【正文】 因素引起的風(fēng)險；電子化的交易給銀行帶來了交易者身份確認(rèn)、交易確認(rèn)、數(shù)字傳輸?shù)臋C密性、完整性等問題；網(wǎng)上銀行業(yè)務(wù)的順利運營又依賴于銀行核心處理系統(tǒng)和網(wǎng)上銀行業(yè)務(wù)系統(tǒng)的連續(xù)正常運轉(zhuǎn) 。 2021 年 ，中國網(wǎng)上銀行市場交易 量獲得了極大的提高， 全年交易額達(dá) 到 萬億元。 1997 年招商銀行的網(wǎng)上銀行 “ 一網(wǎng)通 ” ，開創(chuàng)了我國網(wǎng)上銀行的先河，國內(nèi)商業(yè)銀行陸續(xù)進(jìn)入網(wǎng)上銀行服務(wù)領(lǐng)域，我國網(wǎng)上銀行業(yè)務(wù)迅速發(fā)展。那么，網(wǎng)上銀行服務(wù)就具有通常所說的 “ 三 A” 的服務(wù)特征，即網(wǎng)上銀行是全天候運營的銀行 （ Anytime） 、開放的銀行 （ Anywhere） 、服務(wù)方式多樣化的銀行 （ Anyhow） 。近年來屢屢爆出的網(wǎng)上銀行案件更為商業(yè)銀行網(wǎng)上銀行風(fēng)險管理敲響了警鐘。 7 第一 部分 商業(yè)銀行操作風(fēng)險 及其風(fēng)險 管理 分析 20 世紀(jì)末巴林銀行的破產(chǎn)倒閉事件讓全球金融機構(gòu)恍然意識到操作風(fēng)險正成為金融機構(gòu)面臨的最大威脅之一，全球金融界才重新關(guān)注這一最古老卻又是最陌生的風(fēng)險。 一、 商業(yè)銀行 操作風(fēng)險 的含義和產(chǎn)生的原因 （ 一 ） 操作風(fēng)險 的 含義 目前，國際上關(guān)于操作風(fēng)險的界定可歸納為三種觀點，即廣義概念、狹義概念和介于兩者之間的概念 （ 又稱為戰(zhàn)略操作風(fēng)險概念 ） 。 巴塞爾委員會在新資本協(xié)議中指出，操作風(fēng)險是指由于不完善或失靈的內(nèi)部程序、人員和系統(tǒng)或外部事件導(dǎo)致?lián)p失的風(fēng)險。從某種程度上將這一對操作風(fēng)險的界定更為系統(tǒng)、直觀，容易掌握，便于分析匯報。 業(yè)務(wù)流程因素是指由于內(nèi)部流程設(shè)計不合理和流程執(zhí)行不嚴(yán)格帶來損失的可能性。 信息科技系統(tǒng)因素是指系統(tǒng)失靈、軟硬件故障和業(yè)務(wù)系統(tǒng)漏洞給銀行帶來損失的可能性。 二、 商業(yè)銀行 操作風(fēng)險管理 的基本原則和管理框架 2021 年，巴塞爾銀行監(jiān)管委員會頒布了《操作風(fēng)險管理與監(jiān)管的穩(wěn)健做法》可以說這標(biāo)志著全球銀行業(yè)對操作風(fēng)險關(guān)注和管理的正式登場。新資本協(xié)議明確提出將操作風(fēng)險納入資本監(jiān)管的范疇，要求銀行為其分配風(fēng)險資本。內(nèi)部欺詐還可進(jìn)一步劃分為未經(jīng)授權(quán)的活動、盜竊及欺詐兩種風(fēng)險損失事件。 四是客戶、產(chǎn)品及業(yè)務(wù)操作類損失事件，指因疏忽未對特定客戶履行分內(nèi)義務(wù)或產(chǎn)品性質(zhì)或設(shè)計缺陷導(dǎo)致的損失。 七是執(zhí)行、交割及流程管理類操作風(fēng)險損失事件，指交易處理或流程管理失 10 敗和因交易對手及外部銷售商關(guān)系導(dǎo)致的損失，進(jìn)一步追究產(chǎn)生損失的原因，可以劃分為因交易認(rèn)定、執(zhí)行和維持問題產(chǎn)生的損失，因監(jiān)控和報告問題產(chǎn)生的損失，因招攬客戶和文件記錄不完備造成損失，因個人或企業(yè)客戶賬戶管理失誤而損失，由于交易對手方因素產(chǎn)生損失，在外部銷售商和供應(yīng)商問題中發(fā)生風(fēng)險損失事件。巴塞爾委員會也指出對于操作風(fēng)險防范，一套較為完整的風(fēng)險管理目錄，有助于銀行對業(yè)務(wù)流程進(jìn)行組織并在銀行內(nèi)部形成共同的操作風(fēng)險價值觀和語言。第三，銀行應(yīng)該建立獨立的操作風(fēng)險管理職能部門， 11 以輔助高級管理層 完成其操作風(fēng)險管理責(zé)任。 操作風(fēng)險管理戰(zhàn)略和政策 就操作風(fēng)險管理戰(zhàn)略而言，巴塞爾委員會指出，為使操作風(fēng)險管理框架有效運行，銀行首先需要識別其利益相關(guān)人并了解他們的要求和銀行對他們的義務(wù)，從中分析識別出本行的關(guān)鍵業(yè)務(wù)驅(qū)動因素和相關(guān)目標(biāo)。 這些政策還應(yīng)該能夠建立起一種機制，使銀行能識別、測量和監(jiān)控所有重大的操作風(fēng)險。而在識別絕大多數(shù)潛在的不利風(fēng)險的同時，銀行應(yīng)該評估自身對這些風(fēng)險的承受能力，這種風(fēng)險評估可以通過自我評估、第三方評估等方式，目的在于更好地掌握本行的風(fēng)險狀況和最有效 地使用風(fēng)險管理資源。除了定期監(jiān)測操作風(fēng)險狀況和監(jiān)測操作損失事件 12 外，銀行還應(yīng)該明確適當(dāng)?shù)闹笜?biāo)，以便為將來損失增大的風(fēng)險提供早期預(yù)警，而有效的監(jiān)測往往和健全的報告制度及通暢的報告途徑緊密聯(lián)系。在這一通知中，銀監(jiān)會提出了操作風(fēng)險概念和十三條工作要求，強調(diào)各銀行機構(gòu)必須有效防范和控制操作 風(fēng)險，要求各銀監(jiān)局抓好對操作風(fēng)險的基層監(jiān)管。從操作風(fēng)險管理的認(rèn)識、制度建設(shè)、組織結(jié)構(gòu)的設(shè)計，到操作風(fēng)險管理識別、評估、監(jiān)測、報告、持續(xù)經(jīng)營機制的建立，再到操作風(fēng)險損失數(shù)據(jù)庫的構(gòu)建和操作風(fēng)險資本計量分 配模型的研究開發(fā)等方面，銀監(jiān)會在該指引中予以了進(jìn)一步明確。其中我國商業(yè)銀行操作風(fēng)險管理組織結(jié)構(gòu)及具體職責(zé)劃分如下： 商業(yè)銀行董事會承擔(dān)監(jiān)控操作風(fēng)險管理有效性的最終責(zé)任。 操作風(fēng)險專門負(fù)責(zé)部門是商業(yè)銀行指定的與其他部門獨立的、專門負(fù)責(zé)全行操作風(fēng)險管理體系的建立和實施、確保全行操作風(fēng)險管理的一致性和有效性的部門。 商業(yè)銀行法律、合規(guī)、信息科技、安全保衛(wèi)、人力資源等部門在管理好本部門操作風(fēng)險的同時，應(yīng)在涉及其職責(zé)分工及專業(yè)特長的范圍內(nèi)為其 他部門管理操作風(fēng)險提供相關(guān)資源和支持。主要內(nèi)容包括：操作風(fēng)險的定義；適當(dāng)?shù)牟僮黠L(fēng)險管理組 織 架構(gòu)、權(quán)限和責(zé)任；操作風(fēng)險的識別、評估、監(jiān)測和控制 /緩釋程序；操作風(fēng)險報告程序，其中包括報告的責(zé)任、路徑、頻率，以及對各部門的其他具體要求；針對現(xiàn)有的和新推出的重要產(chǎn)品、業(yè)務(wù)活動、業(yè)務(wù)程序、信息科技系統(tǒng)、人員管理、外部因素及其變動，及時評估操作風(fēng)險的各項要求。商業(yè)銀行應(yīng)針對潛在損失不斷增大的風(fēng)險，建立早期的操作風(fēng)險預(yù)警機制，以便及時采取措施控制、降低風(fēng)險，降低損失事件的發(fā)生頻率及損失程度。管理信息系統(tǒng)至少應(yīng)當(dāng)記錄和存儲與操作風(fēng)險損失相關(guān)的數(shù)據(jù)和操作風(fēng)險 事件信息，支持操作風(fēng)險和控制措施的自我評估，監(jiān)測關(guān)鍵風(fēng)險指標(biāo)，并可提供操作風(fēng)險報告的有關(guān)內(nèi)容。 保險 銀監(jiān)會指出商業(yè)銀行可購買保險以及與第三方簽訂合同來緩釋操作風(fēng)險。這些年來，伴隨著科學(xué)技術(shù)的進(jìn)步和信息產(chǎn)業(yè)的發(fā)展，使得商業(yè)銀行得以有條件以 極為 低廉的成本來開展網(wǎng)上銀行業(yè)務(wù)。商業(yè)銀行快速資本擴張、地域擴張、以公司客戶基礎(chǔ)、以利差收入為主要利潤來源的發(fā)展模式已經(jīng) 不能適應(yīng)環(huán)境的變化。相關(guān)數(shù)據(jù)顯示，招商銀行 2021 年中間業(yè)務(wù)的增長速度為 50%，光大銀行中間業(yè)務(wù)的增幅更高達(dá) 57%，轉(zhuǎn)型初見成效。以香港恒生銀行為例， 2021 年，在恒生銀行 132． 2 億港元的 凈利潤 中，來自個人銀行業(yè)務(wù)的 超過 75 億 元，占比高達(dá) %。而發(fā)達(dá)國家中間業(yè)務(wù)收入的比率通常占到 40%左右，中間業(yè)務(wù)主要收入來源于證券承銷、證券經(jīng)紀(jì)、投資銀行等業(yè)務(wù)。我國 “ 十一五 ” 規(guī)劃提出要 “ 穩(wěn)步推進(jìn)金融業(yè)綜合經(jīng)營試點 ” ，銀監(jiān)會也明確提出 “ 將研究穩(wěn)步推進(jìn)金融業(yè)綜合經(jīng)營試點的措施，選擇有條件的銀行開展綜合化經(jīng)營試點 ” 。 圖表 1：主要商業(yè)銀行中間業(yè)務(wù)收入與利息收入比率 年份 中間業(yè)務(wù)收入與利息收入比率 2021 1： 2021 1： 2021 1： 2021 1： 2021 1： 2021 1： 資料來源 ：銀監(jiān)會 20212021 年年報 銀聯(lián)信整理 二 、 發(fā)展網(wǎng)上銀行業(yè)務(wù)對于商業(yè)銀行的 戰(zhàn)略意義 商業(yè)銀行紛紛把零售業(yè)務(wù)作為重點發(fā)展的戰(zhàn)略領(lǐng)域并加大營銷拓展力度，取得了一定的成效。個人網(wǎng)上銀行以其獨特的優(yōu)勢為商業(yè)銀行的零售業(yè)務(wù)發(fā)展提供前所未有的機遇。其次，網(wǎng)上銀行業(yè)務(wù)成本低。 截至2021 年末， 中國農(nóng)業(yè)銀行 電子銀行客戶超過 3000 萬戶，增長 265%；電 子渠道交易筆數(shù)超過 億筆，交易金額達(dá) 萬億元，分別增長 78%和 28%；電子渠道交易筆數(shù)占全行總交易筆數(shù)的比重達(dá)到 %，較 2021 年末提高 個百分點 。銀行業(yè)務(wù)不受時空限制，每天可向客戶提供 24 小時不 間 斷 服務(wù)。同時緩解了商業(yè)銀行服務(wù)人員少造成的業(yè)務(wù)處理壓力。以匯款業(yè)務(wù)為例， 之前 浦發(fā)銀行結(jié)合網(wǎng)上銀行平臺的特點推出了 Email 匯款服務(wù)。對收款人而言，不僅可以保護(hù)自己的賬號信息，還能自由選擇收款方式：通過浦發(fā)個人網(wǎng)上銀行，收款人可以直接收款；即使沒有浦發(fā)銀行賬戶，收款人也能到浦發(fā)銀行網(wǎng)點取現(xiàn)。與之相反，如果能夠抓住機遇，將自身的優(yōu)勢與網(wǎng)上銀行發(fā)展機遇相結(jié)合，制定相應(yīng)措施克服自身的弱點并規(guī)避外部威脅和風(fēng)險，則會迎來前所未有的發(fā)展前景。 2021 年第四季度因氣候、節(jié)日等因素的影響 ， 客戶網(wǎng)上銀行登錄、支付、轉(zhuǎn)賬等活動較第三季度 更為 活躍 ， 交易額增速較上一季度有較大提升。 圖表 2： 2021 年 第四季度網(wǎng)上銀行交易市場份額圖 中信銀行 %民生銀行 %其它 %華夏銀行 , %光大銀行 %交通銀行 %招商銀行 %農(nóng)業(yè)銀行 %中國銀行 %建設(shè)銀行 %工商銀行 %工商銀行 建設(shè)銀行 中國銀行 農(nóng)業(yè)銀行 招商銀行 交通銀行中信銀行 民生銀行 光大銀行 華夏銀行 其它 資料來源 ：易觀國際 銀聯(lián)信制圖 網(wǎng)上銀行業(yè)務(wù)中，除了各家商業(yè)銀行業(yè)務(wù)量發(fā)展不平衡之外， 不可忽視的是，這些年來 我國網(wǎng)上銀行的各種風(fēng)險問題也日益嚴(yán)峻，其中，操作風(fēng)險問題更是引起了商業(yè)銀行以及監(jiān)管層的高度重視。但是目前我國的網(wǎng)上銀行業(yè)務(wù)是商業(yè)銀行開辦的，因此不可避免的受傳統(tǒng)商業(yè)銀行風(fēng)險的影響。就我國網(wǎng)上銀行目前的發(fā)展階段，其主要扮演的還是交易平臺和交易渠道的角色，銀行業(yè)務(wù)本身面臨的操作風(fēng)險是不會因為交易渠道的改變而消失的，那么傳統(tǒng)銀行業(yè)務(wù)的各類操作風(fēng)險會在一定程度上移植到其網(wǎng)上銀行業(yè)務(wù)中。這種開放性的特征和計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用使網(wǎng)上銀行安全性成為備受關(guān)注的問題，對網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險管理提出了新的挑戰(zhàn)。但是，結(jié)合到計算機技術(shù)和互聯(lián)網(wǎng)技術(shù)的運用，網(wǎng)上銀行業(yè)務(wù)的操作風(fēng)險更突出的在內(nèi)部欺詐，外部欺詐，客戶、產(chǎn)品及業(yè)務(wù)操作，業(yè)務(wù)中斷和系統(tǒng)失敗，執(zhí)行、交割及流程管理等五個方面表現(xiàn)出來。比如說雇員修改數(shù)據(jù)、從銀行賬戶中提取資金、從記錄中竊取信息或是竊取智能卡等，這樣銀行可能會因補償客戶損失或者重建客戶數(shù)據(jù)庫而產(chǎn)生開支，或是在沒有收到預(yù)付資金的情況下兌現(xiàn)了電子貨幣帶來損失，而且客戶更可能因雇員欺詐失去對銀行的信任。 另一方面是內(nèi)部信息系統(tǒng)安全。 24 （ 二 ） 外部欺詐 一般意義而言，外部欺詐涉及外部盜竊與欺詐、外部信息系統(tǒng)安全兩方面?？梢哉f網(wǎng)上銀行安全性問題面臨的主要挑戰(zhàn)之一就是應(yīng)對形式多樣的外部欺詐。 同傳統(tǒng)的銀行服務(wù)一樣，客戶誤用是操作風(fēng)險的一大根源。 （ 四 ） 業(yè)務(wù)中斷和系統(tǒng)失敗 該類風(fēng)險主要是指來自于業(yè)務(wù)中斷和各種信息科技系統(tǒng)失敗的損失風(fēng)險，主要表現(xiàn)形式有系統(tǒng)軟硬件癱瘓、程序出錯、數(shù)據(jù)備份錯誤、設(shè)備故障、網(wǎng)絡(luò)故障、 25 動力中斷、業(yè)務(wù)無法辦理等。 第二，信息技術(shù)的快速發(fā)展也使銀行面臨系統(tǒng)退化的風(fēng)險。是否采用新技術(shù)或是升級原業(yè)務(wù)系統(tǒng)的決策支持可能不完備，實施新技術(shù)或進(jìn)行系統(tǒng)升級中遇到的風(fēng)險是否能被本行接受沒有做出系統(tǒng)分析，在升級前對業(yè)務(wù)和系統(tǒng)的測試不夠全面和細(xì)致，對升級后可能出現(xiàn)系統(tǒng)故障或癱瘓的應(yīng)急方案準(zhǔn)備不足，這些都加大了我國網(wǎng)上銀行業(yè)務(wù)的操作風(fēng)險。而網(wǎng)絡(luò)的特點為網(wǎng)上銀行業(yè)務(wù)中確認(rèn)身份和交易增加了難度 。 27 第 四 部分 商業(yè)銀行 網(wǎng)上銀行操作風(fēng)險管理 分析 為有效防范和控制網(wǎng)上銀行的風(fēng)險，商業(yè)銀行必須在傳統(tǒng)風(fēng)險管理的基礎(chǔ)上，深入探索管理網(wǎng)上銀行風(fēng)險的方法與途徑。網(wǎng)上銀行業(yè)務(wù)在技術(shù)上的復(fù)雜性，只是改變了一些傳統(tǒng)銀行風(fēng)險的內(nèi)容，商業(yè)銀行風(fēng)險管理的原則特別是全面風(fēng)險管理的理念和原則仍然適用于網(wǎng)上銀行業(yè)務(wù)。 第二對于商業(yè)銀行的各級機構(gòu)，其網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險管理活動應(yīng)當(dāng)在董事會和高級管理層的統(tǒng)一領(lǐng)導(dǎo)下進(jìn)行，各級機構(gòu)進(jìn)行網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險識別、評估、控制和監(jiān)測活動的標(biāo)準(zhǔn)、程序、方法等應(yīng)總體保持一致，以確保風(fēng)險管理過程的準(zhǔn)確性以及管理結(jié)果的客觀性和可比性。 （ 三 ） 全面性 指對網(wǎng)上銀行業(yè)務(wù)的操作風(fēng)險管理要全面規(guī)劃，整體部署。另一方面，對網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險管理的持續(xù)性反映在兩個方面，一是對網(wǎng)上銀行業(yè)務(wù)的操作風(fēng)險要進(jìn)行持續(xù)的監(jiān)控、評估和綜合分析，二是對網(wǎng)上銀行業(yè)務(wù)風(fēng)險管理的能力和效果要進(jìn)行持續(xù)的評價和改進(jìn)。 二 、網(wǎng)上銀行操作風(fēng)險 的 管理流程 操作風(fēng)險的管理程序一般可以被描述為風(fēng)險識別、評估、監(jiān)測、控制與緩釋、報告等模塊。在考察網(wǎng)上銀行業(yè)務(wù)發(fā) 展的經(jīng)營管理目標(biāo)時，各級機構(gòu)應(yīng)了解決定目標(biāo)實現(xiàn)的主要業(yè)務(wù)和管理活動，綜合考慮貢獻(xiàn)度、未來發(fā)展?jié)摿Φ纫蛩貙ζ溥M(jìn)行排序，區(qū)分主要業(yè)務(wù)和非主要業(yè)務(wù)，主要業(yè)務(wù)就是風(fēng)險識別重點考慮的區(qū)域。 在識別技術(shù)和方法上，如果銀行建有損失事件數(shù)據(jù)庫，特別是包含了內(nèi)外部損失事件的數(shù)據(jù)，那么通過對本行和其他銀行的已經(jīng)發(fā)生的風(fēng)險事件的分析，可以更有效的識別風(fēng)險類型、主要驅(qū)動因素和對銀行的影響程度，這也是常用的風(fēng)險識別工具之一。 網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險的識別對各級機構(gòu)建立可行的網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險監(jiān)控體系至關(guān)重要，其結(jié)果可作為網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險評估、計量和報告的基礎(chǔ)以及損失事件數(shù)據(jù)庫的基礎(chǔ)框架，因此應(yīng)該對風(fēng)險識別結(jié)果予以文檔化和妥善保存，并根據(jù)操作風(fēng)險識別工作的開展定期進(jìn)行升級和更新，提供更為全面、最新的網(wǎng)上銀行業(yè)務(wù)操作風(fēng)險目錄。 自我評估要求銀行的各級機構(gòu)及其各部門可依據(jù)風(fēng)險識別結(jié)果，分析、評估和確認(rèn)所管理的業(yè)務(wù)或產(chǎn)品中的風(fēng)險暴露、相應(yīng)監(jiān)測和控制措施的健全性和有效性、存在的潛在缺陷等，并提出改進(jìn)措施及具體行動方案。然后，銀行的操作風(fēng)險管理部門或至少是網(wǎng)上銀行業(yè)務(wù)管理部門應(yīng)制訂書面的評估實施方案，明確評估目的、評估人員、評估時限、評估對象和范圍、評估方式等內(nèi)容。 與自我評估相比較，第三方獨立 評估的目的是為政府、監(jiān)管當(dāng)局、投資者、社會公眾或董事會等利益關(guān)系方提供關(guān)于銀行操作風(fēng)險暴露及管理狀況的獨立、公正、客觀的評價。何時應(yīng)用這些戰(zhàn)略取決于銀行的風(fēng)險偏好和風(fēng)險容