（金融学专业论文）银行电子系统操作风险防范研究.pdf

摘要 近年来，金融信息化建设使中国电子银行业务得到迅速发展，银行业越来越 显出的电子化、网络化、智能化等特征，以网络技术为手段，突破时空限制为客 户提供方便快捷、多样化的服务。目前我国商业银行信息化在基础设施建设、应 用系统开发与运行管理、业务的自动化水平等某些方面已经达到或接近发达国家 和地区银行电子化的水平。银行电子化的发展为改善银行对客户的服务，支持银 行业务创新，提高管理与决策水平，降低经营成本，增强银行的竞争能力提供了 重要的基础和支持。 随着银行电子系统的发展，银行业越来越依赖于信息技术，信息技术的快速 发展和应用，也带来了各种与信息技术相关的风险。技术依赖性使风险更为集中， 银行信息系统的安全面l 临更多的挑战，一些操作性的错误也会产生灾难性的后 果，操作风险受到银行业的高度重视。本文首先介绍银行电子系统与风险的概念， 在分析操作风险成因的基础上，从技术和人员管理等方面提出一些防范措施和建 议。 随着中国金融市场逐步对外资银行开放，我国银行业的竞争同趋激烈，防范 银行风险，可以改善质量和降低成本，促进业务盈利增长。因此，研究如何防范 银行电子系统的操作风险，避免给银行带来的损失，对我国银行业的发展具有一 定的意义。 关键词： 电子银行电子系统操作风险 中图分类号：f 8 3 0 4 9 a b s t r a c t i nr e s c e n ty e a r s ，t h ec o n s t r u c t i o no ff i n a n c i a l in f o r m a t i z a t i o n b r i n g sr a p i dd e v e l o p m e n to fe l e c t r o n i cb a n k st r a n s a c t i o ni nc h i n a t h e b a n k i n gi si n o r e a s i n g l yd i s p l a y i n gf e a t u r e ss u c ha sc o m p u t e r i z a t i o n ， n e t w o r ka n di n t e l l i g e n t i z e b ym e a n so fn e t w o r kt e c h n o l o g y ，i to f f e r s c 1i e n t sq u i c k ，c o n v e n i e n ta n dd i v e r s i f i e ds e r v i c e s n o w a d a y s ，t h e i n f o r m a t i z a t i o no fc o m m e r c i a lb a n ki nc h i n ah a sg e tc i o s et od e v e o p e d c o u n t r yi ns o m es i d e ss u c ha si n f r a s t r u c t u r ec o n s t r u c t i o n a p p l i c a t i o n s y s t e md e v e l o p m e n ta n do p e r a t i o nm a n a g e m e n t ，t r a n s a c t i o na u t o m a t i z a t i o n t h ed e v e l o p m e n to f b a n k i n gc o m p u t e r i z a t i o np r o v i d e si m p o r t a n c e f o u n d a t i o na n ds u p p o r tt oi m p r o v es e r v i c e s ，i n n o v a t et r a n s a c t io n ，i m p r o v e m a n a g i n g a n d d e c i s i o n m a k i n g ， r e d u c e r u n n i n ge x p e n s e s ， e n h a n c e c o m p e t i t i v e a l o n gw i t ht h ed e v e l o p m e n to fe l e c t r o n i cs y s t e mo fb a n k ，t h eb a n k i n g is i n c r e a s i n g l yd e p e n d e d o ni n f o r m a t i o n t e c h n o l o g y i n f o r m a t i o n t e c h n o l o g yd e v e l o p e sa n da p p l i e sq u c k l y ，c o m e sw i t hk i n d so fc o r r e l a t i v e r i s k s t h et e c h n o l o g y d e p e n d e n c yf o c u sr i s k s ，w h i c h c h a l l e n g et h e s e c u r i t yo fb a n k i n gi n f o r m a t i o ns y s t e m t h eb a n k i n gp a y sa t t e n t i o nt o o p e r a t i o n a lr i s kb e c a u s eo f s o m eo p e r a t i o n a lm i s t a k em a yr e s u l ti n d i s a s t e r t h i st h e s i si n t r o d u c e sc o n c e p t sa b o u tc o m p u t e rs y s t e ma n dr i s k o fb a n kf i r s t ，t h e n ，b a s e so nt h ea n a l y s i sa b o u tc a u s eo fo p e r a t i o n a l r s k sf o r m a t i o n b r i n g so u ts o m ew a y sa n da d v i c ea tt e c h n o l o g ya n d p e o p l em a n a g e m e n tt od e f e n do p e r a t i o n a lr i s k a l o n gw i t hf i n a n e i a lm a r k e ti nc h i n ab e i n go p e nt of o r e i g nb a n k ，t h e b a n k i n gi nc h i n ac o m p e t eu n g o v e r n a b l e t od e f e n db a n k sr is k sm a y i m p r o v eq u a i t ya n dr e d u c ec o s t ，i n c r e a s ep a y o f f s o ，i t ss n m em e a n i n g o nd e v e l o p m e n to fb a n k i n ginc h i n at os t u d yh o wt od e f e n do p e r a t i o n a l r i s kofb a n k sc o m p u t e rs y s t e ma n da v o i d1 0 s sf r o mb a n k k e yw o r d s ： e l e c t r o n i cb a n k c o m p u t e rs y s t e m c ( i d e ：f 8 3 0 4 9 日u 吾 风险是关于未来结果的不确定性，是银行各项业务活动的本质所在。好的风 险管理能通过减少风险，改善质量和降低成本，成为一种竞争优势，是盈利和增 长的关键。 上个世纪8 0 年代初因受债务危机影响，国际银行业开始普遍重视对信用风 险的防范与管理，促成巴塞尔协议的诞生。1 9 8 8 年的巴塞尔资本协议获得 1 0 大工业国中央银行的一致同意，从而将通用最低资本标准应用到其各个银行。 1 9 9 9 年6 月，国际清算银行( b i s ) 首次提出了新的资本充足率框架，它是 针对现有协议缺乏风险敏感性而制定的新的监管对策，反映了1 9 8 8 年以来信用 风险管理的重大发展。除了信用风险，新协议规定了操作风险领域的一些新要求。 这些风险是新的金融关系和结构以及业务操作控制方面常常失误导致的结果。在 2 0 世纪9 0 年代期问，操作损失突显了通过资本缓冲来覆盖金融机构内操作风险 的需要。新协议对风险加权资产的修改主要表现在两个方面：一是大幅度修改了 对老协议信用风险的处理方法，二是明确提出将操作风险纳入资本监管的范筹， 即操作风险将作为银行资本比率分母的一部分。新协议试图通过引入针对信用风 险和市场风险的更敏感的衡量指标及针对操作风险的新资本要求，来增强现有的 资本充足率标准。 巴塞尔新协议提出之后，国内外都有很多机构和学者进行研究，发表评论与 专著。我国周骏教授等组成的一个国家社科基金“九五”规划课题组，研究防范 和化解金融风险问题，历时6 年出版了中国金融风险的管理与控制，剖析了 商业银行风险的成因，提出了商业银行风险管理体系建设的框架。张成虎教授等 在国家自然科学基金项目中研究银行信息技术风险监管问题，分析了银行技术风 险的形成机理，提出监管的策略和方法。 基于各种金融机构以及专家学者的的研究探索，本文从银行提供服务的电子 系统入手，以银行系统在运作中存在的操作风险问题为研究对象进行分析，并提 出相关防范措施。 第一章银行电子系统概述 1 1 电子系统的发展概况 我们可以把我国银行的电子系统发展过程划分为四个阶段，分别是手工处理 阶段、电子计算机初步应用阶段、数据初步集中阶段、数据大集中阶段。 手工处理阶段，这个阶段的所有操作，从前台交易到后台核算，都是人手处 理。银行员工对业务非常精通，使用的计算工具主要是算盘，后期开始使用电子 计算器。银行提供比较简单的服务，没有什么理财产品、衍生工具等，工作的效 率也比较低。 电子计算机初步应用阶段，随着计算机的引入，银行网点开始使用计算机， 前台通过计算机入帐，进行自动运算，后台采用批处理方式进行核算。这样使人 工处理出错的几率大大减少，并且能加强监督，减少了前台做假帐的可能性。这 一阶段主要是对核心业务进行电子运算处理，只是模拟手工核算，以减少劳动强 度和工作量，并没有将计算机作为服务创新的手段，各级银行之间需要人工传送 帐目和报表。银行的电子系统的软件开发和硬件选型没有统标准，各地百花齐 放，缺乏操作规范和管理制度。 数据初步集中阶段，银行的传统柜台业务已基本实现计算机处理，网络通信 丌始兴起，各家银行逐步建立全国性的网络体系，各级银行之问通过通信网络交 换数据，地区级市内的电子银行系统基本统一，各种操作规范和规章制度也已建 立。帐目数据集中到地区级市分行存放和处理，各个网点只是提供交易的界而， 不再进行真正的数据运算。各银行利用信息技术逐步开发出新的产品，提供复杂 的服务，实现储蓄业务的通存通兑、自助银行、银证通等，网上银行丌始出现。 面向客户的窗口不再单纯依赖于营业柜台等传统物理网点，有自动柜员机、自动 存款机、电话银行、网上银行等多种技术手段，极大地方便了广大客户，提高了 服务效率和质量。 数据大集中阶段，银行使用的电子系统基本做到全国统一，所有的数据集中 到一个或几个大的数掘中心进行处理，全部交易系统，包括信用卡，都实现全吲 通用，实时到帐，电子货币逐渐推广使用。基本建立了适应现代银行业务发展需 要的银行电子系统，从提高服务质量和工作效率到全面提高服务质量、管理水平 和核心竞争力，都有很大的发展。这时候客户到银行网点办理业务，实际的计算 处理可能在干罩之外；而数据中心的电子银行系统面对的是起码几个省到整个围 家的业务，埘于电子计算机设备、银行业务系统和数据传输网络的依赖性极强。 日前我圉商业银行已形成了银行电子化的基本框架，建立了方便、高效和灿! 范的银行电子化服务体系，实现了金融业务处理的电子化和部分管理活动的信息 化，使我国金融业的信息化在基础设施建设、应用系统开发与运行管理、业务的 自动化水平等某些方面已经达到或接近发达国家和地区银行电子化的水平。金融 信息化是网络经济时代银行业开展业务创新、参与全球竞争、迎接挑战、提高核 心竞争力的重要战略和基础性工作之一。银行电子化的发展为改善银行对客户的 服务，支持银行业务创新，提高服务质量和管理与决策水平，降低经营成本，增 强银行的竞争能力提供了重要的基础和支持。各类银行信息系统已经成为银行事 实战略决策的关键组成部分，许多新的银行产品的开发和推广、银行业务的开展、 银行日常管理和决策等都依赖于信息技术的银行信息系统。 1 2 存在的问题 随着银行电子系统的发展，人们越来越依赖于电子系统，电子信息替代了原 来手工的凭证，银行柜台的员工不再需要知道交易中的数据到底是怎么样算出来 的，只要简单地在电脑上选择想做的交易代号，计算机就会提示要输入什么资料， 然后自动计算结果并保存起来。而由于电子系统的支持，银行开发了很多复杂的 业务，很多低学历的员工只能适应简单的电脑操作，对日益发展的新业务、新技 术的运用难以胜任，对业务的精通程度下降。电子交易中，前端界面要与银行后 台核，i i , 业务系统相连，要求系统有完善的设计、合理的体系结构、良好的互操作 性和可用性，技术依赖性使风险更为集中，管理更技术化。电子系统并不能保证 百分之一百的不出错，而且电子系统本身也有发生故障的时候，这会对j e 常业务 造成影响。我们有时候能看到银行网点摆出“电脑故障”的提示，无法提供服务， 因为这时候的柜台员工已经没有能力提供人工交易服务了。 信息技术的快速发展和应用，也带来了各种与信息技术相关的风险，改变着 银行业务中丽l 临的风险特征g uj x l , 险范围，对账务的监督不再像以往那样直接和直 观，内部的风险控制在很大程度上依靠整个电子化业务处理系统的可靠性、安全 性，加大了银行管理风险的难度。银行业监管机构依靠传统的风险监管机制已很 难识别、监测、控制风险，银行信息系统的安全将面临更多的挑战。 信息技术的进步使得针对银行信息系统的犯罪更容易。由于网络系统的迅猛 发展，人们有可能从远处控制银行的电脑系统，也就有机会对电子系统造成破坏。 由于银行信息系统中传输和存放的数据都与资金有关，使银行的计算机系统成为 犯罪分子关注的焦点。自助银行系统涉及的业务种类多、技术含量高、维护环节 复杂、操作j x l 险大，近年束针对自助银行业务的违法犯罪活动n 益猖獗，高科技、 智能化的作案特点明显，银行信息系统的安全性面临更大的挑战，对银行信息系 统的安仝性和可靠性提出了更高的要求。计算机安全学院访问了6 3 9 个受访者， 统计出2 0 0 5 年与计算机犯罪相关的损失达1 3 0 ，1 0 4 ，5 4 2 美元，可以想象出计算 机犯罪对全社会企业造成的损失到底有多大。如图： 不同类型损失统计 瞄i 辫囊餮嚣誊_ 攀鬻l 燃辫燃l 燃燃戮黝蓑鬟蘩籀蒌嚣a $ 4 2 7 8 7 7 e 除i t 麓i 黼黼糕鬻攀爨溅落# 辫8 | ：| 囊徽麟洲$ 3 1 。2 3 3 。1 0 0 | | | ；i t f i # 鬻鬻薹! _ t l 鞴# 1 ) 舞# * 瓣瓣镕棼；冀懿$ t no r m n 髋m g $ 7 b 1 0 7 2 5 镕g 瓣潮$ 6 f5 6 4 5 0 圈$ 4 ，1 0 7 ，：0 0 e 圈$ 2 ，5 6 5 ，o o c 囹$ 2 。2 2 7 ，5 0 0 曰$ 8 4 1 ，4 0 0 目$ 5 4 4 , 7 0 0 目$ 3 4 0 ，6 0 0 i $ 2 4 2 ，0 0 0 $ 1 1 5 0 0 0 幽1 1 ：2 0 0 5 年计算机j e 罪损失统计 数据来源：计算机安全学院：2 0 0 5c s i f b ic o m p u t e rc r i m ea n ds e c u r i t ys u r v e y ，第1 5 页 从图中可以看出，受计算机病毒影响而造成的损失最大，其次是通过计算机 非法访问和窃取秘密的信息，这几项损失都达几千万美元，远远超过其他的计算 机犯罪损失，说明企业特别要重视计算机病毒传播和黑客入侵系统的风险，采取 针对性的措施加强电子系统的安全防护。 国内商业银行的数据集中建设已完成或正抓紧进行，业务集中，意味着风险 同样集中，随着数据越来越集中，当数据中心的电子系统发生故障，其影响将会 是全国性的，这种事件会对银行的信誉造成极大的打击。数据大集中后对数据安 全和灾备的保障可以说是生死攸关，对技术、业务和的统一规范管理、风险防范、 内部控制和银行治理结构提出了更多要求，对软件开发和生产运营的质量要求大 大提高。我们不但要看到高科技在银行发展中的关键作用，也要看到由于采用新 的技术变革而面临新的、更多的挑战。如果电子银行的体系结构存在严重缺陷， 在管理中疏于风险防范的话，可使原本是局部的风险变成全局的风险，还可能引 发金融危机，带来无法估量的严重后果。 随着银行信息化的深入发展，银行经营对信息技术的高度依赖，信息安全面 临新的考验，特别是银行全面进入业务系统整合、数据大集中的新的发展阶段， 以及银行卡、网上银行等依托信息技术的创新产品迅速发展，银行信息安全对金 融运 ：、客户权益乃至国家经济金融安全、社会稳定具有越来越重要的意义。 第二章银行电子系统操作风险 般来说，银行面临的风险是银行经营过程中的不确定性，这种不确定性可 能产生盈利，也可能产生损失。我国银行界专门对商业银行风险管理的研究还处 在初始阶段，国际银行界也是最近一二十年才把风险管理提上日程。 2 1 银行风险概述 l 、银行风险的含义 银行的风险，是指在提供服务的过程中，由于不确定因素给银行带来损失的 可能性，是在经济活动中发生对自己不利的损失的机会，可能是由于自身经营不 善而产生风险，也可能是由于非本身所能控制的社会原因或自然原因而产生的风 险。在金融市场中，银行作为信用中介，集借方和贷方于一身，也汇聚了借方和 贷方的风险，如果经营不善，可能会进一步扩大风险。 银行的资产负债结构有其内在的脆弱性，负债非常明确，作为存款的借方， 到期之时银行向储户还本付息，储户要支取存款时，银行必须无条件支付，除非 银行破产。而银行的资产却难以估价，银行和贷款企业之间有着契约，企业到期 必须连本带利归还银行，但是事实上贷款到期，却不一定能收回来。如果企业不 能还贷款，银行只能靠法律手段追讨，或者等这家企业破产之后拿回来4 些，在 我国追讨国有企业的贷款就更难了，很多时候只能不了了之。银行业务的本质决 定了它需要承担各种类型的风险，在某种程度上，我国银行把很多食业的经营风 险也负担起来了。 2 、银行风险的分类 银行风险的划分有很多种，根据风险产生的原因可以分为自身经营管理不善 产生的经营风险、社会环境引起的社会风险、不可预料的自然灾害导致的自然风 险等，根据风险的性质可以分为由于宏观环境造成的不可分散的系统性风险和可 以采取措施回避的非系统性风险。巴塞尔银行业监管委员会1 9 9 8 年发布的电 子银行和电子货币业务的风险管理中将电子银行和电子货币活动有关的风险划 分为比较突出的操作风险、信誉风险、法律风险，与传统银行相同的信用风险、 流动性风险、利率风险和市场风险，以及跨境风险等。 操作风险主要是指由于系统中存在不利于可靠性、稳定性和安全性要求的重 犬缺陷而导致损失的可能性。它与技术有着直接或间接的关系，可能源自内部或 外部对系统和网络的攻击破坏、诈骗，客户在使用服务或金融产品时的操作失误， 系统本身设计、实施和维护不当等，包括内部控制和公司治理机制的失灵。 信誉风险是由于重大的负面公众舆论导致银行与客户关系中断或终止而产 生的损失。包括没有达成经营目标、银行内部职员行为不当、提供不良服务、大 量解雇员工、违反法规、受第三方破坏或欺诈等造成银行信誉的损害，引起公众 对银行的持续经营能力丧失信心，削弱银行与客户的关系。由于有媒体报道，美 国财政部指称澳门汇业银行涉嫌为朝鲜政府洗黑钱及从事各种非法活动，引发了 挤兑风潮，仅两天存款人已从自动取款机上提现超过3 亿澳元( 折合当时人民币 约3 0 3 亿元) ，可见信誉对于银行来说有多么重要。 法律风险源自违反或不遵守法律、法规、条例等，或者对于处理的事务没有 合适的法律指引，对于电子银行活动中的新特征没有明确的法律规定。包括因不 完善、不正确的法律意见、文件而造成同预计情况相比资产价值下降或负债加大 的风险，现有法律可能无法解决与银行相关的法律问题，影响银行的法律可能发 生变化，进行金融创新时不能界定法律上的权利和义务等。 信用风险是指借款人到期不能或不愿履行还本付息的义务致使银行遭受损 失的可能性。电子银行通过非传统的渠道和超越传统物理边界的的方式拓展市场 和信用活动，不能恰当地检查借款人的信用情况，增大了银行贷款的风险。 流动性风险指银行无力为负债的减少或资产的增加提供融资，即当银行流动 性不足时，它无法以合理的成本迅速增加负债或变现资产获得足够的资金，从而 影响了其盈利水平的情况。包括无法支付到期的存款、不能满足企业的贷款需要 等。银行如果资金周转不灵，很可能面临倒闭，同时也。会波及到其他银行和金融 机构。 利率风险指银行的财务状况在利率出现不利的波动时所面对的风险，会影响 银行的盈利水平以及银行资产的价值。 市场风险是指由于市场因素、如汇率、资产市场价格变动，给银行造成损失 的可能性。银行如果接受外币支付电子货币，也会受到波及。 跨境风险是由于银行服务市场拓展超越国界而突出了某些风险。例如面临着 不同的法律法规、权利义务等，其他国家的客户需求也会不一样，银行需要作出 相应的调整。 3 、银行风险监管发展状况 商业银行与一般工商企业相比，最显著的特点是负债经营，这一特点决定了 风险管理在其经营管理中占有十分重要的地位。随商q p 银行业务多元化、复杂化 的发展趋势，除信用风险以外的其他风险，如市场风险、操作风险、流动性风险、 利率风险、法律风险、信誉风险等逐步显现。 上个世纪8 0 年代初因受债务危机影响，国际银行业开始普遍重视对信用风险 的防范与管理，促成巴塞尔协议的诞生。该协议通过对不| 司类型资产规定1 i 同权数来量化风险，是对银行风险比较笼统的一种分析方法。2 0 0 4 年6 月2 6 日， 巴塞尔银行业务监管委员会公布了新资本协议的最终稿，并将于2 0 0 6 年底在 十国集团“。开始实施。其主要内容之一便是将监管资本涵盖的范围出原来的信用 风险，扩大到信用风险、市场风险和操作风险三大方面。它进步明确了风险管 理是银行经营、运行的核心，其框架将使资本充足的监管要求能更准确地反映银 行经营的风险状况，为银行和金融监管当局提供更多的衡量资本充足的可供选择 的方法，以便更准确及时地反映银行风险水平及其所需配置的资本水平进而促进 金融银行业的平稳健康发展。 新协定基于风险测评和管理方面的重要升级，确立了新的三大支柱：1 最小 监管资本的风险评估，允许对资本流通中的信用披露进行更细的风险分割，尤其 是给经纪业增加了一项新的运作风险资本费用。2 增加了对监管者的监管要求， 这给机构确保风险和资本管理程序方面的正确性带来了更大的压力，并授权监管 者惩罚那些不熟悉相关程序的机构。3 强化市场信息披露，要求机构披露详尽的 风险和资本信息，包括资本要求与可利用金融资源的定期比较以及不同风险类别 的损失率。 由于我国处于经济体制转轨时期，在理论上，对银行业风险管理研究还很不 成熟，在实际操作中，与国外银行相比，银行业风险管理在外部环境和内部管理 等方面都存在较大的差距。随着商业银行经营环境变化及银行间激烈竞争，尤其 是金融自由化、一体化的影响，商业银行的风险不断加大，风险管理也就逐步上 升为经营管理中一个重要的组成部分。虽然中国银监会发表声明表示近期不准备 以新资本协议为标准，但以巴塞尔新资本协议全面风险管理的理念为指导， 建立全面风险管理模式，对中国商业银行业增强国际竞争力具有十分重要的意 义。 2 2 对银行操作风险的研究与应对措施 对操作风险的关注和研究时问并不是很长，9 0 年代后，金融创新层出不穷， 商业银行的盈利空间在迅速扩大，同时伴随着操作风险也f 1 益严重，类似巴林银 行“李森”事件的低频高危事件显示出，即使商业银行符合资本充足率的要求， 也可能因为操作风险而陷入经营困境，甚至导致破产。各国政府及金融机构在宏 观经济和金融体系中不断寻求合理、高效的风险管理方法，以完善和巩固会融体 系，操作风险的定义也一直在不断发展。 巴塞尔银行监管委员会在十多年束，公布了计算机和电讯系统中的风险、 衍生产品风险管理指引、电子银行和电子货币业务的风险管理、操作1 x l 险、电子银行的风险管理原则、操作风险在金融部门矧的传播、操作j x l 险 管理与监管的稳健做法、金融外包服务等文件中都涉及了操作风险监管方法。 1 9 9 8 年，巴塞尔银行监管委员会首次发布了操作风险管理的咨询文件，着 重强调了控制银行操作风险的重要性。委员会认为，操作风险是银行面对的项 重要风险，银行应为抵御操作风险造成的损失安排资本。2 0 0 4 年6 月，巴塞尔 银行监督管理委员会公布了巴塞尔新资本协议。操作风险正式与信用风险、 市场风险一起纳入到资本充足率的计算框架中，并提供了三种计算操作风险资本 的方法：基本指标法、标准法，以及高级衡量法，三种方法在复杂性和风险敏感 度方面逐步加强。委员会认为，将操作风险纳入第一支柱十分必要，可以确保银 行有足够的积极性继续开发计量操作风险的各类手段，确保银行为抵御操作风险 持有足够的资本。在高级衡量法中，只要方法既全面又系统，银行可采用自己的 方法来评估操作风险，为银行开发计算操作风险的方法提供充分的灵活性，这一 处理方式符合银行的业务构成以及对应的各类风险。 根据新协议中的定义，操作风险是指由于不完善或失灵的内部流程、人员、 系统或外部事件导致损失的风险，包括法律风险，但不包括战略风险和声誉风险 。1 。按照风险被引发的因素，可以分为四类：人员因素引起的操作风险( 如操作 失误) 、流程因素引起的操作风险( 如流程执行不严格) 、系统因素引起的操作风 险( 如系统失灵) 和外部事件引起的操作风险( 如外部欺诈、突发事件) 。其中， 人员、流程和系统引致的操作风险属于内部因素引致的操作风险。巴塞尔委员会 设计了一个表格，将7 种损失类型进一步细分为次类型和相关的活动类型( 见表 2 1 ) ，有助于理解操作风险。 表2 1 损失事件类型细分 事件类型( 级别i )定义种类( 级别2 )行为举例( 级别3 ) 内部欺诈由于一些企图欺骗、盗来授权的活动米报告的交易( 故意的) 用财物或者绕过规则、来授权的交易类型( 货币损失) 法律或者公司政策的头寸币匹配( 故意豹) 行为造成的损失，至少偷窃和欺骗 欺骗信用欺骗无价值的i 存物 涉及到内部某一方，不偷窃勒索侵占抢劫 包括差异歧视事件 资产挪用 恶意的资产破坏 伪造 开空头支架 走私 做假帐 偷税漏税 贿赂i p l i n 内部交易( 小n 公j 帐口卜j 外部欺诈巾于第三方一些企幽偷窃和敞骗偷窃抢劫 欺骗、盗用财物或辑绕伪造 过法律的行为造成的开守头支票 损失 系统安伞黑客破坏 窃取信息( 货币损失) 雇佣活动和工作场地安由于违反雇佣、健康或雇员关系补偿、待遇、终止问题 全 者安伞法律或协议的肯组织的劳_ 活动 行为，个人伤害索赔的安全环境一般责任 支付，或差异歧视事雇员健康j 安全条例当件 件所造成的损失 工人补偿 差异和歧视所有歧视类型 客户、产品和商业活动 由于无意或疏忽而不适用性、公开和信托 违反信托违背原则 能向特定的客户提供适用性公开问题 专业的服务( 包括信托对零售消费者h ；公开 及适用性要求) ，或者 侵犯隐私 由于产品的性质或设倾销 计所造成的损失 帐户反复买卖 误用机密信息 贷方责任 不正当的商业和市场 反托拉斯 活动不正当的贸易和市场活动 市场操纵 内部交易( 在公 d 帐户) 朱许可的活动 洗钱 产品缺陷产品缺点( 朱授权等) 型号错误 选择、倡议和披露未能按规定调查客户 超过客户承受风险的限额 顾问活动对顾问活动业绩的争论 l 刊定资产毁坏由于自然灾害或e 他 灾害或其他事件自然灾害损失 事件对固定资产毁坏源于外部的人为捌失( 恐协土义、 而造成的_ | 蓟失 破坏行为) 缀，蛘中断和系统故障由于经营中诖i 或者系系统硬件 统故障造成的损失软件 i “信中断 执行、交付和流程管理由于交易处理或者流交易争取、实施和维护交流不足 程管理失议，i j 贸易伙数据入u 、维护和裴载错谶 伴及厂家的关系破裂 超过期限域右小负责任 造成的捌失 模型系统以操作 帐日错雌单位属件错淡 蚺他任务没响完成 交货雌期 担保品管删鼾j 参考数据维护 临挣和报告 托管的报告责任失跌 j 4 对外财务报告小精确( 导敛于员失) 客户的吸收和资料编 丢失客户许可拒绝的声叫 制法律文件丢失z i 完整 客户帐号管理米绎批准的帐号访问 不正确的客户记录( 导致损失) 对客户资产疏忽的损失或损害 贸易伙伴非客户的伙伴业绩4 i 住 多方面的非客户伙伴竞争 供应商外部采购 厂商竞争 资科米源：巴嚣匀；委员会：i n t e r n a t i o n a lc o n v e r g e n c eo fc a p i t a lm e a s u r e m e n ta n dc a p i t a s t a n d a r d s ar e v i s e df r a m e w o r k ( u p d a t e dn o v e m b e r2 0 0 5 ) ，第2 5 7 页 从表中可以看到，与银行电子系统相关的操作风险损失事件类型包括外部欺 诈，客户、产品和商业活动，固定资产毁坏，经营中断和系统故障，执行、交付 和流程管理。再细分成与电子系统相关的种类，在外部欺诈中包括系统安全，如 被黑客破坏、窃取信息等；在客户、产品和商业活动中包含产品的缺陷问题：在 固定资产毁坏中包括由于某些灾害或事件，使电子系统赖以运行的设备无法继续 ：i ：作等；在经营中断和系统故障中包括系统的故障，如硬件故障，软件错误或者 网络中断等；在执行、交付和流程管理中包括在交易的实施和维护中出现问题， 如数据装载错误、系统误操作等。巴塞尔委员会所定义的七种银行操作风险类型 中，与电子系统相关的操作风险已经在其中五种中有体现出来，对银行的影响范 围是比较大的。 随着金融技术复杂、服务全球，风险复杂多变，操作风险越来越引起各国政 府和银行业的关注和重视。2 0 0 2 年6 月，美国的s a r b a n e s o x l e y 法案第3 0 2 条提出 建立有效的控制程序以确保提交资料的正确性，并对有签字权的官员的职责提出 了一系列的要求；第4 0 4 条提出建立有效的控制程序以确保财政报告的准确性。 2 0 0 2 年7 月英国金融服务管理局f s a ( f i n a n c i a ls e r v i c ea u t h o r i t y ) 在一系列 咨询文件的基础上，发布了关于操作风险系统和控制的文件( 简称c p l 4 2 ) ，文件 的内容主要涉及两方面，一是对操作风险的内容管理，二是对操作风险的流程管 理。在内容管理_ 二，c p l 4 2 采用s y s c ( s e n i o rm a n a g e m e n ta r r a n g e m e n t s ，s y s t e m s a n dc o n t r o s ) 的方法来管理控制形成操作风险的因素，包括人的因素、过程和 系统、外部事件及其他变化、外部采购和保险。在流程管理上，f s a 建议使用p s b ( i n t e g r a t e dp r u d e n t i a ls o u r c e b o o k ) 方法，主要包括风险识别、评估、监测、 控制和c i j 录。2 0 0 4 年9 月，美国著名的职业监管机g j c o s o ( c o m m i t t e eo f s p o n s o r i n go r g a n i z a t i o n so f t h et r e a d w a yc o m m is s i o n ) ，公斫j 了企业风险 管理整合框架( ( ( e n t e _ r p r is er is km a n a g e m e n t - - i n t e g r a t e d f r a m e w o r k ) ) ，阐述了企业风险管理框架的战略、经营、报告、合规四个目标和 内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、 以及监控八个构成要素在主体中的有效运行，全面风险管理的八个要素为企业的 四个目标服务，企业的各个层面要坚持同样的四个目标，每个层面都必须从八个 要素进行风险管理。 为了保证电子商务的安全性，我国于2 0 0 5 年4 月起施行中华人民共和国 电子签名法。2 0 0 5 年3 月，中国银监会下发关于加大防范操作风险工作力 度的通知，对商业银行加强操作风险防范提出1 3 条指导意见，也首次将操作 风险与信用风险、市场风险并列为银行面l 临的三大风险，敦促我国商业银行提高 对操作风险的重视程度，从而提高识别和控制操作风险的能力，有效防范操作风 险损失，保护存款人的利益。2 0 0 6 年，中国银行业监督管理委员会又发布电 子银行业务管理办法、电子银行安全评估指引，进一步严格要求各银行采 取措施，加强风险管理。各家银行也对涉及到操作风险的工作和制度开展检查行 动，纠正违章操作行为、完善规章制度、规范操作流程、落实责任追究，并且着 手制定统一的操作风险管理战略和政策，建立管理数据库，对各类银行业务因操 作风险而造成损失的历史资料进行统计分析，为量化操作风险并为其分配资本做 准备。 2 3 电子系统操作风险的成因 2 0 0 3 年巴寨尔银行监督管理委员会公布了管理和监督操作风险的合理做 法，提出银行操作风险增加的原因。包括由于大量使用高度自动化的技术，银 行越来越依赖综合系统，潜在的风险从人工操作失误转向电子系统失灵；由于电 子商务( e - c o m m e r c e ) 的发展，带来一些尚未被完全了解的风险( 如内、外部欺 诈和系统安全等问题) ：业界大规模的收购、重组、合并和拆分对新的业务综合 系统的生命力提出了考验：银行推出的服务品种增多需要不断维持高级的内部控 制和后备系统来应付紧急事件；为缓解信用风险和市场风险的披露而采用的方法 会造成其他风险；银行清算系统外包做法的增多可以降低某些风险，但也会引起 别的风险等。“。这里就与银行电子系统相关的部分进行探讨。 1 、电子系统本身隐藏缺陷 银行的电子系统包括硬件和软件两部分，软件是人写出来的，硬件也是人设 计和制造m 来的。只要是人做出来的东西，都难免有瑕疵，仅仅由于人的素质不 同而留下严重程度不同的问题，很多问题可能在系统运作多年以后才被发现。就 是m jc r o s o f t 这么专业的公司，出产w i n d o w s 这么好的产品，电在不停地提供补 j 。程序( p a t c h ) ，人确实没有办法做出完美无暇的东西。系统中存在着瑕疵，就 必然会暴露出来，如果在问题暴露之前，系统就已经淘汰了，那是运气；如粜系 统在淘汰之前暴露出问题，就有可能造成损失，就是风险。电子化银行的业务及 大量风险控制工作均是由电脑程序和软件系统完成，电子系统硬件质量问题会导 致运行系统停机、数据损坏，软件的瑕疵可能使银行的数据不完整，或者出现漏 洞，使得外部人员有机会发动数字攻击，将使业务的正常运行面临风险。在银行 数据大集中后，对软件开发和系统运行的质量要求大大提高，这类问题更显突出。 2 、外包业务系统的质量难以控制 随着银行业务的不断创新，有越来越多的应用系统需要新开发、更新、重写、 维护。银行虽然有自己的技术部门，但是面对庞大的需求、高度知识化和专业化 要求，往往显得力不从心。因此，银行会将一些应用系统的开发工作外包给专业 的软件开发商去完成，或者购买比较可信的软件产品来使用，依赖外部市场的服 务支持，来解决内部的技术或管理难题。这么做可以减轻技术部门的负担，提高 效率，节约了成本，能够利用国际先进的信息技术应用，但是也会承担一定的风 险，就是这些软件的质量难以控制，相关资料不完整。一般银行自行开发的软件， 技术人员对细节都比较清楚，互相之间沟通方便，很多问题在开发、复核过程中 就能够发现、解决。而对于外包的系统，一来外包公司的人员素质并不能保证， 其次不同公司之间沟通比较困难，再次，做软件的人都知道，要看懂别人写的程 序是一件很辛苦的事情。由于资料不足，难以判断外包公司是否在保持提供先进 的技术服务。这些因素导致很多问题不能在前期发现，很可能在投入使用之后才 慢慢暴露出来。当出现问题的时候，银行必须承担全部的责任，虽然操作和服务 可以进行外包，但最终责任是无法外包的，银行有义务保证服务的质量和安全。 如果过度依赖外包服务商，甚至会使组织内部的信息技术专家流失，技术部门在 信息技术应用方面的能力降低，不能及时响应客户的需求。另外，外包公司有可 能由于自身的原因停止向银行提供服务，这对银行向客户提供的服务构成威胁。 3 、银行系统技术选择的风险 在建立电子系统时，银行往往有不同的方案，最终要选择其中一种成熟的技 术解决方案束支撑业务的开展。选择不同的方案会有不同的好处，也意味着有不 同的成本和风险。电脑设备选择用大型计算机、小型计算机还是微型计算机；操 作系统选择z o s 、u n i x 或w i n d o w s ；其成本、后续维护费用以及系统的可靠性 与复杂度差别很大，这些方案一旦确定，就要准备好应对不同的风险。如果选定 的方案在f 1 后不能继续支持新生事物，像不断推出的会融创新等，就会面i 艋淘汰， 形成竞争劣势，丧失商业机会。一i 同的方案预计能够支撑多长时间，投入的成本 能否收回，会不会造成其他风险损失，都要在考虑之列。例如银行用来加密客户一 密码的方法，一般都采用不可以反方向计算的h a s h 算法，比较常用的有r n d 5 、 s h a 一1 、s h a2 5 6 等，这些算法都是当时公认安全的，但加密的强度不一样。在 i 蠢| 。i 系统建立之初，银行一般会选定其中一种算法，以保证系统的一致性，这时的选 择隐藏着未来会出现的风险。2 0 0 4 年8 月，山东大学的一位王小云教授公布了 快速找出有相同m d 5 值的两组数据的方法，这意味着m d 5 算法已经比较容易受到 攻击。那么当初采用m d 5 算法的银行系统发生事故的风险就会加大，银行需要考 虑替换这些系统，更换系统需要额外的费用，需要时间，可能导致丧失不少机会， 给银行造成损失，可以说银行进行技术选择的风险已经发生了。当初采用s h a l 或s h a 一2 5 6 算法的银行系统就没有受到这次事件的影响，相对来说风险较小。 4 、员工业务能力下降 银行手工操作时代的员工对核心业务是最为精通的，随着银行电子系统的不 断发展，员工越来越依赖于计算机，对核心业务的了解没有那么深入，甚至已经 不会手工完成交易。对核心业务的不熟悉，容易导致操作错误。曾经有一位客户 到某银行办理业务，涉及到计算利息，柜员很快就办理完了，将存折交还给客，。 一般人很少去认真看看交易的结果，偏偏这位客户比较细心，而且是位专业人士， 一下子就看出利息算错了，与柜员交涉。那位柜员非常惊讶，“怎么可能算错呢， 这是电脑算出来的，不是我人手算的呀”，双方争执不下。最后银行的一位资深 员工出来解了围，确实是算错了利息。错在哪昵，电子系统错了吗? 没有，系统 是按照柜员指定的交易算出来的。错在柜员对业务不熟悉，该种业务有不同的计 算方法，不同的方法对应电子系统中的不同交易。该柜员虽然知道这些交易，却 没有理解什么情况下应该做什么交易，导致操作错误。 5 、客户对电子银行业务的了解程度 客户对银行业务并不很了解，从客户的角度来说，也应该不需要了解业务的 详细情况。当然，在传统上客户在前台可以和银行柜员束交流，不会有什么问题； 不过现在自助方式的业务越来越多，象a t m 机的使用、网上银行交易等，都完全 由客户自己操作，客户不了解这些业务，就容易造成失误，而且很难表达清楚。 客在与银行之间发生电子银行或电子货币业务时，任何错误操作，不论是无意的 还是故意的，都有可能为为银行带来风险。尤其是在银行未能充分向顾客宣传安 全防范措施时，这种风险发生的可能性更大。客户如果在不安全的系统渠道使用 个人信息，很容易使罪犯获得进入客户帐户的方法，从而发生未经客户授权的交 易，给银行造成损失。例如出现银行卡被盗用、网上银行帐户被盗用的情况，不 仅造成客户财物损失，也会影响银行跟客户之间的关系，可能导致客户流失。 2 4 电子系统操作风险的特点与影响 风险难以及时发现。银行对电子系统操作风险的控制和管理能力，在很大程 度上取决于其计算机安全技术的先进程度。银行所使用的计算机等硬件没各和系 统软件大部分是国外的产品，技术人员对这些设备和系统掌握不全面，难以辨别 系统故障的前期现象。由于信息技术发展迅速，银行的技术人员并不能及时得到 培训，很难跟得上技术更新的步伐，缺乏先进的手段来监控电子系统的运行情况。 计算机黑客可以在任何地方通过网络进入电子银行系统，入侵银行的网络系统， 攻击数据库，通过改动数据盗取他人钱财，这些行为不会对计算机硬件造成外观 损坏，不易被发现，销毁证据和痕迹容易，增加侦破的难度。互联网上的攻击手 段不断更新，往往带有高度的技术