【導讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 這將使得罪犯得以訪問客戶的賬戶，欺詐和盜竊事件就會更容易發(fā)生，分析近年來發(fā)生的網(wǎng)上銀行資金被盜案就很容易得出此結(jié)論。 由銀行員工引發(fā)的網(wǎng)上銀行操作風險除了業(yè)務操作差錯的因素外，還有未對客戶進行風險提 示或風險提示不當、違規(guī)使用客戶信息為客戶辦理網(wǎng)上銀行注冊、泄露客戶私密性信息等。 這類的事件 ，更反映出了銀行內(nèi)部網(wǎng)上銀行產(chǎn)品設計和業(yè)務操作程序設計上存在安全隱患，內(nèi)部管理上存在漏洞等問題。 （ 四 ） 業(yè)務中斷和系統(tǒng)失敗 該類風險主要是指來自于業(yè)務中斷和各種信息科技系統(tǒng)失敗的損失風險，主要表現(xiàn)形式有系統(tǒng)軟硬件癱瘓、程序出錯、數(shù)據(jù)備份錯誤、設備故障、網(wǎng)絡故障、 25 動力中斷、業(yè)務無法辦理等。 首先，銀行所選用的網(wǎng)上銀行業(yè)務系統(tǒng)甚至是核心業(yè)務系統(tǒng)可能在設計或?qū)崿F(xiàn)上不夠完善。例如如果選用的網(wǎng)上銀行系統(tǒng)與用戶需求不一致，銀行就會 遭到現(xiàn)行系統(tǒng)服務中斷或者運行速度減緩的風險。在社會化大分工中，很多銀行可能引入外界的服務提供商或?qū)＜抑С志W(wǎng)上銀行運作，如果外界服務提供商并不具備銀行所期望的、必要的專業(yè)知識，或者沒能及時更新他們的技術，對外界的依賴也給銀行帶來了操作風險。 第二，信息技術的快速發(fā)展也使銀行面臨系統(tǒng)退化的風險。當更新有關計算機軟件時，發(fā)送升級軟件的渠道也會存在風險，因為罪犯可能會截取或修改該軟件。另外技術的快速變革意味著銀行管理層和職員可能無法完全理解本行所采用的新技術的特點，這也將導致新系統(tǒng)中的操作風險，可能新技術的實施情況 遠遠沒有管理層要求的好，銀行無法為新技術的使用提供后續(xù)的服務支持，甚至在系統(tǒng)完整性或可靠性上存在不足。 第三，我國商業(yè)銀行在技術風險管理上往往存在經(jīng)驗不足、管理不規(guī)范的問題。是否采用新技術或是升級原業(yè)務系統(tǒng)的決策支持可能不完備，實施新技術或進行系統(tǒng)升級中遇到的風險是否能被本行接受沒有做出系統(tǒng)分析，在升級前對業(yè)務和系統(tǒng)的測試不夠全面和細致，對升級后可能出現(xiàn)系統(tǒng)故障或癱瘓的應急方案準備不足，這些都加大了我國網(wǎng)上銀行業(yè)務的操作風險。國內(nèi)商業(yè)銀行因系統(tǒng)升級造成的系統(tǒng)故障甚至造成包括網(wǎng)上銀行業(yè)務在內(nèi)的整個銀行業(yè)務中斷 的案例已經(jīng)不止一次的出現(xiàn)了。 （ 五 ） 執(zhí)行、交割及流程管理 對于網(wǎng)上銀行業(yè)務而言，身份確認和交易認定與維持一直是需要攻克的問題。交易進行前，網(wǎng)上銀行用戶準確的證明自己、交易對手或是與第三方之間的身份是交易進行的基礎，交易進行時準確的錄入和傳送交易數(shù)據(jù)是必要的條件，交易完成后認定交易有效和交易不可抵賴是對各方利益的保障。而網(wǎng)絡的特點為網(wǎng)上銀行業(yè)務中確認身份和交易增加了難度 。 我國的《電子簽名法》以法律的形式確立了電子合同的合法性和有效性，承認了電子簽名的法律效力并且賦予了電子記錄法律效力。那么在網(wǎng)上銀行的一筆交 易中，對客戶來說需要識別交易對手，正確的輸入交易數(shù)據(jù)；對提供中介服務的銀行來說需要嚴格按照客戶的指令處理交易數(shù)據(jù)，并且盡可能保證相關數(shù)據(jù)沒有被篡改或截取，還要采取相應的技術妥善存儲交易數(shù)據(jù)并確?？蛻艉徒灰讓κ植荒軐σ呀?jīng)完成的交易抵賴；對交易對手來說銀行應該提供一種有效的手段使其 26 能夠確認交易另一方的身份和交易完成情況。 如果客戶否認自己完成的交易，要求退款，而銀行沒有一個交易認定的機制，那么銀行就可能為了證明客戶授權了該筆交易而發(fā)生不少的開支，還可能因為不能夠提供客戶授權了該筆交易的足夠證明而造成資金損失，這 些都是網(wǎng)上銀行業(yè)務所必須要防范的操作風險。 27 第 四 部分 商業(yè)銀行 網(wǎng)上銀行操作風險管理 分析 為有效防范和控制網(wǎng)上銀行的風險，商業(yè)銀行必須在傳統(tǒng)風險管理的基礎上，深入探索管理網(wǎng)上銀行風險的方法與途徑。從我國目前網(wǎng)上銀行發(fā)展情況而言，商業(yè)銀行是網(wǎng)上銀行業(yè)務產(chǎn)生和發(fā)展的母體與基礎，那么商業(yè)銀行的經(jīng)營目標、風險偏好、風險管理體系和機制在很大程度上決定和制約了該行網(wǎng)上銀行業(yè)務的操作風險管理狀況。因此，研究和規(guī)劃網(wǎng)上銀行業(yè)務的操作風險管理要在商業(yè)銀行風險管理的整體框架下進行，結(jié)合網(wǎng)上銀行業(yè)務特點持續(xù)不間斷地開展。 一 、 網(wǎng)上銀行操作風險 的 管理原則 網(wǎng)上銀行業(yè)務是當代商業(yè)銀行應對信息技術發(fā)展和市場需求的產(chǎn)物。網(wǎng)上銀行業(yè)務在技術上的復雜性，只是改變了一些傳統(tǒng)銀行風險的內(nèi)容，商業(yè)銀行風險管理的原則特別是全面風險管理的理念和原則仍然適用于網(wǎng)上銀行業(yè)務。結(jié)合國際銀行業(yè)與我國監(jiān)管機構(gòu)對銀行操作風險管理文件和電子銀行業(yè)務管理文件 的要求， 網(wǎng)上銀行業(yè)務操作風險管理應該遵循“統(tǒng)一性、系統(tǒng)性、全面性、持續(xù)性、審慎性”的原則 。 （ 一 ） 統(tǒng)一性 首先對于商業(yè)銀行董事會和高級管理層來說，應該將網(wǎng)上銀行業(yè)務操作風險管理納入整個銀行統(tǒng)一的風險管理的總體框架 之中，并在此基礎上根據(jù)網(wǎng)上銀行業(yè)務的特點和風險管理目標，統(tǒng)一進行操作風險管理的規(guī)劃和部署。董事會和高級管理層應明確界定各級機構(gòu)的網(wǎng)上銀行業(yè)務操作風險等商業(yè)銀行操作風險管理職責，制定全行統(tǒng)一的操作風險管理政策、程序和控制制度等。 第二對于商業(yè)銀行的各級機構(gòu)，其網(wǎng)上銀行業(yè)務操作風險管理活動應當在董事會和高級管理層的統(tǒng)一領導下進行，各級機構(gòu)進行網(wǎng)上銀行業(yè)務操作風險識別、評估、控制和監(jiān)測活動的標準、程序、方法等應總體保持一致，以確保風險管理過程的準確性以及管理結(jié)果的客觀性和可比性。 28 （ 二 ） 系統(tǒng)性 對網(wǎng)上銀行業(yè)務的操 作風險要進行系統(tǒng)性的管理。網(wǎng)上銀行業(yè)務的操作風險管理應在分析銀行整體風險和經(jīng)營狀況以及風險發(fā)展趨勢的基礎上進行，科學地評估網(wǎng)上銀行業(yè)務對整個銀行總體風險的影響。換句話說，網(wǎng)上銀行業(yè)務的操作風險是銀行業(yè)面臨的一系列風險中的一部分，不僅要管理網(wǎng)上銀行業(yè)務等銀行的各個業(yè)務單獨的風險，同時也要掌握它們之間的相互影響，進而進行系統(tǒng)性的管理，達到全面控制風險的目的。 （ 三 ） 全面性 指對網(wǎng)上銀行業(yè)務的操作風險管理要全面規(guī)劃，整體部署。網(wǎng)上銀行風險管理應該在全面收集相關信息的基礎上，涵蓋所有的以及擬開展的網(wǎng)上銀行業(yè)務所涉及 的內(nèi)容，進行綜合管理，不僅包括對內(nèi)部人員、業(yè)務系統(tǒng)的管理，還應包括對外包商、第三方合作伙伴以及用戶等方面的風險管理。 （ 四 ） 持續(xù)性 對 于 網(wǎng)上銀行業(yè)務操作風險管理的過程 應該 是不間斷的。一方面操作風險貫穿于網(wǎng)上銀行業(yè)務的整個生命周期中，業(yè)務的不間斷決定了其風險管理是一個持續(xù)不間斷的過程。另一方面，對網(wǎng)上銀行業(yè)務操作風險管理的持續(xù)性反映在兩個方面，一是對網(wǎng)上銀行業(yè)務的操作風險要進行持續(xù)的監(jiān)控、評估和綜合分析，二是對網(wǎng)上銀行業(yè)務風險管理的能力和效果要進行持續(xù)的評價和改進。 （ 五 ） 審慎性 對整個網(wǎng)上銀行風險管理都要貫 徹審慎管理的要求。技術創(chuàng)新的快速發(fā)展改變著網(wǎng)上銀行業(yè)務中面臨的風險特征和范圍，同時加大了銀行管理風險的難度。因此對網(wǎng)上銀行業(yè)務操作風險進行管理時，商業(yè)銀行董事會和高級管理層應當在本行的風險偏好內(nèi)謹慎選擇業(yè)務投向和發(fā)展范圍，保證在潛在風險可以承受的前提下開展。 二 、網(wǎng)上銀行操作風險 的 管理流程 操作風險的管理程序一般可以被描述為風險識別、評估、監(jiān)測、控制與緩釋、報告等模塊。下面具體分析網(wǎng)上銀行業(yè)務操作風險管理中如何實施上述管理程序。 29 （ 一 ） 風險識別 商業(yè)銀行對網(wǎng)上銀行操作風的險識別應該在充分考慮商業(yè)銀行各項風險 驅(qū)動因素的基礎上，運用恰當?shù)墓ぞ吆图夹g對網(wǎng)上銀行業(yè)務產(chǎn)品線和業(yè)務流程中的主要風險點、產(chǎn)生原因和影響情況進行確認并文檔化，識別結(jié)果用風險目錄來表示。 識別網(wǎng)上銀行業(yè)務操作風險時，商業(yè)銀行各級機構(gòu)及職能部門首先應充分了解本行經(jīng)營管理的戰(zhàn)略目標，如核心業(yè)務的發(fā)展規(guī)劃、風險偏好和容忍度等，以及網(wǎng)上銀行業(yè)務發(fā)展在戰(zhàn)略實現(xiàn)過程中承擔的職能和角色；其次是明確網(wǎng)上銀行業(yè)務的經(jīng)營目標，以及影響這些目標實現(xiàn)的有利和不利因素；再次是明確與網(wǎng)上銀行業(yè)務經(jīng)營相關的法律規(guī)章、重要政策制度、人力資源因素和業(yè)務系統(tǒng)等。在考察網(wǎng)上銀行業(yè)務發(fā) 展的經(jīng)營管理目標時，各級機構(gòu)應了解決定目標實現(xiàn)的主要業(yè)務和管理活動，綜合考慮貢獻度、未來發(fā)展?jié)摿Φ纫蛩貙ζ溥M行排序，區(qū)分主要業(yè)務和非主要業(yè)務，主要業(yè)務就是風險識別重點考慮的區(qū)域。同時對每一項具體業(yè)務，應明確操作流程，根據(jù)對業(yè)務目標實現(xiàn)的影響程度區(qū)分關鍵流程和非關鍵流程，將其中的關鍵流程作為風險識別的重點環(huán)節(jié)。對網(wǎng)上銀行業(yè)務來說，重點環(huán)節(jié)主要包括客戶注冊、登錄網(wǎng)上銀行系統(tǒng)等身份識別環(huán)節(jié)，交易信息確認、交易記錄修改等交易確認環(huán)節(jié)等。在識別重點業(yè)務流程和關鍵流程操作風險過程中，應考慮銀行內(nèi)外部的因素，包括監(jiān)管和法 律環(huán)境的調(diào)整、主要競爭者行為和特性的變化、執(zhí)行人員能否正確理解管理人員的意圖、人力資源素質(zhì)、與網(wǎng)上銀行業(yè)務相關的銀行其他業(yè)務資源、相關交易的復雜性和交易規(guī)模、所采用的系統(tǒng)和程序設計實施運行情況、互聯(lián)網(wǎng)及其它網(wǎng)絡技術發(fā)展趨勢等。 在識別技術和方法上，如果銀行建有損失事件數(shù)據(jù)庫，特別是包含了內(nèi)外部損失事件的數(shù)據(jù)，那么通過對本行和其他銀行的已經(jīng)發(fā)生的風險事件的分析，可以更有效的識別風險類型、主要驅(qū)動因素和對銀行的影響程度，這也是常用的風險識別工具之一。商業(yè)銀行還可以采用流程圖分析的方法來識別網(wǎng)上銀行業(yè)務操作風險， 即是說把網(wǎng)上銀行業(yè)務的每一種具體產(chǎn)品按照不同人員的操作先后順序分成不同的工序，形成產(chǎn)品線流程，再對每一個工序的職責目標、使用系統(tǒng)和責任人情況等進行詳細羅列，并對分別人員、系統(tǒng)、程序等風險因素來識別操作風險，這樣充分暴露網(wǎng)上銀行產(chǎn)品各個環(huán)節(jié)的操作風險。 最后在分析風險事件可能產(chǎn)生的影響和沖擊時，需要明確風險事件發(fā)生會使銀行承擔什么法律責任、是否造成資產(chǎn)損失、是否會遭受監(jiān)管部門處罰或是償還、賠償?shù)蓉攧沼绊懸约胺秦攧辗矫娴臐撛谟绊?。針對識別出的主要業(yè)務及其關鍵流程當中可能存在的風險驅(qū)動因素，以及相應的風險事件影響 ，明確現(xiàn)行的法律、 30 規(guī)章、內(nèi)部政策等文件中關于相應風險點的防范和控制措施。 網(wǎng)上銀行業(yè)務操作風險的識別對各級機構(gòu)建立可行的網(wǎng)上銀行業(yè)務操作風險監(jiān)控體系至關重要，其結(jié)果可作為網(wǎng)上銀行業(yè)務操作風險評估、計量和報告的基礎以及損失事件數(shù)據(jù)庫的基礎框架，因此應該對風險識別結(jié)果予以文檔化和妥善保存，并根據(jù)操作風險識別工作的開展定期進行升級和更新，提供更為全面、最新的網(wǎng)上銀行業(yè)務操作風險目錄。 （ 二 ） 風險評估 網(wǎng)上銀行業(yè)務的操作風險被識別出來后，就應該加以評估，主要就是要對風險的發(fā)生概率、影響程度和控制能力進行分析，并確定 對風險的應對策略和措施。風險評估的作用在于，它使管理層得以將操作風險與風險管理戰(zhàn)略和政策進行比較，識別銀行不能接受或超出風險偏好的那些風險暴露，選擇合適的緩解機制并對需要緩解的風險進行優(yōu)先排序。評估包括自我評估和第三方獨立評估。 自我評估要求銀行的各級機構(gòu)及其各部門可依據(jù)風險識別結(jié)果，分析、評估和確認所管理的業(yè)務或產(chǎn)品中的風險暴露、相應監(jiān)測和控制措施的健全性和有效性、存在的潛在缺陷等，并提出改進措施及具體行動方案。對網(wǎng)上銀行業(yè)務操作風險的自我評估應該重點關注容易引發(fā)操作風險的驅(qū)動因素，銀行應該采用發(fā)放固定格 式的問卷表或組建工作組等方法，就網(wǎng)上銀行業(yè)務處理部門的每個操作風險驅(qū)動因素的固有風險、跟蹤機制的健全性和有效性、管理措施的充分性以及剩余風險給出意見，同時結(jié)合操作風險管理部門人員、內(nèi)外部審計人員等方面的評價意見，對網(wǎng)上銀行產(chǎn)品或業(yè)務的風險狀況得出初步結(jié)論，并提出改善操作風險管理的具體行動計劃。 風險評估是一個需要循環(huán)進行的工作。商業(yè)銀行在每次進行網(wǎng)上銀行業(yè)務操作風險自我評估時，首先要綜合考慮上次自我評估結(jié)果、業(yè)務自查結(jié)果、內(nèi)外部審計報告、監(jiān)管部門的報告、經(jīng)營環(huán)境的變化、新產(chǎn)品和新流程的引入、人員變化、當期業(yè) 務發(fā)展重點以及新發(fā)生的操作風險事件等因素，確定本期自我評估的對象和評估范圍。然后，銀行的操作風險管理部門或至少是網(wǎng)上銀行業(yè)務管理部門應制訂書面的評估實施方案，明確評估目的、評估人員、評估時限、評估對象和范圍、評估方式等內(nèi)容。在依照評估方案實施自我評估時，要逐個針對已確認的重要產(chǎn)品及其關鍵業(yè)務流程，對潛在的風險點逐項進行評估，包括確認主要風險驅(qū)動因素、估計風險事件發(fā)生的頻率及可能產(chǎn)生的影響程度、評價相關控制措施的健全性和有效性以及對存在的問題提出改進建議等內(nèi)容。接下來，與評估事項有關的各級機構(gòu)或各職能部門對于 風險點的逐項評估結(jié)果，按照驅(qū)動因素、風 31 險類型或影響后果等逐級匯總得到網(wǎng)上銀行業(yè)務的關鍵流程、主要業(yè)務直至整個機構(gòu)操作風險組合的狀況，通過與已設定的風險容忍度相比較，確定是否與風險偏好一致；通過不同業(yè)務、不同機構(gòu)、不同風險類型等之間風險暴露大小之間的對比，綜合考慮風險管理環(huán)境、業(yè)務發(fā)展目標以及風險管理政策和控制措施的有效性評價等因素，確定網(wǎng)上銀行業(yè)務操作風險的主要來源。最后將每次自我評估的結(jié)果形成規(guī)范的文檔，并建立嚴格的保管制度，為加強網(wǎng)上銀行業(yè)務操作風險管理提供可靠的文件支持。 與自我評估相比較，第三方獨立 評估的目的是為政府、監(jiān)管當局、投資者、社會公眾或董事會等利益關系方提供關于銀行操作風險暴露及管理狀況的獨立、公正、客觀的評價。第三方獨立評估主要由外部監(jiān)管部門、外部審計進行，但無論是由誰實施，評估結(jié)果都應該及時反饋到相關機構(gòu)和銀行的網(wǎng)上銀行業(yè)務相關部門。 （ 三 ） 風險控制與緩釋 對于識別和評估了影響程度的網(wǎng)上銀行業(yè)務操作風險，接下來就是采用適當?shù)娘L險管理策略和措施加以管理。一般來說，管理操作風險的策略有四種，即避免、緩釋、轉(zhuǎn)移和承擔。何時應用這些戰(zhàn)略取決于銀行的風險偏好和風險容忍度