收集:中国股票市场经济分析网
炒汇一定要注意防范IT风险
为有效管理外汇市场风险,银行业金融机构应加强炒外汇系统和风险管理信息系统建设。通过建设炒外汇系统,提高炒外汇效率,提高银行金融机构与客户、金融机构与炒外汇中心之间数据交换效率,并采取适用的安全保障措施,保障炒外汇系统和交易信息的完整性、可用性和保密性。通过建设外汇风险管理信息系统,采集炒外汇数据,建立风险分析模型,实现对即期资产、即期负债、远期买入、远期卖出项目下的主要币种当期余额进行统计分析,以达到对炒外汇市场风险进行有效管理。
概括來说,炒外汇系统与风险管理信息系统对提高银行业金融机构炒外汇效率,提高市场风险管理能力,降低炒外汇成本具有非常重要的作用。但信息系统也存在着双重性,随着银行业金融机构对计算机信息系统依赖性增强,信息系统也给炒外汇过程带來了一定的风险,主要表现在操作风险,即计算机信息系统的故障或失败给炒外汇带來的风险。除了操作风险外,信息系统的故障和失败也可能给金融机构带來法律风险及声誉风险。如何防范炒外汇信息系统操作风险,是银行管理层与监管当局需要研究的问题之一。
(一)炒外汇信息系统操作风险形成机制
操作风险的定义方式有两大类,即间接定义和直接定义。间接定义方式把操作风险定义为除信用风险和市场风险以外的所有风险。JPMorgan对操作风险的定义是一种直接定义:操作风险是各公司业务和支持活动中内生的一种风险因素,这种风险表现为各种形式的错误、中断或停止,可能导致财务损失,或给公司带來其他方面的损害。新技术的发展,尤其是信息技术的发展并在处理银行业务中的广泛应用,给银行业金融机构带來了潜在的风险。如:在炒外汇信息系统中,一些银行机构借助电子商务技术,使用Internet/Intranet、信息加密技术等信息技术为客户提供了无形的交易平台,打破了银行金融机构的经营边界,但也增加了系统操作风险。具体來说,炒外汇系统操作风险形成机制包括以下几个方面:
1、存取控制操作风险。对炒外汇系统及炒外汇信息的存取包括两种类型,一是对炒外汇信息处理设备及炒外汇信息进行物理存取,在物理存取过程中故意对信息处理设备或备份数据的磁带介质进行破坏,导致炒外汇系统中断,或不能持续提供交易服务,从而带來财务上的损失。二是对信息处理设备或交易数据、交易功能进行逻辑存取,恶意篡改数据,破坏数据的完整性,或伪造交易纪录,修改交易权限,从而给银行金融机构带來财务上的损失。
2、系统操作与维护操作风险。由于在系统开发与设计过程中,对系统未來的交易用户量、数据量增长情况预测不足,导致系统在运行过程因系统数据存储容量、系统网络数据交换能力、系统处理能力的下降所产生的交易瓶颈,并进一步影响系统正常交易过程。
3、人员操作风险。人员操作风险涉及炒外汇人员与系统管理人员等故意或无意的误操作给交易系统带來的风险。
4、系统开发与维护操作风险。在系统开发过程,由于数据输入、数据处理、数据输出过程存在着一定漏洞,系统运行过程就存在着一定风险。另外,在系统部署与运行过程中,系统用户权限不能得到合理的划分,同样也容易给系统带來操作风险,如系统开发人员在生产环境下,修改或部署应用程序,或系统开发环境、测试环境与生产环境不能实施有效分离
(二)防范炒外汇系统和管理信息系统操作风险的对策
为保障炒外汇系统为客户、银行类金融机构应提供安全、可靠、实时炒外汇,为用户提供不间断炒外汇服务,必须加强对系统操作风险进行管理。主要从以下几个方面对操作风险实施有效防范。
1、加强组织机构建设,是防范信息系统操作风险的前提。信息系统操作风险防范是管理层责任,管理层应制定有效的信息系统操作风险防范策略,建立适当的组织结构,明确操作风险防范责任,为防范信息系统操作提供组织保障。借助外部专家建议,或跟踪行业最新发展状况,适时改进和提高信息系统操作风险保障策略、措施和手段,提高信息系统操作风险防范能力。加强组织内部沟通与协调,加强组织内部操作风险评估,加强对组织内部有关人员风险防范意识和教育,以使操作系统风险防范措施落实到实处。借助内部或外部独立的审计部门,实施对操作风险策略、措施有效性的审计。
2、加强人员管理,降低人员对信息处理设备与信息的欺诈、盗窃、舞弊、不正当的操作带來的风险。一是招聘过程管理,对关键岗位的员工进行背景检查,签订有关保密协议。同样,对有关临时工作人员或合同人员也需要签订安全保密协议。二是加强对人员进行培训,对交易系统进行用户操作培训,保障用户正确使用系统。
3、加强存取控制管理,限制非授权用户访问。加强网络层、操作系统层、数据库系统、应用系统层存取控制管理,根据数据敏感程度,采取相应的安全认证体系与技术,保障授权用户合法访问数据,限制非授权用户对数据访问。定期评估、分析存取安全控制措施的有效性。
4、加强系统开发与运维管理,在系统开发过程中保障输入的完整性、正确性,保障数据处理过程的正确性,及对输出的数据进行检验与适当授权。总而言之,银行业金融机构应适时评估炒外汇与风险管理系统的操作风险,并结合信息系统操作风险管理最佳实践逐步改进操作风险防范措施,提高信息系统操作风险管理能力。