内 容 摘 要
随着我国加入WTO,金融业已融入全球竞争的大环境中。毋容置疑,在激烈的同业竞争中,谁拥有了以高科技武装的最新、最强大的网上优势和现代化的服务手段,谁就拥有了占领市场和求得发展的先机。电子银行正是顺应这一要求应运而生,因此可以说,谁在电子银行业务上抢占了先机,谁就能在金融同业中赢得竞争优势。从长远看,电子银行业务一旦成为一项常规服务渠道,就没有一家银行能在功能和服务上占住绝对优势。
另一方面,由于电子银行具有网络化和虚拟化的特点,其潜在风险已日益凸现,并已引起全球金融界高度重视。如何有效地防范电子银行的风险,已成为当今金融界最重要的课题之一。
本^文档从以下几方面从我国电子银行发展现状及面临问题出发,探讨我国电子银行的发展及其风险防范问题。
一、我国电子银行发展的现状及其存在的问题
二、电子银行业务风险分类
三、衡量电子银行风险的指标体系及预警系统
四、建立电子银行业务风险防范机制和策略
“关键字”:风险及防范(本文主要阐述电子银行的发展及其风险防范问题)
电子银行业务发展及风险防范
电子银行(Electronic Banking)又称为电子银行业务,就是指能够通过网络和电子终端为客户提供自助金融服务的虚拟银行,包括网上银行、电话银行、手机银行、企业银行、TV银行、ATM、自助银行等。
电子银行业务是依托传统业务发展起来的新兴业务,因此电子银行业务风险除有传统业务的系统风险、道德风险、信誉风险之外,还具有网络风险、技术风险、法律风险、监管风险、制度风险和操作风险等等。虽然有些风险如网络风险、法律风险、监管风险、道德风险等不是商业银行单方面所能控制和规避的,但是在商业银行内部建立健全电子银行业务风险防范体系,把风险控制在最低限度,防患与未然,也是电子银行业务能否健康发展的前提。
随着计算机网络技术的发展,国内外银行大量推广POS机、电话银行、网上银行等电子银行服务。目前,美国70%、日本50%的家庭使用电子银行服务,发达国家银行的电子银行业务量占全部银行业务量比重达50-70%;国外85%的银行投资发展网上银行业务,国内商业银行也相继推出网上银行业务,而且近几年业务发展迅猛。据世界银行预测,2005年,工业国家网上银行在银行业中的比重将由目前的8.5%上升到50%,新兴市场国家将由1%上升到20%。B2B交易量将达6.3万亿美元,电子银行业务无疑将成为全球金融业最有活力及竞争力的领域之一。另一方面,由于电子银行具有网络化和虚拟化的特点,其潜在风险已日益凸现,并已引起全球金融界高度重视。如何有效地防范电子银行的风险,已成为当今金融界最重要的课题之一。本文从我国电子银行发展现状及面临问题出发,探讨我国电子银行的发展及其风险防范问题。
一、我国电子银行发展的现状及其存在的问题
(一)电子银行的发展现状
自1997年4月招商银行开通了交易型的网上银行业务以来,我国的网上银行业务得到迅速发展。截止2002年底,国内正式建立网站的商业银行共有41家(其中10家为外资银行分行),开展交易型网上银行业务的商业银行有31家,网上银行的企业客户已超过6万户,个人客户也超过4000万户。但我国的电子银行业务基本上是传统业务流程,大部分业务是传统业务在网上的“翻版”,业务量主要集中在帐务查询和转帐两方面,网上交易的71.4%是企业和个人的转帐,产品创新较少。与发达国家相比,发展层次较低,服务功能尚不完备,风险防范措施有待加强。
2002年在所有银行业务中,西方国家网上银行业务量所占比重为15%左右,而我国相应的指标还不足2%。另一方面,据世界银行预测,到2005年,我国网上银行业务量占银行业务量比重将达20%左右,而美国相应的指标将达50%。可见我国电子银行发展水平还相当低,但发展潜力巨大。
(二)电子银行业务发展面临的问题
目前电子银行内控管理方法还存在较大的风险或者难点,主要表现形式有以下几种:
1、操作风险。操作风险主要来自于银行内部员工和客户,属于非故意行为所致。银行内部员工方面,一是操作失误,员工对电子银行业务不熟悉、操作流程不熟练,导致误操作而引发结算纠纷或案件事故。二是安全意识淡薄,操作人员密码管理不严格,密码口令使用周期过长或使用初始化密码,操作人员离岗不签退或操作人员移交手续不严密等。银行管理人员对安全管理重视不够,未能按制度规定授权业务,管理办法落实不到位,在配备业务人员出现违规行为,造成管理漏洞。客户方面:对电子银行业务环境不熟悉,不按规定操作,不熟悉电子银行交易规则而出现非正常交易,信息、指令发错,集团客户内部不按规定授权等等。
2、审核风险。审核风险其实也是属于银行内部操作问题,但更多体现于业务人员的责任心不强。一是基层行在受理电子银行业务时对客户注册变更^^文档审核不认真,导致相关^^文档内容不全或对应关系不相符的情况发生。二是办理付款指令业务中,相关人员未按规定对有关凭证,特别是手工类指令和可疑指令进行认真审核或越权审核或一人多岗,业务处理过程中存在着漏洞,隐患较大。三是二级分行制证部门对客户信息^^文档未认真审核,证书制作不认真,存在着ID号不符或证书的权限不合规定的情况,易造成银行或客户资金流失的风险。
3、监管风险。我行现行的监管手段主要通过稽核、检查辅导、事后监督三个途径实施,但电子银行上马至今,虽然有开展过专项稽核活动,但日常的监督力度却不到位。一是监督机制未健全,二是未对检查人员进行专业知识培训,对电子银行还不甚了解,难以发挥监督检查作用,形成了监管漏洞。
4、证书管理风险。客户证书是客户办理电子银行的通行证,是客户身份的证实,同时也是防止非客户的一道门,应是电子银行内控管理中的关键点。但在实际开展工作中,却重视不够。一是在客户领证时银行方未认真审核有关证件,二是银企签收手续不严密,三是未按制度要求办好“送证上门”业务,四是证书未能安全妥善保管。诸多情况导致风险的存在。
5、凭证或^^文档管理风险。一是专用的付款指令凭证未作为重要空白凭证管理并纳入表外核算,或因管理不严密被偷盗、丢失或内外勾结违规对外提供凭证等导致的风险。二是客户电子银行^^文档未作为永久性会计档案妥善保管,或丢失或内容不齐全导致日后业务纠纷的风险。
6、法律风险。一是与客户签订的各种电子银行业务协议手续不完整,缺乏规范性,存在着签章不完整、乱盖章和未盖章的现象,法律意识淡薄。二是电子银行业务处理手段现代化,在瞬间内完成资金的支付和划拨,因此网络安全的风险性也易导致法律纠纷。
(1)电子交易的观念还相当淡薄
虽然电子银行在我国已经有了很大的发展,但有相当一部分人对电子交易是否货真价实心仍存疑虑,人们的观念及素质还跟不上网络技术的发展。电子交易不仅需要网络终端设备的普及,还需要参与者对电子商务及网络技术的熟练掌握和运用,而这几方面我国都还相当薄弱。
(2)缺乏全国统一、权威的CA认证中心
目前,国内几家网上银行都是直接或间接地靠自己建立的CA。从规范的角度讲,只有国家出面建设统一公用的认证中心,才能起到认证中心中立、权威的作用。
(3)信用机制不健全,市场环境不完善
尽管我国的市场经济已经有了很大的发展,但我国的信用体系发育程底低,目前商业银行电子支付系统各自为政,企业及个人客户资信零散不全,有关信息资源不能共享,其整体优势没有显现出来。
(4)安全防范:确保银行身份的正确性,确认客户身份和保证数据的保密性和完整性,是电子银行发展的根本保障。由于互联网本身的开放性和电子银行在技术上的复杂性,信息安全问题成为电子银行建设过程中的核心问题。
(5)法律法规仍相对滞后
目前电子银行采用的规则都是协议,与客户在言明权利义务关系的基础上签定合同,出现问题则通过仲裁解决。由于缺乏相关的法律,问题出现后涉及的责任认定、承担、仲裁结果的执行等复杂的法律关系是现在难以解决的。
(6)金融品种单一、系统整合性较差
要建好一家电子银行,首先应该基本具备如下特征:服务全能化、风险分散化、信息一体化、业务市场化、标准国际化和手段电子化。
(7)外资银行的冲击
随着我国加入WTO,国外银行必然会依托其雄厚的资本、先进的经营管理方法、新型的金融产品、信息技术的高效应用和优良的服务质量等,和国内所有的金融机构展开激烈的市场争夺。
二、电子银行业务风险分类
尽管电子银行业务风险种类繁多、内容和表现形式不一,但大体可划分为操作风险、声誉风险和法律风险和其它风险等。
(一)操作风险
操作风险指由于内部程序不完善或失效以及有关制度、系统或人工操作出现问题,或外部因素引起的风险。具体又包括安全性风险、系统的设计、运行与维护风险、客户滥用产品和服务风险等。
(1)安全性风险
由于电子计算机功能的增强,线路入口点在地理上的分散性,以及包括因特网之类公共网络的各种通讯系统的使用,对进入银行的核心会计系统和风险管理系统的控制变得日益复杂化,各种具体的访问和认证问题可能发生,使电子银行系统遭受外部攻击。银行还会由于员工欺诈和疏忽造成的过失而面临风险。
(2)系统的设计、运行与维护
银行面临其选择的系统设计不完善或运行不顺畅的风险。例如,电子银行系统可能与客户的需求不匹配,业务发展滞缓;外部服务供应商可能不具备必要的专业技术或不能及时更新技术或因自身企业不能履行义务技术服务;应用系统瘫痪不能及时恢复正常等等;由于信息技术的发展日新月异,银行面临系统被淘汰等等的风险。
(3)客户滥用产品和服务
与传统银行业务一样,客户的误用(无论有心还是无意)或未经适当的安全防范培训都会导致风险。
(二)声誉风险
声誉风险是指由于负面的公众舆论对银行造成的风险,致使银行建立和维护客户关系的能力严重受损,导致资金筹措或客户群方面的重大损失。例如网上银行产品和服务或流程产生了负面公众舆论,以致严重地影响了银行的收益或损害了银行的资本,这时便产生声誉风险。它会影响银行建立新型客户关系、使该机构面临诉讼、资金损失或声誉损失。
(三)法律风险
法律风险是指由于违反法律、法规、规章或交易习惯或职业道德伦理标准,或者与之不一致,或交易各方的权利和义务未能合理分配,或者通过电子媒介订立的协议效力不确定等情况而造成的风险。
对于从事电子银行业务的银行,未适当告知客户权利义务、未向客户提供充分的隐私保护;有的银行将其网站与其他网站链接,黑客可能利用被链接的网站欺诈银行的客户;随着电子商务的发展,银行会力求在电子认证系统中占有一席之地,如果双方的权利义务未能在合同中明确或那些信赖证书的各方遭受了损失,都可能使银行面临法律风险。
(四)其他风险
包括战略风险、信用风险、流动性风险、利率风险、市场风险和国家风险等。
三、衡量电子银行风险的指标体系及预警系统
(一)衡量电子银行风险的指标体系
(1)总体指标---资产损失率
电子银行的风险可分为以下两大类:
A、传统银行业务风险在电子银行业务中的体现;
B、电子银行经营环境特有的风险,主要包括:操作风险、声誉风险、法律风险和其他风险。
虽然这两大风险可以细分不同的种类,但不管出现哪类风险最终都体都会给银行资产造成一定的损失.故资产损失率能从总体上反映电子银行风险的大小,并成为衡量电子银行最重要的指标之一.资产损失率=各种风险损失额/电子银行总资产
(2)分类指标
资产损失率,作为衡量电子银行风险的的总体指标,它总括地反映了电子银行业务的风险情况,但不能全面反映风险的具体成因,因此,还应按风险类别设立分类指标,以反映风险全貌:
①操作风险指标
a.年黑客攻击和入侵次数
电子银行业务是在一个开放的网络环境进行的,电子银行的计算机信息系统遭受黑客攻击和入侵在所难免,而黑客攻击和入侵则是形成电子银行风险的主要成因之一,因此应设立年黑客攻击和入侵次数指标,此指标值越高,说明潜在的风险越大,应引起管理者的足够重视。
b.黑客攻击和入侵次数成功率
年黑客攻击和入侵次数多,只说明潜在的风险比较越大,而真正会造成实际的是成功率,黑客只有成功入侵才可能造成危害,导致银行损失,这些损失主要包括:a,破坏系统,造成系统瘫痪;b,破坏客户^^文档,使客户不能正常使用电子银行服务;c,直接盗用客户资金。这就说明一旦成功给银行造成的损失可能无法估量,因此,成功率高,说明系统安全存在巨大风险,应及时变更系统安全防护措施,提高系统安全等级标准。
c.年病毒感染次数
电子银行计算机系统一旦感染病毒,轻则资源被病毒耗尽,重则破坏应用程序或数据库,都可能导致系统瘫痪,客户没有办法正常办理业务。病毒对电子银行信息系统所构成的威胁,绝不可低估。借助此指标,可评估系统抗病毒能力强弱,如果抗病毒能力强弱就应该考虑从硬件和软件两方面着手提高系统的防抗病毒能力。
d.交易笔数差错率
此指标主要用于衡量因电子银行系统本身存在缺陷,导致系统没有正确执行客户指令的笔数占总交易笔数的比例,此类错误通常包括交易失败和交易差错,此指标可用评估系统的稳定性和可靠性。
e.交易金额差错率
此指标与上一指标类似,但唯一不同的是本指标是从交易金额来评估系统风险。
f.年系统发生故障次数
系统发生故障,产生的原因可能是:WEB服务器、数据中心服务器或整个互联网络出故障。此指标也反映了电子银行系统的稳定性,系统如果不稳定,将可能影响或损害到客户的权益;也会给银行带来潜在的法律风险和声誉风险。
②声誉风险指标
声誉风险指标=因声誉风险造成的客户(服务)流失所产生的损失。
③法律风险指标
法律风险指标=因法律风险造成的损失额
④其它风险指标,包括信用风险指标、流动性风险指标、利率风险指标等。
(二)电子银行风险的预警系统
由于电子银行的风险包括传统银行业务风险及在电子银行经营环境特有的风险两大类型,因此,电子银行风险的预警系统应包括:传统银行业务风险的预警系统和电子银行经营环境特有的风险的预警系统。
1、传统银行业务风险的预警系统传统商业银行的风险,比如信用风险、流动性风险等,在电子
银行交易环境下依然存在,只是表现形式不同或更复杂而以。就目前我国电子银行发展现况,至少应对以下三种交易所可能产生的风险发出预警:
(1)贷款户资金不寻常的转移
在通过传统方式办理银行业务的情况下,对于出现贷款未还清的客户有大笔资金交易时,可发放柜台业务员通常会认真审核转账用途的合法性,以避免客户恶意逃避债务。在电子银行办理业务的情况下,交易主要操控在客户手中,同行转帐由于是采用联机交易,银行较难通过人工进行事先控制,给银行带来信用风险;因此,在内部管理系统设置贷款户资金不寻常的转移预警系统,对所有符合预先指定条件下转帐行为及时通知有关人员,进行必要的风险控制,以使损失降到最低。
(2)大笔资金的单方向跨地区或跨行转移
对于大笔资金的单方向跨地区或跨行转移,不管是转入或转出,如果没有做好预警,并及时采取必要的措施,就可能导致头寸的出超或不足,给银行带来风险。头寸的出超如不适当拆借出去或上缴人行超额准备金,就会使银行损失机会成本。而头寸不足如不及时应对则可能产生流动性风险,所以设置大笔资金的单方向跨地区或跨行转移预警很有必要。
(3)不良行为记录
对于恶意透支,在账上余额不足的情况下,频繁提交付款指令的行为应在内部管理系统设置不良行为预警系统,并记录在案,以便开户行及时掌握企业的信用情况,加强会计结算管理。
2、电子银行经营环境特有的风险的预警系统
(1)非法访问及黑客攻击预警
可以通过防火墙的审查跟踪机制,实时检查是否有非法入侵行为,设定某类操作的超限报警机制。例如,某未被授权者连续5次试图访问某ID地址,防火墙就应及时发出通知,通知有关人员及时采取必要防范措施。
(2)非正常交易预警
应对电子交易进行实时监控,发现异常交易情况,应能及时触发预警系统,通知有管理人员及时处理。比如说:同一账户短时间内出现大量资金的进出,或者,某一客户多次提交超权限的交易指令等情况,就应发出预警。因为前者可能涉及洗钱等犯罪行为或资金到用;而后者则可能是黑客入侵。
(3)系统运行情况预警系统
应设置自动和人工的系统运行状况监控预警系统,对整个系统运行实时监控,当出现不寻常访问或交易时,就应及时发出预警以便进一步查明原因,比如出不正常很少的访问或交易数量,就应检查系统运行是否正常,客户能否正常登陆交易。
四、建立电子银行业务风险防范机制和策略
针对电子银行面临的与技术相关的风险问题,商业银行应采取技术安全措施、外部资源的管理、专业技术的培训和应急措施的建立等手段进行风险防范,以确保自身健康发展。
(1)电子银行的技术安全措施
技术安全措施包括很多种类,比较常见的有密码技术、口令、防火墙、防病毒和主服务器的管理等。应用密码技术防止黑客的入侵,防止内部人员随意泄露有关的^^文档和信息,保持^^文档的秘密性。利用口令(Password)控制机器设备,防止无关人员随意进入和使用设备的技术措施,同时采用各种系统化的措施来管理口令。使用智能卡作为进入系统的“身份证”,采用生物技术措施来识别有关当事人身份。通过防火墙将银行的内部网络和外部网络分割使外部人员无法随意地进入内部网络,或将内部网络加以分割使不同级别、不同岗位的人就无法随意进入其他部门,或将不同保密程度的信息放置在不同的位置,或将实际的设备分开放置、集中保护。
在采取技术安全措施的同时辅以相应的管理和内控措施,如对银行可以获得机密信息的内部职员进行严格审查,对特殊岗位的人员采用类似于双人临柜等责任分离,相互监督等手段来进行控制,杜绝可能产生潜在风险。
(2)外部资源的管理
目前电子银行的一个趋势是:越来越多的外部技术厂商参与到银行的电子化业务中来,可以是一次性的提供机器设备,也可能是长期的提供技术支持。外部厂商的参与使银行能够减少成本、提高技术,但这并不能减轻银行所承担的风险。为此,银行应该采用有关措施,对外部资源进行有效的管理,比如要求有权对外部厂商的运作和财务状况进行检查和监控,通过合同明确双方的权利和义务,包括出现技术故障,或消费者不满意的时候,技术厂商应该承担的责任。同时,还要建立一旦某一技术厂商出现问题时,是否有其他可替代的资源。作为监管机构,也需要保持对同银行有联系的技术厂商的监管。
(3)专业技术的培训
由于电子银行是技术的产物,使内部员工具有相应的技术水平也是风险管理的一个重要方面。这些培训包括各种各样的方式,比如专门的技术课程,要求员工参加业内的研讨会、工作小组。同时,保证相应的技术人员能够有时间进行研究、学习,跟踪市场和技术的发展状况。除了对银行的员工进行技术培训之外,还应该对客户进行教育和培训,教会他们如何使用银行的设备,出现问题怎么办,并通过培训向客户披露有关的信息,比如银行主页上建立的连接点的性质,消费者保护的措施,^^文档保密的要求等等,以此减少相应的法律风险。
(4)应急措施的建立
电子银行给客户带来了便利,也可能在瞬间内出现故障,让银行和客户无所是从。因此,建立相应的应急措施显得非常重要。应急措施包括一系列措施和安排,比如^^文档的恢复措施,替代的业务处理设备,负责应急措施的人员安排,支援客户的措施等等。这些应急的设施必须定期加以检测,保证一旦出事之后,确实能够运作。
针对我国电子银行的经营现状及存在问题,我们应及时调整经营战略、积极采取有效对策,促进电子银行大力发展。主要应采取以下策略:
(1)重视战略研究,确保电子银行良性发展
为适应网络经济快速变化的特点,银行要有前瞻性的战略思维,要结合国情和银行本身的实际情况,制定超前的、适于滚动发展的电子银行战略规划和人才、技术储备计划。
(2)全面促进金融创新、尽快完善银行制度
随着网络技术的发展,应十分重视对银行电子化的框架体系、应用网络系统和技术标准的整合。
(3)尽快建立和完善我国互联网法律体系
在电子银行市场准入、电子资金支付结算、储户隐私权、储户权益保护、网上交易税收、网上支付(银行卡支付、电子支票和电子现金)、电子合同、电子签名等方面,视条件成熟情况,尽快制定有关电子银行建设与发展的规定、办法、规则、条例和法律等。
(4)创建新型的金融监管体系
人民银行应尽快制订统一银行业网络安全标准,推广全国金融认证服务体系。在充分重视规避风险、确保适度安全的前提下,积极促进电子银行业务的发展。
(5)建立健全社会信用体系
建立个人信用体系和健全企业信用体系。银行业要首先进行内部信用体系建设的整合,然后充分利用现代网络技术,促进银行、保险、证券和税务等部门联手开展企业资信调查,建立跨行业、跨地区(甚至可能跨国界),有深度、有精度的企业信用管理体系。
(6)抓住机遇,迎接挑战
在新形式下,为了应付网络经济的超国界运行给我国银行带来的更大冲击,我国要尽快加入全球电子商务组织。我国银行业要抓紧进行体制改革和战略性的结构调整,建立开放型金融结构;尽快按照国际先进水平的电子银行的要求,采用统一的国际标准、扩充功能;尽快参照国际银行的惯例,从规章制度上明确银行中间业务收费的项目和标准,以调整收入结构;尽快利用成熟技术和先进经营理念,实现电子银行跳跃式发展,积极参与国际竞争,提高经营效益。
资 料 来 源
参考文献:
1、《中国金融》, 电子银行的资源整合与组织协调、作者:张迎春 程旺江
2、《中国城市金融》。工商银行电子银行业务发展战略 作者:侯晓根 周修启
3,《云南城市金融》。电子银行业务发展中存在的问题及营销对策作者:佶芬
