從網(wǎng)上銀行看商業(yè)銀行新的風險暴露
一����、全面風險管理在銀行經營中的重要性
《資本計量和資本標準的國際協(xié)議:修訂框架》(簡稱“巴塞爾新資本協(xié)議”)�,標志著現(xiàn)代商業(yè)銀行的風險管理出現(xiàn)了一個顯著變化��,由以前單純的信貸風險管理模式轉向全面風險管理模式�����。
實施全面風險管理的關鍵在于構筑商業(yè)銀行內部控制系統(tǒng)���。中國銀監(jiān)會界定的商業(yè)銀行內部控制的要素主要有五點:1.內部控制環(huán)境�����,2.風險識別與評估�����,3.內部控制措施,4.監(jiān)督評價與糾正���,5.信息交流與反饋��。
二�、我國網(wǎng)上銀行發(fā)展現(xiàn)況
據(jù)《2009年中國網(wǎng)上銀行調查報告》顯示��,城鎮(zhèn)人口中�����,個人網(wǎng)上銀行用戶的比例為20.9%����,交易用戶(一年內使用過網(wǎng)上銀行交易功能)比例為70.3%�,人均月使用網(wǎng)銀5.6次。我國網(wǎng)上銀行存在問題為:1.發(fā)展環(huán)境欠完善���。2.網(wǎng)上銀行安全影響業(yè)務健康發(fā)展。釣魚網(wǎng)站�、盜取客戶信息等多種形態(tài)的信息安全問題成為制約網(wǎng)上銀行業(yè)務健康發(fā)展的重要因素。此外��,身份認證作為確保網(wǎng)上銀行安全的重要基礎和環(huán)節(jié)���,我國對其尚無統(tǒng)一的管理規(guī)定���。3.雖然《網(wǎng)絡銀行業(yè)務治理暫行辦法》已出臺,網(wǎng)銀市場準入的要求也開始規(guī)范化但監(jiān)管服務有待進一步加強����。
三、我國網(wǎng)上銀行主要面臨的風險及相關規(guī)定
網(wǎng)上銀行業(yè)務的雙方�����,客戶與銀行之間����,甚至涉及到提供身份認證服務的第三方�,都存在著包括信用風險����、市場風險、操作風險等在內的多方面的風險暴露�,提出了對于銀行加強內部控制、提高全面風險管理能力的全新要求��。舊巴塞爾協(xié)議側重對操作風險監(jiān)管的要求�����,《巴塞爾協(xié)議III》的內容加入了:強調核心一級資本的作用以抑制通過金融創(chuàng)新規(guī)避資本監(jiān)管����,同時引入杠桿比率以阻止過度杠桿化�����。體現(xiàn)了對國際銀行業(yè)內部控制的一個更為嚴格的監(jiān)管要求���。
四����、我國網(wǎng)上銀行風險暴露中關于身份認證的風險類型
大部分銀行使用的是國外頒發(fā)的服務器證書,不具備我國的合法資質���;一些銀行使用自薦金融認證證書��,證書的管理有待進一步加以規(guī)范��;第三方認證機構提供的身份認證服務正逐步被商業(yè)銀行所接受���,但也缺乏相應的管理規(guī)定。法律法規(guī)的不健全導致了網(wǎng)上銀行用戶面臨身份認證的風險:(一)盜取動態(tài)口令密碼:客戶經理在填寫客戶資料時填入經理本人手機號碼�,通過發(fā)送至手機的動態(tài)口令激活客戶的網(wǎng)上銀行并進行網(wǎng)上銀行轉帳操作。(二)掛靠同一網(wǎng)銀下的兩張銀行卡間操作:部分銀行掛靠在同一網(wǎng)銀下的銀行卡之間的轉帳操作僅需提供網(wǎng)上銀行登陸密碼而無需提供支付密碼��,不法分子利用詐騙手段(提供貸款等)讓受害者根據(jù)其要求開立一張沒有存款的銀行卡�,掛靠在受害者已有的網(wǎng)上銀行帳戶下,并按其要求設定銀行卡密碼����。不法分子利用卡內沒有存款的情況去降低受害者警惕,并在獲知登陸密碼的情況下�����,從受害者網(wǎng)上銀行賬戶下的其他銀行卡內轉出并提取現(xiàn)金。
五�、警示
誠然,一些市場份額較小的商業(yè)銀行如浦東發(fā)展銀行��、招商銀行所提供的網(wǎng)上銀行個人操作業(yè)務啟用了更嚴密的安全體系:需要網(wǎng)上銀行客戶同時提供登錄密碼以及操作密碼(即銀行卡密碼)才可進行個人業(yè)務操作�;諸如建設銀行、工商銀行等大型商業(yè)銀行���,可能出于管理上的需要或者系統(tǒng)更換的成本考慮����,仍然采取只需登陸密碼即可完成操作的安全設定�����。由于網(wǎng)上銀行面臨多方面的風險暴露:系統(tǒng)和設備自身的設計和運行的不完善而引發(fā)的技術層面的風險�,即在客戶身份認證時只依靠網(wǎng)上銀行登錄密碼檢驗而不需要銀行卡的支付密碼即可通過網(wǎng)上銀行實行轉賬;銀行內部的管理控制機制的不完善引發(fā)的風險�����,即銀行內控制度中相應的制度��、方法�、措施、程序等不健全所帶來的風險��;以及網(wǎng)上銀行客戶對風險的疏忽而增大的風險發(fā)生的頻率�����。
對于網(wǎng)上銀行業(yè)務的提供方銀行���,應該做到從商業(yè)銀行內部控制的五要素出發(fā)����,即:加強內部控制環(huán)境����,加強風險識別與評估環(huán)節(jié),完善內部控制措施���,監(jiān)督評價與糾正的應用�,及時進行信息交流與反饋��。
此外��,盡管《刑法》中界定了“非法侵入計算機信息系統(tǒng)犯罪”和對“破壞計算機信息系統(tǒng)罪”的處罰規(guī)定,但法律對計算機犯罪的界定是較粗略�,讓網(wǎng)絡銀行犯罪有隙可乘,同時讓受害者在依法維權的過程中帶來了一定的困難��。網(wǎng)上銀行的個人用戶����,應該提高自身的防范意識。
