临的风
险究竟有多大,对银行会有什么样的影响,这些风险发生的概率有多大。等等。在此基
础上,银行的管理层要做出决定,确定本银行究竟能够忍受多大程度的风险。换句话讲,
如果出现这些风险。造成了相应的损失。银行的管理层能不能接受。到了这一步风险的
评估才算完成了。管理和控制风险的过程比较复杂,简单地说就是各种各样相应的控制
措施、制度的采用。最后一个步骤即风险的监控是建立在前两个步骤基础上的,实际上
是在系统投入运行、各种措施相继采用之后,通过机器设备的监控,通过人员的内部或
者外部稽核,来检测、监控上述措施是否有效,并及时发现潜在的问题,加以解决。
许多国家都接受巴塞尔委员会电子支付风险管理的步骤,并加以本土化,针对本国
银行的特点,制定出本国电子支付风险管理的基本程序。比如美国通货监管局负责监管
美国的国民银行,随着大量国民银行采用各种各样的电子技术向客户提供电子支付的服
务,国民银行将与技术有关的风险管理也分成三个步骤:计划、实施、检测和监控。计
划阶段在一定程度上包括风险的识别、量化等,但主要是针对某一个具体项目的采用而
言。而实施实际上类似于巴塞尔委员会的管理和控制风险这一步骤,将各种相应风险控
制和防范措施加以实际运用,以控制项目运行后造成的风险。检测和监控阶段则
同巴塞
尔委员会的风险监控大同小异。
因此,简单地说,风险的管理过程是技术措施同管理控制措施相结合而形成的一系
列制度、措施的总和。整个过程同传统银行业务的风险管理差别并不是很大,但电子支
付采用的新的风险管理措施需要同银行原有的内控制度相配合,同传统业务的风险管理 措施相融合。
2. 防范电子支付风险的技术措施
电子支付风险的防范还依赖许多技术措施。 具体详见(五)1.1 章节。
2.1. 建立网络安全防护体系
建立网络安全防护体系,防范系统风险与操作风险。不断采用新的安全技术来确保
电子支付的信息流通和操作安全,如防火墙、滤波和加密技术等,要加快发展更安全的
信息安全技术,包括更强的加密技术、网络使用记录检查评定技术、人体特征识别技术
等。使正确的信息及时准确地在客户和银行之间传递,同时又防止非授权用户如黑客对
电子支付所存储的信息的非法访问和干扰。其主要目的是在充分分析网络脆弱性的基础
上,对网络系统进行事前防护。主要通过采取物理安全策略、访问控制策略、构筑防火
墙、安全接口、数字签名等高新网络技术的拓展来实现。为了确保电子支付业务的安全,
通常设有三种防护设施。第一种是装在使用者上网用的浏览器上的加密处理技
术,从而
确保资料传输时的隐秘性,保障使用者在输入密码、账号及资料后不会被人劫取及滥用;
第二种是被称为“防火墙”的安全过滤路由器,防止外来者的不当侵入;第三种防护措
施是“可信赖作业系统”,它可充分保护电子支付的交易中枢服务器不会受到外人尤其
是“黑客”的破坏与篡改。
2.2. 发展数据库及数据仓库技术
发展数据库及数据仓库技术,建立大型电子支付数据仓库或决策支持系统,防范信
用风险、市场风险等金融风险。通过数据库技术或数据仓库技术存储和处理信息来支持
银行决策,以决策的科学化及正确性来防范各类可能的金融风险。要防范电子支付的信
用风险,必须从解决信息对称、充分、透明和正确性着手,依靠数据库技术储存、管理
和分析处理数据,是现代化管理必须要完成的基础工作。电子支付数据库的设计可从社
会化思路考虑信息资源的采集、加工和分析,以客户为中心进行资产、负债和中间业务
的科学管理。不同银行可实行借款人信用信息共享制度,建立不良借款人的预警名单和
“黑名单”制度。对有一定比例的资产控制关系、业务控制关系、人事关联关系的企业
或企业集团,通过数据库进行归类整理、分析、统计,统一授信的监控。
2.3. 加速金融工程学科的研究、开发和利用
金融工程是在金融创新和金融高科技基础上产生的,是指运用各种有关理论和知 识,设计和开发金融创新工具或技术,以期在一定风险度内获得最佳收益。目前,急需
加强电子技术创新对新的电子支付模式、技术的影响,以及由此引起的法制、监管的调 整。
2.4. 通过管理、培训手段来防止金融风险的发生
电子支付是技术发展的产物,许多风险管理的措施都离不开技术的应用。不过这些
技术措施实际上也不是单纯的技术措施,技术措施仍然需要人来。贯彻实施,因此通过
管理、培训手段提高从业人员素质是防范金融风险的重要途径。《中华人民共和国电脑
系统安全保护条例》、《中华人民共和国电脑信息网络国际联网管理暂行规定》对电脑信
息系统的安全和电脑信息网络的管理使用做出了规定,严格要求电子支付等金融业从业
人员依照国家法律规定操作和完善管理,提高安全防范意识和责任感,确保电子支付业
务的安全操作和良好运行。
为此,要完善各类人员管理和技术培训工作。要通过各种方法加强对各级工作人员
的培训教育,使其从根本上认识到金融网络系统安全的重要性,并要加强各有关人员的
法纪和安全保密教育,提高电子支付安全防护意识。是要培训银行内部员工。由于电子
支付是技术的产物,使内部员工具有相应的技术水平也是风险管理的重要方面。这些培
训包括各种各样的方式,如专门的技术课程要求员工参加业内的研讨会、工作小组。同
时,保证相应的技术人员能够有时间进行研究、学习,跟踪市场和技术的发展状况。二
是对客户进行教育和培训,教会他们如何使用银行的设备,出现问题怎么办,并通过培
训向客户披露有关的信息,如银行主页上建立的链接点的性质、消费者保护的措施、资
料保密的要求,等等,以此减少相应的法律风险。
2.5. 其他相关防范措施
具体的技术防范细节还有很多,如为了防止黑客的入侵,防止内部人员随意泄露有
关的资料和信息,密码技术被广泛地应用。但是,并不是所有的信息都一样重要。一些
监管机构要求银行首先要对资料进行分类,分成“高度机密”、“机密”和“公开”信息
三类,不同种类的信息采取的保密措施不同。对于高度机密信息,在储存和通过内部网
络传送时必须加密。在技术和资金允许的情况下,可以尽量采用更强一些的密钥。同时,
要强化密钥的管理,建立有效的密钥管理方式,如保护密钥不受篡改和违法使用,根据
资料的秘密程度,定期更换密锯。至于通过公开网络如互联网传递的信息,都必须进行
加密。口令(Password)有时也称为密码,但为了与密码技术相区别而把它称为口令。