（金融学专业论文）网上银行风险防范及其监管.pdf

摘要 摘要 近年来，电子商务的浪潮促进了网上支付机制的逐步建立和网上银行业务的兴 起与快速发展。而互联网金融服务也带来了大量的、与技术相关的风险，因此，技 术风险管理己经成为商业银行风险管理的重要内容。 在网上银行的建立和运行中如 何加强风险分析，判断风险，评估风险，并进行风险防范与监管，从而降低风险， 减少损失，是网上银行应该首先考虑和解决的问题。 本文以网上银行运作中存在的 风险问题作为研究对象， 主要从风险管理、 风险防范、 风险监管几个方面作些探讨。 本文先从风险及风险管理的概念出发， 揭示了网上银行与传统银行所不同的风 险种类及其特征，对主要风险进行了较为深入的分析，并从绩效考评入手，建立风 险评估体系， 进行风险评估。其次通过对风险防范的投入决策分析，确定风险防范 的原则及加强风险防范的技术与管理措施， 最后， 论文在剖析监管必要性的基础上， 提出监管的政策依据、模式、目标和要求，阐明应及时调整对网上银行的监管方式 和监管内容，以形成对网上银行发展有效的监管力量。 关键词 分类号 网上银行 风险管理 风险防范 风险监管 f 8 3 0 . 4 9 ab s t r a c t a b s t r a c t t h e q u ic k p r o g r e s s i n i n t e r n e t a n d i n f o r m a t i o n t e c h n o l o g y , a l o n g w i t h t h e b o o m o f e - c o m m e r c e , p r o m p t s o n l i n e b a n k i n g p a y m e n t s y s t e m s e t u p a n d s u r g e i n i n t e r n e t b a n k i n g i n g l o b a l b a n k i n d u s t ry . h o w e v e r o n t h e o t h e r s id e , t h e r e a r e m a n y k i n d s o f t e c h n i q u e - r e l a t e d r i s k s e m e r g i n g o n c e b a n k s s t e p p i n g i n t h e i n t e rn e t . t h u s , t e c h n iq u e - r e l a t e d r i s k m a n a g e m e n t is o n e o f t h e m a j o r c o n c e r n s i n t h e i n t e r n e t b a n k s r i s k m a n a g e m e n t a n d s e c u r it y c o n t r o l s . t h e p r i m a ry c o n c e r n s o f i n t e r n e t b a n k i n g i s t o e n h a n c e t h e a b i l i t y o f r i s k a n a ly s i s , r i s k e s t i m a t e , r is k e v a l u a t i o n , a n d s e c u r i t y c o n t r o l s t o r e d u c e i m p e d i m e n t s . t h e m a j o r p u r p o s e o f t h i s s t u d y is t o p r o b e i n t o a s p e c t s o f r is k m a n a g e m e n t , r is k p r e v e n t i o n a n d r i s k s u p e r v i s io n i n t e r m s o f i n t e rn e t b a n k s r i s k s h a v i n g e x i s t e d . t h i s p a p e r w i l l f i r s t ly i n t r o d u c e t h e c o n c e p t o f t h e r i s k a n d r i s k m a n a g e m e n t , o p e n s o u t t h e r i s k c a t e g o ry a n d i t s c h a r a c t e r i s t i c s d i ff e r e n c e b e t w e e n i n t e r n e t b a n k i n g a n d t r a d i t i o n a l b a n k i n g . t h r o u g h t h e i n - d e p t h a n a l y s i s o f m a i n r i s k a n d p e r f o r m a n c e e v a l u a t i o n ， i t s e t s u p t h e r i s k e v a l u a t i o n s y s t e m . s e c o n d l y , t h r o u g h t h e a n a ly s i s o f t h e d e c i s i o n - m a k i n g a b o u t t h e i n v e s t m e n t i n r i s k p r e v e n t i o n , i t a s c e rt a i n t h e p r i n c i p l e o f t h e r i s k p r e v e n t i o n a n d t h e t e c h n o l o g y a n d m a n a g e m e n t m e a s u r e t o s t r e n g t h e n r i s k p r e v e n t i o n . f i n a l l y , b a s e d o n t h e n e c e s s i t y o f s u p e rv i s i o n , i t p r o b e s i n t o s e v e r a l a s p e c t s a s p o l i c y g i s t , p a tt e r n , o b j e c t a n d d e m a n d . i t a l s o f o r m u l a t e s a b o u t a d j u s t i n g t h e s u p e rv is i o n m a n n e r a n d c o n t e n t t i m e l y , s o a s 亩 。g e t m o r e e ff e c t i v e s u p e rv i s i o n f o r t h e d e v e l o p m e n t o f i n t e rn e t b a n k i n g k e y w o r d : i n t e r n e t b a n k i n g , r i s k m a n a g e m e n t , r i s k p r e v e n t i o n , r i s k s u p e r v i s i o n t y p e n u m b e r : f 8 3 0 . 4 9 2 引言 第一章 引 言 1 . 1选题背景及依据 选择网上银行这个在中国尚处于起步阶段的课题作为我的硕士学位论文， 一方 面源于我的专业学习及兴趣所致， 更为重要的是这一课题本身所具有的理论意义和 现实意义。 自 1 9 9 5年世界上第一家网上银行一一美国安全第一网络银行诞生以来，网上 银行在世界范围内迅速发展，正成为商业银行发展的战略重点之一。 网上银行通过 互联网这一公共资源及其相关技术，实现了银行与客户之间快捷、安全、 方便、友 好的连接，为客户提供了多种的金融服务。 它不仅能向客户提供信息咨询和帐务划 转等银行柜台金融服务，而且还能向商户、客户提供网上购物实时结算等新型金融 服务。与银行传统的服务方式相比，网上银行具有方便客户操作、减少银行投入、 改善服务质量、快速响应用户需求等一系列优势，正在引发着一场银行业的革命。 传统的银行概念、银行经营理念和经营模式、 银行管理方式和内部控制机制都将因 此而发生根本性的变革。 尽管目前网上银行发展迅速，但相对于传统银行来说，网上银行的交易额仍 然很少，其制约的主要瓶颈就是安全问题。一方面，信息系统的网络化提供了资源 的共享性，用户使用的方便性， 通过分布式处理提高了系统效率和可靠性，还具有 良好的可扩充性。另一方面，也正是这些特点增加了网络信息系统的不安全性。除 自然灾害等不可抗拒因素外，主要是来自 人为的威胁。各种恶意攻击，系统本身的 安全缺陷，应用软件的漏洞， 进行盗领或更改电子资讯等， 这些对于声誉高于一切 的银行来说都构成了极大的威胁。由于当今计算机与通信技术的发展方兴未艾，新 技术、 新的信息处理方式和传输方式不断涌现， 原有的法律法规不能及时加以修订 和完善， 网络管理、 经营方式不能与之适应， 一定程度上也 制约了 网 上银行的发展。 因此，如何发现与识别风险，并及时加以防范与化解，是一个51待解决的问题。这 就需要对网上银行的风险管理及其防范与监管进行深入的分析与探讨。 1 . 2现有的研究工作概况 虽然网上银行的研究工作己经开展多年，但对风险防范的系统性研究尚不多 网上银行风险防范及其监管 引言 见。其内容多散见于一般网上银行发展研究中。 王华庆编著的 网上银行风险监管原理与实务借鉴了美国、欧盟和我国香港 地区等监管当局对网上银行监管的最新经验，充分利用了巴赛尔银行监管委员会、 世界银行等国际组织对网上银行的发展与监管的研究成果，并结合我国实际， 对我 国网上银行的发展与监管问题作了有益的探索。李兴智、丁凌波编著的 网上银行 理论与实务则从理论和学术的角度，以及科学技术与社会关系入手，探讨了银行 业在信息技术作用下的演变过程，利用信息经济学、规模经济理论、外部性理论和 信息网络发展规律等原理对网上银行发展的价值取向、投资决策、发展方向进行了 较为深入的论述。陈静、刘永春编著的 网上银行一一技术风险及其管理则对网 上银行国内外发展业务中的相关风险 ( 特别是与技术相关的风险)及其管理、网上 银行的战略问题作了较为全面的论述。 此外，还有巴塞尔银行监管委员会提出的风 险内容及监管要求， 张强教授的 论网络银行发展与金融监管的新问题 等。 然而， 一方面因为网上银行风险在不断的演进中，另一方面也是因为相对于传统银行而 言，网上银行风险涉及到较多的计算机及网络方面的专业知识，这些都给研究工作 的带来了一定的困难。从网上银行监管研究工作的进展来看， 现有的这些论述均未 形成系统的分析框架。 1 . 3文章的研究思路 第一章，从选题背景依据、现有的研究工作概况、文章的研究思路、特点及 目标引入文章写作。 第二章，引入风险及其管理概念，从分析风险种类及其特征入手，对主要风 险进行针对性的分析，并从绩效考评体系入手，建立风险评估体系。 第三章。从对风险防范的投入决策分析，确定风险防范的原则、技术措施与 管理措施，进行具体的风险防范和管理。 第四章，从监管的必要性入手，提出监管的政策依据、模式、内容、目 标、 要求，监管的实际操作以及监管的对策建议。 1 . 4文章的特点 ( 一) 结构新 当前的网上银行专著均从网上银行的概念入手，论述网上银行的产生及发展、 网上银行业务模式与流程、系统结构，再进到对网上银行的风险及其管理或监管。 本文认为， 鉴于目 前网上银行技术已渐趋成熟， 人们对网上银行的概况己有所了解， 在此情况下， 较详尽地概述篇章似嫌累赘。 如果仅在引言中对网上银行作简要论述， 0 1 2 0 1 5 2 8 1 f i 题网上银行风险防范及其监管 引言 随即就开篇进入到风险管理，开门见山，直入主题，则整篇文章结构将更严密。内 容也更紧凑。 ( 二) 内容新 经济学的专业知识为网上银行风险防范及监管提供了基础理论， 计算机知识又 为网上银行风险防范及监管提供了实践补充。 本文将经济学知识与计算机专业知识 做了有机的结合，更综合、 更全面地对网上银行的风险防范与监管进行了研究，对 该课题的研究工作有了一些新的体会。 ( 三) 方法新 现有的研究性专著或论文，大多从定性角度对网上银行的风险及监管进行分 析，极少涉及定量分析。网上银行尚在起步阶段，其风险种类较多，涉及的范围也 包括技术、经济、法律等各个方面，某些方面，例如内部控制环节的风险衡量，如 果采用定量分析方法， 采集数字存在一定的困难，故目 前仍采用定性分析方法。 然 而对其他风险因素， 例如计算机主机和网络设备的运行故障， 则可以运用数量风险 分析技术进行定量计算。本文尝试在几个方面引入定量分析.一是风险数量风险分 析，引用了r o b e r t c o u r t e n y 1 9 7 7 年在美国i b m 公司率先提出的r = p e 公式。运用 这一技术，风险是以每年可能损失的金额数来定义的。二是风险防范的投入决策分 析。银行需以盈利为目 标，如果投入过多的资源去苛求安全性能，那么网上银行的 盈利能力、便利性能将会受到影响，所以应该保证适度的安全防范投资规模。为此 必须考虑风险防范的投入和产出的关系，也就是付出的代价和获得的收益的关系， 另外，网上银行的业务量也是影响投资决策的重要因素。 在引入 “ 网上银行支付函 数”以后，使风险防范的投入决策分析增强了量化效果，从而更具有了针对性。三 是从货币政策角度来分析由电子货币带来的影响，其中也应用了不少定量分析方 法，从而为监管提供了政策依据。 本文在网上银行风险防范及其监管的研究工作中比较系统地引入了定量分析 方法，从而实现了网上银行的研究方法从定性分析到定量分析的飞跃。 1 . 5本文的目 标 网上银行是互联网、电子商务等 工 t技术与银行传统业务相结合的产物，其风 险研究涉及到 工 t技术、业务管理及金融监管等方方面面。然而，受研究者个人的 知识结构所限，当前的网上银行风险研究往往存在着一定的不足之处。一方面，i t 领域的研究人员大都倾向于从纯技术的角度作思考， 把研究重点集中在对网上银行 系统安全控制的技术上， 而容易忽略业务范畴的安全防范管理及金融监管。另一方 面， 对经济领域的研究人员而言， 又常常因为缺乏必要的计算机知识，难以 提出具 体有效的技术评估手段， 使得对技术开发者的监督落不到实处。在网上银行的实际 0 1 2 0 1 5 2 8 1 1 7 题网卜 银行风险防范及井监管 引言 开发和运行中，也或多或少地存在着类似的问题。目前出现的网上银行犯罪案例正 暴露出系统风险防范存在的缺陷问题。如何突破局限，处理好这样一个跨学科的研 究课题，提供一个较全面的解决方案，正是笔者当前研究的主要问题。 笔者本科专业为计算机系统及应用，研究生则选择了金融学方向。在研究中， 笔者利用自己跨学科的知识体系，将经济学知识与计算机专业知识做了有机的结 合，尝试从金融业务管理、监管及计算机技术等角度，更综合、更全面地对网上银 行的风险防范与监管作研究，建立风险评估体系， 确定风险防范的原则、技术措施 与管理措施，提出监管的实际操作以及监管的对策建议， 使网上银行的技术研发人 员及经济领域研究人员不仅局限于各自 领域内， 扩充必要的知识领域，为我国银行 实施网上银行提供有益的借鉴与参考. 第一章 网上银行的风险管理 第二章 网上银行的风险管理 风险是指人们对未来行为的决策及客观条件的不确定性而导致的实际结果与 预期结果之间的偏离程度。 网络风险是指在互联网日益成为日常生活重要手段的过 程中，因技术、管理及法律等方面的不确定性而造成的损失的不确定性。网络风险 具有以下特点:非行业性、外生性、广泛性、人为性、纯粹性、不完全可控性、关 联性、灾难性、技术性和滞后性。 2 . 1 2. 1 . 网上银行风险种类及其特征 1网上银行风险种类 根据巴 塞尔银行监管委员 会的要求【 坦， ， 网上银行风险管理 程序包括评估风险、 管理及控制风险、监管风险三个基木要素。 巴塞尔银行监管委员会 1 9 9 7 年9月发布的 有效银行监管的核心原则指出， 银行业面临的风险主要有 8 类。 ( 一)信用风险 ( 二)国家风险和转移风险 ( 三)市场风险 ( 四)利率风险 ( 五)流动性风险 ( 六)操作风险 ( 七)法律风险 ( 少 又 )声誉风险 对于网上银行来说，操作风险、法律风险、声誉风险是最主要的风险类型。 ( 一)操作风险 传统银行的操作风险在于内部控制及公司治理机制的失效。如银行交易员、信 贷员、其他工作人员越权或从事职业道德不允许的或风险过高的业务。 网上操作风险源于系统的可靠性或完整性严重不足引发的潜在损失。 其中包括 物理安全、数据信息安全、 应用系统安全等。 物理安全指有形设施的安全，如计算 机设备、网络设施、密钥等的安全防卫措施。银行采用在物理位置较远地点设置后 备机房、后备服务器、关键设备和通信线路采用冗余配置、不间断稳压电源、电子 0 1 2 0 1 5 2 8 1 何颖 第一章 网上银行的风险管理 门户控制系统等都是为了防范物理安全隐患。 数据信息安全指网上传输数据信息的 私密性、完整性、不可否认性。应用系统安全考虑密码管理、认证安排等。 银行对安全性的考虑是首要的。这是由于:( 1 )计算机处理能力的增强、访问 点地理上的分散、通信渠道的多样化。使得银行系统的访问控制越来越复杂。不完 善的控制使外部人员可以通过互联网成功攻击银行的系统， 从而获取使用机密的用 户信息。( 2 )除了外部攻击外，雇员利用职务之便偷偷获取数据以访问客户帐户， 也会给银行造成操作风险;雇员的疏忽也会危及银行的系统。( 3 ) 很多银行依赖外 界服务提供商及专家实施、 运行和支持网上银行运作， 这种依赖性提供了可乘之机 ( 4 )银行选用的系统在设计或实现上不够完善。如选用的银行系统与用户需求不 一致，银行会遭受现行系统服务中断或运行速度减缓的风险。( 5 ) 信息技术的快速 发展给银行造成了系统过时的风险。如需更新银行计算机软件， 但发送升级软件的 渠道会给银行带来风险， 因为罪犯或怀有恶意之人可能会截取或修改该软件。 另外， 技术的快速变革意味着银行职员可能无法完全理解本行所采用的新技术的特点， 这 将导致新的或更新系统中的操作问题。 ( 二)法律风险 来自 于违反或不遵守法律、法规、规章或约定的惯例，或者没有很完善地建立 有关交易各方在法律上的权力义务产生的风险。 传统银行法律风险包括因不完善、不正确的法律意见、文件造成，同预计情况 相比资产价值下降或负债加大的风险。 网上银行法律风险主要体现在:( 1 ) 通过互联网进行的业务经营缺乏明确的法 律、 法规依据或司法解释， 造成商业纠纷无法解决。( 2 )网上银行跨境服务涉及不 同司法区域的司法管辖权问 题。 各国之间有关电子商务和网上交易的法律、 法规存 在的差异，使得网上银行的跨国交易业务过程中， 会产生国与国之间法律问题上的 冲突。目 前国际上尚未就网上银行涉及的法律适用性问题达成共同协议，也就没有 一个仲裁机构，客户与网上银行很容易陷入法律纠纷中。( 3 ) 洗钱犯罪。在十国集 团 迎， 1 9 9 7 年4 月发表的“ 电 子货币: 消费者保护、 法律实施、 监管和跨国界问 题” 中也讨论了这一问题。 国家洗钱犯罪网络更可能利用网上银行的快速和不易跟踪的 特点，进行大规模洗钱活动，给监管部门带来挑战。 网上银行属于新兴事物，大多数国家政府尚没有配套的法律法规与之相适应， 银行在开展业务时无法可依。同 样对客户而言， 也存在不清楚所知权利及义务带来 的风险。我国2 0 0 1 年6 月颁布了 网上银行业务管理暂行办法 ，虽然对网上银行 的市场准入、风险防范、法律责任作出了原则性的规范，但相关的实施细则尚未配 套出台，如对网上交易各方的权利义务缺少清晰的划分， 对网上银行在使用电子货 币和虚拟金融服务时遇到的纠纷缺少完整的解决方案和行为准绳， 对网上跨国交易 没有有效的交易合约和法律认定等。 0 1 2 0 1 5 2 8 1 何呆 灭 第一章 网 卜 银行的风险管理 ( 三)声誉风险 是指强大的负面公众舆论而导致银行资金或客户严重流失所造成的当前影响 与预期影响。 传统银行声誉风险产生于操作上的失误、违反有关法规及其他问题。 当系统不能如期工作而导致广泛的负面公众反应时。就会产生声誉风险。安全 性的严重破坏将逐渐损害公众对银行的信心。 妨碍客户访问其资金或帐户信息的通 信网络严重性问题，对银行的蓄意攻击，如黑客侵入银行网站，更改其内容，故意 散播有关银行或其产品的错误信息也会产生声誉风险。 声誉风险带来的影响不只危及到单一银行， 人们会引发联想到其他银行系统的 安全性问题。这将导致整个银行系统的危机。 ( 四)其他 网上银行也会产生传统性的银行风险， 如信用风险、 国家风险和流动性风险等。 ( 帅 信用风险 由于债务人未能按照与银行所签的合同履约或按约定行事， 而对银行收益或资 本造成风险。 客户可以 从世界上任何一个地方来接触某一 特定的的银行机构， 通过 互联网与客户交易，完全没有人与人之间的实际接触，因而对于银行而言，作为制 定优良信用决策一个非常重要的因素是如何核实客户的信用， 这对银行来说是一种 挑战。 借款者所在地的金融信用评估系统不健全或网上银行自 身的信用确认程序不 充分都会加大网上银行的信用风险。 ( 2 )国家风险 由于网上银行所具有的信息化、国际化，风险扩散快，危害性更大。一旦金 融机构出现危机， 很容易通过网络迅速在整个金融体系引起连锁反应， 引发全局性、 系统性的金融风险，从而导致经济秩序的混乱，甚至引发严重的经济危机。在进入 电子化银行时代的 9 0年代以来发生的几次大的货币经济危机中，电子手段的快捷 服务方式，是其中一个重要的外部条件。 ( 3 )流动性风险 网上银行筹集资金和资产变现随时可在互联网上进行，银行通过互联网自 动 统计资金筹措和资产变现的余额、 结构等交易情况， 然后， 管理者根据网上银行自 动统计的各种数字进行配比和有效的流动性管理.可见，网上银行的流动性管理得 到了空前提高。同时，电子货币代替了流动中的通货， 减少了现金管理和运输的费 用，加快了货币的流动速度;由于网上银行自 动清算的功能，将减少在途资金，从 而大大提高了资金的利用率，提高了商业银行的资产流动性。当金融机构没有足够 的资金满足客户兑现电子货币 或结算需求时， 就会面临流动性风险。以电子货币为 例，电子货币的流动性风险同电子货币的发行规模和余额有关，发行规模越大，用 于结算的余额越大， 发行者不能等值赎回其发价的电子货币或缺乏足够的清算资金 第一章 网上银行的风险管理 等流动性问题越来越严重，同时引发声誉风险。 ( 4 )利率风险 指网上银行因利率变动而蒙受损失的可能性。电子货币对现有通货的替代作 用和在信用创造方面的作用， 使得货币需求处于不稳定状态， 从而导致利率的大幅 波动，使金融市场产生动荡。提供电子货币的网上银行因为利率的不利变动，其资 产相对于负债可能会发生贬值，网上银行因此将承担相当高的利率风险。 5 )汇率风险 指网上银行因汇率变动而蒙受损失的可能性。网上银行不受时空限制的特点， 有可能使其经营者更倾向于从事跨国交易和国际金融业务，当外汇汇率变动时，可 能使其资产负债表中的项目出现亏损，从而面临更大的汇率风险。 6 )市场风险 指因金融市场需求变动而带来的风险。网上银行在金融产品定位、设计、营 销中，不能根据市场需求的变化及时调整，从而带来网上银行在市场营销方面的困 难。 表1 . 1网上银行风险简单分类 种类具体分类表现形式 技术风险技术安全风险 假冒用户身份 窃取网络上的信息 篡改网络上的信息 用户否认所发的信息 重发信息 技术选择风险技术选择错误 业务风险 操作风险 系统被非法侵入而导致的安全性风险 系统设计实施和维护方面的风险 银行内部组织与管理风险 客户误操作风险 系统过时风险 法律风险 法律法规不明确 罪犯洗钱 司法管辖权及证书授权风险 声誉风险 系统存在广泛的技术缺陷 系统存在重大的安全缺陷 另一机构的相同或类似系统或产品中的问题 或误用 其他风险 信用风险通过远程银行申请信贷的借款人违约 电子货币发行者违约 流动性风险 电子货币发行者的流动性不足 基础货币及货币乘数变动影响 第一章 网 卜 银行的风险管理 利率风险不可预期的金融利率工具的变化 市场风险在电子货币支付中接受外币而产生的汇率风 险 国家风险信息化、国际化，风险扩散快引发的全局性、 系统性的金融风险 汇率风险因汇率变动而蒙受损失的可能性 2 . 1 . 2网上银行风险特征 与传统银行相比，网上银行的风险更多的是和技术联系在一起。技术应用己 经成为银行提高竞争力的重要手段。技术在为银行带来效益的同时，也给银行带来 了与技术应用相关的风险。 从技术风险角度看，安全风险对传统银行来说只可能带来局部损失，而对全 部资产集中在网络中的网上银行来说， 安全风险可能是致命的:技术选择风险对传 统银行来说只会导致业务处理速度降低、处理成本增加， 而对基于信息技术的网上 银行来说，失去技术领先性，则可能导致整个市场的丢失，从而失去生存的基础。 信息系统发生故障时，引发的损失是很严重的，一方面是带来的直接损失， 另一方面，由此牵连到其他系统损失的机会成本比直接损失更为严重，同时会带来 人们对信息系统的怀疑，将会引起严重后果。从表 1 .2 企业信息系统及故障的机会 成本可以看出这点。 表 1 . 2企业信息系统及故障的机会成本 信息系统停机 1 小时平均损失磁盘阵列损坏 1 小时的平均损失 行业/ 服务项目机会损失 ( 万美 元) 行业/ 服务项目机会损失 ( 万美 元) 零售业6 4 5保险业2 9 3 0 1 信用卡授权服务 机构 2 6 0 制造业 2 6 7 6 1 8 0 0 业务 1 9 9 银行业1 7 0 9 3 目 录销售中心 9 运输业 9 4 3 5 飞机订票系统 8 . 5 5 自 动柜员机服务 1 . 4 5 须文众编，灾难恢复， k i t 世界1 9 9 8 从业务角度看，声誉风险对传统银行来说，可能只是部分客户的流失，但对 网上银行来说，网上选择的多样性和随意性将使网上银行面临更大挑战:法律风险 对传统银行虽也存在，但对这样一个己 有几百年历史的产业来说，法律环境毕竟己 经相当成熟，而网上银行这样一个新生事物，那里的法律陷阱可以说到处都是;信 用风险发生的概率显然在虚拟世界中远较现实世界中大;其他的流动性风险、利率 第一章 网上银行的风险管理 风险、汇率风险和市场风险，网上银行并不能比传统银行减少。综上所述，可以断 定，网上银行将比 传统银行承担更大的风险。 因而风险控制便成为网上银行成功与 否的关键问题之一，这也是本文将要讨论的主要内容。 2 . 2网上银行风险分析 我们主要针对操作风险、法律风险、 声誉风险这三种主要风险从技术角度进行 具体分析。 2 . 2 . 1操作风险分析 ( 一)安全性风险 网上银行系统的本身、 访问控制、 银行监管措施、 所依赖的认证机构的可靠性、 与外部的通讯等，都会造成安全性风险。 ( 1 ) 目前流行的多种操作系统均存在网络安全漏洞。 许多银行系统采用u n i x 系统主机终端模式， 虽然这种模式连接简单， 但也存在严重的安全问题， 主要是u n i x 系统未能提供主机与终端间的通讯加密， 而它本身就是一个开放的系统，其源代码 已经公开。如从一台联网的 u n i x工作站使用 “ 跟踪路由”命令的话，就可以看到 数据从客户机传送到服务器要经过许多不同的节点和系统，使风险增大。另外， n t 服务器和p c 也存在安全隐患。 ( 2 ) t c p / i p 协议 l， 安全性差。由 于互联网 采用的是t c p / i p 协议， 该协议 在实现上力求简单高效，而较少考虑安全因素，存在着先天不足。 ( 3 ) 防火墙安全性不高。 一是防火墙本身是否安全， 二是防火墙设置是否合 理。 ( 4 ) 未能对互联网 上有大量病毒及恶意j a v a- / a c t i v e x ， 进行有效控 制。 ( 5 )网上银行系统的运作可能依赖于某认证机构 ( 该银行自 建的认证机构， 或第三方认证机构) ，其可靠性是网上银行系统安全性的前提。因此，要对该认证 机构进行有效的审查和管理。 ( 6 )互联网特征导致的风险 1 .由于采用开放协议的公共网络，使得敏感信息 ( 如客户密码、客户隐私信 息等)在传输过程中容易被截获、被破译、被篡改。 2 .网上交易不是面对面的，客户可以在任何地点、任何时间发起请求。一方 面， 银行识别客户身份的难度加大， 同时也难以控制、 规范客户的行为: 另一方面， 攻击者具有隐蔽性，作案后难以追踪责任人，难以破案。 3 .由于纸凭证的缺乏，电子交易凭证 ( 如电子签名)又尚无法律效力，难以 第一章 网上银行的风险管理 防范交易后的抵赖行为。 4 .交易服务器是网上的公开站点，面向全世界公开，黑客入侵难以避免。而 一旦发生事故，影响面广，难以在短期内恢复声誉。 ( 二)系统设计、实施与维护方面的风险 系统设计或实施上的不完善、 对外部服务提供商的依赖等都将给银行带来操作 风险。信息技术的快速发展也会给银行造成网上银行系统过时的风险。 ( i )因银行选择的系统本身设计和运行不良 而产生的风险。网上银行系统集 最新 i t技术于一体，使用了大量的新技术、新产品，这与使用成熟、可靠的技术 存在差别。这些新技术、新产品本身就可能存在安全漏洞，存在缺陷。 ( 2 )有的银行因其网上银行业务依赖外部设施，而提供该设施的第三方服务 商又可能不具备必需之专业技能，或者不能及时实现技术更新换代，由此而给银行 机构带来风险。电子商务领域人才流动频繁， 无论是银行的开发部门还是外部的i t 公司都如此。人才的过度流动，增加了系统源码控制、机密性设计控制的难度，成 为安全隐患。尤其是对于网上银行这种技术含量高的系统，银行本身可能没有开发 能力， 不得不依赖于合作公司。 在目 前国内这种法律环境下和人才可自由流动的条 件下，这样的开发方式难免没有安全隐患。 ( 3 )新业务品种特征导致的风险。有的银行山于在将网上银行业务与银行原 有系统、 各服务供应商和合作者的系统整合统一的过程中出现错误而最终导致重大 的交易错误和操作风险。 ( 4 )因银行技术的快速变革而导致银行机构选用的系统过时的风险。 ( 5 )银行因不能完全掌握和操控互联网的安全性，无法控制和保证互联网网 络的持续可用性而产生的业务中断风险。 6 )因技术更新迅速而使银行职员无法立即适应和掌握新系统的性能与操作 而产生的风险。对银行而言，网上银行是全新的系统，它不同于传统的相对封闭的 系统，要求运营部门有较高的 i t专业知识和安全防范意识，同时还要有全新的防 范风险的业务管理方法。比如，网上交易系统的安全审计功能是非常重要的，通过 它可以及时发现异常情况， 遏止事故的发生， 这就要求运营部门在正常作业过程中， 能够充分重视并熟练应用该项功能，但这往往需要较长时间。 ( 三)客户误操作风险 如果银行没能就安全预防问题向客户进行足够的宣传和教育， 这种风险就会增 加。另外， 如果缺乏足够的措施来验证交易，则客户可能会否认他们曾经授权过的 交易，从而使银行蒙受损失。 客户在非安全的电子传输渠道中使用个人信息 ( 比如 确认信息、信用卡号码或银行帐户号) ， 这将使得罪犯得以访问客户的帐户。 ( 四)银行内 部组织与管理风险 网上银行业务改变了银行传统的业务模式，因此，银行必须对内部组织和管理 第一章 网上银行的风险管理 方式进行变革，这给银行造成了很大的操作风险。 银行也必须针对网上银行业务制 定一套有效的、严格的内控机制，最大可能地降低内部攻击的风险。 2 . 2 . 2法律风险分析 目 前，网上银行业务还处在起步阶段，电子商务的法律环境远未建立，银行必 将面临各种形式的法律风险。 网上银行的法律风险能够以多种方式产生。例如， 当银行没能按要求披露，或 者当银行向外方披露了本应保密的信息，就会产生法律风险。当把信用评估模型应 用于自 动贷款决策时，如果程序所依赖的数据是错误的，或者程序设计本身存在缺 陷，那么这时银行就会面临法律风险。 安全认证机制在网上银行业务中的应用必然依赖数字签名的法律有效性， 而在 我们国家，近期内还很难出台所谓的 “ 数字签名法” 。这就给开展网上银行业务的 银行造成了法律风险。另外，如果银行使用了自 建的认证机构，认证机构本身也承 担着相应的法律风险。 如果银行加入新的认证系统而没有把相应的权利和义务告知 客户，也会使网络银行面临法律风险。出现问题后，责任的认定、承担、仲裁结果 的执行等问题难以解决。 在消费者保护、客户信息披露、隐私权保护等诸多方面， 从事网上银行业务的 银行也面临着法律风险。 为此，须制定网上银行的法律规范，以明确以下几点: ( 一) 银行在网络中的法律地位问题 ( 二) 网上结算方式的法律规范， 其中包括对国家电子货币结算的体制和基本 模式，网上银行的建设，支付网关的建立，网上结算结果的法律效力等的规范。 ( 三) 网上结算工具的法律规范，其中包括对网上结算工具的形式和法律效 力，网上结算工具的发行与使用等的规范。 ( 四) 电子票据、 电子货币的法律规范， 其中包括防范在网络中侵犯客户人身 权 ( 尤其是隐私权) 、财产权的行为，保障客户资金安全的法律规范，以及防范侵 犯银行在网络中的商业秘密，保障银行资金安全和商业声誉的法律规范等。 2 . 2 . 3声誉风险分析 产生声誉风险的因素很多，比如公众对网上银行运行情况产生负面的印象而损 害了银行与客户之间的关系，网上银行系统的安全性出现问题而损害了客户对银行 的信心，客户在网上银行服务中碰到了问题而银行没能给出恰当的问题解决程序， 不恰当的应急计划和业务恢复计划，以致影响到银行维持或恢复运行的能力，以及 在系统失效后为客户提供服务的能力， 第三方欺诈等。 其他风险 ( 特别是操作风险) 第一章 网 r 银行的风险管理 的增加也将直接导致声誉风险的增加。 声誉风险不仅对该银行而且对整个银行系统都是十分重要的。比如，如果某 家银行的网上银行系统遭受了严重的声誉损害。 那么人们就会认为其他银行的网上 银行系统也可能存在类似的问题。 2 . 3网上银行风险评估 2 . 3 . 1绩效考评体系 相对于传统银行的绩效考核体系，网上银行需增加以下新的内容: ( 一)网上银行服务的便捷程度。 ( 二)网上银行的安全程度 ( 三)网站品牌的知名度 ( 四)网上银行的成本效益性 ( 五)网上银行业务发展的稳定性 因此，与传统银行的绩效考核指标相比，网上银行应该增加以下两类指标: 一是成本效益指标，包括: ( 1 ) 网上银行净收入( 包括利息收入和非利息收入) / 同期网上银行总支出( 包 括网上银行系统开发成本、系统购置成本、工资成本) 0 ) o 网上银行支付函数: u. ( r , s ) = r 0 s s - r 0 a 1 s 0 效用函 数u 表 示山 于 采 取 防 范 措 施 而 使网 上 银 行获 得的 净收 益， r s 表 示由 于采取防范措施而避免的潜在损失 ( 也就是间接收益) ，由于这些损失并不是一定 发生的，而是以概率的形式出现， 所以这里代表期望值。指数。 表示风险防范投入 r 对网上银行的间接收益的影响程度: 指数日 表示银行业务量s ( 也就是银行客户选 择的服务数量) 对网上银行间接收益的影响程度;0 a 1 表示变量r 的边际收益递 减，日 0 表示业务量的增加会减弱风险防范的效果。 银行客户的支付函数: u c ( s , r ) = s r 0 - s * p 0 a 1 0 r 1 上式中的效用函数u 表示由于选择网上银行而使银行客户获得的净效用， 类似 于 微 观 经济 学中 的 消 费 者 剩 余: s t表 示由 于 选 择网 上 银 行服 务 而 使 银 行 客户 获 得 的效用;指数入 表示银行客户使用的网上银行服务s 对银行客户效用的影响程度， 指数p 表示网上银行风险防范投入r 对银行客户效用的影响程度，由于包含了网上 第二章 网卜 银行风险防范 银行风险防范投入 r ,所以此效用函数可以表示出银行客户得到的效用是与网上银 行的安全水平密切相关的。0 a 1 , 0 s * p ( 银 行 客 户 得 到 的 效 用 需 要 大 于 支出) 最优化的一阶条件: a u bf r = a r “ 一 ，s “ 一 1 = 0 au ca s = a s - r “ 一 p 二 0 解此方程可得 1 q - / 3 = a , i- a + 6 u p 1- a + ,(3p z 1- a + ,6 ,u - q i - a a- i 二a 一 “ + ,6 ,u p i 一 “ + 6 p a i 一 “ + ,6 p * ，* 不15 从以上结果可以看出， 只要通过专家调查或者回归分析等方法估计出支付函数 的各个参数，便可以计算出相应的风险防范投入。网上银行所提供的金融服务的价 格也是影响均衡的重要因素， 网上银行以其低廉的运作成本可以为客户提供较低的 服务价格，作为网上银行的一个优势，这可以使客户更多的选择网上银行服务，但 在定价时有必要考虑风险防范成本， 因为这是必要的同时也是相对于传统银行而言 的一项额外支出。 价格同样会影响网上银行对风险防范的投入和银行客户对网上银行服务的选 择。 a r* _a 护i 一 a十 伽 a s*1 一a 护1 一 a十 劝t 一匕 一竺一6 一 - 1 n 1 - a + (11-a+,. v - a . ,6 p p 1 - a + 6 n 根据上式可以 看出， 若。 一 01 1 1 ， 则a r * / a p 0 , a s / a p 0 , 即当 金融服务 第二章 网上银行风险防范 价格上升时，网上银行将会增加收入从而加大对安全防范的投入: 而银行客户则因 为价格的上升，减少使用网上银行的服务. 这意味着虽然提高价格可以带来安全防 范投入的增加，但是会带来业务量的下降，所以需要均衡两方面的影响。若a 一 5 u 一般称这部分为以，以 及记录作废证书的证书作废表 ( c r l ) ，如图3 . 4 所示。 第三章 网上银行的风险监管 图3 . 4认证中心结构图 c a是一个可信的第三方实体，其主要职责是保证用户的真实性。本质上，c a 的作用同政府机关的护照颁发机构类似， 用户证实公民是否是其所宣称的那样 ( 正 确身份) ，而信任这个国家政府机关护照颁发机构的其他国家，则信任该公民，认 为其护照是可信的。 同 护照类似， 网 络用户的电 子身 份( e l e c t r o n i c i d e n t i t y ) 是由c a 来发布的， 也就是说他是被c a 所信任的，该电子身份就成为数字证书。因此， 所有信任c a 的 其他用户同样也信任该用户。 中国金融认证中心 ( c f c a )于2 0 0 0 年6月底正式投入运行，是由中国人民银 行联合各家商业银行共同建设的，在一定程度上保障了网上支付、网上银行和电子 商务的健康发展，规范了我国金融行业认证中心的建设和发展。 2 .业务恢复和应急计划 是否存在恰当的过程来进行和检查银行业务的影响分析。考虑:是否把网 上银行业务看作关键的业务或产品， 管理部门是否考虑到网上银行产品和服务不适 用而对银行声誉的影响。 银行是否具有恰当的过程来开发和测试网上银行产品和服务的应急和业务 j恢复计划， 其中包括: 应急和业务恢复计划是否恰当地规定了复原;是否定期测试 应急和业务恢复计划。 银行是否具有恰当的过程来复原网上银行， 其中包括: .是否定期审查和更新网上银行应急和业务恢复计划 .是否具有特定的工作人员来负责启动和管理网上银行复原计划 .该方案是否确保关键网络点的单点失效问题得到了恰当的解决 第三章 网上银行的风险监管 该方案是否制定了一定的战略来恢复硬件、软件、通讯联接和数据文件 针对外部销售商或关键供应商， 是否具有恰当的支持性的协议和合同， 是否彻 : 底检查了这些支持性的协议 .响应过程是否确保高级管理人员和董事会了解到不利的事件， 比如损害和财务 损失的严重性 拓展战略是否足以把整改措施通告媒体和客户 法律责任问题是否作为响应过程的一部分给以注重和论述， 是否存在一定的程 : 序， 从而引起恰当的管理部门 和外部实体( 如公安部、中国