（工商管理专业论文）我国商业银行网上银行业务风险分析及管理.pdf

摘要 世界科技发展和应用的突飞猛进，引起了全球经济和社会生活方 式的重大变化。特别是信息网络化的迅速发展，对政治、经济、军事、 文化等领域产生了深刻的影响。2 1 世纪是网络经济不断发展成熟的 时代，发展网上银行业务，为我国银行业对传统的相对低效的经营管 理流程进行再造、提高整体竞争力、加快国际化进程提供了良好机遇。 目前国内各国有商业银行已经充分认识到了发展网上银行的必要性 和重要性，纷纷斥巨资用于网上银行业务的发展，网上银行业务在近 几年得到了突飞猛进的发展。安全是银行的生命线，在网上银行业务 大力发展的同时，必须要重视和加强风险管理，保证网上银行业务健 康、持续发展。 本文详细地分析了网上银行的风险种类、风险管理薄弱带来的危 害，简单回顾与总结了先进银行的网上银行业务风险管理经验，并以 我国某国有商业银行为具体研究对象，探索了我国国有商业银行网上 银行的风险管理策略。 本文根据网上银行业务的特点，结合国有商业银行经营管理网上 银行业务的现状，重点研究了网上银行的业务风险的管理，主要针对 操作风险和法律风险。从业务风险控制架构、控制政策、控制程序以 及检查反馈等方面进行探讨和研究。将国际管理体系标准引入内控体 系建设，可以说是内部控制理论和实践的制度创新与重大突破。 在写作期间，本人根据本文的思路对所工作的国有商业银行网上 银行的相关业务制度和管理办法进行了清理，对涉及风险管理和相关 内控政策进行了梳理，并在工作中对该行基层网点的网上银行业务进 行了检查和风险分析，有效地防范了风险的发生，最后针对国有商业 银行的现状提了几点建议，也希望对其他国有商业银行的网上银行业 务的风险管理有借鉴作用。 总之，本人结合国有商业银行经营管理网上银行业务的现状和工 作实践，运用m b a 阶段所学的商业银行经营管理和风险管理等相关知 识，对我国国有商业银行网上银行业务风险管理策略进行了探索和分 析，目的是希望通过本文的写作对我国国有商业银行发展网上银行业 务有所启发，能有效控制风险，促进网上银行的健康持续发展，但是 鉴于本人的知识和能力有限，文中一定有考虑不全面和错漏的地方， 敬请评审专家及答辩专家批评和指正，本人将虚心接受各位评审专家 及答辩专家的意见，并在日常工作中贯彻执行。 关键词：国有商业银行网上银行风险管理策略 a b s t r a c t c o n t i n u i n g l yt e c h n o l o g i c a l i n n o v a t i o na n dc o m p e t i t i o na m o n g e x i s t i n gb a n k i n go r g a n i z a t i o n sa n dn e w e n t r a n t sh a v ea l l o w e df o ram u c h w i d e ra r r a yo fb a n k i n gp r o d u c t sa n ds e r v i c e st ob e c o m ea c c e s s i b l ea n d d e l i v e r e dt or e t a i la n dw h o l e s a l e c u s t o m e r s t h r o u g h a l le l e c t r o n i c d i s t r i b u t i o nc h a n n e lc o l l e c t i v e l yr e f e r r e dt oa se - b a n k i n g h o w e v e r , t h e r a p i dd e v e l o p m e n to fe b a n k i n gc a p a b i l i t i e s c a r r i e sr i s k sa sw e l la s b e n e f i t s a ss e c u r i t yi sc r u c i a lf o rab a n k ，s u c hr i s k sm u s tb er e c o g n i z e d ， a d d r e s s e da n dm a n a g e db yb a n k i n gi n s t i t u t i o n s i nap r u d e n tm a n n e r a c c o r d i n gt ot h ef u n d a m e n t a lc h a r a c t e r i s t i c sa n dc h a l l e n g e so fe b a n k i n g s e r v i c e s t h er i s km a n a g e m e n tf o re - b a n k i n gh a sb e e nd i s c u s s e di nt h i sp a p e r f i r s t ，e x p e r i e n c eo ft h eb a n k si nt h ed e v e l o p e d c o u n t r i e si ss u m m a r i z e di n t h i sp a p e r s e c o n d ，t h i sp a p e rh a sc h o s e nas t a t e - o w n e db a n ki nc h i n aa n d p r o p o s e dt h i sb a n k sr i s km a n a g e m e n ts t r a t e g i e sa n dt a c t i c st oa c c o u n t f o r e - b a n k i n ga c t i v i t i e s b a s e do nc h a r a c t e r i s t i c so ft h er i s k sf o re - b a n k i n g ，e s p e c i a l l yo nt h e s t a t e o w n e dc h i n e s eb a n k s ，t h ep a p e rh a si d e n t i f i e dt w or i s kc a t e g o r i e s f o re b a n k i n g ，w h i c ha r et e c h n i c a lr i s ka n db u s i n e s sr i s k a c c o r d i n gt o t h et e c h n i c a lr i s k ，b a n k ss h o u l dt a k e a p p r o p r i a t e m e a s u r e so n a u t h e n t i c a t i o n s y s t e m ，u s e r si d e n t i f i c a t i o n ，p r i v i l e g e c o n t r o l ，a c c e s s c o n t r o l ，d a t ac o n f i d e n t i a l i t ya n di n t e g r i t y , s e c u r i t ya u d i t ，a n dd y n a m i c s e c u r i t ym o n i t o r r i s kc o n t r o lf r a m ea n dc o n t r o lp o l i c i e s a n dc o n t r o l p r o g r a mm u s tb ee s t a b l i s h e d t oa v o i dt h eb u s i n e s sr i s k b a s e do nt h es t r o n gw o r k i n ge x p e r i e n c ef o re - b a n k i n gd e p a r t m e n ti n t h es t a t e o w n e db a n k ，a n ds o l i da c a d e m i c k n o w l e d g e a b o u tt h e m a n a g e m e n to fc o m m e r c i a lb a n k i n ga n de - b a n k i n gf r o mm b as t u d y , 1 s o m es u g g e s t i o n so nt h er i s km a n a g e m e n t f o re b a n k i n ga r ep r o p o s e di n t h i sp a p e r t h e s ec o n t r o l sa n dm e a s u r e so nt h er i s km a n a g e m e n t w i l lb e h e l p f u lf o rt h ec h i n e s es t a t e o w n e db a n k s d e v e l o p m e n t d u et ot h e l i m i t a t i o no rt h ek n o w l e d g ea n dt h es k i l l s ，t h e s t r a t e g i e sa n dt h em e a s u r e s o t t e r e dmt h i sp a p e ra r en o ta b s o l u t e l yc o r r e c t i ti s m yp l e a s u r ei ft h e p r o f e s s o r sa n dt h ee x p e r t sc a ng i v es o m es u g g e s t i o n st om e t h e vw i l lb e v e r yu s e f u lf o rm yf u r t h e rs t u d ya n dw o r k k e yw o r d s ：s t a t e - o w n e db a n k e - b a n k i n g r i s km a n a g e m e n t s t r a t e g i e s 2 西南财经大学工商管理硕士( m b a ) 毕业报告( 学位论文) 原创性及知识产权声明 本人郑重声明：所呈交的毕业报告( 学位论文) ，是本人独立进 行调查和研究工作所取得的成果。毕业报告( 学位论文) 中除正文对 于直接引用的文字、数据或事实资料已经加以注释外，本毕业报告( 学 位论文) 不包含他人已经发表或撰写过的研究成果，也不包含他人为 获得西南财经大学或其他教育机构等的学位证书而使用过的材料。对 本毕业报告( 学位论文) 做出重要贡献的单位、团体、企业和个人， 均已在文中以明确方式表明。因本毕业报告( 学位论文) 引起的知识 产权纠纷概由本人负责，并承担由此引起的法律后果。 本毕业报告( 学位论文) 成果归西南财经大学所有。 特此申明 毕业报告( 学位论文) 作者签名：祝旦 2 0 0 8 年7 月5日 第一章前言 自1 9 9 5 年美国安全第一网上银行( s f n b ) 作为全球首家网上银 行成立以来，短短十几年，在美国、欧洲、日本、韩国和香港等国家 和地区，商业银行处理客户交易总量中约4 0 以上已经是通过网上银 行渠道提供服务了，银行业开始进入了一个新的历史发展阶段网 上银行发展阶段。 网上银行代表了金融业的发展趋势，它提供更快捷、更方便的帐 户查询、转帐支付、缴费、外汇买卖、国债买卖、基金买卖、黄金买 卖等传统银行开展的各项业务，打破了传统银行时间、空间的限制， 增强了金融产品的个性化，顺应了金融创新、金融自由化和金融市场 更加开放的世界潮流。网上银行将是中外银行竞争的阵地，谁占据了 网络制高点，谁就会在未来的银行业竞争中占尽先机。 随着中国入世和外资银行的涌入，中国金融业的竞争已然加剧。 外资银行以其资金实力、技术手段、经营经验和全球化网络优势，与 中资银行争夺高端客户市场。外资银行进入中国市场后，将主要不在 营业网点上与中国本地银行进行竞争，而会注重用电子化手段发展业 务，进行金融创新。目前，已有花旗银行等十几家外资银行在国内开 办了网上银行业务。面对来势汹汹的外资银行，面对瞬息万变的市场， 目前国内银行已经意识到网上银行业务的重要作用，将发展网上银行 业务作为提升市场竞争能力、推动业务快速发展的重要战略选择。在 我国，率先推出网上银行业务的是1 9 9 8 年招商银行，“一网通已成 为其代表性业务。此后，中国银行、工商银行、建设银行、交通银行、 光大银行也纷纷推出网上银行业务。 在业务高速发展的同时，我们必须关注风险问题。网上银行业务 属于新生事物，因为其兼有银行业与现代信息技术的双重特点，一方 面，传统银行面临的风险，如流动性风险、信用风险、利率风险等， 在网上银行的经营中依然存在。另方面，网上银行改变了传统银行 业的经营理念和经营模式，不可避免地带来了更多的风险种类。根据 网上银行的构成及运行方式，从技术和业务的角度分析，网上银行面 临的这些新的风险可分为两类：基于网络信息技术导致的技术风险和 基于网络金融业务特征导致的业务风险。因此，采取必要的技术手段， 建立、改进和完善网上银行业务的内部控制管理体系、防范网上银行 风险是商业银行的一个重要课题。 本文主要从技术和业务两个角度来分析网上银行的风险，用实际 案例说明风险管理薄弱带来的危害，并以我国某国有商业银行四川省 分行为具体研究对象，探讨建立“制度防内、科技防外”的风险管理 机制，以期对我国商业银行发展网上银行业务有所启发，能有效控制 风险，促进网上银行的健康持续发展。 第二章网上银行风险概述 2 。1 网上银行的概念及其特征 网上银行业务，是指银行借助客户的个人电脑、通信终端( 包括 移动电话、掌上电脑等) 或其他智能设备，通过因特网向客户提供的 银行业务和有关金融服务。 根据以上定义可以归纳出网上银行业务的三个特征： 一是该业务的操作前台为客户的个人电脑或者无线通信终端等 智能设备； 二是该业务要通过因特网或其他公用信息网才能向客户提供； 三是该业务的内涵仍然是以银行服务为核心，但已经向其他领域 渗透。 2 2 网上银行的发展情况 从国际上来看，自1 9 9 5 年美国安全第一网上银行( s f n b ) 作为 全球首家网上银行成立以来，短短十几年，网上银行在全球范围内兴 起、发展十分迅速，如美国银行的网上银行已经在全行业务中占据重 要作用，该银行各渠道交易量之比已经达到柜面：网上银行：自助设备： 客服中心= 1 ：1 5 ：1 1 ：o 7 ，网上银行业务量远远超过柜面，2 0 0 7 年， 美国银行拥有的5 7 0 0 万客户中2 3 0 0 万是网上银行活跃客户，占比 4 0 ；1 2 0 0 万是网上支付客户，占比2 0 ；5 8 的支票账户是通过网上 银行开立；通过互联网站销售信用卡1 0 0 多万张，占其全年发卡量的 1 7 ，网上银行渠道已成为国际先进银行信用卡业务的主要受理渠道 和信用卡客户最为主要的业务办理渠道。 在我国，率先推出网上银行业务的是1 9 9 8 年招商银行的“一网 通，此后，中国银行、工商银行、建设银行、交通银行、光大银行 也纷纷推出网上银行业务，并明确把发展网上银行作为全行重要策略 积极推进，目前网上银行服务已成为我国商业银行的重要业务之一。 根据艾瑞咨询公司统计，2 0 0 7 年我国网上银行交易额规模达2 4 5 8 万亿元，其中，企业网银达2 3 0 万亿元，个人网银达1 5 8 万亿元。 以工商银行为例，该行明确树立了成为“最大的互联网企业 的发展 理念，2 0 0 7 年网上银行交易额8 9 9 万亿元；新增个人网上银行客户 1 5 8 3 万户，企业网上银行3 7 6 万户，累计分别达到3 9 0 8 万户和9 8 万户。 网上银行代表了未来金融业的发展趋势，它提供更快捷、更方便 的帐户查询、转帐支付、缴费、外汇买卖、国债买卖、基金买卖、黄 金买卖等传统银行开展的各项业务，打破了传统银行时间、空间的限 制，增强了金融产品的个性化，顺应了金融创新、金融自由化和金融 市场更加开放的世界潮流。谁占据了网络制高点，谁就会在未来的银 行业竞争中占尽先机。 2 3 网上银行的风险 一方面，传统银行面临的风险，如信用风险、流动性风险、市场 风险、操作风险等，在网上银行的经营中依然存在。另一方面，网上 银行改变了传统银行业的经营理念和经营模式，不可避免地带来了更 多的风险种类。根据网上银行的构成及运行方式，从技术和业务的角 度分析，网上银行面临的这些新的风险可分为两类：基于网络信息技 术导致的技术风险和基于网上银行金融业务特征导致的业务风险。 2 3 1 网上银行的技术风险 由于网上银行是建立在计算机网络基础上的，因而计算机网络技 术方面的缺陷必然会威胁到网上银行的安全，网上银行业务技术风险 一般来源于三个渠道： 首先是数据传输，一旦数据传输系统被攻破，就有可能造成用户 的银行资料泄密，并由此威胁到用户的资金安全； 其次是网上银行应用系统的设计，一旦其在安全设计上存在缺陷 4 并被黑客利用，将直接危害到系统的安全性，造成严重损失； 第三是来自计算机病毒的攻击，即由于网络防范不严，导致计算 机病毒通过网上银行入侵到银行主机系统，从而造成数据丢失等严重 后果。 2 3 2 网上银行的业务风险 网上银行基于虚拟金融服务品种形成的业务风险主要包括操作 风险和法律风险。 ( 一) 操作风险 操作风险的定义为：不完善的或失效的内部程序、人员和系统或 外部事件造成损失的风险。( 一一巴塞尔新资本协议t h en e wb a s e l c a p i t a la c c o r di s s u e df o rc o m m e n tb y3 1j u l y2 0 0 3 ) 尽管传统银行业务也存在操作风险，但在网上银行业务中，由于 对技术的严重依赖，此类风险显然更加引人注目。网上银行业务的操 作风险主要源于三个方面： 一是由于系统可靠性与完整性存在重大缺陷而发生损失的可能 性； 二是网上银行业务系统设计、运行或维护上的不当。 三是客户的错误使用； 按照上述三个方面，可以将操作风险划分为以下三类： l 、安全风险。这是网上银行业务面临的一个基本问题，也是其 操作风险的主要内容之一。这种安全风险主要来自人为和非人为破坏 两方面因素，前者如网上银行产品或系统受到的来自网络内部或外部 的数字攻击与威胁；后者如网上银行的计算机系统停机、磁盘列阵破 坏等系统的不确定因素。一般来说，前者是保障网上银行业务系统 安全所着重考察的因素，许多具体的监控措施就主要是为防范这后一 种人为攻击而设计的。其中来自外部的攻击主要包括入侵、嗅探、仿 冒及拒绝服务攻击等，而来自内部的威胁主要涉及内部雇员的过失和 欺诈等。事实上，早在互联网技术运用于提供银行服务之前，以其他 电子渠道如封闭性的局域网络提供的银行服务也存在类似的安全问 题，但由于其本身固有的封闭性、进入使用者的特定性、特权性和有 限性特点，已自然地为其系统安全设置了一道屏障。然而，互联网却 使情形大不相同。互联网的开放式使得其进入者未受任何身份授权限 制和筛选便可以自由进出，这种新型的电子传输渠道给银行机构在信 息保密性与完整性、交易的不得否认性、用户确认以及进入控制等方 面都带来了更多的安全隐患。 2 、产品和内控风险。商业银行的内控体系不健全、系统的设计、 运行与维护不当、网上银行产品的设计和开发有缺陷而产生的风险构 成网上银行业务操作风险的另一重要内容。它主要涉及如下几种情 况： ( 1 ) 因银行选择的系统本身设计和运行不良而产生风险；如由 于各种网络原因和系统运行故障而产生的系统不能正常对外提供服 务。 ( 2 ) 商业银行的内控体系不健全、商业银行职员在业务上的错 误操作，以及银行内部员工利用职务之便在没有客户的印章的情况 下，利用网上银行渠道套取客户资金，实施金融犯罪。导致网上银行 存在严重的操作风险。主要涉及网上银行账户的授权使用、网上银行 的风险管理系统、网上银行与客户间的信息交流等领域； ( 3 ) 网上银行产品在设计和开发上存在缺陷，使病毒或黑客有 可乘之机，给网上银行的安全带来严重的影响。 3 、客户操作风险。客户的错误操作和使用而引发的风险是网上 银行业务操作风险的重要组成部分。由于网上银行业务含有大量的高 科技内容，缺乏专业知识的广大客户要正确掌握其操作与运行恐怕还 需要一定的培训。互联网的触角在理论上是无所不及的，它能最大限 度的扩展其业务空间和客户范围。客户范围的增大使那些经济能力、 所受教育水平与知识背景各异以及对网上银行业务使用技能的掌握 水平参差不齐的人们都有可能享受网上银行业务服务，但同时也大大 增加了错误操作或计算机管理不善发生的机率，从而使这方面的风险 有所上升。 ( 二) 法律风险 网上银行面临的法律风险，实际上属于没有任何法律调整，或者 现有法律不明确造成的风险。网上银行出现以后，许多领域都是全新 的，法律规则还是一片空白，现有法律是否应该适用，程度如何，当 事人都不太清楚。在这种情况下，当事人一方面可能不愿意从事这样 的活动，另一方面也可能在出现争执以后，谁也说服不了谁，解决不 了问题。网上银行还面临洗钱、客户隐私权、网络交易等其他方面 的法律风险，所有这些法律风险的存在，都要求银行在从事新的网上 银行业务时候必须认真检查和识别。网上银行主要面临以下的法律风 险： i 、身份确认问题。无论是网上银行、手机银行或是电话银行交 易，银行都面临一个客户身份确认的问题。对银行而言，身份确认要 解决交易合同是否确实是真实客户签订的。它包括：银行和客户之间 用什么方法确认彼此身份? 在这些方法失败时，谁承担失败带来的损 失，以及人们是否可以对上述问题进行约定? 对这些问题，我国现有 的法律无明确的规定。 2 、损失承担问题。网上银行业务中的损失是由多方面的原因造 成的，包括：银行的过错、客户的过错、第三方的过错以及不可抗力 造成的损失，对于各种损失如何承担，关系到银行、客户等关系人的 利益以及网上银行业务的发展。 3 、举证责任和证据形式问题。在诉讼中，对于网上银行与普通 消费者之间的电子交易纠纷，法院一般会将主要的举证责任加在银行 一方。这是因为，传统银行业务模式中，交易双方通过打印的存折、 客户填制的纸质单据等证明交易的内容，这些证据除银行留存外，大 部分都有交客户收持的正本。但在电子银行的交易中，交易数据都储 存在银行的服务器中，客户手中不掌握任何交易数据的备份。由于电 子数据易于篡改，被投机者利用的可能性相当大。数据只储存在银行， 交易过程的记录完全由银行制作掌握，银行在交易中处于绝对优势地 位，因此举证责任往往要由银行承担。这种以交易行为的特殊性为由， 改变举证责任的做法，在1 9 9 9 年最高法院公报第1 期公布的期货交 易判例中被承认。因此，如果网上银行在业务操作方案设计时，对业 务流程的记录不能满足法院对记录完整性和可靠性的要求，银行就可 能被迫承担全部的确认风险。这就对银行数据管理的要求更为严格， 如管理上有疏漏，就有可能被法院判定有管理上的过错。因此，在网 上银行纠纷中银行应注意保全相关证据资料。如电话银行业务，除录 音资料外，每日电脑打印的目结单，以及银行定期向客户发出的信函、 传真等书面材料，在处理电话银行纠纷中都发挥着重要的作用。但是 在证据的证明力上，就证据的来源而言，由双方确认的证据证明力要 强于单方提供的证据，如银行提供给客户的单据的证明力要强于银行 自己提供的底单。最高法院关于民事经济审判方式改革问题的若干 规定第2 1 条规定，对于证据，仅有本人陈述的，其主张不予支持。 另一方面，在证据的外在形式上，根据民事诉讼法及最高法院的司法 解释，非原件的书证、物证不能单独作为定案证据。由于网上银行交 易数据记录完全由银行自行制作，在严格的意义上，这些记录应被归 入本人陈述一类，这对网上银行纠纷中的证据的证明力有很大影响。 2 4 本章小结 本章简单介绍了网上银行的概念和业务特点及网上银行的风险 分类。 风险管理都是从对风险的识别开始的，本章根据网上银行的构成 及运行方式来划分网上银行的风险种类，主要从技术和业务的角度分 析，网上银行面临的新的风险可分为两类：基于网络信息技术导致的 技术风险和基于网上银行金融业务特征导致的业务风险，下面的章节 将针对技术风险和业务风险的管理进行探讨。 第三章网上银行业务风险管理现状 3 1 注重技术风险防范，业务风险控制不足 随着互联网技术的发展，拥有良好网络技术和营销经验的国外大 银行或其他金融机构，完全可以不在国内设立分支机构而利用网上银 行争揽金融业务，抢占金融市场。网上银行业务的竞争将是无形的、 无国界的竞争。因此，网上银行将是未来中外银行竞争的主要领域。 我国银行业务必须把发展网上银行提到银业发展战略的高度去认识、 策划和实施。当然，随着网上银行的开办，网上银行的特殊风险及其 防范也是必须考虑到的一个重要问题。 在我国的网上银行业务发展过程中，商业银行比较注意对技术设 施和网络安全的控制，在建设网上银行时采用了较先进的技术设备， 按照国际通行的模式设置，也都采取了多层防火墙、安全监测、病毒 防范等必要的技术手段。加上计算机和网络信息技术的快速发展和日 趋成熟，国内银行在技术方亟的高投入，已使得网络安全问题远不像 一般人想象的那样严重。据调查，国内网上银行至今尚未有一例因黑 客攻击银行服务器或真正源自于网络技术漏洞而产生的网上银行事 故。 但是，由于对网上银行业务缺乏深入的调查和了解，管理者和社 会公众都夸大了网络安全的严重性，将大量的注意力和精力放在网络 和数据安全等技术方面，忽视了对网上银行操作风险、法律风险等业 务风险的综合管理。 在缺乏对网上银行业务风险进行综合管理和监管的情况下，解决 了计算机软硬件方面的安全，并不能保证网上银行系统的安全，由于 管理制度方面的漏洞和人为疏忽酿成事故近年来有上升之势。 3 2 风险管理薄弱的危害与案例 网上银行在为金融企业的发展带来前所未有的商机的同时，也为 众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠 道，客户可以不必亲身去银行办理业务，只要能够上网，无论在家里、 办公室，还是在旅途中，都能够全天安全便捷地管理自己的资产，或 者办理查询、转账、缴费等银行业务。网上银行的优越性的确很明显， 但是面对这一新兴的事物，人们却有一个最大的疑惑：网上银行安全 吗? 人们有这种顾虑不无道理。银行业务网络与互联网的连接，使得 网上银行容易成为非法入侵和恶意攻击的对象，加上目前网络秩序较 混乱，黑客攻击事件层出不穷，也给人们的心理造成了一定影响。当 我们还没来得及感叹网上银行的快捷与便利，病毒与黑客的不断得逞 就已经把许多用户吓了好一哆嗦。难道说享受便捷的生活就一定要用 自身的安全来交换吗? c f c a 发布的( ( 2 0 0 6 中国网上银行调查报告 显示，在过去的一年中，网上银行得到了比较大的发展，但是6 0 以上的网民不敢用网上银行，究其原因就是网上银行的安全性让广大 用户担忧。虽然，2 0 0 6 年国内网上银行的使用人数较去年相比有了 较大幅度的增长，总用户数已将近4 0 0 0 万，但是广大用户不放心使 用其业务，这无疑暴露了网上银行发展的瓶颈：安全问题! 目前国内 网上银行业务仍处于初级发展阶段，就像一个婴儿，还没学会走，如 何能跑? 网上银行安全问题亟待解决。 风险管理薄弱不仅带给银行和客户资金的损失，更影响银行的声 誉，有的风险如不及时控制，会带给银行带来不良后果。我们可以从 以下几个案例来看。 3 2 1 案例1 ：网上银行产品设计有安全漏洞 张某是哈尔滨一所大学的学生，偶然在某国有商业银行的网上银 行系统中发现了一个漏洞，于是精心准备了1 个月，先是在该行利用 假身份证开立了多张储蓄卡，然后利用自己所学的知识编写程序，获 取了多个客户的网上银行帐户及密码，然后对不经常使用的客户资金 进行盗用，将这些客户的资金转移到事先准备好的储蓄账户上，然后 在不同的地方将现金取出共计7 7 万后潜逃。 这个案例发生在网上银行发展初期，从中我们可以看出该行网上 银行客户信息被窃取对这家银行来说是致命的。所幸张某并没有疯狂 地盗取资金也没有将所盗取的资金花费多少，资金的损失还小。该案 例是典型的网上银行产品设计存在缺陷以致于出现了安全漏洞，其原 理也很简单，张某是从一个偶然的机会知道该行账户的编排规则，也 知道账户的密码都是6 位的数字，于是利用网上银行系统的某些交易 只验证账号和密码的对应关系，于是就采用先设定一个密码如 1 2 3 4 5 6 ，然后利用程序输入一个又一个的账号，看是否有某个账号的 密码为1 2 3 4 5 6 ，如有，则将该账号和密码匹配，如无则开始下一次 的搜索。这是由于该行网上银行的产品缺陷而带来的网上银行操作风 险。只要在交易的验证上增加身份证件、户名或附加码等验证信息就 可以有效控制。 3 2 2 案例2 ：网上银行内控制度不健全 李某原是某银行储蓄所的操作人员，他利用在储蓄所工作的便 利，将在该所办理代发工资的一个单位的人员的初始密码获取，在将 代发工资账户给客户之前，将该账户签约成为网上银行的账户，李某 离开该银行后，在客户将资金存入时将客户资金从网上银行盗取，最 终被发现。 案例二是典型的银行员工内部作案，是属于银行内部控制不严， 没有相应的审核手段，这一点是目前国内几乎所有银行都无法避免 的，也没有一家银行有有效的控制手段，各家银行的作法无非就是加 强员工的职业道德教育，作得好一点的就是在办理网上银行时增加为 双人操作，事后监督增加对凭证的检查等。 3 2 3 案例3 ：虚假信息布陷阱，网银转帐窃资金 2 0 0 5 年2 月2 8 日，网友小姚在一个名为“利好交易网 的网站 上，点击进入了工商银行网上支付系统，他在输入了自己的卡号和密 码后却无法登录。好在小姚及时地发现这个工行网站和去年被媒体所 曝光的那个假网站非常相似，并迅速赶往附近的工行，取出卡里的大 部分钱，只留下7 1 元。几个小时后，当小姚再次查询余额时，发现 卡里除了仅有的l 元钱外，其他的7 0 元钱早已不翼而飞。 很显然，这个诱骗小姚输入自己账户信息的假网站就是本次案件 的罪魁祸首。经调查，发现其网站地址w w w 1 c b c c o m c n i n d e x j s p ， 与工商银行的正规网站w w w i c b c c o m c n 仅为一个字母“l ”与“i 之差，也难怪一向精明的小姚会看走了眼。 湖南省急需现金周转的李先生和某放贷公司联系，要求贷款2 万 元。为了表明自己有偿还能力，李先生表示自己有9 万元的存款，对 方以“方便查询账户到账情况”为由要求李先生到银行里办理网上银 行业务，并要走了李先生的账号和身份证号码。等到李先生按照对方 承诺的放贷时间去银行查账时，却发现不仅没有贷款到账，自己的9 万元存款也不翼而飞了。而此时贷款人的手机再也打不通了。通过查 询发现，李先生开通网上银行的第二天就有人通过网上银行对李先生 的存款进行了转账。同样的，魏小姐也是在办理贷款的时候遭遇了网 上银行盗窃行为。天津市的魏小姐接到了一条手机短信：“瑞丰信用 担保公司为个人及中小型企业提供低息贷款，手续简便、快捷。 魏 小姐随即拨通了瑞丰信用担保公司的电话，申请贷款2 5 万元。对方 要求魏小姐在天津某银行存入5 万元保证金，魏小姐随即存入。后来 对方又以自己不在单位为名，让魏小姐到柜台办理个人网上银行，以 便划款。随后对方又用电话遥控魏小姐逐步填写“申请资料 ，魏小 姐在不知不觉中已将自身的个人资料和网上银行的密码都泄漏了出 去。次日下午对方来电话称有一笔6 0 万元的贷款，但不能分拆，询 问魏小姐是否能先存入3 0 万，再加上已存入的5 万元保证金，以便 银行将6 0 万元一次性打入，相当于贷款2 5 万元。仍然没有起疑心的 魏小姐四处筹措，借了3 0 万元存入银行，谁知再查询时，3 5 万元己 不翼而飞。 与此相类似的诈骗手法还有很多，如2 0 0 5 年6 月2 7 日，上海 银监局发现上海地区存在一电话号码，其自动语音提示可提供邮政储 蓄、中国银行、工商银行、农业银行、建设银行、交通银行等多家金 融机构的电话银行服务，办理银行卡查询、修改密码等服务。当客户 拨打0 2 1 5 1 0 8 2 0 7 5 后，其自动语音提示各家商业银行的电话银行号 码，当客户选择其中一家银行号码后系统提示分别输入银行卡号及账 户密码并按“# ”字键，随后系统会报出其账户的余额。经查，该电 话号码系专门套取客户账号与密码、从事欺诈行为的仿冒电话银行。 从上面的案例可以看出，犯罪分子利用银行提供的网上银行、电 话银行等电子渠道，利用客户的粗心大意和不当操作实施诈骗。针对 这种类型的网上银行的操作风险，银行应制定和采取有效的防范措施 已是当务之急。 3 2 4 案例4 ：网银大盗病毒 刘先生是四川某国有商业银行网上银行的忠实用户，经常在网上 作帐务的查询、转帐和缴费交易。2 0 0 7 年6 月的某日在网上银行查 询自己的帐务时发现有1 7 笔网上购物的支出，共计5 5 0 0 元。这些交 易并不是自己所作的，刘先生当即向银行询问，经银行方查询系统信 息发现确有1 7 笔网上支付交易，交易时客户登录的i p 地址为福建省 的一个县城，而刘先生自己其他的操作的登录i p 地址均为四川省内， 银行人员初步判定为该事件是由于刘先生的密码失窃造成的，而据刘 先生陈述在自己认识的人中并无在福建的人，银行技术人员上门检查 了刘先生上网所使用的电脑，发现了4 个木马程序，于是判定为黑客 盗取密码所致。幸运的是刘先生是该银行网上银行的签约客户，凡涉 及大资金的转移均要使用安全证书，在不使用证书的情况下只能小额 支付因此刘先生的资金并没有多大损失，在银行人员的提醒下，刘先 生安装了防木马程序并修改了自己的密码。 从案例四可以看出，这是一个典型的技术风险案例，针对各家银 行网上银行系统的病毒“网银大盗 及其变种“超级网银大盗”就是 利用黑客技术盗取客户的网上银行密码来窃取客户的资金，各家银行 均受到不同程度的损失。该病毒的原理就是利用网络在客户的计算机 上安装木马程序，然后将各家银行网上银行的关键字眼输入，如果客 户进入网上银行，则启动木马程序记录客户所有从键盘输入的字符从 而分析出客户的网上银行密码。该病毒在网上泛滥以后，各大商业银 行陆续做出了反应，在密码输入处增加了软键盘输入，同时大力推广 动态口令卡等网上银行安全工具，防止客户密码通过木马程序失窃。 3 3 部分银行的网上银行管理启示 3 3 1 香港银行对网络经营风险的控制管理 在开展网上银行业务过程中，技术风险、业务风险及法律风险相 交织，总的来说，网上银行将比传统银行承担更大的风险。因此，风 险控制将是网上银行成功与否的关键之一。 为防范技术风险，香港银行运用严密的技术风险管理程序来识 别、衡量、监督和控制网络技术上的风险。对技术的风险管理包括两 个环节：技术应用的规划和技术的实施。在对技术应用作规划时，管 理者对可能给银行风险管理产生重大影响的有关网上银行业务技术 项目进行研究，对网上银行技术方案进行科学缜密的论证，避免出现 大的技术选择错误。在技术实施过程中，管理者运用相关技能有效评 估网上银行技术和产品，为银行选择合适的组合，并确保选定的技术 安装正确。加强日常安全管理，通过双机备份、防火墙等安全技术杜 绝各种隐患，避免安全性风险。 香港银行注意及时发现和防范在经营中出现的业务风险，内容包 括：在推出一项网上银行产品之前，管理者不仅要考虑该产品和技术 是否同银行战略规划中的业务目标相一致，还须考虑是否具备足够的 专家和资源来对网上银行业务的风险进行识别、监督和控制，确保所 作的规划在银行的风险承受范围之内；网上银行的资产负债管理体 系和信贷管理体系注意为网上产品保留足够的资金；网上银行往往采 用高利息策略吸引存款，因而银行管理者应努力维持恰当的资产负 债管理体系，以便对变化的市场情况做出及时的反应，避免或减少利 率风险；建立完善的信贷资料库，对网上银行客户进行跟踪和信用登 记、评级，把信用风险降低到最低程度；建立一套完善的客户关系管 理系统，收集、整理、分析客户信息，与客户建立稳定的关系，深入 了解客户的需求，更有效地向合适的客户推广新产品；加强对网上银 行外汇业务的审查和稽核，避免减少汇率波动造成银行损失的风险。 为防范法律风险，银行管理者时常注意保证网上银行业务操作符 合现行各种法律规定和行政管理程序，使这些规定落实到每一笔具体 业务中。 3 3 2 中国建设银行网上银行业务风险防范主要措施 中国建设银行一直高度重视网上银行客户的安全，在网银系统、 应用、客户等各个层次采取了多种具有国际专业水平的安全技术和措 施。 1 、在操作流程上增加了多个验证密码和交易限额。客户输入的 银行账号、密码、金额等信息都将经过加密后完整、隐秘的传递到网 上银行服务器上，而不必担心有被篡改和失密的风险； 2 、为客户设定了强大的安全应用保护措施，包括双密码和u s b k e y 等。在系统登录时，该行提供了附加码和密码小键盘等服务，避 免信息泄露； 3 、使用国际认可的标准的安全技术s s l l 2 8 位加密，确保安全可 靠。s s l ( s e c u r es o c k e t sl a y e r ) 是一种国际标准的加密及身份认 证通信协议，使用通讯双方的客户证书以及c a 根证书，允许客户 服务器应用以一种不能被偷听的方式通讯，在通讯双方间建立起了一 条安全的、可信任的通讯通道。它具备以下基本特征：信息保密性、 信息完整性、相互鉴定； 4 、向客户提供个人数字证书，提供安全身份认证功能； 5 、数字签名保证交易的真实和可靠； 6 、在服务器的系统层次上，使用两层防火墙体系，并建立了服 务器运行实时监控系统，客户可疑交易实时报警，对单日支付或缴费 笔数超过l o 笔的，电话通知客户。 7 、在客户网上办理业务和到网点办理网上银行签约时，均加大 了对客户的相关风险的提示。 8 、对大额交易和关键交易提供短信提醒服务。 3 4 本章小结 北京市朝阳区某科贸公司的高先生由于工作的原因常常在网上 进行资金转账，他说虽然他熟悉网上转账的过程，但使用起来也仅仅 限于对公业务。“说出来可能很多人觉得不可思议，我自己的存款、 缴费等业务都是去银行排队，从不用网上银行来办理，我知道去银行 排队是一个费时、费力、很痛苦的事情，但是，起码这种交易行为让 我感觉放心。坦白地讲，我不相信网上银行的安全性，我也不敢拿我 自己的血汗钱去赌这种安全性。”像高先生这种情况的人有很多，高 薪、白领、从事着“高科技”的工作，但即使是这些人也仍然对网上 银行的安全性感到“难以保障 。频频发生的网上银行失窃案令很多 储户对网上银行顾虑重重，而从事后银行的处理来看，大多数人都感 觉银行在“推卸责任 。不久前，央视也针对网银安全问题作了一项 网上调查，结果发现7 0 的受调查者认为在网银资金被盗的案件中， 银行应该负主要责任。一位储户表示：“我们把钱存到银行已经承受 着很低的利率了，账户的钱莫名其妙没有了，银行难道不应该承担责 任吗? ”中国消费者协会投诉部主任邱建国接受媒体采访时说：“我 的钱存在你银行里面，银行是有责任保护它的安全的。钱丢了，那应 该谁承担责任呢? 你完全让我消费者承担责任，这是非常不公平的， 也是不合理的。 普通的老百姓大多不使用网上银行，因为他们不懂 得如何操作，而熟悉电脑懂得操作程序的“前沿人士 又处于对网络 安全性的考虑不去使用网上银行，这就使网上银行的发展面临一个十 分尴尬的局面。从2 0 0 3 年1 0 月新的商业银行服务价格管理暂行办 法施行以来，银行的各种收费项目新增的已经有3 0 来项，这也使 得不少人开始使用网上银行或者是电话银行。0 6 年上半年我国企业 网银注册用户达到9 0 多万户，个人网银注册用户达到3 5 0 0 多万户， 网上交易总额为4 0 多万亿元。屡屡发生的网上银行失窃案使公众对 网上银行的安全性质疑不断，面对一片指责之声，银行方面则坚称责 任不在己方，银行方面认为，“由于加入了一个u s bk e y 的设置，网 上银行专业版可以很大程度防止信息泄漏，使得网上操作更安全。而 大众版一般仅供持卡人简单的查询，相比之下，安全性降低不少。 这样在该银行实现同一人不同卡之间的网上“卡卡转账 ，只需用户 将任意一张卡登录“网上银行大众版 界面，注册一个后，仅需追加 另一张卡的卡号便可实现网上的“卡卡转账 业务。据悉，在整个操 作过程中，银行方面需要核实的信息是两张卡持有者的姓名和身份证 号码。据了解，网上银行的大众版可以提供简单的查询功能，也可以 进行本人不同卡之间的转账业务，而涉及不同持卡人之间的转账业务 就必须带上有效身份证去柜台办理网上银行的专业版。但是国内发生 过多起在受害人不知情的情况下被开设网银业务的案例，广东广和律 师事务所鲁楷律师认为，在此类诉讼中，银行无一胜诉，因为银行没 有履行自己为客户保密的职责，在没有认真核实验明办理网上银行注 册人提供资料真实性的情况下办理网银开通业务，这是银行的过错。 专家表示，从科学的角度来说，越复杂的设置其安全性能就越高，反 之则越低。银行因为考虑成本、方便客户等多种原因，没有给用户提 供更高级更复杂的安全措施；而用户为了图方便，也多把设置得较为 简单。这样一来两边都让犯罪分子有空子可钻了，所以银行在尽可能 使自身系统没有漏洞时，应该考虑到客户端的安全问题。 由于业务发展带来的风险问题已日益突出，为了有效的防范和化 解风险，笔者将参考其他先进同业的管理经验，结合自己在国有商业 银行从事网上银行的管理工作经验，对建立科学的系统的国内网上银 行业务风险管理体系做一个探讨。 第四章网上银行风险管理体系 如上文所分析，由于网上银行面临的主要风险是业务风险和技术 风险。但是由于网上银行有关的理论和实践研究不足，相关的法律制 度还不很健全，所以银行的管理者一般