近日,香港人工智能与机器人学会(HKSAIR)副理事长郑松岩做客HKSAIR《AI金融》系列线上讲座第一课,以“香港金融业网络安全和个人隐私数据保护”为主题进行分享。以下为郑松岩演讲全文,雷锋网做了不改变原意的整理:大家好,我是郑松岩,我今天跟大家分享一下香港金融业网络安全跟个人隐私数据保护的情况跟做法。香港金融主要还是银行、证券、保险,但三个细分行业监管的严谨程度存在较大的差异。银行监管最严谨,所以我们讲的主要是银行相关的部分。银行业“水深火热”的网络安全现状2018-2019这两年出现很多资料被盗的案例,不过不是在金融行业,而是在其他行业。2018年10月,国泰航空公司总共有900多万的客户资料被泄露。其实国泰内部早在2018年4月份就发现问题,只是延后公布。新加坡医疗集团Sing Health则丢失了150万病人的资料,这与国泰事件发生时间很接近,但两者处理事件的方式大不相同。Sing Health在出现问题的时候,政府监管马上跟进,几个月后公布调查报告并供公众查阅。万豪旗下的喜来登酒店也曾经丢失超过3亿用户的个人资料。Facebook更是频频通过心理测试或者各种游戏,窃取用户个人资料。Facebook近年不断出现一些系统漏洞,很多用户的个人电话、邮箱、信用卡或身份证资料都暴露了。这些案例看似与金融业务无关,但这些被泄露的客户资料有信用卡号码、身份证号码,都可能被盗用。将来用户在银行申请开户、贷款,这对客户本人就会产生危害。2019年也出现了很多泄露事件,比如新加坡另外一间医疗机构HSA,发现很多客户资料被挂在黑网上售卖。同时,像Instagram等社交媒体,都有很多信息外泄情况。还有第一资本也丢失了客户资料,它本身就是金融机构,丢失资料更容易导致客户信息被盗用,引起金融方面的损失。再往前看,2016-2017这两年,是全球银行经历最多线上劫案的时候。线上劫案,也就是网络攻击。Swift是跨国家或地区的一种汇款转账方式,该机构在各银行安装转账终端机器。孟加拉央行被黑客进入,通过Swift被盗取8100万美金。香港很多网上银行用户个人资料丢失后,被黑客冒用做股票交易进行现金套现。台湾第一银行ATM服务器被攻破,导致很多不同地区的ATM某天自动吐钱。泰国也出现过ATM被盗,是在机构更新ATM程序时趁虚而入。实际上,现在很多地下黑网都会给这种网络攻击明码标价,盗取的店面数量、账户总值都可以在网上看到。钓鱼工具典型案例之孟加拉央行这种盗取很多资金攻击,是不是很复杂?这里以孟加拉银行为例做出解释。黑客并不是直接攻击银行数据中心,因为数据中心的服务器比较复杂,而是利用钓鱼邮件,比如假装成求职简历,邮件发送到央行人事部门,部门人员点进去就中招。这样,接收文件的那台个人电脑就被黑客入侵了。除了用户自身操作以外,很多系统管理人员也在这台电脑安装过软件或是日常维护,黑客也就顺势拿到系统管理人员的密码,就可以尝试通过网络控制其他服务器。再利用服务器,安装一个能够获取用户键盘输入信息的程序。如果此时这台电脑是给用户用Swift做汇款操作的,那黑客就能获取Swift汇款的ID和信息,远程操控这台机器。这样的操作,一直持续了39天,央行一直不知情,直到有一次黑客打错收款人姓名,交易被中断。银行内部做检查,发现这不是内部人员所为,才追踪发现这件事情。这就是从终端电脑开始慢慢安装软件,潜伏,通过网络搜寻获取更高权限,层层递进,最终发动攻击。钓鱼工具典型案例之台湾第一银行而入侵台湾第一银行的程序,实际上它是从伦敦的一个终端机上进入的,通过网络掌控到传真式服务器。传真经常会和总部有资料往来,他们之间有连接。黑客通过传真式服务器、伦敦的服务器,再进入到台湾本部的服务器,一层层操作后掌控自动柜员机的服务器,黑客可以操作指定区域的ATM机器,给出取钱指令,直接得到现金。我们的惯性思维会认为,网络攻击就是攻击服务器、数据中心,但这是从技术层面来讲。钓鱼软件则是一种从终端用户切入的攻击,低成本高效益,操作更容易,也不容易被追踪。对用户来说,网上银行要输入ID,同时还有短信之类的双重认证。黑客用钓鱼软件,程序很简单,比如给用户发链接,点进去之后显示的银行登陆界面需要输入ID、密码、验证码,用户更容易信以为真。但这个弹出的网上银行界面,其实是黑客电脑上的,不是真正网银界面。用户在不知情的情况下,输入自己的ID、密码,被黑客获取,去真正网银上输入用户的账密,用户收到辅助验证的短信。一旦用户没有发现端疑,按照指示操作,黑客就能拿到短信完成双重认证,从而进行更多操作和交易。金融业的网络安全治理之道金融业的网络安全管制,不只是技术层面的。各业务部门和用户,全部都要有网络安全意识,无论是在哪个机构、哪个国家或地区都是如此。另外,不同银行的管控能力都不同,网络安全的治理跟管理要并行,这一点要分清楚。管理是日常的网络安全计划,采取一定措施监控和运行系统都是属于日常管理。但治理更重要,它处于更高层次,金融机构必须定出一种方向,去思考:1、对网络安全的容忍度有多少?2、网络安全在机构里,属于最高优先级吗?这些问题的答案,直接与机构对网络安全的重视程度挂钩,包括投入的资源、人才跟资金,因为要建构很多不同的措施,包括检查机构网络安全的水准是否达到一个水平。在座有不少朋友负责网络安全,或者从事科技行业,我想请问大家:当你的管理层或董事会问你,你觉得自家机构的网络安全与业界同行相比是什么水平?有多少差距?这个问题你会怎么来回答呢?网络安全是一件由上到下、遍及全民的要事。香港金管局就明确规定,保障银行的网络安全是机构董事会成员的责任,由董事会负最终责任。管理层必须根据董事会定下的网络安全优先级,去保证所有的资源架构配套能够到位。管理层监督管理层的下一级是科技或风险管理部门,甚至是一些前线。管理层要保证计划都能够执行到位,再具体到技术人员。只有管理层乃至机构董事会了解到整体安全保障情况,把它列入日常议程,整个机构的网络安全资源跟能力才能持续下去。网络安全永远没有“做到最好”这个说法,不是监管要求或者稽查就做一下,无人违纪就停止了,而是要持续执行下去。管理层监督的对象,就是有关网络安全的部门、科技部门,包括用户。有关部门应该收集报告,定期向高层管理、董事会汇报安全情况。现在很多培训,只面向科技人员,这不够。要把培训遍及到董事会跟高层管理,他们也充分了解当前网络安全整体趋势,才能引起足够重视。基层同事也要知道网络安全各方面保护,不断宣传,让所有的终端用户都有这种意识。除了全民意识,在技术层面可以有很多的手段,比如在电脑上安装不同防护工具、加密工具或监控工具。实际上不同机构都会不断互相学习,然后引进技术手段,辐射到终端用户和高层管理的培训。香港金融管理局(下称“金管局”)对科技的风险监管有不同的规范,以科技管制和技术措施为主。持续性业务,又称TM-G2,是指业务整体都要持续有留存备份,不只是科技中心的备份,还有业务操作备份、演练规划。演练包括技术和业务层面,应急启动等,都有很多不同规范。电子银行因为变化得很快,所以有专门的管理规范和相关指引。香港民众对个人隐私的保护意识很强,是好事,当然也没那么快接受新鲜事物。香港有专门的隐私条例,大概有6个原则:个人资料的收集、目的及方式。社会上不同的机构,像银行、商店要收集客户资料,就必须讲清楚收集资料的目的跟使用方式。个人资料的准确及保留期。讲清楚目的后,还有使用期限,多久之内必须要删除,资料不再留存。个人资料的使用。在使用的过程中,要遵循告知用户使用的方式且只能用于此事,用户一旦发现不妥,可以投诉。个人资料的保护。即是资料在处理中、传输中、存放中的保护。资讯需在一般情况下可以提供。查阅、修改个人资料的权利。根据隐私条例规定,用户可以随时要求查询收集记录的资料,也有权要求修改和删除。网络安全管理指引四大重点网络安保方面,金管局曾给出过银行指引,重点如下:1、董事会和高级管理层的监督银行网络安全的风险拥有人就是董事会,信息一旦泄漏就可能让黑客容易进入一些科技系统,因此必须建立科技跟业务并行的风险管理整体措施。风险出现时,我们要面对监管、客户、民众、媒体。所以这一系列活动中,业务部门、企业职能部门都是要并行运作的。风险管控的措施不只是科技,同时要保证多数人有网络安全措施跟意识,董事会跟高级管理层有责任建立这一种文化。2、定期评估及监察银行网络安全要建立一种控制基准,包括治理层面。类似的国际基准有CSC20,通过标准比对,找出差距,不断修改补充。2015年时金管局提问各个银行:网络安全团队有多少人?需要配备足够的人员及人才,足够的财务投入,才能把网络安保做好,定期向董事会汇报。3、业界合作及应急规划金融机构要跟其他行业机构、警方互相合作,共享一些网络信息;同行业间互相分享不同的安保信息。做好应变测试,确保能够及时处理。这里的应变测试是指整个机构面对问题的时候的应变处理。4、定期独立评估及测试足够的网络安保专业人才跟知识是衡量机构的标准。另外,要请有资质的顾问公司对机构进行独立评估,这也是监管要求之一。网络防卫评估框架金管局推出了「网络防卫评估框架」,近几年还在继续完善跟运作。评估框架要求:银行根据自身交易量、提供交易服务的复杂程度和自身规模,进行自我评估,判断固有风险的高中低程度。银行的规模越大、业务越复杂、提供的产品越多,固有风险就越高。还有网络安防成熟度的要求。固有风险越高,成熟度要求就越高,通过独立的顾问公司评估银行,逐项判断是否满足要求。再根据评估结果找出差距,银行必须优化改进。每个银行的评估结果最终都要上报,金管局根据结果提出意见,银行再根据意见和评估结果制定修订的计划进行整改。金管局还要求提供修订报告,独立顾问公司对银行做审查,评估整改的方案跟措施。半年后,会要求银行找顾问公司再做一次评估,确认方案是否仍然有效。全部做完后,再要求各个银行去找顾问公司,找出不同的场景在机构里测试,然后从端对端中看能否找出漏洞。网络评估的要素成熟度评估包括7个领域,水平分为基本、中级、高级,总共有366项,具体看是否完成,服务程度等。独立顾问公司帮忙审核,列出不符合的项目。其中,风险识别这一点是指如何保护系统,如何侦测到分别来自内部和外部的攻击活动,如何去法院处理,同时恢复服务,这就是风险意识。最后一点是第三方的风险管理。近年来,各国对第三方的风险管理要求趋严,相信接下来会有更多第三方服务商(相关条例出现)。比如银行将呼叫中心业务外发给第三方供应商去做,必须监控供应商是否存在漏洞,以免影响服务质量。还包括关键的硬件供应商,需要有替代方案应对突发问题。第三方扩展会越来越多,因为现在的银行讲究效率——传统银行要求客户到分行,或用专门手机银行做金融交易,但现在有Open API开放这些应用的接口,越来越趋向于B2B方式。B2B2C模式是银行跟其他非银机构合作提供服务,共同经营双方客户。在这种模式下,用户可以通过一些像网商或航空公司等非银机构,在他们的网站直接享受银行服务,例如开户、转账。同样,银行也可以建立这种平台,提供像汽车销售、旅游计划等商业合作。当第三方公司网站出现问题,银行必须采取行动,及时判断这些机构存在的问题,判断其可信资质。最近金管局对银行又提出关于人工智能的一些要求,指明如果银行采用AI产品,或与机构服务商合作,董事局跟高层管理也必须负责AI引起的结果。这就要求使用者对应用程序要有足够的专业知识,和对人工智能的认知。AI要用数据训练模型,因此也对数据质量有所要求。AI模型还要做好核实,包括模型的可审计性。如果采用外部机构的AI产品,比如NLP,涉及的编制也需核实。外部AI或服务如何管控,如何确定变更过的模型准确性不变,如何检测程序中是否有恶意部分……这些对银行来说都是不小的挑战。云在内地银行应用较广泛,香港银行相对较少,这与监管不无关系。如果银行使用外部云,(在香港)它会被当成是技术外包,那技术外包也有自己的条例,包括全程监控,可审计等。云计算上的复杂状况不一定完全符合监管要求,要明确监管条例,银行才能启用云。银行用云也分为很多情况。比如银行内部出于成本效益考虑,选择自建云。有些银行是跨国且有很多子公司,它需要让一些企业客户跟银行IT系统有连接,比如银企直联,企业的ERP也能够连到银行,在处理账务或资金调拨时更方便。欧盟GDPR VS 香港个人私隐条例1、香港私隐条例列出6大原则,基本是原则性条文。而欧盟在2018年推出的资料保护条例叫GDPR,罗列了99条具体细则,它比香港的条例更严格。2、香港把身份证、电话号码等算在隐私范畴,而GDPR则将生物特征、车牌号、相片、IP地址、色情网络记录等等都全部列进去。3、GDPR条例会覆盖到其他的国家和地区,比如别国网站的产品,如果销售对象是欧洲地区的客户,或是销售中用到欧洲语言,会被计入GDPR。4、如果有出现问题,你一定要72小时内上报到某一个机构。5、很多地区的私隐条例只讲了原则,没有具体的违规处罚方式。欧盟就规定很清楚,说最高可处以2000万欧元的罚款或者全球营业额的4%。如何持续优化一个金融机构的网络安全能力?第一,定期外聘一个具认受性的顾问公司对机构的网络安全做成熟度评估。这是多维度的考察,并不只是检查技术上的防护。比如毕马威的成熟度评估模型,总共分了6个维度,评估管制跟领导、整体信息风险管理、法律合规方面机制等;运作与科技只占一项,还有业务持续性、人员素质……每个维度又分成5个层次,从初始级到优化级,定出一个最适合自己的标准。金融机构如果期望更好的效果,就应该通过各个维度找出差距并整改补齐。整改时要对措施的有效性进行评估,整改后再对措施的持续性作评估。由于不同的顾问公司的评估模型稍有差异,因而找不同的公司作评估,可以从更多的方位找出改善的地方。第二,不断演练。机构应事先制定好不同的场景,像网络攻击、阻断式攻击、钓鱼等,并制定好每年演练场景的数量、所需时间,按照规划完成。从高级管理层到终端用户、科技人员、科技系统等全都会加入。另外也可以聘请外部机构进行网络安保方面的攻防演练,找出漏洞并修补。系统中的补丁,也是很多机构容易疏忽的一点。一个中大型的机构,比如服务器、网络设备、终端机等,时而有补丁可更改,但也要分析实际作用再做定夺。而且要及时知道新的补丁上线时间,这要跟供应商保持沟通,确定补丁需要的时间、风险优先级等。有没有出现过没按规定打补丁的事件?早几年的Wanna Cry(永恒之蓝)就是,它个病毒会锁掉所有档案资料,黑客收取比特币之后才能解锁。当时全球很多地方都中招了,如果及时打上Microsoft Shop的OS补丁,是可以避免的。第三,人员意识培训。负责网络安保的人员是否具备专业知识跟能力?这必须由专业人才进行培训。很多人认为,有充分的实战经验就行了,但还是必须要求有专业认证。因为经验会随人员流动,有专业认证起码能保证网络安保人员认知的水平在同一水平线。像科技风险管理或者网络安保之类的认证人员数量,至少要占团队90%以上。同时经常举办不同的网络安保培训活动。另外也可以通过攻防演练、座谈会、网络学习、钓鱼测试等培养安全意识。引入智能化分析工具很多机构有不同工具,例如防病毒、防攻击、防侵入等,在服务器上有防脆弱、防档案更改的工具,网络有一些像DDOS防阻塞式攻击的工具。监控,其实都是监控到不同前中后台、终端或是服务器网络设备日志。日志单独查看可能很难看出问题,需要引入智能化分析工具,像Cyber Security Analytic,把不同设备的访问日志以及一些来自外部的访问IP的信息聚合在一起通过工具进行关联性分析,找出较为隠蔽的问题。例如有些服务器或应用系统正常运行,但某时段有一个IP在极短时间内出现不合理的交易数量,便可藉此提示是否有使用机器人进行操作的可能。实际上,近两年病毒或DDOS类型的攻击反而较少,更危险的是APT攻击(Advanced Persistent Threat,高级持续性威胁)。它是在一个位置记录搜寻漏洞,找到更重要的一个设备,再在设备上找新漏洞,找到它认为合适的时候才发起攻击,手段非常隐蔽,攻击让人措手不及。这就需要建构大数据网络安保分析平台来应对。实际上,网络安全、信息安全是政府、企业跟个人的共同责任。政府要做好立法和执法。企业方面,各个企业的网络安控水准跟意识各不相同,有些中小型企业没有资金跟人才去部署,怎么保证他们都有这样一种安全意识也是问题所在。同时,个人也要提高安全防范意识,注意个人ID密码被盗,钓鱼邮件,WiFi安全性等等。甚至平时你填的表格信息,也要考虑到信息用途,说不定很多信息因此就丢失。即将启幕CCF-GAIR 全球人工智能与机器人峰会———AI金融专场历届 CCF-GAIR 已汇聚多位诺奖、图灵奖得主,28位海内外院士,21位世界A类顶会主席,103位Fellow,400多位知名企业家以及100余位VC创始人出席。8月7日-9日,《AI金融评论》将在第五届CCF-GAIR中举办「AI金融专场」,目前统计学“诺贝尔”— COPSS总统奖得主,摩根大通执行董事,世界顶级学会主席,金融巨头首席科学家、首席风控官,已确认出席。会议详情与合作,可联系专场负责人周蕾,微信:LorraineSummer更多会议安排点击https://gair.leiphone.com/gair/gair2020查看。
在19亿欧元(约150亿人民币)不翼而飞后,德国支付巨头Wirecard迎来了至暗时刻。 当地时间上周四,Wirecard发表声明称,外部审计机构安永“无法核实”该公司本应存放在亚洲银行中的19亿欧元现金。 本周一,Wirecard进一步表示,从其账户中“失踪”的19亿欧元现金很有可能根本就不存在,并撤销了2019财年和2020财年一季度财务业绩。 这个说法让Wirecard周一股价再度大跌44%。由此,Wirecard连续三个交易日股价分别大跌61.8%、35%、44%,累计下跌85.7%,市值蒸发111亿欧元(约880亿人民币)。 19亿欧元不翼而飞 Wirecard成立于1999年,总部位于德国慕尼黑,曾被认为是欧洲最有前途的科技公司之一。它为消费者和企业处理支付,并提供数据分析服务。该公司在全球26个国家拥有近6000名员工,2018年营收超过20亿欧元(约合22亿美元),市值曾达到240亿欧元。 毫无疑问,Wirecard被视为金融科技在德国本土取得的成功,并于2018年被纳入德国蓝筹股DAX指数。 不过,当地时间上周四,Wirecard的一份公告将这家公司打入了万劫不复之地。在这份公告中,Wirecard表示,从审计事务所安永获悉,公司信托账户中19亿欧元缺乏足够的“审计证据”,从而无法计入合并财务报表。公司表示存疑的资金占整个合并资产负债表总额近四分之一。 公司同时表示,有迹象表明受托人一方向审计师提供了虚假的余额确认单,以欺骗审计师并创造了对此类现金余额的错误认知。目前公司管理层正在与安永努力澄清这一现状。 近年来,安永定期批准Wirecard的账目,但却拒绝签署2019年的账目,这证实了毕马威(KPMG)4月份公布的一项调查结果。当时,毕马威对Wirecard利润的真实性提出了质疑。 本周一,Wirecard发布声明称:“公司管理委员会正在评估一种可能性,即安永审计师标记的下落不明的19亿欧元现金余额根本不存在。” 同时,Wirecard撤回了今年早些时候公布的2019年和2020年第一季度未经审计的初步业绩。“不能排除对前几个年度财务账目的潜在影响,”该集团表示。 Wirecard表示,与一个银行财团就向其提供20亿欧元贷款的“建设性讨论”仍在继续。在该公司错过6月19日公布经审计的年度业绩的截止日期后,这些贷款可以终止。 该公司表示,正在考虑削减成本、处置业务部门和产品,以及采取重组措施,“以确保业务运营能够继续”。 CEO离职,信用评级成“垃圾” 受此影响,已掌舵18年之久的Wirecard CEO马库斯·布劳恩(Markus Braun)已于上周五离职,由德国证券交易所前合规官詹姆斯·弗里斯(James Freis)接替。 布劳恩在离职时暗示,Wirecard本身可能是欺诈的受害者。他在辞职前发布的视频声明中称:“不能排除Wirecard已成为大规模欺诈案的受害方。” 布劳恩还表示,之所以选择离职,是不想给Wirecard带来负担。他说:“对于我管理了18年的公司,资本市场的信心已经严重动摇。在我的决定中,我尊重这样一个事实,即所有商业交易的责任都在CEO身上。” 与此同时,评级机构穆迪(Moody‘s)还将Wirecard的信用评级大幅下调至“垃圾”级。而对于深陷现金审计丑闻的Wirecard,此举无疑是雪上加霜。 穆迪还表示,将来可能进一步下调该公司评级。穆迪指出,一再推迟发布年度业绩报告,可能会引发违约事件,导致Wirecard迫切需要进行再融资。 菲律宾拒绝背锅 值得注意的是,围绕Wirecard账上这19亿欧元不翼而飞,其焦点主要集中在两家菲律宾银行身上。Wirecard上周表示,有两家亚洲银行未能找到存放这些现金的账户,但未透露这两家银行的身份。 据路透社报道,菲律宾央行行长迪奥克诺(Benjamin Diokno)21日发表声明说,初步调查显示,Wirecard失踪的资金并未流入菲律宾市场,受事件牵连的菲律宾金融银行(BDO Unibank)和菲律宾群岛银行(BPI)并没有蒙受任何损失。 迪奥克诺表示,菲律宾最大的两家银行在这起国际金融丑闻中被人利用,以试图掩盖不法之徒的罪行。菲律宾央行正在对这起事件进行调查。 迪奥克诺还表示,BDO和BPI已表明Wirecard不是他们的客户,他们与Wirecard也没有任何生意往来。 另外,早前有文件显示Wirecard曾把钱存入BDO和BPI的账户,但两家银行都称这些文件是假的。 空头两日狂赚185亿 德国金管局曾出手禁止做空 其实,2015年以来,Wirecard的商业操作就受到了质疑。2019年1月,英国金融时报曾披露,Wirecard涉嫌在新加坡办公室利用伪造和修改过日期的合约来夸大收入数字。报道称,Wirecard利用“round-triPPing”手法,通过多个跨国单位件制造可疑交易,使这些交易在当地审计单位看来是合法的。 面对上述指控,Wirecard相关负责人多次出面否认,认为这些指控是媒体与沽空者勾结。Wirecard否认之余还得到了德国官方的背书。德国联邦金融监管局2019年2月曾在其官网表示,在当年4月18日前,全球投资者将被立即禁止对Wirecard建立新的空头头寸或增加现有空头头寸,这是德国首次禁止卖空单一股票。 德国金管局称,之所以采取卖空禁令,是因为Wirecard具有“经济重要性”,其股价暴跌对市场信心造成了严重的威胁。如果不限制卖空股票,Wirecard股价存在“进一步螺旋式下跌”的风险。 视频截图 虽然德国金管局一度禁止做空Wirecard,但是并未能降低投资者做空该公司股票的热情。 澳大利亚对冲基金Bronte Capital的创始人约翰-汉普顿(John Hempton)表示,他们已经做空该股已长达10年。在这段时间里,他眼看着Wirecard的股价从不到7欧元升至2018年高峰时的200欧元。 但截至上周五收盘,该股已跌至25.82欧元。 根据金融分析公司S3 Partners的数据,做空机构从该股过去两个交易日的暴跌中账面获利已达26亿美元(约合人民币185亿元)。 德国联邦金融监管局局长: Wirecard丑闻是“一场彻底的灾难”和“耻辱” 由于曾为Wirecard背书,这起丑闻让德国金融监管当局相当难堪。 “这家一度被视为德国金融业未来的企业已经成为了国家尴尬的象征。”彭博社如此形容Wirecard眼下的处境,以及它与德国政府的密切关系。 德国联邦金融监管局局长菲利克斯·休菲尔德(Felix Hufeld)表示,对德国来说,Wirecard丑闻是“一场彻底的灾难”和“耻辱”——德国市场“应该以质量和可靠性为主导”。但他为监管机构去年实施的为期两个月的卖空禁令进行了辩护。 德意志银行(Deutsche Bank)首席执行官克里斯蒂安·索英(Christian Sewing)在法兰克福金融峰会上表示:“就德国的整体股票文化和整体公司治理而言,这显然是一个严重的问题,将影响到我们所有人。” 但德国财政部长奥拉夫·朔尔茨(Olaf Scholz)拒绝了因Wirecard案而要求加强监管的呼声。“监管机构工作非常努力,做了他们的工作,我们今天看到了这一点,”朔尔茨在峰会上接受视频采访时表示。 慕尼黑警方表示,已对Wirecard展开刑事调查。慕尼黑检察官办公室拒绝置评。
如今,银行既肩负着让利于实体经济的责任,又要留存一定利润保证未来发展和风险抵御能力,同时需兼顾对股东的合理回报。对上述问题的权衡,考验着商业银行的经营智慧。 日前,一则新三板上市银行的公告引发市场对于宏观环境下银行利润分配的探讨。投资者更关注,未来银行的“高分红”还能否延续? 喀什银行公告显示,该行近日收到监管部门通知,按照“少分红、多留存”的原则,要求该行以未分配利润向全体股东每10股派现0.8元(进行)权益分派,低于该行此前披露的每10股派发现金红利1元(含税)的预案。 光大证券首席银行业分析师王一峰认为,对于一些中小银行,尤其是所在地域经济压力相对较大的银行,有必要抑制分红,这在逻辑上符合审慎的标准。 “当前疫情形势较复杂,一些中小银行面临的潜在风险偏大,同时要应对潜在的不良贷款,要留存资本应对未来的发展。根据巴塞尔III精神,在此种情况下,监管可以相应提出要求,对银行分红进行一定程度的控制,也符合我国对银行机构的相关制度安排。”王一峰告诉记者。 天风证券银行业首席分析师廖志明认为,中小银行受疫情影响,如果资产质量和经营情况出现恶化,减少分红属于正常现象。中小银行核心一级资本的补充较困难,减少分红也是为未来的稳健经营打好基础。 但对于上市银行的分红,情况又有所不同。王一峰分析,首先,上市银行以国有大行和股份制银行为主体,当前财政收支矛盾突出,对于国有控股企业的分红也有相应诉求;其次,很多投资者看重上市银行的“高分红”特性,比如保险资金、养老基金、主权基金等,希望获得相对稳定的分红收益。因此不到特殊时期,银行本身不愿调整分红,否则可能对资本市场产生不必要的扰动。 “对于上市银行,当前阶段是否要通过降低分红来保证可持续经营能力的提升?到目前为止,必要性还不强。”王一峰表示,相应情况需要明年再看。 目前,A股上市银行已经披露2019年度利润分配方案。根据浦发银行2019年度利润分配方案,时隔数年,该行分红率重回30%以上的水平。面对现有的分红比例能否持续的问题,浦发银行副行长、财务总监王新浩日前对股东表示,从经营层面来看,在符合监管要求,同时内源性资本补充和外源性资本补充能够满足发展需要的前提下,将尽可能让股东享受到浦发银行的经营成果。 某上市中小银行董事会办公室人士对记者表示,未来的分红计划,要看整体形势和宏观政策的变化,统筹考虑对中小企业的支持,同时兼顾对银行股东的回报,希望尽可能地维持上一年的分红状态。疫情对当地经济影响客观存在,但相关部门也在积极出台应对政策。而该行的调研显示,中小企业现状对该行业务影响有限,总体经营保持平稳。 他进一步表示,作为上市银行确实要考虑给予股东回报的问题,但如果分红比例受疫情影响略有下降,相信股东也会体谅。 廖志明表示,A股上市银行都比较优质,抵御风险的能力更高,降低分红的概率不高。中国经济正逐渐走出疫情影响。而从国际上看,海外银行70%-80%净利润通过股票分红或者股票回购方式分配,从未来的大趋势看,上市银行分红比例或许还有提升空间。 “近两年,部分中小银行分红比例下调也是很正常的,这只是暂时现象。海外很多银行考虑到疫情冲击,在今年取消了现金分红。”廖志明说。
图片源自网络 近期,证监会网站更新的信息显示,广州银行提交的《首次公开发行股票并上市》材料已于6月18日被接收,意味着目前A股排队上市的银行增加到了19家。 图片源自证监会官网 证监会官网发布的《首次公开发行股票企业基本信息情况表》显示,目前有17家银行尚在上市“排队”当中。此外,6月22日,证监会接收了重庆三峡银行股份有限公司的上市材料。 广州银行筹谋上市已久,股权高度集中一度成为其上市“隐忧”。为早日落实监管要求,降低股权集中度,2018年,广州银行完成增资并引入投资者,同年向广东证监局递交上市辅导备案登记申请。 从经营情况看,广州银行手续费及佣金收入现较快增长,利息净收入占比下降,同时成本端的信用资产减值损失增26.37%至40.06亿元。 资产质量方面,截至2019年末,广州银行不良贷款余额同比增长70.59%至35.18亿元,不良贷款率为1.19%,较上年末增长0.33个百分点。 持股比例一度高度集中 官网显示,广州银行成立于1996年,前身是在46家城市信用合作社的基础上组建的广州城市合作银行。1998年更名为广州市商业银行股份有限公司,2009年获准更名为广州银行。 广州银行对于上市事宜早有谋划。 在2011年年报中,广州银行在“工作重点”中提到,将尽快完成引资工作,形成多元的股权结构,进一步完善公司治理水平、扩大业务规模、提升盈利能力,争取早日实现上市目标。 股权过于集中一直是广州银行上市的“隐忧”之一。截至2017年年末,广州银行第一大股东广州金融控股集团有限公司(广州金控)持有该行50.01%股份,为第一大股东;此外广州市广永国有资产经营有限公司(广州广永)和广州市金骏投资控股有限公司(金骏投资)分别持有广州银行27.96%和9.99%股份,三家公司背后都是广州市人民政府,合计持股87.96%股份。 在2016年年报中,广州银行表示,将通过“减持股份 + 增资扩股”双管齐下,引入优质投资者,早日落实监管要求,降低股权集中度,完善法人治理结构,增强综合发展实力,为今后上市夯实基础。 2017年11月,广州银行增资扩股方案获监管批复,同意该行向特定对象非公开发行不超过50亿股股份、每股面值人民币1元的募集资本金方案。 图片源自中国银保监会官网 2018年6月,广州银行引入了中国南方电网有限责任公司、中国南方航空集团有限公司等7家投资者。通过投资者的引入,广州银行实现增资扩股34.74亿股,募集资金108.81亿元。同时,广州金控转让广州银行14.93亿股股权,交易金额46.76亿元。 增资完成后,2018年10月,广州银行向广东证监局递交上市辅导备案登记申请,正式向上市迈出一步。 广州银行在2019年年报中提到,该行将把上市“1号工程”放在全行战略的更加突出位置,按照上市标准全方位、多渠道提升全行经营管理水平,力争早日登陆资本市场。 截至2019年年末,广州银行第一大股东仍为广州金控,持股比例为22.58%。广州广永、南方电网、南方航空分别持股19.71%、16.64%和12.68%,为第二至第四大股东。 资本充足率现下降 广州银行筹谋近十年的上市之路向前推进一步的同时,年报显示,该行2019年不良贷款率现同比上升,不良贷款金额增长70.59%。 图片源自广州银行年报 2019年,广州银行营业收入为133.79亿元,同比增长22.35%;实现43.24亿元归属于母公司股东的净利润,同比增长14.73%。 从收入结构看,2019年广州银行利息净收入为104.43亿元,占比78.06%,较2018奶奶的92.52%比例大幅压降。与此同时,手续费及佣金收入、投资收益均现较大幅度增长。 2019年,广州银行实现7.67亿元手续费及佣金净收入,较上年的3.66亿元增长109.7%。其中,银行卡手续费占比71.02%,收入金额为8.3亿元,较上年增长57.63%,系推动广州银行手续费及佣金收入增长的主要因素,年报解释称系因信用卡业务快速发展。 2019年,广州银行信用卡业务新增客户93.41万,新增发卡101.87万张,累计发卡 401.23 万张,同比增长34.03%,实现发卡收入54.45亿元,同比增长52.19%。 广州银行另一快速增长的收入来源系投资收益,2019年收入为21.13亿元,增加18.2亿元。同比增620.07%。年报解释称主要因为2019年实施新金融工具准则所致,与此同时公允价值变动收益较上年减少3.04亿元,降幅461.87%。 从成本端看,2019年广州银行信用资产减值损失为40.06亿元,若与旧准则下资产减值损失比较,增幅为26.37%。年报解释称主要原因为加大拨备计提,提升风险抵御能力。 截至2019年年末,广州银行的资产总额为5612.31亿元,同比增9.27%;负债总额为5211.88亿元,同比增9.53%。资本充足率为12.42%,较上年的13.38%下降0.96个百分点;一级资本充足率为10.14%,较上年的11.24%下降1.1个百分点。 资产质量方面,截至2019年末,广州银行不良贷款余额为35.18亿元,同比增长70.59%,不良贷款率为1.19%,较上年末增长0.33个百分点。 年报称,广州银行,2019年共核销不良贷款 17.09 亿元,“有效缓释了风险并改善相关指标压力”。在清收方面,广州银行全年通过自主清收收回不良贷款 6.8 亿元,同时及时保全资产,2019年年末,广州银行存量对公不良贷款中,76%已进入诉讼程序,“为清收处置工作奠定良好基础”。
近日,消费贷市场成了银行的主战场,包括国有大行、股份行等在内,多家银行下调了个人消费贷利率,以价格优势抢占市场。 比如,有银行给出的消费贷利率低至3.78%,低于同期限的LPR(贷款市场报价利率)。接受采访的多位业内人士分析,这一方面可能是受年初以来市场资金利率整体下行影响;另一方面,则是由于“资产荒”下银行对于优质客户的抢夺。 多家银行消费贷利率较大幅度下降 “最近建行的‘快贷’利率下降了很多,之前大概是5.2%左右,现在是4.35%,可以说很低了,期限基本是一年,到期本息一起还,也没有手续费,很划算。”一位刚刚申请了“快贷”的用户对记者说。 据介绍,“快贷”是建行推出的专门针对个人客户的小额信用贷款,全流程线上操作,且放款速度较快,只要在该行办理业务(如存钱,购买理财、国债、基金等,贷款、代发工资等)的都可能获得额度,办理业务越多,额度越高,贷款金额范围多为1000元至30万元不等。 除了“快贷”外,国有大行中,工行的个人纯信用贷款产品“融e借”利率近期也有下降。工行官网显示,5月7日至6月30日期间,用户办理“工银融e借”即可享受利率优惠,年利率低至4.35%(具体以办理业务时界面实际展示为准),支持按期付息一次性还本,最长可贷三年。 而在此前,该产品的年化利率超过了5%。工行还称,融e借实行的是浮动利率,根据最新LPR加成计算,按月更新,最低年利率为LPR+0.5%,自主渠道申请额度最高可达30万元。 股份行中,招商银行亦推出了优惠利率,该行消费贷产品“闪电贷”在由之前10%的“高价”降至6%左右后,近期又为“双金卡”客户提供了低至3.78%的优惠利率,不过该利率仅限于活动期间,且需要领取优惠券才可享受。据悉,“闪电贷”的最高额度为30万元,3.78%的优惠年化利率可使用半年。 事实上,不仅仅是上述几家银行,近期有多家银行调低了针对个人的信用贷款利率,部分城农商行也在推广相关产品,但在价格上不及大行有优势。 一位银行业资深分析人士对记者表示,“就个贷利率调整而言,要看是趋势性还是个别事件,消费贷在银行零售中占比并不算大,有一定增长也是可期的。” 而对于利率下调的原因,穆迪金融机构部副总裁、高级分析师诸蜀宁对记者表示,可能与今年以来市场资金利率的整体下行有关。“自去年8月LPR改革至今,1年期LPR经历了四次下调,已从之前的4.25%调整至了3.85%,下降了40BP(基点),而利率下行,最先反映在对公贷款上,其次是个人贷款,个贷中房贷利率转换正在加速推行中,因此目前可能传导到了消费贷上。”他称。 另外,纵观这些利率下调的消费贷产品,不难发现单笔额度相对较小,贷款额度最高基本都为30万元。“这可能是因为超过30万元的个人消费贷款需要银行采用受托支付的方式来付款,亦即由贷款行将贷款资金直接支付给借款人的交易对象。”某股份行个金部相关负责人对记者称,“而低于30万元,银行可以直接将资金打入贷款人账户,由贷款人支配。” 低利率的消费贷也引发了市场对于消费贷可能会违规流入房市、股市的担忧,毕竟有些产品利率低于同期限LPR。按照6月20日最新一期LPR报价来看,1年期LPR为3.85%,5年期以上的LPR为4.65%,据此计算,部分地区的按揭房贷最低为4.65%左右。尽管消费贷期限多为1年,但不排除有购房者拿这部分低利率资金临时充用。 前述股份行个金部相关负责人对记者称,目前监管对于消费贷违规流入楼市、股市的管控较严,一旦被查到有违规情况,一方面银行将会受到处罚,另一方面,在贷款人的征信记录上会有所体现,因此这种做法并不容易。 还了解到,在申请按揭贷款时,有的银行会要求贷款人先将前期消费贷的额度还上才能进行放贷。不过,在多位业内人士看来,对于银行而言,监控消费贷贷后资金流向是行业普遍面临的难题,尤其是资金流出本行系统后,跨行监测更为艰难。 “这种通常只有监管层查得到,比如可以向他行发送协查函件等,商业银行查起来会比较难,只能更多在贷前审核上下功夫。”某国有大行个贷部相关人士对记者说。 零售转型抢夺“优质客户” 还需一提的是,消费贷利率的调低也反映了银行在零售业务上的发力,特别是疫情影响之下,银行零售增速放缓,且不良率有所攀升,基于此,部分银行对信贷结构做出了调整。 诸蜀宁对记者提到,目前来看,银行零售转型仍是大趋势,但和以往不同的是,“银行不再是做所有的零售业务 ,而是倾向于做安全且赚钱的零售,比如有的银行在零售规模占比达到50%之后,就不再以扩大规模为主,而是去筛选优质客户,在优质客户寻找商机。” 这在上述几家调降消费贷利率的银行中均有体现,查询上述几家银行消费贷产品的申请条件可以发现,这些产品往往对申请用户有着较为严格的信用资质审核,一定程度上也可看作是对优质客户的筛选。 比如,建行的“快贷”要求申请用户必须为该行的住房贷款客户,或者提供房产抵押或其他有效担保,或在该行办理更多存款、理财业务;再如,招行的超低利率“闪电贷”则主要针对“双金卡”客户,即白金卡及金葵花卡用户,其中,白金卡用户需要保持卡内资产在10万元以上,金葵花卡客户则需要保持在50万元以上;工行“融e借”采取的为白名单管理制,面向的是与工行合作的机构单位职工、工行大额理财客户、房贷公积金客户等。 前述银行业资深研究人士称,银行利用贷款利率的优惠,一定程度上可增强与用户之间的黏性,在留住用户的同时也能提高资产质量,有利于零售业务的拓宽。整体而言,在今年这种情况下,不少银行在零售方面较为谨慎,大多采取做“安全产品”的策略。 由此,银行对“优质客户”的抢夺也就不难理解。“目前,银行‘资产荒’压力趋高,银行要在把控资产质量的同时有序开展业务,优质客户的重要性不言而喻。”前述大行个贷部相关人士对记者感叹。 而在银行一系列优惠措施下,如今消费市场已有所恢复。央行数据显示,较能体现消费意愿的居民短期贷款,5月增加了2381亿元,同比多增433亿元,而在前四个月,仅新增1771亿元,同比大幅少增3614亿元;另外,银行零售贷款也出现改善迹象,光大证券首席银行业分析师王一峰表示,5月以信用卡为代表的短期消费类信贷呈现恢复性增长。 不过,还有业内人士向记者提及,银行这种“价格战”并非理性行为,尽管对用户准入条件进行了限制,但在风险把控上仍需审慎,考虑到资金成本和风险成本,消费贷利率不宜过低。
图片来源:微摄 记者从中国银保监会获悉,今年1至5月,全国普惠型小微企业贷款平均利率6.03%,较2019年全年平均利率下降0.67个百分点。 银保监会政策研究局一级巡视员叶燕斐表示,今年以来,企业融资成本明显下降。一季度,制造业贷款平均利率4.32%,较年初下降0.46个百分点。 对于如何降低企业综合融资成本,叶燕斐表示,要督促银行机构进一步加强负债端成本管理,不盲目竞争提高存款利率,避免高息揽储,推动银行负债端成本下降,进而引导贷款利率下降让利实体经济。 他表示,近期银保监会就银行机构结构性存款违规展业问题下发专项文件,要求银行科学审慎设计结构性存款,不得发行收益与实际承担风险不相匹配的结构性存款,避免银行机构盲目提高存款成本。 叶燕斐表示,要推进银行机构积极利用互联网、云计算、大数据等技术手段,提高贷款审批和发放效率,减少人工管理成本,进而降低企业融资成本。同时要持续督促银行规范服务收费行为、合理确定资产端利率等。
记者今日从蚂蚁集团获悉,6月22日,国家开发银行、中国进出口银行、中国农业发展银行三大政策行联合网商银行,再次发放贷款“免息券”。此次规模有所扩大,是向全国100城的小店主们发放。小店主们可直接上支付宝搜索“免息券”领取,每人可领取一张,每张代表1万元1个月免息。 今年5月,三大政策银行联合网商银行曾向全国81城首次发放免息券。支付宝提供的数据显示,领取并使用免息券的小店,在得到资金支持后,比未使用免息券的小店,平均每日销售金额高出45.7%,就此角度而言,免息券有效提振了小店的生意水平。 据了解,网商银行还在探索与其他金融机构合作,共同发放免息券。网商银行行长金晓龙称,未来网商银行将通过免息券的形式,与更多同业机构一起合力,向更多场景里用心经营、讲信用的小店提供低成本的资金,为他们减负。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估