《风险管理框架:建立一个安全并且合规的交易架构》由会员分享,可在线阅读,更多相关《风险管理框架:建立一个安全并且合规的交易架构(13页珍藏版)》请在金锄头文库上搜索。
1、白皮书 版权所有 2009 思科系统公司。保留所有权利。本文档属于思科的公开信息。 第1页,共13页 风险管理框架:建立一个安全并且合规的交易架构 简介 金融机构的企业架构通常是围绕着功能和运营要求来建立的。安全性和合规性的需求通常由相互 独立的业务组和技术组来实现,往往导致解决方案重叠、功能不满足或两者同时出现。由于有跨 职能数据的要求,安全性和合规性事务渐渐成为业务的重要组成部分,而上述这种架构性的功能 缺陷将成为业务发展的障碍。当业务方面的工作急需满足新法规要求时,由于没有全企业统一的 计划,而导致成本增加,服务滞后,以及管理紊乱。 根据当今安全性及合规性的需求,思科为金融界的客户创建了
2、一个功能强、运维方便可靠的交易 层架构,为企业提供了一个全面的解决方案,从而避免了解决方案的重叠,为及时满足新法规的 要求奠定了基础。本白皮书定义了思科功能性强、运维可靠、遵从法规、安全(FORS)的框架,并 解释了思科及其金融业合作伙伴怎样在此框架定义的范围内合作,以满足目前交易环境中严格的 要求。 风险管理需要架构的更新 可以说,恐惧、不确定和怀疑恰如其分地描述金融行业的特征。次贷资产大减值导致了市场的大 幅度波动,不可预测的情况。为了保持竞争力,全球的交易场所在不断合并,从而加快了金融市 场全球化的步伐。根据美国证券业和金融市场协会(SIFMA)2006年发布的一份报告,1982年至 2
3、006年美国占全球市场资本的总额从56%跌至36%,于此同期新兴市场占全球市场资本的总额从 37%上升至57%。 除了变化无常的市场环境之外,安全违章和故意欺诈事故也在不断攀升。因此,法规的数量 也越来越多,运营的合规性也变得更为重要。针对零售银行业的格雷姆-里奇-比利雷法案 (Gramm-Leach-Bliley Act),以及针对金融市场的全美市场系统规则(Reg NMS)和金 融工具市场指南(MiFID),就是政府机构应对各种安全违规事故、为投资者提供公平市场环境 而制定的法规的范例。违规运营的后果不堪设想,不仅会影响金融机构的竞争能力,而且还威胁 到金融企业的生存问题。 当今的金融机构
4、依赖技术来应对不断变化的业务、安全和法规中隐藏的风险。可以说,在任何交 易层架构上都支持诸如提高数据容量和带宽、部署实时平台、开发挖掘游资工具的技术部署。但 是,降低风险的两个关键技术必须在架构层面上优先实现:(1)建立一个综合化的全球风险模 型;(2)建立并实现IT架构管理模型。 业务职能与合规性职能彼此分离的方法过于陈旧,已不适宜用来实现企业综合化的全球风险管 理。业务和技术架构部门在满足法规和安全需求时,必须通过更新和扩展企业架构来降低风险。 白皮书 版权所有 2009 思科系统公司。保留所有权利。本文档属于思科的公开信息。 第2页,共13页 综合性的整体化架构方法 目前,金融业的风险包
5、括运作、信用、市场、安全和合规性这几个方面。建立一个不但可以满足 业务需求而且还可以满足技术要求的业务管理环境至关重要,各金融企业开始认识到这种综合化 和现代化业务管理环境的必要性。达到此目的的最有效方法是采用一个整体的企业架构方式来解 决。 大多数成功的金融企业都有较成熟的企业架构,从而可大力采用这种整体企业架构的方法来满足 职能和运营需求。职能系统务必满足在竞争中取胜所需的业务要求,而运营系统则必须满足可用 性、可靠性和灾备复原的要求。 今后,企业必须把过去分布在不同独立部门的安全和合规性措施与企业职能和运营架构的开发流 程整合在一起。合规性将着重于不同的行业规则以及不同国家的法规。安全性
6、将着重于怎样为雇 员和业务合作伙伴提供一个安全的交易环境。这些着重点必须在不削弱现有职能和运营架构实力 的情况下,整合到核心架构中,从而使企业保持竞争力。如果能把所有这些方面整合到一个强 大、完整的架构中,那么企业就可: 减低市场、信用、运营、和声誉这四个方面的风险 更好地满足政府法规的要求 提供在被管制市场中参与竞争所需的职能 在企业内部为客户及业务合作伙伴提供安全贸易交易和互动的环境 保护企业的重要资产(客户信息、企业信息、知识产权和基础设施) 向监管机构提供高效的安全和合规性监控、操作、管理和报告流程 思科的远景:FORS模型 FORS模型是一个用于建立包含以下四个关键方面的交易场所架构
7、:职能、运营、法规和安全(如 图1所示)。该架构着重于这些方面的相互依赖关系,并使用整体企业架构方法来减少重叠并尽量 缩小整个企业职能的缺陷。使用FORS框架有助于确保企业各架构单位在每次更新职能和运营架构 时满足合规性要求,并且在更新安全与合规性时也能满足职能和运营的需求。 白皮书 版权所有 2009 思科系统公司。保留所有权利。本文档属于思科的公开信息。 第3页,共13页 图1 FORS模型 功能性强 运营可靠 遵守法规 安全 我们的目标: 安全及遵守法规的架构 通常是一种事后弥补的 片面方法 传统关注点: 定义清晰和成熟 架构各方面之间的相互依赖关系 职能、运营、法规和安全是金融企业架构
8、中四个相辅相成的方面。在传统的企业架构核心上扩充 安全与合规性功能时,架构师需要理解和考虑职能和运营的相互依赖关系。确保合规性和减小风 险的过程涉及到所有四个方面。 图2 架构各个方面之间的相互依赖关系 遵循法规的要求可能会影响 到架构的其它三个方面:职 能、运营和安全。 对安全性的要求可能会影响 到架构的职能和运营方面。 功能性强 运营可靠 遵守法规 安全 行业法规 业务要求 新出现的威胁 企业风险政策 业务需求 白皮书 版权所有 2009 思科系统公司。保留所有权利。本文档属于思科的公开信息。 第4页,共13页 与法规相辅相成的关系:合规性要求可能影响职能、运营和安全架构中的任何一个方面或
9、各个方 面。但是,对各方面产生的影响可能因法规而异。例如,Reg NMS对职能和运营的影响极大。它 要求企业以最优惠价成交,迫使业者采用低延时执行系统;此外,由于要用最优惠价成交,业者 必须与各交易场所相连,处理多种来源的大量行情数据,在交易执行前到处问价, 以确保每笔交 易以最优惠价成交,因此,它对运营和职能这两方面的影响极大。相反,格雷姆-里奇-比利雷法 案(Gramm-Leach-Bliley Act)则注重于多要素认证,而萨班斯-奥克斯利法案(Sarbanes- Oxley Act)则注重于基于身份和职责认证以及交易场所接入管理的要求,这两份法案对安全方面 的影响较大。 与安全性相辅相
10、成关系:安全性与合规性、职能和运营三方面存在着双向关系。对安全性的更改 可能会影响其它方面;或者是架构中其它方面的更变会影响到安全性。例如,在无线和移动性解 决方案中,虽然安全架构已提升了支持无线的部署,但安全问题仍然延缓采用无线的进程。 整体方法 FORS框架的第二个重要组成部分就是整体企业架构,它是以公开标准化架构框架(TOGAF)为 基础的,包含一个企业所有业务和技术方面的行业标准。业务需求的变化以及由此带来的相关架 构的修改和使用,对企业端到端的应用是有影响的,对这种影响的评估需要一种高层的、自上向 下的方法。不同的法规要求对业务和技术系统所产生影响可能相似,从而导致对遵守法规的需求
11、出现重叠。如果没有一个整体观念,可能会导致把相似或相同的解决方案用于不同的法规上,或 者一些必须的功能却被忽略了。 图3显示了企业架构方法如何帮助我们建立一个典型交易环境的端到端视图。这种视图有很多好 处,包括: 提供一个完整的交易环境的职能和架构视图 有助于使业务需求贯穿于应用和基础设施 提供一个可用于评估前台、中台与后台之间的职能和架构变化带来影响的基线视图。 白皮书 版权所有 2009 思科系统公司。保留所有权利。本文档属于思科的公开信息。 第5页,共13页 图3 一个交易环境的企业架构视图 前台中台后台 职能视图 架构视图 业务服务应用系统基础设施 订单管理订单转发订单捕获合规性安全预
12、防审计 信用风险 管理 市场风险 管理 运营风险 管理 位置管理 OMS(订单 管理系统) 行情数据 系统 订单执行 系统 行情数据 输入 消息通信 总线 交易工作站 电子通讯网 /交接网络 企业LAN和WAN 直通处理系统 市场连接 CEP系统 - 综合事件处 理系统 ECN -电子 通讯网 交易层广播 系统 输入处理 程序系统 交易员 移动性 交易捕获 与记录 数据存储 数量分析 EDM - 电子 文件管理 账务处理 系统 遵从性工具 交易处理 新闻交付 系统 TCA (成本 估算) 定价引擎/ 数据 中间件 DMA (市场 直接接入) 交易员分析 行情数据 系统 新闻/调研 输入 计算群
13、电子通讯网 金融信息 交换器 交易员电话 系统 CEP -综合 事件处理 违规检测 装置 语音/视频 记录 算法引擎 新闻/调研 处理 清算系统 客户数据 管理 账务处理 系统 执行风险 分析 调研交付 风险建模 系统 TSA (时间 序列分析) 算法引擎 调研 客户账户 管理 清算/结算 交易确认 报告 财务对账 P&L(盈余及 亏损报告) 交易对手 风险 管理分析 FORS模型的应用 本白皮书的其余部分将重点介绍如何使用FORS模型来识别当前金融市场法规和安全需求带来的 影响,以及如何开发相应的架构和一系列解决方案。此外,了解FORS模型的使用方式有助于说 明当今使用一个整体化框架的价值,
14、并进一步说明该框架怎样来满足将来的法规和安全要求。 合规性 影响金融服务行业的法规有好几个。本白皮书介绍对交易环境产生重大影响的四部主要法规: Reg NMS、MiFID、Sarbanes-Oxley和新巴塞尔协议(Basel II Accord)。 把FORS模型应用于这四部法规清晰显示了这些法规对交易场所前台、中台和后台各方面的业务 流程、应用系统和基础设施所造成的影响(如图4所示)。审阅和理解这些法规对业务端到端的 影响极其重要,因为法规几乎会影响到业务和技术的各个方面,并且不同的法规可能有相似的要 求。通过端到端的研究可以理会到解决方案的不同用途,从而避免投资重复,降低成本,提高运 营
15、效率。 白皮书 版权所有 2009 思科系统公司。保留所有权利。本文档属于思科的公开信息。 第6页,共13页 图4 监管法规对交易环境的影响 前台中台后台 职能视图 架构视图 业务服务应用系统基础设施 订单管理订单转发订单捕获合规性安全预防审计 信用风险 管理 市场风险 管理 运营风险 管理 位置管理 OMS(订单 管理系统) 行情数据 系统 订单执行 系统 行情数据 输入 消息通信 总线 交易工作站 电子通讯网 /交接网络 企业LAN和WAN 直通处理系统 市场连接 CEP系统 - 综合事件处 理系统 ECN -电子 通讯网 交易层广播 系统 输入处理 程序系统 交易员 移动性 交易捕获 与
16、记录 数据存储 数量分析 EDM - 电子 文件管理 账务处理 系统 遵从性工具 交易处理 新闻交付 系统 TCA (成本 估算) 定价引擎/ 数据 中间件 DMA (市场 直接接入) 交易员分析 行情数据 系统 新闻/调研 输入 计算群电子通讯网 金融信息 交换器 交易员电话 系统 CEP -综合 事件处理 违规检测 装置 语音/视频 记录 算法引擎 新闻/调研 处理 清算系统 客户数据 管理 账务处理 系统 执行风险 分析 调研交付 风险建模 系统 TSA (时间 序列分析) 算法引擎 调研 客户账户 管理 清算/结算 交易确认 报告 财务对账 P&L(盈余及 亏损报告) 交易对手 风险 管理分析 Reg. NMSMiFIDBasel IISOX 让每部法规的影响与交易环境一一对应有助于确定遵从法规所需的各种控制措施。控制措施可包 括人员、流程和技术,并且在不同法规之间可能存在细微差别。例如,要确保Reg NMS所要求的 最佳执行,只需保证以最优惠价成交;但是要确保MiFID所要求的最佳执行
