《电子银行和电子货币交易的风险管理(巴赛尔)》由会员分享,可在线阅读,更多相关《电子银行和电子货币交易的风险管理(巴赛尔)(9页珍藏版)》请在金锄头文库上搜索。
1、电子银行和电子货币交易的风险管理(巴塞尔委员会1998年3月通过)李宪普 李宪明 王佳 翻译资料来源: BCBS,1998: Risk Management for Electronic Banking and Electronic Money Activities, Basle Committee on Banking Supervision, March 1998 BS/97/122.1. 引言在电子商务的发展中,电子支付手段将会是举足轻重的,包括电子货币在内的零售电子银行服务和产品,能为银行带来非同小可的新机遇。电子银行可以使银行为传统的存款、放贷活动拓展市场,并在提供现有的支付服务时提
2、供新的产品、服务或加强其竞争地位。此外,电子银行可以减少银行的经营成本。广而言之,电子银行及电子货币不断的发展,将有助于提高银行业和支付系统的效率,以及降低国内和国际零售交易成本。其潜在影响是,提高生产率,增进经济福利。利用电子银行和电子货币支付和收款,消费者和商人也可提高效率,并享受到更大的便利。电子银行也可以增加消费者利用金融系统的机会,而在过去,他们使用金融系统的渠道是有限的。对本报告的研究范围有必要从两方面进行限制。首先,报告仅从银行监管的角度研究了电子银行和电子货币交易的风险管理,而未涉及诸如金融后果之类的问题。其二,报告中提及的许多风险同时适用于银行及非银行的发行人和供应者,但报告
3、仅阐述有关银行的情况。1.1 目的和组织电子货币和一些电子银行的发展与应用仍然处于初级阶段。考虑到将来技术和市场发展的不确定性,监管机构避免采取哪些阻碍有益的革新和实验的政策,是很重要的。同时,基本委员会认识到,电子银行和电子货币交易给银行业带来利润的同时,也带来风险,因此必须平衡这些风险与利润。本文的目的是,为监管机构和银行组织提供一些思路,从而有助于他们开发有关识别、评估、管理和控制与电子银行和电子货币相关的风险的方法。基本委员会认为,在关于电子零售产品和服务技术发展的监管事项和反应的持续反思与讨论中,本文作了初步的工作。基本委员会将把本文件分发给全球内的监管者,以期推进对电子银行和电子货
4、币交易的风险管理的适当监管方法的发展。监管者则可能希望将该文件在其所辖的机构中流传。本文的讨论是一般性的,因为有关电子银行和电子货币的技术瞬息万变,未来的产品和服务可能会与今天所用的产品和服务有天壤之别。在当前电子银行和电子货币交易发展的这一相对早期阶段,许多方面的风险既不能完全辨别得出,也不是可轻易估量的,不成熟的监管办法会有扼杀这些领域内的革新和创造的危险。所以,监管人必须鼓励银行建立一种足够严密的综合风险管理机制,来处理已知的重大风险,且这种机制有足够的弹性以适应电子银行和电子货币交易中相关的重大风险类型和强度的变化。这种风险管理机制仅在其不断发展时才是行之有效的。本文的其余部分安排如下
5、。引言的下一部分阐述电子银行和电子货币的定义,以及银行作为电子货币交易中的参与者所扮演的重要角色,并指出了银行作为电子货币交易参与者所起的重要作用。第二部分则对电子银行和电子货币可能为银行业带来的风险进行分类。对风险的分类和分析并不要求详尽无遗,本文旨在说明银行可能遇到的风险类型。其中,分析部分揭示:经营风险、信用风险和法律风险最可能发生。1 随着电子银行和电子货币的不断发展,银行和用户间的跨国交易将会增加。这种关系可能给银行和监管人带来不同的问题和风险。为此,第二部分还讨论了有关跨国交易风险的问题。基于对风险的区别和分析,第三部分为从事电子银行和电子货币交易的银行指出了风险管理过程的主要步骤
6、,包括评估风险、执行风险披露措施和监控风险三个方面。1.2 电子银行和电子货币的定义1.2.1电子银行指通过电子通道供应零售和小额金融产品和服务2。上述的产品和服务可以包括:存款、借贷、帐户管理、提供财务咨询、电子帐单支付和其他电子支付产品和服务的供应,例如电子货币(在下文单独界定)。电子银行包括两个基本方面:进行交易活动的交割通道的性质以及顾客利用通道的方法。普通的交割通道包括“封闭”网络 和“开放”网络。“封闭网络”通过关于成员条件的协议限制参与者进入(金融机构、客户、商家和第三方服务的提供者)。“开放网络”没有这样的成员身份要求。目前,广泛使用的用于提供给客户金融产品和服务的方法包括:销
7、售终端点、自动柜员机、电话、个人电脑、智能卡和其他方法。1.2.2电子货币指用于通过销售终端、两种装置之间的直接转换,或者通过因特网之类的计算机网络进行支付的“储值”机制或预付机制3。储值产品包括“硬件”或“以卡为基础”的机制( 又称“电子钱包”), 和“软件”或“以网络为基础的”机制( 又称“数字现金”)。储值卡可以是“单一卡”或“多功能卡”4。单一卡(例如电话卡)是用来购买一种货物或者服务,或来自一个卖主的产品,多功能卡是可以用于从数个卖主处进行各式各样的购买5。银行可以作为发行人参与电子货币计划,也可以扮演其他角色。这些角色有:发行由其他实体发行的电子货币;为贸易商支付电子货币交易所得;
8、办理电子货币交易手续、结算和清算;保存交易记录。2.风险的识别与风险分析由于信息技术的迅速发展,难以详尽无遗地将风险一一列举。本文旨在阐述一系列广泛的有代表性风险,作为确定风险管理一般原则的基础。从事电子银行和电子货币交易的银行所面临的具体风险,可以根据巴赛尔委员会的其他风险管理文件中论述的风险类型归类,从这一意义上说,这些风险不是新发现的。用这种方式将风险归类有助于系统地确定银行组织所面临的风险。附件中列举了归入风险类型中的具体风险和问题,这些是银行在电子银行和电子货币业务中可能会遇到的。尽管电子银行和电子货币引起的基本风险对人们来说不新鲜,但其中一些风险具体怎样产生,及其对银行的影响究竟有
9、多大,对银行和监管者来说也许是个新课题。其中一些风险和问题可能是银行在电子银行和电子货币业务中都会遇到的,但是一种特定风险在不同电子银行和电子货币业务中的表现程度会有所差异。目前,在大部分电子银行和电子货币业务中可能遇到的最重要风险是运作风险、信用风险和法律风险,对分散化的国际性银行尤其如此。下面三小节将讨论这些风险的具体表现形式。有些具体问题贯穿于各种风险之中。例如,允许未经授权而获得客户信息这一破坏安全检查程序的行为被归入运作风险一类,然而,这样的行为也使银行面临信用风险和法律风险。尽管这些不同种类的风险可能是单由某个问题引发的,但有效的风险管理要求采取多种补救的方法,以应对每一种不同的风
10、险。在其后的内容中,讨论了对某些电子银行和电子货币交易可能同样是重要的其他风险。本文还论述了跨越国界带来的潜在风险。 2.1运作风险运作风险来自系统严重缺乏可靠性或完整性而导致的潜在损失。由于银行的系统或产品可能受到内部或外部的攻击,安全性考虑是至关重要的。运作风险也可能因客户的滥用,及未经周密设计或未能有效运行的电子银行和电子货币交易系统而产生。此类风险的许多具体表现形式在电子银行和电子货币业务中都存在。2.1.1安全性风险运作风险主要涉及进入银行的核心会计系统和风险管理系统的控制装置,与其他参与者交流的信息,及银行在电子货币业务中检测并制止伪造的措施。由于电子计算机功能的增强,线路入口点在
11、地理上的分散性,以及包括因特网之类公共网络的各种通讯系统的使用,对进入银行系统的控制变得日益复杂化。必须指出,对于电子货币来说,破坏安全检查程序会导致采取不正当手段将责任强加于银行。至于其他形式的电子银行,未经授权的访问会导致直接损失,将责任强加于客户,或者引起其他问题。各种具体的访问和认证问题也会发生,例如,控制不严会使黑客得以通过因特网组织一次成功的袭击,黑客可以获取、盗走、使用机密的客户信息。局外的第三方会在缺乏严格控制的情况下,进入某家银行电脑系统,并置入病毒。除电子货币和电子银行系统所遭受的外部攻击外,银行还会由于员工欺诈而面临运作风险:员工可以在窃取认证数据后进入客户帐户,或偷取储
12、值卡。员工因疏忽造成的过失,也会危及银行的系统。监管机构直接关心的风险是伪造电子货币的犯罪。如果银行不能综合运用各种有效措施来检测并防范伪造,这种风险会更加突出。由于银行可能对伪造的电子货币结余金额承担责任,所以伪造会给银行带来运作风险。另外,修复受损的系统,也需要一定的费用。 2.1.2系统的设计、运行与维护银行面临其选择的系统设计不完善或运行不顺畅的风险。例如,若银行选择的电子银行或电子货币交易系统与客户的需求不匹配,银行的现存系统会有被中断或变得滞缓的危险。许多银行很可能依靠外部的服务供应商和专家来运作、经营或支持其部分电子货币和电子银行交易。这种依赖也许是可取的,因为银行在其自身提供电
13、子银行和电子货币服务并不太经济时,可以利用外部资源。然而,依靠外部资源会使银行面临运作风险。服务商有可能不具备必要的专业技术向银行提供其所需要的服务,或不能及时更新技术。服务供应商的经营会因系统中断或财政困难而间断,从而影响银行供应产品或服务的能力。由于信息技术的发展日新月异,银行面临系统被淘汰的风险。例如,帮助客户使用电子银行和电子货币产品的软件需要更新,但是,罪犯或有预谋的个人可能利用更新软件时使用的通道拦截数据或修改软件。除此之外,迅速的技术革新意味着银行的员工可能无法充分认识新技术的实质。这会引起新系统或旧系统中的运行问题。2.1.3客户滥用产品和服务与传统银行业务一样,客户的滥用,无
14、论是有心还是无意,都会导致运作风险。如果银行不能对其客户进行适当的安全预防培训,风险可能更大。此外,如果缺乏有效的方法确认交易,客户就可能否认其先前认可的交易,使银行遭受损失。在缺乏安全保证的电子交易中,客户使用个人信息(例如验证信息、信用卡号或银行帐号)有可能使犯罪分子乘机进入客户的帐户。最终,银行可能因为客户否认该交易而遭受损失。洗钱是另一个值得关注的风险来源,1997年4月的十国集团报告(电子货币:客户保护、法律实施、监管和跨国界风险)指出了这一问题。2.2信用风险信用风险是指有重大影响的负面舆论风险,会导致资金筹措或客户群方面的重大损失。信用风险可能包括一些导致公众对整个银行的运营持续
15、的消极印象的行为,致使银行建立和维护客户关系的能力严重受损。如果银行的行为使公众对银行履行其持续运营所必需的基本职能严重丧失信心,也会出现信用风险。信用风险可能是由银行自身的行为引起的,也可能是由第三方的行为引起的。在其他类型的风险中,尤其是运作风险中,风险日益频繁地出现或问题的增加,可直接导致信用风险加大。当系统或产品不能如预期的那样运作,并导致公众广泛的消极反应时,就会产生信用风险。一次重大的安全事故,无论由于银行系统受到内部还是外部的攻击,都会影响公众对银行的信心。如果客户在接受服务过程中遇到问题,却得不到关于产品使用和问题解决方案的充分信息,也会引起信用风险。过失、渎职及第三方欺诈都会
16、使银行面临信用风险。如果通讯网络系统出现重大故障,妨害客户使用他们的资金或帐户信息,就会产生信用风险,尤其是没有其他访问帐户的替代方法可用时。其他提供相同或相似的电子银行和电子货币产品或服务的机构因过失引起重大损失,会使银行客户对其提供的产品和服务产生怀疑,即使银行自身并不存在类似问题。对某家银行有目的的攻击也可能带来信用风险。例如,侵入银行网站的黑客,可能对这个网站作些改动,故意散布关于银行和其产品的错误信息。信用风险不仅仅对单个的银行可能是重要的,而且对于作为一个整体的银行系统都至为关键。举例来说,如果一家全球性的银行在电子银行和电子货币业务上遭遇严重的信用危机,会引起人们对其他银行的系统安全性的怀疑。在极端情况下,上述的情形会导致整个银行业系统的崩溃。2.3 法律风险法律风险产生于违反法律、法规、规章或交易习惯,或者与之不一致,或交易各方的权利和义务未能合理分配的情况。由于许多零售电子银行和电子货币
