网上银行风险管理论文

导语：网上银行风险管理论文一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

一、网上银行的特点

网上银行作为现代科技创新和金融创新相结合的产物，除了具有快速便捷的特点外，还具有其自身独特的性质，从而使人们的生活方式和行为方式发生了深刻的变化。

1.更加广泛的开放性。互联网是网上银行的基础，它由位于世界各地的计算机连接而成，因此，网上银行比电话的开放程度更广泛，提供产品和服务的地域遍及世界的各个角落。

2.服务的超越时空性。网上银行普遍使用专业计算机作为服务器。这些服务器可以24小时连续地工作。这样，网上银行能为客户带来超越时空的“AAA”全新服务方式，即在任何时候(Anytime)、任何地方(Anywhere)、以任何方式(Anyhow)为客户提供全天候金融服务。

3.交易成本的低廉性。由于网上银行依托着高技术含量的网络技术，成就了极低的交易成本(见下表)。因此与其他的服务方式相比，它能提供更多质优价廉的产品与服务。

4.身份认证的便捷性：对于网上银行来说，确认客户身份主要通过密码或密钥。任何人只要拥有了密码或密钥，就被认为是其客户，从而可以对该客户的账户进行交易，如取现转账等。网上银行实质上成为独立存在的“虚拟银行”，这样就大大提高了效率，降低了成本；网上银行在国际、国内都取得了迅猛的发展，业务占比急剧攀升，在中国已经达到近30%，国际上的发达国家更是达到90%以上。[5][7]

二、网上银行的主要风险

网上银行的基础是网络技术，所以除了具有传统银行的信用风险、流动性风险、利率风险和市场风险外，操作风险、信誉风险、法律风险是巴塞尔银行监管委员会在1998年提出的，也是表现比较突出的三类风险。[6]

(一)操作风险

在网上银行系统中，操作风险主要是由于系统可靠性或完整性的重要缺陷而造成的潜在损失，可能由于客户的误操作，或网上银行系统不恰当的设计而产生。这类风险主要有以下几种表现形式：

1.网络的安全性风险

网络安全性风险一般包括黑客攻击风险、内部员工非法侵入风险、数据安全风险和病毒破坏风险，如蠕虫木马等病毒的侵入破坏，拒绝服务、端口扫描、攻击、篡改网页等。

黑客通过网络攻击银行的电脑系统，可能删除和修改网络银行的程序，窃取银行及客户的资料，甚至可能直接进行非法的转账；内部员工则有工作的优势，可以有目的地获取客户的私人资料，或者偷窃客户的资金。

2.系统的设计运行与维护风险

系统设计上的缺陷，硬件设施的落后，都不能满足客户的需求，会给网上银行造成潜在的损失；网络银行的外部供应商未能提供预期的技术，也会造成损失。

3.内部员工的操作风险

一方面，员工在实际工作中的操作失误，或者软件更新升级后员工的错误操作，都会给网络银行造成损失；另一方面，内部职工故意不遵守工作流程，内外勾结进行金融诈骗，也会使银行遭受损失。

4.客户误操作风险

若一家银行事先没有告知客户有关的注意事项，客户就可能会进行不当操作的，或者有意错误操作，此时如果缺乏有效的监管手段来取消错误操作，客户的交易就可能生效，使银行遭受损失。

(二)信誉风险

信誉风险是指网上银行未能满足客户的意愿，使公众对银行产生负面效应所造成损失的风险。网上银行的信誉风险一般表现在三个方面：一是系统存在技术缺陷，客户无法登录系统或者账户信息受损，消息扩散后，可能因客户对网上银行不信任或对银行不满进而可能发生挤提挤兑行为；二是系统存在重大的安全缺陷，黑客侵入或者病毒被植入银行系统，造成数据破坏，系统紊乱或损毁，致使大批客户失去对该行的信任而流入它行；三是市场上使用同种或相似的系统或产品，一旦一家出现问题，客户就会猜疑其他机构也将出现同样问题，从而导致客户流失；四是别有用心之人出于某种目的，对网上银行散布流言蜚语，致使有些不明真相的客户流失。

现实中的各种风险之间具有关联性。其他类型的风险的发生将直接导致信誉风险的加大。同时，由于信誉风险的传播性特点，如果一家全球性银行在网上银行和电子货币方面出现信誉危机，人们就会对其他银行的系统安全性产生怀疑，进而会形成整个银行业系统的信任危机，影响整个银行业的稳定。

(三)法律风险

法律风险是指有关网络交易的法律法规相对网上银行和电子货币的发展滞后，当网上银行发生交易事故，或由于有关网络交易的法律法规相对电子银行和货币户发生纠纷时，法律中无明确规定或规定不清，致使当事人分不清各自的责任，得不到法律的保护。由于网上银行和电子货币业务是新兴的业务，有关法律法规不健全或尚未确立，致使交易的有效性及各方的权利义务不明。主要表现在大多数国家尚未有配套的法律法规与之相适应，金融机构无法可依；金融机构通过互联网所吸收的国外客户，发售的电子货币可能在注册地以外流通，使得银行无法遵守国家法律，造成意想不到的法律方面的纠纷；有关网络的法律不完善，加上各国的情况不大一样，也加大了金融机构的法律风险。

(四)其他风险

信用风险、流动性风险、利率风险和市场风险也会出现在网上银行和电子货币交易中，但对于银行监管来讲，这些风险相对网上银行的特点是次要的，随着网上银行和电子货币的发展，跨国交易的数量将会增加，因此，网上银行还会面临跨国界风险。

三、网上银行的风险管理范式

网上银行是通过信息在互联网上的传输来运行的。成功的网上银行交易具有身份验证、数据加密传输、网上支付等功能。交易的各方都拥有数字证书，才能保证拥有数字证书的合法用户在该系统上实现安全支付；同时要利用证书机制中的密约对所要传输的信息进行加密和签名，从而保证信息传输的机密性、真实性、完整性和交易上的不可抵赖性。

因此，网上银行风险管理的措施也是根据其运行的特点和各个环节要素进行的。主要包括技术(客户端信息的安全、传输信息的安全措施、客户身份或信息的确认、网上银行的内部安全、紧急预警体系)和法律两个层面。

(一)技术层面

1.客户端信息安全范式

由于客户在交易时可能使用不同的网络、不同的操作平台和不同的操作方式，所以客户端要支持多种协议，以满足客户的需求。一是安全套接层(SSL，SecureSocketsLayer)协议，该协议由Netscape公司研制，向基于TCP/IP的客户或服务器提供客户端和服务器的鉴别、数据的完整性及信息机密性等安全措施。在SSL信息中采用X。509的数字证书实现鉴别，并采用了DES、MD5等加密技术来实现机密性和数据的完整性。二是S-HTTP协议，它是基于SSL技术，是对HTTP的扩充，增加了报文的安全性，并向WWW的应用提供完整性、鉴别不可抵赖性及机密等安全措施。三是安全电子交易协议(SET)，指用于信用卡交易中的交易协定、信息保密、资料完整、数据认证和签名等，它能对一些敏感的信息如姓名、地址和信用卡等进行加密，并规定了交易各方进行交易时的具体流程和控制策略，能保证交易各方的真实性及数据的一致性、完整性和不可抵赖性。四是安全交易技术协议(STT)，由Microsoft公司提出并在IE中应用，它将认证和解密在浏览器中分开使用。五是VPN技术，它是在采用in-ternet等不可靠的公共网络作为传输信息的载体时，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性的技术。

2.安全传送信息范式

为了防止信息被非法窃取或被非法删改，保证被传送信息的安全，对所要传送的信息，一般要进行加密处理。

数据加密技术是在网络中所发送的明文信息用加密钥加密成密文传送，收件人收到密文后再用密钥解密成明文信息过程中所用的技术。经过加密处理的信息，即使在传递的过程中泄漏，在无密钥解密的情况下仍能保密。根据加密算法，密钥分为对称密钥加密和公开密钥加密，DES属于对称密钥，其解密速度快，相对简单；RSA是非对称密钥，相对复杂，速度慢。实际数据通信加密应用中多采用DES算法和RSA算法。

3.客户身份和信息的确认范式

为确认发送或接收信息的客户的真正身份，防范身份假冒，必须进行身份的识别认证。一是网上银行的身份识别。网上银行通过证书机构CA和证书实现对客户身份的识别鉴定，为身份的真实性提供保证，是交易双方在不见面的情况下能够确认对方的身份有效方法。电子商务认证机构(CeritificateAuthority)就是具有权威性和公正性的第三方，它的功能是通过对数据证书进行有效识别，从而实现网上交易。CA为每一个使用公开密钥的用户发送一个数据证书，目前最常用的数字证书格式标准是X-509V3[8]。中国金融认证中心(CFCA)是我国的最权威的CA认证机构，由中国人民银行联合12家商业银行共同建设，并于2000年6月29日开始运营。二是数字签名技术，它是利用RSA算法和报文摘要来实现的，是公开密钥技术的另一个应用，用来实现网上银行交易双方对源信息的鉴别。

4.网上银行的内部安全范式

一是防火墙技术。是指在网上银行和其他外部网络的接口处专门建立的安全系统。它由硬件和软件结合而成，用于对进出网上银行网络的数据检查和控制，隔离来自外部网络对内部网络的安全威胁，进而保护银行网络和网络资源的安全。它具有访问控制、审计、地址隔离等功能。二是路由器技术。它的功能是对网上银行的内部业务网的数据进行过滤，以隔离非法访问数据。主要方法是在内部网与其他网络的接口处建立参数网，并配合防火墙的使用，使安全屏障的功能大大加强。三是入侵检测技术。入侵检测的目的是提供实时的入侵检测和采取相应的防卫措施，一方面通过实时监视、报警和主动的漏洞检测，堵住黑客入侵的途径，另一方面设置伪装的安全陷阱，捕捉黑客对系统侵犯的证据。入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。四是防病毒系统。防病毒系统是最基本的技术措施，实时更新升级防病毒软件版本和病毒库信息，并实时跟踪IT供应商和信息安全机构动态，及时增加安全补丁是保持系统有效性的基本做法。五是数据的备份与隔离保护。网上银行的数据库一般采用有一定安全级别的大型分布式数据库。由于数据库的重要性，一般对其进行分级管理并提供可靠的故障恢复机制，数据库的访问、存取都进行加密控制。具体实现方案有安全数据库系统、数据库保密系统、数据库扫描系统等。[8]

5.网上银行的预警体系范式

由于IT核心技术和设备国产化比率不高及网上银行自身的特点，故其中含有不可预料的不安定因素和极大的安全风险隐患，所以必须研制国产化核心设备和自主开发的网络安检系统，并构建一个含有统一的共享模式的大型数据库的以PDR(Protection，Detection，Reaction)模型为基础的动态安全体系来作为其预警体系。这一数据库应该包括信息库、安全参数库，信息来自于国家信息安全机构、其他网上银行的数据、独立信息安全技术机构等。利用数据库信息，针对网络协议、网络拓扑实现对移动IP群集和固定IP与Mac映射，通过静态和动态相适应的安全预防体系来组织开放系统漏洞，屏蔽安全技术陷阱，进而达到预防的目的。

(二)法律层面

网上银行除了具有很强的技术风险因素外，法律风险也是其重要风险种类。在银行电子化法律体系尚处于起步阶段时，许多法律法规规定不明确，尤其是在互联网上的许多行为游离于法律监管之外，各参与主体的权利和义务难以明确，因此，我们要构建网上银行的法律监管体系。[9]

1.加强市场准入

网上银行作为一个新兴的行业，其自身所呈现的新特点决定了一旦发生战略风险，对银行业自身，甚至对整个金融业的影响都是巨大的。因此，要防范战略风险和系统风险，就要加强法律对网上银行市场准入的监管。目前我国对网上银行市场准入方面的规定是依据中国人民银行于2001年7月9日颁布的《网上银行业务管理暂行办法》，[10]随着形势的发展，我们不仅要修改已有的不合时宜的法律，而且要制定更多的法律。如有必要借鉴巴塞尔银行监管委员会(BCBS)1998年颁布的《网上银行与电子货币活动风险管理》以及香港金融管理专署2000年5月5日颁布了《虚拟银行的认可》等文本，把技术设备和安全技术的要求、网上银行内部控制机制和风险管理的要求具体化，使其更富有操作性，把各项风险降到最小。[11]

2.明确规定事故故障造成损失时各方当事人的责任和义务

对于因计算机设备以及网络发生事故和故障所引起的系统风险，可以根据事故和故障造成的损失，明确各方当事人的责任。除了传统银行业务的银行和客户这两类风险责任承担主体外，还涉及计算机设备和通讯设备的供应商、网络系统经营主体和通讯线路的提供者等网上银行系统风险的责任承担主体。但是，目前我国尚没有法律对这种法律关系作出专门的规定，有必要通过立法对此进行完善。

另外，对于由于不可抗力导致的事故或故障引发的责任，应列入免责的范围。不可抗力一般指自然灾害、战争、动乱等现象，同样适用于网上银行，但黑客袭击、系统故障、网络中断等能否列入不可抗力的范围，还有待有关法律作出明确规定。

3.建立电子签名及认证制度

为防范黑客攻击、内外部欺诈等操作风险，应该建立电子签名和认证制度来保证电子交易过程中交易指令的真实性和完整性。传统合同法对于交易指令的真实性和完整性是通过当事人的签字或盖章实现的，但在无纸化的电子交易中，手签和盖章的可行性遇到了挑战，倘若还需经此程序，则电子交易的优势无法体现出来。因此，各国都在电子交易法或电子商务法中肯定了电子签名的合法性，如美国的《数字签名法》、新加坡的《1998年电子交易法》等都作出了电子签名的合法性规定，我国于2004年8月出台的《电子签名法》，第一次赋予了一定条件下的电子签名与手签或盖章具有同等的法律效力，明确了电子签名的规则。[12]但我们也应该意识到，该法律还有不足之处。一部篇幅有限的法律不可能解决所有的网上银行问题，更不可能代表整个法律体系。因此，网上银行和电子商务的法制建设任重而道远。

参考文献：

[1]BCBS.RiskManagementforElectronicBankingandElectronicMoneyActivities.BaselCommitteeonBankingSu-pervision[R]，March1998BS/97/122.

[2]BaselCommitteeonBankingSupervision.“Essentialelementsofastatementofcooperationbetweenbankingsuper-visors”[R].2001，5.

[3]BaselCommitteeonBankingSupervision.“ElectronicBankingGroupInitiativesandWhitePapers”[R].2000，10.

[4]AndrewS.Tanenbaun.计算机网络(第三版)[M].北京：清华大学出版社，1999.

[5]陈进.电子商务金融与安全[M].北京：清华大学出版社，2000.

[6]芮廷先.电子化监管技术——金融电子化风险管理[M].北京：电子工业出版社，2003.

[7]周虹.电子支付与网络银行[M].北京：中国人民大学出版社，2006.

[8]邓顺国.网上银行与网上金融服务[M].北京：清华大学出版社，2004.

[9]李金泽.网上银行义务的有关法律问题探讨[J].金融论坛，2001，(1).

[10]尹龙.对我国网络银行发展和监管问题的研究[J].金融研究，2001，(1).

[11]于南.谈我国网络银行业务发展中的监管[J].中国审计，2002，(2).

[12]张晓东.金融电子化风险的管理与控制[J].金融理论与实践，2004，(8).

[摘要]与传统的银行业务方式相比，网上银行具有经营成本低、服务领域宽、服务质量高、管理水平先进等优势；但同时，网上银行也有如操作风险、法律风险、信誉风险等不安全因素。因此，增加技术成分和完善在线支付的法律法规等措施，对加强网上银行的监管具有十分重要的现实意义，网上银行风险管理的措施主要包括技术和法律两个层面。

[关键词]网上银行；操作风险；法律风险