越来越多的银行采用先进设备,利用不同层次的网络向客户提供服务,这为银行带来了不少好处,也为客户带来诸多便利。与此同时,银行也将自己的弱点——暴露在公众和犯罪分子面前。美国警察费了半天劲,才将侵入一家著名银行并窃取资金的网络高手列文绳之以法。结果没想到的是,没过多长时间,中国自己的银行也出了这档子事情。像网一样的世界金融体系,任何一个薄弱的环节都有可能受到侵袭,从而影响整个国家的金融安全。
从目前来看,预防网络犯罪,防止提供电子化服务给银行带来的损失是各国监管机构、国际组织、各金融机构最为关心的事情。这些机构纷纷出台了一系列的文件,提出了防范和化解电子银行风险、进行风险管理的办法,其中一些已经成为具有法律效力的文件,成为各个金融机构必须遵守的规定。我们在今后的几讲中,将逐渐介绍这些规定。在这一讲里,我们首先介绍进行电子银行风险识别和管理的最基本的内容:电子银行究竟面临着哪些风险?
一、电子银行面临的操作风险
银行在业务中面临风险由来已久,巴塞尔银行监管委员会就曾经组织各国监管机构对此进行讨论,比较系统地归纳出几种常见的风险,比如操作风险、声誉风险、法律风险等等。在传统业务中,这些风险表现形式有所不同。比如在操作风险中,可能是信贷员没有对借款人进行认真细致的资信调查,或者是没有要求借款人提供合格的担保,甚至是像我们在《金融法苑》其他课程或文章中见到的情况:储蓄员点钞票的时候出现差错,没有认真审查就盲目提供担保等等。这些风险可以通过现有的一系列管理措施加以防范,比如双人临柜,比如制定和严格执行一整套贷款操作的规程等等。传统业务中的风险大多跟技术没有直接的联系,一个环节存在的风险虽然对其他环节有影响,但影响限定在一定范围。
电子银行出现以后,风险加大了,影响范围扩大了,一个环节存在的风险对整个机构,甚至金融系统都可能存在潜在的影响。美国联邦调查局一位高级官员认为,互联网和其他信息技术领域的进步所带来的潜在损失已经远远超过了受害的个体所能承受的范围,已经影响到我们的国民经济和国家安全。这种情况同技术有着直接的关系,其中表现最为突出的就是操作风险。
电子货币的许多风险都可以归纳为操作风险。比如去年两名犯罪分子侵入某银行的计算机系统,盗取上百万的资金,最后被江苏法院绳之以法。黑客入侵银行的计算机系统、获得或使用有关的资料,甚至像这两名罪犯一样窃取资金,据为己有。还有的罪犯侵入计算机系统后,施放病毒破坏系统,或者放置逻辑炸弹、然后对金融机构进行敲诈。这种现象已经比较普遍,国外一些银行受到敲诈以后只好吃哑巴亏,出点钱了事。对一些从事电子货币业务的银行来讲,犯罪分子伪造电子货币,给银行带来直接的经济损失。这些罪犯不仅来自银行外部,有时还来自银行内部,这对银行造成的威胁更大。
除了这些针对银行的犯罪以外,有关电子银行设备产生的一系列问题也给银行带来潜在的风险。有时候,电子银行系统有可能会出现临时的故障,比如交易时突然出现中断,或者交易延迟,如果这些系统属于银行自己开发的,那么银行必须对由此对客户造成的不便以至损失负责。有时,外部厂商没有提供合格的硬件或软件,银行可能也要就由于服务商的过错造成的系统故障向客户负责。此外,由于技术更新很快,内部雇员和管理人员可能不熟悉电子货币的技术,不能很有效地使用电子银行系统,也存在潜在的操作风险。
这些风险跟技术设备密切相关,作为开发和使用这些技术设备的银行当然要担负相应的责任。有时,客户操作不当也会给银行带来风险。比如,客户没有遵守操作规程,在不安全的环境下使用一些个人的信息,罪犯可以由此获得客户的信息,并使用这些信息从事有关的犯罪活动,银行可能就要对所造成的损失承担赔偿责任。此外,有的客户虽然已完成了某一交易,但事后反悔否认,而银行的技术措施可能无法证明客户已经完成过该交易,由此造成的损失也必须由银行承担。
这些风险都可归纳为操作风险,跟技术有着直接或间接的关系。所以,巴塞尔委员会认为,操作风险来源于“系统在可靠性和完整性方面的重大缺陷带来的潜在损失”,认为电子银行操作风险包括电子货币犯罪带来的安全风险,内部雇员欺诈带来的风险,系统设计、实施和维护带来的风险以及客户操作不当带来的风险。其他组织,比如欧洲中央银行、美国通货管制局、联邦存款委员会等对电子银行的操作风险作出了类似或相近的描述。
二、电子银行面临着巨大的法律风险
从前几讲的介绍中,我们都可以看出,电子银行所面临的法律风险非常大。这种法律风险从根本上来看,实际上属于没有任何法律调整,或者适用现有法律不明确造成的风险。我们在开展一项业务,到一个地方进行投资的时候,总是希望有一套明确的法律规则,做事之前,我们有一个明确的预期。我每个月能赚多少钱,该交多少税,出了事以后,我有哪些义务,有什么责任?这些问题如果很清楚的话,我们就很愿意把钱投进来,大家合作也会很愉快。
现有的银行业务虽然仍然存在需要完善的地方,但总的来讲,有关法律、规则还是能够给交易的各方一个比较明确的预期。即便是我国这样一个发展中国家,主要的法律规则,比如《商业银行法》、《贷款通则》、《储蓄条例》、《担保法》、《证券法》等等都已经出台,权利义务的划分都可以以这些法律为基本的参考依据。但是,电子银行出现以后,许多领域都是全新的,法律规则还是一片空白,现有法律是否应该适用、程度如何,当事人都不太清楚,有的时候,监管机构也未必明白。在这种情况下,当事人一方面可能不愿意从事这样的活动,一方面也可能在出现争执以后,谁也说服不了谁,解决不了问题。
比如,在处理银行与客户的关系方面,现有的法律总是更倾向于保护客户,为银行施加了更大的义务。比如,美国1978年《电子资金转移法》银行在向客户提供ATM卡等借记卡服务的时候,必须向客户披露一系列信息,否则,银行要面临潜在的风险。而电子货币,特别是智能卡出现以后,智能卡是否需要披露同样的信息,即便是监管机构也无法立刻作出决定。因为两种卡的性能完全不一样,要求借记卡业务披露的信息可能对于智能卡来讲没有任何意义,而且,有的时候,要求过于严格,造成发卡银行成本过大,又会阻碍业务的发展。在这种情况下,开展此项业务的银行就会处于两难的境地,以后一旦出现争议或诉讼,谁也无法预料会出现什么样的后果。
这样类似的情况在电子银行的其他许多新业务中也存在。比如有的银行在互联网建立自己的主页,并作了许多连接点(link),把自己的网址链接到其他机构的网址上。如果黑客利用这些连接点来欺诈银行的客户,客户有可能会提起诉讼,要求银行赔偿损失。又比如,我们在以前介绍过认证中心的职能,一些银行可能会承担认证中心的职能,并以此作为自己的一项新的业务,通过提供认证服务收取相应的服务费用。那么,作为认证中心的银行和申请认证的机构或个人,以及接受认证证书的机构之间就可能存在潜在的争议,一旦出现争执,银行的权利义务如何?尤其是在没有相关立法调整数字签名和认证中心的国家,银行面临的风险更大。
此外,我们以前也提到过,电子银行还面临洗钱、客户隐私权、网络交易等其他方面的法律风险,所有这些法律风险的存在,都要求银行在从事新的电子银行业务时候必须认真检查和识别。
三、电子银行面临的其他风险
除了操作风险和法律风险以外,电子货币还面临着声誉风险、信用风险、流动性风险、利率风险和市场风险。
同传统风险比较,电子银行面临的声誉风险显得更为严重。传统业务中,最常见的声誉风险表现为一家银行出了财务问题以后,导致大量的储户挤兑。电子银行产生声誉风险的原因,同传统业务有的时候一样,有的时候也不一样。其中不一样的是,电子银行可能由于技术设备的故障、由于系统的缺陷,导致客户失去对该银行的信心,引起电子银行产生声誉风险。比如,新闻媒体报道某家银行被黑客入侵,尽管可能没有造成任何损失,但是客户会立刻对该银行的安全性能产生怀疑。电子银行的业务处在发展初期,客户对安全存在潜在的不信任,声誉风险的出现对电子银行业务的影响尤其大。
除了声誉风险以外,电子银行同传统银行一样,面临着信用风险、流动性风险、利率风险和市场风险。比如从事电子货币业务的银行,发行电子货币之后,不能回赎货币,因此,产生信用风险。有的时候,电子货币发行机构将出售电子货币所获得的资金进行投资,如果被投资方不履行业务,就可能为发行人带来信用风险。只要同电子银行交易的另外一方不履行义务,都会给电子银行带来信用风险。
流动性风险对于电子银行来讲,也是一种常见的风险。只要电子银行某一时刻无法以合理的成本迅速增加负债或变现资产,以获得足够的资金来满足债务,就存在流动性风险。这种风险主要发生在电子货币的发行人身上。发行人将出售电子货币的资金进行投资,当客户要求回赎电子货币的时候,投资的资产可能无法迅速变现,或者会造成重大损失,从而使发行人遭受流动性风险。
除此之外,利率的变动,市场价格的变动,比如汇率的变动也会给电子银行带来利率风险和市场风险。总的来讲,信用风险、流动性风险、利率风险和市场风险这四种风险对电子银行来说,同传统业务面临的这四种风险差别不是很大。差别比较大的主要是我们前面讲的操作风险和法律风险。目前我国各个银行都在争相开展电子业务,而我们虽然参与制定了《有效银行核心监管原则》,对一般银行面临的风险进行了识别,但对于电子银行的相关风险识别和管理却没有一个有法律效力或具有指导意义的文件。因此,开展电子银行业务的各个银行应该根据自己情况对各种风险进行识别。
1999 > 1999年总第24辑