三、我国网络银行风险防范中存在的主要问题
我国对网络银行的风险管理刚刚起步,还面临着众多亟待解决的问题。概括来讲,主要包括:安全技术和认证机制相对落后;业务管理和内控体系不够完善;有关法律法规不够健全;监管意识和监管方式相对滞后等。网络银行正在成为金融机构拓宽服务领域、实现业务增长、调整经营战略、促进金融发展的重要手段。但与此同时,因为其兼有银行业与现代信息技术的双重特点。网络银行的发展也在传统银行业一般风险的基础上带来了一系列新的风险,给银行业的监管和风险防范提出了更大的挑战。
1、安全技术和认证机制相对落后
我国信息技术虽然近些年有了长足进步,但在硬件核心技术方面仍然依赖国外进口,尤其是很多网络硬件设备还不具备自主研发功能;系统软件大部分依赖于国外软件,国内应用软件的研发和创新能力比较弱,很多漏洞等国外发现后提出补丁,我们才能补救,尤其是在防病毒技术比较落后。例如目前大多数网络银行采取的是“ID 和密码”认证,这一认证手段在用户登录认证检测时有可能被盗取密码,此外,“冒充站点”也是网络银行使用中的一个非常重要的安全隐患。更为重要的是,一些银行为了加快网络银行业务发展,对涉及核心技术和信息的软件也从第三方购买,或由其他公司开发维护,形成了更大隐患。
2、业务管理和内控体系不够完善
就整体而言,我国银行内控机制建设正处于不断完善阶段,特别是对网络银行这一近年来飞速发展的业务,还缺乏一整套成熟的风险管理控制机制。现有的内部审计在制约和监督网络银行业务能力上还不能说特别有效,风险管理人员、内部审计人员对于网络银行风险控制知识的欠缺,以及员工个人行为的不确定性,都给网络银行风险控制加大了难度。
第11页(共18页)
3、有关法律法规不够健全
网络银行仍然是经济金融活动的一部分,离不开法律的规范和保护。网络银行业务所形成的新的法律关系对传统商法带来了许多新的法律问题,而现行已出台的相关法律规定又很难规范网络银行的发展,以及切实保护用户的权益,从而增加了网络银行的经营风险。例如,网络银行交易凭证的有效性问题还未得到解决,目前有关支付结算办法和会计规则中没有关于网上交易凭证的规定。再如,电子支付是网络银行业务的重要组成部分,对这方面的规范主要是《电子支付指引》,由于电子支付活动中支付工具以及支付方式的复杂性,参与主体的多样性及不断创新,网络的开放性使更多的当事人有机会加入到网络银行的运营之中,使当事人之间的法律关系更趋复杂,通过一个指引进行全面规范的难度较大,因此有待法律法规进行规范。在法律规定不明确、法律适用不确切、处理结果不确定的情况下,网络银行业务极易引发风险。
4、监管意识和监管方式相对滞后
网络银行的发展,是对银行监管部门长期形成的网点审批模式和业务管理思路的巨大冲击。在网络银行时代,账务收支的无纸化、处理过程的抽象化、机构网点的虚拟化、业务内容的大幅增加,促使监管部门的业务监控向更广的时空过渡,使得现有监管方式在效率、质量、辐射等方面大打折扣。同时在实际工作中,网络银行业务与传统银行业务常常交织混合在一起,使现有的监管组织形式和现场检查手段无法满足新的监管要求。对于以上网络银行风险防范面临的问题,我们只有深入研究探索,采取切实有效措施加以解决,才能保障网络银行的快速健康发展
四、我国网络银行风险防范对策
1、加快技术更新
网络银行风险产生的主要原因在于信息技术的不断更新,因此网络银
第12页(共18页)
行想要有效规避风险首先必须从技术方面入手,也就是说,“硬件”要过硬。
(1)火墙安全策略
目前,系统安全产品使用最广泛就是防火墙技术。防火墙是放置在两个网络之间硬件和软件的组合。访问控制、审计功能和地址翻译是其主要功能,通过这些功能,防火墙就可以阻挡非法访问和不安全数据的传递。防火墙安全策略是网络银行风险规避技术策略中最基本也是最重要的策略。
(2)入侵检测技术策略
作为静态安全防护体系,防火墙是比较被动的风险规避技术策略。因此,在一些需要重点保护的对象或网段上,必须配备入侵检测系统。当网络攻击者攻击服务器、路由器和防火墙等重要的网络设备时,入侵检测系统能够察觉这些入侵者,并识别出非法访问行为,对其有效隔离。 (3)网络安全协议是一种信息交换标准,目的是为了保障电子商务的安全性和操作性。
(4)系统备份与恢复策略,百分之百的绝对安全是无论采用怎样的风险规避策略都不可能保证的,如果风险发生,就要有相应的有效的应对措施,避免风险进一步扩大。这个时候系统的备份与恢复策略的重要作用就体现出了。因为网络银行对安全性和可靠性都有较高的要求,因此需要制定一套多层次、全方位的备份与恢复策略。上述几种技术策略是网络银行风险规避技术策略中最基本、最重要的几种策略。在规避网络银行系统自身的安全性风险方面,主要是防火墙安全策略、入侵检测技术策略、系统备份与恢复策略;在规避网络银行服务及交易过程中风险方面,主要是网络安全协议、数字签名和数字证书。以上这些技术策略取长补短、相互配合,最终构成了网络银行风险规避的技术策略体系。
第13页(共18页)
2、提高网络银行业务管理水平和完善内控体系
网络银行业务的无纸化特征,使交易安全更有赖于银行内控机制的健全与有效。要想保证网络银行稳健经营、进而保障存款人利益以及整个金融体系稳定,必须建立以风险控制为主要内容的网络银行内控制度。建立可靠的风险防范体系,除了合理的安全技术以外,配套的管理制度也是不可或缺的。
(1)建立系统维护制度。从确保网络银行系统正常运行的角度出发,必须建立
起系统维护制度。其中:建立硬件日常维护制度,包括建立机房管理制度和系统设备档案,并通过网管软件与手工相结合的方式,随机抽样检查系统硬件,及时掌握系统运行状况,及时处理存在的问题。建立软件日常维护制度,包括严格管理软件开发全过程,严格划分软件设计、业务测试、系统运行维护等方面的职责。随时监控系统负载、登陆的用户、系统的异常提示等,定期清理日志文件、临时文件,对软件及时进行版本更新和维护。建立用户管理制度,必须保证身份只有被系统确认才可进入,有专人负责用户建立、用户权限管理,必须经过审批才能修改数据信息,并记录在案。建立病毒防范安全管理制度,及时更新防病毒软件,定期进行病毒清理,对容易感染的文件的属性、权限加以限制,防止各种途径可能的病毒攻击。
(2)建立严格的人员管理制度。使员工之间能够相互制约和相互监督,严格划分前台和后台,严禁岗位交叉。例如,关键设备和关键项目的操作要有两个或多人在场。要实施多级管理,多人负责,职责分离。所有工作人员必须经过授权认证后才能上岗,并定期或不定期轮岗。
(3)建立风险预警制度。网络银行可建立动态的风险预警系统、安全
第14页(共18页)
技术应急反应中心等,以随时分析业务风险和收益。加强对各类风险的监测,预告可能出现的安全问题,提出解决措施。
3、 改善运营环境,提供有力的法律保障 (1)完善相关法律
在对《商业银行法》《银行业监督管理法》等金融法律法规进行清理、修订不宜于网络银行监管规定的同时,可以考虑制定专门的《网络银行法》,以立法形式确定网络银行市场准入条件及程序,规范业务活动,规定当事人之间的法律关系,监管的目标、原则、措施等持续监管要求,保证网络银行在审慎的框架下稳健经营。
(2)严格客户准入
这是网络银行业务风险控制的第一道防线。例如,银行在办理信用卡业务时,对持卡人的资信情况进行调查,符合条件的方可办理。这样一方面可以掌握客户资料,培养优质客户群体;另一方面某种程度上可以防止客户欺诈。
(3)细化合同约定
网络银行为了能够提供服务,需要同用户、网络服务商、服务设施的硬件与软件提供商进行交易,银行可以通过一系列的合同将其分摊出去。如银行与网络通讯公司签订合作协议,对因网络故障造成的损失,由网络通讯公司分担;银行与用户签订使用协议,对因用户使用不当造成的损失,由用户本人分担等等。网络银行业务中的协议大多是银行拟制的,有的由当事人协商确定条款,有的则是银行方面制定的格式合同。需要注意的是,《合同法》为防止一方当事人滥用交易优势订立不合理的合同,规定了若干限制性条款。例如,规定因故意或者重大过失造成对方财产损失的,免责条款无效;免责或限制责任的格式条款不提示说明的、免除已方责任、加重对方责任或排除对方主要义务的无效等。所以,网络银行在拟订合同文本时,一方面要分摊风险,另一方面也要注意条款的公平性和合法性。
第15页(共18页)