（工商管理专业论文）我国国有商业银行网上银行业务风险管理策略探析.pdf

摘要 世界科技发展和应用的突飞猛进，引起了全球经济和社会生活方 式的重大变化。特别是信息网络化的迅速发展，对政治、经济、军事、 文化等领域产生了深刻的影响。2 l 世纪是网络经济不断发展成熟的 时代，发展网上银行业务，为我国银行业对传统的相对低效的经营管 理流程进行再造、提高整体竞争力、加快国际化进程提供了良好机遇。 目前国内各国有商业银行已经充分认识到了发展网上银行的必要性 和重要性，纷纷斥巨资用于网上银行业务的发展，网上银行业务在近 几年得到了突飞猛进的发展。安全是银行的生命线，在网上银行业务 大力发展的同时，必须要重视和加强风险管理，保证网上银行业务健 康、持续发展。 本文详细地分析了网上银行的风险种类、风险管理薄弱带来的危 害，回顾与总结了国内外商业银行的网上银行业务风险管理经验，并 以我国某国有商业银行为具体研究对象，探索了我国国有商业银行网 上银行的风险管理策略。 本文根据网上银行业务的特点，结合国有商业银行经营管理网上 银行业务的现状，将网上银行业务的风险分为基于网络信息技术导致 的技术风险和基于网上银行金融业务特征导致的业务风险。技术风险 的管理策略主要是从认证系统、身份鉴别、权限管理、访问控制、数 据机密性、完整性机制、安全审计、动态安全监控等方面进行探讨和 研究。业务风险的管理主要针对操作风险，从业务风险控制架构、控 制政策、控制程序以及检查反馈等方面进行探讨和研究。 在写作期间，本人根据本文的思路对所工作的国有商业银行网上 银行的相关业务制度和管理办法进行了清理，对涉及风险管理和相关 内控政策进行了梳理，并在工作中对该行基层网点的网上银行业务进 行了检查和风险分析，有效地防范了风险的发生，最后针对国有商业 银行的现状提了几点建议，也希望对其他国有商业银行的网上银行业 务的风险管理有借鉴作用。 总之，本人结合国有商业银行经营管理网上银行业务的现状和工 作实践，运用m b a 阶段所学的商业银行经营管理和风险管理等相关知 识，对我国国有商业银行网上银行业务风险管理策略进行了探索和分 析，目的是希望通过本文的写作对我国国有商业银行发展网上银行业 务有所启发，能有效控制风险，促进网上银行的健康持续发展，但是 鉴于本人的知识和能力有限，文中定有考虑不全面和错漏的地方， 敬请评审专家及答辩专家批评和指正，本人将虚心接受各位评审专家 及答辩专家的意见，并在日常工作中贯彻执行。 关键词：国有商业银行网上银行风险管理策略 a b s t r a c t c o n t i n u i n gt e c h n o l o g i c a l i n n o v a t i o na n d c o m p e t i t i o n a m o n g e x i s t i n gb a n k i n go r g a n i z a t i o n sa n dn e w e n t r a n t sh a v ea l l o w e df o ram u c h w i d e ra r r a yo fb a n k i n gp r o d u c t sa n ds e r v i c e st ob e c o m ea c c e s s i b l ea n d d e l i v e r e dt or e t a i la n dw h o l e s a l e c u s t o m e r st h r o u g ha ne l e c t r o n i c d i s t r i b u t i o nc h a n n e lc o l l e c t i v e l yr e f e r r e dt oa se b a n k i n g h o w e v e r ，t h e r a p i dd e v e l o p m e n t o fe - b a n k i n gc a p a b i l i t i e sc a r r i e sr i s k s a sw e l la s b e n e f i t s a ss e c u r i t yi sc r u c i a lf o rab a n k ，s u c hr i s k sm u s tb er e c o g n i z e d ， a d d r e s s e da n dm a n a g e db yb a n k i n gi n s t i t u t i o n s i nap r u d e n tm a n n e r a c c o r d i n gt ot h ef u n d a m e n t a lc h a r a c t e r i s t i c sa n dc h a l l e n g e so fe b a n k i n g s e r v i c e s t h er i s km a n a g e m e n tf o re b a n k i n gh a sb e e nd i s c u s s e di nt h i sp a p e r f i r s t ，e x p e r i e n c eo f t h eb a n k si nt h ed e v e l o p e dc o u n t r i e si ss u m m a r i z e di n t h i sp a p e r s e c o n d ，t h i sp a p e rh a sc h o s e nas t a t e o w n e db a n ki nc h i n aa n d p r o p o s e dt h i sb a n k sr i s km a n a g e m e n ts t r a t e g i e sa n dt a c t i c st oa c c o u n t f o 。 e b a n k i n ga c t i v i t i e s b a s e do nc h a r a c t e r i s t i c so ft h er i s k sf o re - b a n k i n g ，e s p e c i a l l yo nt h e s t a t e o w n e dc h i n e s eb a n k s ，t h ep a p e rh a si d e n t i f i e dt w or i s kc a t e g o r i e s f o re - b a n k i n g ，w h i c ha r et e c h n i c a lr i s ka n db u s i n e s sr i s k a c c o r d i n gt o t h et e c h n i c a lr i s k ，b a n k s s h o u l dt a k e a p p r o p r i a t e m e a s u r e so n a u t h e n t i c a t i o n s y s t e m ，u s e r si d e n t i f i c a t i o n ，p r i v i l e g e c o n t r o l ，a c c e s s c o n t r o l ，d a t ac o n f i d e n t i a l i t ya n di n t e g r i t y , s e c u r i t ya u d i t ，a n dd y n a m i c s e c u r i t ym o n i t o r r i s kc o n t r o l f r a m ea n dc o n t r o lp o l i c i e sa n dc o n t r o l p r o g r a mm u s tb ee s t a b l i s h e d t oa v o i dt h eb u s i n e s sr i s k b a s e do nt h es t r o n gw o r k i n ge x p e r i e n c ef o re b a n k i n gd e p a r t m e n ti n t h es t a t e o w n e db a n k ，a n ds o l i da c a d e m i ck n o w l e d g e a b o u tt h e m a n a g e m e n to fc o m m e r c i a lb a n k i n ga n de - b a n k i n gf r o mm b as t u d y ， s o m es u g g e s t i o n so nt h er i s km a n a g e m e n tf o re - b a n k i n ga r ep r o p o s e di n t h i sp a p e r t h e s ec o n t r o l sa n dm e a s u r e so nt h er i s km a n a g e m e n tw i l lb e h e l p f u lf o r t h ec h i n e s es t a t e o w n e db a n k sd e v e l o p m e n t d u et o t h e l i m i t a t i o no ft h ek n o w l e d g ea n dt h es k i l l s ，t h es t r a t e g i e sa n dt h em e a s u r e s o f f e r e di nt h i sp a p e ra r en o ta b s o l u t e l yc o r r e c t i ti sm yp l e a s u r et h a tt h e p r o f e s s o r sa n dt h ee x p e r t sc a l lg i v es o m es u g g e s t i o n st om e - t h e yw i l lb e v e r yu s e f u lf o rm y f u r t h e rs t u d ya n dw o r k k e yw o r d s ：s t a t e o w n e db a n k r i s km a n a g e m e n t e - b a n k i n g s t r a t e ：g i e s 2 西南财经大学工商管理硕士( m b a ) 学位论文原创性及知识产权声明 本人郑重声明；所呈交的学位论文，是本人在导师的指导下，独 立进行调查和研究工作所取得的成果。学位论文中除正文对于直接引 用的文字、数据或事实资料已经加以注释外，本学位论文不包含他人 已经发表或撰写过的研究成果，也不包含他人为获得西南财经大学或 其他教育机构等的学位证书而使用过的材料。对本学位论文做出重要 贡献的单位、团体、企业和个人，均已在文中以明确方式表明。因本 学位论文引起的知识产权纠纷概由本人负责，并承担由此引起的法律 后果。 本学位论文成果归西南财经大学所有。 特此申明 学位论文作者签名：陈瑜 2 0 0 4 年1 1 月2 8 日 刖置 2 0 世纪9 0 年代以来，随着以互联网技术为核心的现代计算机网 络技术在银行业的应用和推广，银行业开始进入了一个新的历史发展 阶段网上银行发展阶段。 跨入新世纪以来，网上银行不仅没有受到网络泡沫破灭的影响， 反而取得了更为强劲的发展。美国一项调查表明( 数据来源：p e w i n t e r n e t a m e r i c a nl i f ep r o j e c t ) ，从2 0 0 0 年到2 0 0 2 年，在5 0 多种电子商务形式中，网上银行增长最快，而且是前所未有的增长。 2 0 0 0 年底，在被调查的8 0 0 0 万美国用户中，有1 7 使用网上银行， 而到了2 0 0 2 年1 i 月，网上银行用户上升到3 2 。调查结果表明，对 客户来说，网上银行已经成为一项必备的生活所需；对银行来说，网 上银行已经成为一条必然的生存之道。 随着中国入世和外资银行的涌入，中国金融业的竞争必然加剧。 外资银行将以其资金实力、技术手段、经营经验和全球化网络优势， 与中资银行争夺高端客户市场。外资银行进入中国市场后，将主要不 在营业网点上与中国本地银行进行竞争，而会注重用电子化手段发展 业务，进行金融创新。目前，己有花旗银行等十几家外资银行在国内 开办了网上银行业务。 面对来势汹汹的外资银行，面对瞬息万变的市场，我国各家商业 银行纷纷斥巨资进行网上银行的系统建设，开展形式多样的营销宣传 活动，网上银行业务的发展速度呈几何级数增长，我们以某国有商业 银行四川省分行网上银行个人业务的数据可以看出( 见附表1 ) 。在 业务高速发展的同时，我们必须关注风险问题，受网络技术革新、不 确定的法律、法规环境等多种因素的综合影响，网上银行业务给银行 的风险管理带来了挑战。 附表1 ：某国有商业银行四川省分行网上银行个人业务统计表 年份客户新增数交易笔数交易金额 2 0 0 0 3 0 5 3 9 2 81 2 3 万 2 0 0 l4 6 0 03 8 0 0 01 0 1 5 万 2 0 0 22 0 8 2 61 4 2 2 0 0 5 5 2 9 万 2 0 0 33 1 5 0 04 1 7 0 4 9 2 2 7 2 2 万 2 0 0 4 年卜8 月 1 6 1 0 0 01 3 7 7 1 2 11 6 2 5 7 1 万 本文将从网络信息技术、银行的内控体系、法律等多个方面来分 析网上银行风险，以及风险管理薄弱带来的危害，并以我国某国有商 业银行四川i 省分行为具体研究对象来探析网上银行业务的风险管理 策略，以期对我国商业银行发展网上银行业务有所启发，能有效控制 风险，促进网上银行的健康持续发展。 第一章网上银行风险概述 1 1 网上银行的概念 1 、广义的网上银行 银行借助客户的电脑、移动电话或其他智能设备，通过银行内部 计算机网络或专用网络、互联网或其他公共网络，向客户提供金融服 务的方式。 2 、狭义的网上银行 网上银行业务是指银行通过因特网提供的金融服务( 网上银行 业务管理暂行办法) 。本文所说的网上银行都是指的狭义的网上银 行。 1 2 网上银行业务的种类、特征 对网上银行业务进行分类，依据不同的划分标准，可以有多种分 类方法。一般来说，我国国有商业银行大部分都按客户对象来划分， 可以分为个人客户业务、公司客户业务和商户业务。 a 、网上银行个人业务包括： ( 1 )个人转帐业务：包括个人名下不同活期存款账户之间的 转帐，活期和定期互转，向他人转帐等。 ( 2 )个人汇款业务：包括向同一银行异地汇款和向其他银行 汇款。 ( 3 ) 代收代付业务：包括缴纳电话费、水电费以及保险费等。 ( 4 ) 外汇及证券买卖：包括外汇的实时买卖、挂单交易以及 国债和基金的买卖等。 ( 5 )个人查询业务：包括查询个人存款账户的余额、明细、 贷款的逾期情况、公积金账户情况等。 ( 6 )个人贷款业务：在网上办理存单质押贷款等。 ( 7 )其他非交易性服务：如挂失、修改密码、短信通知、银 行信息查询和电子邮箱服务等。 b 、网上银行公司业务包括： ( 1 )查询业务，包括查询公司存款账户的余额、明细、对帐 单等。 ( 2 )转帐业务，包括内部转帐和对外转帐。内部转帐，主要 用于公司在银行开立的不同账户之间的资金划拨；对外转帐，用于本 公司与其他公司的账户之间的资金划拨。 ( 3 )现金管理，银行利用网上银行系统为公司客户提供的现 金管理平台。 ( 4 )集团公司财务管理，按照公司不同的组织结构特点，分 为收支一条线、收支两条线和统收统支几种模式，可以满足集团公司 或总公司监督和控制分支机构资金的流动和使用情况，同时还可以满 足分支机构的资金迅速向总部集中，发挥资金的最大效益。 ( 5 )工资管理，通过网上银行向公司员工发放工资。 ( 6 )国际业务，主要是公司客户通过网上银行向银行申请开 立信用证和申请办理# i v e 汇款业务。主要是提供信息传递，不发生实 际的资金转移。 c 、商户业务是一种融合了个人业务和公司业务，最能体现互联 网特色的业务，通常也叫电子商务，主要包括： ( 1 )b 2 b 业务，是一种企业与企业之间通过网上支付、结算 实现商品交易的手段，买卖双方都是公司客户，目前此类业务开展较 少，有一些大的客户如茅台酒业在银行帮助下已经开始搭建b 2 b 业务 平台。 ( 2 )b 2 c 业务，是商户与个人之间的资金结算，保证个人客 户在开通网上银行服务后，能够使用本人的网上银行账户进行网上购 物后的支付。 ( 3 ) b 2 g 业务，是企业与政府之间的资金结算，主要用于政 府的集中采购，以及政府行为的招投标业务，此类业务目前属于探索 阶段。 1 3 网上银行的风险种类及危害 银行风险是指会对银行的资本、收益、信誉、业务操作、系统安 全等产生负面影响的预期或不可预期的潜在事项。从目前金融理论界 与实际部门的研究现状来看，对传统银行风险防范与控制问题的研究 较多，但对于网上银行的风险管理方面的研究才刚刚开始。为有效防 范网上银行的风险，必须在传统业务风险管理的基础上，深入探索网 上银行风险管理的方法与策略。 一般而言，银行的风险包括信用风险、流动性风险、市场风险、 外汇风险、战略风险、操作风险、法律风险、声誉风险、国家风险、 操作风险、道德风险等等。风险管理的决策过程一般也分为自上而下 和自下而上。自上而下，是指银行的高级管理层制定风险管理策略， 并将全行的风险管理目标分解落实到各个经营单位、主管部门、人员 和各笔客户的交易上，因此，自上而下的风险管理过程强调政策、流 程、评估指标和考核指标；而自下而上的风险管理则着重于银行如何 准确、顺利地把基层的风险报告或审计报告逐级报告到决策层。通过 自上而下和自下而上的风险管理，银行就可以构建一个完整的程序来 发现、衡量、监督和控制在整个组织内的风险。网上银行的风险管理 与此类似，互联网并没有给银行业带来太多从未见识的风险类型，更 多的是使传统的风险有了新的表现形式，银行并没有面临风险失去控 制的局面。 一方面，传统银行面临的风险，如流动性风险、市场风险、操作 风险等，在网上银行的经营中依然存在。另一方面，网上银行改变了 传统银行业的经营理念和经营模式，不可避免地带来了更多的风险种 类。根据网上银行的构成及运行方式，从技术和业务的角度分析，网 上银行面临的这些新的风险可分为两类：基于网络信息技术导致的技 术风险和基于网上银行金融业务特征导致的业务风险。 ( 一) 网上银行的技术风险 网上银行是基于全球电子信息系统基础上运行的金融服务过程 与服务形态，因此，全球电子信息系统的技术性和管理性安全成为网 上银行最为重要的系统风险。这些技术方面的原因主要包括： 1 技术选择风险。网上银行业务的开展必须选择一种成熟的技 术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种 风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信 息传输中断或速度降低的可能，也来自于选择了被技术变革所淘汰的 技术方案，造成技术相对落后、网络过时的状况，导致巨大的技术和 商业机会的损失。 2 系统安全风险。网络金融的业务及大量风险控制工作均是由 电脑程序和软件系统完成，所以，电子信息系统的技术性和管理性安 全就成为网络金融运行的最为重要的技术风险。虽然网上银行都设计 有多层安全系统，并不断出现新的、安全性的技术及方案，以保护虚 拟金融柜台的平稳运行，但是网上银行的安全系统仍然是网上银行服 务业务中最为薄弱的环节。这种风险既来自计算机系统停机t 磁盘阵 列破坏等不确定因素，也来自网络外部的数字攻击，以及计算机病毒 破坏等因素。根据对发达国家不同行业的调查，系统停机对金融业造 成的损失最大。网上黑客的袭击范围不断增大，手段日益翻新，攻击 活动能量正以每年1 0 倍的速度增长，其可利用网上的任何漏洞和缺 陷非法进入主机、窃取信息、发送假冒电子邮件、堵塞网络影响正常 交易、伪装成客户等。计算机网络病毒则可通过网络进行扩散与传染， 传播速度是单机的几十倍，一旦某个程序被感染，则整台机器、整个 网络也很快被感染，破坏力极大。系统安全风险不仅会扰乱或中断提 供正常的服务，给银行带来直接的经济损失，而且影响网上银行的形 象和客户对网上银行的信任水平。 3 外部技术支持风险。由于网络技术的高度知识化和专业化， 或出于降低营运成本的考虑，网上银行往往要依赖外部市场的服务支 持来解决内部的技术或管理难题。这种做法适应了网上银行发展的要 求，但由于外部技术支持者可能不具备满足网上银行要求的足够能力 而无法提供高质量的金融服务。 ( 二) 网上银行的业务风险 网上银行基于虚拟金融服务品种形成的业务风险主要包括操作 风险、市场信号风险和法律风险。 1 操作风险。操作风险是指由于系统可靠性、稳定性和安全性的 重大缺陷导致的潜在损失的可能性。这类风险可能来自于网上银行安 全系统和其产品的设计缺陷及操作失误，也可能来自于网上银行客户 的疏忽，商业银行职员在业务上的错误操作，以及商业银行的内控体 系不健全，也可能导致网上银行严重的业务风险，操作风险主要涉及 网上银行账户的授权使用、网上银行的风险管理系统、网上银行与客 户问的信息交流、真假电子货币的识别等领域。例如，网上银行改变 了传统的以图章为支付指令的结算手段，采用数字签名方式对支付指 令的有效性进行确认。由于网络的“虚拟性”，数字签名的可靠性完 全取决于银行安全控制系统的严密与否，主要是安全证书的认证机构 的可靠性。 2 市场信号风险。信息的非对称性可能导致网上银行面临不利 选择和道德风险，这一风险被称为市场信号风险。由于网上银行无法 在网上鉴别客户的风险水平而处于不利的选择地位，网上客户可能利 用他们的隐蔽信息和隐蔽行动做出对自己有利但损害网上银行利益 的决策等。另外，在虚拟的金融市场上，网上客户不了解每家银行提 供的服务质量究竟是高是低，多数客户会按照他们对网上银行提供服 务的平均质量来确定预期购买价格。结果，高质量的网上银行反而可 能被低质量的网上银行排挤出网上市场。 3 法律风险。网上银行的法律风险源于违反相关法律规定、规 章和制度，以及在网上交易中有关权利与义务的规定多不清晰，缺乏 相应的网络消费者权益保护管理规则及试行条例。网上银行在我国还 处于起步阶段，政府尚未有配套、完备的法律、法规与之相适应，金 融立法框架主要基于传统金融业务，使银行在开展业务时无法可依。 即使各国有相关的法律、法规，但网络是跨越国界的，各国之间有关 金融交易的法律、法规存在差异，在网上银行的跨国交易业务中，难 免产生国与国之间法律问题上的冲突。目前国际上尚未就网上银行涉 及的法律问题达成共同协议，也没有一个仲裁机构，客户与网上银行 很容易陷入法律纠纷之中。因此，利用网络提供或接受金融服务，签 订经济合同就会面临在有关权利与义务等方面的相当大的法律风险 与国家风险，容易陷入不应有的纠纷之中，结果是使交易者面对着关 于交易行为及其结果的更大的不确定性，增大了网络金融的交易费 用，甚至影响网络金融的健康发展。 目前我国网上银行业务的基础还相当薄弱，在此背景下，这一新 生事物发展过程中，不可避免地暴露了诸多问题，其中有相当多的法 律问题是不容回避且又亟需解决的，这些问题将导致法律风险的产 生。 ( 1 ) 要约的撤销。根据我国现行合同法的规定，除法律规定不 可撤销的情形外，要约都是可撤销的，但撤销通知须在受要约人作出 承诺之前到达。但在网上银行业务中，由于网络数据的传递速度极快， 要约的发出与到达几乎是同时的，并且接受方的计算机往往具有自动 审单的判断功能，可以及时作出承诺，所以要约方能够撤销要约的机 会微乎其微。 ( 2 ) 电子签名。网络交易合同( 或称电子合同) 是指在专用的 或公开的网络环境里通过数据电文达成的非纸质的数字化的合同。电 子合同可以通过电子商务网站达成，还可以通过电子邮件或电子数据 交换来达成。从各国现有的实践来看，传统的合同法在此问题上主要 依赖于当事人的签字或盖章，且法律往往要求有当事人的亲笔手签或 机构的盖章。网上银行业务作为一项电子交易，具有无纸化的特点， 这使其有别于传统的合同交易形式，此时作为合同成立标志的签章问 题则遇到了挑战。倘若合同的成立还需签章，则使电子交易的优势无 法体现。针对此问题，今年8 月2 8 日第十届全国人民代表大会常务 委员会第十一次会议通过中华人民共和国电子签名法，对电子签 名的合法性作出了规定，填补了此项空白，但仍然存在问题，电子签 名法第十六条规定“电子签名需要第三方认证的，由依法设立的电子 认证服务提供者提供认证服务”。目前我国大大小小的认证机构有上 千家，技术全面又合法的专门为网上银行服务的认证机构并不多，而 绝大多数的银行的网上银行系统都采用自己的认证机构，虽然电子签 名法并没有明确规定必须采用第三方的认证，但一旦出现风险，所有 的证据都由银行自己提供，存在着明显对客户的不公平。 ( 3 ) 电子代理。电子代理是指在没有人检查的情况下，独立采取 某种措施对某个电子信息或者履行作出反应的某个计算机程序、电子 的或其他的自动化手段。也就是说计算机软件或任何自动化的方法都 可以成为电子代理人。笔者认为，( a ) 电子代理的权限及其所附条件 应由代理人注明在媒介的显著位置；( b ) 如果注明不清或者没有注明， 合同缔结的完成即被相对方视为代理人真实的意思表示；( c ) 由于网 络供应商或者黑客、病毒入侵等原因使电子代理没有客观反映代理人 真实的意思表示，其所造成的损失一般情况下应由银行承担，因为其 负有提供安全、可靠网络服务的义务，但发生不可抗力时除外。 ( 4 ) 事故、故障造成损失时当事者的责任。网上银行业务的正 常开展对服务系统的依赖性极强，网络系统的事故和障碍所引发的法 律责任的追究是银行和客户均极为关注的问题。我国法律对此问题尚 未有专门规制，立法有必要对此进行完善。病毒入侵、“黑客”袭击 网络系统等网络犯罪不应纳入不可抗力事件，因为网上银行的安全系 统是保障网上服务安全性、可靠性的重要技术系统，如果该系统出现 故障或被破译，以致给客户造成经济损害，该安全系统的提供者及网 上银行应承担连带民事责任，但在银行尽了谨慎义务后，仍难以避免 的网上灾难，应减免银行相应的民事责任。 ( 5 ) 电子票据支付的法律问题。我国票据法并不承认非纸 质的电子票据的支付和结算方式。如何修改我国票据法以适应我 国网上银行发展的需要是确保网上银行支付和结算的根本保证。作为 诉讼证据而言，电子票据除加上背书及在通常传递、存储和显示中所 发生的任何变动外，有关信息保存完整，未作改变，应可以视为原件。 1 4 本章小结 本章简单介绍了网上银行的概念和业务种类，一般来说，我国国 有商业银行大部分划分网上银行业务种类都按客户对象来划分，可以 分为个人客户业务、公司客户业务和商户业务。 风险管理都是从对风险的识别开始的，本章根据网上银行的构成 及运行方式来划分网上银行的风险种类，主要从技术和业务的角度分 析，网上银行面临的新的风险可分为两类：基于网络信息技术导致的 技术风险和基于网上银行金融业务特征导致的业务风险，下面的章节 将针对技术风险和业务风险的管理进行探讨。 第二章网上银行业务风险管理现状 在我国的网上银行业务发展过程中，商业银行比较注意对技术设 施和网络安全的控制，在建设网上银行时采用了较先进的技术设备， 按照国际通行的模式设置，也都采取了多层防火墙、安全监测、病毒 防范等必要的技术手段。加上计算机和网络信息技术的快速发展和渐 趋成熟，国内银行在技术方面的高投入，己使得网络安全问题远不像 一般人想象的那样严重。据调查，国内网上银行至今尚未有一例真正 源自于网络技术漏洞而产生的事故。 但是，由于对网上银行业务缺乏深入的调查和了解，管理者和社 会公众都夸大了网络安全的严重性，将大量的注意力和精力放在网络 和数据安全等技术方面，忽视了对网上银行操作风险、法律风险等业 务风险的综合管理。 在缺乏对网上银行业务风险进行综合管理和监管的情况下，解决 了计算机软硬件方面的安全，并不能保证网上银行系统的安全，由于 管理制度方面的漏洞和人为疏忽酿成事故近年来有上升之势。 对网上银行业务的风险管理更是存在着理论上认识研究不足、实 践不够等问题，近几年发生在网上银行业务的案件有上升趋势，大多 都是风险管理薄弱造成的，在研究和实践不足的基础上我们不妨借鉴 一下国际上的经验。 2 1 理论研究和实践不足 2 1 1 理论上认识研究不足 从理论上的研究来看，近两年写网上银行风险管理的文章也不 少，但全面的研究不多，大多都只是一个片面，而现在能够作为网上 银行管理纲领性的规定和原则只有人民银行制定颁布的网上银行业 务管理暂行办法和巴塞尔银行监管委员会电子银行小组为电子银行 制定的1 4 条核心风险管理原则。 2 0 0 i 年，人民银行制定颁布了网上银行业务管理暂行办法， 为我国网上银行业务的监管提供了基本依据。网上银行业务管理暂 行办法主要规定了网上银行业务的定义、市场准入条件和程序、网 上银行业务风险管理规则以及银行的法律责任。2 0 0 2 年4 月，人民 银行又下发了中国人民银行关于落实 有关规定的通知，进一步明确了网上银行业务的准入程序与形式、 开办网上银行业务申请的审查要点，以及对网上银行业务的监管和报 告要求等。 巴塞尔银行监管委员会于1 9 9 9 年成立电子银行工作小组，于 2 0 0 0 年发表了关于电子银行发展所带来的风险管理和监管问题的报 告，2 0 0 1 年5 月确定了1 4 条电子银行业务的风险管理原则，来 帮助银行充实现有的针对电子银行业务的风险管理政策与方法。 目前对网上银行的理论研究存在明显的不足，具体表现在： 1 、技术安全管理方面的研究不够完善。商业银行在创办网上银 行时，有相当一部分未经过独立的权威机构或专家，对其交易的软硬 件系统、管理监测制度进行独立检验评估，也没有专业的评估和建议 报告。 2 、金融相关法规有待逐步制定，虽然电子签名法己公布， 但票据法、银行卡业务管理办法等有关金融法规应及早作出修订，目 前对网上银行业务的发展应修订哪些金融法规的研究存在明显的不 足。 3 、在管理方面，网上银行的信息跟踪、监测、信息报告交流制 度和规则都未建立，防范性的技术规则指引尚未开展。 4 、对金融认证体系的管理体制尚未确立，它事关网上银行系统 的安全，虽然各家银行都建立了自己的认证体系，但考虑到业务未来 的发展，各家银行的网上银行系统应充分发挥互联网的优势实现互联 互通，需要各认证系统的交叉认证，因此需要对这方面的内容进行研 究。 5 、目前各国对网上银行业务的监管基本上仍处于探索、认识阶 段。我国中央银行对网上银行业务的监管也面临挑战，老的监管模式 和监管程序已很难适用于网上银行这种基于技术的金融服务，因此， 如何对网上银行业务施行科学的、有效的、有针对性的监管这也是一 大研究课题。 2 。1 2 实践中的不足 我国国有商业银行制度还未真正确立，现代公司治理结构这一根 本性问题仍有待进一步解决，实施有效的风险管理所需的法律体系以 及市场调控制度也需要进一步完善。健全有效的风险管理机制是商业 银行经营管理的坚实基础，也是银行安全性原则的重要体现，这是我 国商业银行的薄弱环节。 我国银行普遍缺乏统一的风险管理平台来支持商业银行战略规 划的实现，风险管理的系统性、计划性、持续性不够，全面风险管理 的体制和模式尚未确立，相应的组织架构、风险管理流程亦未建立。 缺乏专门的决策机构来统一制订、决策重大风险政策，决策程序不明 确。比较普遍的情况是：从总行到分行都制订了系列规章制度，但政 策和操作措施的界限较模糊，没有系统、明晰的风险管理政策与管理 策略，系列规章制度之间相互牵制性差、协调性也有待提高。 特别是处在改革中的国有商业银行，管理网上银行的机构职责不 明确，没有设立专门的网上银行风险管理部门，有的甚至没有明确的 网上银行管理部门，风险管理都是划分到公司业务部门和个人银行业 务部门分别对网上银行公司业务和个人业务进行管理，在实践中缺乏 对网上银行系统的风险管理。 2 2 风险管理薄弱的危害与案例 风险管理薄弱不仅带给银行和客户资金的损失，更影响银行的声 誉，有的风险如不及时控制，甚至会带给银行毁灭性的灾难。我们可 以从以下几个案例来看。 案例一：王先生是四川某国有商业银行网上银行的忠实用户，经 常在网上作帐务的查询、转帐和缴费等，2 0 0 4 年9 月的某日在网上 银行查询自己的帐务时发现有几笔网上购物的支出并非自己所作的， 于是和银行联系询问，经银行方查询系统信息发现王先生所说的3 笔 交易，共计金额1 0 0 0 元，其登录的地址为广东省的一个县城，而王 先生自己其他的操作地址为i t ) a l 省内，银行人员初步判定为该事件是 由于王先生的密码泄露造成的，而据王先生陈述在自己认识的人中并 无在广东的人，银行人员上门检查了王先生上网所使用的电脑，发现 了8 个木马程序，于是判定为黑客盗取密码所致。幸运的是王先生是 该银行网上银行的高级客户，凡涉及大资金的转移均要使用安全证 书，在不使用证书的情况下只能小额支付因此王先生的资金并没有多 大损失，在银行人员的提醒下，王先生安装了防木马程序并修改了自 己的密码。 从案例一可以看出，这是一个典型的技术风险案例，今年年初闹 得沸沸扬扬的针对各家银行网上银行系统的病毒“网银大盗”及其变 种“超级网银大盗”就是利用黑客技术盗取客户的网上银行密码来窃 取客户的资金，各家银行均受到不同程度的损失。该病毒的原理就是 利用网络在客户的计算机上安装木马程序，然后将各家银行网上银行 的关键字眼输入，如果客户进入网上银行，则启动木马程序记录客户 所有从键盘输入的字符从而分析出客户的网上银行密码。该病毒在网 上泛滥以后，只有一家国有商业银行迅速做出了反应，在密码输入处 增加了软键盘输入，可以防止木马程序获取软键盘的输入，而大多数 的银行只是提醒客户注意并没有做出任何控制风险的举措。 案n - - ：张某是哈尔滨一所大学的学生，今年年初在某国有商业 银行的网上银行系统中发现了一个漏洞，于是精心准备了1 个月，先 是在该行利用假身份证开立了多张储蓄卡，然后利用自己所学的知识 攻破了该行的网上银行系统，获得了多个客户的网上银行密码，然后 对不经常使用的客户资金进行盗用，将这些客户的资金转移到事先准 备好的储蓄账户上，然后在不同的地方将现金取出共计7 7 万后潜逃。 从案例二我们可以看出该行网上银行系统被攻破对这家银行来 说是致命的，所幸张某并没有疯狂地盗取资金也没有将所盗取的资金 花费多少，资金的损失还小。该案例是典型的网上银行产品设计存在 缺陷以致于出现了安全漏洞，其原理也很简单，张某是从一个偶然的 机会知道该行账户的编排规则，也知道账户的密码都是6 位的数字， 于是利用网上银行系统的某些交易只验证账号和密码的对应关系，于 是就采用先设定一个密码如7 5 1 2 1 2 ，然后利用程序输入一个一个的 账号，看是否有账号的密码为7 5 1 2 1 2 ，如有，则将该账号和密码匹 配，如无则开始下一次的搜索。该行网上银行的产品缺陷其实只要在 交易的验证上增加身份证件或户名就可以有效控制。 案例三：李某原是某银行储蓄所的操作人员，他利用在储蓄所工 作的便利，将在该所办理代发工资的一个单位的人员的初始密码获 取，在将代发工资账户给客户之前，将该账户签约成为网上银行的账 户，李某离开该银行后，在客户将资金存入时将客户资金从网上银行 盗取，最终被发现。 案例三是典型的银行员工内部作案，是属于银行内部控制不严， 没有相应的稽核手段，这一点是目前国内几乎所有银行都无法避免 的，也没有一家银行有有效的控制手段，各家银行的作法无：怍就是加 强员工的职业道德教育，作得好一点的就是在办理网上银行时增加为 双人操作，事后监督增加对凭证的检查等。 2 3 国内外网上银行风险管理的经验 2 3 1 西方发达国家在网上银行风险管理程序和措旅方面的经 验 一、网上银行风险管理的程序 根据美国国民银行的监管当局货币监理署( o c c ) 在其技 术风险管理文件中出具的意见，网上银行风险管理的程序是为帮助 银行识别、测量、监测和控制与技术相关的风险而制定的。该程序包 括以下三个基本组成部分：风险管理计划、风险管理实施、执行监测 与衡量。 ( 一) 风险管理计划 在考虑是否采用一个新的技术或是否升级现存的系统时，银行应 根据自身的全局的战略目标和市场背景来评估如何应用该技术。计划 过程应考虑的因素有：一是与内部和外部承包商有关的开发成本，以 及关于设计、测试和操作该系统的成本；二是在系统失效或者遭受入 侵后，保持数据完成和立刻恢复运营的能力；三是内部控制是否健全， 包括对外包商的控制；四是能否判断何时特定风险可能超过机构管理 和控制的能力。 总的来说，银行设定一个有效的与技术应用相关的计划过程包含 三个基本组成部分：一是让董事会和高层管理者在计划过程中参与制 定决策；二是收集和分析与新的和现有的技术相关的信息；三是评估 需求和考察相关选项。 1 、让高层管理者参与决策制定。高层管理者应当具各足够的知 识和技能，管理银行的技术应用。高层管理者与董事会成员是否充分 参与计划过程是能否管理好银行技术相关风险的关键。 高层管理者参与技术计划过程并且对其充分了解，将在银行风险 管理中起着重要的作用。董事会成员与高层管理者应当检查、批准和 监督那些可能对银行运营、收入以及资产有重要影响的技术项目。此 外，与董事会成员相比，高层管理者应当对技术项目的日常运营进行 更多的参与和具备相关的知识。至少应该有一名高层管理者具有足够 的知识与能力对技术项目的设计、运营和监测进行评估。高层管理者 应当经常不断地告知董事会技术项目可能对银行产生的风险。 2 、数据收集与分析。作为收集与分析信息的组成部分，银行应 当首先罗列关于现有系统和操作的清单。银行应审查他们现有的系统 从而判断它们是否满足银行目前和今后的需求。银行还应该对技术如 何与现存系统相适应，以及为了适应新技术，这些系统是否要做相应 改变作出估计。其次是符合行业标准。银行管理部门应对目前的和今 后的行业标准进行评估，从而决定是否实施特殊的技术。技术标准将 会有助于保证系统是兼容和可操作的。再次是决定何时使用新技术。 时机的选择非常重要，因为过早或过晚采用新技术都存在着风险。 3 、需求分析和评估选择。管理部门应该仔细考虑那些保证成功 完成新技术方案所需要的资源、时间以及项目管理专业技术是否可 用。在采取新技术之前，银行管理部门应该了解银行技术运用能力的 缺点和不足。管理部门应该考虑员工能否同时操作新的和现有的系 统。这些考虑将有助于管理部门选择技术的种类与水平，从而确保适 应商业的需求和目标。 银行应该谨慎制定项目目标，而且应该保证这些目标既不会太模 糊也不会太激进。管理部门应该通过实在的计划过程来控制银行风险 的产生。计划可以包括将项目分解成为易于管理的部分，以及建立特 殊的决策点从而决定是否修改或者停止项目。对于一些可能无法按计 划进行的新项目，计划还应该包括建立意外处理和退出计划。 在审查各项目选项时，管理部门应该对它们进行评估，并尽可能 尝试量化新技术采用的成本与收益。作为评估的组成部分，管理部门 应该评估风险、财务情况以及这些风险可能发生的概率。对项目选项 的评估还应该包括对开始、运行和终止项目的成本的估计。 ( 二) 风险管理实施 银行应建立必要的控制，从而防止操作失败以及未经授权的侵 入，避免导致损失或声誉毁坏。至少，管理部门应该建立技术标准， 从而能够为银行技术系统的全部结构与构造制定方向。 管理部门应建立优先顺序，保证项目在各管理者、工作单元和团 队成员之间的协调和兼容。合适的项目实施包括控制、政策、程序、 培训、测试、业务连续计划和防止对外包商泄露机密。管理层对于期 望目标应有明确的定义，包括用户和资源需求、成本预测、项目评测 基准和期望可用日期。相关方对项目的合理监控也是十分重要。项目 经理应将可能出现的障碍通知高层，从而确保对管理风险有足够的控 制和修正计划。 1 、控制。控制应当包括明确并可度量的实施目标、对于项目关 键实施过程的特定责任的落实，以及拥有风险测量和防止额外风险的 独立机制。这些控制应当定期接受重新评估。 2 、政策和程序。管理部门应当采用和加强适当的政策和程序， 从而管理与银行的技术应用相关的风险。这些政策与程序的有效性很 大程度上依赖于他们是否在银行员工与承包商之间被执行。测试与这 些政策和程序的合规情况往往能帮助银行在问题变得严重之前对它 们进行纠正。清楚的书面记载和经常沟通能够有效地分配职权，从而 帮助雇员有效而一致地协调和实施任务，并且能够协助培训新员工。 银行管理部门应该保证所有政策、程序和系统被充分记载。 3 、专门技术和培训。银行应保证关键员工和承包商具备专门技 术与技能来进行必要的操作，并确保他们得到适当的培训。培训包括 技术课程、出席行业会议、参与行业工作团队以及分配时间给员工， 从而使他们跟踪重要技术与市场的发展。 4 、测试。测试能够证实设备与系统的运作正常与否以及是否达 到了预期效果。在新技术大规模应用之前，试验程序或者原型将会对 开发这些技术应用起到帮助。测试应该定期执行，从而控制风险。 5 、业务应急计划和业务连续性。在所有的系统中，设备失败和 人为错误造成的风险都是可能的。这个风险可能在银行的控制之内或 控制之外。系统失败以及非法入侵可能来自于设计上的缺陷、系统容 量的不足、自然灾害或火灾的设备损害、安全规则的违反、不足的员 工培训或对承包商的过度信赖。 6 、业务外包。银行应该保证具备必要的控制来管理业务外包以 及与外部相关的风险。管理部门应该保证外包商具备必要的专业技 术、经验以及财务能力来履行他们的职责。他们还应该确定各方的期 望与职责被清楚地界定、理解和确认。 ( 三) 执行检测与衡量 管理部门应该监测与衡量技术相关产品、服务、递送渠道以及操 作程序的执行情况，从而防止潜在的操作失败，减少失败带来的损失。 银行应该建立能够识别和管理风险的控制，使银行可以充裕地应付风 险。为了明确责任，管理部门应该指明谁对业务目标、特殊的技术项 目或系统带来的结果负责，