（金融学专业论文）我国网上银行操作风险控制研究.pdf

硕士学位论文 摘要 网上银行是以因特网为媒介，为企业及个人客户提供的自助金融服务，它具 有方便，快捷和高效的特点，越来越多的人开始尝试和接受这种新型的服务方式。 网上银行操作风险是一个常青的话题，也是一个充满挑战性的话题。多年来，操 作风险并没有引起金融机构的充分重视，因此也没有形成较为成熟的风险管理技 术。 技术应用能以多种方式产生操作风险。其中，系统的安全问题是最突出的， 因为银行的系统很有可能受到外部的攻击。与系统有关的还有源于系统设计或实 施中的缺陷导致的操作风险。另外，操作风险也来源于客户的误操作。 近几年来，我国网上银行操作风险的来源主要有客户的错误操作、薄弱的技术 支持力量以及人为的高科技犯罪。随着科技的发展以及网上银行业务规模的扩大， 人为的高科技犯罪导致的操作风险比率必定会在一段时间内呈现上升的趋势，而 且一旦发生会给银行带来非常巨大的损失和严重的负面影响。 我国网上银行操作风险产生的原因有其特殊性。第一，传统的金融监管模式不 适应网络时代的发展。第二，我国银行普遍存在内控机制失效的现象。第三，我 国银行业在对信息技术上的人力和物力的投入相对发达国家不足，技术力量比较 薄弱。第四，现有法律框架对网络犯罪缺乏强有力的约束。第五，我国银行客户 操作风险意识淡薄。 我国网上银行操作风险的控制应该从外部控制和内部控制两方面入手。其中， 内部控制策略包括：第一，完善我国银行内控机制；第二，从技术层面上提高网 七银行系统的可靠性：第三，加强对客户的管理，提高客户操作风险意识。外部控 制策略包括：第，强化我国网上银行的监管：第二，构建网络犯罪的预防打击 机制，严惩网络经济犯罪。 关键词：网上银行；操作风险：控制 些里塑圭堡! 三堡堡墨堕笙型竺茎 a b s t r a c t i n t e r n e tb a n k i n gp r o v i d e st h ef i n a n c i a ls e r v i c e st ot h ec u s t o m e r sa n db u s i n e s sb y t h eh e l po fi n t e r n e t b e c a u s eo ft h ec o n v e n i e n t ，q u i c ks e r v i c e st h a ti n t e r n e tb a n k i n g h a s ，m o r ea n dm o r ep e o p l eb e g i nt oa c c e p tt h i sk i n do fn e wp r o d u c t o p e r a t i o n a lr i s k o fi n t e r n e tb a n k i n gi sac o m m o nt o p i cf u l lo fc h a l l e n g e s f o ral o n gp e r i o do ft i m e ， f i n a n c i a l d e p a r t m e n th a v ep a i d s ol i t t l ea t t e n t i o nt o o p e r a t i o n a l r i s k t h a tt h e r e i s s e l d o ms o m em a t u r et e c h n i q u e so fo p e r a t i o n a lr i s km a n a g e m e n t t e c h n i c a la p p l i c a t i o n sm a yl e a dt oo p e r a t i o n a lr i s kb ya l lk i n d so fm e a n s ，w h e r e r i s ko fs e c u r i t yi sm o s te v i d e n tb e c a u s et h eb a n k i n gs y s t e ma n dp r o d u c t sm a yb e s u f f e r e db yt h ea t t a c ke v e r y w h e r e w h a t sm o r e ，t h ed e f i c i e n c yo fi n t e r n e tb a n k i n g s y s t e mm a y b eo n eo ft h er e a s o n so fo p e r a t i o n a lr i s k a n dt h er i s kf r o mt h em i s u s eo f c u s t o m e r sc a nn o tb ei g n o r e d a sf o rt h eo p e r a t i o n a lr i s ks i t u a t i o no ft h ei n t e r n e tb a n k i n gi nc h i n a ，ac o n c l u s i o n c a nb ed r a w ni st h a ti nt h ep a s ty e a r s ，t h eo p e r a t i o n a lr i s km a i n l yc o m e sf r o mt h e c u s t o m e r s m i s u s e ，t h ed e f i c i e n c yo ft h eb a n k i n gs y s t e ma n dt h ei l l e g a b e h a v i o r so f b a n k i n ge m p l o y e e s a n do t h e r p e o p l e h o w e v e r ，i t i sn a t u r et h a tw i t ht h e r a p i d d e v e l o p m e n to fn e t w o r kt e c h n o l o g y ，t h ep e r c e n to fi l l e g a lb e h a v i o rt h r o u g hi n t e r n e t m u s tb eo nt h ei n c r e a s ed u r i n gap e r i o do ft i m e ，a n dt h el o s sf o ri ti ss u r e l ys u r p r i s i n g o nt h ec o n t r a r y ，l e s sc u s t o m e r s m i s u s ew h i c hi sr e s p o n s i b l ef o ro p e r a t i o n a lr i s kw i l l h a p p e n t h er e a s o n sf o rt h eo p e r a t i o n a lr i s ko fi n t e r n e tb a n k i n gi nc h i n aa r ec o m p l i c a t e d a n dd i v e r s i f i e d ：a tf i r s t ，t h e p r e s e n tf i n a n c i a ls u p e r v i s i o ni s n o ta p p r o p r i a t ef o rt h e n e t w o r k e c o n o m y ；s e c o n d l y ，t h ei n t e r n a lc o n t r o lo fb a n k i n gi sn o te f f i c i e n t ；t h i r d l y , t h e i n v e s t m e n to nt h et e c h n o l o g yo fi n t e r n e tb a n k i n gi sn o t e n o u g hf o rt h ea d v a n c e df i e l d ； f o u r t h l y ，t h el e g i s l a t i o na n dr e g u l a t i o no nn e t w o r ke c o n o m yi sr e l a t i v e l yb a c k w a r d ；a t l a s t ，m a n yc u s t o m e r sl a c ko f t h ee x p e r i e n c eo f s e c u r i t y t h es t r a t e g i e so nc o n t r o l l i n gt h eo p e r a t i o n a lr i s ko fi n t e r n e tb a n k i n gi nc h i n a i n c l u d e so u t s i d ec o n t r o l s t r a t e g i e s a n di n t e r n a lc o n t r o l s t r a t e g i e s i n t e r n a l c o n t r o l i n c l u d e si m p r o v i n gt h e r e l i a b i l i t y a n d s e c u r i t yo f i n t e r n e tb a n k i n gb yt h eh e l po f t e c h n i c a lm e t h o d s ，s t r e n g t h e n i n gc u s t o m e r s i d e a so ns e c u r i t ya n di m p r o v i n gt h e e v e o fi n t e r n a lc o n t r o lo fb a n k o u t s i d ec o n t r o li n c l u d e sa d j u s t i n gt h ep r e s e n tf i n a n c i a l s u p e r v i s i o na n dd e v e l o p i n gt h el e g i s l a t i o na n dr e g u l a t i o no nn e t w o r ke c o n o m y t ol i m i t m a d p u n i s hs o m ep e o p l e si l l e g a lb e h a v i o r st h a tb r i n g st h el o s st ob a n k o rc u s t o m e r s k e yw o r d s ：i n t e r n e tb a n k i n g ；o p e r a t i o n a lr i s k ；c o n t r o l 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得 的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集 体，均己在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承 担。 作者签名：莨生坪日期如华年霸f o b 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于 l 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 作者签名：赴饵 导师签名：私vft = ， l 1 日期抄0q ，年，月，。日 日期2 蒯配年厂月2 。日 硕士学位论文 1 1 选题背景 第1 章绪言 网络技术在传统银行业的广泛应用促使2 0 世纪最大的金融创新一一网上银 行应运而生，从此金融业进入了一个崭新的历史发展阶段。所谓网上银行，就是 指银行以因特网为媒介，为企业及个人客户提供的自助金融服务，其发展的前提 就是网络时代的到来。网上银行的基本特征是“3 a ”特征( 即a n y w h e r e 、a n y t i m e 和a n y h o w ) 。具体来说，也就是与传统柜台业务相比，网上银行服务有以下优势： 第一，突破了地域限制。只要将电脑接入因特网，在全世界的任何一个地方，客 户都能轻松享受各种银行金融服务，免去了往返银行网点等诸多不便；第二，跨 越了时空限制。网上银行可以提供2 4 小时的全天候服务，实时满足客户对银行业 务的需求；第三，实现了金融服务的多样性。网上银行客户可以作出个性化的选 择，根据自己的需求享受到多样化的服务。 由于网上银行具有方便、快捷和高效的特点，许多高素质的优良客户对这种 新型的服务方式青睐有加。随着网上用户数量的迅速增加，越来越多的普通网民 也开始尝试和接受这种新型的服务方式。对银行本身而言，通过电脑和网络处理 各种客户信息以及交易信息的网上银行业务降低了银行对分支行网络规模的依赖 度，节省了大量的人力资源和经营成本，并且对于银行扩展海外业务也非常实效。 所以，网上银行具有的这些传统银行无法比拟的优势都是银行方面乐于看到和接 受的。另一方面，网上银行的出现在很大程度上要求传统银行改变原有的营销方 式和经营理念，同时也为那些拥有先进技术和管理经验的小银行创造了跳跃性发 展的契机。比尔盖茨曾预言：“传统商业银行将是要在2 l 世纪灭绝的群恐龙。” 早在1 9 9 4 年，他就企图通过收购某财务软件公司，实现大举进军银行业、进而取 代传统银行业的野心。如果传统银行业继续墨守陈规，那么必将给那些高科技企 业及综合服务机构留下可乘之机，被这些非金融机构抢占发展先机。由此可见， 网上银行是未来银行的发展趋势。 美国是网上银行发展最早且最快的国家。1 9 9 5 年，美国诞生了第家网上银 行“安全第一网络银行( s f n b ) ”。随后，许多的网上银行如雨后春笋般涌现出 来。而美国人对于网上银行的接受程度也大大提高。来自j u p i t e r 研究的一项报告 发现：2 0 0 3 年美国2 9 6 0 万家庭拥有网上银行帐户，约有5 0 使用在线支付。到 2 0 0 4 年一月份已有3 5 3 0 万家庭拥有网上银行帐户，网上支付率上升了7 。j u p i t e r 预测到2 0 0 8 年美国拥有网上银行帐户的家庭将增长到5 6 0 0 万，比2 0 0 3 年几乎翻 i 我目网上银行操作风险控制研究 一番，网上支付帐单比例也将增长到8 5 。再把眼光投向国内的银行业，在这个 以知识经济、网络经济为特征的时代，大力发展网上银行业务，已经成为我国银 行业面临的一个重要而紧迫的问题。1 9 9 6 年6 月中国银行在国内设立网站，拉开 了我国网上银行业务开展的序幕。1 9 9 7 年招商银行在国内率先推出自己的网上银 行一一“一网通”，构筑起由企业银行、个人银行、网上证券、网上商城、网上支 付组成的功能较为完善的网上银行服务系统，办理信息查询、银企对帐、代发工 资、定向转账及网上购物等业务。紧跟其后的是，其他商业银行也不甘示弱纷纷 推出网上银行抢占市场。到2 0 0 2 年底，在国内正式建立网站的商业银行达到了 4 l 家，其中中资银行3 l 家；开展网上交易型网上银行业务的商业银行达3 1 家， 其中中资商业银行2 1 家。同时我国网上银行业务的规模也在迅速的扩大中，截至 2 0 0 3 年底，我国网上银行个人客户已超过4 0 0 0 万户，企业客户超过6 万户，我 国网上银行业务发展潜力巨大。 然而，相比欧美许多发达国家而言，我国的网上银行业务的发展还是比较缓 慢的，基础相对薄弱，竞争力也相对较弱。我国在加入w t o 后，随着我国对外 资金融机构进入中国金融市场的限制的逐步放开，中资银行与外资银行的竞争形 势日益严峻。许多外资银行将凭借其先进的管理经验、技术优势和优质的服务与 中国银行业争夺中国金融市场。业内人士分析外资银行将会把网上银行作为大举 争夺中国金融市场的切入点，原因是我国银行业在多年的发展下，具有分支机构 众多、覆盖面广的优势，而这些正是外资银行所不具备的。因此，外资银行必将 扬长避短，通过网上银行抢占市场，这样既可以克服其在内地经营网点太少的缺 陷，又可以发挥其在网络技术和服务方面的竞争优势。近年来，随着外资银行涉 足中国内地网上银行经营领域，针对网上银行的客户和服务的新一轮竞争已经拉 开帷幕。2 0 0 2 年8 月，东亚银行率先获得中国人民银行的批准，成为第一家获准 在中国内地开办网上银行业务的外资银行。其后，汇丰、渣打、恒生、花旗等众 多知名外资银行也相继被批准开办网上业务。而花旗银行还在中国申请了1 9 项与 网上银行业务有关的“商业方法专利”，是可以看出外资银行对网上银行的重视。 我们正处在一个充满机遇与挑战的新时代，网上银行是传统银行发展的必然 趋势。外资银行在中国开办网上银行业务势头强劲，给我国银行业带来了前所未 有的压力。摆在我国银行业面前的重要课题是，如何顺应时代发展的潮流，克服 自身在管理技术和服务上的缺陷，大力发展我国网上银行业务，增强我国银行业 的影响力和整体竞争能力。 1 2 选题意义 尽管依赖的是与传统银行不同的服务方式和服务途径，网上银行仍然需要依 靠吸收存款、发放贷款、办理结算业务以及提供各种金融产品而盈利。因此，网 一 硕士学位论文 上银行不可避免地要面临银行业普遍存在的风险。另外，技术和服务的创新也使 得网上银行业务面临的风险的特征和范围发生了一些改变，网上银行业务的风险 管理难度相比传统银行是大大增加了。美国著名银行家爱德华弗拉斯曾于1 9 9 4 年明确宣称：“很明显，银行是因为承担风险而赚钱，是因为没有有效管理风险而 亏本。”如何从技术、管理等多个方面提高网上银行操作风险控制能力，是我国银 行业以及政府的关键任务。 银行所面临的风险大体可以分为市场风险( m a r k e t r i s k ) 、信用风险( c r e d i t r i s k ) 以及操作风险( o p e r a t i o n a lr i s k ) 。直以来，市场风险和信用风险就备受 金融机构的重视，而操作风险与这两种风险被并列为金融机构面临的三种主要风 险则是最近几年的事情。2 0 0 3 年4 月，巴塞尔委员会在新发布的资本协议征求意 见稿中将操作风险纳入风险资本的计算和监管框架中。在传统金融时代，操作风 险是指在金融机构内由于顾客、不足的内部控制、公司治理机制的失效、以及不 可控制的事件所引起的收入或者现金流的波动t ”。操作风险事件发生率较低，但 一旦发生将会造成极大的损失。1 9 9 2 一1 9 9 5 年间，巴林银行交易员里森的错误交 易以及在出现损失后隐瞒，最终给巴林银行带来8 6 0 0 0 万英镑的损失，致使其破 产。1 9 9 5 年，华夏银行3 名职员非法拆借3 4 亿多元的贷款，致使华夏银行2 亿 多元资金无法收回。网上银行的最显著特征就是其先进的技术性，而技术应用能 以各种方式产生操作风险w 。网上银行操作风险是指由于网上银行系统中的内部 程序、人员、系统的不完善或失误、以及外部事件而导致网上银行直接或间接损 失的风险w 。狭义上，主要是指网上银行业务操作风险，广义的意义包括由于外 部监管以及法律约束等因素引发的操作风险。目前在全世界范围内，网上银行操 作风险的案件屡见不鲜。2 0 0 2 年，中国公安部曾经破获一起不法分子利用黑客手 段在银行的网上银行服务器中植入“木马”程序，窃取了多家银行和证券客户的 账号、密码信息进行诈骗的案件，涉案金额达8 0 多万元。在日本，黑客利用安装 在网吧中的特殊软件非法窃取用户网上银行的密码，使1 6 0 0 万日元不翼而飞。我 国的网上银行业务具有巨大的市场发展潜力，我国政府十分重视金融电子化建设， 近年来上网人数猛增，这些都给我国网上银行业务发展创造了良好的条件，奠定 了坚实的基础。但是由于网上银行所面临的操作风险的存在，使得客户对网上银 行的安全性、可靠性及个人隐私权的保护持怀疑态度，也因此严重阻碍了我国网 上银行的发展。 我国网上银行操作风险除了由于一般性原因所导致以外，同时还有我国特有 的原因，这些特殊的成因与我国的金融监管体制、科学技术水平、法制建设都有 着密不可分的联系。因此剖析我国网上银行操作风险的成因，采取积极有效的策 略来努力控制我国网上银行操作风险是一项积极有效的任务。本选题的重要意义 在于提高我国银行业的整体发展水平和竞争能力，提高网上银行的抗风险能力。 我国网上银行操作风险控制研究 1 3 网上银行操作风险的国内外研究现状 巴塞尔银行监管委员会对操作风险的正式定义是“由于内部程序、入员和系 统的不完备或失效，或由于外部事件，造成损失的风险”。 1 9 9 8 年巴塞尔委员会研究报告电子银行和电子货币运作中的风险管理列 举了电子银行业务( 包括网上银行业务) 操作风险的八种来源，分别是未经授权 的访问、雇员欺诈、伪造电子货币、服务提供商风险，系统退化、职员及管理技 能落后、客户安全性经验不足、客户对交易抵赖。2 0 0 1 年巴塞尔委员会研究报告 电子银行业务的风险管理原则指出。电子银行业务( 包括网上银行业务) 面 瓶的安全性挑战包括建立适当的授权与鉴别真伪措施，逻辑与物力进入控制，充 分保持合理界限的安全基础设施，对内外部使用者操作的限制以及交易、记录与 信息的数据完整性。该报告对于电子银行( 包括网上银行) 的风险管理原则是一 种指南。 多年来，由于操作风险没有引起金融机构的充分重视，因此也没有较为成熟 的风险管理技术形成。新巴塞尔协议规定，为应付操作风险可能带来的损失，银 行也要保有相应的最低资本金准备，这是新旧协议很大的不同之处。而针对操作 风险资本金的计算，2 0 0 3 年4 月公布的新巴塞尔协议征求意见稿提出了三种办法。 一是基本指标法。二是标准法。三是高级计量法。新巴塞尔协议的各项规定主要 是针对所谓的国际业务活跃银行。关于一般银行操作风险的管理问题，巴塞尔委 员会在2 0 0 3 年2 月发布了一份题为“管理和监督操作风险的健全方法”的指导性 文件。文件指出，明晰的战略，董事会及高管人员的监督，对操作风险和内部控 制的认真程度，完备的内部报告制度和应变计划，是任何规模和范围的银行有效 管理操作风险的关键因素。在这份文件所提出的十条基本原则中，有关于建立适 当的风险管理环境的原则，要求董事会负责批准和定期检查银行的操作风险管理 制度：还有关于操作风险的管理的原则，即如何识别、评估、监察、转移及弱化 操作风险；以及关于监管者职能和关于信息披露的原则，指出银行应向公众充分 扳露信息，以便市场参与者评价其操作风险管理的办法。 目前我国银行业已经初步具备了网上银行风险管理的意识，但是对操作风险 的防范意识还比较淡薄，有关操作风险事件和数据的积累十分贫乏，这给操作风 险的控制研究带来很大的困难。2 0 0 3 年中国科学院管理、决策与信息系统重点实 验室樊欣、杨晓光在中国商业银行业操作风险分析中对国内外媒体公开报导 的7 1 件我国商业银行操作风险损失事件进行统计，对我国商业银行的操作风险状 况做出了一个定量的概括归纳。报告指出我国的商业银行操作风险广泛存在：操 作风险发生的最经常的形式是内部欺诈和外部欺诈以及内外部相勾结的欺诈行 为，说明目前我国商业银行的内部控制机制还不健全；商业银行的风险管理水平 4 - 硕士学位论文 以及对内部控制的执行程度决定了操作风险的大小。王旭东在新巴塞尔资本协 议与商业银行操作风险量化管理中指出，我国应该对操作风险给予必要的重视， 加强金融机构自身风险文化建设；加强对操作风险损失数据的收集整理，建立各 业务部门的风险损失数据库；结合自身实际情况，对不同业务的操作风险管理采 用不同的度量方法。 中国人民银行颁布的网上银行业务管理暂行方法，提出了防范网上银行风 险的一些措施，但并未涉及到网上银行的操作风险。国内有关网上银行操作风险 的研究还处于初级阶段。高晓红在网络银行监管把握时代脉搏一文中提出， 网络银行面临的风险更多的是基于其自身特点的业务风险，如操作风险。网络银 行使传统监管机制失当，使传统监管标准失宜，使传统监管内容失缺，因此我国 必须建立新的监管体系并建立与之相适应的监管制度。2 0 0 3 年，乔立新等人在建 立网络银行操作风险内部控制系统的策略一文中，从内控机制入手，研究控制 操作风险的策略，提出了建立包括操作风险管理指挥中心、业务操作风险管理中 心、数据传输风险管理中心、操作风险报告系统、操作风险应急反应中心以及操 作风险审计中心六个子系统的操作风险控制系统。 新巴塞尔协议中包含的银行操作风险管理方面的先进理念，以及国内外学术 界围绕网上银行操作风险展开的讨论和研究，对如何提高我国网上银行操作风险 控制能力，具有很强的启示作用和借鉴意义。 1 4 研究方法 以往有关网上银行操作风险的学术性论文大多仅仪偏重于某一方面的研究， 有的提出了网上银行操作风险的来源，但却较少论及我国特有的操作风险状况以 及形成原因。在本文的撰写过程中，笔者参考了相关学术资料，并通过在当地各 大银行实地调研积累了相关案例与资料，采用实证，运用文字描述、图表说明分 析我国网上银行操作风险状况及控制现状，并且预测我国网上银行操作风险的变 化趋势。运用控制论和系统论原理，应用相关计算机专业知识，分析现有应用技 术的缺陷并提出改进方案，从外部环境和银行内部管理等方面总结、归纳我国网 上银行的操作风险成因，并相应地构建控制系统，提出控制对策，探索我国网上 银行操作风险控制的可行途径。 我国网上银行操作风险控制研究 第2 章我国网上银行操作风险现状 2 1 我国网上银行业务的发展规模现状 网上银行业务的发展是一个不可逆转的潮流，网上银行平台已经成为现代金 融创新的基础平台。对于广大的个人客户来说，传统的银行正逐渐搬到了家中。 现在，银行客户在家里只需要将电脑接入因特网，就能完成转账、网上支付、证 券买卖、外汇买卖等事情。如此方便的服务的确很吸引人，因此近年来到银行柜 台小额存取款的人开始呈减少的趋势，越来越多的人在逐渐接受网上银行这一新 型的服务。同样地，许多企业作为网上银行的企业用户，也尝到了因特网带来的 这革新的好处，曾有一位外贸公司的经理说，自从公司注册了某行的网上银行 后，连出纳员都显得多余了，因为现在公司可以足不出户享受银行每天2 4 小时的 不问断服务。 随着网络时代的到来，网上银行跨迸了中国的大门，并已经发展到一定的规 模。这几年，网上银行在中国有了长足的发展，网上银行的交易额的增长十分巨 大( 见图2 1 ) 。 2 5 2 0 1 5 1 0 5 0 5 3 一 ：二：_ 一_ 2 0 0 12 0 0 22 0 0 3 图212 0 0 1 2 0 0 3 年我国网上银行交易额示意图 资料来源w w w i r e s e a r c h c o r n c i l 2 0 0 3 年春季是我国“非典”最猖獗的时期，许多人都尽量减少去拥挤的公共场 所以避免传染。在这段特殊的日子里，人们的理财观念也发生了很大变化，网上 银行以其自身安全、快捷、实时的技术和服务优势，赢得了越来越多的客户的重 视，成为许多银行传统客户的新选择，也因为这个原因的推动，2 0 0 3 年我国网上 银行业务迅速发展，以工商银行、建设银行和招商银行为例，我们可以从一组统 一6 - 硕十学位论文 计数据中了解到2 0 0 3 年我国网上银行业务的快速增长( 见表2 1 ，2 2 ，2 3 ) 。网 上银行业务的发展提高了银行的自身形象，树立了银行品牌在公众中的影响力， 降低了银行的经营成本，提高了经营效率。 表2 1工商银行网上银行业务发展情况 2 0 0 2 年上半年2 0 0 3 年上半年增长率 交易笔数( 万笔)1 5 8 8 6 35 4 6 交易金额( 亿元) 2 9 1 6 76 3 0 0 02 1 6 表2 2建设银行网上银行业务发展情况 2 0 0 2 年上半年2 0 0 3 年上半年增k 率 交易笔数( 万笔) 1 0 44 1 52 9 9 交易金额( 亿元) 1 2 0 83 5 9 81 9 8 表2 3 招商银行网上银行业务发展情况 2 0 0 2 年上半年2 0 0 3 年上半年增k 率 交易笔数( 万笔) 7 8 8l 】6 64 8 交易金额( 亿元) 7 2 71 2 0 76 6 资料来源：w w w i r e s e a r c h c o m c n 2 2网上银行业务的操作风险来源 2 2 1 源于内部雇员的操作风险 在各种导致操作风险损失事件发生的原因中，最值得关注的应该是银行内部 雇员的欺诈行为。 网上银行使内部犯罪更易发生，因为内部雇员对于网络密码、认证方式都了 如指掌，一些不自律的雇员都可能试图超越权限进行交易，利用工作之便非法进 入系统内部进行非法操作，修改银行数据、从记录中获取客户的账号和个人资料， 然后冒充客户从银行账户中提取现金，一旦这种事情发生，银行方面将不得不负 担补偿客户的损失的开支以及重新建立客户数据库的开支，或者银行在收到预付 资金之前就兑现了电子货币。这些都使银行不可避免地蒙受了经济损失。自从网 上银行出现以来，就时常有在公开媒体上曝光的内部欺诈事件。2 0 0 1 年一家交通 银行的某内部职员在因特网上窃取了一位客户的身份证号和网名，并办理了一张 同样的太平洋卡，致使该客户每次存取款时银行内部电脑都立即显现两个相同的 身份证号和两个不同姓名与卡号，因此总是遇到密码出现错误等问题。2 0 0 3 年6 我国网上银行操作风险控制研究 月，许多中国工商银行的网上银行客户都收到了一封邮件，发信人是该银行的公 开网管信箱，邮件内容是：因为“网络银行系统升级，为确保您网络银行的安全性， 请重新输入用户名与密码! 我们将重新帮您查核验证! ”该邮件还要求客户把填好 网上银行账户和密码信息的表格发至另一个信箱。后来，该行就此问题做出重要 声明，要求个人用户不要受骗上当，很明显这就是一个欺诈行为。事实上，在银 行内部假冒网管发电子邮件没有任何难度，因此这件事情不排除内部作案的可能 性。 另外，雇员的素质不能适应网络时代的需要也是导致网上银行操作风险的因 素。有些银行只是片面地注重对公众进行网上银行的宣传，却缺乏对前台人员进 行必要的网上银行业务知识培训，致使客户到银行营业网点申请办理有关开户等 业务时，工作人员面对客户提出的一些技术性问题一问三不知，或者是答非所问 随便敷衍一_ f 。有的前台工作人员甚至连起码的操作流程都不熟悉，一笔简单的 网上银行开户业务也有出错的情况发生，给客户和银行带来不必要的损失。高新 技术的发展变化速度是十分惊人的，而与此同时，银行雇员却不一定能够及时跟 上技术变化的步伐，银行的管理层和职员无法完全理解所采用的新技术或技术升 级的特点，使得网上银行新技术的实施效果差强人意，同时对客户提供的后续服 务效率低下。这些因素都将导致新系统中的操作风险。 2 2 2 源于客户的操作风险 在直接与人为操作有关的操作风险损失事件中，由客户引起的操作风险也是 不容忽视的。 目前，银行客户的安全意识普遍较弱，有的客户极其缺乏自我防范意识，不 注意密码保密，将密码设置为生日、电话号码或重复的数字，很容易被猜测出来， 或是将账号密码告诉不熟悉的人，一旦卡号和密码被他人得知，用户账号就可能 在网上被盗用，从而造成损失。而银行即使采取再先进的技术手段，也对此无能 为力。另一种情况是，有的客户可能在不安全的电子传输渠道中使用个人信息， 如信用卡卡号、银行账户号等，这就有可能泄漏重要信息，给别有用心的不法之 徒以可乘之机。比如，有的客户在公共场所如网吧进入网上银行系统，输入其重 要信息进行网上银行交易，其实这是极不安全的做法，因为极有可能在这种公共 讨算机上安装有黑客程序，可以轻而易举的记录下客户输入的重要信息，造成网 上银行客户的账号及密码泄密。2 0 0 3 年的日本“1 6 0 0 万日元突然从自己的账户中 不翼而飞”的网上银行案件的经过就是嫌犯利用特殊软件在l o o 多家网吧非法窃 取了他人的网上银行账号和密码，并涉嫌通过非法访问美国花旗银行，以虚假身 份将大约1 6 0 0 万日元划入了自己的账户。该次事件中用于非法窃取重要信息的软 件其实并不见得有多高深，只是通过常驻系统来监视键盘输入，并将所输入的文 一8 硕士学位论文 字全部作为日志保存在文本文件中，接着这些账号和密码就在罪犯面前一览无遗 了。虽然这是一场有预谋的犯罪行为，但是如果网上银行客户有意识地避免在公 共计算机上进行网上交易，那么罪犯也束手无策。还有的客户在办理资金转账、 网上汇款等自助业务时，没有对汇入账号或金额认真校对，一时大意导致出现输 入错误，或是在网上银行使用完毕后，没有点击网上银行的“退出交易”选项，那 么当客户离开时实际上并没有退出交易页面，也没有清除微机数据库中暂存的会 话密码，这样交易的安全就无法得到充分保障。客户的这些疏忽所造成的未经授 权的交易都会给银行和个人带来难以想象的资金损失。 某些客户贪小便宜的心理弱点也容易被他人利用从而进行欺诈行为。有一种 名为“尼日利亚信件”的邮件就是典型的一种网络欺诈行为，该邮件承诺只要有人 愿意提供银行账户号码，就可以分得一笔金钱。当然不出意料之外，受害人透露 账户信息后，所有存款将不翼而飞。在全世界，每年都会有成千上万的人经受不 住诱惑而落入圈套，其中在美国，受骗人的平均损失为3 8 5 4 美元。 还有一种操作风险事件也与客户有着密切的联系，那就是客户有意识地对已 经发生的网上交易的抵赖行为。因为在网上银行的交易中，客户是从因特网终端 直接将交易信息提交服务器，如果银行对票据签发的抵赖性没有有效的控制，有 的客户完全有可能在事后否认自己完成的交易，甚至要求银行赔偿资金的损失， 那么银行即使是为了证明客户授权了该笔交易也要花费一笔开支，更糟的是如果 无法提供证明，银行也只有自认倒霉，从而造成资金损失。 2 2 3 源于黑客的操作风险 在每一个网上银行客户都具备丰富的安全经验，而且每一个银行雇员都忠于 职守，对每一笔交易都保证准确无误地操作的情况下，也不意味着银行就可以高 枕无忧。互联网上的黑客们利用高超的黑客手段进行攻击也是网上银行需要积极 防范的操作风险来源之一，他们通常可以顺利地利用网络系统的缺陷而侵入网络 系统以达到他们的目的。 近年来网上银行不可避免地成为了黑客关注的焦点，有些人因此产生一种“网 上银行不安全”的悲观情绪。黑客通常利用以下手段对网上银行系统发动攻击：黑 客非法进入银行内部系统：客户信息通过网络传输时被窃取或篡改，导致客户的 账户和密码被他人盗用：电脑病毒频繁入侵网络，造成网络银行主机的系统崩溃、 数据丢失等严重后果。常见的攻击方法有以下几种：试探、扫描、获得用户账户、 数据包窃听、利用信任关系、恶意代码以及攻击网络基础设备等1 4 1 。 2 0 0 1 年，因特网上的几家国际银行不同程度地遭到了一种名为“尼姆达”病 毒的攻击。据当时澳大利亚悉尼晨报的消息称，澳大利亚国家银行的自动取 款机系统、网上银行系统、电话银行系统以及经纪服务业系统均因遭到“尼姆达” 我国网上银行操作风险控制研究 病毒的破坏，致使银行停止正常办公。2 0 0 3 年，南非最大的商业银行阿布 萨银行的网上银行系统受到了黑客的攻击，数十万兰特不翼而飞。这是南非银行 系统首次遭遇黑客袭击，这一事件使南非网上银行业务遭受巨大打击。客户的资 金莫名其妙地从账户中消失这一事件，在银行客户中引起了连锁性的恐慌。这件 事使得民众对网上银行的信任度大大降低，当时的民意调查显示，3 5 的被调查 对象声称，他们将不会使用银行的网上银行业务。而黑客作案的手段后经查明， 他们首先用含有病毒的匿名电子邮件对银行客户进行攻击，当用户打开这些电子 邮件时，病毒就侵入到客户的计算机系统，自动记录客户的键盘记录，并将这些 记录自动发到黑客的计算机系统，这样黑客就掌握了客户的银行账户和密码情况， 他们根据这些信息就可以“大摇大摆”地进入网上银行系统，随意调动客户的资 金。事实上，这类黑客攻击案件在全世界时有发生，他们给银行带来的损失是巨 大的，导致银行丢失数据，客户的信息被窃取或篡改，甚至出现网上银行内部计 算机系统主体失效的情况，银行为了修复系统不得不付出不菲的代价，同时也会 对外界形成不安全的印象，破坏网上银行系统的声誉，阻碍网上银行业务的发展。 除了对网上银行体系的攻击以外，还有一个风险来源是伪造电子货币的行为。 在现实生活中，伪币现象泛滥，每个人都有可能因为一时疏忽收到伪币而给自己造 成了经济损失。伪币现象的存在干扰了正常的市场经营秩序、冲击了健康的金融流 通体制。货币体系的网络化、数字化是网上银行系统的一个基本的特征，参加流通 的足电子货币，并不是现实生活中的纸币。可是网络货币体系如果不能保证完全安 全的话，网络黑客们很有可能利用他们练就的攻击本领，制造出大量伪造的网络货 币，这样他们就可以不用花一分钱却轻而易举地获取到物品或资金。结果是，银行 将不得不为伪造的电子货币承担责任，并且付出修复受损系统的开支。 2 2 4 源于系统的操作风险 除了引发操作风险的人为因素以外，网上银行所选用的系统可能在设计上或 功能实现上不够完善，这也是一个不可小觑的风险来源。 有些银行依赖外界的服务提供商或专家支持网上银行运作，然而这种对外界 的依赖也给银行带来了操作风险m 。如果服务提供商并不具备银行所期望的、必 要的专业知识，或没有完全理解银行方面的需求，其设计出的不完善的网上银行 系统可能在数据完整性或者可靠性方面存在缺陷，那么他们提供的服务无法达到 银行和客户的要求，一旦客户认为网上银行提供的服务没有达到预先期望的效果， 银行的声誉就会不可避免地下降，客户甚至认为银行应该为由此带来的服务提供 商风险负责”i 。 信息技术的飞速发展使得银行面临着系统退化的风险m 。很多银行忽视网络 及系统软件必须及时修补的问题，不注意系统软件( 如操作系统) 的升级，如果银 硕士学位论文 行没有及时更新系统，有可能会出现现行系统服务中断或运行速度减缓的情况， 不但给银行客户带来不便，而且影响网上银行系统的正常运营，产生负面的公众 影响；使用过期或是没有“修补”好的操作系统和应用软件，对现行系统没有及时 进行独立的、有目的的分析，就不能保证网络防范系统的有效性，而与此同时黑 客使用系统和网络漏洞的技术日益提高，旦黑客利用银行系统的漏洞对银行系 统发动攻击，银行方面会措手不及：既使银行充分重视了以上问题，并采取措施 更新系统，可在此过程中，风险依然存在。比如在更新有关计算机软件时，发送 升级软件的渠道并不是完全安全的，因为黑客们有可能会截取或修改软件”i 。系 统的升级由此带来的新服务的增加，银行方面可能会需要时常改变安全的配置， 有些安全系统的配置是需要特别小心的，如果配置参数时缺乏一定的规则，参数 的变更很容易把原来安全的计算环境变成不安全的。据统计，7 0 的网络漏洞是 对网络安全产品的错误配置造成的。银行在这方面如果没有足够的重视和管理， 很有可能给自己的网上银行系统带来巨大的安全隐患。有缺陷的网上银行系统会 造成很多麻烦，比如导致错误的交易，由此会引来相关法律问题，银行将花上一 笔资金来解决这些问题也在所难免。 表2 4 网上银行操作风险的内容、表现及影响【， 操作风险类型可能的表现形式对银行的潜在影响 术经授权的访问黑客进入银行内部系统丢失数据 第三方未经授权截取客户信息客户信息被窃取或篡改 银行系统感染病毒内部计算机系统主体失效 故意破坏银行的系统和数据系统修复费用开支 对外界形成不安全的印象 雇员欺诈雇员修改数据、从银行账户中补偿客户损失开支、重构客户数 提取资金、从记录中获取信息据库的开支 窃取智能卡未收到预付资金而兑现电子货币 可能造成的损失 客户对银行失去信任 法律制裁和负面宣传 伪造电子货币犯罪人篡改或复制电子货币，银行为伪造的电子货币承担责任 不支付而获取物品或资金修复受损系统的开支 服务提供商风险服务提供商投能提供银行所客户认为银行应为服务提供商风 希望的服务险负责 在系统、数据完整性或可靠 性方面存在缺陷 系统退化交易过程的迟滞或中断 - 负面的公众反应 在系统、数据完整性或可靠性错误的交易导致法律诉讼问题 方面存在缺陷解决问题的开支 我国网上银行操作风险控制研究 续表 职员及管理技能- 快速的技术变化使管理层和职新技术实施差 落后员不能完全理解所采用的新- 无法提供后续支持 技术或技术升级的特点在系统、完整性或可靠性上存在 不足 客户安全性经验在非安全的电子传输渠道中使未经授权的交易造成资金损失 不足用个人信息 犯罪者利用客户泄密访问客户 账户 客户对交易抵赖客户否认自己完成的交易，要为证明客户授权了该笔交易而发 求退款生的开支 不能提供证明而造成资金损失 2 3 我国网上银行操作风险现状及变化趋势 我国银行业曾在很长一段时间内实行的是“大一统”的单一体制。1 9 7 8 年后， 在改革开放的推动下，我国银行业出现了新的转机，四大国有专业银行的商业化 改革取得了一系列可喜的成果。然而，直到目前为止我国许多银行还处在向真正 的商业银行转型的过程中，内部控制机制很不完善，操作风险是我国商业银行的 主要风险来源之一。1 9 9 0 年至2 0 0 3 年，在国内外媒体的公开报道的我国商业银 行操作风险损失事件共7 1 起，涉及我国国内的商业银行7 家，给带来的损失多至 5 3 亿元，少至2 5 0 0 元。按照损失事件类型分类，对所有损失事件的发生频率和 所造成的损失有如下统计( 见表2 5 ) 。统计结果显示，在操作风险损失事件中， 极大部分属于欺诈行为，既有内部雇员也有外部人员参与，而且这时银行受到的 损失是巨大的。而内部欺诈无论在数目还是在损失总额上都是最重要的