一、網絡銀行在充分享受現代網絡技術的便捷時,也面臨着網絡技術帶來的一系列的新的風險
1.從技術的角度看面臨的風險
風險突出表現在Internet的安全問題。網絡銀行將面臨被闖入者攻擊的危險,而且可能給闖入者攻擊其他網絡如銀行內部決策信息系統提供了基地。其原因一是認證環節薄弱。Internet的許多事故的起源是因爲使用了薄弱的、靜態的口令。Internet上的口令可以通過許多方法破譯。其中最常用的兩種方法是把口令解密和通過監視信道竊取口令。二是系統易被監視。當用戶使用遠程登錄終端模擬協議(TELNET)或文件傳輸協議(FTP)連接他在遠程主機上的賬戶時,他在Internet上傳輸的口令是沒有加密的。
2.從經濟的角度看面臨的風險
銀行結算風險。網絡銀行改變了傳統的以圖章爲支付指令的結算手段,採用數字簽名方式對支付指令的有效性進行確認。由於網絡的“虛擬性”,數字簽名的可靠性完全取決於銀行安全控制系統的嚴密與否。銀行管理風險。它是指由於商業銀行內部信息系統和內控系統出現問題而使銀行遭受損失的可能性。信用風險。信用風險是指借款人違反貸款協議,拒不清償貸款,或喪失清償能力而無力履行還款義務,給銀行造成損失的潛在危險。
3.從法律的角度看面臨的風險
網絡犯罪風險。網絡系統是網絡銀行的依託,那麼,網絡本身存在的不足就會給網絡銀行帶來風險。隨着網民數量的增加和技術的提高,網絡黑客的人數和技術水平都在上升,許多黑客爲了消遣或炫耀技術而攻擊網絡,使網絡銀行的網絡系統受損甚至崩潰的威脅。法律風險。網絡銀行屬於新興事物,大多數國家政府尚未有配套的法律法規與之相適應,造成了銀行在開展業務時無法可依,且銀行難以採取主動措施,將犯罪活動消滅於萌芽之中。
因爲網絡銀行存在上述風險,所以必須加強風險管理,否則,網絡銀行的存在和發展將受到嚴重的威脅。二、網絡銀行的`風險管理
根據風險管理理論,風險管理是由風險識別、風險衡量、風險處理和風險管理效果評價四個階段構成的。網絡銀行的風險管理也必須圍繞四個階段進行。
1.風險識別階段
風險識別指管理人員通過對大量來源可靠的信息資料進行系統瞭解和分析,認清存在的各種風險因素,進而確定所面臨的風險及其性質,並把握其發展趨勢。對網絡銀行而言,進行具體的風險分析就是判斷自己希望保護的資源是什麼及有哪些潛在的威脅。
2.風險衡量階段
風險衡量是指對某種特定的風險,測定其風險事故發生的概率及其損失程度。風險衡量是在風險識別的基礎上進行的。方法是以損失概率和損失程度爲主要測算指標,據以確定風險的大小或高低。
對於網絡銀行來說,正確地估價風險是十分有益的。最早運用數量風險分析的是RobertCourteny,1977年Courteney在美國IBM公司第一個提出了這一技術。在這種技術中,風險是以每年可能損失的金額數來定義的,風險可以根據下面的公式來計算:
R=PE
其中,R是風險;P是每年發生安全性威脅的概率;E是由於其中每一次破壞所損失的價值。這一公式的難點在於概率要由主觀指定,並且損失額也常常難以確定。然而,這一公式本身仍然是十分有益的,因爲它迫使一個機構中的成員去思考他們的風險損失。
P並不是一個簡單的統計概率估計,這一概率應該看作是損失增殖率(PL),它是發生安全性威脅的年平均率。例如,如果某事件300年發生一次,則PL是0.00333(即365/109500),不計算閏年中的閏日。如果每天發生一次,則PL是365(365/1)。如果每天發生100次,則PL是36500(365/0.01)。換句話,PL按下式計算:
損失增殖率=(每年的天數)/(事件之間相隔的天數)
假定一臺設備的平均無故障事件(MTBF)是10000小時,如果該設備每天工作24小時,則兩次故障之間相隔的天數是10000/24=416.67天,一年=365天,所以該設備的PL是365/416.67=0.876。某個其他設備的故障率是每天2次,於是每次故障相隔天數是1(天)/2=0.5,所以PL=365/0.5=730。某事件第三個月(90天)財務管理出現事故,則PL=365/(90/1)=4.06。還可以用其他技術來估計發生率。但這些估計應該以嚴格的數據爲基礎。
在網絡銀行的風險管理的過程中,考慮投入資源的有限,根據經濟學的投入/產出理論,需要確定防範的重點——損失概率和損失程度較大的風險,通過一定的風險控制,可以由風險需要的最小化的“負效益”投入最終產生最大化“正效益”。如對網絡銀行提供的各項金融產品的服務進行分析,可以發現各項業務的經營風險各不相同,但是最基本的風險環節都集中在信息資源上。由於網絡銀行的信息系統中處理、傳輸、存儲的都是金融信息,對其進行攻擊將獲得鉅額的金錢,這些金融信息就成爲被攻擊的主要對象。然而,各種業務的金融信息由於涉及的金融產品和金融服務的性質不同,因而,發生的概率及其損失程度也不同。
3.風險處理階段
對於網絡銀行面臨的風險,在弄清了風險的性質和大小(或等級)之後,必須運用合理而有效的方法對風險加以處理。這一階段的核心是風險處理手段的選擇。
財務型風險處理手段是通過事先的財務計劃、籌措資金,以便對風險事故造成的經濟損失進行及時而充分的補償。這種手段的核心是將消除和減少風險的代價均勻地分佈在一定時期內,以減少因隨機性巨大損失的發生而引起財務危機之風險。如網絡銀行提取呆帳準備金的手段就是這一類風險防範手段。需要指出的是,風險處理手段的選擇是一種綜合性的科學決策。爲此,合理組合風險處理手段,就會做到成本低,效益高,即以最小的成本獲得最大的安全保障。
運用各種檢查網絡系統安全弱點的軟件。目前,在Internet上有各種檢查網絡系統安全弱點的軟件,對這些軟件的恰當使用,可以及時發現大部分的網絡安全方面的弱點。另外,還可以使用某些軟件來監控網絡系統的服務情況,以發現網絡存在的問題,並進行綜合評價風險管理措施的實施效果。
[摘要]隨着網絡銀行的發展,其風險問題越來越大,其處理手段的選擇是一種綜合性的科學決策。爲此,合理組合風險處理手段,就會做到成本低,效益高,即以最小的成本獲得最大的安全保障。
[關鍵詞]網絡銀行風險對策
