（金融学专业论文）网络银行风险及其控制.pdf

摘要 信息技术和电子商务的发展、日益激烈的银行竞争以及银行业对 低成本高利润的追求，使一种新型的银行网络银行在世界范围内 应运向生。它运用网络技术为客户提供了方便快捷、多样化的服务并 具有超越时空、创新发展快、运作工具有别于传统银行等特点。网络 银行的出现对传统银行业产生了深刻的影响，发展网络银行是大势所 趋。然而网络银行能否顺畅发展，一个关键问题是如何防范和控制网 络银行的风险。因此，本人把网络银行的风险及其控制问题作为自己 的毕业论文的选题。 网络银行同样面临着传统银行所面临一系列风险。但是，与传统 银行相比，某些风险因网络银行自身的特点表现得尤为突出。而且， 上述风险对网络银行与传统银行的影响也不一样。因此，必须深入研 究网络银行风险的控制措施。深入研究网络银行的风险及其控制措 施，不论对世界还是我国网络银行的健康发展都有着重要的意义。 关键词：网络银行：风险分析；风险控制； w i t ht h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y ，e l e c t r o n i cc o m m e r c e ， t h ef i e r c ec o m p e t i t i o nb e t w e e nb a n k sa n db a n k s d e s i r ef o rl o wc o s ta n d h i g hp r o f i t ，an e wk i n do fb a n k - - i n t e m e tb a n ka p p e a r e di nt h ew o r l d i t u s e si n t e m e ta n di n t e r n e tt e c h n o l o g yt os u p p l i e sc o n v e n i e n ta n dp r o m p t f i n a n c i a ls e r v i c e sf o rp e o p l ea n dh a sd i f f e r e n tc h a r a c t e r sf r o mt r a d i t i o n a l b a n k s ，s u c ha so p e r a t i n gb e y o n dt i m ea n ds p a c e ，r e n o v a t i o nq u i c k l y , o p e r a t i n gt o o l sd i f f e r e n tf r o mt r a d i t i o n a lb a n k s i n t e m e tb a n k h a sg r e a t i n f l u e n c eo nt r a d i t i o n a lb a n k s s oi t i st h et r e n do ft h ew o r l dt od e v e l o p i n t e m e tb a n k h o w e v e r ，w h e t h e ro rn o ti n t e r n e tb a n kw i l ld e v e l o p s m o o t h l y , i td e p e n d so nh o wt oc o n t r o li t sr i s k s s oi s e l e c tt h i st o p i ca s m yt h e s i s i n t e m e tb a n kh a st h es a m er i s k sa st r a d i t i o n a lb a n k s b u t ，t h er i s k s h a v ed i f f e r e n te f f e c t so nt r a d i t i o n a lb a n k sa n di n t e m e tb a n k s s o m e r i s k s a r ev e r yp r o m i n e n tb e c a u s eo ft h ec h a r a c t e r so fi n t e m e tb a n k s s ow e s h o u l ds t u d ya n df i n dt h em e a s u r e so fc o n t r o l l i n gt h er i s k s a l t h o u g ht h e a p p e a r a n c eo f i n t e r n e tb a n k si no u rc o u n t r yi sl a t e ，i td e v e l o p sq u i c k l y s t u d y i n gt h er i s k so f i n t e r n e tb a n ka n df i n d i n gt h em e a s u r e st oc o n t r o lt h e r i s k sa r ev e r ys i g n i f i c a n tt od e v e l o pt h ei n t e r n e tb a n ki nc h i n aa n di nt h e w o r l d k e y w o r d s ：i n t e m e tb a n k i n g ，r i s ka n a l y s i s ，r i s kc o n t r o l l i n g i l 月爵 2 0 世纪以来，信息与网络技术的飞速发展，已经成为推动当今世界经济全球 化的重要动力。信息技术和电子商务的发展推动了网络银行的产生和发展，电子 化开始在银行的各个领域普及，并且逐步改变了传统的管理和服务形式。互联网 技术的迅速发展，使人类社会的信息传播方式发生了根本变化，银行业也走向了 新的制度交迁道路，网络银行正日益成为全球金融市场中一种崭新的银行经营方 式。在短短几年中，网络银行以其高科技、低成本的优势获得了迅速的发展，并 为社会公众提供了更加方便快捷的金融服务。鼹络银行的产生和发展是国际银行 业发展的重要特点，也是我国银行业发展的必然态势。随着网络银行的发展，其 风险问题日益突出。 从目前金融理论界与实际部门的研究现状看，对传统银行风险防范和控制的 研究较多，也制订了一系列相应政策措施，但对网络银行风险及其控制这一新的 课题讨论还十分缺乏。为了有效控制网络银行的风险，必须深入探索解决网络银 行风险问题的方法与途径。 二对网络银行的认识 ( 一) 网络银行的含义 目前，网络银行严格的法律定义还未出现，不同机构对网络银行的定义不尽 相同( 见表1 ) 。这些定义基本上是对现有网络银行实际情况的概括，主要区别 是对网络银行外延大小的认定不同。但总体来看，都包括了以下几个要素： 1 、电子虚拟服务方式。网络银行所有业务数据的输入、输出，都以电子虚 拟方式进行，而不是采用“面对面”的传统柜台方式。 2 、运行环境开放。网络银行是利用开放性的网络作为业务实施的环境，而 丌放性网络意味着任何人只要拥有必要的设备、支付相关的费用，就可以进入网 络银行的服务场所，接受银行服务。 3 、真实的银行业务。网络银行是指在互联网上开展一类或几类银行实质业 务的银行。 表1 ：不同组织对网络银行的定义 组织名称 网络银行定义 美联储 网络银行是指利用国际互联网作为其产品、服务和信息的业务渠 道，向其零售和公司客户提供服务的银行 英国金融 网络银行是指通过网络设备和其他电子手段为客户提供产品和服 服务局务的银行 巴塞尔银 网络银行是电子银行的一种，电子银行是指通过电子渠道提供零售 行监管委和小额的银行产品或服务。这些产品和服务包括：存款、贷款、账 员会 户管理、金融顾问、电子账单支付，以及其他一些类似电子货币等 的电子支付产品和服务 欧洲银行网络银行是指那些利用网络为通过使用计算机、网络电视及其他一 标准委员些个人数字设备连接上网的消费者和中小企业提供银行产品和服 厶 务的银行 香港金融网络银行是指主要通过国际互联网或其他电子传送集道来提供银 管理局行服务的公司，不包括把国际互联网或其他电子手段作为替代性的 渠道为客户提供产品和服务的现有持牌银行 笔者认为，网络银行其实是以现有的传统银行业务为基础，利用网络技术为 客户提供安全、便捷的金融服务的银行机构，其本质是银行业向其客户提供金融 服务的一种新手段。一般将网络银行划分为两类：分支型网络银行和纯网络银行。 分支型网络银行是指在现有的传统银行的基础上设立的网络银行，它类似于该银 行的其他实体分支机构或柜台。纯网络银行则是为专门提供在线银行服务而新设 立的一家银行，也可以称为“只有一个站点的银行”。这类银行一般只有一个办 公地址，既无分支机构，也没有营业网点，几乎所有业务都通过网络进行。 ( 二) 网络银行的特点 网络银行的发展得益于信息技术特别是网络技术的开发和应用，是社会经济 发展到一定阶段的产物。与传统银行相比，网络银行具有以下特点： 1 、以网络为基础提供金融服务 网络银行与传统银行最大的不同就在于它是虚拟化的金融服务机构，而传统 的商业银行是实实在在的，拥有自己的办公地点和众多的分支机构。网络银行可 以不设立任何分支机构而提供同样的金融服务，凭借互联网的开放性、全球性， 它可以把服务范围扩大，提高服务质量及效率。 2 、方便、快捷、超越时空 网络银行能够提供2 4 小时全球服务，银行客户可以在有上网条件的任何地 方( a n y w h e r e ) 、在任何时候( a n y t i m e ) 、以任何方式( a n y w a y ) 获得服务( 3 a 服务 方式) ，不需要像以前那样在柜台前等待，为客户提供了极大的便利。时间与空 问对银行与客户来说不再那么重要，客户与银行之间的联系也不必再受银行营业 时间的限制，可享受真正的全天候的金融服务。 3 、创新、发展快 网络银行是刨新化银行，网络银行相对于传统银行而言，本身就是一种创新。 面对丰富多彩、不断发展的个性化的消费需求以及信息技术的日新月异，网络银 行提供的金融产品生命周期越来越短，产品的更新换代越来越快。通常传统金融 创新产品平均只能保持三个月的优势，而网络银行创新的产品更易于模仿。各网 络银行只有不断推陈出新，才能立于不败之地。 4 、运作工具有别于传统银行 人类所使用的货币己从最初的实物货币发展到信用货币。由于网络银行的发 展，货币形态正在向电子货币形态转换。人们除使用纸币外，还将使用信用卡、 电子现金等电子货币。一切银行业务文件和办公文件也将完全改为电子化文件、 电子票据和证据，签名也将采用数字化签名。银行不再以邮寄方式进行银行与客 户之间纸质票据和各种书面文件的传送，而是利用计算机和网络传送，利用电子 数据交换进行往来结算。这将在很大程度上节约银行的成本、提高银行的经营效 率及灵活性。 此外，网络银行还可以改变传统银行的经营理念，提高银行的经营管理水平 等。网络银行的出现为银行经营模式的转变提供了极好的机遇。但我们也必须清 醒认识到，网络银行在带来一系列竞争优势的同时也带来了潜在的风险。 ( 三) 网络银行的竞争优势 与传统的商业银行相比，网络银行有许多竞争方面的优势，突出体现在对成 本的替代效应和对服务品种的互补效应上。网络银行不需要具体的营业场所，因 而其成本替代效应主要表现在对商业银行设立分支机构和营业网点的成本替代 上。另外，由于网络银行运作的基本策略是将传统的前台服务与虚拟的网上前台 服务有效结合起来，将传统形成的后台数据处理与网上虚拟的后台数据处理有效 地结合起来，这样台前台后的业务和数据处理一体化的服务，弥补了传统银行金 融服务的不足，起到互补的作用，从而大大地增强了银行的业务竞争能力。 网络银行的竞争优势具体体现在以下几方面： 第一，成本竞争优势。网络银行可以降低银行的经营、管理和服务成本，从 而降低客户的交易成本。网络银行在经营业务方面具有突出的成本优势。表2 是由不同机构对通过不同方式的每笔付款交易平均成本所作的调查结果。调查结 果表明：与传统银行相比，网络银行具有明显的成本型竞争优势。 表2 不同机构给出不同金融业务单位成本的比较单位：美元 美国商务部 j u p i t e r 电信艾伦米尔顿管其他机构 数据集团 理顾问公司 分行 1 0 7 1 0 71 0 81 2 5 邮件 0 7 3 电话 0 5 2o 5 2o 5 40 4 0 自动取款机 o 2 70 2 7o 8 0 网络银行 0 o lo o lo 1 30 0 1 资料来源：李德“国际网络银行的发展与监管”金融参考2 0 0 1 年第6 期 第二，差异型竞争优势。网络银行具有突破时空限制的竞争优势，它足提供 任何时间( a n y t i m e ) 、任何地点( a n y w h e r e ) 、任何方式( a n y h o w ) 金融服务的 银行；网络银行在服务效率方面具有差异化竞争优势，它提供的是标准化、快速、 高效、广泛内容和个性化的金融服务产品；网络银行具有高科技含量的差异化竞 争优势，它的无形资产的科技含量高、附加值高，给银行带来了经过网络技术整合 的银行信息资产，有利于提高银行决策的科学性和正确性。 总之，网络银行利用成本竞争优势和差异型竞争优势，向客户提供了低成本、 高质量的金融服务，改善了银行的形象，也扩大了主要客户的来源，提高了银行 的综合经济效益。 三网络银行风险管理概述 ( 一) 网络银行风险的一般含义 网络银行的风险是指网络银行在经营业务过程中可能会出现的影响银行运 营或者收益或者会带来损失的因素。与传统商业银行面临的风险相比，网络银行 面临的风险没有什么本质的区别。传统银行面临的风险主要有：市场风险，信用 风险，流动性风险，结算风险，操作风险，法律风险，以及利率风险和汇率风险 4 等。网络银行的风险除了包括传统银行所面临的风险外，最重要的一个方面就是 系统安全技术方面的风险。另外，由于网络银行经营的特殊性，其业务上的风险 主要有操作风险，信誉风险和法律风险。 ( 二) 网络银行风险管理基本步骤 网络银行风险管理基本步骤和原理同一般银行风险管理是一样的。但是，在 不同的国家，不同的金融监管机构可能会根据不同的情况，制定不同的网络银行 风险管理要求。目前，最为常见的是巴塞尔委员会制定的风险管理步骤。巴塞尔 委员会把网络银行风险管理分为三个步骤：即评估风险、管理和控制风险以及监 控风险。 评估风险实际包含了风险识别与分析的过程，不过，识别风险只是一个最基 础的步骤，识别之后还需要将风险尽可能地量化。经过量化以后，银行的管理 层就能够知道银行所面临风险究竟有多大，对银行会有什么样的影响，这些风险 发生的概率有多大等等。在此基础上，银行的管理层要作出决定，确定本银行究 竟能够忍受多大程度的风险，换句话讲，如果出现这些风险，造成了相应的损失， 银行的管理层能不能接受。到了这一步，风险的评估才算完成了。 管理和控制风险的实质就是对风险设计各种各样相应的控制措旌和制度，从 而达到减少风险和消除风险损失的目的。 风险的监控是建立在前两个步骤的基础上的，实际上是网络银行在投入运 行、各种措施相继采用之后，通过机器设备监控、人员在内部或者外部的稽核来 监测，监控上述措施是否有效，从而及时发现潜在的问题并加以解决。 因此，简单地说，网络银行风险的管理过程实际上就是采用各种措旌，加以 监控的过程。整个过程同传统银行业务的风险管理差别并不是很大，也是技术措 施同管理控制措施相结合而形成的一系列制度、措施的总和。而且网络银行采用 的新的风险管理措施需要同银行原有的内控制度相配合，同传统业务的风险管理 措施相融合。 本文主要从网络银行自身的角度，主要从网络银行的风险识别、测量和控制 三个层次对网络银行的风险管理进行分析。 四网络银行的风险分类 网络银行的发展己经成为国际金融业发展的一道亮丽风景。受到越来越多的 关注。然而，网络银行目前仍然存在着许多不确定因素，能否顺畅发展，一个关 键问题就是如何防范与控制风险。网络银行作为银行的一种新的形式，具有同传 统银行相似的金融运行风险，但i = ；| 于其新颖性和高科技性，对这些传统银行风险 附加了特殊的影响。同时，网络银行还必须面对一些特有的新的金融风险。 从业务技术角度分析，网络银行的风险可蚍分为两类，即基于信息技术投资 导致的技术风险和基于虚拟金融服务品种形成的业务风险。其中技术风险又町分 为技术安全风险与技术选择风险。而业务风险一般分为操作风险，法律风险和信 誉风险。某些特殊的问题也许跨越了不同的风险类型。例如，对客户信息的未授 权访问可归为技术安全风险、操作风险，同时这类事件也给银行带来了法律风险 和信誉风险。所以，风险的划分不是绝对性的。即使这些不同类型的风险可能由 同一问题所产生，但是恰当的风险管理可能要求采取不同的补救措施在处理这些 不同的风险。 ( 一) 网络银行的技术安全风险 网络银行是基于信息系统基础上运行的金融服务形式，信息系统的控术性和 管理性安全成为网络银行最为重要的技术风险。网络银行的客户最为担心的是， 加密的交易资料被盗用或改变，账户资金被挪用或被篡改。因此，如何建立一套 网络安全系统，切实保障网络的安全，是发展网络银行需要解决的难题，也是网 络银行发展的主要课题。安全方面的风险主要来自于网上犯罪和软硬件运行风 险。 1 、网上犯罪 ( 1 ) 电子扒手。电子扒手专门窃取别人的网络地址盗取银行或企业秘密卖 给竞争对手，或因商业利益，或因对所在银行或企业不满。甚至因好奇盗取银行 3 1 1 企, 1 k 密码，浏览氽业核心机密。据美国官方统计，银行每年在网络上被偷窃的 资金达6 0 0 0 万美元，而每年在网络上企图电子盗窃作案的总数高达1 0 0 亿美元。 电子扒手多数为解读密码的高手，作案手段隐蔽，不易被抓获，通常能够查获的 约为六分之一，而只有2 的网络窃贼被抓获。 约为六分之，而只有2 的网络窃贼被抓获。 ( 2 ) 电脑黑客。网络经济条件下，银行进行网络金融交易必须依靠计算机和 网络，所有的交易资料都存储在计算机上。通过互联网传递的信息很容易成为众 多网络黑客的攻击目标。黑客利用高超的技术和工具破坏网上数据，给银行造成 极大的危害。随着银行金融信息化的发展，网络系统覆盖面的扩大，金融业务的 增多以及金融终端向社会延伸，黑客袭击和网络金融发生技术性风险的可能性越 来越大，危害越来越严重，不仅攻击者数量增多，手段不断翻新，而且攻击范围 也在逐渐扩大。 2 、软硬件运行风险 ( 1 ) 计算机病毒。计算机病毒是人为制造的，在计算机运行中对计算机信息 或系统起破坏作用的程序。这种程序不是独立存在的，它隐藏在其他可执行程序 之中，既有破坏性又有传染性和潜伏性，轻则影响机器运行速度，使机器不能正 常运行；重则使机器处于瘫痪状态，给用户带来不可估量的损失。受到病毒攻击 以后，原则上所有的数据都会受到损坏，对于恶性病毒来说，甚至直接破坏硬件 设备，这种损失是非常巨大的。 ( 2 ) 系统故障。因为网络银行是基于全球电子信息系统基础上运行的金融服 务形式。基于电子化支付清算系统的网络银行间的电子货币交易是跨国性的，系 统故障将会影响到全球金融网络的正常运行，因而风险具有连锁性和波及性的特 点。 ( 二) 网络银行的业务风险 网络银行的业务风险主要包括操作风险、信息不对称风险、信誉风险和法律 风险，其中，操作风险和信誉风险是网络银行最常见的两种风险形式。 l 、操作风险 操作风险可能来自网络银行客户的疏忽，也可能来自网络银行安全系统和其 产品的设计缺陷及操作失误。操作风险主要涉及网络银行账户的授权使用、网络 银行的风险管理系统、网络银行与其他银行和客户问的信息交流、真假电子货币 的识别等。 网络银行职员对业务的漫不经心，有可能导致网络银行严重的操作风险，从 而危及网络银行的总体安全。与传统商业银行业务中的情况类似，客户的疏忽也 是操作风险的另外个来源。网络银行可能会因为客户欠缺网络安全方面的知识 7 而面临相当高的操作风险。例如，客户在某些没有安全防护措旌的场合使用私人 信息，如身份鉴定、信用卡号、银行账号等，容易被他人窃取而导致账号泄密， 使客户和银行双方都蒙受损失。 2 、信誉风险 信誉风险是指网络银行无法建立良好的客户关系，不能建立自身的良好银 行信誉，从而无法从事网络银行业务。同传统商业银行的风险相比较，网络银行 面临的信誉风险显得更为严重。从广义上讲，任何现实发生了的、给银行带来了 较大损失的风险都可能成为引发银行信誉风险的导火索。在传统业务中，最常见 的信誉风险表现为一家银行出现了财务问题以后，可能导致大量的储户挤兑。而 网络银行产生信誉风险的原因同传统业务有时一样，有时则不同，主要的不同之 处表现为：网络银行提供的虚拟金融服务无法满足公众所预期的水平，并且在社 会上产生广泛的不良影响；网络银行的安全系统曾经遭受破坏：银行内部职员的 渎职、错误和外部人员的欺诈、攻击；网络银行在提供电子货币或其他虚拟金融 服务上的失败；网络银行可能由于技术设备的故障或者系统的缺陷，导致客户对 该银行失去信心，使网络银行产生信誉风险。信誉风险不仅仅针对一家网络银行 而言，有可能是对整个网络银行。由于当前网络银行的业务处在发展初期，客户 对安全存在潜在的不信任，因而信誉风险的出现对网络银行业务的影响尤为重 大。 3 、法律风险 网络银行的法律风险指来源于违反相关法律规定、规章和制度，以及在网上 交易中没有遵守有关权利义务的规定而产生的风险。网络银行业务牵涉到的法律 包括消费者权益保护法、隐私保护法、知识产权保护法等。当前，电子商务和网 络银行在许多国家还只处于起步阶段，大多数国家政府尚未有配套的法律法规与 之相适应，造成了银行在开展业务时无法可依，且银行难以采取主动措施将犯罪 活动消灭于萌芽之中。具体来说体现在以下几个方面： ( 1 ) 法律法规不明确。银行与有关商家、客户的关系不明确，包括对客户信 息披露不足，客户没有被明确告知纠纷解决程序及责任和义务：对客户的隐私权 未能采取有效保密措施以及银行与链接网站之问关系不清、责权不明造成纠纷都 可能导致银行被起诉，使银行招致司法、监管惩罚，造成不良的信誉影响。 ( 2 ) 罪犯洗钱。犯罪分子可能利用银行的网络银行业务和电子货币系统从事 洗钱等犯罪活动，银行可能因此违反相关法律。 ( 3 ) 隐私问题。由于网络银行在提供网络金融服务时，会涉及到顾客的隐私 问题。如何合理的使用和保护顾客的隐私权成为网络银行的又一可能风险来源。 而且网络银行还可能会因为外在的原因而受到顾客的法律诉讼。例如由于受到黑 客的攻击而使得顾客隐私泄漏，顾客很可能将网络银行作为控诉的对象。 ( 4 ) 跨国法律适用风险。即使各国制定了法律法规，但网络是跨越国界的， 而且各国之间有关金融交易的法律法规存在着差异，在网络银行进行跨国交易业 务过程中，会产生国与国之间法律问题上的冲突。目前，国际上尚未就网络银行 涉及的法律达成共同协议，也没有一个仲裁机构，客户与网络银行很容易陷入法 律纠纷之中。 4 、网络银行的传统金融风险 ( 1 ) 利率风险。利率风险是指银行因利率变动而蒙受损失的可能性。在网络 银行时代，提供电子货币的网络银行因为利率的不利变动，其资产相对于负债可 能会发生贬值，网络银行因此将承担相当高的利率风险。 ( 2 ) 汇率风险。汇率风险指因国际金融市场货币汇率变化而蒙受损失的可能 性。网络银行的电子支付体系使支付过程更加简便、快捷，其虚拟性和无限性的 特点，使大笔资金能快速地在国际问流动。而大笔资金的快速流动极易造成汇率 的大幅度波动。当外汇汇率发生剧烈变动的时候，可能使网络银行资产负债表中 的项目出现亏损，从而使其面临更大的汇率风险。 ( 3 ) 流动性风险。流动性风险指资产在到期时不能无损失变现的风险。当网 络金融机构没有足够的资金满足客户兑现电子货币或结算需求时，就会面临流动 性风险。一般情况下，网络金融机构经常会因为流动性风险而恶性循环地陷入信 誉风险之中。流动性风险和信用风险往往联系在一起，成为相互关联的风险共同 体。 ( 4 ) 信用风险。信用风险是指借款人违反贷款协议，拒不清偿贷款或者丧失 清偿能力而无力履行还款义务，给贷款人造成损失的潜在可能性。在网络虚拟世 界中，交易双方无法直接见面，身份的差别确认、违约责任的追究等方面都存在 困难。因此，信用风险远比传统银行业务中发生的概率大。网络银行的交易、支 9 付等对信用要求非常高，交易支付的真实性完全是靠双方的信用来支撑的。我国 目前虽已进入市场经济阶段，但我国信用体系发育程度低，失信现象十分普遍， 在个人信用体系的建设方面更是基本属于空白。在这种情况下，许多企业不愿采 取信用结算交易方式，而更倾向于现金交易、以货易货等原始方式，而绝大多数 客户对网络银行及其他电子交易方式则采取观望态度。 通过上面的分析我们了解了网络银行到底存在哪些风险。但是，银行在从事 网络银行业务的过程中，并不一定都能遇上这些风险，或者说风险的程度不一定 都是相同的。因此，在具体识别风险，并在此基础上控制风险的过程中，要具体 情况具体分析，根据所在银行网络银行业务的发展状况和特点，具体分析和识别 所遇到的风险，并且商业银行自身须根据风险类型采取必要的管理措施。 五网络银行的风险分析 要对网络银行风险进行有效的控制，首先应识别和衡量风险对风险识别我 们己经在上部分详细介绍，在此不再赘述。风险衡量是指对某种特定的风险，测 定其风险事故发生的概率及其损失程度。风险衡量的方法是以损失概率和损失程 度为主要测算指标，据以确定风险的大小或高低，从而为制定风险控制方案，确 定风险控制重点提供充足有力的依据。 ( 一) 网络银行风险的定量分析 对于网络银行来说，正确地估价风险是十分有益的。最早运用数量风险分析 的是r o b e r tc o u r t e n e y ，1 9 7 7 年，c o u r t e n e y 在美国i b m 公司第一个提出。在这 种方法中，风险是以每年可能损失的金额数来定义的，风险可以根据下面的公式 来计算： r = p e 其中：r 是风险；p 是每年发生安全性威胁的年平均率；e 是由于其中每次破 坏所损失的价值。这一公式的缺点在于年平均率要由主观指定，并且损失额也常 常难以确定。然而，这一公式本身仍然是十分有益的，因为它迫使一个机构中的 成员去思考和了解他们可能面临的风险损失。 p 并不是一个简单的统计概率估计，它是发生安全性威胁的年平均率。p 按下 式计算： o 发生安全性威胁的年平均率= ( 每年的天数) ( 事件之间相隔的天数) 假定一台设备的平均无故障事件是1 0 0 0 0 d 、时，如果该设备每天工作2 4 d , 时， 则两次故障之间的天数是1 0 0 0 0 2 4 = 4 1 6 6 7 天，一年为3 6 5 天，所以该设备的p 是 3 6 5 4 1 6 6 7 = 0 8 7 6 。若某个其他设备的故障率是每天2 次，于是每次故障相隔天 数是1 2 = 0 5 ，所以p 是3 6 5 0 5 = 7 3 0 。若某事件第三个月( 9 0 天) 财务管理出现事 故，则p = 3 6 5 9 0 = 4 0 6 。此外还可以用其它技术来估计发生率。但这些估计应该 以严格的数据为基础。 根据经济学的投入产出理论，需要确定损失概率和损失程度较大的风险，以 便对其进行重点控制，以最小化的支出获得最大的安全保障。如对网络银行提供 各项金融产品的服务进行分析，可以发现各项业务的经营风险各不相同，但是最 基本的风险都集中在信息资源上。由于网络银行的信息系统中处理、传输、存储 的都是金融信息，对其进行攻击将获得巨额的金钱，这些金融信息就成为被攻击 的主要对象。然而，各种业务的金融信息由于涉及的金融产品和金融服务的性质 不同，因而，发生的概率及其损失程度也不同。 表3 根据某网络银行对自身服务和客户服务进行风险分析得出的结果 业务具体描述风险分析风险概率预计损失 网上开销账户开立或注销企如果开立账户 1 0 l o o 业结算账户时密码泄漏， 该账户开立日 起就存在被非 法使用的风险 消息发布银行自我宣传主页被非法纂 5 0 信誉损失 改，影响银行 经营信誉 信息收集银行收集客户 影响银行的经 6 0 决策失误 信息营决策 业务咨询错误的业务介误导银行客户 6 0 信誉损失 绍 在线账户信息查询账户余额账户余额不准 1 0 信誉损失 查询确 支付 电子货币支付支付金额不对 2 0 1 0 0 或支付了不该 支付的交易款 项 转账账户问转账转账金额不对 3 0 9 0 或错误的资金 划转 网上索取对帐打印对帐单 对帐单有误 1 0 信誉损失 j 亟 信用卡业务信用卡申请、错误操作 2 0 l o o 支付和卡问转 账等 金融咨询提供最新汇汇率、利率、 3 0 5 0 率、利率、股 股票价格和市 票价格场咨询不准确 资料来源：我国银行网络安全现状分析及改造中国金融电脑1 9 9 9 年第1 1 期 ( 二) 网络银行风险的定性分析 网络银行的风险种类较多，涉及的范围包括技术、经济、法律等各个方面。 有些方面，例如内部控制环节的风险衡量，如果采用定量分析方法，采集数据可 能存在一定的因难，为此可以采用定性分析方法。 1 、从对银行的影响程度上来划分风险层次 相对于传统银行来说，对网络银行影响比较大的因素应该是技术性的因素， 也就是技术风险，因为如果技术不过关，整个系统便会处于瘫痪状态，同时还会 给银行带来信誉上的损失。其中技术风险又以技术安全风险影响最为严重。因为 技术安全涉及到整个系统能否使用，而如果技术选择错误，还可以通过更换新的 技术来进行弥补。 在业务风险中，最重要的因素是信誉风险，因为信誉风险牵涉到一个银行能 否继续生存下去。如果网络银行由于某种原因带来了信誉上的损失，那样将会失 去客户对其的信任，从而使得客户流失，而且信誉的损失传播的速度会比较快， 一旦失去了信誉，有可能会出现挤兑等风潮，从而导致银行倒闭。因此，现在各 家银行都比较重视形象问题，极力在客户中保持良好的形象和信誉。当然信誉风 险一般都是因为其他风险所导致的，比如操作风险有可能带来信誉风险，巴林银 行的倒闭就是由于雇员操作不当( 还有内部控制与管理上的问题) 所导致的。 相对而言，法律风险一般对银行实际工作中带来的影响相对比较小，而且法 律风险主要是银行监管机构需要着重考虑的问题。 2 、从是否易于控制和管理来划分风险的层次 由于目前网络银行的发展从技术角度上己经比较完善，尤其国外网络银行已 经发展到一定阶段，技术也相对比较成熟。我国网络银行虽然起步比较晚，但由 于后进优势，许多国外的技术可以直接引进过来进行使用，所以相对而言，安全 1 2 方面的控制与管理比较易于控制。 在业务风险中，相对比较易于控制的是操作风险，因为操作风险是有形的东 西，银行可以通过制定系列规章制度对其进行防范。而最不好控制的就是信誉 风险，因为信誉的损失是外界力量造成的( 虽然其起源仍然来自于银行内部) ，外 界的力量是无法控制的，一旦大众对银行失去了信心，银行即便做很多弥补措施 将很难挽回其在公众心中的形象。 法律风险对于网络银行自身也比较难以控制，因为网络银行的法律风险可能 会牵涉到国家之间的法律管辖权问题，这靠网络银行自身是很难控制的。 六网络银行的风险防范和控制 对于网络银行面i 脑的风险，网络银行在认识风险和衡量风险之后，必须运用 合理而有效的方法对风险加以防范和控制。具体来说，针对网络银行面临的风险， 网络银行要加强风险防范和控制，需要做到以下几个方面： ( 一) 技术安全措施 网络银行是技术发展的产物，许多风险管理的措旋都离不开技术的应用。不 过这些技术措施实际上也不是单纯的技术措施，技术措施仍然需要人来贯彻实 施，因此，技术安全措施仍然是技术和管理相结合的产物。为了能够安全的开展 网络银行业务，必须在以下几个层次上采取不同的安全技术来保证系统的安全性 能。 1 、重视银行网络系统自身的安全性，建立网络安全保障系统 网络银行安全有四大要素：传输保密性、数据完整性、信息可靠性和证明原 始性。建立一个有足够安全性来杜绝各种安全隐患的网络银行安全保障系统，必 须考虑身份认证技术、密码技术、防火墙技术、硬件设施安全技术等。值得注意 的是，网络银行的安全性管理是一项复杂的事情，网络安全保障系统只有不断升 级，才能有效防范风险。 2 、不断采用先进技术，开发软件系统，有效控制网络风险 在科学技术进步促进网络银行发展的同时，又不断带来新的金融风险。与此 同时，这些科学技术的负面影响又不断被新的技术进步所抵御。不断出现的金融 安全技术逐渐消除了人们对网络银行风险的恐惧。目前，防范和控制网络银风险 的技术主要表现在： ( 1 ) 加密防伪技术。随着信息时代的到来，网络银行逐渐成为使用加密技术 最多的部门。美国银行协会已经退出了人体特征识别系统，利用指纹、掌纹甚至 视网膜作为识别鉴定，将其引入网络银行业务处理，可有效解决伪造、盗窃等网 络犯罪问题，降低网络银行经营风险。 ( 2 ) 抗病毒技术。用以防止网络病毒的侵害。通常主要采取两种措旖：一是 利用杀毒软件，对于以软件为媒体侵入和混在文本文件形式的电子邮件中的病毒 最为有效；二是堵住安全漏洞。通过查询相关机构发布的有关信息获取网络漏洞 信息，并采取相应的措施来降低网络银行的风险。 ( 3 ) 入侵检测技术。入侵检测技术是近年出现的新型网络安全技术，目的是 提供实时的入侵检查及采取相应的防护手段，它不仅可以阻止外部黑客的入侵， 而且能够对付来自内部网络的攻击。入侵检测系统在检测出非法攻击时，能及时 作出切断服务、重启服务器进程、发出报警、记录入侵过程等操作。 3 、做好数据备份，建立金融数据的防灾备份系统。 网络银行对重要数据必须定期进行备份，并保证数据备份有两份以上，其中 一份备份介质需脱机保存，并且与原始数据不能存放在一起。数据备份主要包括 3 个层次：是硬件级备份，它可防硬件故障，但无法防止数据的逻辑损坏；二是 软件级备份，由于介质是脱机保存的，系统临时性错误不会体现在介质上，在有 严格备份方案和计划的前提下，可完全防止数据的逻辑性损坏，它的缺点是耗费 系统时闻；三是人工级备份，指完全由手工操作实现的实时性备份。依靠硬件备 份防止物理性故障，在此基础上用软件方式和人工结合的方式解决因软件包或误 操作造成的数据逻辑性损坏，从而构成多级防护。 ( 二) 其它管理措旋 技术安全措施在网络银行的风险管理中占有很重要的位置，这也是网络银行 风险管理的一个比较明显的特点。但网络银行的风险管理并不仅仅限于技术安全 措施的采用，而是一系列风险管理控制措施的总和。主要包括： l 、建立有效的风险评估、监测体系 网络银行应该加快建立完善的风险评估、监测体系，这一体系既要能从总体 上把握，又要能准确监测不同种类风险，及时准确进行评估、监测，才能有效进 彳亍风险防范和控制。根据金融工程系统控制论原理，网络银行风险防范监测体系 应包括以下三个部分： ( 1 ) 网络银行风险防范的预警机制。该机制是按银行风险客观性以及相关性 设计相应的指标体系和经验性目标参数，经目标值与预测值比较来决定银行风险 行为的事前控制。其基本内容包括：风险识别，包括指出风险发生的条件、形式、 影响程度既其性质；风险分析，根据事先建立的风险指标分析银行风险可能发生 的环节、主导因素及其性质；风险估量，在风险分析的基础上对风险程度进行评 价。 ( 2 ) 网络银行风险防范的控制机制。该机制是对银行风险已经发生并可能继 续发展，采取一定方法和手段制止风险损失继续发生、发展的事中控制过程。包 括：风险规避，是针对已经识别的风险项目和活动，在风险决策时采取主动放弃 或拒绝承担该风险；风险抑制，是对所承担金融活动中风险总额的控制措施：风 险分散，是对资产负债采取多样性分散，控制资产的集中性；风险转移，是对已 潜伏或已发生风险的资产，通过拍卖等交易手段，把风险转嫁他人承担。 ( 3 ) 网络银行风险防范的止损弥补机制。该机制是对已经发生的金融风险， 为保全资产减少损失所进行的损失化解和弥补的事后行为。无论怎样完善的风险 预警和控制，由于网络银行风险的客观性，决定银行风险总有其现实性，因此， 完备的网络银行风险防范的系统控制机制，必须包括事后风险损失的止损弥补机 制。 2 、加强内部控制制度建设 网络银行安全可以通过加强内控、完善制度来实现，健全的内部控制制度是 降低各种风险的最佳手段。网络银行应注重加强内部管理，克服自身存在的风险 隐患。 首先，建立业务操作管理制度和权限制约原则。明确规定系统操作人员的工 作操作过程和权限，每一步操作业务人员和技术人员必须分离，每个级别人员都 要受权眼控制；对操作密码要严格控制，指定专人定期更换，杜绝未经授权而操 作支付系统的核算程序；由专人保管必要的系统操作记录，记载操作人、操作时 间、操作内容等以各查。 其次，要加强内审职能，确保业务合规合法。要加强和充实现有的内审队伍， 利用电子技术，改进内部检查手段。如网络银行系统应该对安全性事件进行记载， 形成审记日记。一般来说，操作系统、数据库管理系统、应用系统都具有审计功 能，各自产生相应的审计日志。对这些不同层次的日志要有统一的管理，使其能 相互配合，避免漏审。及时发现可疑的交易行为，采取控制措旌。同时，要增加 内审的频率和深度，发挥内审的风险预防作用。 最后，加强人事管理。网络银行不同于一般网站，网络银行对人员的管理要 求高于一般网站，为了保证计算机系统和本行资金的安全，很多现行的、传统的 人事控制和管理措施必须进行改革，以适应网络银行经营的需要。当雇佣员工时， 必须进行必要的背景审查，背景审查的内容要包括该雇员曾有的与计算机系统相 关的信息。修订雇员手册，列入关于计算机安全的规章；将安全培训列为对新雇 员培训的主要内容；及时审查员工的行为，鼓励那些为系统安全做出贡献的员工； 当解雇一个员工时，应采取必要的网络安全措施，如改变该员工的访问权限，修 改有关口令等。 3 、强化建设网络银行知识的储备，特别是人才培养 网络银行是技术的产物，而科技人才则是建立、发展我国网络银行的必要保 证，它需要众多的人员去操作，因此，为了保证工作的稳妥进行，一是要引进、 稳定专门的技术人才，为网络银行提供专门的技术保障；二是要通过诸如举办专 门的技术讲座，要求员工参加业务的研讨会、工作小组的培训等工作，跟踪市场 和技术的发展，以培养一批既掌握计算机技术、网络技术、通信技术，又掌握金 融业务实务和金融业务管理知识的复合型高级技术人员和管理人才。除对员工进 行培训以外，还应该对客户进行教育和培训，教会他们如何使用银行的设备，出 现问题怎么办，并通过培训向客户披露有关的信息，以减少相应的法律风险。 4 、信息披露和客户培训 信息披露和客户培训将有助于银行减少法律风险和信誉风险信息披露和客 户培训计划将有助于银行遵守消费者权益保护法和隐私权法。信息披露、对银行 与网络站点之间的关系给以说明，这些都有助于降低由于该站点上的服务或产品 出现问题而给银行带来的法律风险。 另外客户培训还包括增强客户的安全防范意识。银行卡持有人的安全意识是 影响网络银行安全性的不可忽视的重要因素。目前，我国银行卡持有人安全意识 普遍较弱，因此网络银行必须就安全防范河题向客户做好足够的宣传和教育，以 减少这种风险的存在。比如：要求客户尽量不要将密码设为生日、电话号码等易 被猜测的数字。另外，让客户尽量不要在公用的计算机上使用网络银行，以免使 数字证书等机密资料落入他人之手，从而真接使网上身份识别系统被攻破，网上 账户被盗用。另外要求客户必须持合法证件到银行柜台签约才能使用“网络银行” 进行转账支付，以此保障客户的资金安全。 此外，网络银行还应努力完善银行信贷登记咨询系统并实现全国联网，提高 借款企业的资信透明度，便于网络银行对其进行贷前审查，防范信用风险；通过 事先的财务计划、筹措资金( 如网络银行提取呆帐准备金) ，以便对风险事故造成 的经济损失进行及时而充分的补偿，将消除和减少风险的代价均匀地分布在一定 时期内，以减少因随机性巨大损失的发生而引起财务危机之风险；还应该在整个 经营活动中严格按照信誉至上的准则行事，树立自身的银行信誉。 除了上述控制风险的措施外，网络银行还可以通过风险避免的方法来控制风 险。风险避免指考虑到风险损失的存在或有可能发生，网络银行主动放弃和拒绝 实施某项可能引起风险损失的方案。如网络银行对某一客户的信用不是十分了 解，它就应尽可能不对这样的客户给予贷款，从而彻底避免了信用风险。又或者 在有关网络银行的法律法规不明确的情况下，网络银行应透彻研究国家的法律法 规，尽量在己明确的法律范围内展开经营活