网络银行的风险分析及其防范
金融阶段论文
网
络 银
行
的 风
险
分 析
及
其 防范
摘要
网络银行是随着科技的进步,特别是网络的发展兴盛起来的,在我国网络银行还是新兴产物,在前进的道路上还存在很多风险,如何借鉴国外网络银行的发展经验分析出现存的问题,进而找出适合本国国情的风险管理方式和防范措施,是本文的主要着眼点。通过仔细的分析,发现我国的风险问题主要表现在三大方面:原有风险的新的表现形式,出现了各种新风险,风险效应有所放大。主要的解决措施从风险识别,风险衡量,风险处理和风险管理效果评估四个阶段对网络银行的风险实行管理,保证我国网络银行的持续健康发展,稳定中国的金融秩序。
关键词
安全认证 信用风险 同业风险
风险放大效应 产品生命周期
网络银行的风险分析及其防范
网上银行 E-Bank,是指利用因特网技术,通过因特网或其他公用电信网络与客户建立信息联系,并向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证券交易、投资理财等金融产品及金融服务的无形或虚拟银行。随着网络银行在国内的发展,其风险问题日益突出,为有效防范与控制网络银行的风险,必须按照风险管理的思路,深入探索解决网络银行的风险问题的方法与途径。
一、网络银行面临的风险
网络银行的风险问题主要表现在三个方面:
(一)原有银行风险新的表现形式
1. 攻击者增多
一方面从银行体系内部看,过去内部攻击者往往是案件发生的该银行分支机构——某个特定的支行、分理处或者储蓄所的人员,而网络银行采用了因特网联结了本行的各家机构,甚至与中央银行或其他商业银行相通,在网络通过的各个银行分支机构中的员工都有可能通过快捷的网络传输,威胁其他银行分支机构的资金安全,跨地域、时空进行金融违规违法操作。另一方面从银行体系外部看,网络银行原来受到的外部攻击者仅仅是局部地区的极少数罪犯,由于网络相关法律不完善,对网络犯罪还没有统一的界定而约束不够,因此目前上亿的网民中很大部分都有可能成为潜在的攻击者。
2. 攻击方法更隐蔽
网上攻击的方法一般可以分为截收和非法访问。这些攻击手段肉眼无法发现,必须通过各种专业软件和高科技技术才能检测出来,具有很强的隐蔽性。
3. 攻击范围增大
随着计算机技术、网络技术,特别是数字化技术的迅猛发展,各商业银行不再以业务分类的形式来建立许多小规模的系统,而是朝数据仓库的方向发展,推出综合业务管理系统。攻击者可以通过综合系统向银行的各项业务展开攻击,由于综合网络系统固有的技术特征——内在关联性,只要突破了一项业务的系统“堡垒”,就可能在整个综合网络内“畅行无阻”。在这种情况下,造成的后果无疑更加严重,资金损失的风险可能性大大增加。
(二)网络银行面临的新风险
1. 从技术的角度看面临的风险
突出表现在Internet的安全问题。网络银行将面临被闯入者攻击的危险,而且可能给闯入者攻击其他网络如银行内部决策信息系统提供了基地。其主要原因:
① 认证环节薄弱。Internet的许多事故的起源是因为使用了薄弱的、静态的口令。Internet上的口令可以通过许多方法破译。其中最常用的两种方法是把口令解密和通过监视信道窃取口令。
② 系统易被监视。当用户使用远程登录终端模拟协议(TELNET)或文件传输协议(FTP)连接他在远程主机上的帐户时,他在Internet上传输的口令是没有加密的。因此,通过监视携带用户名和口令的(网间网协议)IP包可获取它们,并使用这些用户名和口令到系统。
③ 信息易截取。由于大多数Internet上的信息是没有加密的,电子邮件口令、文件传输很容易被窥探和截获。同时,由于网络主机和防火墙的设置较为复
杂,许多系统在设置过程中无意识地扩大了访问权限,从而可能被外部人员利用获得信息。
④ 操作系统漏洞。UNIX操作系统本身就是一个开放的系统,其源代码已经公开。如从一台联网的UNIX工作站上使用“跟踪路由”命令的话,就可以看见数据从客户机传送到服务器要经过许多不同的节点和系统,它们最容易受到攻击。
2. 从经济的角度看面临的风险
① 银行盈利风险。网络用户的数量不平衡,我国最频繁的网络用户超过1100万,但是由于在收入上需要较高的条件,这些网民中能成为网上客户并具有网上购买力的则很少,年龄集中在年轻和受过高等教育的人群。网络用户的增长不平衡,我国网络建设的发展有明显的东重西轻现象,41%的网民集中在北京、上海和广东三地。网络银行的回报期不平衡,网上银行初期投资巨大,在起步阶段需要大量的人力、资金、固定资产成本的支出,且由于同业竞争激烈、网上服务收费的观点尚未深入人心,我国国内的网上银行尚未实行服务收费。巨大的投资和短期内有限的客户群、微薄的收入,使网上银行短期内无法收回成本,面临巨大的盈利风险。
② 银行结算风险。网络银行改变了传统的以图章为支付指令的结算手段,采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”,数字签名的可靠性取决于银行安全控制系统的严密与否及用户自身对网络安全的意识和自律。
③ 银行管理风险。它是指由于商业银行内部信息系统和内控系统出现问题而使银行遭受损失的可能性。这包括两个方面:一是从人员素质角度看,网络银行业务较新,它需要银行职员既要掌握现代金融知识,又要掌握高超的计算机网络知识,成为复合型人才而目前银行非常缺乏这方面的人才。二是从内部控制角度看,网络银行的网上操作使内部犯罪更易发生,因为内部人员对于网络密码、认证方式都了如指掌,居心不良或在交易中求胜心切的员工都可能试图超越权限进行交易。
④ 信用风险。信用风险是指借款人违反贷款协议,拒不清偿贷款,或丧失清偿能力而无力履行还款义务,给银行造成损失的潜在危险。网络银行没有实体办公地点、银行与客户之间没有面对面的接触,目前,又缺少足够丰富的客户资信评估数据,对借款人信用评价格外困难。而传统银行业务中的抵押、担保等保证方式又难以适用于快捷的网络金融交易。
⑤ 同业风险。第一,网络银行没有想象中那么有效率。高科技的运用使他们的交易成本较低,但营销成本、技术成本和融资成本都非常之高。网络银行吸引储户的一个重要手段就是大大高出市场水平的利率。第二,高成本的资金来源在运用方面却遇到了困难。网络银行很难通过电子手段将这些资金动用到高收益的资产上去。通常网络银行将存款收入投资于抵押债券、联邦基金、联邦政府证券或其它保守型资产,对于发放贷款这类收益较高的资产却很难涉足。由此造成资金的来源和运用之间的利差很低,使网络银行所谓低成本的优势进一步黯然失色。第三,网络银行与传统型银行在业务竞争上最大的障碍就是,他们不能在各个地区的有形网点上为顾客提供吸收存款和提取现金的服务。传统型银行密集分布在全国各地的分支机构能为私人商业提供现金管理服务,为个人提供贵重物品保管服务等,这些都是网络银行所不能做到的。
3. 从法律的角度看面临的风险
① 网络犯罪风险。由于网络系统是网络银行的依托,而网络本身存在的不足给网络银行带来了风险。随着网民数量的增加和技术的提高,网络黑客的人数和技术水平都在上升,许多黑客为了消遣或炫耀技术而攻击网络,使网络银行的网络系统受损甚至崩溃的威胁。有的网络黑客会利用自己的技术来窃取商业机密或盗取“资金”,以谋取不义之财。有的犯罪分子还利用网络银行进行洗钱。
② 法律与监管风险。在国内,网上银行属于新兴事物,相关法律法规基本上处于空白状态,仅有中国人民银行《网上银行业务管理暂行办法》这一部门规章。法律是监管的保证,通过法律才能使网上银行的交易规范、有序,由于法律的缺位使监管机构无法可依,监管难度加大,监管力度难以拿捏。其实,即使各国有法律法规,但网络是跨越国界的,而各国之间有关金融交易的法律、法规存在的差异,在对网络银行的跨国交易业务过程中,会产生国与国之间法律问题上的冲突。目前国际上尚未就网络银行涉及的法律达成共同协议,也没有一个仲裁机构,客户与网络银行很容易陷入法律纠纷之中。目前巴塞尔委员会及各国银行监管当局正密切关注网络银行得发展并进行研究,但尚未达成统一意见立法监管。
(三)网络银行的风险放大效应
目前Internet已成为网络银行业务赖以运行的支撑体系,但采用网络技术的银行计算机系统也造成了金融风险的放大效应。首先,在网络空间内,所有经济活动表现为货币信息的传递与调拨。在网络内流动的已不是货币现金,而是代表资金的数字化信息,该信息所代表的货币量远远超过了实际的货币拥有量。其次,网络空间是个申请网络帐号即可进入的自由流动空间,该网络内的各个接点联结成一个整体,网络接点之间有着紧密的关联度。在一个网络接点发生的风险可能会波及整个网络,甚至导致银行整个经营网络瘫痪。再者,高科技的网络技术所具有的快速远程处理功能,虽然为便捷、快速的金融服务和产品提供了强大的技术支持,但也加快了风险积聚的过程,风险积聚与发生可能就在同一时间内。在这种情况下,来不及察觉并采取防范、补救措施,就已导致一连串的资金损失。 二、网络银行的风险管理
根据风险管理理论,风险管理是由风险识别、风险衡量、风险处理和风险管理效果评价四个阶段构成的。网络银行的风险管理也必须围绕四个阶段进行。
(一) 风险识别阶段
风险识别指管理人员通过对大量来源可靠的信息资料进行系统了解和分析,认清存在的各种风险因素,进而确定所面临的风险及其性质,并把握其发展趋势。对网络银行而言,进行具体的风险分析就是判断自己希望保护的资源是什么及有哪些潜在的威胁。
网络银行需要保护的资源一般包括以下3类:物理资源、智力资源、时间资源。物理资源指具有物理形式的资源,包括工作站、服务器、终端、网络集线器以及其他外围设备。智力资源可以是属于网络银行经营活动范围之内的任何形式的信息,包括软件、金融信息、数据记录、网上金融产品示意图或服务指南。在评估因为失去时间可能给银行带来的损失的时候,要考虑到损失了时间可能引起的所有后果。
潜在的网络攻击来源包括系统内部、来自银行客户的访问、来自电子支付系统中特约商户的访问、来自提供金融证券信息的证券公司的访问。
攻击方式包括内部攻击和外部攻击。从攻击次数来说,多数攻击是从网络机构内部发起的,一些研究表明其比重多达70%;从攻击范围来说,外部攻击的范围比内部攻击者大得多,主要是竞争者和黑客。外部攻击往往表现为:①计算机犯罪。这种破坏包括修改数据信息、转移客户资金、破坏硬件、传输附带破坏性病毒的文件等,也可以设置“定时炸弹”要挟银行,进行敲诈勒索。②盗窃数据。攻击者进入网络,盗走任何有价值的东西。包括金融数据、机密文件和其他敏感的数据信息。③非法使用资源。包括对计算机资源、网络联结服务等资源的滥用和盗用,也可以不付代价,无限制地查阅金融数据、访问机密文件等金融信息资源。
(二) 风险衡量阶段
风险衡量是指对某种特定的风险,测定其风险事故发生的概率及其损失程度。风险衡量是在风险识别的基础上进行的。方法是以损失概率和损失程度为主要测算指标,据以确定风险的大小或高低。
在网络银行的风险管理的过程中,考虑投入资源的有限,根据经济学的投入/产出理论,需要确定防范的重点——损失概率和损失程度较大的风险,通过一定的风险控制,可以由风险需要的最小化的“负效益”投入最终产生最大化“正效益”。
风险衡量还需遵循两个原则。首先是综合性原则,即定量和定性相结合。网络银行的风险种类较多,涉及的范围包括技术、经济、法律等各个方面,如果采用定量分析方法,采集数字存在一定的困难,可以采用定性方法。而对其他风险因素,例如计算机主机和网络设备的运行故障,可以运用数量风险分析技术进行定量计算。其次是全面性原则,即必须从全局角度分析潜在风险。网络银行采取了综合业务处理的方式,虽然提高了信息资源的共享程度,但是可能导致风险的“联动”效应,为此,在分析潜在风险的时候,必须从全局的角度进行考虑。
(三) 风险处理阶段
指针对经过风险识别和风险衡量弄清了风险的性质和大小(或等级)之后,必须运用合理而有效的方法对风险加以处理。
对于网络银行面临的风险,这一阶段的核心是风险处理手段的选择。风险处理的手段大体上可分为两类:即控制型和财务型。控制型风险处理手段是损失形成前防止和减轻风险损失的技术型措施,它通过避免、消除和减少风险事故发生的机会以及限制已发生损失继续扩大,达到减少损失概率、降低损失程度,使风险损失达到最小之目的。这种手段的重点在于改变引起风险事故和扩大损失的条件。财务型风险处理手段是通过事先的财务计划、筹措资金,以便对风险事故造成的经济损失进行及时而充分的补偿。这种手段的核心是将消除和减少风险的代价均匀地分布在一定时期内,以减少因随机性巨大损失的发生而引起财务危机之风险。
风险处理手段的选择是一种综合性的科学决策,合理组合风险处理手段,就会做到成本低,效益高,即以最小的成本获得最大的安全保障。具体说来有如下的处理措施:
① 针对技术角度中的存在的风险:首先要建立规范措施,增强安全防范意识,加强信息产业、工商企业,银行及公安等部门的协调配合,完善安全技术和硬件措施。其次,尽可能在继承既有资源的基础上,加大银行信息系统基础建设的投入,加强硬件提供商、软件开发商,通信设备供应商、银行和其他金融机构的合作,制定统一的网络银行标准,促进银行网络化的发展。
② 针对经济角度中存在的风险:从产品策略上,将网上银行融入广义范围中的电子商务服务中,不能孤立地发展;加快提供基本的网上理财及投资服务,提高银行形象,避免服务落后令客户流失;加快有关网上贸易融资的发展步伐,以及探讨国际贸易组织利用网上操作的发展及影响;对各类网上银行服务种类的成本效益及相对优势作出全面分析,制定出关于资源重点投放的考虑原则及相关服务推出的优先次序;关注网上银行随着互联网发展所产生新的银行业务品种及商业机会。从营销策略上,加强世界及亚洲范围内互联网业、电子商务及网上银行发展的资料收集和调查研究,并制定出相应的营销计划;研究一些网上衍生的新的金融竞争对手,如由非金融部门创立发展的虚拟银行,并制定出防卫或合作的策略计划;根据产品生命周期理论在不同时期制定不同的网上银行营销计划。从人才策略上,增强银行员工的网络意识,加强网络知识的教育培训,建设一支适应新经济时代网络经济发展要求的高素质队伍。成立专门的网上银行发展策略小组,小组须有市场营销人员的加入,因为网上银行发展除了技术导向之外,市场导向是其发展的另一关键因素;研究网上银行对银行业内部管理文化及运作的冲击,并根据情况作出相应的调整。
③ 针对法律角度中存在的风险:研究开发新型有效的网络安全措施,防止非法用户侵入银行主机系统和数据库,通过客户和银行之间事先签定的协议来确保网络银行对私有数据的访问进行正确识别;制定和完善网络安全法规,加强网络安全保护工作,发展安全产品和安全认证;加强与各国政府及金融界的合作与谈判,尽快与各国政府达成对网络银行监管的共识,共同制定和完善有关网络银行的国际规范,以促进网络银行的良性发展。
(四) 风险管理效果评价阶段
指对风险处理手段的适用性和效益性进行分析、检查、修正和评估。
因为随着时间的推移,网络银行面临的社会环境和经济环境及自身经营活动的条件都会发生变化,这会导致原有风险因素的变化,也会产生新的风险因素。因此,必须定期评价风险处理效果,修正风险处理方法,以适应新的情况并努力达到最佳的管理效果。
风险管理效益的高低,主要看其能否以最小的成本取得最大的安全保障,而成本的大小则是为采取某项风险处理方案所支持的费用及其机会成本,而保障程度的高低则要看由于采取了该项方案而减少的风险损失(包括直接损失和间接损失)。从经济效益看,使得效益比值(效益比值=收益/成本)达到最大的风险处理方案为最佳方案。
为不断提高网络银行的风险管理效果还要做到以下几个方面:①检查和分析安全审计记录。银行网络系统在运行过程中出现的各种问题均有详细的记录,对有关的非正常操作的记录能使人们及早发现网络系统的绝大部分潜在的安全问题,并提供了评价和检测现有的风险控制措施的有效性的实践依据,从而提出相应的解决办法。②随时跟踪网络安全和计算机病毒等问题的最新技术进展。世界上没有一劳永逸的风险控制办法,必须及时了解各种网络安全控制信息,并根据银行网络系统的实际情况进行对比分析,采取相应的风险控制措施。③运用各种检查网络系统安全弱点的软件。恰当使用的使用这些软件可以及时发现大部分的网络安全方面的弱点。另外,还可以使用某些软件来监控网络系统的服务情况,以发现网络存在的问题,并进行综合评价风险管理措施的实施效果。
参考文献
林宏.香港网上银行现状与发展对策.
金雪军,刘春杰.网络银行的风险管理研究.
李文娟.网上银行:弄潮金融创新.金融时报.
王付彪,王晋忠.我国网络银行的问题及对策.
张为.商业银行风险系统分析和管理对策.上海投资.1998(6)
王新成.我国银行网络安全现状分析及改造.中国金融电脑.1999(11)
王东梅,郭子玉.网上银行发展动力及其前景展望.金融理论与实践.2001(6) 狄卫平,梁洪泽.中国网络银行发展中存在的主要问题.金融与保险.2001(9) 中国人民银行成都分行课题组.我国网络银行业务发展及其面临的问题.金融参考.2001(4)