风险管理协商小组央行数字货币 （ CBDC ） 信息安全和央行运营风险运营生命周期风险管理框架2023 年 11 月国际清算银行美洲代表处 该出版物可在 BIS 网站 （ www. bis. org ） 上获得。© Bank for International Settlements 2023. All rights reserved. Brief excerpts may be replicated or translated provided the source is stated.ISBN 978 - 92 - 9259 - 717 - 7 （ 在线 ） 2CBDC 信息安全和中央银行的运营风险Contents前言 4执行摘要 5导言 71.设计选择 8选择特定 CBDC 模型的注意事项 9核心因素 10外部因素 11内部因素 132.CBDC 的操作风险 - 分类和分析 18在采用 CBDC 之前定义风险概况 19风险偏好和容忍度水平指导 CBDC 风险状况 20对风险进行分类 21映射 CBDC 风险 222.1.经营风险 23缓解措施 252.2.与 CBDC 相关的技术风险 25IT 缓解措施 272.3.与 CBDC 相关的第三方风险管理 28第三方类型和角色 28第三方风险类型 28第三方风险和基础设施 29第三方风险和 CBDC 架构 30应对第三方风险的缓解措施 312.4.业务连续性风险管理 ： 一个关键组成部分加强 CBDC 弹性 32从 BCP 到弹性框架 34从工作队的分析中获得的见解 ： 走向综合风险管理和弹性...................................................................363.网络安全是 CBDC 的主要风险 37CBDC 网络安全威胁格局 37网络安全风险分类 41分析方法 44见解和观察 534.其他相关非财务风险 54法律和合规风险 54法律和合规风险的潜在缓解策略 57企业风险 58 CBDC 信息安全和中央银行的运营风险3ESG 风险 60项目风险 60IRM 框架在 CBDC 中的实际应用示例评估 .....................................................................................................62结论 63参考文献 66附件 - 咨询小组设立的 CBDC 工作队成员美洲中央银行的风险管理 71 4CBDC 信息安全和中央银行的运营风险前言引入中央银行数字货币 （ CBDC ） 将对发行中央银行的操作及其面临的风险产生深远的影响。两者都将主要取决于所采用的特定设计以及中央银行内部和外部的大量因素。本报告分析了发行中央银行的运营，技术，第三方和业务连续性风险。因此，它为 CBDC 的其他工作提供了有益的补充，这些工作往往侧重于它们对金融稳定、货币政策和更广泛的经济的影响。该报告提出了一个综合风险管理框架，可应用于 CBDC 的整个生命周期，从研究和设计阶段到实施和运营。它讨论了中央银行需要采取的许多设计选择的含义，并提出了识别和减轻 CBDC 给发行机构带来的风险的工具和流程。为了使 CBDC 成为可靠的支付手段，中央银行还需要解决中断或中断的风险，并确保完整性和机密性。一个关键风险是中央银行内部能力和技能的潜在差距。虽然许多与 CBDC 相关的活动原则上可以外包，但这样做需要有足够的能力来选择和监督供应商。该报告是国际清算银行成员中央银行在美洲风险管理协商小组 （ CGRM ） 内开展的工作的成果，该小组汇集了巴西，加拿大，智利，哥伦比亚，墨西哥，秘鲁和美国的中央银行代表。工作队由智利中央银行的 Diego Ballivi á 领导 ； 小组由墨西哥银行的 Atoieta Campa，智利中央银行的 Mar í aJes ú sOrellaa 和国际清算银行的 David Whyte 领导。国际清算银行美洲办事处担任秘书处。迭戈 · 巴利维安 · 亚历山大 · 汤姆比尼工作队美洲首席代表主席智利中央银行国际清算银行 CBDC 信息安全和中央银行的运营风险5执行摘要中央银行数字货币 （ CBDC ） 是中央银行发行的数字货币。就像实物货币一样 ， CBDC 是以国家账户单位计价的支付手段 ， 是中央银行在特定司法管辖区的负债。在过去三年中 ， 全球从事 CBDC 的中央银行数量增加了两倍 ， 截至 2023 年中期 ， 达到 130 家。CBDC 有潜力推动创新，促进金融包容性，并创造一个能够创建下一代支付应用程序和数字业务的环境。同时，引入 CBDC 可能会对金融和支付系统的运行和稳定性产生重大影响。与可用设计选择有关的决策将影响发行 CBDC 的中央银行面临的风险的性质和大小。因此，重要的是要仔细识别、评估和解决这些风险，以满足 CBDC 的用例和目标，并解决性能、互操作性、隐私和安全性之间不可避免的权衡。特别是，在 CBDC 的整个生命周期中应用风险管理至关重要，从研究和设计阶段到实施和运营。CBDC 带来的风险将与设计选择以及外部因素有关。因此，在整个生命周期中采用风险管理方法可以帮助减少不良后果，包括治理问题，并支持 CBDC 更强大的决策过程。为了探索与引入 CBDC 相关的风险 ， 美洲中央银行风险管理咨询小组 （ CGRM ） 成立了一个工作组 ， 以探索与 CBDC 发行相关的运营和信息安全风险。任务组。从设计选择及其影响因素的分析开始，本报告提供了一个集成的风险管理框架，使中央银行能够评估各种风险类别。这包括与 CBDC 相关的运营和网络安全风险，但 CBDC 的复杂性及其运营弹性的重要性意味着仅靠运营风险 （ OR ） 评估是不够的。因此，本文提出的综合风险管理方法是一个有用的框架，可以为与潜在 CBDC 相关的设计选择提供信息，了解和管理相关风险，并支持中央银行开发工具和流程来减轻 CBDC 对发行机构构成的风险。主要发现如下。1.发行 CBDC 将对中央银行的商业模式及其面临的风险产生重大影响 ， 并将改变其风险状况。为了将这些风险控制在机构风险偏好的范围内，中央银行需要建立流程来识别、评估、监测和报告风险及其潜在的缓解措施。由于风险变化，这不是一次性行动，而是需要反复进行。鉴于发行 CBDC 的主要含义，这不应被视为技术项目，而应被视为中央银行运作方式的根本变化。 6CBDC 信息安全和中央银行的运营风险2.综合风险管理分析的分类和框架至关重要。设计选择将取决于 CBDC 的特定目标和用例以及特定国家的生态系统因素。这意味着 CBDC 的设计和风险将因国家而异。风险的多面性要求集成风险管理框架为 CBDC 模型的设计提供信息 ， 并在其整个生命周期中管理风险。3.中央银行需要评估所有风险类别 ， 作为综合风险管理框架的一部分 ， 并制定相关的缓解战略。综合风险管理框架提供了与 CBDC 相关的风险类别列表。文献重点介绍了 OR 的四个类别 - 运营，技术，第三方和业务连续性风险。但是，中央银行应超越这些类别，并进行自己的风险映射工作，以识别其他风险。缓解策略可以基于更广泛的风险模型，包括信息和通信技术 （ ICT ） 风险管理 （ 包含网络安全 ），项目风险和合规风险管理。4.中央银行应评估其内部能力和技能的潜在差距。在实施 CBDC 的不同阶段所需的技能和能力方面的潜在差距可能是一个关键风险。中央银行应对此进行仔细和现实的评估，包括内部发展所需技能的能力。这些评估将有助于确定与 CBDC 相关的活动是否可以在内部进行，或者可能需要外包给第三方。因此，评估还应评估外包风险 （ 如技术锁定或供应商风险 ） 。监管能力也应到位，以确保对 CBDC 流程进行适当的尽职调查。5.运营和网络安全弹性至关重要。为了使 CBDC 成为可靠的支付手段，中央银行应解决中断或中断的风险，并确保完整性和机密性。这需要制定强大的业务连续性计划，以确保在整个 （ 数字 ） 货币周期中基于可能的场景和威胁的服务的可靠性和连续性。使用分布式账本技术 （ DLT ） 等新技术的 CBDC 将面临独特的网络风险，因为 DLT 没有被广泛接受的网络安全框架。此外，与 CBDC 威胁有关的现实世界数据有限，无论他们使用哪种技术。因此，管理与 CBDC 发行相关的风险可能需要使现有的网络安全评估方法和框架适应这一陌生的环境。 CBDC 信息安全和中央银行的运营风险7Introduction近年来 ， 探索 ， 开发或运营中央银行数字货币 （ CBDC ） 的中央银行数量快速增长。 2023 年中期 ， 占全球 GDP 98 ％ 以上的 130 个国家正在开展 CBDC 工作 ， 而 2020 年 5 月仅为 35 个 （ 图 1 ） 。1这包括四个实时零售 CBDC - 由巴哈马中央银行 ， 东加勒比中央银行 ， 尼日利亚中央银行和牙买加银行运营。2CBDC 的研究和试点世界图 1BS = 巴哈马 ； ECCB = 东加勒比中央银行 ； HK = 香港特别行政区 ； JM = 牙买加 ； SG = 新加坡。本出版物中使用的名称和材料的表述并不意味着国际清算银行对任何国家、地区或领土或其当局的法律地位或对其边界或边界的划定表示任何意见。资料来源 ： Auer ， R ， G Cornelli 和 J Frost （ 2023 ） ， “中央银行数字货币的崛起 ” ， 《国际中央银行杂志》 ， 即将出版。数据更新于 2023 年 7 月。CBDC 的引入将对金融体系的运行和稳定以及货币政策和支付系统的实施产生重大影响。3它还可能给发行中央银行本身带来各种风险。这些风险的性质和重要性取决于 CBDC 的精确设计 ， 第三方的参与以及 CBDC 将在其中运营的生态系统。4为了探索这些风险，美洲中央银行风险管理咨询小组 （ CGRM ） 成立了一个风险管理专家工作组，研究与 CBDC 发行相关的运营和信息安全风险。工作组没有解决 CBDC 的金融稳定风险或其对货币政策操作或支付系统的影响。1见 www. atlanticcouncil. org / cbdctracker / 。最后一次咨询是在 2023 年 7 月。2Auer 等人 (2023) 。截至 2023 年 7 月的数据更新。3国际清算银行、加拿大银行、欧洲中央银行、日本银行、瑞典央行、瑞士国家银行、英格兰银行和理事会联邦储备系统 (2021 年) 。4Bilotta 和 Botti （ 2021 ） 。 8CBDC 信息安全和中央银行的运营风险已经在各种国际论坛上得到了考虑。其职权范围还排除了直接金融风险。工作队尽可能利用现有工作，避免重复其他论坛已经涵盖的领域。工作组的工作包括文献综述、内部讨论以及与私营部门参与者的会议，以确定 CBDC 项目和举措的风险。工作队由智利中央银行首席风险官 Diego Ballivi á 领导。分组由墨西哥银行风险战略和项目管理司经理 Atoieta Campa 领导 ； 智利中央银行运营风险经理 Mar í aJes ú s Orellaa ； 和国际清算银行网络复原力协调中心主任 David Whyte 。完整的成员名单见附件。本报告的目的是为中央银行提供一个综合框架 ， 使他们能够评估与 CBDC 相关的运营和网络安全风险。这可以为与潜在 CBDC 相关的设计选择提供信息 ， 并帮助中央银行开发工具和流程 ， 将发行机构的风险降至最低。报告的结构如下 ：第 1 节提供了 CBDC 的背景信息，重点是主要的设计选择。这很重要，因为不同的设计选择可能对中央银行面临的风险产生重大影响。第 2 节提供了执行 CBDC 综合风险管理评估 (IRM) 的框架。拥有 IRM 至关重要，因为 CBDC 的复杂性及其运营弹性的重要性意味着运营风险 （ OR ） 评估不足以应对其风险。Sectio.3 解决了 CBDC