目 录
内容摘要
P3
前 言
P4
一、电子银行的发展历程
P4
二、电子银行的风险种类
P6
1.操作风险 P6
2.法律风险 P8
3.声誉风险 P10
三、电子银行风险的应对策略
P11
1.严密控制操作风险 P11
2.切实规避法律风险 P11
3.注意防范声誉风险 P12
四、电子银行的发展趋势
P13
参考文献
P14
内 容 摘 要
电子银行作为一项新兴业务,在经过几年持续高速发展之后,其风险也随之不断积累并对业务的发展产生了负面的影响。商业银行的电子银行业务在发展过程中也暴露了许多经营风险和安全隐患。如何正确认识电子银行业务风险并采取有效措施控制风险,已经成为电子银行业务可持续发展的关键。
关键词
电子银行 操作风险 法律风险 声誉风险
金 融 电 子 化 的 探 讨
——浅议电子银行的风险及应对策略
前 言
电子银行业务是银行通过电子化渠道向客户提供银行相关产品和服务,主要包括了商业POS机终端、ATM柜员机、电话银行、个人计算机、网络、手机等。由于方便快捷,电子银行正越来越为银行和客户所青睐,不少市民也正亲身体验着电子银行带来的方便与实惠。作为一种新的银行服务渠道,电子银行不仅是信息技术与现有银行业务结合的金融创新平台,更是柜台服务的补充和提升。银行通过拓展电子银行业务,在为客户提供更优质服务的同时,也可以充分利用电子信息技术提升核心竞争力,降低经营成本。
但与此同时,电子银行的安全问题也引起了越来越多的关注:短信诈骗、黑客入侵、病毒爆发、内控漏洞等问题使电子银行业务面临严峻考验,而网上银行最近频发的安全事件更是增加了人们对电子银行安全性的担心:对于客户来说,他们开始疑虑自己的财富是否会在眨眼间化为乌有;对于银行来说,安全事件给银行造成声誉和经济上的重大损失,而且今后还可能面对赔偿诉讼。因此,如何保证电子银行的安全、有效防范风险已成为了各银行的头等大事。
一、电子银行的发展历程
自20世纪70年代开始,伴随着金融全球化和新技术革命的浪潮,金融业创新加剧,新的金融工具与金融产品不断涌现,信息化浪潮逐步在深度和广度上向社会各个层面渗透,人们的工作方式和生活方式发生了巨大而深刻的转变。信息化迅速推动了网上银行、电话银行、POS、ATM等在银行中的广泛应用。自1995年10月美国安全第一网络银行成立之后,电子银行这一网络时代的金融创新逐渐成为商业银行增强其核心竞争力的焦点。
进入21世纪,电子银行在各发达国家的发展开始加速。截至2008年底,美国72.4%、日本58.1%的家庭已经广泛使用电子银行服务,欧洲各国的电子银行覆盖率也普遍超过了35%(见图一),电子银行业务已成为全球金融业最有活力及竞争力的领域之一。我国的电子银行业务同样经历了从无到有、从小到大的发展历程。继招商银行1998年率先推出了网上银行一卡通业务之后,各家商业银行纷纷推出了网上银行业务,近几年业务发展势头迅猛。
图一:
注:用户覆盖率采用独立用户访问量;且年龄均在15岁以上
数据来源:艾瑞咨询集团(://.iresearch.com.cn)
发展电子银行的重要性已被各家商业银行所认同。然而,伴随着信息化在银行中的快速发展,电子银行的潜在风险日益显现。由于电子银行业务与传统银行业务有很大不同,具有网络化、虚拟化、自助化的特点,在风险种类、风险控制的方法上表现出很大的特殊性。充分认识电子银行风险环节,有效防范风险,对银行业规避风险、保证电子银行健康发展、维护银行良好信誉有极其重要的意义。
二、电子银行的风险种类
与传统柜台业务相比,电子银行业务由于其独特的虚拟性和广域性,在为客户提供高效便捷服务的同时,也面对来自外部、内部的各种风险。电子银行业务发展的历程就是不断防范、抵御和化解风险的过程。
电子银行业务风险具体是指商业银行开办的电子银行业务在经营和运营过程中由于主观或客观因素诱发的,可能给银行带来资金、业务、声誉和法律损害的事件。电子银行业务的主要风险又包括了操作风险、法律风险和声誉风险等三类风险,这也是电子银行还未能在我国得到普遍推广的主要原因(见图二):
图二:
数据来源:艾瑞咨询集团(://.iresearch.com.cn)
1.操作风险
操作风险是指在电子银行业务安全体系的框架下由于内部程序不完善、人员和系统或因外部事件导致损失的风险。我们通常又将操作风险划分为客户操作风险、外部欺诈风险和内部控制风险。操作风险是电子银行营运过程中面对的主要风险,防范、化解和缓解操作风险是电子银行业务管理部门风险管理的主要工作内容:
1.1客户操作风险
据VISA国际组织公布的调查数据显示,超过85%的电子银行事故是由于用户的误操作造成信息泄漏和不具备基本的常识所造成。由于电子银行的很多业务都需要使用者具备一定的操作技能,如果客户操作不熟练,就有可能因为错误的操作而发生风险。还有一些客户的安全意识不强,将自己的银行卡账号和密码告诉他人,或在ATM机上取款后,随处丢弃回单,这都会给犯罪分子可乘之机去获得详细的银行卡信息来盗取客户的资金,从而造成客户经济的损失。
1.2外部欺诈风险
外部欺诈风险是指不法分子通过黑客攻击、木马病毒、网络钓鱼等手段窃取客户密码和资金的风险。例如黑客进入系统,令保密的客户信息被未经授权的第三方截取;系统被注入病毒而导致银行数据受到有意破坏和毁坏、交易信息被篡改;又或者客户密码过于简单而在电子交易时被后台木马盗取等。近年来出现的不法分子通过假网站、假短信、假电话银行窃取客户银行卡号和密码,进而盗用客户资金就是典型的外部欺诈风险事件(见下表)。
通过木马程序直接使用客户的网上银行证书
如果电脑被黑客成功移植了木马,那么当用户进行网上银行操作时,黑客就可能会利用木马程序获得账号密码,然后利用用户正在使用的数字证书,成功将正在使用的网上银行进行转账。这种情况可能实现的前提是:一、该台电脑被远程控制;二、该用户正在使用网上银行;三、用户没有使用手机验证等服务。
劫持客户的IE浏览器
在网银操作流程里,用户在IE浏览器中形成交易信息,再由IE浏览器把交易信息传递给数字证书进行认证。数字证书完全信任IE浏览器,即使一笔经过篡改的交易,也照样能进行认证。因此,如果一个木马病毒通过某些技术手段,能够完全控制IE浏览器,对网银用户的交易信息进行篡改。一旦用户确认交易,被篡改的交易就和正常交易一样,经过认证、发送,并最终执行。
页面"狸猫换太子"
当不法分子施放的病毒在监控到用户电脑在进行网上购物时,会把用户的当前页面跳转到黑客特别设置的虚假付款页面。由于网上购物的收款方一般都是同一家第三方支付平台(如拍拍网的收款方都是腾讯,淘宝网的收款方都是支付宝等),真假网页相似度很高,这种情况下常常有粗心的用户点击确认付款,结果把原本正常购物的钱,付给了黑客虚设的账号上。
1.3内部控制风险
内部控制风险是指由于内控制度建设滞后于金融电子化的发展,信息系统安全管理的基本框架、管理机制和工作流程还不完善,一些制度得不到认真执行,导致银行内部人员违规操作或伺机作案,给电子银行安全运行造成风险。例如使用他人柜员号和密码进行操作;参数设置失误,造成系统性差错、事故;伪造他人信息注册,将他人账户添加在本人电子银行中;内部人员篡改客户申请^^文档,未经客户同意为其注册网上银行;内部人员窃取他人客户证书,盗用客户资金等。
2.法律风险
法律风险是指违反法律、法规或流程规定而产生的风险,或交易各方的法律权利和义务未能有效确立时产生的风险。法律风险又可以分为宏观的层面和微观的层面:从宏观层面讲,法律风险是违反国家相关法律法规产生的风险;在微观层面,它还包括在电子银行交易中因双方权利和义务未能有效确立时而产生的风险。
2.1宏观的法律风险
电子银行业务属于新型业务,发展先于法律的建设。相关的法律法规条文非常缺乏,电子银行的发展缺少可以依据的标准,而电子银行业务在交易规则、交易合同的有效性、交易双方当事人权责及消费者权益保护等方面,与传统银行相比更加复杂,更加难以进行界定。由于缺乏相应明确的法律和法规依据,电子银行很容易会发生法律风险,并且一旦发生纠纷很难解决。
例如,电子银行业务涉及的商业纠纷司法处理结果会有不确定性;电子银行业务跨境服务涉及不同司法区域的司法管辖权问题和法律冲突问题;又或者商业银行发展电子银行业务涉及的法律文书可能存在的体系上或条款上缺陷等不完备的问题。法律风险会使银行面临罚款、赔偿和合同失效,导致银行信誉的贬低、业务机会的受限制、拓展潜力的降低以及缺乏合同的可实施性等。
2.2微观的法律风险
因客户的信息,特别是资金密码、网上银行交易密码和身份信息泄露而造成资金的损失是近年来最常见的微观法律风险(见下表)。例如,第三人只要以存款人为名的假身份证开立一个同名账户,然后依次开通个人网上银行,并将存款人的账户归人个人网上银行管理账户之列,即可将存款人账户内的资金转入同名账户,从而达到盗取存款的目的。
时间和地点
事件
结果
2005年5月 北京
杨某在某银行开立个人银行结算账户存折及借记卡,并申请开通了该借记卡的网上银行对外转账功能,签署《网上银行使用协议书》。此后,该借记卡账户共发生30笔网上汇款交易并导致存款减少70万元。杨某遂以该银行网上银行不安全,有关交易并非本人操作为由,起诉要求该银行就其存款损失承担全部赔偿责任
法院认为,该银行已尽到了相关审查核实义务和提示义务;在客户准确输入密码的前提下,银行根据汇款指令提供了相关汇款服务并收取相应手续费,应当认为银行已适当、完全履行了合同义务。银行不应对其存款损失承担法律责任,法院最终判决驳回杨某的诉讼请求
2007年10月 福建泉州
庄某到某银行办理存款业务时,发现账户内的777万元存款不翼而飞。经警方立案侦查,发现犯罪嫌疑人曾某持伪造的庄某身份证在该银行开通了网上银行,并通过网银转账的方式将存款划转到自己账户后逃逸。庄某认为,该银行在犯罪嫌疑人开通网上银行业务时,未审查出伪造的身份证件存在过错,起诉要求该银行赔偿其损失
法院经审理认为,根据网上银行业务的操作规程,储户必须持有真实的身份证才可以开通网上银行业务,因此,某银行接受虚假^^文档为他人开通庄某名下账户的网上银行业务,致使储户的存款被冒领,应承担相应的违约责任。法院判决被告某银行赔偿原告庄某所有的经济损失。
2008年9月 北京
张先生于2007年2月在某银行海淀支行西苑储蓄所存款,至2007年9月3日,杨先生的存折上有存款74025.37元。2008年6月15日,当其去银行办理业务时,发现账上只有13425.37元,有60600元无故消失。张先生认为该银行应赔偿这笔存款。故起诉至法院,请求法院依法判决该行西区支行、海淀支行共同赔偿存款60600元
法院在调查中发现,根据银行提供的交易记录清单,本案争议的60600元存款,均系网上银行汇款支付。而在整个网上交易过程中,客户需输入两个密码,即登录密码以及支付密码,且两个密码均由客户本人掌握,提供服务的银行对此并不知晓。银行在本案中不应对其存款损失承担法律责任,法院最终判决驳回了张某的诉讼请求
3.声誉风险
声誉风险是指对电子银行业务负面的公众舆论和媒体言论而产生的风险。当电子银行提供的服务不能满足公众所预期的水平,并且在社会上产生广泛的不良反映时,就形成了电子银行的信誉风险。负面的公众舆论除了对银行的声誉造成损害,影响社会公众对银行的信任外;还会致使银行建立和维护客户关系的能力严重受损,导致资金筹措或客户群方面的重大损失。
艾瑞市场对国内电子银行的声誉状况作了一次调查。统计数据显示:目前四大银行和招商银行的电子银行声誉是最好的。其中有53.9%的人喜欢中国工商银行的电子银行,其中38.9%的人最喜欢工商银行;其次是交通银行,分别有6%和2%左右的人喜欢和最喜欢这家银行的电子银行服务(见图三)。
图三:
数据来源:艾瑞咨询集团(://.iresearch.com.cn)
事实上,电子银行业务的安全问题一直是舆论和媒体关注的焦点。计算机系统的技术故障、较长时间的服务中断、安全漏洞和重大安全事件、产品和服务的重大差错等都可能引起媒体的关注和较大范围的负面公众舆论。信誉风险还可能是针对整个电子银行界而言的:例如,假如某家有影响力的商业银行电子银行业务出现信誉风险,则客户会误认为所有银行的电子银行业务都是不安全的。
三、电子银行风险的应对策略
1. 严密控制操作风险
1.1控制操作层面的操作风险
应建立技术安全流程,通过防火墙、系统安全检测、入侵检测(监控)等技术措施保证系统安全,通过SSL加密,数据签名等方式防范交易篡改;规范客户注册手续,对于企业客户凭预留银行印鉴核对客户身份,如涉及其分支机构账户的,还要取得分支机构授权;对于个人客户,要认真核对个人客户身份证件;加强客户安全教育,基层柜员在办理电子银行注册业务时必须要按照操作规程的要求,认真提示客户阅读知悉门户网站上的章程及安全提示。
1.2加强制度建设和内部管理
据统计,操作风险事故中出于员工疏忽的占57%,外部恶意攻击占24%,病毒发作占14%,用户误操作占5% 。因此如果加强网上银行业务管理性安全的监管,有70%以上的操作风险事故是可以避免的。银行应制订全面的电子银行业务规程和安全规范,并根据业务和技术发展情况及时修订完善,确保及时发现并处理系统运行中出现的各种问题;要建立完善的内部控制机制,科学分配电子银行业务各环节的权限,构建电子银行业务流程与权限相互制约体系,加强对信息系统运行人员的监控要建立健全激励约束机制,加强思想政治工作,及时了解员工的思想动态,充分调动广大员工的积极性,降低内部违规事件发生的几率。
2.切实规避法律风险
法律风险的规避应该主要从两方面着手:一方面,国家有关监管部门应该在现有的法律法规基础上加以完善和补充;另一方面,银行本身要切实落实相关法律法规的有关规定,加大对法律风险的教育和规避。
2.1完善法律法规
相关的监管部门结合我国现有金融法律制度,借鉴境外有关机构对电子银行业务的监管经验,制定适合国情的规范措施是很有必要的,也是强化监管的要求。在此方面,我国于2005年4月正式施行了《电子签名法》,2005年11月,银监会审议并原则通过了《电子银行业务管理办法》、《电子银行安全评估指引》和《电子银行安全评估机构业务资格认定工作规程》等三部条例,前两部法规已于2008年3月1日正式实行,并对电子银行业务的监管起到了有效的监督管理作用:既促使了银行机构以更加审慎的态度开展和管理电子银行业务;也保证了企业的软件开发、安全达标都要达到一定的标准,从而提高了电子银行的安全水平。
2.2认真履行相关法律
认真履行《电子银行业务管理办法》是规避法律风险的重要保证。《电子银行业务管理办法》是确立电子银行业务的基本规则,具有十分重要的作用:首先是明确对电子银行客户的身份认证方式;其次是明确为客户提供电子银行服务的原则;再次是揭示业务风险,明确出现风险损失时,银行与客户各自应承担的责任。因此要切实规避法律风险,银行就应该从以下三方面入手:1.认真研究制定服务协议,并按照银行法律审查办法履行法律审核程序;2.办理电子银行注册功能时必须按照规定与客户签署服务协议;3.办理企业网银集团客户注册、网上收款等须经第三方存款人授权的业务,要认真履行第三方存款人授权手续。
3. 注意防范声誉风险
防范声誉风险的主要措施有:一、加强对操作风险、法律风险的防范,防止酿成重大责任事故。在舆论监督更为完善的今天,较大的业务差错和失误都可能被舆论媒体曝光,经过社会舆论的渲染和传播会给银行的声誉造成巨大损害,而且这类风险的控制难度和成本都很高,必须引起高度重视;二、加强与媒体的沟通与配合,引导媒体进行正确的舆论报道。通过合办一些金融专题节目加强业务合作,增进相互的理解,密切双方关系,引导媒体宣传以正面报道为主;三、建立舆论报道的监测机制,及时发现和控制负面报道。应指定专人负责媒体沟通和媒体监控,发现负面报道应及时采取措施补救,把声誉风险降到最低点。
四、电子银行的发展趋势
2008年,尽管受到全球金融危机的冲击,电子银行的发展速度仍然很快,发展势头依然良好,已经在银行业务中占有相当高的地位。一场持续的金融危机,让整个行业不得不展开颠覆性的自我思考:银行要想在未来立于不败之地,加快电子银行的改革进程将是各国银行的战略性选择。电子银行已成为一股不可忽视的新生力量,正在推动着传统银行向新经济时代新型银行的转变。在未来,电子银行将成为银行业的必争之地,把银行业的经营拓展到一个新的领域。
尽管由于各种原因,目前电子银行还存在一些问题,风险仍旧突出,但全球很多银行和有关监管部门都加快了开发电子金融服务的步伐,不断推出有效应对风险的策略。总结电子银行的发展趋势,我们可以得到以下结论:结合自身的特点,寻找业务的核心竞争优势是电子银行得以发展的前提,而在电子银行的整个发展过程中,注意安全性能,才是真正的立身之本。
参 考 文 献
[1] 张卓其,电子银行,北京:高等教育出版社,2001
[2] 古华庆,网上银行风险监管管理与实务,北京:中国金融出版社,2003
[3] 张衢,商业银行电子银行业务,北京:中国金融出版社,2007
[4] 谢康、肖静华,网络银行,长春:长春出版社,2001
[5] 赵先信,银行内部模型和监管模型,上海:上海人民出版社,2004
[6] 李雪莲等,金融杌构操作风险新论,天津:南开大学出版社,2004
[7] 王庆华,网上银行风险监管原理与实务,北京:中国金融出版社,2003
[8] 崔颖,浅议电子银行安全风险,北京:中国外贸,2009.2
[9] 施慧洪,电子银行的安全与风险防范,北京:金融科技,2008.1
[10] 张雪飞,电子银行的发展与风险,上海:经济技术协作信息,2006.6
[11] 杨宏伟,电子银行的风险环节与风险防范,北京:中国金融电脑,2008.3
[12] 李伏安、李良,电子银行风险评价与管理,北京:银行家,2008.1
[13] 胡国有,电子银行业务风险及防范对策,上海:支付结算,2008.6
[14] 藤宝胜,电子银行业务发展中的问题及对策,北京:探讨与实践,2009.1
[15] 李远,我国电子银行业务风险类型及特征研究,北京:经济研究导刊,2009.9
