做外汇Forex应注意防范的IT风险Risk

　　为有效管理外汇Forex市场风险RiskMarket Risk，银行业金融机构应加强炒汇系统和风险Risk管理信息系统建设。通过建设炒汇系统，提高炒汇效率，提高银行金融机构与客户、金融机构与炒汇中心之间数据交换效率，并采取适用的安全保障措施，保障炒汇系统和交易信息的完整性、可用性和保密性。通过建设外汇Forex风险Risk管理信息系统，采集炒汇数据，建立风险Risk分析模型，实现对即期资产、即期负债、远期做多、远期做空项目下的主要币种当期余额进行统计分析，以达到对炒汇市场风险RiskMarket Risk进行有效管理。

　　概括來说，炒汇系统与风险Risk管理信息系统对提高银行业金融机构炒汇效率，提高市场风险RiskMarket Risk管理能力，降低炒汇成本具有非常重要的作用。但信息系统也存在着双重性，随着银行业金融机构对计算机信息系统依赖性增强，信息系统也给炒汇过程带來了一定的风险Risk，主要表现在操作风险Risk，即计算机信息系统的故障或失败给炒汇带來的风险Risk。除了操作风险Risk外，信息系统的故障和失败也可能给金融机构带來法律风险Risk及声誉风险Risk。如何防范炒汇信息系统操作风险Risk，是银行管理层与监管当局需要研究的问题之一。

　　(一)炒汇信息系统操作风险Risk形成机制

　　操作风险Risk的定义方式有两大类，即间接定义和直接定义。间接定义方式把操作风险Risk定义为除信用风险Risk和市场风险RiskMarket Risk以外的所有风险Risk。JPMorgan对操作风险Risk的定义是一种直接定义:操作风险Risk是各公司业务和支持活动中内生的一种风险Risk因素，这种风险Risk表现为各种形式的错误、中断或停止，可能导致财务损失，或给公司带來其他方面的损害。新技术的发展，尤其是信息技术的发展并在处理银行业务中的广泛应用，给银行业金融机构带來了潜在的风险Risk。如:在炒汇信息系统中，一些银行机构借助电子商务技术，使用Internet/Intranet、信息加密技术等信息技术为客户提供了无形的交易平台，打破了银行金融机构的经营边界，但也增加了系统操作风险Risk。具体來说，炒汇系统操作风险Risk形成机制包括以下几个方面:

　　1、存取控制操作风险Risk。对炒汇系统及炒汇信息的存取包括两种类型，一是对炒汇信息处理设备及炒汇信息进行物理存取，在物理存取过程中故意对信息处理设备或备份数据的磁带介质进行破坏，导致炒汇系统中断，或不能持续提供交易服务，从而带來财务上的损失。二是对信息处理设备或交易数据、交易功能进行逻辑存取，恶意篡改数据，破坏数据的完整性，或伪造交易纪录，修改交易权限，从而给银行金融机构带來财务上的损失。

　　2、系统操作与维护操作风险Risk。由于在系统开发与设计过程中，对系统未來的交易用户量、数据量增长情况预测不足，导致系统在运行过程因系统数据存储容量、系统网络数据交换能力、系统处理能力的下降所产生的交易瓶颈，并进一步影响系统正常交易过程。

　　3、人员操作风险Risk。人员操作风险Risk涉及炒汇人员与系统管理人员等故意或无意的误操作给交易系统带來的风险Risk。

　　4、系统开发与维护操作风险Risk。在系统开发过程，由于数据输入、数据处理、数据输出过程存在着一定漏洞，系统运行过程就存在着一定风险Risk。另外，在系统部署与运行过程中，系统用户权限不能得到合理的划分，同样也容易给系统带來操作风险Risk，如系统开发人员在生产环境下，修改或部署应用程序，或系统开发环境、测试环境与生产环境不能实施有效分离。

　　(二)防范炒汇系统和管理信息系统操作风险Risk的对策

　　为保障炒汇系统为客户、银行类金融机构应提供安全、可靠、实时炒汇，为用户提供不间断炒汇服务，必须加强对系统操作风险Risk进行管理。主要从以下几个方面对操作风险Risk实施有效防范。

　　1、加强组织机构建设，是防范信息系统操作风险Risk的前提。信息系统操作风险Risk防范是管理层责任，管理层应制定有效的信息系统操作风险Risk防范策略，建立适当的组织结构，明确操作风险Risk防范责任，为防范信息系统操作提供组织保障。借助外部专家建议，或跟踪行业最新发展状况，适时改进和提高信息系统操作风险Risk保障策略、措施和手段，提高信息系统操作风险Risk防范能力。加强组织内部沟通与协调，加强组织内部操作风险Risk评估，加强对组织内部有关人员风险Risk防范意识和教育，以使操作系统风险Risk防范措施落实到实处。借助内部或外部独立的审计部门，实施对操作风险Risk策略、措施有效性的审计。

　　2、加强人员管理，降低人员对信息处理设备与信息的欺诈、盗窃、舞弊、不正当的操作带來的风险Risk。一是招聘过程管理，对关键岗位的员工进行背景检查，签订有关保密协议。同样，对有关临时工作人员或合同人员也需要签订安全保密协议。二是加强对人员进行培训，对交易系统进行用户操作培训，保障用户正确使用系统。

　　3、加强存取控制管理，限制非授权用户访问。加强网络层、操作系统层、数据库系统、应用系统层存取控制管理，根据数据敏感程度，采取相应的安全认证体系与技术，保障授权用户合法访问数据，限制非授权用户对数据访问。定期评估、分析存取安全控制措施的有效性。

　　4、加强系统开发与运维管理，在系统开发过程中保障输入的完整性、正确性，保障数据处理过程的正确性，及对输出的数据进行检验与适当授权。总而言之，银行业金融机构应适时评估炒汇与风险Risk管理系统的操作风险Risk，并结合信息系统操作风险Risk管理最佳实践逐步改进操作风险Risk防范措施，提高信息系统操作风险Risk管理能力。