網上銀行風險管理論文

時間:2022-01-22 11:08:00

導語:網上銀行風險管理論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

網上銀行風險管理論文

一、網上銀行的特點

網上銀行作為現代科技創新和金融創新相結合的產物,除了具有快速便捷的特點外,還具有其自身獨特的性質,從而使人們的生活方式和行為方式發生了深刻的變化。

1.更加廣泛的開放性。互聯網是網上銀行的基礎,它由位于世界各地的計算機連接而成,因此,網上銀行比電話的開放程度更廣泛,提供產品和服務的地域遍及世界的各個角落。

2.服務的超越時空性。網上銀行普遍使用專業計算機作為服務器。這些服務器可以24小時連續地工作。這樣,網上銀行能為客戶帶來超越時空的“AAA”全新服務方式,即在任何時候(Anytime)、任何地方(Anywhere)、以任何方式(Anyhow)為客戶提供全天候金融服務。

3.交易成本的低廉性。由于網上銀行依托著高技術含量的網絡技術,成就了極低的交易成本(見下表)。因此與其他的服務方式相比,它能提供更多質優價廉的產品與服務。

4.身份認證的便捷性:對于網上銀行來說,確認客戶身份主要通過密碼或密鑰。任何人只要擁有了密碼或密鑰,就被認為是其客戶,從而可以對該客戶的賬戶進行交易,如取現轉賬等。網上銀行實質上成為獨立存在的“虛擬銀行”,這樣就大大提高了效率,降低了成本;網上銀行在國際、國內都取得了迅猛的發展,業務占比急劇攀升,在中國已經達到近30%,國際上的發達國家更是達到90%以上。[5][7]

二、網上銀行的主要風險

網上銀行的基礎是網絡技術,所以除了具有傳統銀行的信用風險、流動性風險、利率風險和市場風險外,操作風險、信譽風險、法律風險是巴塞爾銀行監管委員會在1998年提出的,也是表現比較突出的三類風險。[6]

(一)操作風險

在網上銀行系統中,操作風險主要是由于系統可靠性或完整性的重要缺陷而造成的潛在損失,可能由于客戶的誤操作,或網上銀行系統不恰當的設計而產生。這類風險主要有以下幾種表現形式:

1.網絡的安全性風險

網絡安全性風險一般包括黑客攻擊風險、內部員工非法侵入風險、數據安全風險和病毒破壞風險,如蠕蟲木馬等病毒的侵入破壞,拒絕服務、端口掃描、攻擊、篡改網頁等。

黑客通過網絡攻擊銀行的電腦系統,可能刪除和修改網絡銀行的程序,竊取銀行及客戶的資料,甚至可能直接進行非法的轉賬;內部員工則有工作的優勢,可以有目的地獲取客戶的私人資料,或者偷竊客戶的資金。

2.系統的設計運行與維護風險

系統設計上的缺陷,硬件設施的落后,都不能滿足客戶的需求,會給網上銀行造成潛在的損失;網絡銀行的外部供應商未能提供預期的技術,也會造成損失。

3.內部員工的操作風險

一方面,員工在實際工作中的操作失誤,或者軟件更新升級后員工的錯誤操作,都會給網絡銀行造成損失;另一方面,內部職工故意不遵守工作流程,內外勾結進行金融詐騙,也會使銀行遭受損失。

4.客戶誤操作風險

若一家銀行事先沒有告知客戶有關的注意事項,客戶就可能會進行不當操作的,或者有意錯誤操作,此時如果缺乏有效的監管手段來取消錯誤操作,客戶的交易就可能生效,使銀行遭受損失。

(二)信譽風險

信譽風險是指網上銀行未能滿足客戶的意愿,使公眾對銀行產生負面效應所造成損失的風險。網上銀行的信譽風險一般表現在三個方面:一是系統存在技術缺陷,客戶無法登錄系統或者賬戶信息受損,消息擴散后,可能因客戶對網上銀行不信任或對銀行不滿進而可能發生擠提擠兌行為;二是系統存在重大的安全缺陷,黑客侵入或者病毒被植入銀行系統,造成數據破壞,系統紊亂或損毀,致使大批客戶失去對該行的信任而流入它行;三是市場上使用同種或相似的系統或產品,一旦一家出現問題,客戶就會猜疑其他機構也將出現同樣問題,從而導致客戶流失;四是別有用心之人出于某種目的,對網上銀行散布流言蜚語,致使有些不明真相的客戶流失。

現實中的各種風險之間具有關聯性。其他類型的風險的發生將直接導致信譽風險的加大。同時,由于信譽風險的傳播性特點,如果一家全球性銀行在網上銀行和電子貨幣方面出現信譽危機,人們就會對其他銀行的系統安全性產生懷疑,進而會形成整個銀行業系統的信任危機,影響整個銀行業的穩定。

(三)法律風險

法律風險是指有關網絡交易的法律法規相對網上銀行和電子貨幣的發展滯后,當網上銀行發生交易事故,或由于有關網絡交易的法律法規相對電子銀行和貨幣戶發生糾紛時,法律中無明確規定或規定不清,致使當事人分不清各自的責任,得不到法律的保護。由于網上銀行和電子貨幣業務是新興的業務,有關法律法規不健全或尚未確立,致使交易的有效性及各方的權利義務不明。主要表現在大多數國家尚未有配套的法律法規與之相適應,金融機構無法可依;金融機構通過互聯網所吸收的國外客戶,發售的電子貨幣可能在注冊地以外流通,使得銀行無法遵守國家法律,造成意想不到的法律方面的糾紛;有關網絡的法律不完善,加上各國的情況不大一樣,也加大了金融機構的法律風險。

(四)其他風險

信用風險、流動性風險、利率風險和市場風險也會出現在網上銀行和電子貨幣交易中,但對于銀行監管來講,這些風險相對網上銀行的特點是次要的,隨著網上銀行和電子貨幣的發展,跨國交易的數量將會增加,因此,網上銀行還會面臨跨國界風險。

三、網上銀行的風險管理范式

網上銀行是通過信息在互聯網上的傳輸來運行的。成功的網上銀行交易具有身份驗證、數據加密傳輸、網上支付等功能。交易的各方都擁有數字證書,才能保證擁有數字證書的合法用戶在該系統上實現安全支付;同時要利用證書機制中的密約對所要傳輸的信息進行加密和簽名,從而保證信息傳輸的機密性、真實性、完整性和交易上的不可抵賴性。

因此,網上銀行風險管理的措施也是根據其運行的特點和各個環節要素進行的。主要包括技術(客戶端信息的安全、傳輸信息的安全措施、客戶身份或信息的確認、網上銀行的內部安全、緊急預警體系)和法律兩個層面。

(一)技術層面

1.客戶端信息安全范式

由于客戶在交易時可能使用不同的網絡、不同的操作平臺和不同的操作方式,所以客戶端要支持多種協議,以滿足客戶的需求。一是安全套接層(SSL,SecureSocketsLayer)協議,該協議由Netscape公司研制,向基于TCP/IP的客戶或服務器提供客戶端和服務器的鑒別、數據的完整性及信息機密性等安全措施。在SSL信息中采用X。509的數字證書實現鑒別,并采用了DES、MD5等加密技術來實現機密性和數據的完整性。二是S-HTTP協議,它是基于SSL技術,是對HTTP的擴充,增加了報文的安全性,并向WWW的應用提供完整性、鑒別不可抵賴性及機密等安全措施。三是安全電子交易協議(SET),指用于信用卡交易中的交易協定、信息保密、資料完整、數據認證和簽名等,它能對一些敏感的信息如姓名、地址和信用卡等進行加密,并規定了交易各方進行交易時的具體流程和控制策略,能保證交易各方的真實性及數據的一致性、完整性和不可抵賴性。四是安全交易技術協議(STT),由Microsoft公司提出并在IE中應用,它將認證和解密在瀏覽器中分開使用。五是VPN技術,它是在采用in-ternet等不可靠的公共網絡作為傳輸信息的載體時,通過附加的安全隧道、用戶認證和訪問控制等技術實現與專用網絡相類似的安全性的技術。

2.安全傳送信息范式

為了防止信息被非法竊取或被非法刪改,保證被傳送信息的安全,對所要傳送的信息,一般要進行加密處理。

數據加密技術是在網絡中所發送的明文信息用加密鑰加密成密文傳送,收件人收到密文后再用密鑰解密成明文信息過程中所用的技術。經過加密處理的信息,即使在傳遞的過程中泄漏,在無密鑰解密的情況下仍能保密。根據加密算法,密鑰分為對稱密鑰加密和公開密鑰加密,DES屬于對稱密鑰,其解密速度快,相對簡單;RSA是非對稱密鑰,相對復雜,速度慢。實際數據通信加密應用中多采用DES算法和RSA算法。

3.客戶身份和信息的確認范式

為確認發送或接收信息的客戶的真正身份,防范身份假冒,必須進行身份的識別認證。一是網上銀行的身份識別。網上銀行通過證書機構CA和證書實現對客戶身份的識別鑒定,為身份的真實性提供保證,是交易雙方在不見面的情況下能夠確認對方的身份有效方法。電子商務認證機構(CeritificateAuthority)就是具有權威性和公正性的第三方,它的功能是通過對數據證書進行有效識別,從而實現網上交易。CA為每一個使用公開密鑰的用戶發送一個數據證書,目前最常用的數字證書格式標準是X-509V3[8]。中國金融認證中心(CFCA)是我國的最權威的CA認證機構,由中國人民銀行聯合12家商業銀行共同建設,并于2000年6月29日開始運營。二是數字簽名技術,它是利用RSA算法和報文摘要來實現的,是公開密鑰技術的另一個應用,用來實現網上銀行交易雙方對源信息的鑒別。

4.網上銀行的內部安全范式

一是防火墻技術。是指在網上銀行和其他外部網絡的接口處專門建立的安全系統。它由硬件和軟件結合而成,用于對進出網上銀行網絡的數據檢查和控制,隔離來自外部網絡對內部網絡的安全威脅,進而保護銀行網絡和網絡資源的安全。它具有訪問控制、審計、地址隔離等功能。二是路由器技術。它的功能是對網上銀行的內部業務網的數據進行過濾,以隔離非法訪問數據。主要方法是在內部網與其他網絡的接口處建立參數網,并配合防火墻的使用,使安全屏障的功能大大加強。三是入侵檢測技術。入侵檢測的目的是提供實時的入侵檢測和采取相應的防衛措施,一方面通過實時監視、報警和主動的漏洞檢測,堵住黑客入侵的途徑,另一方面設置偽裝的安全陷阱,捕捉黑客對系統侵犯的證據。入侵檢測系統分為基于主機的入侵檢測系統和基于網絡的入侵檢測系統。四是防病毒系統。防病毒系統是最基本的技術措施,實時更新升級防病毒軟件版本和病毒庫信息,并實時跟蹤IT供應商和信息安全機構動態,及時增加安全補丁是保持系統有效性的基本做法。五是數據的備份與隔離保護。網上銀行的數據庫一般采用有一定安全級別的大型分布式數據庫。由于數據庫的重要性,一般對其進行分級管理并提供可靠的故障恢復機制,數據庫的訪問、存取都進行加密控制。具體實現方案有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。[8]

5.網上銀行的預警體系范式

由于IT核心技術和設備國產化比率不高及網上銀行自身的特點,故其中含有不可預料的不安定因素和極大的安全風險隱患,所以必須研制國產化核心設備和自主開發的網絡安檢系統,并構建一個含有統一的共享模式的大型數據庫的以PDR(Protection,Detection,Reaction)模型為基礎的動態安全體系來作為其預警體系。這一數據庫應該包括信息庫、安全參數庫,信息來自于國家信息安全機構、其他網上銀行的數據、獨立信息安全技術機構等。利用數據庫信息,針對網絡協議、網絡拓撲實現對移動IP群集和固定IP與Mac映射,通過靜態和動態相適應的安全預防體系來組織開放系統漏洞,屏蔽安全技術陷阱,進而達到預防的目的。

(二)法律層面

網上銀行除了具有很強的技術風險因素外,法律風險也是其重要風險種類。在銀行電子化法律體系尚處于起步階段時,許多法律法規規定不明確,尤其是在互聯網上的許多行為游離于法律監管之外,各參與主體的權利和義務難以明確,因此,我們要構建網上銀行的法律監管體系。[9]

1.加強市場準入

網上銀行作為一個新興的行業,其自身所呈現的新特點決定了一旦發生戰略風險,對銀行業自身,甚至對整個金融業的影響都是巨大的。因此,要防范戰略風險和系統風險,就要加強法律對網上銀行市場準入的監管。目前我國對網上銀行市場準入方面的規定是依據中國人民銀行于2001年7月9日頒布的《網上銀行業務管理暫行辦法》,[10]隨著形勢的發展,我們不僅要修改已有的不合時宜的法律,而且要制定更多的法律。如有必要借鑒巴塞爾銀行監管委員會(BCBS)1998年頒布的《網上銀行與電子貨幣活動風險管理》以及香港金融管理專署2000年5月5日頒布了《虛擬銀行的認可》等文本,把技術設備和安全技術的要求、網上銀行內部控制機制和風險管理的要求具體化,使其更富有操作性,把各項風險降到最小。[11]

2.明確規定事故故障造成損失時各方當事人的責任和義務

對于因計算機設備以及網絡發生事故和故障所引起的系統風險,可以根據事故和故障造成的損失,明確各方當事人的責任。除了傳統銀行業務的銀行和客戶這兩類風險責任承擔主體外,還涉及計算機設備和通訊設備的供應商、網絡系統經營主體和通訊線路的提供者等網上銀行系統風險的責任承擔主體。但是,目前我國尚沒有法律對這種法律關系作出專門的規定,有必要通過立法對此進行完善。

另外,對于由于不可抗力導致的事故或故障引發的責任,應列入免責的范圍。不可抗力一般指自然災害、戰爭、動亂等現象,同樣適用于網上銀行,但黑客襲擊、系統故障、網絡中斷等能否列入不可抗力的范圍,還有待有關法律作出明確規定。

3.建立電子簽名及認證制度

為防范黑客攻擊、內外部欺詐等操作風險,應該建立電子簽名和認證制度來保證電子交易過程中交易指令的真實性和完整性。傳統合同法對于交易指令的真實性和完整性是通過當事人的簽字或蓋章實現的,但在無紙化的電子交易中,手簽和蓋章的可行性遇到了挑戰,倘若還需經此程序,則電子交易的優勢無法體現出來。因此,各國都在電子交易法或電子商務法中肯定了電子簽名的合法性,如美國的《數字簽名法》、新加坡的《1998年電子交易法》等都作出了電子簽名的合法性規定,我國于2004年8月出臺的《電子簽名法》,第一次賦予了一定條件下的電子簽名與手簽或蓋章具有同等的法律效力,明確了電子簽名的規則。[12]但我們也應該意識到,該法律還有不足之處。一部篇幅有限的法律不可能解決所有的網上銀行問題,更不可能代表整個法律體系。因此,網上銀行和電子商務的法制建設任重而道遠。

參考文獻:

[1]BCBS.RiskManagementforElectronicBankingandElectronicMoneyActivities.BaselCommitteeonBankingSu-pervision[R],March1998BS/97/122.

[2]BaselCommitteeonBankingSupervision.“Essentialelementsofastatementofcooperationbetweenbankingsuper-visors”[R].2001,5.

[3]BaselCommitteeonBankingSupervision.“ElectronicBankingGroupInitiativesandWhitePapers”[R].2000,10.

[4]AndrewS.Tanenbaun.計算機網絡(第三版)[M].北京:清華大學出版社,1999.

[5]陳進.電子商務金融與安全[M].北京:清華大學出版社,2000.

[6]芮廷先.電子化監管技術——金融電子化風險管理[M].北京:電子工業出版社,2003.

[7]周虹.電子支付與網絡銀行[M].北京:中國人民大學出版社,2006.

[8]鄧順國.網上銀行與網上金融服務[M].北京:清華大學出版社,2004.

[9]李金澤.網上銀行義務的有關法律問題探討[J].金融論壇,2001,(1).

[10]尹龍.對我國網絡銀行發展和監管問題的研究[J].金融研究,2001,(1).

[11]于南.談我國網絡銀行業務發展中的監管[J].中國審計,2002,(2).

[12]張曉東.金融電子化風險的管理與控制[J].金融理論與實踐,2004,(8).

[摘要]與傳統的銀行業務方式相比,網上銀行具有經營成本低、服務領域寬、服務質量高、管理水平先進等優勢;但同時,網上銀行也有如操作風險、法律風險、信譽風險等不安全因素。因此,增加技術成分和完善在線支付的法律法規等措施,對加強網上銀行的監管具有十分重要的現實意義,網上銀行風險管理的措施主要包括技術和法律兩個層面。

[關鍵詞]網上銀行;操作風險;法律風險