□文/陈 晨 田 倩
(河北金融学院 河北·保定)
随着社会经济的发展,现代化网络银行用户增加,业务量不断扩大,网络银行的快捷方便使得其地位逐步提高,逐步挤占传统银行的地位。到2014年中国网络银行交易笔数已经增长到1,309.3亿笔,网络银行替代率提高到80.8%。
虽然网络银行给我们的生活及经济发展带来了很多便利,但随着我国网络银行用户的增加,加上业务范围的不断扩大,各种操作风险也随之而来。自1980年以来,单单由于操作风险的影响银行金融机构已损失了2,000多亿美元。所以,建立一套完整的防范与监管体系已迫在眉睫。
传统意义上的操作风险是指银行风险。BM操作风险论坛认为,操作风险是指由于使用者操作不当,导致控制系统不受控制产生的风险。操作风险的损失可能来自于银行内部欺诈或者外部错误、宏观政策。这个定义不包括已经存在的其他风险如市场风险、声誉风险等。
网络银行继承了传统银行的操作风险,并在此基础上有所发展。这主要是由于传统银行操作平台与互联网紧密相关,在运行时完全是虚拟的,同时网络环境受多重因素影响是难以控制的。网络银行与传统银行融合,相互影响,使得我们今天面临的操作风险日趋复杂。具体来说,被学者们所普遍认为的网络银行的风险大致包括以下几种:
(一)系统风险。系统风险是传统银行所不具备的,由网络银行独特的交易模式引发的。这种风险不只包括因网络系统不稳定造成的系统数据的丢失,还包括网络银行交易遭到病毒、黑客导致信息被盗取,或系统被非法破坏带来的风险。被盗取的数据和信息可以恢复,被非法破坏的数据也可以进行修复。这样,数据丢失、信息被破坏还不会造成难以挽救的损失。但如果被盗取的信息和数据被非法利用,客户资金可能会被盗取,客户可能会承受难以估量的损失。例如,2009年黑客集团袭击苏格兰皇家银行(RBS)旗下信用卡公司网络,伪造假信用卡,半天时间使RBS 损失900 万美金。
(二)操作失误。由于互联网科技发展迅速,更新较快,在使用网络银行时,中老年人经常会遇到很多问题。我国网络银行为了吸引更多的用户,增加网络银行的交易量,不断地更新系统,使之更加简单智能,力求便捷交易。使银行内部员工及用户操作时降低风险防范意识,从而导致操作失误。2015年4月份湖州某公司操作网银时点击失误,错将6万元划给了别人,而对方却不肯归还。与此同时,我国网络银行没有形成健全的监督制度,导致责任划分不清,增加操作风险。
(三)外包管理风险。网络信息技术日新月异,银行本身不具备自主开发或建设网络银行系统的能力,所以银行需要在外界的帮助下,开发银行体系及网络银行相关服务系统,从而使传统银行的服务项目更加完整。信息技术外包是将银行所需要的信息系统,全部或部分委托给外包服务供应商。
外包吸取了专业服务的优势,但同时也带来了潜在的操作风险。如果承接软件外包公司的设计时不彻底清除后门,就可能被程序的开发者在银行及客户都不知情的情况下秘密使用。这样,系统与网络连接后,为网络银行的安全就会带来不可估量风险。
(一)风险防范意识淡泊。用户及网络银行的风险防范意识淡泊重点体现在两个方面:一方面由于家庭网络普及程度不是很高,某些偏远地区的网络银行交易仍在网吧等公共环境,而这个环境是没有安全保障的;另一方面网络银行有关方面的专业人才短缺,在没有专业的网络银行操作流程规范及惩戒制度下,导致了经营管理的混乱。这些人为的主观原因也是导致网络银行操作风险的一大因素。
(二)互联网污染。网络银行是在线金融服务,要紧紧依托互联网而进行,虽然可以共享财务信息,但是也暴露了自身的局限性,因此也会承担更多的安全风险。各种网络上的黑客攻击从未停止过,网络银行交易已经成为黑客攻击的“重灾区”。据2014 中国计算机网络安全年会披露,2013年金融等行业联网信息系统的安全漏洞、网站后门、网页篡改等各类安全事件超过500 起,存在交易过程中信息被篡改、投资理财信息被泄露等诸多高危风险。
(三)监管力度不足。到目前为止,我国还没有任何一家监管机构设立网络银行的风险监管部门,这正反映了网络银行缺乏风险监管意识。防患意识一旦下跌,自然会不利于后期的网络银行运行和发展。由于网络银行监管标准不统一,目标不明确,所以也将面临着更高的技术风险,要处理更加复杂的网络环境,这势必会影响信息的真实性和完整性,也会造成无法挽回的损失。
网络银行在面临巨大操作风险的背后,是十分诱人的高利润、高速发展、高市场竞争力等诸多金融机构难以割舍的优势。为了避免网络银行操作风险的发生,就要通过加强对网络银行的监管来保障网络银行顺利地运行。
(一)加强互联网技术支持。互联网的安全问题一直是相关部门高度关注的话题。从2013年起召开的亚太地区最高规格的中国互联网安全大会,就互联网安全、互联网犯罪等议题展开思想与技术的碰撞,为互联网的进一步发展提供安全方面的保障。互联网安全是网络银行顺利运行的前提和基础,因此银行应运用先进严密的互联网安全防范技术,比如加密防火墙、口令卡、病毒过滤等保护措施,保证用户数据的完整性,以及系统的可连续操作性。
(二)加强员工培训,明确内部责任。网络银行的操作安全是由受过专业训练的操作人员来保障的。因此,加强对内部人员的管理,安全操作规则清晰,保证系统的安全性,操作风险是非常重要的。首先,由于网络技术与网络银行紧密结合的特点,相关业务人员应增加资格准入的附加要求;其次,明确不同岗位人员的相关责任,并建立完善的惩戒体系,将责任落实到岗、到人,提高相关人员的操作风险防范意识。
(三)明确外包业务责任。根据美国以及新加坡的立法经验,网络银行可以采取这样几种措施监控外包业务操作风险:首先,选择一个可靠的服务商,在签订合约时要求审查服务提供商的财务报表、审计报表,同时要对服务提供商的安全监控体系进行认证;其次,在合同中明确规定银行和服务提供者之间的权利和义务。另外,服务提供商在提供服务时,势必有大量数据保留在服务提供商的信息系统,所以明确这些相关数据使用权及做好相关的保密工作是至关重要的。金融机构应对互联网服务提供商的经营活动、安全保障系统定期审查,以确保服务提供商手中客户数据的安全性。
[1]王英姿.网络银行发展中存在的问题及对策分析[J].统计与管理,2014.3.
[2]吕宝林,张同建.河北省地方商业银行操作风险防范研究[J].湖南工业职业技术学院学报,2014.1.