电子银行业务风险管理和电子货币业务的不断发展有助于提升银行业和支付系统的效率,也有助于国内外零售业务的成本下降。但电子货币和一些电子银行业务的发展和运用尚处于早期,考虑到电子银行和电子货币在将来的技术和市场发展中的不确定性,监管当局必须避免制定阻碍有益创新和实验的政策。同时,巴塞尔委员会认为,电子银行和电子货币业务为银行带来的收益与风险并存,因此风险与收益必须进行平衡。
一、电子银行业务风险管理分析
随着电子银行业务和电子货币业务的不断发展,银行与其客户之间的跨境业务就会增加。此类业务关系会给银行和监管当局带来了各种不同的问题和风险。根据对风险的识别和分析,管理办法有3个主要步骤,即:评估风险,落实控制风险的措施和监控风险。在目前这个阶段,似乎操作风险、声誉风险、和法律风险,可能是大多数电子银行和电子货币业务中最重要的业务风险管理类别。
1、操作风险。
操作风险主要是指由于系统中存在不利于可靠性、稳定性和安全性要求的重大缺陷而导致的损失的可能性。它可能来自于电子银行客户的疏忽大意,也可能来自电子银行安全系统和其产品设计缺陷与业务风险管理操作失误。
2、声誉风险。
声誉风险是公众对银行产生重大负面的看法,从而引发资金来源或客户的重大损失的风险。声誉风险可能源自系统或产品没有达到预期效果,并且在公众中造成广泛的负面影响。声誉风险可能源自客户,即客户没有掌握足够的产品信息和问题解决办法,以致遇到问题而不知所措。声誉风险也可能源自对一家银行的有目标的攻击。例如,一位黑客侵入一家银行的网络,并且故意散布银行或其产品的不准确的信息。
3、法律风险。
法律风险源自违反或违背相关法律、法令、条例或约定的习惯做法,或对一笔交易各方的法律义务和权利模糊不清。从事电子银行和电子货币业务的银行,可能面临来自客户信息披露和隐私保护方面的法律风险。随着电子商务的不断发展,银行希望开展电子身份认证业务,例如通过使用数字证书。身份认证可能使一家银行面临法律风险。如果银行参加新的身份认证系统,但权利和义务在合同协议中没有明确规定,那么银行就可能蒙受法律风险。
4、其它风险。
传统的银行风险,诸如信用风险、流动性风险、利率风险和市场风险,也可以产生于电子银行和电子货币业务,但是它们的实际影响力对于银行和监管当局来说,可能与操作、声誉和法律风险大不相同。
二、建立可操作的业务风险管理体系
技术创新的日新月异,可能改变银行在电子货币和电子银行中所面临的风险的性质和范围。监管人员希望银行制定一些业务风险管理办法,来对付目前存在的风险,同时对新出现的风险也有相应对策。风险管理办法应包括3个基本要素,即:评估风险,控制风险和监控风险,只有这样才能达到银行和监管当局心中预期的目标。
业务风险管理措施一、安全政策和措施。
安全是系统、应用和内部控制的统一,其作用是保证数据和操作过程的完整性、真实性和保密性。安全的保障取决于银行制定和落实合适的安全政策和安全措施,也取决于银行与外部各方的交流是否安全顺畅。安全政策和措施,可以限制内部和外部的对电子银行和电子货币系统攻击的风险,也可以限制因安全违规而引发的声誉风险。
安全措施是硬件、软件工具和人员管理的统一,这样才能保证系统和操作的安全。这些措施包括很多,例如:密码技术、口令、防火墙、病毒控制和雇员遴选。密码技术是将文本数据转换成密码以防非授权的阅读。口令、口令串、个人身份识别数字、硬件标志和生物测量学都是用来控制进入和识别用户的技术。
防火墙是硬件和软件的结合,用来遴选和限制外部进入与开放型网络(如因特网)相连接的内部系统。防火墙也可以把使用因特网技术的内部网络,分隔成几个小片。防火墙技术,如设计合理且实施得当的话,能够有效地控制进入、保证数据的保密性和完整性。由于该技术设计复杂且成本昂贵,防火墙的强度和性能必须与被保护信息的敏感度相适应。一个好的设计应该包括:整个银行的安全要求,一目了然的操作步骤,职责的分解,选择可靠之人来负责防火墙的设计和操作。
虽然防火墙遴选来自外部的信号,但是并不一定能够完全防止从因特网下载来的已被病毒感染的程序。因此,管理层应该制定防止和检测的控制办法,来减少病毒入侵和数据破坏的机会,特别是对远程银行业务更应如此。缓释病毒感染风险的程序应该包括:网络控制、终端用户政策、用户培训和病毒检测软件。
并非所有安全威胁来自外部。在可能的情况下,电子银行和电子货币系统,应防止现职或已离职的雇员的非授权操作。与现有的银行业务一样,对新雇员、临时雇员、顾问的背景进行审查、内部控制和职责分解,都是保证系统安全的业务风险管理重要预防措施。
对于电子货币,额外的安全措施可以帮助阻止攻击和误用(包括伪造和洗钱)。这些业务风险管理措施包括:与发行者或中央操作者保持热线联系;监控和追踪个人交易;维护中央数据库里的历史记录;在储值卡或商业硬件中植入防止篡改的设施;对储值卡设定最高限额和失效日期。
业务风险管理措施二、内部交流。
如果业务风险管理层和重要职员之间能够进行很好交流的话,那么操作、声誉、法律和其它风险,就能够得到有效管理和合理控制。同时,技术职员应该向管理高层汇报清楚:系统是如何设计的 ,该系统的长处以及不足所在。这样的一些步骤可以减少:设计缺陷造成的操作风险(包括在同一银行内不同系统之间互不兼容);数据完整性问题;因系统没有达到预期效果,而客户对银行不满所造成的声誉风险;以及信用和流动性风险。
业务风险管理措施三、评估和升级。
在产品和服务全面推广之前进行评估,有助于控制操作和声誉风险。对设备和系统要进行测试,以便知道其功能是否正常,并产生预期的结果。试运行或试点有利于开发新的应用系统。如果定期检查现行硬件和软件的功能,则可以减少由于系统速度降低或中断而造成的风险。
业务风险管理措施四、信息披露和客户教育
信息披露和客户教育,有利于银行限制法律和声誉风险。信息披露和教育项目应该让客户知道:如何使用新产品和服务、对服务和产品所收取的费用、问题和错误如何解决,这样一来,就利于银行遵守客户保护和隐私权方面的法律和条例。
业务风险管理措施五、应急计划。
通过制定应急计划,银行可以限制因内部程序、服务、产品传送中断而引发的风险,计划可以确保在提供电子银行和电子货币服务中断的情况下,银行有计可施。计划可以包括:数据恢复、可以替换的数据处理设施、紧急员工配备、以及客户服务支持。对备用系统应该定期测试,以保证其连续有效。银行应该确保:其应急操作与正常的生产操作一样安全。
业务风险管理措施六、对系统的运行进行测试,有利于发现异常情况,以及避免重大系统问题、中断和攻击。
通过多种不按正常步骤的方法,主动入侵系统,可以集中测试安全机制的身份认证、隔离措施情况、设计和执行方面的缺陷所在。监视是一种监控方法,即通过电脑软件或审计来跟踪相关业务。与入侵测试相比,监视集中于监控日常运作、调查异常、以及通过检测遵守安全政策情况来对安全的有效性作出动态判断。