网络金融面临的风险及对策
2016-02-12刘洪波
刘洪波
(广东金融学院信用管理系,广东 广州 510521)
网络金融面临的风险及对策
刘洪波
(广东金融学院信用管理系,广东 广州 510521)
网络安全问题越来越引起人们的广泛关注。网络金融由于跟钱财息息相关,风险问题尤为突出。本文将网络金融发展中面临的风险归结为技术风险与业务风险两大类,而技术风险又包括硬件风险、软件风险、技术操作风险、信息安全风险等,业务风险又包括法律风险、信用与信誉风险、市场风险等。然后对网络金融子领域的风险进行了具体的分析,就金融机构如何加强网络金融风险管理提出了一些对策。
网络金融;发展;风险;对策
近来,网络安全事故时有发生。而直接处理金钱业务的网络金融,自然对于风险问题更为敏感。根据第37次《中国互联网络发展状况统计报告》,截至2015年12月底,我国网民规模达到6.88亿,互联网普及率达50.3%。越来越多的人们成为网民,为网上银行、网上证券、网上保险等网络金融的发展奠定了较好的用户基础[1]。
网络金融的发展,给金融业注入了新的活力。风险与收益总是并存的。网络金融的发展不可避免地给金融业带来了一定的风险。如果这些风险不能得以正视及有效的解决,将危及金融业的稳健乃至整个国家经济的安全。因而,很有必要对网络金融的风险进行梳理。经过研究,笔者认为可以将网络金融发展中面临的风险归结为下述两大类:一是技术风险,二是业务风险。
一、网络金融普遍存在的风险
(一)技术风险
网络金融依托互联网等通信技术发展起来,具有很高的技术含量,技术风险自然成为了网络金融不可回避的主要风险。技术风险主要指网络金融系统及其关联系统不完整或存在重大缺陷,或者是网络系统受到外部攻击带来的潜在损失。技术风险主要包括硬件风险、软件风险、技术操作风险和信息安全风险。如果网络系统遭到破坏或者不能正常运转,不但会给提供网络金融服务的金融机构造成巨大的损失,而且会影响公众对金融体系的信任程度,甚至对整个金融业的发展造成负面影响。
1.硬件风险。硬件风险主要指的是金融机构的服务器等设备可能出现故障,影响网络金融服务的正常提供,从而影响网络金融服务的稳定;与此同时,客户用来上网的设备,诸如电脑,也可能会出现各种故障,使客户难以如期进行网络金融业务。
根据须文焱编译的《灾难恢复》[2],断电、短路、暴风雨、洪水、水管爆裂、火灾、爆炸、地震等因素可能导致系统长时间停机,系统停机会造成很大的损失,其中,对零售业、信用卡服务授权机构造成的损失最大。而磁盘阵列损坏也会造成较大的损失,尤其是对保险、制造、银行业影响较大。根据笔者的调查,53.6%的被调查者明确赞同“如果发生地震、洪水等自然灾害,金融机构的机器设备很可能会出大问题”。
2.软件风险。软件风险主要指的是金融机构的系统软件及所利用的支付、结算等系统出现问题,无法稳定地提供网络金融服务。这一方面是由于系统设计方面存在问题,诸如系统建设时需求不明确、设计不全面、技术选择不恰当,使得系统运行中存在着影响系统正常运行的程序缺陷(Bug)以及影响系统安全运行的漏洞,从而为日后系统的正常运行留下了隐患。另一方面,无孔不入的计算机病毒可能会在网络系统中扩散、传播,占用网络资源,导致网络金融业务信息无法正常地传输,影响网络金融系统的正常运行。比如这些年来所出现的蠕虫计算机病毒,它们在互联网上疯狂地复制、传播,阻塞网络上正常的数据传输,导致网络金融业务非正常中断。
3.技术操作风险。技术操作风险指的是金融机构内部员工或者客户的不当操作甚至恶意操作所导致的损失。金融机构员工可能在操作网络金融业务时漫不经心、不负责任,例如,在客户签约网络金融业务时,未按照业务制度严格审核客户证件、账户介质或进行风险提示,导致客户被他人诈骗或者他人假冒客户签约;或者利用职务之便,获取客户的账户信息而谋取不正当的利益,从而导致客户严重的损失。根据有关报道,一家以色列网络安全公司调查发现,在美国、英国和荷兰,系统管理人员中有30%曾利用管理员特权进入机密数据库,获取市场信息和客户资料;50%的人不需要获得授权就可以使用特权账户;61%的人被怀疑向竞争对手提供了高度机密的资料或受版权保护的内容[3]。内部人员的操作风险应当引起金融机构的高度重视。
客户个人也可能由于一时疏忽而出现操作失误,给自己带来损失。一是个人在网吧或公共电话中使用电子银行等网络金融服务系统,留下了客户的账户资料,从而给不法分子可乘之机;二是不法分子通过手机短信、书信等形式告知客户获得大奖,当客户拨打电话核实时,不法分子以便于汇入资金及完善获奖人资料为由,要求客户告知银行账号、生日、结婚纪念日、家庭电话等个人基本信息,不法分子可能利用这些信息套取密码(因为不少人喜欢使用这些信息作密码);三是不法分子以做生意验资为名,通过互联网或者电话骗取外地持卡人的身份证号码、卡号及密码,之后冒领存款;四是不法分子冒充金融机构工作人员打电话给客户,套取金融账户信息。
4.信息安全风险。由于网络金融必须借助于互联网才能进行,这使得个人信息、交易信息等数据存在着被窃取的可能。客户也可能因为网络安全意识不强、网络安全保障措施不力,遭遇计算机病毒、网络钓鱼、网上黑客的攻击,被窃取网络金融账户,进而导致网上资金及财产的损失,客户的个人信息被窃取导致个人隐私权受到侵犯。诸如这些年所出现的“网银大盗”等木马潜入客户的计算机中,通过记录计算机用户从键盘上输入的内容,窃取客户的账号、密码等信息,最终非法登录、操作客户的电子银行账户,盗取客户账户中的资金,或者操作客户的股票账户,盗买盗卖客户的股票等证券。钓鱼网站的设计主要是针对网上支付的,不法分子先行建立一个与网上银行官方网站非常相似的网站,并且为该假冒网站申请一个与官方网站很相似的域名,只要用户敲错字符就可能进入该假冒网站。不法分子也可能假扮为银行或者商家,给用户发送事先精心设计的电子邮件,谎称收件人的账户需要更新或者新产品促销,诱导用户点击其所提供的链接。一旦用户上当,在假冒网页上输入账号、密码等个人信息,这些信息就会立即发送到不法分子手中。不法分子会利用这些信息,将账户中的钱款迅速转走。
实践中存在的网络金融系统开发及维护“外包”的情形,使得金融机构对网络金融系统的控制力减弱,其商业秘密可能会被泄露出去,其客户的个人信息也可能被泄露出去。
(二)业务风险
1.法律风险。法律风险指的是违反、不遵守或者无法遵守法律、法规、规章、惯例,或者因为交易各方的法律权利义务关系未能有效确立,从而产生的风险。
网络金融由于主要借助于互联网开展业务,交易双方大多不见面,网络金融业务所对应的实物交易大多不同步,容易产生一些纠纷。而现行法律法规对金融机构与网上有关商家及客户之间的权利义务关系并没有明确规定,各自承担的责任不明或者不够合理。其中所产生的纠纷最终如何得以解决,是网络金融所面临的一大难题。尽管现有的法规大多也适用于互联网,但是适用的程序性法规尚不完善,留下了一定的法律风险。尤其是提供跨境网络金融业务的金融机构在适用国别法律的冲突等方面面临着更加复杂的法律风险。网络金融的方便快捷也可能被一些不法分子用来从事洗钱等犯罪活动,金融机构如果审查不严,就可能触犯相应的法律法规,需承担一定的责任。当前通过网络虚拟货币洗钱的案件时有发生。通过网络虚拟货币洗钱使得确认客户的真实身份和所在地点的难度明显加大,增加了追踪调查的难度和查处的成本。虚拟货币瞬间在各国之间流动,多种货币并存,使得各国刑事管辖权的标准很难确立,管辖权问题将非常复杂。
法律风险可能会使金融机构面临被起诉、赔款、信誉扫地等后果。网络金融业务主要涉及的商业性的法律法规有消费者权益保护法、隐私保护法、知识产权保护法、电子签名法等。
在市场竞争全球化的情况下,中国的金融机构面临着“商业方法专利”这种相对较新的法律风险。商业方法专利指的是对商业方法授予的专利权,也就是将商业活动的一般经营、管理规则与网络信息技术、计算机软硬件相结合而申请的专利。1994年,AT&T vs Excel案的判决结果认定AT&T公司的市场营销方法的经营模式专利有效,使美国成为了世界上第一个对商业方法授予专利的国家。网络金融依托计算机网络而发展,商业方法专利也越来越青睐网络金融。
据资料显示,花旗银行从1993年至2002年期间,在我国国家知识产权局申请了19项“商业方法类”发明专利。这19项发明大多直指网上银行业务,其中有电子货币系统和用于银行卡交易的方法和系统[4]。这些专利大多是基础专利,一旦基础专利被其他专利引证就可以收取高额的专利使用费。一旦这些专利权得以主张,将给我国金融机构的业务开展造成很大的法律障碍,我国金融机构将受到很大的影响,要么被排挤出网络金融市场,要么支付巨额的专利许可费。
2.信用与信誉风险。信用风险是指交易方发生违约或者信用等级下降导致到期日不履行或者不完全履行义务所带来的潜在损失。与传统金融相比,网络金融交易双方不直接见面,导致身份的判别、信用评估、违约责任的追究都存在较大的难度,信用风险更加突出。金融机构对客户的资格审核难度明显加大;在对客户提供授信、保险等金融服务之后,对客户信用状况跟踪的难度也提高了。由于网上“柠檬市场”的存在,金融机构面临着逆向选择和道德风险,使信用风险的形势更加严峻。我国的信用体系尚不健全,信息征集方法落后、信息共享系统尚不健全,进一步加大了网络金融业务的信用风险。
信誉风险是指网络金融业务无法正常开展而导致的负面公众舆论和媒体言论所引发的金融机构信誉可能遭受损害的风险。网络金融的信誉风险主要来自于自身。若金融机构出现巨额亏损,或者支付环节出现严重问题,或者安全系统遭受内、外部因素的破坏,可能导致客户对其丧失信心。金融机构提供的金融产品如果不能达到其所宣传的水准,也会破坏客户对其原本良好的印象。如果客户对其中一家金融机构不信任时,也可能会对整个网络金融行业不予信任,进而导致整个金融机构出现信任危机,严重的还会引发金融危机,危及社会经济的稳定。
3.市场风险。市场风险是指利率、汇率、股票指数等金融市场波动可能带来的潜在损失。网络金融同样面临着利率风险、汇率风险、支付清算风险、股市巨幅震荡风险等传统风险,给金融资产的持有者带来损失的不利影响。同时,由于金融机构本身的资产负债不匹配,其自身也会面临着很大的市场风险。但互联网使这些风险得以放大,给投机者带来更大的机会,市场风险更加趋于全球化,影响面更广,速度更快,风险更加集中,具有一定的马太效应。全球所爆发的一些衍生金融交易事件大多通过网络方式进行。一些大企业利用国际性的金融交易平台,部分规避了金融监管当局的监管,这也给金融安全造成了一定的隐患。
二、网络金融子领域的风险
(一)网上银行风险
网上银行作为网络金融的关键环节,其风险关乎到整个网络金融的健康发展。网上证券的资金转账离不开银行的支持,网上保险的快捷支付也需要网上银行的支持。网上银行的资金安全问题尤其引人关注。网上银行的资金安全可分为存量资金(网上银行账户里的资金)安全及流量资金(用来进行支付的资金)安全。一旦网上银行的数据库遭遇黑客攻击或者被内部工作人员盗取,就可能危及资金安全。由于要通过互联网进行有关交易信息的传输,流量资金的安全形势就变得更为严峻。交易数据一旦被肆意改动,将危及交易的安全性。尤其是如果我国推出真正的电子货币,电子货币可能被中途截留,如同现金被人抢劫一样,会带来很大的资金损失。
网上银行可能因为电子货币的投放而面临流动性风险。网上银行在出售电子货币之后,将其进行投资。一旦客户要求集中兑换电子货币,网上银行可能会因为难以及时收回投资,而陷入严重的流动性危机和信誉危机,如果没有有效的解决手段,甚至会面临破产的境地。
网上银行提供在线贷款时面临较为严峻的信用风险。传统银行在提供贷款时,一般要求客户提供担保、保证、抵押、质押等手段来降低贷款的风险。网上银行是否也需要这些环节?如果需要,如何才能实现高效快捷,更好地发挥网上银行的优势呢?倘若一旦把关不严,就会给网上银行带来贷款无法收回的直接损失。由于贷款的有关信息都是通过互联网进行传输的,贷款信息的完整性关系到所申请的贷款能否安全到达贷款人的账户。一旦这些环节出现问题,责任如何承担才算合理,如果处理欠妥,可能导致客户对网上银行的信用产生严重的质疑。
网上银行的个人信息泄露可能带来更为严重的问题。一旦不法分子通过互联网非法获取客户个人的身份信息、银行卡号码、密码等信息,如果网上银行没有采用安全性能高的登录方式,不法分子就可以直接通过网上银行把其账户中的资金转走。或者通过网下的手段,制造伪卡,然后通过ATM机取款、通过虚假交易刷卡套现等方式窃取款项。
(二)网上证券风险
网上证券对于交易的实时性要求很高。证券交易在一定程度上依赖于证券的行情,而证券的行情变化莫测,在出现大的行情时,可能会出现集中性的交易,这对证券网上交易系统提出了较为严峻的考验。如果交易系统不能够满足客户的需求,就可能招致客户的不满,甚至被索赔或者被诉讼,最终可能导致不少优质客户的流失,给证券公司的经纪业务带来很大的损失。我国目前的网上证券交易是直接通过行情揭示软件所显示的当前报价进行交易的,行情信息在传输过程中,要经过多个环节,一旦行情传输发生延迟,造成因行情报价不准而使证券委托无法成交时,事故责任的追究将非常困难。这需要我国的相关证券法规对此予以明确。
网络欺诈在网上证券表现得比较突出,主要形式是发布虚假信息。一些不法分子或者设立独立的网站,或者通过网站链接广告,或者通过微信、微博、QQ群,以“涨停板”、“暴涨牛股”、“龙头黑马”等字眼蛊惑投资者,通过收益分成或者以销售炒股软件为名收取高额费用,从而使得网络也成为了一些不法分子发布虚假消息进行网络欺诈的场所。他们甚至利用虚假身份、虚假机构、虚假地址开设“影子账户”,以逃避检查。一些网站一旦发现被查,立即自行关闭,重新启用一个新的域名,继续从事非法活动。
网上证券给人们从事证券投资带来便利的同时,也使得网上操纵证券市场变得更加容易。根据《2015年度中国证监会稽查执法情况通报》,2015年,证监会系统共受理违法违规有效线索732件,同比增长68%;其中办结立案案件334件,同比增长54%。罚没款金融达54亿余元,超过此前十年罚没款总额的1.5倍。立案案件中,内幕交易、老鼠仓占了1/4,其次是操纵市场,占比21%[5]。除了传统坐庄方式,近年来,证券市场上开始出现短线操纵、“抢帽子”等新型操纵手法。对于新型股价操纵行为,监管部门对其的调查取证及查处工作也非常困难。我国的创业板、新三板已经推出,这些短线操纵行为对这些小盘股所产生的后果将更为明显,对市场将构成更大的威胁。
(三)网上保险风险
网上保险的风险突出表现在信息的不对称上。网上保险的优势在于尽可能缩减展业成本,同时也方便客户的购买。但这同时也带来了一些难以逾越的风险。由于客户的信息是由客户在线提交的,假如网上保险对于客户的体检单等凭证都可以通过客户自行在线上传来实现,这样就更难以核实客户信息的真实性,使保险公司面临很大的逆向选择风险。在投保之后,保险公司也难以有效地对保险标的进行有效监督,就会出现较大的道德风险。尤其在我国,社会信用体系并不健全,政府的信息公开及信息共享的程度还比较有限,社会治理的水平有待提高[6],这种信息不对称的风险尤其需要网上保险机构的关注。
网上保险的另一个风险表现在保险公司自身能否及时适应网上保险的需要而变革。网上保险不只是要求保险公司设立一个网站而已,如果保险公司的整个组织结构和业务流程不能随之更新,那么这样的保险公司可能会被市场所抛弃。
三、金融机构加强网络金融风险管理的对策
(一)构建金融机构的网络金融风险管理战略
面对网络金融风险,金融机构应当构建风险管理战略。尤其是金融机构的董事会和高级管理层应把网络金融的风险管理提升至战略管理的高度,进行战略定位与策划。董事会和高级管理层应当深入研究,确定是否提供网络金融服务。一旦决定提供网络金融服务,应当深入研究网络金融领域可能存在的风险,建立健全网络金融事故应急处置工作机制或者灾害拯救计划,以便及时处置、解决出现的问题,确保网络金融业务能够迅速恢复正常运转,使业务中断造成的影响和产生的损失最小化,从而也有助于将风险事故给金融机构所带来的法律和信誉风险降到最低。网络金融应急处置应当包括应急事件的响应、应急预案的制定和处理、媒体和社会的公关以及善后事宜的处理等几个环节。
网络金融风险管理战略的有效实施要求网络金融的业务流程和管理流程都进行变革。业务流程中的每个环节之间应有序衔接。管理流程也应随之发生根本性的变革,扁平化管理是网络金融发展的必然趋势。只有业务流程和管理流程都重新转型,网络金融的风险管理才会更加有效。
(二)完善网络金融风险的内控制度
网络金融风险的内控制度的完善是金融机构提升网络金融风险管理能力非常重要的环节,即通过制定并实施一系列制度、程序,对风险进行事前防范、事中控制、事后监督的动态过程。
内控制度设计上,应建立具体的网络金融风险控制流程,对现有的网络金融业务的风险进行评估,并对以后要开设的网络金融新业务的各项风险进行预评估,根据风险程度及自身的风险承受能力决定是否推出该项业务。具体可以分三个步骤:第一步,查找风险,即通过对本金融机构内部条件和外部环境进行检查,审视自身可能面临的硬件风险、软件风险、技术操作风险、信息安全风险以及法律风险、信用与信誉风险、市场风险等,争取在风险事故发生之前发现风险隐患。第二步,对风险点进行评估,研究风险发生的可能性及其潜在影响,对风险进行分类,并根据轻重缓急程度进行排序,再根据公司所能动用的资源进行评估,并制定相应的计划。第三步,进入实施和运作阶段之后,必须对每一个阶段实施有效监控,根据事先确立的风险指标实施重点监控。根据监控所获得的数据,对风险管理的计划和控制程序进行评估,一旦发现问题,及时进行修正。
(三)提升网络金融风险管理能力
1.加强技术防范,保证网络信息安全。根据前述的实证分析,技术风险对于网络金融使用意愿的影响程度大,同时也在很大程度上影响业务风险。而其中的信息安全对技术风险的影响程度居于前列,因而金融机构需要加强网络信息安全。从技术上来说,金融机构需要在加密技术、防火墙技术、入侵检测、漏洞检测技术上加大投入力度,并及时予以更新。在数字认证领域,按照《电子签名法》的规定,引入权威的第三方认证机构所颁发的数字证书,从而保证交易的有效性、信息的机密性、信息传输的完整性、交易的不可否认性。当前我国知名的金融领域电子认证服务机构为中国金融认证中心,于2000年挂牌成立,是经由中国人民银行和国家信息安全管理机构批准成立的国家级权威性的安全认证机构。当前大力推行CFCA认证,有助于提高数字认证的独立性、权威性,也通过实现证书的统一、互通,方便客户交易,推动电子商务及网络金融的发展。
对于金融外包业务,金融机构务必加强风险管理。尽管外包可以带来诸如成本降低及规模经济的好处,但是外包并没有消除金融企业对于可能发生的风险事故所需承担的责任及对其信誉可能产生的负面影响。因此,金融机构应当采取合适的措施减少由于依赖外部服务提供商所带来的风险。金融机构应当检查服务提供商对敏感数据的保护策略及有关程序,以及评估服务提供商保障安全的能力是否达到了内部运作的安全等级。
2.金融机构应加强信息披露,积极维护客户利益。信息披露和客户培训有助于提高客户的风险意识及获取有关信息的能力,减少客户遭受各种网上欺诈的概率,从而提高客户对网络金融的忠诚度。可以通过有关协议规范金融机构、客户、网络服务提供商三方当事人的权利义务关系,并对客户承担理所应当的告知义务。
在风险管理方面,金融机构应当增强服务意识,充分为客户着想。例如,金融机构应当为网上银行用户免费提供手机短信及邮件提醒服务,当客户银行账户发生任何变动时,客户可以在第一时间内获得通知,以降低可能的风险。建立网络金融风险承诺赔偿机制,打消客户对网络金融安全的顾虑。要把握好安全性与方便性、易用性的平衡,在保证安全性的基础上,努力提高网络金融系统的易用性与便捷性。
(四)对内加强合作,对外加强交流
我国的金融机构之间应相互加强合作。我国网络金融的发展存在着各自为政的问题,网络建设缺乏整体规划。各金融机构在发展模式的选择、电子设备的投入、网络建设等方面各行其道,相互保密,可能还相互提防,造成信息、技术、资金的浪费,因而网络金融系统也缺乏兼容性,使客户在使用网络金融服务时感觉很不方便。各金融机构之间应该多沟通、多合作,共同推进网络金融的发展。“网银联盟”的成立是一个可喜的成果,希望能够发挥实质性的作用。同时,积极与其他有关部门合作,尽可能降低网络金融的风险。尤其是对于网上保险,保险公司如果可以与医院系统联网,则可以快速获取到被保险人的既往病史情况,既可以提高核保的效率,又可以较有效地防止保险欺诈行为的发生;保险公司与网上银行合作,可以方便快捷地实现在线支付。
由于网络的跨地域、无国界性,网络金融领域的国际竞争将日趋激烈。由于技术更新日新月异,网络金融领域的创新也层出不穷。我国的金融机构应当立足我国庞大的客户基础,积极与国际接轨,努力从技术水平和服务水准上缩短与国际金融机构的差距,提供有竞争力的网络金融产品与服务。
[1]中国互联网络信息中心.中国互联网络发展状况统计报告[EB/OL]. http://www.cnnic.net.cn.
[2]须文焱.灾难恢复[J].IT经理世界,1998,(10).
[3]编者.最危险黑鬼是“内鬼”[N].参考消息,2009-8-5(C06).
[4]南方周末.花旗中国暗布专利中资银行何时梦醒?[EB/OL].http: //www.china.com.cn/chinese/2002/Sep/200482.htm.2002-09-06.
[5]中国证监会.2015年度中国证监会稽查执法情况通报[EB/OL]. http://www.csrc.gov.cn/pub/newsite/zjhxwfb/xwdd/201601/t20160115 _289929.html.2016-01-15.
[6]叶湘榕.基于社会治理体制创新视角加强社会信用体系建设[J].天水行政学院学报,2015,(2).
The Network Financial Risks and Countermeasures
LIU Hong-bo
(Research Center on the Development of Modern Credit Service Industry,Guangdong University of Finance,Guangzhou 510521,China)
The problem of network security has drawn increasing attention.Network finance is closely related to the money,so the risk is particularly prominent.This paper suggests the risk the network finance faced should be divided into two kinds of technology risk and business risk.Technology risk includes hardware,software risk,operation risk,information security risk,etc.Business risk includes legal risk,credit risk,market risk and so on.Then the risks to the subfield of network finance are analyzed.Finally,this paper puts forward some measures of financial institutions to strengthen risk management of network finance.
network finance;risk;countermeasures
F932.5
A
1009-6566(2016)04-0024-06
本文得到广东省哲学社会科学“十二五”规划项目“社会信用体系在政府与市场关系中的作用机理研究”(GD15XYJ11)、广东金融学院校级科研课题“广东省网络金融风险管理理论与实证探究”(2012RCYJ014)的资助。
2016-04-18
刘洪波(1980—),男,湖南祁东人,广东金融学院信用管理系讲师、高级信用管理师,金融学博士,主要研究方向为金融与信用管理。
