国有行数字货币 （ CBDC ） 信得安全和国有行操作风险 （ 汉 ）

风险管理协商小组 央行数字货币（CBDC）信息安全和央行运营风险 运营生命周期风险管理框架 2023年11月 国际清算银行美洲代表处 该出版物可在BIS网站（www.bis.org）上获得。 ©BankforInternationalSettlements2023.Allrightsreserved.Briefexcerptsmaybereplicatedortranslatedprovidedthesourceisstated. ISBN978-92-9259-717-7（在线） Contents 前言4 执行摘要5 导言7 1.设计选择8 选择特定CBDC模型的注意事项9 核心因素10 外部因素11 内部因素13 2.CBDC的操作风险-分类和分析18 在采用CBDC之前定义风险概况19 风险偏好和容忍度水平指导CBDC风险状况20 对风险进行分类21 映射CBDC风险22 2.1.经营风险23 缓解措施25 2.2.与CBDC相关的技术风险25IT缓解措施27 2.3.与CBDC相关的第三方风险管理28 第三方类型和角色28 第三方风险类型28 第三方风险和基础设施29 第三方风险和CBDC架构30 应对第三方风险的缓解措施31 2.4.业务连续性风险管理：一个关键组成部分加强CBDC弹性32 从BCP到弹性框架34 从工作队的分析中获得的见解：走向综合风险管理和弹性36 3.网络安全是CBDC的主要风险37CBDC网络安全威胁格局37 网络安全风险分类41 分析方法44 见解和观察53 4.其他相关非财务风险54 法律和合规风险54 法律和合规风险的潜在缓解策略57 2企业风险58 CBDC信息安全和中央银行的运营风险 ESG风险60 项目风险60 IRM框架在CBDC中的实际应用示例评估62 结论63 参考文献66 附件-咨询小组设立的CBDC工作队成员美洲中央银行的风险管理71 前言 引入中央银行数字货币（CBDC）将对发行中央银行的操作及其面临的风险产生深远的影响。两者都将主要取决于所采用的特定设计以及中央银行内部和外部的大量因素。本报告分析了发行中央银行的运营，技术，第三方和业务连续性风险。因此，它为CBDC的其他工作提供了有益的补充，这些工作往往侧重于它们对金融稳定、货币政策和更广泛的经济的影响。 该报告提出了一个综合风险管理框架，可应用于CBDC的整个生命周期，从研究和设计阶段到实施和运营。它讨论了中央银行需要采取的许多设计选择的含义，并提出了识别和减轻CBDC给发行机构带来的风险的工具和流程。为了使CBDC成为可靠的支付手段，中央银行还需要解决中断或中断的风险，并确保完整性和机密性。一个关键风险是中央银行内部能力和技能的潜在差距。虽然许多与CBDC相关的活动原则上可以外包，但这样做需要有足够的能力来选择和监督供应商。 该报告是国际清算银行成员中央银行在美洲风险管理协商小组（CGRM）内开展的工作的成果，该小组汇集了巴西，加拿大，智利，哥伦比亚，墨西哥，秘鲁和美国的中央银行代表。工作队由智利中央银行的DiegoBalliviá领导；小组由墨西哥银行的AtoietaCampa，智利中央银行的MaríaJesúsOrellaa和国际清算银行的DavidWhyte领导。国际清算银行美洲办事处担任秘书处。 迭戈·巴利维安·亚历山大·汤姆比尼工作队美洲首席代表主席 智利中央银行国际清算银行 执行摘要 中央银行数字货币（CBDC）是中央银行发行的数字货币。就像实物货币一样，CBDC是以国家账户单位计价的支付手段，是中央银行在特定司法管辖区的负债。在过去三年中，全球从事CBDC的中央银行数量增加了两倍，截至2023年中期，达到130家。 CBDC有潜力推动创新，促进金融包容性，并创造一个能够创建下一代支付应用程序和数字业务的环境。同时，引入CBDC可能会对金融和支付系统的运行和稳定性产生重大影响。与可用设计选择有关的决策将影响发行CBDC的中央银行面临的风险的性质和大小。因此，重要的是要仔细识别、评估和解决这些风险，以满足CBDC的用例和目标，并解决性能、互操作性、隐私和安全性之间不可避免的权衡。特别是，在CBDC的整个生命周期中应用风险管理至关重要，从研究和设计阶段到实施和运营。CBDC带来的风险将与设计选择以及外部因素有关。因此，在整个生命周期中采用风险管理方法可以帮助减少不良后果，包括治理问题，并支持CBDC更强大的决策过程。 为了探索与引入CBDC相关的风险，美洲中央银行风险管理咨询小组（CGRM）成立了一个工作组，以探索与CBDC发行相关的运营和信息安全风险。任务组。 从设计选择及其影响因素的分析开始，本报告提供了一个集成的风险管理框架，使中央银行能够评估各种风险类别。这包括与CBDC相关的运营和网络安全风险，但CBDC的复杂性及其运营弹性的重要性意味着仅靠运营风险（OR）评估是不够的。因此，本文提出的综合风险管理方法是一个有用的框架，可以为与潜在CBDC相关的设计选择提供信息，了解和管理相关风险，并支持中央银行开发工具和流程来减轻CBDC对发行机构构成的风险。 主要发现如下。 1.发行CBDC将对中央银行的商业模式及其面临的风险产生重大影响，并将改变其风险状况。 为了将这些风险控制在机构风险偏好的范围内，中央银行需要建立流程来识别、评估、监测和报告风险及其潜在的缓解措施。由于风险变化，这不是一次性行动，而是需要反复进行。鉴于发行CBDC的主要含义，这不应被视为技术项目，而应被视为中央银行运作方式的根本变化。 2.综合风险管理分析的分类和框架至关重要。 设计选择将取决于CBDC的特定目标和用例以及特定国家的生态系统因素。这意味着CBDC的设计和风险将因国家而异。风险的多面性要求集成风险管理框架为CBDC模型的设计提供信息，并在其整个生命周期中管理风险。 3.中央银行需要评估所有风险类别，作为综合风险管理框架的一部分，并制定相关的缓解战略 。 综合风险管理框架提供了与CBDC相关的风险类别列表。文献重点介绍了OR的四个类别-运营，技术，第三方和业务连续性风险。但是，中央银行应超越这些类别，并进行自己的风险映射工作，以识别其他风险。缓解策略可以基于更广泛的风险模型，包括信息和通信技术（ICT）风险管理 （包含网络安全），项目风险和合规风险管理。 4.中央银行应评估其内部能力和技能的潜在差距。 在实施CBDC的不同阶段所需的技能和能力方面的潜在差距可能是一个关键风险。中央银行应对此进行仔细和现实的评估，包括内部发展所需技能的能力。这些评估将有助于确定与CBDC相关的活动是否可以在内部进行，或者可能需要外包给第三方。因此，评估还应评估外包风险（如技术锁定或供应商风险）。监管能力也应到位，以确保对CBDC流程进行适当的尽职调查。 5.运营和网络安全弹性至关重要。 为了使CBDC成为可靠的支付手段，中央银行应解决中断或中断的风险，并确保完整性和机密性。这需要制定强大的业务连续性计划，以确保在整个（数字）货币周期中基于可能的场景和威胁的服务的可靠性和连续性。使用分布式账本技术（DLT）等新技术的CBDC将面临独特的网络风险 ，因为DLT没有被广泛接受的网络安全框架。此外，与CBDC威胁有关的现实世界数据有限，无论他们使用哪种技术。因此，管理与CBDC发行相关的风险可能需要使现有的网络安全评估方法和框架适应这一陌生的环境。 Introduction 近年来，探索，开发或运营中央银行数字货币（CBDC）的中央银行数量快速增长。2023年中期，占全球GDP98％以上的130个国家正在开展CBDC工作，而2020年5月仅为35个（图1）。1这包括四个实时零售CBDC-由巴哈马中央银行，东加勒比中央银行，尼日利亚中央银行和牙买加银行运营。2 CBDC的研究和试点世界图1 BS=巴哈马；ECCB=东加勒比中央银行；HK=香港特别行政区；JM=牙买加；SG=新加坡。 本出版物中使用的名称和材料的表述并不意味着国际清算银行对任何国家、地区或领土或其当局的法律地位或对其边界或边界的划定表示任何意见。 资料来源：Auer，R，GCornelli和JFrost（2023），“中央银行数字货币的崛起”，《国际中央银行杂志》，即将出版。数据更新于2023年7月。 CBDC的引入将对金融体系的运行和稳定以及货币政策和支付系统的实施产生重大影响。3它还可能给发行中央银行本身带来各种风险。这些风险的性质和重要性取决于CBDC的精确设计，第三方的参与以及CBDC将在其中运营的生态系统。4 为了探索这些风险，美洲中央银行风险管理咨询小组（CGRM）成立了一个风险管理专家工作组，研究与CBDC发行相关的运营和信息安全风险。工作组没有解决CBDC的金融稳定风险或其对货币政策操作或支付系统的影响。 1见www.atlanticcouncil.org/cbdctracker/。最后一次咨询是在2023年7月。 2Auer等人(2023)。截至2023年7月的数据更新。 3国际清算银行、加拿大银行、欧洲中央银行、日本银行、瑞典央行、瑞士国家银行、英格兰银行和理事会联邦储备系统(2021年)。 4Bilotta和Botti（2021）。 已经在各种国际论坛上得到了考虑。其职权范围还排除了直接金融风险。工作队尽可能利用现有工作，避免重复其他论坛已经涵盖的领域。工作组的工作包括文献综述、内部讨论以及与私营部门参与者的会议，以确定CBDC项目和举措的风险。工作队由智利中央银行首席风险官DiegoBalliviá领导。分组由墨西哥银行风险战略和项目管理司经理AtoietaCampa领导；智利中央银行运营风险经理MaríaJesúsOrellaa；和国际清算银行网络复原力协调中心主任DavidWhyte。完整的成员名单见附件。 本报告的目的是为中央银行提供一个综合框架，使他们能够评估与CBDC相关的运营和网络安全风险。这可以为与潜在CBDC相关的设计选择提供信息，并帮助中央银行开发工具和流程，将发行机构的风险降至最低。 报告的结构如下：第1节提供了CBDC的背景信息，重点是主要的设计选择。这很重要，因为不同的设计选择可能对中央银行面临的风险产生重大影响。第2节提供了执行CBDC综合风险管理评估(IRM)的框架。拥有IRM至关重要，因为CBDC的复杂性及其运营弹性的重要性意味着运营风险（OR）评估不足以应对其风险。Sectio. 3解决了CBDC的关键网络安全方面，包括网络威胁格局和相关风险，并提供了有关其优先级的见解。第4节探讨了其他重要风险。 这四个部分有助于全面、全景式地了解为什么CBDC可能对央行的风险状况产生相关影响，因此，为什么发行CBDC不应该仅仅被视为一个技术项目，而应该被视为对央行运作方式的根本性改变。因此，使用分类法和框架进行综合风险管理分析非常重要。这将有助于确定和评估CBDC项目中涉及的外部和内部因素，尽管这些因素在不同司法管辖区可能有所不同。本报告概述的方法将允许及时识别风险，以便对其进行有效管理，包括通过部署减轻此类风险的战略。 1.设计选择 零售CBDC可以被视为一种数字钞票，可供个人和企业（包括商人）使用以相互付款。批发 CBDC仅限于金融机构用于结算金融市场交易。无论哪种情况，它都将得到中央银行的全力支持。5 5CPMI-MC（2018年）。 CBDC是对中央银行的要求，这一事实显然将它们与现有形式的消费者无现金支付工具区分开来，例如信用转移，直接借记，卡支付和电子货币，这些都是发行机构的负债。它们也不同于其他类型的数字货币，包括加密资产，稳定币和其他数字资产。6 选择特定CBDC模型的注意事项 虽然发行CBDC的原因及其对金融体系构成的风险超出了工作组的工作范围，因此也超出了本报告的范围，但重要的是要认识到，各种设计选择将影响中央银行的风险。 引入CBDC涉及大量的准备和开发工作，可能需要几年的