风险管理体系的补充。

(四)避免金融科技风险传染发生,首先,金融科技在大量客户的相互迁徙和交叉等日趋复杂化下,应制定单一用户画像?个别交易对象或关联企业所属集团?特定商品风险头寸?特定信息服务提供商等风险集中型态的限额,抵御交易过于集中而产生交叉传染的风险。其次,对于金融机构所属的不同网贷子平台可建立同一人、同一关联人或同一关联企业的信息系统,运用平台间借款金额阀值的动态风险调整机制,有效防范跨平台借贷行为可能产生的违约或者恶意诈欺风险。最后,建立金融科技板块重大突发信用事件通报机制,及早防范危机发生时的交叉感染风险。

银行风控发展趋势是怎样的?

趋势一:监管拓宽加深

监管范围正在持续扩大。麦肯锡预计未来十年内,加大消费者保护和“行为”监管的趋势仍将延续,甚至加快。那些信息不对称、高转换成本、不当和晦涩的建议、不透明或过于复杂的产品功能或定价结构都可能受到更为严密的审查。产品捆绑和交叉补贴也将更为困难,可以促使一些市场更公平地进行产品定价。

在某些情况下,如果客户可以改用更符合自身利益的其他产品,银行甚至有义务告知这一情况。或必须定期告知消费者更廉价的选择。这些趋势将会显著影响银行风险管理的方方面面。

一是,在监管框架内进行优化。

资本、流动性、融资、杠杆率以及恢复处置机制的建立可能会敦促银行构建符合所有监管限制的资产负债表和业务,在满足相关要求比率的前提下充分利用资金。这可能会限制银行的战略自由度,要求银行建立全新且具备高度分析能力的业务优化和战略制定流程。风险职能在这些领域作用重大,可扮演关键角色。

二是,银行能否光明磊落地披露自己的业务做法?

仅仅符合现有规则是不够的,如果银行要免受未来法规的回溯判决影响,就必需遵循一系列广泛原则。例如,银行要站在客户的角度检视自己的做法是否“公平”,是否能光明磊落地向客户、监管部门和公众完整披露自己的业务做法?如果不能,那么这就是一个明确的警告信号。银行可能需要评估整个销售和服务 *** ,审核端对端流程、定价结构及水平。

三是,消除人工干预,自动合规。

如今法律法规逐渐复杂,不合规问题愈加突出,银行只能在处理客户业务风险过程中尽量消除人工干预,把正确的行为固化到产品、服务和流程中。在无法实现自动化干预的领域,强有力的监督监控将会愈发重要,因为这是确保之一道防线错误率极低和第二道防线有效监督的唯一 *** 。

四是,与业务部门协作。

风险职能只有和业务部门加紧合作,才能沉着应对监管要求。银行要做到零风险全面合规,就要从一开始思考流程构成,而不是业务部门设计完战略或新产品后再追加马后炮。

趋势二:客户期望改变

未来十年内,客户期望改变和技术发展料将引发银行业巨变,使行业改头换面。届时,技术普及对客户而言可能就如家常便饭。

创新影响着价值链的每个环节,但最重要的颠覆可能发生在银行的业务承接和销售流程上。

回顾一下银行的基本业务模式就可以了解其中的盈利情况,将近六成的银行利润来自于业务承接、销售、分销和其他面向客户的活动。这些活动的净资本收益率达到了22%的诱人水平。

银行若要赢得这场客户关系战就要付出大量努力,要实现这一目标,风险职能就必须成为核心贡献者,在整个过程中与业务部门紧密协作,并强调两个重点:

一是自动化即时决策。

银行必须建立高度定制化的流程,快速实时响应客户要求(如开户、贷款申请等)。风险职能要帮助银行在无人工干预的环境下进行风险评估和决策制定。这通常要求银行出台大规模的零基础流程再设计,采纳更多非传统数据。专门为美英小企业提供贷款解决方案的公司Kabbage就是一个很好的例子。

申请者无需提交复杂冗长的文件便可通过在线途径快速便捷地申请贷款。Kabbage会评估各种数据来源(如PayPal交易、亚马逊交易、eBay交易信息和UPS发货量信息)。

目前,部分银行正着手设计更便捷的开户流程,大部分所需数据可通过公共来源预先填好,使客户受理体验尽量简单、做到衔接无缝和简短。在这种情况下,风险职能的挑战在于建立起一种安全友好的识别验证 *** 。

二是“一人细分客群”。

随着银行在客户细分和产品服务上更加成熟复杂,最终可能会建立“一人细分客群”,提供单人量身定制的价格和产品。不过此举也复杂化了相应流程,对银行来说代价不菲。为了保护消费者免受不当定价和审批决策的影响,监管部门也可能对银行设置诸多限制。

风险职能需要与运营和其他职能共同寻找对策,在提供高度定制化解决方案的同时妥善处理新问题。

趋势三:让技术和分析助力风险职能

科技不仅改变了客户行为,高级分析能力的发展也孕育了全新风险管理技术。层出不穷的新技术带来了成本更低、速度更快的计算能力和数据存储,推动了更有效的风险决策支持和流程整合。虽然未来十年还将出现大量未知的创新,并显著影响风险管理进程。这些创新因素包括大数据、机器学习、众包。

许多行业都已采用机器学习技术,比如天气预报、亚马逊产品推荐、谷歌垃圾邮件识别和奈飞(Netflix)建议都是很好的例子。某些银行已经开始在催收或信用卡欺诈侦测等领域开展试验,成效显著。

衡量模型预测能力的基尼系数也大幅改善。麦肯锡预计,银行的风险职能将在多个领域采用机器学习,如金融犯罪侦查、信贷审核、早期预警系统、零售和中小企业( *** E)客群催收。

互联网的普及推动了商业设想众包,许多企业正通过这种方式提高部分领域的工作效率。美国Allstate的保险公司举办了一场汽车意外保险理赔算法众包挑战赛,参赛者均为数据科学家。该公司仅用了三个月的时间便成功将模型预测能力提高了2.7倍。

许多此类技术创新都能降低风险成本和罚款。银行越早采用这些技术便能越早建立竞争优势。不过,保护客户数据隐私必须是一个重要前提。

趋势四:非金融风险类型正在出现

金融风险管理在过去20年取得了长足进步,但其他风险管理却更似原地踏步。

过去五年来,运营合规风险相关的罚款、损失、法律成本飙升,迫使银行不得不开始关注这些风险。比如传染风险、模型风险、 *** 攻击等,银行还需要建立风险职能新能力和新流程,管理跟踪上述新兴风险。

趋势五:通过消除偏见更科学制定风险决策

另一种风险来源于偏见导致的错误决策。银行风险职能需要加强偏见识别和除偏技巧。

偏见识别。之一步要评估银行的哪些风险决策可能受到偏见影响。一旦有了这方面的理解,就能更容易识别偏见、降低影响。这个步骤其实相当重要,因为制定风险决策的过程中始终会存在偏见。那大型企业用于贷款审核的模型也会存在同样的问题吗?相比于人脑制定信贷决策,使用模型的问题相对较少。

然而,在建模过程中仍然会多少存在偏见。传统的回归模型一般始于建模人员的假设,如哪些因素具备预测能力,并应该被纳入模型。机器学习借助算法自行找出风险动因,成为能有效解决偏见问题的新方案。

除偏技巧。银行可采用三种技巧减少或避免决策偏见:通过分析为决策制定者提供更多事实;善用辩论技巧消除对话和决策中的偏见;通过组织在企业中建立新的决策方式。

一个比较典型的案例是定性信贷评估(QCA)。全球多家银行已在新兴市场中小企业贷款审核环节用上了QCA,这些市场的财务数据往往缺失、不全或不可靠。在这种情况下,银行往往需要依靠来自专家的人工判断。

虽然此举会导致一些主观偏见的出现,但银行可以采取众多措施提高决策质量。通常银行会用研讨会的形式进行QCA,汇集一批更优秀的信贷主管共同识别一系列潜在的预测因素,然后根据历史亏损情况逆向测试进行筛选。

趋势六:大规模降本需求

银行系统在大部分地区和产品类别上都出现了缓慢但持续的盈利水平下滑。银行努力通过改善运营成本弥补利润率下滑,导致净资产收益率持续保持在长期平均值的低位。

资本要求提高及合规成本增加等一系列监管的进一步收紧、以及低成本数字化竞争者的出现都为银行带来了不少压力,麦肯锡同时预计,这种压力还会进一步加剧。某些产品更易受到影响,银行如果仍旧无所作为,到2025年,某些产品类别高达40%的收入将会面临风险。

既然颠覆性如此强大,银行必须重新思考运营成本构成,以更低成本创造更高价值。银行如果已经采用了零基础预算、增值分析(即需求管理)、外包等传统的渐进降本 *** ,简化、标准化、数字化将是剩下为数不多的大幅降本途径。

银行风险需要对加大投入节省风险成本,应对前文提到的多种结构性趋势。在现有行业和监管环境,克服挑战无捷径可走,银行需要在未来十年内重新思考部署这些决策。

值得关注的是,到2025年,银行的风险职能将对银行的成功发挥更加关键的作用。2025年,银行的风险职能可能会担任无缝、无偏见风险决策和全面组织监控的设计工作,通过降低风险和运营成本、提供直观的客户体验和引导银行合规等方式创造更大价值。业务承接、销售、分销和其他面向客户的活动。这些活动的净资本收益率达到了22%的诱人水平。

扩展资料

银行风险管理的实施

银行风险管理的目标能否实现,不仅取决于银行风险管理人员的知识水平和管理技能,而且还取决于银行的组织设置和管理方式等。银行风险管理的实施必须注重以下四方面的内容:

一是在经营上,必须采取稳健的原则,银行各部门的管理人员从经营决策到具体业务的操作,都必须考虑各种风险因素,在确保安全的前提下来寻求盈利的极大化。

二是在业务上,采取一系列风险分散或风险转嫁的自我保护措施,通过将风险管理数量化、具体化和制度化,确保风险在自身能够承受的范围之内。

三是在组织安排和部门设置上,要求银行设置专门的风险管理部门,并且强调与其他部门密切配合,定期对各业务部门制订的具体风险管理对策和目标进行检查和监督;并且将市场销售部和操作系统部分开设置,健全内部的制约机制。总之,银行在组织安排和部门设置上均必须体现防范风险的思想。

四是在财务上,采取稳健的会计原则,银行应在执行权责发生制的同时,按照稳健的会计原则,争取有关部门的支持,对呆账准备、应收未收款、盈余分配等方面作出适当的处理,以确保银行的资产质量,增强银行抵御风险的能力。

金融科技的系统性风险与巨大机遇

【中国金融案例中心 编译:李锡雯】

Megan Long认为,要想找到监管力度恰到好处的"宜居地带"(Goldilocks zone),即监督检查使金融机构受到控制的同时又不妨碍创新,就必须从基于实体的监管转向基于活动的监管。她通过最新的研究发现,完全不受监管和受到部分监管的金融参与者都导致了不成比例的系统性风险。但她认为这并不一定是监管过多或者过少的问题,而是由于监管角度和方向的偏差。比如,监管机构需要了解新兴商业模式的细微差别,并梳理出大型 科技 公司和传统银行之间的区别,而大型 科技 公司的监管模式本身也因司法管辖区的不同存在较大的差异性。

事实上,基于实体的监管自2008年全球金融危机以来一直存在,全球系统重要性银行(global systemically important banks,简称GSIB)和系统重要性金融机构(systemically important financial institutions,简称SIFI)是两种全球公认的基于实体的监管类型。然而Megan Long认为,当我们看到大型 科技 公司开始进入金融服务领域时,就应意识到建立不依赖于实体类型的法规的重要性,并利用基于活动的监督填补监管空白。

在一个拥有复杂数字供应链的世界里,很难在小漏洞变成大问题之前发现它们。这就意味着,无论是银行、保险公司还是金融 科技 公司,都只能在其 *** 中最薄弱的环节得到保护,而这些环节出现的问题可能来自其中任何一个参与者。许多机构都选择了第三方技术供应商来辅助运营,因此参与者之间的关系不再仅是双边的,有可能是多边的。Megan Long认为,金融机构将安全外包给其他参与者,一旦出现问题,追踪和问责都将十分困难,因此了解整个生态系统的风险变得尤为重要。

Megan Long还发现,非传统金融参与者正在与去中心化金融、数字资产、消费者金融数据聚合、区块链和加密资产交易所一起迅速发展。这些金融活动过于新颖,以至于尚不能看到全部的风险。而鉴于去中心化金融固有的去中心化性质,很难让一个集中的监管实体来监督这个新系统的活动。因此,集中式监管和去中心化金融之间的摩擦,对传统监管方式提出了挑战。

每个国家,甚至每个地区,都采取了不同的监管和降低系统性风险的 *** 。在全球范围内,监管的管辖权差异非常微妙,这些细微差别基于一个国家或地区的个别市场动态,并且会持续存在。那么是什么因素决定了一个机构能够导致的系统性风险以及在其中的权重?

"系统重要性金融机构"主要是基于传统因素来判断,如某家机构的资产账簿规模。然而, *** 规模或特定实体的数字互联规模正逐渐变得比业务或实体本身的直观规模更为重要。比如,从财务角度来看,亚马逊 *** 服务不会在当前的监管制度中被归为"具有系统重要性的机构",但作为全球四大云服务提供商之首,它处在当今金融体系健全运作的核心位置上。在这方面,中国监管机构已经指示中国 科技 集团蚂蚁集团在监管下成立一家金融控股公司。Megan Long认为,这表明中国司法机构正在积极识别他们认为构成系统性风险的实体,但至今尚未在西方国家看到类似的情况。

不过在欧盟,《数字服务法》(the Digital Services Act)中包含了针对大型 科技 公司的监管制度,旨在确保针对大型 科技 公司产生的不同运营风险进行充分管理。在Megan Long看来,这是一种宏观上间接的 *** ,可确保消除和解决导致 *** 攻击、跨境数据问题和其他系统性风险的漏洞。

目前,有多种新的影响力正在推动金融体系的变革,可以将它们分为四大类:社交媒体平台、基于 *** 的论坛和社区、私人消息平台和在金融界影响力人士。这些新的影响力带动了零售投资者进入到传统中只有成熟市场参与者才能进入的领域。但是,通过数字渠道传播的错误和虚假信息同时也能够轻易覆盖到无数用户,并且由于许多信息共享完全发生在金融生态系统之外,传统的消费者保护机制无法应对这种情况。Megan Long认为,这种病毒式的传播趋势势必会影响公众情绪,并引发股票买卖狂潮,这可能会损害市场参与者的利益并削弱他们对整个系统的信任度。

金融服务的主要系统性风险之一是一些人工智能应用程序和算法的固有偏见。Megan Long表示,生态系统参与者可以开始采用有助于解决人工智能决策过程的企业框架,并评估每个阶段所需的透明度水平。例如,可以考虑更简单的机器学习形式。Long概述的一个技术原型是"反事实公平"(counterfactual fairness):如果用于训练人工智能模型的数据包含对某些种族、性别或人口群体的 社会 偏见,那么最终这些模型随着时间的推移也会表现出相同的偏见;但是,如果开发团队能够考虑到并对这些不同的 社会 偏见进行处理,将有助于在涉及到算法偏见时解决透明度的问题。

新的数据来源也至关重要,以避免外生冲击的复合效应,这些外生冲击可能会危及系统参与者、国家和全球金融体系。在未来,边缘案例(仅在极端操作参数下发生的问题或情况)的出现将变得更加频繁,这就导致现存的数据无法对此做出预判。

因此,系统参与者应开始考虑加强他们的预警指标库,采购匿名的合成数据集,以帮助发现尚不存在的重要交互,并以 历史 数据作为样本进行模拟预测。此外,另一个正在 探索 的替代数据集是时空数据,其本质上意味着跨越空间和时间的信息。在涉及到不可预测或不可预见的未来案例时,这将有助于进行匹配,发掘出其中的模式。

Megan Long认为,当审视各个实体和司法管辖区的独立运作方式时,跨境数据共享是能够更好地利用可用数据的"首要操作"。数据必须自由共享,而不是保存在单个实体或国家的围墙内。在一个前所未有的互联世界中,只有承认将世界联系在一起的线索,才能够解决全球共同面临的挑战。

0条大神的评论

发表评论