刘蕙 林志杰

[摘 要]阐述我国网上银行的操作风险现状，分析了操作风险的来源及形成原因，从风险识别、操作流程、信息系统与沟通和监控制度四个维度，对防范网上银行操作风险提出改进意见。

[关键词]网上银行；操作风险；控制

[中图分类号]F832.33

[文献标识码]A

[文章编号]2095-3283（2018）08-0100-03

Abstract： This paper expounds the status quo of operational risk of Internet banking in China， analyzes the sources and causes of operational risks. And puts forward improvement suggestions on preventing operational risks of Internet banking ，from the four dimensions of risk identification， operational process， information system and communication and monitoring system， this paper proposes suggestions for improving the risk of Internet banking operations.

Keywords： Internet Banking；Operational Risk；Control

[作者简介]刘蕙（1970-），女，广州商学院金融学院，副教授，研究方向：互联网金融、移动商务；林志杰（1994-），男，渣打银行（中国）广州分行职员，研究方向：信贷、互联金融。

[基金項目]广东省普通高校特色创新类项目（人文社科类）“广州商学院虚拟仿真实验教学中心”（项目编号：2015WTSCX114）；广州商学院教学改革项目“基于移动混合学习的翻转课堂教学模式探析——以中央银行学为例”（项目编号：JXGG201502），广东省特色重点学科“广州商学院电子商务”（项目编号：TSZDXK201601）。

一、我国网上银行操作风险现状

我国开展网上银行业务始于1998年，截至2017年底，我国网上银行客户交易规模为421.5万亿元人民币。与发达国家相比，我国网上银行的发展仍处于起步阶段，体现在以下三个方面：第一，我国的网上银行基本上属于分支型网上银行，业务附属于母行；第二，我国的网上银行在银行间规模业绩不平衡，以五大行和招商银行为第一梯队，处于领头羊的地位，在客户群体、业务发展上形成了一定的客户规模；第三，网上银行业务分布不均衡，在线支付、转账、网络账单等业务因适应网络时代需求，业务发展较快，而信息服务、个人银行服务、企业银行服务等发展相对缓慢。

二、网上银行操作风险的来源

（一）内部雇员的操作风险

内部员工对网络密钥、认证方式都比较了解，违规员工可能会尝试非法越权操作，篡改银行内部数据，窃取客户账户和个人信息，假装客户提现或转账，或对外售卖客户信息，泄露客户个人隐私和信息。一旦发生这种情况，银行必须承担客户的损失和重建客户信息数据库。另外，部分员工的个人素质和能力较差，网络技术知识没有及时更新，无法熟练掌握基本业务流程和操作及使用新设备，导致服务效率低、服务质量差、操作失误严重，给客户带来较差的服务体验，带给银行不必要的损失。

（二）客户的操作风险

网络银行客户的安全意识一般较弱，部分客户极度缺乏风险防范意识，忽视对密码的保护，将密码设置为生日、简单重复的数字等容易被他人猜到的数字，即使银行采用先进的系统，也难以防范帐号被盗，资金被非法转移就容易发生。其次，一些客户可能会在不安全的设备或公共场所中输入个人账户和个人信息，使终端设备被安装木马程序并被窃取帐号和密码，导致资金被盗取和个人信息被出售。还有客户缺乏基本网络操作知识，进行了错误操作。

（三）黑客的操作风险

黑客可能使用的手段有非法进入银行内部系统、在网络传输通道中窃取客户信息、采用非法手段窃取和篡改客户信息、使用病毒攻击银行系统。黑客最常用的手段是将含病毒的匿名邮件或短信发送给客户，当用户点开这些电子信息，病毒就入侵客户的电脑、手机，自动记录客户的键盘输入数据，并发送到黑客的系统，黑客盗用客户的账号和密码，进入网上银行系统，盗取客户的资金。黑客攻击使银行丢失客户数据以及银行系统崩溃，银行为重建系统必须付出昂贵的代价，损坏了银行的社会信誉和社会形象，严重阻碍网上银行业务的发展。

（四）操作系统的操作风险

网上银行操作系统也是操作风险来源。一是银行不及时更新网络和系统软件，很有可能引发系统操作失灵或者反馈过慢，这样不仅给客户带来不好的使用体验，也影响了网上银行系统的正常运行；二是银行使用过期或不完全的操作系统和应用软件，无法保证系统对入侵的有效防范；三是黑客入侵技术及手段更新较快，操作系统没有及时更新，黑客入侵将变得越来越容易；四是操作系统技术平台选择不当，同样会影响系统安全性和系统速度；五是即便银行充分重视上述问题，并采取相关的措施更新系统，但是由于网络信息技术发展快速及多样性，银行无法拥有百分之百防御的操作体系。

三、我国网上银行操作风险产生的原因

（一）金融监管难度增大

网上银行的出现，改变了商业模型、业务类型及流程，降低了交易成本，减少了银行业务信息的不对称性，使得银行扮演的角色发生了变化，也使银行风险更复杂，对银行管理和外部监督也是一个新的挑战。首先，监管机构必须对网上银行业务采用新标准进行安全评估；其次，金融产品正一步一步走向联结，例如银行、证券和保险等的交叉营销，加大了金融监管难度。再次，交易及交易凭证电子化，交易频率高、规模大，难以采用传统的监管方式评估交易的风险性、合法性和合规性。

（二）网上银行应用技术存在缺陷

网上银行属于新兴事物，我国网上银行基础设施薄弱，缺乏整体规划、资金、技术、环境及专业技术人才，网上银行的稳定性和安全性与发达国家的网上银行的发展水准有较大的差距。我国网上银行还普遍存在着技术外包现象，基本上是委派信息技术服务商向银行提供网上银行的服务功能，虽然节省了开发的周期和成本，但是银行没有参与到网上银行系统的开发维护，无法全面整体地了解网上银行系统的核心技术和配置的属性，无法提供完善的配套的售后服务。

（三）网络犯罪调查难度较高

网络是一个开放的虚拟空间，罪犯真正实施犯罪的具体地点难以确定。网上银行经济犯罪具有高智能性和隐蔽性的特点。同时，经济犯罪网络的证据难以被收集，黑客会通过预先安装的程序擦除入侵痕迹和抹除证据。司法机关人员必须具有良好的专业素质，以及相关的网络技术和金融等专业知识，才能有效调查这类犯罪活动。因此，网络犯罪的调查难度较高，不利于网络风险的防范。

（四）银行客户操作风险意识薄弱

造成我国银行客户安全意识普遍淡薄的原因在于：一是银行和媒体对网上银行的安全方面的知识宣传力度不够，缺乏必要的安全经验的指导和突发紧急事件的提醒；二是长久以来银行信息不透明，为了避免公开相关操作风险事件造成的银行信誉度降低而产生负面的影响，银行一般采取回避的态度，甚至主动隐瞒，而将更大的工夫花在网上银行产品的宣传上，没有真正从技术和管理上提高网上银行系统性能的动力；三是客户在选择网上银行服务时，往往对各家网上银行系统的安全性和稳定性了解不足，选择盲目，客户往往都不知道到底网上交易的风险是什么，主动采取安全措施的意识薄弱，对系统运行繁琐的安全请求觉得麻烦，这让原本安全性较强的银行也被迫降低安全级别；四是部分银行的网址、网站不统一，客户不便于查找网络银行登录入口，在使用搜索引擎选择网址时容易放松警惕，给那些试图拦截、获取客户机密信息者提供了方便。

四、网上银行操作风险管理改进的建议

（一）强化对操作风险的识别

1. 把握风险识别的重点

为了提高风险识别的效率和效果，网上银行需要建立一套完整的操作风险识别流程：第一，总结所有可能引起网上银行操作风险的因素，不仅包括银行的经营目标、内部框架、产品和设备情况、人员和系统情况等内部因素，还应该考虑政治、经济、文化、技术等外部因素；第二，在新的产品、制度、系统上线之前都应该对其上线之后可能存在的操作风险进行充分的评估，对可能存在的所有风险点进行整理，在上线后保持密切持续的关注；第三，重视操作风险的形成原因，在对操作风险的识别过程中，不仅要关注操作风险，更要关注形成操作风险的真正原因，采取针对性的解决办法；第四，建立奖励机制，对于勇于指出自身岗位操作风险的员工，经核实后给予相应的奖励以鼓励员工自觉预防操作风险。

2. 优化对操作风险的评估

针对操作风险的评估准确度不高的情况，应注重数据累积，建立操作风险损失的长期数据库，采用国际成熟评估模型，分析损失的分布范围、发生频率和具体的损失金额，总结出风险评估的關键指标，利用记分卡等方式，建立健全操作风险评估体系，同时注意国内外银行差异，不能完全套用国外标准。

（二）完善操作流程

1.健全网上银行操作风险控制制度

积极借鉴西方银行健全内部管控的经验，全方位地了解网上银行操作风险的属性度。针对高发的管理人员带头进行违规操作，胁迫和命令下属协助，银行应建立健全员工检举制度，坚定地遏制各类问题案件的多发趋势。

2.改善组织结构

在银行机构内部控制制度框架设计中，要明晰内部治理责任的分配，各部门分别执行不同职能，分开控制操作风险、业务运营和后台服务，以避免重复管理。在设置网上银行相关岗位时，必须坚持不兼容的职责分离原则，明确规定不同部门各自的职责。

3.建立应急中心，有效应对突发事件

当风险事件发生时，应及时提供有效的解决方案，迅速处理网络银行的安全问题，确保银行和客户的损失最小化。并始终留意相关安全知识的新趋势，针对相关安全问题及时采取解决办法。

（三）健全信息系统与沟通机制

1.建立全面信息共享平台

遵循经济性、适用性的原则，建立一套覆盖银行各个角落的信息系统。这样管理层不仅可以快速地与下级部门沟通，包括操作风险的各种问题，也解决了各部门因缺乏信息共享而出现的其他问题。

2.加强信息基础建设

银行应该根据自身规模和发展目标建设和规划符合自身需要的信息系统。对各个基层网点的信息系统进行升级、改造，定期、全面地对后台核心系统和前台业务系统进行检查，及时发现存在的问题并予以解决，最大程度地减少因系统故障而带来的操作风险，提高业务办理和信息传递的速度，保证整个信息共享网络的顺畅运行。

3.建立快速有效的信息反馈机制

优秀的信息反馈机制是商业银行内部信息交流过程中不可缺少的环节。在操作风险案件发生时，相关部门应及时反馈案件的信息，并由管理层寻找解决方案，及时补救。另外，完善的信息反馈机制还有助于提高银行对外部问题的解决速度，提升银行的市场竞争力。

4.建立健全内部沟通与外部沟通机制

银行的内部沟通需要信息共享系统的协助，沟通内容不仅包括经营过程中的各种即时信息，也包括内部管理中明确的规章制度和授权。建立良好的外部沟通机制，可以及时向客户反馈业务信息，了解客户的需求，降低因为沟通问题所产生的操作风险。

（四）改进监控制度

1.建立内部控制绩效监测制度

针对各个部门及下属分支机构的业务流程、权力和责任，建立明确的书面说明，对操作风险事件发现、报告、处理过程、原因分析以及预防措施等各方面作出明确的规定，采用日常检查、现场检查、业务指导、业务考核等方法监测，建立内部控制绩效监测制度。此外，还要建立责任追究制度，对不符合规定的部门和人员追究责任并进行处理。鼓励群众和内部员工对违规行为进行举报，经调查属实的给予举报人员适当的奖励。

2.加强内部审计委员会的权力

内部审计委员会及其下属分支机构则负责整个网上银行内部控制活动的实际运行以及内控系统各模块的完善工作。其职责是从内部审计角度出发，采取关键指标法评价各部门的内部控制运营情况，然后将发现的问题汇报给董事会，由董事会统一给出解决措施，并传达给问题部门。在特殊情况下，对于小问题给予内审委员会自行决定的权利，减轻董事会的工作压力，针对操作风险问题作出更快的反应。

3.建立内部审计人员派驻制度

加强内部审计委员会对整个网上银行内部控制的掌控力度。借鉴国内外银行的经验，建立内部审计人员派驻制度，对各分行、支行的派驻人员统一任命和管理，派驻人员定期上传派驻部门的内部审计情况，并就部门在审计过程中出现的问题与上级部门沟通，协助管理层了解基层部门内部审计情况。在操作风险问题出现时，派驻人员可以通过绿色信息通道向内部审计委员会直接反映问题。内部审计委员拥有对下级部门内部审计结果的最终处理权，并对内部审计人员的工作进行考核与评估，以保证派驻人员的独立性和沟通过程的流畅。

[参考文献]

[1]于家骏.互联网背景下我国商业银行网上银行操作风险管理研究[J].商场现代化，2018（1）：136-137.

[2]万辉.我国商业银行互联网金融风险管理研究[J].金融纵横，2016（2）：15-25.

[3]朱日莫图.我国商业银行网上银行业务的风险管理分析及对策[J].北方经济，2012（10）：95-96.

[4]吴建.我国商业银行网上银行操作风险管理研究[J].浙江金融，2011（10）：45-49.

[5]徐峰.我国商业银行操作风险管理存在的问题与成因分析[J].经济视角，2015（6）：26-27.

[6]李文婷，幼清.我国商业银行操作风险分析及管理——以中国农业银行某支行为例 [J].当代经济，2016（6）：36-39.

[7]刘雅斋，王爽.基于银行統计的商业银行操作风险防范措施研究[J].企业导报，2016（3）：158-159.

[8]黄美榕.基于内控视角的商业银行操作风险管理研究——以G银行为例[J].福建金融，2015（11）：41-45.

（责任编辑：乔虹 刘茜）