西方电子银行监管特点与借鉴
来源:中国计算机报 更新时间:2012-04-14

  

 

  1995年10月18日,全球首家以网络银行冠名的金融组织—安全第一网络银行(Security First Network Bank,SFNB)打开了它的“虚拟之门”。

从此一种新的银行模式—电子银行诞生,并对300年来的传统金融业产生了前所未有的冲击。

  在电子银行领域,风险管理的基本步骤和原理同一般银行业务是一样的,但是,不同的国家、不同的监管机构会根据不同的情况,制定出不同的电子银行风险管理要求。目前,许多国家都接受巴塞尔委员会电子银行风险管理的步骤,并加以本土化,针对本国银行的特点,制定出本国电子银行风险管理的基本程序。

  巴塞尔新资本协议

  当前影响全球金融界最为深刻的风险管理原则,当属巴塞尔新资本协议。2004年6月26日,巴塞尔委员会公布了新资本协议的最终稿,《新资本协议》将于2006年底在十国集团开始实施。25个欧盟成员国、澳大利亚、新加坡和中国香港等发达国家和地区也表示将利用《新资本协议》对商业银行进行资本监管,部分发展中国家如南非、印度、俄罗斯等也将采取积极措施,克服困难实施《新资本协议》。

  巴塞尔委员会把电子银行风险管理分为三个步骤:评估风险、管理和控制风险,以及监控风险。评估风险实际包含了风险识别过程,不过,识别风险只是一个最基础的步骤,识别之后,还需要将风险尽可能地量化。经过量化以后,银行的管理层就能够知道银行所面临的风险究竟有多大,对银行会有什么样的影响,这些风险发生的概率有多大等等。

  在此基础上,银行的管理层要确定本银行究竟能够忍受多大程度的风险。管理和控制风险的过程实际上就是各种各样相应的控制措施、制度的采用。最后一个步骤即风险的监控是建立在前两个步骤基础上的,实际上是在系统投入运行、各种措施相继采用之后,通过机器设备的监控,通过人员的内部或者外部稽核,来检测、监控上述措施是否有效,并及时发现潜在的问题,加以解决。

  世界银行安全建议

  世界银行在2002年9月25日主持了一个主题为《电子安全:在金融交易中的降低风险》的全球对话,解释了在建立足够的电子安全设施时应注意的8个相互关联的方面。1. 法律框架及其实施;2. 支付系统的电子安全;3. 实施监测和预防时所面临的挑战;4. 作为关键监测机制的个人保险的角色;5. 认证、标准以及公共和私人部门的角色;6. 改进有关电子安全事件的信息的精确性,创造更好的信息分享机制;7. 改进关于以上问题的教育机制;8. 12层风险管理框架—降低风险的蓝图。

  2003年9月10日世界银行又组织了一个主题为《电子安全与完整》的全球对话。这次对话主要关注两个方面的内容:首先是关于在一个开放的环境里进行技术风险监管和银行监管的方法问题,特别是如何评估多层电子安全是否实现了各层的安全。其次是关于建立适当的电子安全层次和应对由于无线网络而形成的风险以及相应的措施的问题。与会专家Nelms特别强调网络数据流的五个层次,即应用层、中间设备、数据库管理、操作系统和网络。每一层都能影响信息安全,所以每一层都应有相应的进入控制措施。业务流程是水平的,而信息流则是垂直的。所以当数据传递需要交叉技术时,就必须使用分层进入模型去评估风险。

  美国电子银行监管现状

  目前,美国的三大主要银行业监管机构——联邦储备银行(FRB)、货币监理署(OCC)和存款保险公司(FDIC)都把对银行业金融机构信息技术的监管作为全面风险监管的重要组成内容。

  在电子银行方面,美国有如下监管措施协调:1. 制定了《计算机安全法》、《数字隐私法》、《电子商务加强法》和《银行用户身份认证体系》等法规,实施了ISO/IEC15408-1999和ISO17799-2000等信息安全国际标准。2. 监管内容制度化、规范化。美国联邦金融机构检查委员会(FFIEC)颁布了一整套信息技术检查手册,共涉及12个方面的内容,对监管者、银行机构和信息技术提供商应关注的风险,及如何识别、分析、预警和控制,提出了明确的指导意见。其中,第四条为银行提供给消费者的电子银行产品和服务相关的风险识别和控制。3. 银行业监管信息化与银行业金融机构的信息化同步推进,并做到监管机构之间信息共享。4. 监管方式多样化,包括现场检查、非现场分析和评级、技术提供商准入管理、发布IT技术规章和指导、推动外部评级和审计、IT风险信息披露等多种手段。

  如其他国家的做法一样,美国也将巴塞尔委员会电子银行风险管理本土化,并制定出其基本程序。如美国通货监管局负责监管美国的国民银行,随着大量国民银行采用各种各样的电子技术,向客户提供电子银行的服务,国民银行将与技术有关的风险管理分成了计划、实施、检测和监控三个步骤。

  安全威胁多元化

  上世纪90年代以来,随着国际上电子银行的兴起,我国商业银行的电话银行、手机银行、网上银行等电子银行业务迅速发展。但与此同时电子银行所面临的技术安全、客户利益被侵犯以及第三方过失等风险日益突出。

  当前,我国电子银行信息安全呈现新的发展特点:一是新型网络金融服务拓展了金融服务的外延和范围,其安全性面临新的考验;二是金融数据处理集中后,带来了技术风险的相对集中,对安全运行提出了更高要求;三是跨部门网间互联、内部业务网与国际互联交易的需求急剧增加,使安全控制变得更加复杂;四是引入社会第三方服务的发展趋势,带来了可管理性、可控性等新的安全课题;五是信息技术本身的新发展,引发了新的、更多形式的安全威胁手段与途径,要求不断采取新的、更高强度的安全防护措施。

  依据法规加强安全建设

  当前,对于电子银行的风险管理刻不容缓,要实现电子银行业务超常规发展,形成一个产品多元化、渠道集成化、服务智能化的电子银行体系,对国内商业银行来讲,必须采取积极有效的策略措施来强化电子银行业务安全性的建设。

  早在2005年4月,为了保证电子商务的安全性,我国就正式施行了《电子签名法》。2005年11月,为强化电子银行风险监管,防范电子银行业务风险,规范电子银行业务发展,银监会审议并原则通过了《电子银行业务管理办法》、《电子银行安全评估指引》和《电子银行安全评估机构业务资格认定工作规程》等三部条例,并宣布前两部于今年3月1日正式实行,在《电子银行业务管理办法》中更是明确要求利用社会专业机构对电子银行进行第三方安全评估。

  因此,国内银行业金融机构在开办电子银行业务时要将电子银行业务风险纳入风险管理的总体框架中;健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系;要强化对电子银行业务所面临的战略风险、法律风险、信誉风险、信用风险、市场风险和操作风险的管理,通过实施“有效识别—评估—监测—控制”一套完整的风险防范步骤,提高风险管理能力。

  强化内控确保持续发展

  电子银行改变了传统银行的内部控制、岗位分工和明晰的审计轨迹,使银行在经营和审计方面都极为缺乏专门的技术和技能。电子银行内部控制系统的目标应包含:技术规划与战略目标的一致性;数据的可用性;数据的完整性;对数据保密和对隐私的保护措施;管理信息系统的可靠性。电子银行内部控制系统的要素包括三方面:一是内部会计控制,用来保障以资金记录的资产及其可靠性。二是运营控制,用来保障业务目标的实现。三是管理控制,用来保障运营效率的执行政策与程序。

  除了确保一个安全的开展电子银行业务的内部网络之外,制定有效的容量规划也是确保电子银行产品和服务持续有效性的关键所在。为了有效地进行竞争,避免由于系统损耗引起的潜在的重大声誉风险,开展电子银行服务的银行必须准确、可靠、一贯地提供适当配套的产品和服务。这些因素表明,制定一个有效的运营持续性、防御及事故反应计划是极其重要的。而且,委托外部开发系统的趋势也使银行有必要确保外部服务提供商的类似计划必须到位,并定期检测其有效性。