2019年FRM金融热点：网络风险

 今年FRM二级的current issues部分涉及7篇热点文章，分别关于网络风险、大数据、机器学习、风险转移、人工智能、金融科技变革的影响以及基准利率SOER。文章标题如下：

　　今年FRM二级的current issues部分涉及7篇热点文章，分别关于网络风险、大数据、机器学习、风险转移、人工智能、金融科技变革的影响以及基准利率SOER。文章标题如下：

　　Cyber Risk, Market Failures, and Financial Stability

　　Big Data:New Tricks for Econometrics

　　Machine Learning:A Revolution in Risk Management and Compliance?

　　Central clearing and risk transformation

　　Artificial Intelligence And Machine Learning

　　On the Fintech Revolution: Interpreting the Forces of Innovation, Disruption and Transformation in Financial Services

　　What is SOFR?

　　可以看出今年FINTECH主题可谓是大热，7个current issues里面有5个都与其有关，相比去年增加了两个。这第一期咱们就来看看一篇关于网络风险的内容。

　　“本期关键词：Cyber Risk 网络风险”

　　这篇文章来自国际货币基金组织的工作文件，讨论了网络风险的形成、影响与治理。作为一篇典型的科普性文章，结构脉络还是比较清晰的，非常正统地按照了概念介绍、提出问题、分析问题以及提出解决问题的建议这样的逻辑思路进行阐释。

　　什么是网络风险?

　　首先当然是从各个角度向读者介绍网络风险的相关概念了：

　　来源

　　由于互联网带来的损失不确定性就是网络风险。其中显著的一个风险就是对于金融系统的网络攻击。

　　网络风险的性质与特点

　　网络风险往往属于大面积的系统性风险。而网络攻击因为具有高频率、成本低、更新快、匿名性及隐蔽性高等特点，目前我们只能用“网络威胁地图”来获悉威胁等级。

　　评估网络风险事件的困难

　　网络事件经验不足;信息可获得性不够

　　从多个层面防控网络风险

　　包括公司层面、行业监管层面和政府层面。

　　公司本身层面来说，仅将网络风险看作一种内部操作风险，管理办法就是使用MOU(谅解备忘录)。

　　而对整体网络空间进行风险防控则需要上游建设和外部新技术，这远远超出了个体公司的能力，所以需要监管层面对行业制定标准，由监管当局进行外部监管。

　　当需要通过立法等形式进行更高水平的控制，或者面临更高层级的网络攻击，例 如 来自国际争端，则需要政府层面来解决。

　　网络事件成本

　　本部分的一个考点在于分辨成本的类型。

　　首先它可以分为直接成本与间接成本，需要注意的是，90%的影响来自看不见的、难以直接感知的间接成本，其中需要特别注意的是为了预防未来再出现风险事件而需要支出更高的(ongoing operational expenses)持续性跟踪成本。

　　其次，根据成本发生的四个阶段又可分为：prevention预防成本、reaction反应成本、impact management终止影响的成本、business recovery and remediation改进成本。

　　网络攻击的影响分析

　　由于网络事件损失的数据缺失、延迟等问题，很难估计影响。结论比较重要，那就是：虽然网络攻击损失很大，但是网络发展带来的GDP贡献大于风险损失。

　　网络风险管理

　　了解清楚了什么是网络风险及其严重性与危害性之后，就要进入到网络风险管理的部分，具体分为三种方式：

　　降低风险Risk reduction， 其中包括physical物理隔离、digital数据防范、human control measure人员控制以及持续性防御的措施

　　回避风险 Risk avoidance，包括重新设计服务流程和修改流程，但是新的流程还可能产生新的风险。

　　转移风险Risk transfer，包括买保险和使用第三方专业服务商。

　　接下来的第三部分就是联系实践，谈到了market failures即市场网络安 全性问题。

　　首先，市场出现网络安 全性问题的原因为：

　　信息不对称：网络用户的匿名性及网络空间的复杂性导致信息的缺失;公司会隐瞒被攻击的事实;国家出于战略安 全等考虑不会分享网络攻击事件的信息;很多公司缺乏网络安 全保护的知识，即使公开信息也没有用，还不如选择不吱声。

　　战略合作与外部效应：正的外部效应就是一家公司做好了安 全防范，对相同网络环境下的别的公司也有好处，但是还可能引发搭便车从而在网络安 全上投资不足，而软件漏洞是普遍存在的。

　　规模效应以及风险集中：网络安 全服务行业的寡头垄断导致可能产生的技术漏洞都是相似的，从而增 大了相关系数，使得网络风险是系统性风险;另外，相关行业的保险公司也是少数几家，也导致了风险的集中性。

　　其次，market failure导致金融市场的不稳定的原因为：

　　金融机构都着眼于自身的非系统性风险，视野狭窄，看不到系统性风险。

　　金融市场系统性风险的主要来源：金融网络登陆系统的路径太多，只要有一个存在漏洞就会带来整个系统的脆弱性;重要金融机构集中会受到更多的关注与集中攻击;传染效应，即一家金融公司的安 全出问题会引发恐慌、引起业务相似的别的公司也发生挤兑等问题。

　　如果利用FRM知识管理网络风险

　　第四部分就应用到了FRM操作风险管理部分的知识，即将网络风险作为操作风险来进行监管：

　　要求行业建立 低标准，解决信息不对称的问题，从而画出损失分布来计算非预期损失计算相应的资本需求;还要建立风险事件的汇报机制，通过分享信息、进行及时完善的数据收集才能进行风险评估定价;并且需要建立好共享与合作机制，快速定位到攻击位置。

　　政府思维方式也要改进，不能仅仅将网络风险当做IT风险，要认识到它是会导致系统性风险的，并且要会预测和评估未来的风险点。

　　作者针对各方如何增强抵抗网络风险的弹性给出了一些措施建议：

　　从公司层面来讲：要降低登陆脆弱提高弹性：建立白名单;标准化的系统权限设置;定期评估和更新软件系统;限制管理员数量与权限;思想方面要重视在网络安 全方面的投资。

　　从政府监管层面来讲：政府作为一个公开角色制定行业标准来完善信息分享机制，并通过各种方式保证信息的隐私性，鼓励公司来分享信息，从而努力减少信息不对称的问题。

　　另外要注意的是：因为事前监管ex-ante regulation与事后管理ex-post liability哪个更好没有定论，所以两者结合起来，并且监管架构要进行不断地重新定义，保持与时俱进。同时，国家之间的合作也很重要，政府必 须保证合作以及防范网络风险成为一个系统性风险。