導語：網(wǎng)上銀行風險管理論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、網(wǎng)上銀行的特點

網(wǎng)上銀行作為現(xiàn)代科技創(chuàng)新和金融創(chuàng)新相結(jié)合的產(chǎn)物，除了具有快速便捷的特點外，還具有其自身獨特的性質(zhì)，從而使人們的生活方式和行為方式發(fā)生了深刻的變化。

1.更加廣泛的開放性。互聯(lián)網(wǎng)是網(wǎng)上銀行的基礎(chǔ)，它由位于世界各地的計算機連接而成，因此，網(wǎng)上銀行比電話的開放程度更廣泛，提供產(chǎn)品和服務(wù)的地域遍及世界的各個角落。

2.服務(wù)的超越時空性。網(wǎng)上銀行普遍使用專業(yè)計算機作為服務(wù)器。這些服務(wù)器可以24小時連續(xù)地工作。這樣，網(wǎng)上銀行能為客戶帶來超越時空的“AAA”全新服務(wù)方式，即在任何時候(Anytime)、任何地方(Anywhere)、以任何方式(Anyhow)為客戶提供全天候金融服務(wù)。

3.交易成本的低廉性。由于網(wǎng)上銀行依托著高技術(shù)含量的網(wǎng)絡(luò)技術(shù)，成就了極低的交易成本(見下表)。因此與其他的服務(wù)方式相比，它能提供更多質(zhì)優(yōu)價廉的產(chǎn)品與服務(wù)。

4.身份認證的便捷性：對于網(wǎng)上銀行來說，確認客戶身份主要通過密碼或密鑰。任何人只要擁有了密碼或密鑰，就被認為是其客戶，從而可以對該客戶的賬戶進行交易，如取現(xiàn)轉(zhuǎn)賬等。網(wǎng)上銀行實質(zhì)上成為獨立存在的“虛擬銀行”，這樣就大大提高了效率，降低了成本；網(wǎng)上銀行在國際、國內(nèi)都取得了迅猛的發(fā)展，業(yè)務(wù)占比急劇攀升，在中國已經(jīng)達到近30%，國際上的發(fā)達國家更是達到90%以上。[5][7]

二、網(wǎng)上銀行的主要風險

網(wǎng)上銀行的基礎(chǔ)是網(wǎng)絡(luò)技術(shù)，所以除了具有傳統(tǒng)銀行的信用風險、流動性風險、利率風險和市場風險外，操作風險、信譽風險、法律風險是巴塞爾銀行監(jiān)管委員會在1998年提出的，也是表現(xiàn)比較突出的三類風險。[6]

(一)操作風險

在網(wǎng)上銀行系統(tǒng)中，操作風險主要是由于系統(tǒng)可靠性或完整性的重要缺陷而造成的潛在損失，可能由于客戶的誤操作，或網(wǎng)上銀行系統(tǒng)不恰當?shù)脑O(shè)計而產(chǎn)生。這類風險主要有以下幾種表現(xiàn)形式：

1.網(wǎng)絡(luò)的安全性風險

網(wǎng)絡(luò)安全性風險一般包括黑客攻擊風險、內(nèi)部員工非法侵入風險、數(shù)據(jù)安全風險和病毒破壞風險，如蠕蟲木馬等病毒的侵入破壞，拒絕服務(wù)、端口掃描、攻擊、篡改網(wǎng)頁等。

黑客通過網(wǎng)絡(luò)攻擊銀行的電腦系統(tǒng)，可能刪除和修改網(wǎng)絡(luò)銀行的程序，竊取銀行及客戶的資料，甚至可能直接進行非法的轉(zhuǎn)賬；內(nèi)部員工則有工作的優(yōu)勢，可以有目的地獲取客戶的私人資料，或者偷竊客戶的資金。

2.系統(tǒng)的設(shè)計運行與維護風險

系統(tǒng)設(shè)計上的缺陷，硬件設(shè)施的落后，都不能滿足客戶的需求，會給網(wǎng)上銀行造成潛在的損失；網(wǎng)絡(luò)銀行的外部供應(yīng)商未能提供預期的技術(shù)，也會造成損失。

3.內(nèi)部員工的操作風險

一方面，員工在實際工作中的操作失誤，或者軟件更新升級后員工的錯誤操作，都會給網(wǎng)絡(luò)銀行造成損失；另一方面，內(nèi)部職工故意不遵守工作流程，內(nèi)外勾結(jié)進行金融詐騙，也會使銀行遭受損失。

4.客戶誤操作風險

若一家銀行事先沒有告知客戶有關(guān)的注意事項，客戶就可能會進行不當操作的，或者有意錯誤操作，此時如果缺乏有效的監(jiān)管手段來取消錯誤操作，客戶的交易就可能生效，使銀行遭受損失。

(二)信譽風險

信譽風險是指網(wǎng)上銀行未能滿足客戶的意愿，使公眾對銀行產(chǎn)生負面效應(yīng)所造成損失的風險。網(wǎng)上銀行的信譽風險一般表現(xiàn)在三個方面：一是系統(tǒng)存在技術(shù)缺陷，客戶無法登錄系統(tǒng)或者賬戶信息受損，消息擴散后，可能因客戶對網(wǎng)上銀行不信任或?qū)︺y行不滿進而可能發(fā)生擠提擠兌行為；二是系統(tǒng)存在重大的安全缺陷，黑客侵入或者病毒被植入銀行系統(tǒng)，造成數(shù)據(jù)破壞，系統(tǒng)紊亂或損毀，致使大批客戶失去對該行的信任而流入它行；三是市場上使用同種或相似的系統(tǒng)或產(chǎn)品，一旦一家出現(xiàn)問題，客戶就會猜疑其他機構(gòu)也將出現(xiàn)同樣問題，從而導致客戶流失；四是別有用心之人出于某種目的，對網(wǎng)上銀行散布流言蜚語，致使有些不明真相的客戶流失。

現(xiàn)實中的各種風險之間具有關(guān)聯(lián)性。其他類型的風險的發(fā)生將直接導致信譽風險的加大。同時，由于信譽風險的傳播性特點，如果一家全球性銀行在網(wǎng)上銀行和電子貨幣方面出現(xiàn)信譽危機，人們就會對其他銀行的系統(tǒng)安全性產(chǎn)生懷疑，進而會形成整個銀行業(yè)系統(tǒng)的信任危機，影響整個銀行業(yè)的穩(wěn)定。

(三)法律風險

法律風險是指有關(guān)網(wǎng)絡(luò)交易的法律法規(guī)相對網(wǎng)上銀行和電子貨幣的發(fā)展滯后，當網(wǎng)上銀行發(fā)生交易事故，或由于有關(guān)網(wǎng)絡(luò)交易的法律法規(guī)相對電子銀行和貨幣戶發(fā)生糾紛時，法律中無明確規(guī)定或規(guī)定不清，致使當事人分不清各自的責任，得不到法律的保護。由于網(wǎng)上銀行和電子貨幣業(yè)務(wù)是新興的業(yè)務(wù)，有關(guān)法律法規(guī)不健全或尚未確立，致使交易的有效性及各方的權(quán)利義務(wù)不明。主要表現(xiàn)在大多數(shù)國家尚未有配套的法律法規(guī)與之相適應(yīng)，金融機構(gòu)無法可依；金融機構(gòu)通過互聯(lián)網(wǎng)所吸收的國外客戶，發(fā)售的電子貨幣可能在注冊地以外流通，使得銀行無法遵守國家法律，造成意想不到的法律方面的糾紛；有關(guān)網(wǎng)絡(luò)的法律不完善，加上各國的情況不大一樣，也加大了金融機構(gòu)的法律風險。

(四)其他風險

信用風險、流動性風險、利率風險和市場風險也會出現(xiàn)在網(wǎng)上銀行和電子貨幣交易中，但對于銀行監(jiān)管來講，這些風險相對網(wǎng)上銀行的特點是次要的，隨著網(wǎng)上銀行和電子貨幣的發(fā)展，跨國交易的數(shù)量將會增加，因此，網(wǎng)上銀行還會面臨跨國界風險。

三、網(wǎng)上銀行的風險管理范式

網(wǎng)上銀行是通過信息在互聯(lián)網(wǎng)上的傳輸來運行的。成功的網(wǎng)上銀行交易具有身份驗證、數(shù)據(jù)加密傳輸、網(wǎng)上支付等功能。交易的各方都擁有數(shù)字證書，才能保證擁有數(shù)字證書的合法用戶在該系統(tǒng)上實現(xiàn)安全支付；同時要利用證書機制中的密約對所要傳輸?shù)男畔⑦M行加密和簽名，從而保證信息傳輸?shù)臋C密性、真實性、完整性和交易上的不可抵賴性。

因此，網(wǎng)上銀行風險管理的措施也是根據(jù)其運行的特點和各個環(huán)節(jié)要素進行的。主要包括技術(shù)(客戶端信息的安全、傳輸信息的安全措施、客戶身份或信息的確認、網(wǎng)上銀行的內(nèi)部安全、緊急預警體系)和法律兩個層面。

(一)技術(shù)層面

1.客戶端信息安全范式

由于客戶在交易時可能使用不同的網(wǎng)絡(luò)、不同的操作平臺和不同的操作方式，所以客戶端要支持多種協(xié)議，以滿足客戶的需求。一是安全套接層(SSL，SecureSocketsLayer)協(xié)議，該協(xié)議由Netscape公司研制，向基于TCP/IP的客戶或服務(wù)器提供客戶端和服務(wù)器的鑒別、數(shù)據(jù)的完整性及信息機密性等安全措施。在SSL信息中采用X。509的數(shù)字證書實現(xiàn)鑒別，并采用了DES、MD5等加密技術(shù)來實現(xiàn)機密性和數(shù)據(jù)的完整性。二是S-HTTP協(xié)議，它是基于SSL技術(shù)，是對HTTP的擴充，增加了報文的安全性，并向WWW的應(yīng)用提供完整性、鑒別不可抵賴性及機密等安全措施。三是安全電子交易協(xié)議(SET)，指用于信用卡交易中的交易協(xié)定、信息保密、資料完整、數(shù)據(jù)認證和簽名等，它能對一些敏感的信息如姓名、地址和信用卡等進行加密，并規(guī)定了交易各方進行交易時的具體流程和控制策略，能保證交易各方的真實性及數(shù)據(jù)的一致性、完整性和不可抵賴性。四是安全交易技術(shù)協(xié)議(STT)，由Microsoft公司提出并在IE中應(yīng)用，它將認證和解密在瀏覽器中分開使用。五是VPN技術(shù)，它是在采用in-ternet等不可靠的公共網(wǎng)絡(luò)作為傳輸信息的載體時，通過附加的安全隧道、用戶認證和訪問控制等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性的技術(shù)。

2.安全傳送信息范式

為了防止信息被非法竊取或被非法刪改，保證被傳送信息的安全，對所要傳送的信息，一般要進行加密處理。

數(shù)據(jù)加密技術(shù)是在網(wǎng)絡(luò)中所發(fā)送的明文信息用加密鑰加密成密文傳送，收件人收到密文后再用密鑰解密成明文信息過程中所用的技術(shù)。經(jīng)過加密處理的信息，即使在傳遞的過程中泄漏，在無密鑰解密的情況下仍能保密。根據(jù)加密算法，密鑰分為對稱密鑰加密和公開密鑰加密，DES屬于對稱密鑰，其解密速度快，相對簡單；RSA是非對稱密鑰，相對復雜，速度慢。實際數(shù)據(jù)通信加密應(yīng)用中多采用DES算法和RSA算法。

3.客戶身份和信息的確認范式

為確認發(fā)送或接收信息的客戶的真正身份，防范身份假冒，必須進行身份的識別認證。一是網(wǎng)上銀行的身份識別。網(wǎng)上銀行通過證書機構(gòu)CA和證書實現(xiàn)對客戶身份的識別鑒定，為身份的真實性提供保證，是交易雙方在不見面的情況下能夠確認對方的身份有效方法。電子商務(wù)認證機構(gòu)(CeritificateAuthority)就是具有權(quán)威性和公正性的第三方，它的功能是通過對數(shù)據(jù)證書進行有效識別，從而實現(xiàn)網(wǎng)上交易。CA為每一個使用公開密鑰的用戶發(fā)送一個數(shù)據(jù)證書，目前最常用的數(shù)字證書格式標準是X-509V3[8]。中國金融認證中心(CFCA)是我國的最權(quán)威的CA認證機構(gòu)，由中國人民銀行聯(lián)合12家商業(yè)銀行共同建設(shè)，并于2000年6月29日開始運營。二是數(shù)字簽名技術(shù)，它是利用RSA算法和報文摘要來實現(xiàn)的，是公開密鑰技術(shù)的另一個應(yīng)用，用來實現(xiàn)網(wǎng)上銀行交易雙方對源信息的鑒別。

4.網(wǎng)上銀行的內(nèi)部安全范式

一是防火墻技術(shù)。是指在網(wǎng)上銀行和其他外部網(wǎng)絡(luò)的接口處專門建立的安全系統(tǒng)。它由硬件和軟件結(jié)合而成，用于對進出網(wǎng)上銀行網(wǎng)絡(luò)的數(shù)據(jù)檢查和控制，隔離來自外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的安全威脅，進而保護銀行網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的安全。它具有訪問控制、審計、地址隔離等功能。二是路由器技術(shù)。它的功能是對網(wǎng)上銀行的內(nèi)部業(yè)務(wù)網(wǎng)的數(shù)據(jù)進行過濾，以隔離非法訪問數(shù)據(jù)。主要方法是在內(nèi)部網(wǎng)與其他網(wǎng)絡(luò)的接口處建立參數(shù)網(wǎng)，并配合防火墻的使用，使安全屏障的功能大大加強。三是入侵檢測技術(shù)。入侵檢測的目的是提供實時的入侵檢測和采取相應(yīng)的防衛(wèi)措施，一方面通過實時監(jiān)視、報警和主動的漏洞檢測，堵住黑客入侵的途徑，另一方面設(shè)置偽裝的安全陷阱，捕捉黑客對系統(tǒng)侵犯的證據(jù)。入侵檢測系統(tǒng)分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。四是防病毒系統(tǒng)。防病毒系統(tǒng)是最基本的技術(shù)措施，實時更新升級防病毒軟件版本和病毒庫信息，并實時跟蹤IT供應(yīng)商和信息安全機構(gòu)動態(tài)，及時增加安全補丁是保持系統(tǒng)有效性的基本做法。五是數(shù)據(jù)的備份與隔離保護。網(wǎng)上銀行的數(shù)據(jù)庫一般采用有一定安全級別的大型分布式數(shù)據(jù)庫。由于數(shù)據(jù)庫的重要性，一般對其進行分級管理并提供可靠的故障恢復機制，數(shù)據(jù)庫的訪問、存取都進行加密控制。具體實現(xiàn)方案有安全數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等。[8]

5.網(wǎng)上銀行的預警體系范式

由于IT核心技術(shù)和設(shè)備國產(chǎn)化比率不高及網(wǎng)上銀行自身的特點，故其中含有不可預料的不安定因素和極大的安全風險隱患，所以必須研制國產(chǎn)化核心設(shè)備和自主開發(fā)的網(wǎng)絡(luò)安檢系統(tǒng)，并構(gòu)建一個含有統(tǒng)一的共享模式的大型數(shù)據(jù)庫的以PDR(Protection，Detection，Reaction)模型為基礎(chǔ)的動態(tài)安全體系來作為其預警體系。這一數(shù)據(jù)庫應(yīng)該包括信息庫、安全參數(shù)庫，信息來自于國家信息安全機構(gòu)、其他網(wǎng)上銀行的數(shù)據(jù)、獨立信息安全技術(shù)機構(gòu)等。利用數(shù)據(jù)庫信息，針對網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)拓撲實現(xiàn)對移動IP群集和固定IP與Mac映射，通過靜態(tài)和動態(tài)相適應(yīng)的安全預防體系來組織開放系統(tǒng)漏洞，屏蔽安全技術(shù)陷阱，進而達到預防的目的。

(二)法律層面

網(wǎng)上銀行除了具有很強的技術(shù)風險因素外，法律風險也是其重要風險種類。在銀行電子化法律體系尚處于起步階段時，許多法律法規(guī)規(guī)定不明確，尤其是在互聯(lián)網(wǎng)上的許多行為游離于法律監(jiān)管之外，各參與主體的權(quán)利和義務(wù)難以明確，因此，我們要構(gòu)建網(wǎng)上銀行的法律監(jiān)管體系。[9]

1.加強市場準入

網(wǎng)上銀行作為一個新興的行業(yè)，其自身所呈現(xiàn)的新特點決定了一旦發(fā)生戰(zhàn)略風險，對銀行業(yè)自身，甚至對整個金融業(yè)的影響都是巨大的。因此，要防范戰(zhàn)略風險和系統(tǒng)風險，就要加強法律對網(wǎng)上銀行市場準入的監(jiān)管。目前我國對網(wǎng)上銀行市場準入方面的規(guī)定是依據(jù)中國人民銀行于2001年7月9日頒布的《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》，[10]隨著形勢的發(fā)展，我們不僅要修改已有的不合時宜的法律，而且要制定更多的法律。如有必要借鑒巴塞爾銀行監(jiān)管委員會(BCBS)1998年頒布的《網(wǎng)上銀行與電子貨幣活動風險管理》以及香港金融管理專署2000年5月5日頒布了《虛擬銀行的認可》等文本，把技術(shù)設(shè)備和安全技術(shù)的要求、網(wǎng)上銀行內(nèi)部控制機制和風險管理的要求具體化，使其更富有操作性，把各項風險降到最小。[11]

2.明確規(guī)定事故故障造成損失時各方當事人的責任和義務(wù)

對于因計算機設(shè)備以及網(wǎng)絡(luò)發(fā)生事故和故障所引起的系統(tǒng)風險，可以根據(jù)事故和故障造成的損失，明確各方當事人的責任。除了傳統(tǒng)銀行業(yè)務(wù)的銀行和客戶這兩類風險責任承擔主體外，還涉及計算機設(shè)備和通訊設(shè)備的供應(yīng)商、網(wǎng)絡(luò)系統(tǒng)經(jīng)營主體和通訊線路的提供者等網(wǎng)上銀行系統(tǒng)風險的責任承擔主體。但是，目前我國尚沒有法律對這種法律關(guān)系作出專門的規(guī)定，有必要通過立法對此進行完善。

另外，對于由于不可抗力導致的事故或故障引發(fā)的責任，應(yīng)列入免責的范圍。不可抗力一般指自然災害、戰(zhàn)爭、動亂等現(xiàn)象，同樣適用于網(wǎng)上銀行，但黑客襲擊、系統(tǒng)故障、網(wǎng)絡(luò)中斷等能否列入不可抗力的范圍，還有待有關(guān)法律作出明確規(guī)定。

3.建立電子簽名及認證制度

為防范黑客攻擊、內(nèi)外部欺詐等操作風險，應(yīng)該建立電子簽名和認證制度來保證電子交易過程中交易指令的真實性和完整性。傳統(tǒng)合同法對于交易指令的真實性和完整性是通過當事人的簽字或蓋章實現(xiàn)的，但在無紙化的電子交易中，手簽和蓋章的可行性遇到了挑戰(zhàn)，倘若還需經(jīng)此程序，則電子交易的優(yōu)勢無法體現(xiàn)出來。因此，各國都在電子交易法或電子商務(wù)法中肯定了電子簽名的合法性，如美國的《數(shù)字簽名法》、新加坡的《1998年電子交易法》等都作出了電子簽名的合法性規(guī)定，我國于2004年8月出臺的《電子簽名法》，第一次賦予了一定條件下的電子簽名與手簽或蓋章具有同等的法律效力，明確了電子簽名的規(guī)則。[12]但我們也應(yīng)該意識到，該法律還有不足之處。一部篇幅有限的法律不可能解決所有的網(wǎng)上銀行問題，更不可能代表整個法律體系。因此，網(wǎng)上銀行和電子商務(wù)的法制建設(shè)任重而道遠。

參考文獻：

[1]BCBS.RiskManagementforElectronicBankingandElectronicMoneyActivities.BaselCommitteeonBankingSu-pervision[R]，March1998BS/97/122.

[2]BaselCommitteeonBankingSupervision.“Essentialelementsofastatementofcooperationbetweenbankingsuper-visors”[R].2001，5.

[3]BaselCommitteeonBankingSupervision.“ElectronicBankingGroupInitiativesandWhitePapers”[R].2000，10.

[4]AndrewS.Tanenbaun.計算機網(wǎng)絡(luò)(第三版)[M].北京：清華大學出版社，1999.

[5]陳進.電子商務(wù)金融與安全[M].北京：清華大學出版社，2000.

[6]芮廷先.電子化監(jiān)管技術(shù)——金融電子化風險管理[M].北京：電子工業(yè)出版社，2003.

[7]周虹.電子支付與網(wǎng)絡(luò)銀行[M].北京：中國人民大學出版社，2006.

[8]鄧順國.網(wǎng)上銀行與網(wǎng)上金融服務(wù)[M].北京：清華大學出版社，2004.

[9]李金澤.網(wǎng)上銀行義務(wù)的有關(guān)法律問題探討[J].金融論壇，2001，(1).

[10]尹龍.對我國網(wǎng)絡(luò)銀行發(fā)展和監(jiān)管問題的研究[J].金融研究，2001，(1).

[11]于南.談我國網(wǎng)絡(luò)銀行業(yè)務(wù)發(fā)展中的監(jiān)管[J].中國審計，2002，(2).

[12]張曉東.金融電子化風險的管理與控制[J].金融理論與實踐，2004，(8).

[摘要]與傳統(tǒng)的銀行業(yè)務(wù)方式相比，網(wǎng)上銀行具有經(jīng)營成本低、服務(wù)領(lǐng)域?qū)?、服?wù)質(zhì)量高、管理水平先進等優(yōu)勢；但同時，網(wǎng)上銀行也有如操作風險、法律風險、信譽風險等不安全因素。因此，增加技術(shù)成分和完善在線支付的法律法規(guī)等措施，對加強網(wǎng)上銀行的監(jiān)管具有十分重要的現(xiàn)實意義，網(wǎng)上銀行風險管理的措施主要包括技術(shù)和法律兩個層面。

[關(guān)鍵詞]網(wǎng)上銀行；操作風險；法律風險