上一讲中,我们介绍了电子银行面临的几种风险,介绍了这几种风险同传统业务的风险有什么相同之处,有什么不同的地方。这些风险是银行在从事电子化业务经常遇到的风险,但是,一个银行在从事电子化业务的过程中,并不一定都能遇上这些风险,或者说风险的程度不一定都是相同的。因此,在具体识别风险,并在此基础上控制风险的过程中,要具体情况具体分析,根据所在银行电子化业务的发展状况和特点,具体分析和识别所遇到的风险。这一讲,我们就具体来分析影响电子银行风险程度的几个因素。
一、并不是所有网络都存在相同的风险
计算机网络是一系列计算机连接而成的网,这种连接可以通过电话线,也可以通过有线电视系统,甚至还可以通过无线传输系统。进入网络也有很多方法,很多入口。比如,可以从自己家里的个人计算机进入网络,也可以通过电话进入网络,还可以通过电视,或者通过智能卡进入某一网络。银行的电子化网络也是通过各种各样的计算机网络连接起来的,客户可以通过不同的方式来进入银行的电子化服务网络。比如可以使用电话进行简单的查询,也可以使用电话银行进行转帐或购物;此外,客户还可以使用各种各样的卡片,通过各种各样的专用设备,比如自动柜员机存款、取款,购物消费,转帐结算;客户使用计算机或者智能卡也可以达到上述的目的。银行的服务越来越依赖于网络。
但是,不同的网络安全性能不一样,潜在的风险也不相同。一般而言,银行提供电子化服务的网络分成内联网(intranet)、外联网(extranet)和互联网(Internet)。内联网是银行内部的网络,只有内部职工可以进入,外部人员无法进入;外联网是连接银行和一些经常跟银行打交道的机构的网络,具有一定的开放性,但比不上互联网;互联网是目前最为开放的网络,任何一个人只要具备一定的设备,都可以进入互联网进行浏览。
因此,并非所有的网络所面临的风险都是一样的,也并非所有网络传输的信息都是一样重要的。信用卡和ATM卡的网络相对而言比较封闭,传输资金的安全性能比较高;但像我们前面介绍的几种网络支付工具,比如通过互联网进行的信用卡交易,通过一系列的设备将封闭的网络同互联网相连,客户可以使用互联网进入现有的信用卡网络,安全性相对而言就降低了。所以,内部网络由于只有一部分人可以进去,主要的风险来自内部,比如内部雇员的欺诈造成的操作风险,或者内部人员失误给客户造成损失,使银行面临法律风险等等。而开放性的网络什么人都可以进入,可能遭到黑客的侵袭,传输的资料(比如信用卡帐号)容易遭到拦截,由此带来的操作风险更为严重,银行面临的法律风险也更大。
二、不是所有的电子银行业务都面临相同程度的风险
网络的概念仍然显得比较抽象。如果我们将网络进一步具体化,不同电子银行从事不同层次的业务,对于电子银行所面临的不同程度的风险,我们就会有比较直观的印象。目前所谓的电子银行实际上并不是一个新的称谓,银行很早就开始在业务中采用电子技术。随着开放性网络的普及,在互联网上开展业务的银行也越来越多,电子银行才具有了新的含义,因此,我们在《金融电子化与法律》这个栏目中,比较多地侧重于银行利用互联网所进行的业务活动。由于银行在采用技术方面出现不同的层次,有的银行只是利用网络作为宣传媒介,而有的银行已经完全“虚拟化”,所有的业务都通过网络开展。因此,有的机构将电子银行分成三个层次。
(一)第一层次:信息公开展示系统(information-only sys-tem)。我国也有的业内人士将这种层次的业务称为电子商情。在这一层次业务中,银行利用互联网只限于在互联网上刊登广告,介绍银行业务的有关信息,比如介绍本银行的业务种类。有的时候,也可以通过电子邮件传递一些公开的信息。由于电子技术的采用,比如各种图表、多媒体资料等等,客户可以非常直观地了解银行提供的各种服务。对于银行来讲,可以有效地搜集客户的信息,比如客户的身份、使用的设备或服务器,甚至还可以进行分析,比如客户访问的次数,客户对某种服务的偏好等等,以此确定有效的营销策略。
(二)第二层次:电子信息传递系统(electronic informationtransfer system)。我国有的业内人士也称为电子合同。在这一层次业务中,银行同客户通过电子邮件的形式传递一些秘密的信息,或者,银行允许客户下载一些资料或文件。比如银行的网址上允许进行在线的贷款和存款申请,下载一些需要客户填充的表格,以及通过电子邮件的形式传送这些数据和表格(里面可能含有一些需要保密的数据,比如客户的帐号等)。银行不再是单向的宣传自己,而是同客户有一个交流的过程。
(三)第三层次:全面的交易信息系统(fully transactional infor-mation system)。这是最为高级的一个层次,有时也被称为电子支付系统。银行可以完全通过网络开展自己的业务,比如帐户查询、转移资金,网上支付以及其他传统的银行业务。这一层次的银行需要全面的网上电子支付作为支持,也就是说金钱、资金可以完全变成数字化的形式通过网络传送和转移,我们在前几讲中介绍的各种网络支付手段就属于这一层次的业务,同时,电子货币或网络货币是最高级的支付工具。这也就是为什么我们将本讲座的核心放在网上支付上,有了网上支付,才谈得上其他的网上银行业务。
不同的银行,开展网络业务的层次不一样,有的只处于第一层次,有的可能不仅可以从事第一和第二层次的业务,还可以从事第三层次的业务。因此,银行面临的风险就明显不同。只从事电子商情的银行,受到黑客攻击的危险小,面临的法律风险也主要同网上广告,或者保护客户资料(隐私权)有关。从事电子合同业务的银行,由于同客户有交流的过程,可能容易遭到黑客的攻击,例如黑客通过电子邮件施放病毒,或者就是简单地将不计其数的电子邮件充塞到银行的网站里,这些都使得操作风险加大。而法律风险也同时加大,比如电子合同的效力问题,如果客户反悔,银行如何证明电子合同已经成立等等。至于第三层次的银行,所面临的风险就更大了,上一讲中介绍的各种风险可能都存在。
三、即便是从事同一业务的银行面临的风险也可能不尽相同
不同网络面临的风险不同,不同业务层次面临的风险也不相同。此外,即便是从事同样一项业务,不同银行面临的风险也可能不尽相同。在这里,我们以电子银行的最高级的形态—电子支付系统,也就是电子货币系统为例,介绍不同角色的银行在从事电子货币业务的时候,可能产生的不同风险。
从事电子货币业务的银行在整个业务中可以承担不同的角色。最常见的是作为电子货币的发行人和回赎人,也就是向客户发行电子货币,然后,在客户需要将电子货币回赎为法定货币(或转帐)的时候进行回赎,比如特约商户每夭将受到的电子货币传输给银行,要求回赎。银行在发行电子货币的时候,还可以直接向消费者出售电子货币,或者同其他机构达成协议,由其他机构代销或承销电子货币。作为电子货币的发行人,银行有义务回赎电子货币,它可能承担上述的所有风险。就电子货币系统的开发、实施和经营者来看,可能承担操作风险、法律风险和声誉风险;就回赎义务而言,银行利用出售电子货币所得的资金进行投资可能承担信用风险、流动性风险、利率风险和外汇汇率风险。
但是,有的银行可以代理发行人发行电子货币,或者代理回赎人回赎电子货币,其身份是代理银行,类似于支票交易中的托收行。以代理发行电子货币为例,银行作为电子货币的分销商可以是两种情况,一种是作为发行人的“代销商”,代理发行人出售电子货币;另一种是作为发行人的“包销商”,从发行人处购买电子货币,然后再出售给消费者。
有的银行作为代销商,可能会代理发行人将电子货币(数字计算机数码)载入消费者的智能卡中,这个过程中,代理银行必须保证有关的软件和硬件得到有效的控制,不会发生操作风险(系统故障、安全事故等)。此外,作为发行人的代理人也可能承担法律风险。比如,代理银行没有采取有效的措施对消费者进行有效披露,或者是没有披露其代理人身份,使消费者误认代理银行是发行银行,从而在出现问题时使其承担连带责任(代理银行将自己银行的标识印制在储值卡上,而没有披露自己的代理人身份,消费者据此要求代理银行连带承担本应由发行人承担的责任);或者没有向消费者披露有关的操作规程、责任分担和争议处理等信息,使代理银行同发行人承担连带责任等等。
有的银行作为电子货币的包销商,也同样面临操作风险和法律风险。此外,包销银行对购买的电子货币本身享有所有权,它还面临着信用风险,即发行人破产时,包销银行手中的电子货币无法得到回赎,从而承担信用风险。
此外,有的银行可能并不从事电子货币的发行或回赎工作,而只是从事一些技术性的工作,比如作为电子货币的结算机构,或者作为电子货币的交易记录机构。作为结算机构的银行,要承担结算风险。作为电子货币的交易记录机构(数据库),承担着记录交易的职责,或者是全面的记录和检查追踪,或者是有限制的记录和追踪。这些记录可以用来及时发现犯罪活动(伪造电子货币)、解决争议、协助调查和检控犯罪分子等等。从事这项业务的银行可能面临操作风险、法律风险和声誉风险。如果设备安全出现故障,引起有关的信息遭到破坏,无法用来解决争议(比如消费者对应该收取的电子货币币值存在争议,而系统破坏无法查明),银行可能会承担由于这种操作风险带来的损失。同时,由于这些记录的数据属于消费者隐私权的范围,如果银行没有遵守有关的保护隐私权(数据库)的规定,或者不当使用这些信息,有可能面临法律风险声誉风险。
最后,银行还可能并不直接从事上述业务,而只是作为电子货币系统的投资方。比如若干家银行共同投资,设立一个专门从事网络货币经营的公司,由这个公司来承担上述的各种职能。在这种情况下,银行作为投资人,只是承担与其出资相一致的责任,但有的时候,也可能会面临声誉风险等。
从上面的介绍我们可以看出,有的银行规模大,可以同时担任所有的角色,因而面临所有风险;但有时银行从经营效益角度考虑,只承担一部分职能,或者将结算或技术支持角色分包给技术厂商,或者自己只作为代理银行从事代理发行或回赎的业务,因而面临的风险也就不尽相同,这都需要具体分析。总的来讲,银行在从事电子化业务的过程中,有效的识别自己面临的风险是进行风险控制的基础,在进行业务扩展的时候,则可能面临更为广泛的风险。这都需要进行认真地调查,未雨绸缪,为风险管理和控制打好基础。
1999 > 1999年总第25辑