劉蕙 林志杰

[摘 要]闡述我國網(wǎng)上銀行的操作風(fēng)險現(xiàn)狀，分析了操作風(fēng)險的來源及形成原因，從風(fēng)險識別、操作流程、信息系統(tǒng)與溝通和監(jiān)控制度四個維度，對防范網(wǎng)上銀行操作風(fēng)險提出改進(jìn)意見。

[關(guān)鍵詞]網(wǎng)上銀行；操作風(fēng)險；控制

[中圖分類號]F832.33

[文獻(xiàn)標(biāo)識碼]A

[文章編號]2095-3283（2018）08-0100-03

Abstract： This paper expounds the status quo of operational risk of Internet banking in China， analyzes the sources and causes of operational risks. And puts forward improvement suggestions on preventing operational risks of Internet banking ，from the four dimensions of risk identification， operational process， information system and communication and monitoring system， this paper proposes suggestions for improving the risk of Internet banking operations.

Keywords： Internet Banking；Operational Risk；Control

[作者簡介]劉蕙（1970-），女，廣州商學(xué)院金融學(xué)院，副教授，研究方向：互聯(lián)網(wǎng)金融、移動商務(wù)；林志杰（1994-），男，渣打銀行（中國）廣州分行職員，研究方向：信貸、互聯(lián)金融。

[基金項目]廣東省普通高校特色創(chuàng)新類項目（人文社科類）“廣州商學(xué)院虛擬仿真實驗教學(xué)中心”（項目編號：2015WTSCX114）；廣州商學(xué)院教學(xué)改革項目“基于移動混合學(xué)習(xí)的翻轉(zhuǎn)課堂教學(xué)模式探析——以中央銀行學(xué)為例”（項目編號：JXGG201502），廣東省特色重點學(xué)科“廣州商學(xué)院電子商務(wù)”（項目編號：TSZDXK201601）。

一、我國網(wǎng)上銀行操作風(fēng)險現(xiàn)狀

我國開展網(wǎng)上銀行業(yè)務(wù)始于1998年，截至2017年底，我國網(wǎng)上銀行客戶交易規(guī)模為421.5萬億元人民幣。與發(fā)達(dá)國家相比，我國網(wǎng)上銀行的發(fā)展仍處于起步階段，體現(xiàn)在以下三個方面：第一，我國的網(wǎng)上銀行基本上屬于分支型網(wǎng)上銀行，業(yè)務(wù)附屬于母行；第二，我國的網(wǎng)上銀行在銀行間規(guī)模業(yè)績不平衡，以五大行和招商銀行為第一梯隊，處于領(lǐng)頭羊的地位，在客戶群體、業(yè)務(wù)發(fā)展上形成了一定的客戶規(guī)模；第三，網(wǎng)上銀行業(yè)務(wù)分布不均衡，在線支付、轉(zhuǎn)賬、網(wǎng)絡(luò)賬單等業(yè)務(wù)因適應(yīng)網(wǎng)絡(luò)時代需求，業(yè)務(wù)發(fā)展較快，而信息服務(wù)、個人銀行服務(wù)、企業(yè)銀行服務(wù)等發(fā)展相對緩慢。

二、網(wǎng)上銀行操作風(fēng)險的來源

（一）內(nèi)部雇員的操作風(fēng)險

內(nèi)部員工對網(wǎng)絡(luò)密鑰、認(rèn)證方式都比較了解，違規(guī)員工可能會嘗試非法越權(quán)操作，篡改銀行內(nèi)部數(shù)據(jù)，竊取客戶賬戶和個人信息，假裝客戶提現(xiàn)或轉(zhuǎn)賬，或?qū)ν馐圪u客戶信息，泄露客戶個人隱私和信息。一旦發(fā)生這種情況，銀行必須承擔(dān)客戶的損失和重建客戶信息數(shù)據(jù)庫。另外，部分員工的個人素質(zhì)和能力較差，網(wǎng)絡(luò)技術(shù)知識沒有及時更新，無法熟練掌握基本業(yè)務(wù)流程和操作及使用新設(shè)備，導(dǎo)致服務(wù)效率低、服務(wù)質(zhì)量差、操作失誤嚴(yán)重，給客戶帶來較差的服務(wù)體驗，帶給銀行不必要的損失。

（二）客戶的操作風(fēng)險

網(wǎng)絡(luò)銀行客戶的安全意識一般較弱，部分客戶極度缺乏風(fēng)險防范意識，忽視對密碼的保護(hù)，將密碼設(shè)置為生日、簡單重復(fù)的數(shù)字等容易被他人猜到的數(shù)字，即使銀行采用先進(jìn)的系統(tǒng)，也難以防范帳號被盜，資金被非法轉(zhuǎn)移就容易發(fā)生。其次，一些客戶可能會在不安全的設(shè)備或公共場所中輸入個人賬戶和個人信息，使終端設(shè)備被安裝木馬程序并被竊取帳號和密碼，導(dǎo)致資金被盜取和個人信息被出售。還有客戶缺乏基本網(wǎng)絡(luò)操作知識，進(jìn)行了錯誤操作。

（三）黑客的操作風(fēng)險

黑客可能使用的手段有非法進(jìn)入銀行內(nèi)部系統(tǒng)、在網(wǎng)絡(luò)傳輸通道中竊取客戶信息、采用非法手段竊取和篡改客戶信息、使用病毒攻擊銀行系統(tǒng)。黑客最常用的手段是將含病毒的匿名郵件或短信發(fā)送給客戶，當(dāng)用戶點開這些電子信息，病毒就入侵客戶的電腦、手機(jī)，自動記錄客戶的鍵盤輸入數(shù)據(jù)，并發(fā)送到黑客的系統(tǒng)，黑客盜用客戶的賬號和密碼，進(jìn)入網(wǎng)上銀行系統(tǒng)，盜取客戶的資金。黑客攻擊使銀行丟失客戶數(shù)據(jù)以及銀行系統(tǒng)崩潰，銀行為重建系統(tǒng)必須付出昂貴的代價，損壞了銀行的社會信譽(yù)和社會形象，嚴(yán)重阻礙網(wǎng)上銀行業(yè)務(wù)的發(fā)展。

（四）操作系統(tǒng)的操作風(fēng)險

網(wǎng)上銀行操作系統(tǒng)也是操作風(fēng)險來源。一是銀行不及時更新網(wǎng)絡(luò)和系統(tǒng)軟件，很有可能引發(fā)系統(tǒng)操作失靈或者反饋過慢，這樣不僅給客戶帶來不好的使用體驗，也影響了網(wǎng)上銀行系統(tǒng)的正常運行；二是銀行使用過期或不完全的操作系統(tǒng)和應(yīng)用軟件，無法保證系統(tǒng)對入侵的有效防范；三是黑客入侵技術(shù)及手段更新較快，操作系統(tǒng)沒有及時更新，黑客入侵將變得越來越容易；四是操作系統(tǒng)技術(shù)平臺選擇不當(dāng)，同樣會影響系統(tǒng)安全性和系統(tǒng)速度；五是即便銀行充分重視上述問題，并采取相關(guān)的措施更新系統(tǒng)，但是由于網(wǎng)絡(luò)信息技術(shù)發(fā)展快速及多樣性，銀行無法擁有百分之百防御的操作體系。

三、我國網(wǎng)上銀行操作風(fēng)險產(chǎn)生的原因

（一）金融監(jiān)管難度增大

網(wǎng)上銀行的出現(xiàn)，改變了商業(yè)模型、業(yè)務(wù)類型及流程，降低了交易成本，減少了銀行業(yè)務(wù)信息的不對稱性，使得銀行扮演的角色發(fā)生了變化，也使銀行風(fēng)險更復(fù)雜，對銀行管理和外部監(jiān)督也是一個新的挑戰(zhàn)。首先，監(jiān)管機(jī)構(gòu)必須對網(wǎng)上銀行業(yè)務(wù)采用新標(biāo)準(zhǔn)進(jìn)行安全評估；其次，金融產(chǎn)品正一步一步走向聯(lián)結(jié)，例如銀行、證券和保險等的交叉營銷，加大了金融監(jiān)管難度。再次，交易及交易憑證電子化，交易頻率高、規(guī)模大，難以采用傳統(tǒng)的監(jiān)管方式評估交易的風(fēng)險性、合法性和合規(guī)性。

（二）網(wǎng)上銀行應(yīng)用技術(shù)存在缺陷

網(wǎng)上銀行屬于新興事物，我國網(wǎng)上銀行基礎(chǔ)設(shè)施薄弱，缺乏整體規(guī)劃、資金、技術(shù)、環(huán)境及專業(yè)技術(shù)人才，網(wǎng)上銀行的穩(wěn)定性和安全性與發(fā)達(dá)國家的網(wǎng)上銀行的發(fā)展水準(zhǔn)有較大的差距。我國網(wǎng)上銀行還普遍存在著技術(shù)外包現(xiàn)象，基本上是委派信息技術(shù)服務(wù)商向銀行提供網(wǎng)上銀行的服務(wù)功能，雖然節(jié)省了開發(fā)的周期和成本，但是銀行沒有參與到網(wǎng)上銀行系統(tǒng)的開發(fā)維護(hù)，無法全面整體地了解網(wǎng)上銀行系統(tǒng)的核心技術(shù)和配置的屬性，無法提供完善的配套的售后服務(wù)。

（三）網(wǎng)絡(luò)犯罪調(diào)查難度較高

網(wǎng)絡(luò)是一個開放的虛擬空間，罪犯真正實施犯罪的具體地點難以確定。網(wǎng)上銀行經(jīng)濟(jì)犯罪具有高智能性和隱蔽性的特點。同時，經(jīng)濟(jì)犯罪網(wǎng)絡(luò)的證據(jù)難以被收集，黑客會通過預(yù)先安裝的程序擦除入侵痕跡和抹除證據(jù)。司法機(jī)關(guān)人員必須具有良好的專業(yè)素質(zhì)，以及相關(guān)的網(wǎng)絡(luò)技術(shù)和金融等專業(yè)知識，才能有效調(diào)查這類犯罪活動。因此，網(wǎng)絡(luò)犯罪的調(diào)查難度較高，不利于網(wǎng)絡(luò)風(fēng)險的防范。

（四）銀行客戶操作風(fēng)險意識薄弱

造成我國銀行客戶安全意識普遍淡薄的原因在于：一是銀行和媒體對網(wǎng)上銀行的安全方面的知識宣傳力度不夠，缺乏必要的安全經(jīng)驗的指導(dǎo)和突發(fā)緊急事件的提醒；二是長久以來銀行信息不透明，為了避免公開相關(guān)操作風(fēng)險事件造成的銀行信譽(yù)度降低而產(chǎn)生負(fù)面的影響，銀行一般采取回避的態(tài)度，甚至主動隱瞞，而將更大的工夫花在網(wǎng)上銀行產(chǎn)品的宣傳上，沒有真正從技術(shù)和管理上提高網(wǎng)上銀行系統(tǒng)性能的動力；三是客戶在選擇網(wǎng)上銀行服務(wù)時，往往對各家網(wǎng)上銀行系統(tǒng)的安全性和穩(wěn)定性了解不足，選擇盲目，客戶往往都不知道到底網(wǎng)上交易的風(fēng)險是什么，主動采取安全措施的意識薄弱，對系統(tǒng)運行繁瑣的安全請求覺得麻煩，這讓原本安全性較強(qiáng)的銀行也被迫降低安全級別；四是部分銀行的網(wǎng)址、網(wǎng)站不統(tǒng)一，客戶不便于查找網(wǎng)絡(luò)銀行登錄入口，在使用搜索引擎選擇網(wǎng)址時容易放松警惕，給那些試圖攔截、獲取客戶機(jī)密信息者提供了方便。

四、網(wǎng)上銀行操作風(fēng)險管理改進(jìn)的建議

（一）強(qiáng)化對操作風(fēng)險的識別

1. 把握風(fēng)險識別的重點

為了提高風(fēng)險識別的效率和效果，網(wǎng)上銀行需要建立一套完整的操作風(fēng)險識別流程：第一，總結(jié)所有可能引起網(wǎng)上銀行操作風(fēng)險的因素，不僅包括銀行的經(jīng)營目標(biāo)、內(nèi)部框架、產(chǎn)品和設(shè)備情況、人員和系統(tǒng)情況等內(nèi)部因素，還應(yīng)該考慮政治、經(jīng)濟(jì)、文化、技術(shù)等外部因素；第二，在新的產(chǎn)品、制度、系統(tǒng)上線之前都應(yīng)該對其上線之后可能存在的操作風(fēng)險進(jìn)行充分的評估，對可能存在的所有風(fēng)險點進(jìn)行整理，在上線后保持密切持續(xù)的關(guān)注；第三，重視操作風(fēng)險的形成原因，在對操作風(fēng)險的識別過程中，不僅要關(guān)注操作風(fēng)險，更要關(guān)注形成操作風(fēng)險的真正原因，采取針對性的解決辦法；第四，建立獎勵機(jī)制，對于勇于指出自身崗位操作風(fēng)險的員工，經(jīng)核實后給予相應(yīng)的獎勵以鼓勵員工自覺預(yù)防操作風(fēng)險。

2. 優(yōu)化對操作風(fēng)險的評估

針對操作風(fēng)險的評估準(zhǔn)確度不高的情況，應(yīng)注重數(shù)據(jù)累積，建立操作風(fēng)險損失的長期數(shù)據(jù)庫，采用國際成熟評估模型，分析損失的分布范圍、發(fā)生頻率和具體的損失金額，總結(jié)出風(fēng)險評估的關(guān)鍵指標(biāo)，利用記分卡等方式，建立健全操作風(fēng)險評估體系，同時注意國內(nèi)外銀行差異，不能完全套用國外標(biāo)準(zhǔn)。

（二）完善操作流程

1.健全網(wǎng)上銀行操作風(fēng)險控制制度

積極借鑒西方銀行健全內(nèi)部管控的經(jīng)驗，全方位地了解網(wǎng)上銀行操作風(fēng)險的屬性度。針對高發(fā)的管理人員帶頭進(jìn)行違規(guī)操作，脅迫和命令下屬協(xié)助，銀行應(yīng)建立健全員工檢舉制度，堅定地遏制各類問題案件的多發(fā)趨勢。

2.改善組織結(jié)構(gòu)

在銀行機(jī)構(gòu)內(nèi)部控制制度框架設(shè)計中，要明晰內(nèi)部治理責(zé)任的分配，各部門分別執(zhí)行不同職能，分開控制操作風(fēng)險、業(yè)務(wù)運營和后臺服務(wù)，以避免重復(fù)管理。在設(shè)置網(wǎng)上銀行相關(guān)崗位時，必須堅持不兼容的職責(zé)分離原則，明確規(guī)定不同部門各自的職責(zé)。

3.建立應(yīng)急中心，有效應(yīng)對突發(fā)事件

當(dāng)風(fēng)險事件發(fā)生時，應(yīng)及時提供有效的解決方案，迅速處理網(wǎng)絡(luò)銀行的安全問題，確保銀行和客戶的損失最小化。并始終留意相關(guān)安全知識的新趨勢，針對相關(guān)安全問題及時采取解決辦法。

（三）健全信息系統(tǒng)與溝通機(jī)制

1.建立全面信息共享平臺

遵循經(jīng)濟(jì)性、適用性的原則，建立一套覆蓋銀行各個角落的信息系統(tǒng)。這樣管理層不僅可以快速地與下級部門溝通，包括操作風(fēng)險的各種問題，也解決了各部門因缺乏信息共享而出現(xiàn)的其他問題。

2.加強(qiáng)信息基礎(chǔ)建設(shè)

銀行應(yīng)該根據(jù)自身規(guī)模和發(fā)展目標(biāo)建設(shè)和規(guī)劃符合自身需要的信息系統(tǒng)。對各個基層網(wǎng)點的信息系統(tǒng)進(jìn)行升級、改造，定期、全面地對后臺核心系統(tǒng)和前臺業(yè)務(wù)系統(tǒng)進(jìn)行檢查，及時發(fā)現(xiàn)存在的問題并予以解決，最大程度地減少因系統(tǒng)故障而帶來的操作風(fēng)險，提高業(yè)務(wù)辦理和信息傳遞的速度，保證整個信息共享網(wǎng)絡(luò)的順暢運行。

3.建立快速有效的信息反饋機(jī)制

優(yōu)秀的信息反饋機(jī)制是商業(yè)銀行內(nèi)部信息交流過程中不可缺少的環(huán)節(jié)。在操作風(fēng)險案件發(fā)生時，相關(guān)部門應(yīng)及時反饋案件的信息，并由管理層尋找解決方案，及時補(bǔ)救。另外，完善的信息反饋機(jī)制還有助于提高銀行對外部問題的解決速度，提升銀行的市場競爭力。

4.建立健全內(nèi)部溝通與外部溝通機(jī)制

銀行的內(nèi)部溝通需要信息共享系統(tǒng)的協(xié)助，溝通內(nèi)容不僅包括經(jīng)營過程中的各種即時信息，也包括內(nèi)部管理中明確的規(guī)章制度和授權(quán)。建立良好的外部溝通機(jī)制，可以及時向客戶反饋業(yè)務(wù)信息，了解客戶的需求，降低因為溝通問題所產(chǎn)生的操作風(fēng)險。

（四）改進(jìn)監(jiān)控制度

1.建立內(nèi)部控制績效監(jiān)測制度

針對各個部門及下屬分支機(jī)構(gòu)的業(yè)務(wù)流程、權(quán)力和責(zé)任，建立明確的書面說明，對操作風(fēng)險事件發(fā)現(xiàn)、報告、處理過程、原因分析以及預(yù)防措施等各方面作出明確的規(guī)定，采用日常檢查、現(xiàn)場檢查、業(yè)務(wù)指導(dǎo)、業(yè)務(wù)考核等方法監(jiān)測，建立內(nèi)部控制績效監(jiān)測制度。此外，還要建立責(zé)任追究制度，對不符合規(guī)定的部門和人員追究責(zé)任并進(jìn)行處理。鼓勵群眾和內(nèi)部員工對違規(guī)行為進(jìn)行舉報，經(jīng)調(diào)查屬實的給予舉報人員適當(dāng)?shù)莫剟睢?/p>

2.加強(qiáng)內(nèi)部審計委員會的權(quán)力

內(nèi)部審計委員會及其下屬分支機(jī)構(gòu)則負(fù)責(zé)整個網(wǎng)上銀行內(nèi)部控制活動的實際運行以及內(nèi)控系統(tǒng)各模塊的完善工作。其職責(zé)是從內(nèi)部審計角度出發(fā)，采取關(guān)鍵指標(biāo)法評價各部門的內(nèi)部控制運營情況，然后將發(fā)現(xiàn)的問題匯報給董事會，由董事會統(tǒng)一給出解決措施，并傳達(dá)給問題部門。在特殊情況下，對于小問題給予內(nèi)審委員會自行決定的權(quán)利，減輕董事會的工作壓力，針對操作風(fēng)險問題作出更快的反應(yīng)。

3.建立內(nèi)部審計人員派駐制度

加強(qiáng)內(nèi)部審計委員會對整個網(wǎng)上銀行內(nèi)部控制的掌控力度。借鑒國內(nèi)外銀行的經(jīng)驗，建立內(nèi)部審計人員派駐制度，對各分行、支行的派駐人員統(tǒng)一任命和管理，派駐人員定期上傳派駐部門的內(nèi)部審計情況，并就部門在審計過程中出現(xiàn)的問題與上級部門溝通，協(xié)助管理層了解基層部門內(nèi)部審計情況。在操作風(fēng)險問題出現(xiàn)時，派駐人員可以通過綠色信息通道向內(nèi)部審計委員會直接反映問題。內(nèi)部審計委員擁有對下級部門內(nèi)部審計結(jié)果的最終處理權(quán)，并對內(nèi)部審計人員的工作進(jìn)行考核與評估，以保證派駐人員的獨立性和溝通過程的流暢。

[參考文獻(xiàn)]

[1]于家駿.互聯(lián)網(wǎng)背景下我國商業(yè)銀行網(wǎng)上銀行操作風(fēng)險管理研究[J].商場現(xiàn)代化，2018（1）：136-137.

[2]萬輝.我國商業(yè)銀行互聯(lián)網(wǎng)金融風(fēng)險管理研究[J].金融縱橫，2016（2）：15-25.

[3]朱日莫圖.我國商業(yè)銀行網(wǎng)上銀行業(yè)務(wù)的風(fēng)險管理分析及對策[J].北方經(jīng)濟(jì)，2012（10）：95-96.

[4]吳建.我國商業(yè)銀行網(wǎng)上銀行操作風(fēng)險管理研究[J].浙江金融，2011（10）：45-49.

[5]徐峰.我國商業(yè)銀行操作風(fēng)險管理存在的問題與成因分析[J].經(jīng)濟(jì)視角，2015（6）：26-27.

[6]李文婷，幼清.我國商業(yè)銀行操作風(fēng)險分析及管理——以中國農(nóng)業(yè)銀行某支行為例 [J].當(dāng)代經(jīng)濟(jì)，2016（6）：36-39.

[7]劉雅齋，王爽.基于銀行統(tǒng)計的商業(yè)銀行操作風(fēng)險防范措施研究[J].企業(yè)導(dǎo)報，2016（3）：158-159.

[8]黃美榕.基于內(nèi)控視角的商業(yè)銀行操作風(fēng)險管理研究——以G銀行為例[J].福建金融，2015（11）：41-45.

（責(zé)任編輯：喬虹 劉茜）