一、网上银行的特点
二、网上银行对银行业风险管理的挑战
三、网上银行风险管理的对策建议
内 容 摘 要
网上银行作为银行业务与互联网技术结合的产物,以其方便、快捷、不受时间和空间限制的特点而得到广泛应用和发展。网上银行改变了传统金融机构的经营方式和业务运作模式,提高了服务质量和效率,降低了服务成本,但另一方面它也赋予了银行一些新的特征,这些新特征会增加和改变传统银行实践中的风险。网上银行区别于传统银行所面临的主要风险有策略风险、操作风险、声誉风险和法律风险,其中又以操作风险最为常见,影响也最直接。银行管理层应充分认识到网上银行的风险性,并加强控制和监督。主要应从加强客户身份审查、建立交易实时监控、对客户进行风险意识教育、完善相关技术标准、加强内部操作人员和外部资源的管理等方面入手,并建立健全网上银行的相关法律法规,从而规范和完善网上银行业务的风险管理。
论网上银行的风险管理
随着信息技术的发展,互联网已经成为当今时代的一个标志性符号,改变着人们的工作和生活方式。网上银行作为银行业务与互联网技术结合的产物,以其方便、快捷、不受时间和空间限制的特点而得到广泛应用和发展。据不完全统计,我国主要商业银行2006年度电子银行交易金额达到122万亿元,比上年增长101.48%;其中网上银行交易金额达95万亿元,比上年增长80.79%,网上银行交易笔数11.5亿,比上年增长161%,网上银行客户数量达到7495万。网上银行已经成为银行业新的经济增长点。
与此同时,网上银行这一全新的金融模式也引发了金融机构经营管理模式、金融市场结构、金融业务运作方式和金融风险管理等方面的一系列重大变革。
一、网上银行的特点
按照中国银行业监督管理委员会颁布的《电子银行业务管理办法》中定义:电子银行业务,是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。电子银行业务包括利用计算机和互联网开展的银行业务,简称网上银行业务;利用电话等声讯设备和电信网络开展的银行业务,简称电话银行业务;利用移动电话和无线网络开展的银行业务,简称手机银行业务;以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务。
网上银行作为一种新的银行经营模式与传统银行相比具有以下特点:
1、网上银行充分利用了互联网这一开放式公众网络作为载体,使服务突破了时间和空间的限制。客户可以在任何时间、任何可以接入互联网络的地点进行交易,甚至跨越国境进行交易。通过计算机网络,可以在瞬间将资金从地球的一端传到另一端。同时,网上银行利用互联网能够提供全球化的金融服务,可以快捷地进行不同语言文字之间的转换,为银行开拓国际市场创造了条件。传统银行是通过设立分支机构开拓国际市场的,而网上银行只需借助互联网,便可以将其金融业务和市场延伸到全球的每个角落,把世界上每个公民都当做自己的潜在客户去争取。
2、网上银行提供了交互式、个性化的服务。网上银行与客户之间采用一对一金融解决方案。客户可以在任何时间、任何地方通过电子邮件、账户查询、贷款申请或档案的更新等途径,实现网络在线实时沟通,使金融机构在与客户的互动中,实行有特色、有针对性的服务。客户通过网上银行提供的服务菜单自主选择适合自身的各项服务,查询各类相关信息,使客户能够产生自主管理自有资金的意识,增强客户对银行的认同感。从而促进银行产品的营销。
3、网上银行虚拟化程度高。传统银行都有固定的建筑物作为营业场所,有营业人员办理柜台交易,而网上银行没有建筑物,没有地址,没有营业人员,只有网络地址这一虚拟化的电子空间。传统银行虽然可以通过ATM、POS等清算网络,部分地实现资金电子划拨,这种清算方式仍是基于纸币流通的基础之上的电子支付方式。而网上银行作为电子商务的一环,作为电子货币发行流通的中介机构,开发各种电子票据、电子钱包等在线支付工具,更加适应21世纪的电子支付。
4、网上银行科技含量高,业务智能化。网上银行运用了大量的计算机技术和网络技术,将传统银行业务转变为呈现在网络终端上的网页,用智能化的计算机处理取代了传统银行的人工服务。通过这种模式有助于缓解银行柜面压力,降低服务成本,为银行客户节约时间。
二、网上银行对银行业风险管理的挑战
网上银行的出现,改变了传统金融机构的经营方式和业务运作模式,提高了服务质量和效率,降低了服务成本,但另一方面它也赋予了银行一些新的特征。这些特征包括技术和客户服务变革的加速,网络的开放性和全球性,银行和计算机系统的结合以及银行与提供必要技术信息的第三方日益紧密的依存关系。虽然这些新特征并不会必然带来新的风险,但这些新特征会增加和改变传统银行实践中的风险。网上银行面临的区别于传统银行主要风险主要有:
1、策略风险
策略风险是指某一机构的战略目标、业务决策、投入的资源与实施的效果之间不相一致而带来的风险。在网上银行业务中,技术的不断变革和竞争的加剧加大了银行的策略风险。这主要是因为,一方面,网上银行更多的依赖技术支持,但是技术变革又是快速的,所以可能出现银行决定采用的新技术在短期内被淘汰,这就会造成实际结果和预期目标不相符合,从而造成风险。另一方面,由于银行的客户在接受在线服务的同时,也同样希望和银行保持原有的关系,这样就使得银行不得不使用多重支付方式(既有传统支付方式也有网上银行的支付方式),从而使银行服务增加了额外的成本(从短期来看)。与新设立的仅用网络提供服务的银行相比,传统银行就处于劣势,这就易造成策略风险。就此而言,银行的管理者在制定商业策略时就应考虑到如何使网上银行业务能增强银行的竞争力和效益,又不增加策略性风险。
2、操作风险
操作风险是指由于银行内部控制和信息系统的缺陷带来的不可预见的风险。网上银行更多地依赖于计算机技术,与传统银行业务相比,网上银行的操作风险是各种风险中最为常见的也是最为直接的一种风险。
(1)客户操作带来的安全风险
图一 传统银行业务办理流程示意图
传统的银行业务由于有柜面人员提供面对面的服务(如图一所示),同时如现金收付、凭证检查、身份验证等一系列柜面制度经过数百年历史的发展,已经非常完善和成熟。比较典型的制度要求有:
·所有交易都应有客户签章的凭据可查。
·日中轧账必须帐款相符、帐据相符、帐表相符、帐实相符、帐帐相符和内外帐相符。
·大额现金支付需提前预约。
·营业场所应配备监控设备,能对可疑交易进行回放检查、取证。
而网上银行以互联网上的web页面代替了传统银行的人工服务。如图二所示:
图二 网上银行业务办理流程示意图
网上银行与传统银行业务办理中的风险监督制约机制相比主要有以下特点:
·网上银行通过客户账号和密码对客户身份进行验证,而且这种验证是通过性的,验证一旦被确认,所有交易办理均被计算机系统认为是合法的。虽然目前大多数网上银行在进行支付交易时采用了二级密码、数字证书、USB Key盘等二次验证工具,但与传统业务的实体凭证相比较这些认证仍然是数字化的、虚拟的认证。由于《电子签名法》的颁布实施,这些数字签名不可否认性的法律地位得到了认可,但因客户密码泄漏造成的民事纠纷仍会对银行的声誉造成重大影响。
·网上银行只有交易流水这一数字信息记录,没有实体凭证和帐薄,传统的现场稽核和审计方法已经不再适用。传统银行的现场稽核和审计工作主要是审阅凭证、帐簿和报表,通过核对帐据、帐表等是否达到六相符。而网上银行随着纸质凭证、帐簿的减少,以及网络信息系统本身的核对、检查和内部控制功能,除了帐款和帐实要实地监盘以外,传统意义上“查帐”的重要性已大大降低,稽核和审计的方式方法必须更多地结合网络技术、信息技术和现代通信技术来进行账务审查。
·网上银行没有现金交易,只有虚拟货币进行流通,没有对大额款项的流动进行监督的机制。
·网上银行的所有交易行为均在远程进行,银行无法对进行交易操作的人员进行监控和取证。
(2)计算机系统带来的安全风险
网上银行采用开放性的支付系统在为银行带来方便和快捷的同时,也带来了新的安全问题。
首先,由于系统的开放性,使黑客可以采用某种特殊的技术手段通过外部网络直接进入银行的内部系统,或者对传入银行内部系统的数据信息进行监听、窃取或篡改,从而影响账户数据的安全。
其次,与传统银行相比,网上银行需要更多的依赖于外部资源,如软硬件提供商,电信公司或其它的第三方服务提供商。这些服务提供商提供服务可以节省人力和物力,同时有利于银行利用高科技方便快捷的提供服务,但同时也相应增加了银行的风险。如,有可能因为外部服务提供商的服务中断或是提供瑕疵服务而导致银行声誉以及实际收益上的损失。另一方面,使用外部资源有可能会带来额外的风险,即隐私权和数据保密问题。这是由于因为服务提供商在提供服务时必然会有大量的客户数据或是银行的商业数据保留在服务提供商的信息系统中,相关数据的所有权和使用权的归属又是不明确的,所以会带来新的风险。
(3)内控制度不完善带来的安全风险
网上银行其“系统直接进入”的特性,要求网上银行必须有完善的内控机制以防范来自外部和内部的欺诈,从而保证银行系统的稳定和安全。另外,由于网上银行是一项新兴技术,所以操作人员缺乏相关技术支持和操作实践,也会给网上银行带来较大的内控风险。
3、声誉风险
声誉风险是重大的负面公众评价所带来的资金和客户损失方面的风险。而网上银行越来越依赖于网上技术来提供服务,这为银行降低了交易成本,同时也潜在地加大了声誉风险。如果一家银行出现重大的影响广泛的系统缺陷或是重大的安全事故(病毒的破坏或是黑客的入侵造成系统故障和^^文档的丢失),就像多米诺骨牌效应一样,会导致客户对网上支付方式产生怀疑甚至对整个网上银行业产生不信任感,从而影响了银行的声誉。另一方面,声誉风险也来自于客户的错误操作或是疏忽。安全风险会被夸大从而导致客户对网上支付方式失去信心。
4、法律风险
网上银行依赖于自动化程度较高的技术和设备。而这些复杂的技术和设备又不可能绝对不出问题。因此,和传统的银行相比较,技术风险成为网上银行所面临的最特殊的风险,在具体的网上银行业务中,常常会转化为法律风险,并使银行承担相应的民事责任。
另外由于网上银行是一项新型业务,其相关法律制度尚未完全构建完备,所以就有可能出现现行的法律如何适用、是否需要新的法律加以调整的问题。由于法律的滞后,银行在从事网上银行业务时相关规定的不确定性会给银行带来潜在的法律风险。
三、网上银行风险管理的对策建议
1、银行管理层应充分认识到网上银行的风险性,并加强控制和监督。
巴塞尔委员会把网上银行风险管理分为三个步骤:评估风险、管理和控制风险,以及监控风险。评估风险实际包含了风险识别过程,不过,识别风险只是一个最基础的步骤,识别之后,还需要将风险尽可能地量化。经过量化以后,银行的管理层就能够知道银行所面临的风险究竟有多大,对银行会有什么样的影响,这些风险发生的概率有多大等等。
在此基础上,银行的管理层要确定本银行究竟能够忍受多大程度的风险,以及在这个风险范围内能够接受多大程度的成本投入以确保营业利润最大化。管理和控制风险的过程实际上就是各种各样相应的控制措施、制度的采用。最后一个步骤即风险的监控是建立在前两个步骤基础上的,实际上是在系统投入运行、各种措施相继采用之后,通过机器设备的监控,通过人员的内部或者外部稽核,来检测、监控上述措施是否有效,并及时发现潜在的问题,加以解决。
巴塞尔委员会2003年7月发布的《电子银行业务风险管理原则》针对网上银行的策略风险明确了董事会和经理层的管理原则。我国《电子银行业务管理办法》对金融机构开办电子银行的条件中有所提及,但缺乏明确的条款对银行董事会和经理层的管理进行规范和说明。根据当前网上银行的发展现状和制度实施情况,网上银行的管理层还应做到以下几点:
(1)鉴于电子银行对技术结合紧密的特点,应对管理人员的资格要求方面增加额外的要求。即要求电子银行的中级管理人员必须熟悉电子银行的运作所需要的技术要求,同时要求电子银行必须专门雇佣一名专业技术总监,负责管理和监控电子银行运作所需要的信息技术系统,并及时更新银行运营所必须的信息技术。
(2)明确董事会和经理层的主管人员负有建立有效且完善的风险管理机制的义务。所以董事会和经理层必须制定相关的风险监管计划和活动准则以指导银行的日常运作,同时持续关注银行运作的环境,以确保其风险管理框架与银行的规模和开展的相关业务活动相适应。而技术多变性会改变银行在提供电子银行服务时所面临的风险的范围、复杂性和风险的大小。所以银行必须在制定风险监管计划时应保持有一定的弹性以保证银行能及时有效的将对现有风险的监管措施调整至适应对新风险的监管要求的水平上来。另董事会必须定期审查银行的安全报告和业务执行报告,监督银行的事故恢复系统的运作,制定银行策略性运作指南。
(3)明确董事会和经理层在管理银行事务时应尽到合理的注意义务。虽然银行的董事会并不担保银行的运作成功,但是其必须确保银行日常的经营活动符合相关法律的规定并且是以安全审慎的方式进行运作的。
2、针对风险管理薄弱环节采取各种措施降低操作风险。
《电子银行业务风险管理原则》针对网上银行业务操作风险控制提出了七条原则,涵盖了客户身份认证、电子交易责任认证、电子银行管理职责分解、授权制度、交易数据保护、电子交易审计和客户信息保密等各个方面。总体而言,这七条原则已经覆盖了电子银行可能出现操作风险的各个层面,目前我国开办网上银行业务的各家银行都是根据这七个原则制定了相应的管理制度和操作规范。根据网上银行近几年的运行管理经验,在风险管理上仍存在一些薄弱环节,主要应从以下几个方面予以重视和改善:
(1)加强对客户身份进行审核。在账户开立时对客户身份进行审核可以减少诸如盗用身份、欺诈账户和洗钱等方面的风险。如果银行不能对客户的身份作适当认证,就可能导致未经授权的人员进入电子银行账户,出现欺诈、秘密信息泄露或无意卷入犯罪活动,并且最终给银行造成经济损失和声誉损害。在实际操作中,银行对客户的身份审核要达到准确无误还存在一定困难,仍需要多个部门的协作和相关配套制度的建立。例如:要求银行的业务系统必须尽快与公安部门的身份认证系统和人民银行的征信系统进行对接,并建立《银行用户身份认证体系》等制度对客户身份认证流程进行规范。
(2)建立交易监控机制,对可疑交易进行实时监控。鉴于网上银行业务主要采用计算机智能处理的特点,对网上银行风险的风险管理也应该更多依靠计算机和网络的优势,采用智能化的手段对可疑交易和敏感交易进行实时监控,并建立预警和报警机制。在网上银行交易操作程序的设计上也应参考传统银行的业务办理程序,进行一些有效的限制,例如:对大额资金的划转进行24小时提前预约,并对预约情况进行短信提示等等。
(3)对客户进行风险教育。由于网上银行的业务办理主要由客户自己进行操作,所以有可能会出现因客户的失误或疏忽而导致操作错误、密码泄漏的情况,因此要加强对客户进行风险教育。商业银行应以适当的方式向客户说明和公开各种网上银行业务品种的交易规则、权利和义务;应在客户申请网上银行业务时,向客户强调密码和数字证书等身份认证标记管理的重要性和交易风险,以及密码等身份认证标记泄漏或遗失可能造成的经济损失和相应法律责任。
(4)进一步完善网上银行计算机和通信系统的技术标准。制定网上银行相应的硬、软件标准、数据加密强度、密码产品、通讯安全控制措施等业务的核心安全技术等国家标准;对传输数据格式包括格式、用户接口(如IC卡)标准等关系安全的技术参数提出严格的最低限要求;加强网上银行的CA认证管理,早日结束CA认证各自为政的局面,真正实施全国统一的金融认证,同时完善证书发放、证书更新、证书查询、证书作废等管理。
(5)加强对内部操作人员的管理。为了防范内部操作人员的操作风险,必须制定相应的管理制度加强对内部人员的管理。管理制度应满足以下三个原则:
·禁止单人操作原则。网上银行中一些系统功能和程序基于其敏感性和重要性的特质必须由一人以上进行操作才能保证其功能运作的安全性。这些功能包括系统初始化、网络安全评估、准入系统的安装、防火墙的操作、创设密码等。
·职责分离原则。职责分离原则是指不同的操作人员在进行系统操作或是系统设计、数据库的管理、安全监控、备份数据的管理时必须明确其各个操作人员的义务和责任。
·准入控制原则。准入的特权必须是基于工作人员的职责所享有的。任何人不能凭借其职位和地位而取得特权而获取机密数据、系统资源或进入其它可利用设施。任何一个职员出于合法目的要获取机密数据或是使用系统资源均要通过身份认证。
(6)加强对外部资源的监控和管理。网上银行应通过订立书面合同明确银行与外包服务供应商之间的权利义务分配。合同中应明确规定:服务供应商提供服务的范围、所必须达到的水平、各方的责任分担、银行有权检测服务供应商的操作状况和财务状况;管理机构拥有基于银行法的规定对服务供应商的系统、操作流程、设施、职责进行管理和检查的权利;合同还必须对在提供服务过程中产生的数据的所有权、数据的使用权、客户信息的披露权限、对于通信认证及通告的责任分配、测试数据的要求、商业方法的知识产权进行明确界定。同时,银行应定期对服务供应商的业务活动、安全系统进行稽核,以保证服务供应商同样以安全和审慎的方式提供服务。
3、完善网上银行风险管理的制度环境建设
针对网上银行相关法律法规不完善所带来的法律风险,应加大网上银行的立法力度,制定调整网上银行业务关系的法律、法规,明晰网上银行各相关主体的权利义务;制订《数据保护法》、《电子资金划拨法》、《信息和通信服务规范法》等,对其他法律、法规和规则,如:《商业银行法》、《刑法》、《民法》及相关法规进行相应调整,逐步形成有法律许可、保障和法律约束的良好制度环境。 尽快补充和完善刑法上金融计算机犯罪的种类及相关条例,对利用电脑实施犯罪行为进行严惩;加强《刑法》中量刑力度,威慑黑客犯罪行为;制定有关隐私权保护的明确规定,以保护客户的正当权益。
参 考 文 献
1、巴塞尔银行监管委员会,《电子银行业务风险管理原则》,2003年7月
2、江立新、秦懿,《网络银行风险管理不容忽视》,中国政法大学法学院
3、颜海燕,《西方电子银行监管特点与借鉴》,《中国计算机报》,2006年2月21日
4、易传和、向莉,《网络银行内部审计研究》,《财经理论与实践》,2002年9月
