银行系统论文：网上银行操作风险探析.doc

银行系统论文：网上银行操作风险探析20世纪90年代中期以来，随着互联网和电子商务的兴起和发展，网上银行也得以飞速发展。艾瑞市场咨询最新的研究成果显示，随着个人金融服务和产品的不断发展和丰富，中国个人网上银行用户规模迅速扩展。2005年中国个人网上银行用户规模为3460万户，2006年增长为7000万户，年增长率达到102%。 2007年猛增到1.17亿户。iResearch预测，未来几年中国个人网上银行用户规模将继续扩大，2010年将超过2亿户，达到2.15亿户。网上银行具有“3A”(Anytime，Anywhere，Anyway)性，在便利客户的同时，也同时存在操作风险隐患。如何加强操作风险管理, 提高风险防范能力，这是促进网上银行快速、健康、持续发展的重要课题。一、网上银行操作风险及现状分析（一）网上银行操作风险界定。从网上银行操作风险的来源角度定义,网上银行操作风险是指由于网上银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网上银行直接或间接损失的风险。这一定义中，操作风险来源包括四个部分：1、内部人的因素：包括内部人员欺诈，失职，专业知识、技能的缺乏等。2、系统的缺陷：由科技信息部门或者是服务提供商提供的计算机系统或者设备发生故障，网上银行不能正常提供部分或者全部服务或者业务中断而造成损失。可以有两种原因形成这种风险，一是构成网上银行的平台的硬件和软件的可靠性和失效率。这些系统的失效率与系统的开发设计相关，一旦系统建成，系统的失效率内生于系统本身；二是网上银行运营时的系统维护。3、内部流程：由于网上银行业务流程缺失，设计不合理或只是没有严格执行而导致的损失。4、外部事件：网上银行开放性的支付系统给用户带来方便和快捷的同时，也带来了安全问题，外部人员的入侵和欺诈可能导致风险。（二）网上银行操作风险与传统银行操作风险的差异。1、网上银行操作风险攻击来源广。传统银行往往局限于某一地理区域，如特定的国家、省、市、县区域内，而网上银行的攻击者可来自世界各地。2、攻击对象覆盖广。从银行体系内部看，过去内部攻击者往往是案件发生的该银行分支机构某个特定的支行、分理处或者储蓄所的人员，而网上银行采用了互联网联结本行的各家机构，甚至与中央银行或其他商业银行相通，在网络通过的各个银行分支机构中的员工都有可能通过快捷的网络传输，威胁其他银行分支机构的资金安全，跨地域、时空进行金融违规违法操作。3、方法隐蔽性强，手段高智能化。网上银行操作风险方法较隐蔽，尤其是外部原因造成的操作风险，在案件没有发生之前无从知晓对手在何方何处。手段高智能化，通过软件和程序控制，一般人不易察觉，难以防范。4、资金转移速度快、影响波及面宽。传统银行发生案件一般表现为大额取现或大额转账，在银行内部环节多，手续繁琐，资金金额大，易引起银行内部关注和警惕，发生案件影响范围较小，主要是涉及到资金大额流出流入的个别账户或个别行，涉及到案件的人员也少。而网上银行案件利用网络转移资金，短短几秒钟就会转出资金，并且不是有针对性地攻击某几个账户，是散而小的客户群体，攻击对象广，影响波及面宽。（三）我国网上银行操作风险现状。我国网上银行操作风险事件主要为欺诈。1978年后，在改革开放的推动下，我国银行业出现了新的转机，四大国有专业银行的商业化改革取得了一系列可喜的成果。然而，直到目前为止我国许多银行还处在向真正的商业银行转型的过程中，内部控制机制很不完善，操作风险是我国商业银行的主要风险来源之一。1990年至2003年，国内外媒体公开报道的我国商业银行操作风险损失事件共71起，涉及我国国内的商业银行7家，造成的损失最多达到5.3亿元，少的也有2500元。统计结果显示，在操作风险损失事件中，绝大部分属于欺诈行为，既有内部雇员也有外部人员参与，银行自身受损巨大。而内部欺诈无论在数目还是在损失总额上都是最重要的一种损失事件类型。网上银行是利用因特网进行银行业务操作，在网络虚拟空间中，欺骗与虚假陷阱更让人防不胜防，提供给不法之徒更多的渠道和机会进行网络犯罪活动。诈骗犯罪嫌疑人利用银行网银诈骗客户钱财的案例屡屡发生，据某银行内部资料统计，从2006年10月到2007年底8月底止的10个月时间内，共发生网银诈骗案件150多起，案值达390万元左右，其中：省内被骗客户50多户，占33%，金额1126494元，占29%；省外被骗客户100户，占67%，金额2770621元，占71%。网上诈骗形式主要有两种：一是利用短信散发虚假信息诱骗客户上当。如冒充银行工作人员发送代办贷款的信息，或发送可以贱卖高档二手车或走私车并能提供信用贷款信息等。二是在报刊刊登或墙体张贴虚假优惠信用贷款广告。如今年2月1日长沙晚报16版就刊登了一则优惠贷款小广告信息。网上诈骗特点主要有骗取客户网银登陆密码，下载客户网银交易证书并设置交易密码、骗取客户身份证号并追加网银账户等。从个人网银和企业网银来看，二者地址、操作流程、业务功能完全不同，网上银行操作风险主要出现在个人网上银行。原因是：个人客户多而散，难于管理；网上银行具有3A性，客户操作时间、地点、金额、方式较随意，难于统一；个人客户素质参差不齐；个人网上银行操作流程是靠个人独立完成，无需他人协助和监督完成。因而尽管在网上银行设置了多道风险防范关卡和提醒，但由于个人习惯、个人风险意识、安全常识、综合素质、操作失误等多方面因素，个人网上银行操作风险不同程度出现。相反，企业网上银行完成一笔交易需要多个操作员参与，且每个操作员只能做自己的环节交易，对于同一业务流程可以设多级复核，同时，每笔操作需主管负责授权审批，相互制约，相互监督，在没有内部合作作案的动机下，企业网上银行不会发生案件。同时，企业网上银行一般在企业内部处理较多，环境固定而安全，难以被泄露信息，即便企业内部因金额、用途等小错误引起的操作风险完全可以在银行的配合下追回损失。随着银行风险管理措施不断完善，网上银行业务的普及以及客户安全防范意识的提高，客户的误操作之类事件发生几率将会呈现逐步下降的趋势，但随着科技的不断更新，国有商业银行由于资金、技术等方面的客观原因，很有可能在一段时间后面临技术落后、系统退化的问题，源于系统本身的不稳定性以及不完善性的操作风险将给这些银行带来较大的冲击。二、我国网上银行操作风险形成原因 （一）网上银行操作风险相关法律框架不完善。中国人民银行于2001 年7 月1 日颁布了网上银行业务管理暂行办法, 明确了风险监管问题, 一定程度上缓解了网上银行法规依据不足的矛盾, 但在操作风险实际管理过程中, 仍然存在着一些法律障碍。2002 年4 月23 日又发布了中国人民银行关于落实网上银行业务管理暂行办法有关规定的通知,提出了防范网络银行风险的一些措施。但其中也未涉及到操作风险。在中华人民共和国票据法和有关支付结算办法及会计规则中, 网上银行交易凭证的有效性没有相应的规定；银行和客户之间如何分担操作风险, 目前只是在银行和客户的协议中根据合理性原则进行约定, 没有法律或法规可以遵循；由人民银行牵头成立的中国金融认证中心(CFCA) 负责签发金融系统CA ,其法律地位和权威性还未确立, 许多银行各自发行自己的CA ,不同银行间的CA 认证存在一个兼容和相互认可的问题；数字签名仍不具有法律上的有效性。 （二）内部机构设置不能适应网上银行发展需要。目前我国的网上银行基本上都是指各商业银行以网络为平台来开展其各项业务,所以对网络银行的管理也基本上都分散到各个管理部门：电子银行部门负责牵头营销、网络平台建设和维护，科技部门负责网络运营安全,个人金融业务部门负责个人网上银行业务及个人代理业务，公司业务部门负责企业客户网上银行业务及相关产品，国际业务部门负责涉外客户的网上贸易结算等业务，信用卡业务部门负责信用卡业务,会计核算部门负责网上结算和资金清算业务,投资银行部门负责网上证券和理财业务,风险部门负责对不良贷款的管理。而风险管理部门只关注和管理信贷资产的信用风险，对于网上银行所有业务、所有产品的操作风险还未纳入管理范围，基本是由各业务条线自己定规则，自己检查和防范风险。由于没有专门的网上银行操作风险管理机构来统筹管理、协调这些部门之间的工作,极易出现控制的重复和管理的真空地带,或对同一控制点产生不同的控制标准和办法等现象,使一线操作人员无所适从。（三）商业银行内控制度失效。尽管目前我国银行的内控制度建设已经开始实施，但是漏洞依然存在。内控制度不健全或执行不力是网上银行存在操作风险的主要原因之一。内控制度缺失，有些制度尚未建立或不健全,各网上银行至今也没有从识别、监测和控制网上银行业务操作风险的角度来建立一套行之有效的管理制度。银行中存在基层员工责任心不强的现象，一些人对各种内控制度不予重视；商业银行对内部控制的检查力度不能与银行的风险程度相适应，影响了内部控制作用的效力。商业银行将网上银行作为战略任务在大力发展，以业务拓展为主要目标，以抢占市场份额为出发点，往往只注重产品开发和运用，而忽视风险防范和内部控制建设，影响了网上银行业务发展的步伐。（四）网上银行技术支持落后。我国科学技术总体水平较低，网络化技术环境比较落后，银行业中熟悉网络技术的专业人才极度匮乏，我国网上银行的基础设施薄弱，目前并没有自主知识产权的与世界顶尖信息科技进步的网上银行业务和管理系统开发集成水平, 目前全国各大银行都相继推出自己的网上银行服务，但是大多数都在资金、人员等方面的投入明显不足，银行与高新技术产业结合不紧密，因此造成网上银行的稳定性和安全性与发达国家水平还有很大差距。国内银行为了赶上世界先进水平, 绝大多数软硬件系统采用外包引进, 虽然商业银行利用信息技术外包可以缩短开发周期和减少商业银行人员成本等费用负担。但是与此同时，由于没有亲自参与网上银行系统的开发和维护，银行人员难以全面掌握网上银行系统的核心技术和设备的性能，更有可能无法提供完善的售后技术服务。同时，我国银行同业之间普遍缺乏横向联合，各行的网上银行系统基本上是自成一体，认证服务主要自建CA，只为自己的网上银行客户提供认证服务，无法满足广大客户对开放式网上金融交易的需求，增加了跨行交易的难度和风险，制约了网上银行业务的发展。（五）网上银行监督不力。目前对网上银行的稽核审计多是由银行的审计部门进行。但这些商业银行的审计部门存在很多不足,具体表现在: 一是审计部门是事后抽查审计，不会逐笔、实时、全程监督。无法达到对网上银行操作风险实时监控的目的；二是审计方式落后，主要是看报表、翻凭证、查台账,手段低，工作效率时效慢,很难满足对网上银行存在问题及时反应的要求；三是内部稽核人员知识结构不合理,同时具备网络知识和风险管理知识的人员很少。对操作员日常合规性检查交由银行内部事后监督部门，事后监督部门基本上属事后行为，即便发现了差错也只是表面的差错，对于客户身份的真实性、手续是否合规合法、操作是否反流程都难以识别和监察，监督不到位，给操作风险带来机会。（六）客户操作风险意识淡薄。由于网上银行是个新鲜事物，大部分网民还没有形成良好使用习惯，金融知识缺乏，风险意识淡薄，疏于防范。诸如密码过于简单、对密码保管不严、经常在网吧进行网上操作等，这些都给银行客户资金带来隐患。客户操作风险意识淡薄在很大程度上与银行和媒体对网上银行安全宣传力度不够有关，银行更注重宣传网上银行产品，在营销中过多地在乎营销结果，对于客户是否真正会用、是否了解网上银行的安全问题关心得较少，因而很多客户成为网上银行客户很盲目，对如何防范风险，确保自己资金安全很茫然。有些客户根本不知道网银是一种金融产品，从未用过网银也未作深入了解，尤其是对网银登陆密码的重要性缺乏了解，而随意将网银登陆密码告知诈骗犯罪嫌疑人，为后来的操作风险埋下伏笔。尽管银行采取了先进的手段和管理办法防范风险，但若没有客户自己主动配合，防范网上操作风险也是徒劳。三、我国网上银行操作风险防控对策（一）建立商业银行风险管理体系。我国商业银行必须重视风险管理体系的系统化建设，以理念文化培育为先导、以加强基础管理和内部控制建设为重点、以技术方法研发为支撑，推进全面风险管理体系建设。银行董事会和高级管理层应从战略上将有效的操作风险管理确定为网上银行业务稳健经营的关键要素之一。董事会要充分了解网上银行的主要操作风险所在, 核准并定期审查操作风险管理系统；高级管理层要负责执行和实施董事会批准的操作风险管理系统, 制定相关政策、程序和步骤, 以管理存在于网上银行重要产品、系统中的操作风险, 使各级员工充分了解其与操作风险管理相关的职责, 确保相关战略和政策得以持续地贯彻执行。在全行范围内保持有效率的内部沟通, 形成一致的操作风险管理文化。（二）完善内部控制，层层控制风险。我国许多银行还处在向真正的商业银行转型的过程中，内部控制机制很不完善，尤其是网上银行发展时间较短、发展速度快，很多银行在内控制度建设上还没有完全到位。操作风险的防范是多部门、多渠道共同努力的方向，风险管理部门、网上银行业务部门、法律部门、审计部门都承担着进行操作风险管理的责任。各有关部门需要定期、不定期地通过现场、非现场检查的方式, 对操作风险管理进行监测。风险部门是风险管理的归口管理部门，要提供风险管理手段和方法，收集网上银行损失数据，分析网上银行操作风险的原因，制定风险评估报告；业务部门要制定详尽完善的内部控制程序，层层控制，相互制约；审计部门要加强科技力量, 对操作风险管理工作实施内部实时审计。此外, 还要积极运用保险、外包协议等方法降低和转移操作风险。（三）注重科技创新,提高风险管理技术。现在国内银行为了