网络银行的风险管理研究,本文主要内容关键词为:风险管理论文,银行论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着网络银行的发展,其风险问题日益突出,从目前金融理论界与实际部门的研究现状看,对传统银行风险防范与控制问题的研究较多,也制订了一系列相应政策措施,但对于网络银行风险及其管理这一新的课题的讨论十分缺乏。为有效防范与控制网络银行的风险,必须必按照风险管理的思路,深入探索解决网络银行问题的方法与途径。
一、网络银行面临的风险
网络银行的风险问题表现在三个方面:一是原有银行风险有了新的表现形式;二是产生了不少新的风险;三是银行网络存在风险放大效应。
(一)原有银行风险新的表现形式
1、攻击者增多
攻击传统银行的人往往局限于某一块地理区域,如特定的国家、省、市、县区域内,而网络银行的攻击者可来自世界各地。一方面从银行体系内部看,过去内部攻击者往往是案件发生的该银行分支机构——某个特定的支行、分理处或者储蓄所的人员,而网络银行采用了因特网(Internet)联结了本行的各家机构,甚至与中央银行或其他商业银行相通,网络通过的各个银行分支机构中的员工都有可能通过快捷的网络传输,威胁其他银行支机构的资金安全,跨地域、时空进行金融违规法操作。另一方面从银行体系外部看,网络银行可能面对的外部攻击来自目前上亿“网民”(这个数字还在快速增长)。
2、攻击方法更隐蔽
网上攻击的方法一般可以分为截收和非访问。这些攻击手段肉眼无法发现,具有很强的隐蔽性。
3、攻击范围增大
随着计算机技术、网络技术,特别是数字化技术的迅猛发展,各金融机构也向网络化数字化方向发展。各商业银行不再以业务分类的形式来建立许多小规模的系统,而是朝数据仓库的方向发展,推出综合业务管理系统,攻击者可以通过系统向银行的各项业务展开攻击,由于综合网络系统固有的技术特征——内在关联性,只要突破了一项业务的系统“堡垒”,就可能在整个综合网络内“畅行无阻”。在这种情况下,造成的后果无疑更加严重,资金损失的风险可能性大增加。
(二)网络银行面临的新风险
网络银行在充分享受现代网络技术的便捷时,也面临着网络技术带来的一系列的新的风险。
1、从技术的角度看面临的风险
风险突出表现在Internet的安全问题。网络银行将面临被闯入者攻击的危险,而且可能给闯入者攻击其他网络如银行内部决策信息系统提供了基地。其原因一是认证环节薄弱。Internet的许多事故的起源是因为使用了薄弱的静态的口令。Internet上的口令可以通过许多方法破译。其中最常用的两种方法是把口令解密和通过监视信道窃取口令,二是系统易被监视。当用户使用远程登录终端模拟协议(TELNET)或文件输协议(FTP)连接他在远程主机上的帐户时,他在Internet上传输的口令是没有加密的。因此,通过监视携带用户名和口令的(网间网协议)IP包可获取他们,并使用这些用户和口令到系统。三是信息易截取。由于大多数Internet上的信息是没有加密的,电子邮件口令、文件传输很容易被窥探和截获。同时,由于网络主机和防火墙的设置较为复杂,许多系统在设置过程中无意识地扩大了访问权限,从而可能被外部人员利用获得信息。四是操作系统漏洞。UNIX操作系统本身就是一个开放的系统,其源代码已经公开。如从一台联网的UNIX工作站上使用“跟踪路由”命令的话,就可以看见数据从客户机传送到服务器要经过许多不同的节点和系统,它们最容易受到攻击。
2、从经济的角度看面临的风险
①银行结算风险。网络银行改变了传统的以图章为支付指令的结算手段,采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”,数字签名的可靠性完全取决于银行安全控制系统的严密与否。
②银行管理风险。它是指由于商业银行内部信息系统和内控系统出现问题而使银行遭受损失的可能性。这包括两个方面:一是从人员素质角度看,网络银行业务较新,它需要银行职员既要掌握现代金融知识,又要掌握高超的计算机网络知识,而目前银行非常缺乏这方面的人才。二是从内部控制角度看,网络银行的网上操作使内部犯罪更易发生,因为内部人员对于网络密码、认证方式都了如指掌,居心不良或在交易中求胜心切的员工都可能试图超越权限进行交易。
③信用风险。信用风险是指借款人违反贷款协议,拒不清偿贷款,或丧失清偿能力而无力履行还款义务,给银行造成损失的潜在危险。网络银行没有实体办公地点、银行与客户之间没有面对面的接触,目前,又缺少足够丰富的客户资信评估数据,对借款人信用评价格外困难。而传统银行业务中抵押、担保等保证方式又难以适用于快捷的网络金融交易。
3、从法律的角度看面临的风险
①网络犯罪风险。网络系统是网络银行的依托,那么,网络本身存在的不足就会给网络银行带来风险。随着网民数量的增加和技术的提高,网络黑客的人数和技术水平都在上升,许多黑客为了消遣或炫耀技术而攻击网络,使网络银行的网络系统受损甚至崩溃的威胁。有的网络黑客会利用自己的技术来窃取商业机密或盗取“资金”,以谋取不义之财。有的犯罪分子还利用网络银行进行洗钱。
②法律风险。网络银行属于新兴事物,大多数国家政府尚未有配套的法律法规与之相适应,造成了银行在开展业务时无法可依,且银行难以采取主动措施,将犯罪活动消灭于萌芽之中。其实,即使各国有法律法规,但网络是跨越国界的,而各国之间有关金融交易的法律、法规存在的差异,在对网络银行的跨国交易业务过程中,会产生国与国之间法律问题上的冲突。目前国际上尚未就网络银行涉及的法律达成共同协议,也没有一个仲裁机构,客户与网络银行陷入法律纠纷之中。
(三)银行网络的风险放大效应
目前Internet已成为网络银行业务赖以运行的支撑体系,但采用网络技术的银行计算机系统也造成了金融风险的放大效应。首先,在网络空间内,所有经济活动表现为货币信息的传递与调拨。在网络内流动的已不是货币现金,而是代表资金的数字化信息,该信息所代表的货币量远远超过了实际的货币拥有量。其次,网络空间是个申请网络帐号即可进入的自由流动空间,该网络内的各个接点联结成一个整体,网络接点之间,有着紧密的关联度。在一个网络接点发生的风险可能会波及整个网络,甚至导致银行整个经营网络瘫痪。再者,高科技的网络技术所具有的快速远程处理功能,虽然为便捷、快速的金融服务和产品提供了强大的技术支持,但也加快了风险积聚的过程,风险积聚与发生可能就在同一时间内。在这种情况下,来不及察觉并采取防范、补救措施,就已导致一连串的资金损失。
因为网络银行存在上述风险,所以必须加强风险管理,否则,网络银行的存在和发展将受到严重的威胁。
二、网络银行的风险管理
根据风险管理理论,风险管理是由风险识别、风险衡量、风险处理和风险管理效果评价四个阶段构成的。网络银行的风险管理也必须围绕四个阶段进行。
(一)风险识别阶段
风险识别指管理人员通过对大量可靠的信息资料进行系统了解和分析,认清存在的各种风险资料进行系统了解和分析,认清存在的各种风险因素,进而确定所面临的风险及其性质,并把握其发展趋势。对网络银行而言,进行具体的风险分析就是判断自己希望保护的资源是什么及有哪些潜在的威胁。
在这个阶段可以采用这样的方法,即列举网络银行整个经营过程中存在的各种风险因素(指促使或引起风险事故发生的条件,以及风险事故发生时,导致损失增加、扩大的条件)、风险事故(又称风险事件,指引起损失的直接或外部原因,是致使风险造成损失的可能性转化为现实性的媒介),以及损失(指非故意、非计划、非预期的经济价值减少的事实)。
潜在的网络攻击可能来自任何可以访问用户网络的地方。进行风险分析时,要估计到所有的攻击来源,其中可能包括:系统内部、来自银行客户的访问、来自电子支付系统中特约商户的访问、来自提供金融证券信息的证券公司的访问。
外部攻击可来自多种不同的方面,其范围比内部攻击者大得多。具体说来,包括竞争者和黑客。竞争者希望从攻击别人的网络而收益。他们可能采取盗窃设计或金融信息的方式,或者仅仅要阻碍其他网络银行的正常运行。黑客是一些对计算机及网络有很深入了解的人,他们希望深入系统的内部进行研究。外部攻击往往表现为计算机犯罪、盗窃数据、非法使用资源等。
(二)风险衡量阶段
风险衡量是指对某种特定的风险,测定其风险事故发生的概率及其损失程度。风险衡量是在风险识别的基础上进行的。方法是以损失概率和损失程度为主要测算指标,据此确定风险的大小或高低。
对于网络银行来说,正确地估价风险是十分有益的。最早运用数量风险分析的是Robert Courteny,。1977年Courteney在美国IBM公司第一个提出了这一技术。在这种技术中,风险是以每年可能损失的金额数来定义的,风险可以根据下面的公式来计算:
R=PE
其中:R是风险;P是每年发生安全性威胁的概率;E是由于其中每一次破坏所损失的价值。这一公式的难点在于概率要由主观指定,并且损失额也常常难以确定。然而,这一公式本身仍然是十分有益的,因为它迫使一个机构中的成员去思考他们的风险损失。
P并不是一个简单的统计概率估计,这一概率应该看作是损失增值率(P[,L]),它是发生安全威胁的年平均率。例如,如果某事件300年发生一次,则P[,L]是0.00333(即365/109500),不计算闰年中的闰日。如果每天发生一次,则P[,L]是365(365/1)。如果每天发生100次,则P[,L]是36500(365/0.01)。换句话,PL按下式计算:
损失增殖率=(每年的天数)/(事件之间相隔的天数)
在网络银行的风险管理的过程中,考虑投入资源的有限,根据经济学的投入/产出理论,需要确定防范的重点——损失概率和损失程度较大的风险,通过一定的控制,可以由风险需要的最小化的“负效益”投入最终产生最大化“正效益”。如对网络银行提供的各项金融产品的服务进行分析,可以发现业务的经营风险各不相同,但是最基本的风险环节都集中在信息资源上。由于网络银行的信息系统中处理、传输、存储的都是金融信息,对其进行攻击将获得巨额的金钱,这些金融信息就成为被攻击的主要对象。然而,各种业务的金融信息由于涉及的金融产品和金融服务的性质不同,因而,发生的概率及其损失程度也不同。
风险衡量还需遵循两个原则。首先是综合性原则,即定量和定性相结合。网络银行的风险种类较多,涉及的范围包括技术、经济、法律等各个方面,有些方面,例如内部控制环节的风险衡量,如果采用定量分析方法,采集数字存在一定的困难,为此,可以采用定性方法。而对其他风险因素,例如计算机主机和网络设备的运行故障,可以运用数量风险分析技术进行定量计算。其次是全面性原则,即必须从全局角度分析潜在风险。网络银行采取了综合业务处理的方式,虽然提高了信息资源的共享程度,但是可能导致风险的“联动”效应,为此,在分析潜在风险的时候,必须从全局的角度进行考虑。
(三)风险处理阶段
对于网络银行面临的风险,在弄清了风险的性质和大小(或等级)之后,必须运用合理而有效的方法对风险加以处理。这一阶段的核心是风险处理手段的选择。
风险处理的手段大体上可分为两类:即控制型和财务型。控制型风险处理手段是损失形成前防止和减轻风险损失的技术型措施,它通过避免、消除和减少风险事故发生的机会以及限制已发生损失继续扩大,达到减少损失概率、降低损失程度,使风险损失达到最小之目的。这种手段的重点在于改变引起风险事故和扩大损失的条件。
财务型风险处理手段是通过事先的财务计划、筹措资金,以便对风险事故造成的经济损失进行及时而充分的补偿。这种手段的核心是将消除和减少风险的代价均匀地分布在一定时期内,以减少因随机性巨大损失的发生而引起财务危机之风险。如网络银行提取呆账准备金的手段就是这一类风险防范手段。需要指出的是,风险处理手段的选择是一种综合性的科学决策。为此,合理组合风险处理手段,就会做到成本低,效益高,即以最小的成本获得最大的安全保障。
从经济学意义讲,人的活动的最根本目的是要取得最佳效益。管理是一种社会活动,它是为了实现一个确定的目标而不断进行计划、组织和控制的过程。——其目的是如何运用有限的人、财、物力,取得最佳的经济效益和社会效益。因此,网络的风险处理系统无论如何构建,其目的必然是取得最佳的投资收益——“负收益”,即任何用于保护某种资源的投资不应超过从灾难中恢复所需要的金额。
在现代银行下环境中,安全措施是必要的,但在投入有限的前提下,不可能对所有安全措施平分“资源”,必须确定重点。可以根据各种加强网络安全的措施的重要性、可行性、急迫性对所有处理措施进行强行排序,以确定重点的结果。
(四)风险管理效果评价阶段
指对风险处理手段的适用性和效益性进行分析、检查、修正和评估。在前一阶段,选定并执行了风险处理手段之后,还应对执行效果进行检查和评价,并不断修正和调整计划。因为随着时间的推移,网络银行面临的社会环境和经济环境及自身经营活动的条件都会发生变化,这会导致风险因素的变化,也会产生新的风险因素。因此,必须定期评价风险处理效果,修正风险处理方法,以适应新的情况并努力达到最佳管理效果。
在一定时期内,风险处理方案是否为最佳,其效果如何,需要有科学的方法来评估。看风险管理效益的高低,主要看其能否以最小的成本取得最大的安全保障,而成本的大小则是为采取某项风险处理方案所支持的费用及其机会成本,而保障程度的高低则要看由于采取了该项方案而减少的风险损失(包括直接损失和间接损失)。
因采取该项风险处理方案而减少的风险损失
效益比值=──────────────────────
因采取该项风险处理方案所支付的各种+机会成本
若效益比值小于1,则该项风险处理方案不可取;若效益比值大于1,则该项风险处理方案不可取;若效益比值大于1,则该项风险处理方案可取。从经济效益看,使得此比值达到最大的风险处理方案为最佳方案。
为不断提高网络银行的风险管理效果,还要做到以下几个方面:
检查和分析安全审计记录。在风险管理过程中,银行网络系统在运行过程中出现的各种问题均有详细的记录,对有关的非正常操作的记录能使人们及早发现网络系统的绝大部分潜在的安全问题,并提供了评价和检测现有的风险控制措施的有效性的实践依据,从而提出相应的解决办法。
随时跟踪网络安全和计算机病毒等问题的最新技术进展。世界上没有一劳永逸的风险控制办法,必须及时了解各种网络安全控制信息,并根据银行网络系统的实际情况,进行对比分析,采取相应的风险控制措施。
运用各种检查网络系统安全弱点的软件。目前,在Internet上有各种检查网络系统安全弱点的软件,对这些软件的恰当使用,可以及时发现大部分的网络安全方面的弱点。另外,还可以使用某些软件来监控网络系统的服务情况,以发现网络存在的问题,并进行综合评价风险管理措施的实施效果。