“我们并不能完全防止次贷这样的危机,更不能防止那些愚蠢的人们去做傻事,但是,我们能够通过信息架构上的安全设置和风险控制来防止一些不必要的损失。”在全球知名信息安全产品提供商RSA的总裁Coviello看来,“法国兴业银行的丑闻是完全可以避免的。”
RSA于2006年被EMC收购后作为后者旗下的安全事业部独立运行。
11月8日,Coviello到访中国。此时此刻,金融危机所导致的金融业需求萎缩正让一众全球知名IT厂商忧心忡忡,放眼望去,一片裁员和业绩预警景象。市场分析机构Forrester Research的研究报告显示,金融领域占了美国IT总支出的18%。
尽管RSA的业务中亦有25%-30%来自于金融行业,但Coviello却向记者坦言,没有感到很深的冬意,“越是在金融危机的时候,安全防范就显得越重要”。
控制风险的商机
Coviello认为,这场金融风暴之所以会发生,关键在于对金融创新没有施加适度的业务风险管理。如果企业有一个适当的业务风险管理,再加上自动化的IT管理策略,两者相结合,就有可能给出一些预警的信号,帮助企业控制风险。
他表示,通过RSA的系统,可以防止诸如法国兴业银行丑闻那样的安全隐患。2008年1月,法国兴业银行的交易员热罗姆•盖维耶尔在未经授权情况下大量购买欧洲股指期货,最终给银行造成49亿欧元的损失。
RSA的实力自不待言,其所研究的动态加密算法已经成为了各大国际公司使用的标准。记者看到,在某跨国公司使用的VPN网络中,由RSA开发的加密算法在每30秒针对每个员工都会生成一个新的密码(服务器端和客户端同步生成),这就有效地防止了对于静态密码的破译。
而信息安全需求似乎也不是问题。专门提供金融机构数据风险管理解决方案的AIM公司与维也纳经济大学实施的对63个国家1700余家银行的研究表明,提高数据质量被认为是风险管理的关键性问题。同时,包括巴塞尔II协议和萨班斯法案在内的监管要求,正在推动着金融机构信息安全投资的大量增长。
今年9月,RSA法规遵从解决方案高级经理Dave Howell来访时亦特别强调了萨班斯法案对于企业内控的影响,以及必须借助IT手段来完成。由于中国也推出了自己的《企业内部控制基本规范》,Dave Howell希望RSA能够扩展这方面的市场。
在Coviello短短几天的中国之行中,其会见了工信部和中国银行业的相关人士,谈论的话题当然离不开“安全”。在中国市场,目前RSA拥有不少商业银行、大型企业客户,Coviello希望以后有可能扩大到政府机构。
22.4%的增长率
“目前国内银行一个比较大的问题是数据质量。特别是巴塞尔II协议的实施将给中国银行业带来前所未有的挑战。”国内信息安全厂商中信网络科技股份有限公司(下称中信网科)业务总监范磊向记者表示。
中国建设银行审计部副总经理杨军认为,从巴塞尔I到巴塞尔II的最大特点就是对风险的控制更加有效和动态。此前的巴塞尔I要求银行的资本充足率不能低于8%,核心资本充足率不能低于4%,给人感觉如果你达到了8%的要求,这家银行就是稳健的,“我们知道很多破产倒闭的银行资本充足率都不低于8%,自然就会有人怀疑这个资本充足率的有效性”。
2007年1月1日,巴塞尔II协议正式生效。而在1988年制定的巴塞尔I协议由于内容过于简单,已经无法很好地适应目前过于复杂的金融机构所面临的风险。杨军认为,巴塞尔II是希望银行能够建立一个比较稳健、完善的风险管理体系,再配合着资本充足率的要求进一步实现着稳健的银行体系的目标。
他认为,新协议的实施会对银行基础设施带来很大的促进作用,最明显的就是数据。
范磊表示,由于中国银行业改制不久,多数银行都无法达到巴塞尔II协议要求的5年交易数据的要求,“国内能满足3年高质量数据的银行寥寥无几”。
另外,由于国内银行规模差别巨大,各银行数据量也有千差万别,这给通过数据进行分析和挖掘都带来了极大的挑战。
“实际上,通过IT手段来进行银行业的审计和风险控制的过程,就是一个走向世界的过程。一方面,要适应国际规则,另一方面,也是为了发展适合自己的风控体系,从而加强国内银行在世界上的地位。”一位业内人士告诉记者。
另外,中国财政部、证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制基本规范》,该基本规范将于2009年7月1日起首先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。这是中国会计审计领域的又一重大改革举措,客观上提升了对信息安全的需求。
据IDC预计,2007-2011年,国内风险管理解决方案市场将以22.4%的复合增长率快速增长。有业内人士表示,近2-3年内,国内市场将迎来一个需求大量增长的时期。
本土厂商在追赶
据记者了解,目前中国国内重视审计模型建设的银行尚不算多,由于多数使用的是国外软件,因此,对于人员的要求非常高。
除了RSA开发的这类较为通用的安全产品之外,国内银行在数据分析方面多是租用SAS(statistical analysis system)软件。该系统由美国North Carolina州立大学开发,经过多年来的完善和发展,SAS系统在国际上已被誉为经典。
面对如此快速增长的市场,有意分一杯羹的不仅仅是RSA等国外解决方案提供商。就在国外巨头虎视眈眈的同时,国内企业也在这个尚属新颖的领域内开拓。
“我们的优势在于产品的自主性和灵活性。”范磊对记者表示,中国的贷款环境相对于国外要复杂得多,因此,建设具有一个符合中国国情的风险模型体系和风险预警平台比起国外厂商大众化的产品更加具有优势。
基于此,2007年5月,中信网科推出了自己的非现场审计系统。所谓非现场,就是利用IT手段集中所有的数据,通过对数据的挖掘来分析风险,从而不用审计人员再去现场,节省了成本并提高了效率。
“非现场审计的提出是对传统审计理念的一种突破,也是一种审计技术的突破,在未来的几年里,对审计的作业流程都将带来巨大的变革。”范磊向记者表示,信息技术的不断发展为非现场审计提供了坚实的“物质基础”基础,使审计“前移”成为可能。
据介绍,中信网科的非现场系统使用的数据挖掘和模型建设DAP平台(Data Analysis Process)是目前国内唯一一家自行研制的风险类平台。其设计理念是“以数据为基础,风险为导向,以可视化的风险模型建设来覆盖所有银行业务系统控制点”。
“经过中信银行内部的使用,发现这个系统非常有效果。”中信银行相关人士表示,该系统完成后,中信银行在三十个分支机构进行了压力测试,证明了该系统有足够的强度来完成复杂和繁多的处理工作。
11月15日,中信网科举办了一场审计信息化讨论会,与会者就包括各大银行审计部门的高管。“没有想到来得这么全。”中信网科市场主管陈海燕兴奋地向记者表示。
中信网科希望抓住目前的市场机遇,从银行业起步,并继续深入到保险、证券、信托、大型企业,除了审计管理之外,也帮助这些单位进一步构建高效的风险管理机制。