【摘要】隨著經(jīng)濟社會的不斷縱深發(fā)展，創(chuàng)新的理念已成為組織發(fā)展的重要保障因素。在這種背景下，商業(yè)銀行需不斷進行產(chǎn)品創(chuàng)新，以符合市場發(fā)展需求，獲取競爭上的優(yōu)勢。然而，產(chǎn)品創(chuàng)新過程中不可避免會存在諸多的風(fēng)險，有必要進行有效的防控。本文基于對商業(yè)銀行產(chǎn)品創(chuàng)新及風(fēng)險管理相關(guān)理念的概述，從借記卡、信用卡、網(wǎng)上銀行、電話銀行四個方面入手，結(jié)合案例分析產(chǎn)品創(chuàng)新過程中存在的風(fēng)險，并分別提出了相應(yīng)的風(fēng)險防范對策。最后，對研究進行了總結(jié)與討論，以求為我國商業(yè)銀行更好的開展產(chǎn)品創(chuàng)新活動提供必要的借鑒與參考。

【關(guān)鍵詞】商業(yè)銀行 產(chǎn)品創(chuàng)新 風(fēng)險 防范措施

一、引言

（一）研究意義

隨著經(jīng)濟社會的不斷快速發(fā)展，商業(yè)銀行所面對的外部環(huán)境也正發(fā)生著快速的變化，尤其是金融改革的不斷深化，股票、債券、基金等新型金融工具層出不窮，這都為商業(yè)銀行經(jīng)營帶來了創(chuàng)新的必要。同時，在全球經(jīng)濟一體化及交流日益頻繁的影響下，國際金融機構(gòu)不斷進入我國市場，我國商業(yè)銀行所面對的競爭也越來越激烈，而為了在市場競爭中獲得有利的地位，促進自身獲得長期發(fā)展，商業(yè)銀行就必須不斷進行產(chǎn)品創(chuàng)新。從某種意義上說，商業(yè)銀行的發(fā)展取決于它所提供的產(chǎn)品能否滿足市場需求，能否被客戶接受并使用。但是，目前許多創(chuàng)新業(yè)務(wù)我們還缺乏管理經(jīng)驗，對其潛在的風(fēng)險認(rèn)識不足。另外，市場所要求的持續(xù)性產(chǎn)品創(chuàng)新也迫使商業(yè)銀行需大量推出創(chuàng)新型的產(chǎn)品，而這都提升了風(fēng)險出現(xiàn)的可能性。事實上，不同金融產(chǎn)品所帶來的風(fēng)險類別有所差異，而在進行風(fēng)險防范過程中也需綜合運用多種方法，因此針對不同產(chǎn)品創(chuàng)新的風(fēng)險特征進行分析，并采取有針對性的防范手段十分必要。

本文正是基于以上背景，以商業(yè)銀行借記卡、信用卡、網(wǎng)上銀行、電話銀行四種產(chǎn)品為例，分別結(jié)合具體案例，對其風(fēng)險及具體的防范措施進行分析，以求為商業(yè)銀行產(chǎn)品創(chuàng)新中的風(fēng)險進行有效的認(rèn)識與防范。

（二）研究設(shè)計

本文的研究利用了案例研究法與規(guī)范分析法搭配使用，在對當(dāng)前學(xué)者關(guān)于商業(yè)銀行產(chǎn)品創(chuàng)新及風(fēng)險管理的基礎(chǔ)上，分別從借記卡、信用卡、網(wǎng)上銀行及電話商業(yè)銀行四個方面進行了規(guī)范性分析，從而找出商業(yè)銀行產(chǎn)品創(chuàng)新中所面對風(fēng)險的一般性特質(zhì)，進而針對每一種產(chǎn)品創(chuàng)新，結(jié)合具體的案例進行深入的解釋說明。在以上分析的基礎(chǔ)上，針對不同產(chǎn)品創(chuàng)新類型，提出了相應(yīng)的風(fēng)險防范對策。為了實現(xiàn)研究目的，本文在研究開展過程中，不僅查閱了大量資料，而且精煉出研究所需要的案例，從而保障結(jié)論的完備性與普適性。

二、理論透視

（一）商業(yè)銀行產(chǎn)品創(chuàng)新

國內(nèi)對于商業(yè)銀行產(chǎn)品創(chuàng)新的研究得益于改革開放所帶來的新理念，學(xué)者們最早針對國外金融市場中所存在的各種類型的金融工具產(chǎn)生了興趣，并紛紛撰寫著作來介紹國外，尤其是美國的金融產(chǎn)品創(chuàng)新。事實上，在早期的研究中，學(xué)者們對于商業(yè)銀行發(fā)展路徑的分析并未形成較為統(tǒng)一的認(rèn)識，這與我國商業(yè)銀行自身發(fā)展?fàn)顩r處于起步階段不無關(guān)系，相關(guān)的研究也處于探索階段。伴隨著我國正式加入世貿(mào)組織，我國總體金融環(huán)境逐步呈現(xiàn)出開放式的狀況，因此學(xué)者們基于變化了的背景對商業(yè)銀行產(chǎn)品創(chuàng)新進行了分析。在這一時期的研究中，學(xué)者們普遍認(rèn)同商業(yè)銀行的產(chǎn)品創(chuàng)新活動對于優(yōu)化我國金融體系是十分有益的。面對外資商業(yè)銀行的進入，我國商業(yè)銀行也可以不斷汲取對方在產(chǎn)品創(chuàng)新中的優(yōu)秀做法，從而帶來有利于金融市場發(fā)展的創(chuàng)新型金融產(chǎn)品。張暉的研究指出中國在金融開放式環(huán)境下，能夠借助外力來突破原有的封閉狀態(tài)，而外資商業(yè)銀行恰為金融方面的革新帶來了幫助。當(dāng)然，也有學(xué)者持相反觀點，劉立新認(rèn)為，我國商業(yè)銀行實質(zhì)上存在著較為嚴(yán)重的行政壟斷式特征，而這顯然無法與純粹的市場競爭機制相聯(lián)系，從而外資商業(yè)銀行對于我國商業(yè)銀行的影響力不會很大，而金融體系的改革及金融產(chǎn)品的創(chuàng)新仍然需要依賴商業(yè)銀行自身。在以上觀點的影響的下，學(xué)者們對于金融產(chǎn)品創(chuàng)新的發(fā)展策略給予了充分關(guān)注，觀點也較為一致，認(rèn)為對于商業(yè)銀行自身經(jīng)營機制的革新以及對于金融環(huán)境的優(yōu)化是兩個重要方面。

目前，學(xué)者們研究的不足之處在于未能對產(chǎn)品創(chuàng)新的實質(zhì)性問題加以關(guān)注，如風(fēng)險問題，而僅僅聚焦于產(chǎn)品創(chuàng)新的動因或功能，需要進行深入有針對性的研究。

（二）商業(yè)銀行風(fēng)險管理

首先，從新資本協(xié)議角度出發(fā)a研究如何構(gòu)建我國商業(yè)銀行全面風(fēng)險管理體系。巴曙松（2003）認(rèn)為新資本協(xié)議滿足商業(yè)銀行對于風(fēng)險更敏感的風(fēng)險監(jiān)管框架，并總結(jié)出新資本協(xié)議對我國商業(yè)銀行各方面的影響，認(rèn)為我國應(yīng)主動、加快實施新資本協(xié)議，向全面風(fēng)險管理轉(zhuǎn)移。楊毓（2004）在分析了新資本協(xié)議的主要內(nèi)容，并闡述我國商業(yè)銀行存在的主要問題后，認(rèn)為我國應(yīng)從風(fēng)險管理文化、風(fēng)險計量方法模型、風(fēng)險制度等方面構(gòu)筑全面風(fēng)險管理體系。滕趕遠(yuǎn)、譚方東（2002）分析了在實施新資本協(xié)議后，我國商業(yè)銀行的資本金管理會受到的影響，并分析我國商業(yè)銀行風(fēng)險管理的現(xiàn)狀，提出相關(guān)對策。

其次，風(fēng)險管理技術(shù)。國內(nèi)對商業(yè)銀行風(fēng)險管理技術(shù)的研究主要集中在對國外方法的介紹、檢驗和比較以及在我國的適應(yīng)性等實證研究中。李志輝（2004）對浦東發(fā)展商業(yè)銀行和深圳發(fā)展商業(yè)銀行運用的證券因素模型和收入模型進行了實證分析，得出收入模型更有效的結(jié)論。董彥文（2005）分析比較了新資本協(xié)議中基本指標(biāo)法、標(biāo)準(zhǔn)法、高級衡量法三種風(fēng)險評估方法和國外商業(yè)銀行采用的基于VAR的極值理論中的POT模型，并探討了各自在我國的實用性，提出我國商業(yè)銀行業(yè)操作風(fēng)險不同發(fā)展階段的選擇建議。武劍（2005）探討了內(nèi)部評級法下的核心變量LGD（違約損失率）的測算要求、計量方法和模型構(gòu)建，論述了內(nèi)部評級高級法下LGD回歸模型的自變量結(jié)構(gòu)，并對我國商業(yè)銀行如何建立內(nèi)部評級體系提供了建議。

（三）產(chǎn)品創(chuàng)新與風(fēng)險防范的辯證關(guān)系

銀監(jiān)會副主席唐雙寧指出，業(yè)務(wù)創(chuàng)新是商業(yè)銀行發(fā)展的動力，防范風(fēng)險是商業(yè)銀行發(fā)展的前提，規(guī)范管理是商業(yè)銀行發(fā)展的基礎(chǔ)，外部支持是商業(yè)銀行業(yè)務(wù)創(chuàng)新的關(guān)鍵。他強調(diào)，銀行業(yè)金融機構(gòu)要認(rèn)真貫徹和落實科學(xué)發(fā)展觀，制定新業(yè)務(wù)研發(fā)戰(zhàn)略和規(guī)劃，嚴(yán)密論證新產(chǎn)品的可行性，充分評估和測算業(yè)務(wù)風(fēng)險，完善產(chǎn)品定價機制和風(fēng)險控制措施，做到成本可算、風(fēng)險可控，避免盲目和無序競爭。事實上，我國商業(yè)銀行在面臨外資銀行全面競爭的同時，傳統(tǒng)業(yè)務(wù)又受到資本約束等的限制，惟有通過產(chǎn)品創(chuàng)新，才能實現(xiàn)更好更快的發(fā)展。產(chǎn)品創(chuàng)新在給商業(yè)銀行帶來傳統(tǒng)業(yè)務(wù)之外的巨額利益的同時，也對科技進步和社會發(fā)展產(chǎn)生了極大的推動作用。

但是，產(chǎn)品創(chuàng)新其潛在風(fēng)險也給全球金融和經(jīng)濟的發(fā)展帶來了巨大損害。1995年英國巴林銀行的倒閉、1997年東南亞金融危機的爆發(fā)以及1998年美國對沖基金長期資本管理公司（Long Term Capital Management）的巨額虧損等歸根結(jié)底都是金融創(chuàng)新風(fēng)險管理不善的結(jié)果。美國次貸危機中的次級按揭貸款、次級債券，包括MBS（美國住房抵押貸款支持債券）、CDO（債務(wù)抵押債券）、CDS（信用違約互換）等都是美國典型的金融創(chuàng)新產(chǎn)品，是金融機構(gòu)分散金融風(fēng)險的主要工具之一，曾經(jīng)為美國金融機構(gòu)的輝煌業(yè)績貢獻了重要力量。所以，要把追求發(fā)展的速度與提高效益、防范風(fēng)險統(tǒng)一起來。講效益必須以安全為前提，講發(fā)展必須量力而行，講創(chuàng)新必須內(nèi)控先行，超前預(yù)測分析風(fēng)險，堅持速度、效益、安全的統(tǒng)一。

三、商業(yè)銀行產(chǎn)品創(chuàng)新中存在的風(fēng)險

（一）借記卡

商業(yè)銀行通過加大對借記卡功能的整合升級，建設(shè)自己的“一卡通”平臺，深度挖掘客戶信息，為客戶提供綜合理財、消費咨詢以及俱樂部會員服務(wù)等一攬子的增值服務(wù)，極大的提高了銀行產(chǎn)品對單個客戶的滲透率，降低了客戶的流失率。

1.存在的風(fēng)險。第一，商業(yè)銀行信息中心人員（或負(fù)責(zé)維護的電腦廠商）利用維護系統(tǒng)機會竊取借記卡磁條第三方資料；或利用制作借記卡密碼函時取得客戶密碼（Pin）；或竊取密碼亂碼化基碼并篡改方式將密碼解密；或重新執(zhí)行制作密碼函方式竊取密碼等。第二，ATM端末廠商維修人員（或商業(yè)銀行方式人員）非法竊改ATM端末方式，復(fù)制客戶借記卡第三方資料及密碼后，偽造借記卡盜領(lǐng)客戶存款。第三，營業(yè)單位保管借記卡或密碼函的主管、經(jīng)辦監(jiān)守自盜。第四，犯罪分子利用客戶提款時記錄客戶借記卡磁條資料及攝錄輸入的密碼，并憑以制作偽卡盜領(lǐng)客戶存款。第五，犯罪分子利用儲戶對業(yè)務(wù)操作程序不熟悉或警覺性不足，以詐騙手法引誘套取儲戶密碼資料或依其指示將款項轉(zhuǎn)出至其所預(yù)設(shè)賬戶。

2.案例解析。案例：犯罪分子運用市場購得的提款機相關(guān)零組件及用以連接提款機面板與記錄借記卡內(nèi)碼的讀卡機介面方式，組合偽裝成XX商業(yè)銀行提款機，再趁不知情民眾于其偽冒提款機提款時，同時記錄借記卡密碼和磁條資料，再據(jù)以轉(zhuǎn)錄偽造借記卡，至他行提款機盜領(lǐng)27家商業(yè)銀行客戶存款共600余萬。分析全案系由于一般民眾普遍疏于辨識提款機真?zhèn)?，且對于無法正常提款時，多未警覺應(yīng)即時變更密碼并通報所屬商業(yè)銀行查明原因；另各商業(yè)銀行則多僅注意其轄下各提款機機體的安全防護措施，對于報廢提款機的處置銷毀流程未嚴(yán)加控管，也為該案發(fā)生的原因之一。

（二）信用卡

為了更好地滿足客戶需求，各大商業(yè)銀行都推出了個性化的信用卡服務(wù)，通過將增值服務(wù)和信用卡產(chǎn)品綁定，達到吸引客戶、提高客戶忠誠度的目的。如客戶可通過建設(shè)銀行網(wǎng)站My Love 信用卡頻道親自設(shè)計My Love 信用卡卡面，彰顯客戶的高端品味和與眾不同的尊貴氣質(zhì)。

1.存在的風(fēng)險。近年來信用卡線上交易量逐年暴增，原傳統(tǒng)持卡人到實體商店刷卡消費的行為模式，漸被持卡人由上網(wǎng)輸入信用卡卡號、有效年月、使用者身份ID等資料，經(jīng)由網(wǎng)絡(luò)到店家的網(wǎng)站購物，再由商家傳送“授權(quán)/清算中心”要求付款清算，或由消費者使用商業(yè)銀行所推出的專供網(wǎng)絡(luò)購物消費的虛擬信用卡（一組無實體卡的信用卡號碼），于網(wǎng)絡(luò)上向“網(wǎng)絡(luò)特約商店”購物的交易模式所取代，致其作業(yè)風(fēng)險，已由傳統(tǒng)實體防偽機制轉(zhuǎn)變?yōu)橄M者上網(wǎng)登錄個人基本資料（姓名、地址、職業(yè)、電話、信用卡號或請款賬號等），而涉及無實體可供辨認(rèn)所衍生的風(fēng)險：犯罪分子以冒名方式申請網(wǎng)絡(luò)信用卡；黑客利用網(wǎng)絡(luò)技術(shù)入侵發(fā)卡商業(yè)銀行資料庫或侵入網(wǎng)絡(luò)服務(wù)公司（ISP）管理信用卡信息的伺服器，竊取網(wǎng)絡(luò)賬號、密碼及卡號；犯罪分子（或持卡人）與網(wǎng)絡(luò)特約商店勾結(jié)“假消費真詐財”；網(wǎng)絡(luò)商店人員利用持卡人于網(wǎng)絡(luò)消費時所輸入賬號、卡號等資料上網(wǎng)冒用；發(fā)卡商業(yè)銀行的電腦網(wǎng)絡(luò)工程師或維修工程師利用維護系統(tǒng)時伺機竊取持卡人資料檔案并偽冒消費。

2.案例解析。案例：犯罪分子集團以他人身份證及偽造財產(chǎn)資料冒名申請信用卡后出售或購物轉(zhuǎn)售圖利。經(jīng)分析該集團主要系利用商業(yè)銀行營銷人員為爭取客源，未依規(guī)定辦理資信與調(diào)查，廣泛發(fā)卡；或?qū)τ谛庞每ㄉ暾埲松矸葑C件及相關(guān)財力證明，未落實核驗并進一步資信查證是否屬實，即準(zhǔn)予發(fā)卡；輕易取得卡片盜刷得逞。

（三）網(wǎng)上銀行

近年來，網(wǎng)上銀行超市化明顯，商業(yè)銀行突破網(wǎng)銀只能進行查詢和交易功能限制，加載一些可以流程化的中間業(yè)務(wù)、資產(chǎn)類業(yè)務(wù)，極大地提高了電子渠道的利用率。

1.存在的風(fēng)險。網(wǎng)上銀行因系客戶利用個人電腦，經(jīng)由憑證認(rèn)證機構(gòu)所核發(fā)的電子憑證，透過網(wǎng)絡(luò)連線至商業(yè)銀行的網(wǎng)站進行交易，因此其作業(yè)風(fēng)險主要來自于三方面：客戶端作業(yè)憑證的保管及使用、商業(yè)銀行端信息設(shè)備與系統(tǒng)的安全防護、交易信息經(jīng)由網(wǎng)絡(luò)傳輸過程是否遭受外來黑客的干擾或截聽；另由于網(wǎng)上銀行交易過程中均處于開放環(huán)境的系統(tǒng)架構(gòu)，致可能隨時遭遇來自商業(yè)銀行內(nèi)外部的侵害。綜上所述，網(wǎng)上銀行的風(fēng)險如下：

第一，主機實體安全的漏洞，如：信息機房門禁管制欠佳、輸出輸入設(shè)備及通訊設(shè)備管制欠妥、預(yù)留過多未經(jīng)管制的外接埠、報表及磁性媒體管制欠妥等，導(dǎo)致主機遭破壞、系統(tǒng)遭入侵、防火墻被關(guān)閉、實體連結(jié)線路被改變，作業(yè)人員或客戶資料遭竊取等。

第二，作業(yè)系統(tǒng)或系統(tǒng)軟件漏洞，如：未定期修補系統(tǒng)方式或未及時提升版本、未掃描異常更新或復(fù)制的系統(tǒng)檔案、未設(shè)妥電腦病毒防范措施、系統(tǒng)安控參數(shù)設(shè)定不完整，致使黑客利用緩沖區(qū)溢出漏洞、植入木馬方式取得特權(quán)使用者密碼或夾帶植入電腦病毒以癱瘓主機及防火墻系統(tǒng)，或夾帶木馬方式進行資料竊取及破壞，或利用系統(tǒng)安控設(shè)定不周全以進行資料竊取及破壞。

第三，網(wǎng)絡(luò)系統(tǒng)安全設(shè)計及管理有缺失，如：未設(shè)計資料庫查詢參數(shù)過濾器及介面查詢方式過濾器，導(dǎo)致黑客利用資料隱碼攻擊夾帶方式竊取資料庫資料；對于資料庫未設(shè)定適當(dāng)?shù)拇嫒?quán)限，未建立嚴(yán)謹(jǐn)?shù)木W(wǎng)上銀行所有方式及網(wǎng)頁的換版程序；或委托外部開發(fā)維護的系統(tǒng)遭電腦廠商人員夾帶不當(dāng)顯示資料原始碼，造成資料外泄；任意下載系統(tǒng)漏洞修補方式而遭入侵；對網(wǎng)上銀行主機、防火墻、資料庫主機及中心主機所形成的網(wǎng)絡(luò)與商業(yè)銀行內(nèi)部網(wǎng)絡(luò)未作隔離，導(dǎo)致犯罪分子利用預(yù)先隱藏特定網(wǎng)頁或功能，入侵中心主機存取資料。

第四，對檔案資料存取控制設(shè)定欠佳，如：對使用者資料檔未制定系統(tǒng)安全管理規(guī)范、未限制使用檔案修改工具、職務(wù)分工不當(dāng)或未落實，違反牽制原則，導(dǎo)致犯罪分子或商業(yè)銀行內(nèi)部人員竊取未隱藏的使用者資料檔，并采用字典攻擊法推測出使用者密碼，進而篡改資料庫或檔案內(nèi)容。

第五，資料傳輸過程安全性欠佳，如：網(wǎng)上銀行主機與中心主機間資料的傳送未加密，導(dǎo)致犯罪分子或商業(yè)銀行內(nèi)部人員竊取以明碼方式傳送于網(wǎng)上銀行主機及中心主機間的客戶網(wǎng)上銀行交易密碼，或篡改轉(zhuǎn)賬交易資料封包。

第六，不安全的連結(jié)點過多，如：internet/extranet/modems未嚴(yán)禁開放主機撥接功能；未建置防火墻、未制定系統(tǒng)安全策略、未利用網(wǎng)址轉(zhuǎn)換（NAT）技術(shù)隱藏內(nèi)部終端/服務(wù)主機的IP位址；未嚴(yán)禁透過Internet連線維護主機資料；未利用防火墻反詐騙及反攻擊技術(shù)防止各種入侵手段；未利用網(wǎng)絡(luò)掃描等網(wǎng)絡(luò)偵測工具方式掃描異常網(wǎng)段，導(dǎo)致犯罪分子、商業(yè)銀行內(nèi)部人員或黑客透過撥接直接進入主機或利用維護主機系統(tǒng)的特定網(wǎng)頁，進入主機修改資料及開放不必要的服務(wù)功能。

第七，客戶端問題，如：客戶將認(rèn)證介質(zhì)隨意放置，致遭犯罪分子復(fù)制盜用進而盜領(lǐng)存款；客戶本身利用網(wǎng)上銀行進行非法的洗錢活動；客戶使用網(wǎng)上銀行前并未充分了解各項權(quán)利義務(wù)及操作方式，導(dǎo)致權(quán)益受損；不良人士仿冒商業(yè)銀行網(wǎng)站，借以騙取客戶基本資料，損及商業(yè)銀行信譽。

2.案例解析。案例：犯罪分子在媒體刊登廣告以彩券經(jīng)銷商加盟店需繳交保證金（金額不等）50萬元為餌，引誘受騙民眾至XX商業(yè)銀行開立賬戶，存入雙方事先約定的金額，并申請語音及網(wǎng)上銀行服務(wù)，之后犯罪分子以查詢各該受騙民眾是否依約存入保證金為由，騙取其語音密碼，搶先使用語音密碼登入網(wǎng)上銀行系統(tǒng)下載受害人的電子憑證，并隨即透過網(wǎng)上銀行轉(zhuǎn)賬，分別盜轉(zhuǎn)各受害人的存款40萬元不等。本案犯罪分子系利用客戶于申請網(wǎng)上銀行業(yè)務(wù)功能后，未及時變更密碼，并上網(wǎng)至憑證核發(fā)機構(gòu)申請下載電子憑證的空窗期，引誘套取客戶密碼后，搶先登錄下載電子憑證再予盜領(lǐng)存款所致。

（四）電話銀行

為了吸引更多的客戶，商業(yè)銀行開發(fā)了簡單快捷的電話銀行服務(wù)。如建行電話銀行不但囊括有形營業(yè)網(wǎng)點提供的基本金融服務(wù)，更有基金國債買賣、外匯買賣、銀證轉(zhuǎn)賬等緊跟市場動向的投資理財服務(wù)，為客戶提供了一個交易服務(wù)和綜合信息服務(wù)的平臺。

1.存在的風(fēng)險。目前商業(yè)銀行通過電話語音系統(tǒng)所提供的金融服務(wù)，大致包括存款余額查詢、轉(zhuǎn)賬、掛失、通知、費用代繳等，因交易時僅憑客戶輸入語音密碼作身份辨認(rèn)，安全機制相對較借記卡交易來得薄弱，作業(yè)安全防護也相對困難，其可能的風(fēng)險渠道及作業(yè)風(fēng)險經(jīng)歸集整理大致如下：電話語音系統(tǒng)廠商維護人員（或商業(yè)銀行內(nèi)部人員）非法篡改語音系統(tǒng)方式，記錄含語音密碼的交易信息并借機拷貝復(fù)制，再利用語音轉(zhuǎn)賬盜轉(zhuǎn)存款；電話語音系統(tǒng)的交易信息（含語音密碼）通過電話通訊系統(tǒng)傳遞時均為明碼，雖多以干擾音加密但破解容易，犯罪分子可借機竊聽電話通訊內(nèi)容截取交易信息后加以破解，取得儲戶賬號及密碼后，再予以盜轉(zhuǎn)存款；犯罪分子利用商業(yè)銀行對于同一人在不同分支機構(gòu)申請開立同一種類的存款賬戶及各賬戶間語音服務(wù)功能時，各賬戶間可互轉(zhuǎn)且無交易限額的控制設(shè)計，于偽冒開立新賬戶后即申請語音轉(zhuǎn)賬功能，以盜領(lǐng)原儲戶其他賬戶存款的目的。

2.案例解析。案例：犯罪分子于偷竊他人信用卡資料后，利用各家商業(yè)銀行電話語音服務(wù)系統(tǒng)變更客戶語音密碼，并冒名申請補發(fā)信用卡，直接預(yù)支大筆現(xiàn)金。本案系犯罪分子利用各商業(yè)銀行電話語音認(rèn)證系統(tǒng)，通常僅以客戶的出生年月日及身份證號碼作身份辨識的漏洞，于偷竊他人信用卡資料后，以竊得的客戶身份證號碼進入各家商業(yè)銀行電話語音服務(wù)系統(tǒng)及認(rèn)證專線查詢，再進一步更改密碼，及以該密碼篡改客戶資料；之后利用商業(yè)銀行電話語音服務(wù)系統(tǒng)及網(wǎng)上銀行系統(tǒng)系共用同一密碼的漏洞，冒名進入網(wǎng)上銀行系統(tǒng)取得部分客戶的開戶資料及資金往來狀況，以取得客戶信用卡號及密碼上網(wǎng)盜刷，或冒名申請補發(fā)信用卡直接預(yù)支大筆現(xiàn)金。

四、商業(yè)銀行產(chǎn)品創(chuàng)新的風(fēng)險防范措施

（一）借記卡的風(fēng)險防范措施

第一，亂碼化設(shè)備、基碼及應(yīng)用方式控制的管理。為維護電腦作業(yè)亂碼系統(tǒng)正常運作，及確保亂碼化設(shè)備及作業(yè)的安全，應(yīng)制定符合內(nèi)控原則的跨行亂碼系統(tǒng)安全控管辦法。亂碼化設(shè)備應(yīng)使用硬件，且應(yīng)每日印發(fā)使用記錄查核。各項基碼的建置或變更應(yīng)有申請核準(zhǔn)的書面記錄，其基碼建置后應(yīng)備分并由安全控管人員封存。應(yīng)避免以客戶同一身份證或統(tǒng)一編號，作為轉(zhuǎn)賬的控制基準(zhǔn)（各賬戶間可自由轉(zhuǎn)賬），以防止犯罪分子偽造身份證開立另一賬戶，盜領(lǐng)客戶存款。

第二，自動柜員機設(shè)備及自助服務(wù)區(qū)的管理。應(yīng)遵照監(jiān)管部門的各項自動柜員機的安全防護措施要求并嚴(yán)格執(zhí)行。自動化設(shè)備的設(shè)置及裁撤應(yīng)申報主管機關(guān)，對于報廢的自動化服務(wù)設(shè)備，應(yīng)嚴(yán)格控管或銷毀，并注意杜絕被重新組裝的可能性。應(yīng)定期全面清查營業(yè)場所內(nèi)、外自動化服務(wù)設(shè)備及線路有無附加非法設(shè)備，或系統(tǒng)內(nèi)有無安裝或夾帶非法方式截取客戶借記卡磁條資料及密碼。自動化服務(wù)設(shè)備及發(fā)給客戶的使用手冊與借記卡，均應(yīng)記載24小時聯(lián)絡(luò)單位及電話、異常情形的處理方法等，受理專責(zé)單位應(yīng)設(shè)簿記錄控管并盡速追蹤處理及回報。ATM交易監(jiān)控設(shè)備畫質(zhì)應(yīng)注意維持清晰，時間設(shè)定應(yīng)正確，并備有充分錄影帶備供較長期間的交易錄制及保存。自動柜員機鑰匙與密碼應(yīng)分由不同人員負(fù)責(zé)保管，現(xiàn)金的裝卸、清點宜由主管人員會同進行；廠商人員派員維修或保養(yǎng)自動柜員機設(shè)備，應(yīng)要求提供身份證明文件，并全程監(jiān)督及留存維修紀(jì)錄備查，若有調(diào)整軟件或更換磁片時應(yīng)查明原因，磁碟機寫入口應(yīng)由主管及經(jīng)辦人員共同封簽。

第三，客戶投訴及相關(guān)賬務(wù)處理的管理。對客戶投訴其存款余額有疑遭盜領(lǐng)的異常狀況，應(yīng)建立通報機制及處置措施，并予以追查原因；對于經(jīng)確定系屬借記卡被偽造盜領(lǐng)事件，應(yīng)及時將該賬戶相關(guān)ATM交易資料送主管部門查證。國內(nèi)借記卡、國際借記卡及與相關(guān)清算組織的清算資金賬務(wù)應(yīng)相等，如不符應(yīng)即查明原因并處理。自動柜員機加鈔作業(yè)如系委托外部辦理者，其加鈔金額交付受托機構(gòu)時，應(yīng)有完整的記錄以明責(zé)任，對加鈔的金額及清理安排應(yīng)有效掌握，且應(yīng)有加鈔確認(rèn)的機制；自動柜員機的余款應(yīng)確實存回指定賬戶，自動柜員機異常狀況應(yīng)立即查明及處理，并隨時清查掛賬后久未處理者。

（二）信用卡的風(fēng)險防范措施

第一，委托外部作業(yè)管理。與服務(wù)商簽訂委托外部處理或維護合約，合約中除須詳細(xì)載明服務(wù)商的義務(wù)及責(zé)任范圍外，應(yīng)約定受托機構(gòu)同意配合商業(yè)銀行內(nèi)外部人員進行檢查或稽核，及提供相關(guān)資料及報告，受托機構(gòu)及員工應(yīng)出具不泄露商業(yè)銀行及商業(yè)銀行客戶等相關(guān)資料的文件，違反上述約定時須負(fù)損害賠償責(zé)任。

第二，信息作業(yè)管理。申請核卡處理作業(yè)的電腦參數(shù)及授權(quán)參數(shù)應(yīng)定期檢討評估并作適當(dāng)調(diào)整；參數(shù)調(diào)整應(yīng)經(jīng)主管核準(zhǔn)，并于事后核對勾銷，且均應(yīng)符合商業(yè)銀行的風(fēng)險管理政策。

第三，制卡、密碼函及卡片管理?？瞻卓ㄆ少?、庫存管理、制作過程應(yīng)符合內(nèi)部牽制原則，設(shè)簿登記控管且應(yīng)不定期辦理盤點，防止空白卡片流出。申請制卡的書面資料，應(yīng)妥善保存，避免申請人資料外泄，輸入電腦資料需有復(fù)核人員復(fù)核，以免因資料錯誤，影響客戶權(quán)益。電腦制卡檔的產(chǎn)生、使用或銷毀，應(yīng)有完整的保護措施，避免遭人竊取。應(yīng)建立卡片寄送后追蹤管理機制，確保卡片確已送達客戶。密碼函的印制、寄送應(yīng)注意安全及牽制機制。

第四，客戶服務(wù)及管理?？蛻艨ㄆ瑨焓?yīng)即時輸入電腦，并告知客戶相關(guān)權(quán)益事項。應(yīng)建立客戶申訴、問題處理的追蹤控管機制，妥善處理客戶申訴的相關(guān)問題。特約商戶機器安裝、拆卸均應(yīng)經(jīng)相關(guān)主管核準(zhǔn)，并有控管的電腦檔案定期勾銷核對。風(fēng)險特約商戶一經(jīng)確認(rèn)，除應(yīng)立即安排拆機外，并由主管視情況作外部風(fēng)險的通報。

（三）網(wǎng)上銀行的風(fēng)險防范措施

第一，網(wǎng)上銀行信息設(shè)備安全管理。電子轉(zhuǎn)賬、交易性指示等金融交易信息或電子文件傳輸，應(yīng)確認(rèn)符合來源辨識性、信息隱秘性、完整性、不可重復(fù)性、不可否認(rèn)傳輸信息等設(shè)計，應(yīng)用方式設(shè)計應(yīng)避免產(chǎn)生緩沖區(qū)溢位系統(tǒng)漏洞，以免遭人利用夾帶不當(dāng)指令竊取資料。對提供客戶使用的軟件、密碼或其他有關(guān)資料，其提供、啟用、維護或更新的程序應(yīng)符合內(nèi)控原則。對維護客戶資料（含密碼）隱秘性應(yīng)妥為設(shè)計，尤應(yīng)注意保密性，密碼應(yīng)以亂碼化方式儲存。信息部門負(fù)責(zé)網(wǎng)上銀行信息系統(tǒng)軟、硬件設(shè)備維護的職務(wù)應(yīng)有適當(dāng)分工，其建置與變更應(yīng)妥善控管，并留存可供追蹤查核的稽核軌跡。電腦機房門禁應(yīng)加強，涉及儲存客戶資料的設(shè)備應(yīng)嚴(yán)加控管。

第二，風(fēng)險承擔(dān)管理。商業(yè)銀行應(yīng)依法令規(guī)定，審酌承擔(dān)風(fēng)險的能力；制定交易風(fēng)險限額，應(yīng)依交易類別分別限制每次交易金額、每日交易累計金額及約定與非約定賬戶轉(zhuǎn)賬金額。應(yīng)對憑證認(rèn)證機構(gòu)的營運及信賴度進行評估，以免產(chǎn)生相關(guān)風(fēng)險。對客戶聯(lián)系、服務(wù)及連外網(wǎng)絡(luò)通訊，應(yīng)有防止內(nèi)外部人員入侵的措施，并與內(nèi)部有關(guān)信息系統(tǒng)安全結(jié)合，建立例外管理制度，設(shè)立緊急通報問題處理及追蹤管理程序。

第三，客戶作業(yè)端管理規(guī)范。應(yīng)提供客戶網(wǎng)上銀行業(yè)務(wù)或服務(wù)的詳細(xì)操作說明文件。對客戶權(quán)益、信息安全及隱秘性等宜加強注意事項，應(yīng)以書面且較醒目的方式告知客戶注意。對各網(wǎng)上銀行業(yè)務(wù)的客戶往來情形，應(yīng)提供對賬單以厘清與客戶的權(quán)責(zé)，并加強事后追蹤查核。制定客戶終止網(wǎng)上銀行往來的處理程序，以免其賬戶遭盜用。對首次往來客戶身份的確認(rèn)，應(yīng)有確認(rèn)程序以避免有假冒他人開戶或往來的情形發(fā)生。

第四，代理憑證注冊作業(yè)管理。如代理憑證注冊作業(yè)，應(yīng)制定代理憑證注冊作業(yè)工作原則及工作站管理辦法。商業(yè)銀行將代理注冊資料上傳至認(rèn)證公司或憑證資料下傳失敗時，應(yīng)由系統(tǒng)留存作業(yè)記錄加以控管；注冊申請程序應(yīng)依符合內(nèi)控的程序辦理。代理注冊筆數(shù)、憑證維護、放行日報表等相關(guān)表報內(nèi)容，應(yīng)定期交互勾銷核對，以確認(rèn)憑證異動與申請確實相符?？蛻羯暾埫艽a解鎖作業(yè)，應(yīng)將作業(yè)記錄列印，并應(yīng)與解鎖申請書及解鎖電子郵件裝訂供主管復(fù)核。

（四）電話銀行的風(fēng)險防范措施

第一，開戶的管理。為有效防范偽冒開立新賬戶的弊端，應(yīng)制定開戶作業(yè)程序，并要求業(yè)務(wù)經(jīng)辦人員嚴(yán)格執(zhí)行；對開立第二賬戶的客戶，應(yīng)加強身份及相關(guān)證件的辨識，嚴(yán)格核對客戶留存的身份證件及其他相關(guān)資料是否相符。

第二，客戶服務(wù)的管理。對客戶投訴其存款有疑遭盜領(lǐng)的異常狀況，應(yīng)建立通報機制及處置措施，并予以追查原因。

第三，作業(yè)安全控制設(shè)計。為確保傳輸信息的隱秘性、完整性，各項電話語音交易信息傳輸至中心主機時，應(yīng)有加密的安全機制。對辦理電話語音系統(tǒng)各項服務(wù)項目時，應(yīng)控制輸入的語音密碼錯誤次數(shù)，連續(xù)錯誤次數(shù)達上限時，系統(tǒng)應(yīng)即自動暫停作業(yè)，客戶向原開戶行申請重置密碼，始得恢復(fù)使用本項服務(wù)。對同一人開立的不同賬戶間轉(zhuǎn)賬仍宜事先約定，以避免遭冒名開戶盜領(lǐng)。電話語音系統(tǒng)設(shè)備應(yīng)置于機房內(nèi)或獨立空間由專人控管并應(yīng)有備份，對系統(tǒng)異常紀(jì)錄應(yīng)訂有通報機制及緊急應(yīng)變計劃。

第四，委托外部作業(yè)管理。委托外部服務(wù)商辦理軟硬件維護時，應(yīng)指派專人陪同監(jiān)督并留存書面記錄備查。對電話語音服務(wù)系統(tǒng)若采委托外部開發(fā)維護，應(yīng)確實依商業(yè)銀行委托外部注意事項辦理，并應(yīng)簽訂對客戶機密資料的保密約定。

五、結(jié)論與討論

鑒于近年來各商業(yè)銀行對金融產(chǎn)品創(chuàng)新力度的提升，多有創(chuàng)新服務(wù)本身對各項業(yè)務(wù)的作業(yè)安全控管有欠嚴(yán)謹(jǐn)，或由于客戶缺乏基本安全觀念，導(dǎo)致商業(yè)銀行及客戶的存款面臨較高的風(fēng)險，不僅損及存款大眾對于金融產(chǎn)品安全的信心，同時也造成商業(yè)銀行莫大的信譽及資金損失。為提升商業(yè)銀行產(chǎn)品創(chuàng)新過程中風(fēng)險管理的有效性，本文通過收集整理各商業(yè)銀行近年來產(chǎn)品創(chuàng)新使用中所發(fā)生的案例，提出了對于產(chǎn)品創(chuàng)新風(fēng)險的多項防范措施。

參考文獻

[1]巴曙松.新版神圣公約——巴塞爾新資本協(xié)議框架及風(fēng)險監(jiān)管新進展[J].國際貿(mào)易，2003（6）.

[2]楊毓.新資本協(xié)議與我國商業(yè)銀行風(fēng)險管理[J].金融理論與實踐，2004（5）.

[3]滕趕遠(yuǎn)，譚方東.從巴塞爾新資本協(xié)議看國有商業(yè)銀行資本金管理[J].經(jīng)濟與管理研究，2002（2）.