一、 银行电子化概述
计算机技术及其相关的信息技术、网络技术 作为一种相对而言较为年轻的科学技术,极其生动地体现了科学技术的本质特点——应用性。从其诞生起就充分地应用到了科学研究、自动控制、信息处理等广泛的领域。而银行业由于其交易对象(包括货币、风险、信息等)的抽象性,使其有着能引入信息技术的天然属性;再加上传统金融业务里繁重的重复劳动量而又要求高度精确,使其有着运用新技术减轻人工劳动提高处理效率与服务质量和精度的要求。多种特征使银行具备了深入应用信息技术的巨大空间。实践也已经证明信息技术对银行业的意义非同一般,它从最初的减轻手工劳动开始,应用水平不断深入,直至极为彻底地改变了银行业的经营模式,为金融创新搭建了新型平台,也促进了整个国民经济效率的提高。这一变革最为剧烈的影响发生在上世纪90年代,但整个过程的开端最早可以追溯到上世纪50年代,具体可以分为以下几个阶段:
1.手工业务电子化阶段 上世纪50年代美国、日本等一些发达国家开始将新兴的计算机技术引入银行业,主要用于记账和编制报表,以克服手工操作的低效率和高出错率,从而将银行业从原来的“手工业”式经营中解放出来。从中可见,这一阶段主要形式是手工业务的电子化替代,业务处理上未实现联机,从而也没有出现真正的银行电子化。
2.联机业务处理阶段 随着计算机处理性能的提高和通信技术的发展,最初应用于银行业的各类计算机处理系统开始联机操作,产生了诸如数据处理、资金转账、信息共享等新型业务处理模式,银行电子化进程随之加快。在银行业务、管理多方面实现电子化的同时,银行服务手段也逐渐拓宽,如自动提款机系统(ATM)、销售点终端系统(POS)、电话银行系统等开始出现,一个完整的电子银行体系开始成型。
3.网络银行阶段 上世纪90年代中期开始,最为高级和广泛的计算机网络——国际互联网的应用逐渐成熟,银行业抓住时机推出了电子银行服务的顶级形式网络银行,从而开创了银行电子化的新局面。网络银行也极大地改变了传统的金融服务方式,诱发了金融业内证券业、保险业的在线革命,促进了电子商务的发展,以此实现了银行业在利益于信息技术后反过来推动了信息技术在经济生活中的进一步运用。
目前银行业处于上述第三阶段并继续向前发展着,但这并不意味着现有技术的完美无缺,或是业务水平可以让人高枕无忧。实际上,新的收获总带来新的课题,银行电子化尤其是网络银行彻底更新了传统银行的经营观念,比如电子银行365天24小时的全天候服务需要有更为高效的监控,电子货币的高速流通干扰了货币政策的效果,银行经营客体在货币、风险等之外增加了信息一项,客户在虚拟银行前有了更大的自主权,等等。各种各样的变化总伴随着新型的风险,需要银行业以有别于传统风险管理方式的手段去应对。
二、 银行电子化中的风险
银行业在利用信息技术进行金融创新,也在创造着风险。这注定了它必然面临更为多样的经营环境,一个合格的银行电子体系必须符合多方面要求,这些要求包括及时性或实时性、准确性、可扩展性、安全保密性等,这些要求也同样是银行电子化的价值所在,如果不具备这些特征,那么电子化的意义可能尽失。因而,银行电子化的风险管理必然是与这些新型特征有着密切的联系的,换言之,银行电子化中的风险是新型风险,虽然风险管理的最终目的仍然是银行的安全性、流动性和盈利性,但在具体风险管理过程中依旧单单局限于这传统的银行三性显然是不够的,不管是技术上还是业务上都出现了更为复杂的问题。
再从另一个角度分析,一个完善成熟的银行电子化系统应该覆盖三大领域,即银行电子化监管系统、银行电子化业务处理系统和银行电子化自动交易系统,从而确立了一个全方位的银行电子化体系。同时它又须具备三大要件,即合格的计算机相关设备和信息技术水平(可以理解为银行电子化的硬件条件)、电子化经营水平(可以理解为银行电子化的软件水平)、和一个完善的法律监管及其它方面的外部环境(可以理解为银行电子化的外部环境条件)。银行电子化的良好运行离不开这三个方面的优化与配合,这三个方面也成为了银行电子化的潜在风险滋生地,三个方面的任一缺陷都可能构成对银行电子化不利的风险。因而本文将按上述三个方面进行分类,分别阐述。
(一)硬件条件方面的风险类型 广义的信息技术可以包括计算机技术、网络技术和数据库技术等几个方面,其共同构成银行电子化的基石。在这一方面的主要风险类型有:
1.电子化设备实体风险 即银行电子化建设中所投资设置的各种设备自身的安全性,包括各类主机、通信设备与线路等计算机及附件设备,也包括机房、电源等配套投资。灾害性气候、失水失火、断电事故等都可以从不同程度上影响银行电子化设备的正常运行,甚至让设备完全报废。另外,维护不善也会对各种实体构成威胁,影响其使用寿命,比如温度、湿度、电压控制不当或者放置不正确。
2.软硬件质量、漏洞及后门 计算机及其它设备都由软件与硬件组成。银行实施银行电子化的初期采购设备时,其性能、质量必然是重要的考虑因素。比如该设备能否负荷预期的业务处理量,通讯设备是否能提供足够带宽,另外还得考虑购置成本。更为重要的一点是安全性。客观地讲,安全是相对的,风险的存在是绝对的,任何软硬件,漏洞总是难以避免的,关键在于如何有效地管理风险。而后门则是软硬件设计之初预先安排的,有可能是出于善意目的,但同样会成为安全的隐患,采用开放源代码的软件,比如Linux有助于减少此在担忧。
3.网络安全 一般而言,网络安全风险包括黑客入侵风险、数据安全风险和病毒破坏风险。具体有如计算机病毒、蠕虫、木马的侵入破坏,拒绝服务、端口扫描、攻击、篡改网页等。病毒最初与网络并无直接关系,但目前网络已经成为病毒的主要传播途径,尤其侵害电子邮件、群件。公安部的《2004年全国信息网络安全善调查分析报告》 指出普遍存在“用户安全观念薄弱、安全管理人员缺乏、安全经费投入不足和安全管理产品不能满足要求等问题”,说明安全风险网络安全问题除去产品自身、黑客、病毒等因素外,更为主要的原因还在内部管理。
(二)业务条件方面的风险类型 人作为银行电子化发展过程的核心因素,是整个事物发展的内因,人的参与直接关系到银行电子化的成果。因此,银行电子化的战略规划、制度设计、人员安排等事务成为了银行电子化风险管理体系中不可忽视的重要组成部分。
1.战略风险 战略风险指银行作为一个独立的企业,将某项或整体电子化作为作为一个战略投资项目时,可能由于决策不力、目标迷失、定位不明、技术应用不当、对行业、成本、收状况分析失误等原因造成项目失败或者达不到预期效益,而承受的风险。信息时代的发展是一日千里,社会经济各方面千变万化,银行管理层面对复杂形势,在业务战略制定上面对更大的困难,但又在日趋激烈的竞争条件下必须迅速反应,有所作为,因而这一类风险需要高度重视。
2.业务风险 新型的银行经营方式要求有新型的业务类型与经营理念,典型的有如从过去的产品导向型转变为客户导向型,注重服务与营销,沿袭落伍的业务经营方式必将导致在竞争中失利。另外,电子处理更注重实效性,也加快了风险的传导,必然需要自动化、电子化的监控体系和风险预警机制。以上诸多方面,即比战略规划低一层次,与业务经营密切相关的实务风险可以统称为业务风险。
3.操作风险 操作风险可视为比业务风险更低一层次。包括银行内部业务人员或客户由于失误或恶意地行为而影响系统的可靠性、安全性并可能造成损失的操作类型,种类较多。比如安全意识薄弱而导致的密码泄漏,业务员违规操作或者漫不经心导致对账户的误操作,没有正确使用系统中的软硬件而引起的故障,甚至是职务人员利用职务之便进行的经济犯罪。显而易见,其根源主要在于安全教育和管理制度上的缺陷。
(三)外部环境方面的风险类型 主要有两方面:
1.法律风险 主要是指由于违反法律规定,或者出现纠纷时难以鉴定法律责任而使银行或者客户遭受损失的风险。在银行电子化法律体系尚处于起步阶段时,许多法律法规规定不明确,尤其在互联网上很多行为可以游离于法律监管之外,各参与主体的权利与义务难以明确,这些都是潜在风险的诱因。
2.社会信用风险 是指社会信用体系不完善的情况下,在一个虚拟化的电子环境中进行金融活动所可能承受的风险,包括参与者身份难以认定、行为抵赖、难以追究责任等情况。对此银行需要设计适合电子化的信用管理体系。
在信息化法律和社会信用体系都极不完备甚至可以说缺失的我国,以上两点问题的解决显得尤为紧迫。
三、 银行电子化中风险的管理
针对上述不同类型的风险,一般依据“对症下药”的原则,分别设计方案。但在实施当中,又必须进行统筹规划,以达到整体效益。同时,每项风险管理都应进行成本收益分析,把投入重点放在可能导致重大损失的领域。最终,还应在“人”的因素上多下功夫,人的作用决定了所有的一切措施的实施效果。本着以上几条原则,以下分别简要罗列一下应对各种类风险的措施,最后总结一套综合风险管理体系。
1.硬件条件方面的风险类型 针对实体风险,在信息技术较为发达的今天,温度、湿度、电压等的控制都不成问题,关键在于建设一个灾备系统。美国“911”事件中,摩根银行就依靠其在新泽西州的数据备份实现了在第二天就恢复了正常运转。如今银行业务急剧扩大,要求进行数据集中以便进行更为高效的管理与分析,但同样把灾备提到了更为重要的地位。在设备采购上,应从价格、性能和安全性上通盘考虑,但细化到每一个设备时,应依据其功能具体考虑。网络安全方面,使用能提供服务控制、方向控制、用户控制和行为控制等全方面服务的防火墙,设计完善的安全策略。建立企业防毒体系,在网络内部从服务器到工作站各层都部署不同级别的防毒程序,搭建立体的防毒系统 。
2.业务条件方面的风险类型 开发银行电子化时要有全局规划,长远眼光,对本银行的发展要有明确定位,注重产品创新。比如招商银行网上银行便在时间上抢占先机,而中国工商银行刚以其功能全面为特点。缺乏定位必将陷入同质产品恶性竞争的泥潭。业务经营上,主张积极营销,以客户为中心、转变经营模式等观念也已经得到了业内公认。对于操作风险,主要重点应放在制度建设和安全教育方面。按照多人负责、任期有限、职责分离的用人原则从制度上尽可能降低安全风险。另外要培养员工和客户的安全意识,规范操作,勤于安检,注意保护敏感数据。
3.外部环境方面的风险类型 对于此类风险,银行自身掌握的主动权可能少一点,主要依赖国家相关法规建设与执行情况,以及整个社会信用体制发展情况。我国目前这些方面都有待提高,但应该说前景还是乐观的。我国在先前出台了与电子商务、电子金融、计算机安全等相关的一系列法律法规之后,今年8月28日十届人大正式通过了《电子签名法》,并将于2005年4月1日起施行,为第一部真正意义上的信息化法律,它赋予了电子签名与传统签章一样的法律效应,为电子交易与身份论证提供了法律依据,有利于促进网络环境下信用体系的建立和电子银行的健康发展,应该说是信息化法律体系建设的良好开端。
以上种种管理各类风险的手段,大多是相关领域在安全方面取得的理论上或实践上的积极成果,代表了包括银行在内的实践家们的不懈努力。但很显然,各个风险并非是相互独立的,其间有巨大的相关性与复合性,比如黑客入侵一般是利用了软硬件漏洞,网络欺诈的发生反映了社会信用体系与法制的缺陷。因此,各自为政的风险管理已经不能适应银行电子化中多种风险相互交叉、相互关联的现状,分割的管理体制至少有以下几种弊病:1. 增加风险管理成本,因为银行为每一类管理所投入的资源容易存在重复,完全有可能实现集约;2.信息隔绝,许多对全局有影响的风险因素即使被发现也可能难以迅速实现共享;3.出现部门之间的真空地带,或者重叠地带多个部门相互推委;4.顾此失彼,缺乏协调,配合不当导致效率损失。所以,有必要引入一种成套的、高度整合的综合风险管理系统,利用信息化、自动化、集成化的手段对银行电子化过程中的各种风险进行统一管理。
在实践过程中产生了多种风险管理体系。本文设想一个更为广泛统一的风险管理系统。具体实施可以由一套信息管理系统来实现,主要思路为:在分别实施各类风险管理系统的基础上,架设一个综合监控系统从各风险管理系统(包括传统、新型的风险系统)采集数据,实行数据统一综合处理,运用数据库技术和预警系统,实时分析数据集合中反映的信息以实现对整个电子化系统的风险管理,如图所示:
其至少能实现以下几项功能:
1.数据采集 为了减轻运营成本,提高风险管理效率,一个自动化的实时安全数据采集系统必不可少。它可以从多途径读取数据,比如从机房温度感应器、网络防毒程序日志、网络端口监听、也可以监测业务上的数据变动和可疑交易,甚至可以整合现有的信贷风险管理体系从而将受信企业的状况变动也纳入其中,并将所收集的数据写入数据库或者反馈给管理人员。以此实现全方面数据采集技术上并不难实现,但关键问题在于在设计之初应当有完备计划,充分考虑,避免遗漏并照顾到可扩展性。
2.数据处理 面对来自每个分系统庞杂的数据,应借助数据库技术进行处理,分门别类。首先,实现有效存储,然后还需进行汇总、识别、筛选、比较、审计等一系列处理步骤,从原始数据中挖掘有用的信息。对于无异常的数据,进行将其写入日志等一些例行操作即可,发现异常情况需进一步处理,并最终反馈给风险管理部门。
3.信息反馈 对于需立即处理的紧急情况,系统应当具备自动响应功能,做出应急处理,比如主机崩溃时备援机应立即接替,病毒发作时防毒程序应自动对病毒进行杀灭与隔离。对于某些需由管理人员决策的,比如人员业务处理的异常交易,则有效反馈。系统最好设计一个综合易用的用户界面,易于留守的管理人员进行有效管理并迅速决策。
综合风险管理系统除上述风险信息管理功能外,还应具备一定的操作功能,可以由管理人员根据情况操作控制系统。另外,多路信息处理必然要耗用不少系统资源,因此对其规模、功能的控制也在系统开发时充分顾及。
计算机技术及其相关的信息技术、网络技术 作为一种相对而言较为年轻的科学技术,极其生动地体现了科学技术的本质特点——应用性。从其诞生起就充分地应用到了科学研究、自动控制、信息处理等广泛的领域。而银行业由于其交易对象(包括货币、风险、信息等)的抽象性,使其有着能引入信息技术的天然属性;再加上传统金融业务里繁重的重复劳动量而又要求高度精确,使其有着运用新技术减轻人工劳动提高处理效率与服务质量和精度的要求。多种特征使银行具备了深入应用信息技术的巨大空间。实践也已经证明信息技术对银行业的意义非同一般,它从最初的减轻手工劳动开始,应用水平不断深入,直至极为彻底地改变了银行业的经营模式,为金融创新搭建了新型平台,也促进了整个国民经济效率的提高。这一变革最为剧烈的影响发生在上世纪90年代,但整个过程的开端最早可以追溯到上世纪50年代,具体可以分为以下几个阶段:
1.手工业务电子化阶段 上世纪50年代美国、日本等一些发达国家开始将新兴的计算机技术引入银行业,主要用于记账和编制报表,以克服手工操作的低效率和高出错率,从而将银行业从原来的“手工业”式经营中解放出来。从中可见,这一阶段主要形式是手工业务的电子化替代,业务处理上未实现联机,从而也没有出现真正的银行电子化。
2.联机业务处理阶段 随着计算机处理性能的提高和通信技术的发展,最初应用于银行业的各类计算机处理系统开始联机操作,产生了诸如数据处理、资金转账、信息共享等新型业务处理模式,银行电子化进程随之加快。在银行业务、管理多方面实现电子化的同时,银行服务手段也逐渐拓宽,如自动提款机系统(ATM)、销售点终端系统(POS)、电话银行系统等开始出现,一个完整的电子银行体系开始成型。
3.网络银行阶段 上世纪90年代中期开始,最为高级和广泛的计算机网络——国际互联网的应用逐渐成熟,银行业抓住时机推出了电子银行服务的顶级形式网络银行,从而开创了银行电子化的新局面。网络银行也极大地改变了传统的金融服务方式,诱发了金融业内证券业、保险业的在线革命,促进了电子商务的发展,以此实现了银行业在利益于信息技术后反过来推动了信息技术在经济生活中的进一步运用。
目前银行业处于上述第三阶段并继续向前发展着,但这并不意味着现有技术的完美无缺,或是业务水平可以让人高枕无忧。实际上,新的收获总带来新的课题,银行电子化尤其是网络银行彻底更新了传统银行的经营观念,比如电子银行365天24小时的全天候服务需要有更为高效的监控,电子货币的高速流通干扰了货币政策的效果,银行经营客体在货币、风险等之外增加了信息一项,客户在虚拟银行前有了更大的自主权,等等。各种各样的变化总伴随着新型的风险,需要银行业以有别于传统风险管理方式的手段去应对。
二、 银行电子化中的风险
银行业在利用信息技术进行金融创新,也在创造着风险。这注定了它必然面临更为多样的经营环境,一个合格的银行电子体系必须符合多方面要求,这些要求包括及时性或实时性、准确性、可扩展性、安全保密性等,这些要求也同样是银行电子化的价值所在,如果不具备这些特征,那么电子化的意义可能尽失。因而,银行电子化的风险管理必然是与这些新型特征有着密切的联系的,换言之,银行电子化中的风险是新型风险,虽然风险管理的最终目的仍然是银行的安全性、流动性和盈利性,但在具体风险管理过程中依旧单单局限于这传统的银行三性显然是不够的,不管是技术上还是业务上都出现了更为复杂的问题。
再从另一个角度分析,一个完善成熟的银行电子化系统应该覆盖三大领域,即银行电子化监管系统、银行电子化业务处理系统和银行电子化自动交易系统,从而确立了一个全方位的银行电子化体系。同时它又须具备三大要件,即合格的计算机相关设备和信息技术水平(可以理解为银行电子化的硬件条件)、电子化经营水平(可以理解为银行电子化的软件水平)、和一个完善的法律监管及其它方面的外部环境(可以理解为银行电子化的外部环境条件)。银行电子化的良好运行离不开这三个方面的优化与配合,这三个方面也成为了银行电子化的潜在风险滋生地,三个方面的任一缺陷都可能构成对银行电子化不利的风险。因而本文将按上述三个方面进行分类,分别阐述。
(一)硬件条件方面的风险类型 广义的信息技术可以包括计算机技术、网络技术和数据库技术等几个方面,其共同构成银行电子化的基石。在这一方面的主要风险类型有:
1.电子化设备实体风险 即银行电子化建设中所投资设置的各种设备自身的安全性,包括各类主机、通信设备与线路等计算机及附件设备,也包括机房、电源等配套投资。灾害性气候、失水失火、断电事故等都可以从不同程度上影响银行电子化设备的正常运行,甚至让设备完全报废。另外,维护不善也会对各种实体构成威胁,影响其使用寿命,比如温度、湿度、电压控制不当或者放置不正确。
2.软硬件质量、漏洞及后门 计算机及其它设备都由软件与硬件组成。银行实施银行电子化的初期采购设备时,其性能、质量必然是重要的考虑因素。比如该设备能否负荷预期的业务处理量,通讯设备是否能提供足够带宽,另外还得考虑购置成本。更为重要的一点是安全性。客观地讲,安全是相对的,风险的存在是绝对的,任何软硬件,漏洞总是难以避免的,关键在于如何有效地管理风险。而后门则是软硬件设计之初预先安排的,有可能是出于善意目的,但同样会成为安全的隐患,采用开放源代码的软件,比如Linux有助于减少此在担忧。
3.网络安全 一般而言,网络安全风险包括黑客入侵风险、数据安全风险和病毒破坏风险。具体有如计算机病毒、蠕虫、木马的侵入破坏,拒绝服务、端口扫描、攻击、篡改网页等。病毒最初与网络并无直接关系,但目前网络已经成为病毒的主要传播途径,尤其侵害电子邮件、群件。公安部的《2004年全国信息网络安全善调查分析报告》 指出普遍存在“用户安全观念薄弱、安全管理人员缺乏、安全经费投入不足和安全管理产品不能满足要求等问题”,说明安全风险网络安全问题除去产品自身、黑客、病毒等因素外,更为主要的原因还在内部管理。
(二)业务条件方面的风险类型 人作为银行电子化发展过程的核心因素,是整个事物发展的内因,人的参与直接关系到银行电子化的成果。因此,银行电子化的战略规划、制度设计、人员安排等事务成为了银行电子化风险管理体系中不可忽视的重要组成部分。
1.战略风险 战略风险指银行作为一个独立的企业,将某项或整体电子化作为作为一个战略投资项目时,可能由于决策不力、目标迷失、定位不明、技术应用不当、对行业、成本、收状况分析失误等原因造成项目失败或者达不到预期效益,而承受的风险。信息时代的发展是一日千里,社会经济各方面千变万化,银行管理层面对复杂形势,在业务战略制定上面对更大的困难,但又在日趋激烈的竞争条件下必须迅速反应,有所作为,因而这一类风险需要高度重视。
2.业务风险 新型的银行经营方式要求有新型的业务类型与经营理念,典型的有如从过去的产品导向型转变为客户导向型,注重服务与营销,沿袭落伍的业务经营方式必将导致在竞争中失利。另外,电子处理更注重实效性,也加快了风险的传导,必然需要自动化、电子化的监控体系和风险预警机制。以上诸多方面,即比战略规划低一层次,与业务经营密切相关的实务风险可以统称为业务风险。
3.操作风险 操作风险可视为比业务风险更低一层次。包括银行内部业务人员或客户由于失误或恶意地行为而影响系统的可靠性、安全性并可能造成损失的操作类型,种类较多。比如安全意识薄弱而导致的密码泄漏,业务员违规操作或者漫不经心导致对账户的误操作,没有正确使用系统中的软硬件而引起的故障,甚至是职务人员利用职务之便进行的经济犯罪。显而易见,其根源主要在于安全教育和管理制度上的缺陷。
(三)外部环境方面的风险类型 主要有两方面:
1.法律风险 主要是指由于违反法律规定,或者出现纠纷时难以鉴定法律责任而使银行或者客户遭受损失的风险。在银行电子化法律体系尚处于起步阶段时,许多法律法规规定不明确,尤其在互联网上很多行为可以游离于法律监管之外,各参与主体的权利与义务难以明确,这些都是潜在风险的诱因。
2.社会信用风险 是指社会信用体系不完善的情况下,在一个虚拟化的电子环境中进行金融活动所可能承受的风险,包括参与者身份难以认定、行为抵赖、难以追究责任等情况。对此银行需要设计适合电子化的信用管理体系。
在信息化法律和社会信用体系都极不完备甚至可以说缺失的我国,以上两点问题的解决显得尤为紧迫。
三、 银行电子化中风险的管理
针对上述不同类型的风险,一般依据“对症下药”的原则,分别设计方案。但在实施当中,又必须进行统筹规划,以达到整体效益。同时,每项风险管理都应进行成本收益分析,把投入重点放在可能导致重大损失的领域。最终,还应在“人”的因素上多下功夫,人的作用决定了所有的一切措施的实施效果。本着以上几条原则,以下分别简要罗列一下应对各种类风险的措施,最后总结一套综合风险管理体系。
1.硬件条件方面的风险类型 针对实体风险,在信息技术较为发达的今天,温度、湿度、电压等的控制都不成问题,关键在于建设一个灾备系统。美国“911”事件中,摩根银行就依靠其在新泽西州的数据备份实现了在第二天就恢复了正常运转。如今银行业务急剧扩大,要求进行数据集中以便进行更为高效的管理与分析,但同样把灾备提到了更为重要的地位。在设备采购上,应从价格、性能和安全性上通盘考虑,但细化到每一个设备时,应依据其功能具体考虑。网络安全方面,使用能提供服务控制、方向控制、用户控制和行为控制等全方面服务的防火墙,设计完善的安全策略。建立企业防毒体系,在网络内部从服务器到工作站各层都部署不同级别的防毒程序,搭建立体的防毒系统 。
2.业务条件方面的风险类型 开发银行电子化时要有全局规划,长远眼光,对本银行的发展要有明确定位,注重产品创新。比如招商银行网上银行便在时间上抢占先机,而中国工商银行刚以其功能全面为特点。缺乏定位必将陷入同质产品恶性竞争的泥潭。业务经营上,主张积极营销,以客户为中心、转变经营模式等观念也已经得到了业内公认。对于操作风险,主要重点应放在制度建设和安全教育方面。按照多人负责、任期有限、职责分离的用人原则从制度上尽可能降低安全风险。另外要培养员工和客户的安全意识,规范操作,勤于安检,注意保护敏感数据。
3.外部环境方面的风险类型 对于此类风险,银行自身掌握的主动权可能少一点,主要依赖国家相关法规建设与执行情况,以及整个社会信用体制发展情况。我国目前这些方面都有待提高,但应该说前景还是乐观的。我国在先前出台了与电子商务、电子金融、计算机安全等相关的一系列法律法规之后,今年8月28日十届人大正式通过了《电子签名法》,并将于2005年4月1日起施行,为第一部真正意义上的信息化法律,它赋予了电子签名与传统签章一样的法律效应,为电子交易与身份论证提供了法律依据,有利于促进网络环境下信用体系的建立和电子银行的健康发展,应该说是信息化法律体系建设的良好开端。
以上种种管理各类风险的手段,大多是相关领域在安全方面取得的理论上或实践上的积极成果,代表了包括银行在内的实践家们的不懈努力。但很显然,各个风险并非是相互独立的,其间有巨大的相关性与复合性,比如黑客入侵一般是利用了软硬件漏洞,网络欺诈的发生反映了社会信用体系与法制的缺陷。因此,各自为政的风险管理已经不能适应银行电子化中多种风险相互交叉、相互关联的现状,分割的管理体制至少有以下几种弊病:1. 增加风险管理成本,因为银行为每一类管理所投入的资源容易存在重复,完全有可能实现集约;2.信息隔绝,许多对全局有影响的风险因素即使被发现也可能难以迅速实现共享;3.出现部门之间的真空地带,或者重叠地带多个部门相互推委;4.顾此失彼,缺乏协调,配合不当导致效率损失。所以,有必要引入一种成套的、高度整合的综合风险管理系统,利用信息化、自动化、集成化的手段对银行电子化过程中的各种风险进行统一管理。
在实践过程中产生了多种风险管理体系。本文设想一个更为广泛统一的风险管理系统。具体实施可以由一套信息管理系统来实现,主要思路为:在分别实施各类风险管理系统的基础上,架设一个综合监控系统从各风险管理系统(包括传统、新型的风险系统)采集数据,实行数据统一综合处理,运用数据库技术和预警系统,实时分析数据集合中反映的信息以实现对整个电子化系统的风险管理,如图所示:
其至少能实现以下几项功能:
1.数据采集 为了减轻运营成本,提高风险管理效率,一个自动化的实时安全数据采集系统必不可少。它可以从多途径读取数据,比如从机房温度感应器、网络防毒程序日志、网络端口监听、也可以监测业务上的数据变动和可疑交易,甚至可以整合现有的信贷风险管理体系从而将受信企业的状况变动也纳入其中,并将所收集的数据写入数据库或者反馈给管理人员。以此实现全方面数据采集技术上并不难实现,但关键问题在于在设计之初应当有完备计划,充分考虑,避免遗漏并照顾到可扩展性。
2.数据处理 面对来自每个分系统庞杂的数据,应借助数据库技术进行处理,分门别类。首先,实现有效存储,然后还需进行汇总、识别、筛选、比较、审计等一系列处理步骤,从原始数据中挖掘有用的信息。对于无异常的数据,进行将其写入日志等一些例行操作即可,发现异常情况需进一步处理,并最终反馈给风险管理部门。
3.信息反馈 对于需立即处理的紧急情况,系统应当具备自动响应功能,做出应急处理,比如主机崩溃时备援机应立即接替,病毒发作时防毒程序应自动对病毒进行杀灭与隔离。对于某些需由管理人员决策的,比如人员业务处理的异常交易,则有效反馈。系统最好设计一个综合易用的用户界面,易于留守的管理人员进行有效管理并迅速决策。
综合风险管理系统除上述风险信息管理功能外,还应具备一定的操作功能,可以由管理人员根据情况操作控制系统。另外,多路信息处理必然要耗用不少系统资源,因此对其规模、功能的控制也在系统开发时充分顾及。