专栏名称: 注册风险管理师

这是风险金融行业最顶尖、最精粹的公众号，有专业的团队运营，13万人的粉丝群体；中国注册风险管理师协会（CIPRM）是风险管理行业的先驱者，培养风险管理人才，制定风险管理标准，做行业的引领者。协会官方网站：www.ciprm.org。

互联网银行及其风险管理

注册风险管理师 · 公众号 · 财经 · 2019-04-17 10:29

正文

广大发展中国家的经济交换往往是货币驱动（Cash driven）的，即商品和服务交易依赖于银行支票或者现金。然而这个状况目前正在改变，一个复杂、现代的支付体系正在形成。在这个体系中，货币和银行支票均转化为数字，它们的传递会通过计算机、电话线路以及卫星接收器等设备实现。这就是信息技术在金融领域快速应用的体现。信息技术在金融行业所体现出的巨大信息传递作用证明了电子支付清算系统对于任何一个国家来讲都是非常重要的。

银行使用电子信息渠道在本国以及世界各地开展业务已经有数年的历史了。自从20 世纪90 年代互联网和“WWW”技术的广泛应用，银行就开始大量使用电子信息渠道来接受交易指令，为消费者提供服务，即我们常说的互联网银行服务。互联网银行（Internet banking）主要包括三个层次：第一是提供信息的网站，其核心是向消费者和公众发布银行产品和服务的信息；第二是简单的交易网站。消费者可以对银行服务提交请求、查询其账户情况、向银行下达交易指令，但不允许资金转移。第三是功能较高的交易网站。消费者可以在不同的账户之间进行资金转移，可以支付账单以及在线进行其他的银行业务。

整体上，银行业的互联网业务规模远大于支付宝等非银行机构。2011年，中国网上银行市场交易额超过800万亿元，接近支付宝交易额的一万倍。据统计数据测算，2012年中国网上银行交易笔数高达896.2亿笔，增长迅速，网上银行替代率提高到72.3%。2012年，中国银行业网银交易规模为820万亿元，增长率达到17%。企业网银交易规模占80%，个人网银交易规模占20％。各家商业银行均将发展互联网银行上升到战略层次，电子银行业务渠道多元化，金融服务线上化。2014年1月16日，中国互联网络信息中心（CNNIC）发布的《第33次中国互联网络发展状况统计报告》显示，截至2013年12月，我国网民规模达6.18亿，手机网民规模达5亿，占总网民数的81%。网民规模的扩大意味着未来互联网银行业务仍然有巨大的增长空间。所谓“兵马未动，粮草先行”，为了有效保证金融体系的稳定，互联网银行的发展需要强调风险管理的重要性。只有建立在良好风险管理体系上的互联网银行才是稳健健康的银行，才能够更好、有效、长期地让消费者体会到互联网所带来的便捷、安全和舒适。虽然我国尚不存在完全意义上的互联网银行，但未雨绸缪也是智者的选择。本文拟对互联网银行的跨国风险进行分析，并对互联网银行风险管理体系建设提出政策建议。

二、 互联网银行

信息科学技术的发展改变了商业组织形态，尤其是在管理与控制手段、营销与研发、运营与决策等方面。信息科学技术通过提升组织运作效率来降低成本，这促使银行大力开发信息系统和电子设备来满足客户要求。银行服务的电子化使得互联网银行成为满足客户需求、建立良好客户关系的有力武器。互联网技术所带来的电子商务技术的快速发展使得人们认为未来银行服务的主要形式就是互联网银行。

毋庸置疑，互联网银行业务会在不久的将来全面超越传统银行业务。广大发展中国家目前也正不遗余力地建设网络银行基础设施。广大发展中国家互联网金融客户数目也快速增长，比如土耳其有17%的客户经常运用互联网银行。

（一） 互联网银行的含义

目前对于互联网银行，国际上主要有以下几种表达方式：“Electronic banking”、“PC banking”、“Internet banking”、“Online banking”、“Cell phonebanking”以及“Virtual banking”。互联网银行有两个组成部分：信息发布网站和交易网站。信息发布网站负责向客户发布银行产品和服务信息，交易网站主要履行客户完成交易的功能。互联网银行发源于客户对时势服务的需求（比如获取即刻利率信息、个人账户信息、个人贷款等），后来演变成网上支付需求、资金转移需求、公司和个人的现金管理需求。

根据美国货币监理署1999年发布的电子银行手册，互联网银行是指能够使得银行客户不去实体店面，而是通过个人计算机等移动终端即可查阅个人账户、购买银行产品和享受银行服务的一整套系统设施。Singh指出，互联网银行顾名思义，就是客户通过移动终端，而不是实体店面体验银行服务。Sullivanand Wang将互联网银行看成是一个创新的过程，即客户逐渐实现自己处理自己银行业务的过程。

互联网银行对银行业务模式的改变是史无前例的。全世界的银行业都在运用最新的网络技术拓展自身的业务。互联网银行使得银行可以开展跨境业务，改变战略经营行为，从而创造了新的可能。互联网技术的发展使得信息更加透明，客户可以比较各家银行所提供的服务的质量，从而使金融机构的经营行为更加接近新古典经济学理论。比如，在互联网银行上，客户只需用鼠标即可决定选择哪家银行的业务，如果客户对一家银行所提供的产品和服务不满意，则其可以迅速到其他银行去寻求服务。另一方面，互联网银行的发展大大降低了银行服务成本，信息技术的发展使银行处理信息的成本大幅降低，互联网技术的发展又加速了信息的传导，这些无疑是银行发展业务中最需要的。

（二） 互联网银行业务的关键要素

当金融机构进行业务创新时，挖掘影响该业务的关键要素对于该业务的发展具有至关重要的作用。Rochart指出，一个组织在竞争性环境中获得胜利的关键因素往往仅集中在几个方面。第一，如果商业银行想在网络银行业务方面获得成功，组织内部重构必不可少。EI Sawy等认为电子商务的发展会对企业的营业模式和组织架构产生颠覆性的影响。改变企业内部业务流程对银行来讲，也意味着技术的创新。Orr指出内部流程的改善完全有助于银行及时迅速满足客户需求。

第二，亲近方便客户，让客户具有良好的体验是网络银行业务成功的关键。Regan and Macaluso指出互联网技术的发展市场力量从供给方转向需求方，提供优质的服务对于抓住客户非常重要。Orr指出客户感觉良好是网络银行业务成功的关键因素，任何技术的更新均应以改善客户体验为基本前提。在网络银行基础设施建设方面，安全性至关重要。安全意味着交易安全、前后台系统安全。安全交易系统的一个重要组成是如何让客户相信新的系统是安全的，且需要考虑如何将现有业务融入新的系统中。网络银行信息系统应具有整合效用，便于客户使用，因为客户不喜欢在各个网页跳来跳去。网络银行应该使用户感到被理解。Franco and Klein的研究表明，有效地向客户营销是网络银行成功的重要元素之一。

第三，重视网络银行业务与传统银行业务的融合。管理层在考虑业务融合方面，不能把其当成一项任务，而应把其当作一项长期投资来看待，此时技术的应用就会与银行的经营战略紧密结合。Stamoulis发现银行在其网页上填满了大量公司文件、产品介绍、定价信息以及申请服务说明等。他认为这些传统业务营销内容不适用于网络银行业务，银行应重新对其网站进行设计。

（三） 互联网银行的风险管理挑战

虽然信息技术的发展给互联网银行的风险管理带来巨大挑战，但互联网银行所面临的风险种类并不是新的事物，其所面临的主要风险在巴塞尔委员会1997 年发布的《有效监管核心原则》中均已提到。需要注意的是，虽然互联网银行并没有衍生出新的风险类型，但其对银行的传统风险管理产生巨大影响。随着信息技术大量使用，战略风险、操作风险、声誉风险等风险类型将对互联网银行的风险管理产生重要影响。

具体来讲，互联网银行风险管理面临的挑战主要有：第一，互联网的普及性对安全控制、客户验证技术、数据保护、审计流程以及消费者私人信息保护等技术的要求变高。第二，互联网银行的发展离不开信息系统的外包业务，进而涉及到了非银行的第三方机构（电信运营商、网络运营商等）。如何监管这些第三方机构，使银行通过外包所得到的信息系统不存在安全隐患是值得思考的问题。第三，信息技术的发展以及服务的不断创新加大了银行面对的竞争压力，从前往往需要若干年才能开展的业务现在缩短到只需要几个月。银行可以较快地将思想转变为具体的产品和服务。银行服务创新的加快对银行的战略风险管理、风险评估以及安全评估等工作要求变高。第四，互联网银行的发展使得银行大量业务均通过电子信息系统进行。这在降低人工错误的同时，增加了对信息系统的依赖性，从而对信息系统的操作性、互通性以及稳定性的要求更高，对信息科技风险管理能力的要求会更高。

三、 互联网银行的跨国风险管理

（一）加强自身的风险管理体系建设

随着中国商业银行走向世界，中国的互联网银行业务也会走向全球各地，进行跨国经营。互联网银行的跨国经营是指一国的互联网银行向另一个国家的居民提供在线的银行产品和服务。互联网银行在展开跨国业务之前应进行细致的风险评估、尽职调查，针对跨国经营建立起完善的风险管理体系。

第一，跨国经营应遵循东道国的法律法规，以避免法律风险。互联网银行应全面了解东道国的监管规则、法律适用原则和社会环境等。在东道国，业务牌照的发放、监管要求、消费者保护可能会和本国完全不同，监管机构可能会包括中央银行、消费者保护当局、金融市场监管部门以及专门处理金融犯罪的部门等。陌生的法律环境、多种多样的监管机构会使得互联网银行在开展跨国业务时面临更为严峻的法律风险。这就需要互联网银行能够很好地与东道国监管当局合作，以便最大限度地避免法律风险。

第二，风险评估应全面、有效且具有持续性。互联网银行的风险评估应反映全面风险管理理念，对互联网银行开展跨国经营业务所可能面临的各类风险（包括国别风险）进行全方位的评估调查。

第三，为了降低风险管理成本，互联网银行应清晰地阐明其仅仅服务特定几个国家的居民，但此声明是否有效需要建立在严密的内控机制基础上，因为互联网银行往往会在不经意间与非特定服务对象国家的居民进行网上交易，从而影响该声明的效力。

第四，从消费者视角进行风险管理体系建设。消费者对互联网银行的风险感知决定了互联网银行能否取得成功。为了在异国他乡降低当地居民对互联网银行所感知的风险，互联网银行应在当地网站上向潜在客户群体详细说明银行的法律地位、母国以及监管许可牌照等信息。这是增加经营透明度、降低法律风险和声誉风险最好的办法。信息的发布应以东道国法律规定、监管指引以及消费者习惯为依据，且应披露母公司情况和母国监管当局信息。

（二）母国监管当局的角色

母国监管当局应履行对互联网银行风险评估流程和资本充足率的监管，保证互联网银行在开展跨国业务时清晰地了解即将面临的风险。母国监管当局与互联网银行的有效交流至关重要。有效的沟通交流可以督促互联网银行在开展跨国业务之前进行周密细致的尽职调查和风险评估。同时，母国监管当局要保证互联网银行开展跨境业务时所遵循的监管指引透明度高，易被东道国监管当局所理解，且要确保已经对互联网银行的跨境业务进行了有效监管。母国监管当局应与东道国的监管当局进行密切合作，尤其是当东道国监管当局主动联系母国监管当局的时候，母国监管当局此时应全面配合。由于跨境业务的相关数据往往保存在东道国的第三方机构中，因此母国监管当局应保证互联网银行对这些数据和关键信息拥有控制权，且在自身职责范围内能够无阻力地获得这些数据和信息。

（三）东道国监管当局的角色

作为东道国的监管当局，应该注意以下几点：母国监管当局是否对互联网银行的跨境业务实施监管；针对跨境业务，母国监管当局与东道国监管当局是否存在沟通渠道；在对互联网银行风险管理以及战略决策方面，东道国监管当局应与母国监管当局建立良好的合作沟通渠道，保证互联网银行在东道国开展业务时，遵守东道国的法律和监管指引，并能够妥善解决法律冲突问题。当东道国监管当局发现某家国外银行在东道国不存在实体店面，但其开展的跨国互联网银行业务违反东道国相关法律和监管指引时，东道国监管当局应通知该国外银行所违反的法律和监管指引，要知会母国监管当局，且要告知本国居民该银行所经营的互联网银行业务违反了本国法律和监管指引，并采取措施对其业务进行限制。

四、 加强互联网银行的风险管理体系建设

巴塞尔委员会在2000年10月发布首个全面的互联网银行风险管理指引。巴塞尔委员会对互联网银行业务中的战略风险、声誉风险、操作风险（包括安全和法律风险）、信用风险、市场风险和流动性风险提出了全面的监管指导。巴塞尔委员会从治理结构建设、信息安全管理和声誉风险等方面对互联网银行风险管理提出监管指引。对于互联网银行的风险管理来讲，风险评估、尽职调查、持续的风险管理流程至关重要。具体来讲，互联网银行风险管理应在以下几个方面得到加强。

（一）加强授权和验证体系建设

互联网银行应对消费者信息进行验证。当互联网银行接受消费者交易请求时，该请求应是合法的。互联网银行在与新客户展开交易前，应采取可靠的办法对消费者的身份进行验证。在新客户开立新账户伊始，对客户进行身份验证能够降低欺诈、盗窃账户信息和洗钱的风险。银行可以使用PIN码、验证码、生物技术以及数字技术对消费者个人信息进行验证。对消费者的验证方法应基于各部门对互联网银行的风险评估。互联网银行应保证消费者账户以及关键系统的验证数据库不被入侵，且任何入侵的企图都应被检测到；对验证数据库所存储信息的更改都应被授权；保证互联网银行系统无法在非授权情况下与第三方机构连接。

（二）保证数据准确性，注重消费者私人信息的保护

互联网银行应保证存储数据无法在非授权状态下进行修改，保证各种数据来源（交易记录、第三方数据录入等）的准确性、完整性和可靠性，否则互联网银行将会遭到重大财务损失、声誉风险和法律风险。由于互联网银行是通过公共网络进行服务，因此数据极易被侵蚀和修改。互联网银行的一站式服务使得提早发现数据准确性的问题以及欺诈行为更加困难。

为此互联网银行应该做到：第一，保证交易流程难以被侵入；第二，保证存储、进入和修改数据的通道难以被侵入；第三，在交易记录过程中保证非授权修改难以被绕开；第四，有相应的工具来监测系统录入的数据是否被更改；第五，能够发现任何企图篡改数据的入侵。

互联网银行应采取相关措施保证关键信息不被泄露，保密措施应与信息的敏感度挂钩。需要保密的信息是指在非授权情况下任何人都不能得到的信息，如果这些信息被滥用或者非授权公开，互联网银行将会面临严重的声誉风险和法律风险。互联网技术使得互联网银行暴露在信息科技风险之下，一旦内部数据库被入侵，信息会迅速地通过公共网络传播。服务器提供商也可能是信息泄露的源泉。

为了保证信息安全，互联网银行应做到：第一，所有秘密数据均应有授权才能被得到；第二，信息应被秘密保管，在公共网络、内部网络或者私人网络中进行传递时也要防止被入侵；第三，当需要第三方机构提供外包业务时，互联网银行需要对第三方机构可获取的信息进行严格控制。

（三） 完善公司治理结构建设

互联网银行对公司治理提出了很大的挑战，比如服务渠道不在银行的直接控制之下，互联网使得银行服务可以在不存在实体店面的情况下向非本国居民提供。互联网金融所涉及到的复杂技术方法和管理方式也是传统公司高管所未涉猎的。为了加强风险管理体系建设，公司董事会和高管应注意以下几点：

第一，公司董事会和高管应保证在涉足互联网银行业务之前，对其成本和收益进行细致的分析，要保证公司具有完善的风险管理体系以应对互联网银行业务所带来的风险，并将之融合至已有的风险管理框架当中。公司董事会和高管应针对互联网银行建立清晰的风险偏好说明，良好的报告机制，保证第三方机构所提供的产品服务的安全性和可靠性。

第二，职能分离是内部控制的基本原则，是防止欺诈发生的基本手段。在良好职能分离情况下，只有合谋才能导致欺诈的发生。互联网银行所开展的交易使得传统风险管理模式的职能分离可能并不适用。互联网银行应保证没有任何一个员工或者是外包服务商可以完成一个完整的网上交易流程，应保证验证部门、开发部门以及使用部门相分离，且职能分离无法被绕开。

第三，互联网银行董事会和高层应定期检查安全控制的核心环节。董事会应指定专门人员负责公司安全政策的实施，保证有足够的设施防止系统的非授权入侵，保证其他人员无法进入系统所在地，并要定期对安全措施进行检查，了解行业最新的安全防护方法，对软件进行定期更新。

第四，互联网银行董事会和高层应对第三方外包机构进行监管检查。互联网银行董事会和高层应清晰了解外包业务所带来的风险，因此在签订外包合同之前应对外包公司状况进行调查，所签订的合同应清晰地定义各方权责。互联网银行董事会和高层要保证外包机构提供的产品和服务符合银行的要求，且要对外包产品和服务进行内部和外部审计。同时互联网银行还应制定应急计划，以防外包服务无法满足银行要求。

五、 完善互联网银行发展的对策

随着互联网技术的日益成熟，互联网银行将会成为商业银行盈利的重要来源。为了促进我国互联网银行的发展，我们认为应该注重以下几个方面：

第一，建立国家信用管理体系，促进社会信用服务机构发展，为互联网银行的发展创造良好的制度环境。国家信用管理体系的建立将可以弥补互联网银行业务对客户信用核实的不足，降低管理成本。社会信用服务机构的发展将有助于客户信用报告的查询、信用等级的评估，提高客户个人信用风险管理的能力。

第二，加强金融消费者教育，平衡金融消费者权益和金融机构利益，这对于金融消费者保护和控制互联网银行声誉风险至关重要。

第三，增强商业银行网络安全建设，提升技术设施的投入和自主创新能力，为互联网银行的发展提供安全保障。银行应加强网络安全建设，降低对国外互联网金融设备的依赖程度，拥有自主知识产权，提升制造和设计水平，提升防范安全性风险的能力。

第四，加强互联网银行的风险管理，完善互联网银行的风险管理体系建设，是互联网银行健康发展的核心。互联网银行的发展并没有改变传统银行经营过程中所面临的风险种类，但却增加了各类风险之间的相互影响，风险之间的关联性和复杂程度提高。因此，商业银行在发展网络银行业务的过程中要进一步提高风险识别和风险计量的能力，加强数据库建设，提高数据的真实性和准确性。银行应加强风险偏好管理，不断完善全面风险框架，提升网络银行风险管理能力。

作者简介：刘志洋，男，博士后。

往期精彩

互联网银行及其风险管理

正文

请到「今天看啥」查看全文