互联网金融下的操作风险管理探究_张松

张　松　　　史经伟　　　雷　鼎

内容提要：现代信息技术与金融业的深度融合正在塑造我国金融新业态，商业银行的经营管理模式正在发生根本性变革，在此过程中凸显出的操作风险问题已经成为影响商业银行声誉和金融系统稳定的重要内容。本文主要研究在互联网金融形势下，金融业信息化的操作风险、行业间的关联性风险、消费者相关的风险等操作风险新问题并提出管理建议，以完善商业银行风险管理体系、促进互联网金融的健康发展。

关键词：互联网金融　操作风险管理　金融信息化　关联风险　消费者风险

中图分类号：Ｆ８３２　　文献标识码：Ａ　　　文章编号：１００６－１７７０（２０１３）０９－０３３－０４

当前，以互联网、云计算、大数据等为代表的现代信息技术正在对我国的金融模式产生深刻影响，随着智能手机客户端的日益普及、商业银行芯片卡的全面升级、电子商务的迅猛发展，依托于信息技术的创新金融业务表现出复杂化、关联化、精细化的趋势，同时也为金融业的发展带来了很多新的问题，对银行风险管理提出了许多新的挑战。

本文将从我国金融风险管理标准（《商业银行资本管理办法》）引入操作风险管理的新变化入手，讨论金融业信息化中的操作风险新问题、行业间的关联性风险问题、来自消费者的风险问题等互联网金融下的操作风险管理新问题，并在现有管理举措基础上提出改进建议，为银行业风险管理和监管机构的决策选择提供参考，促进互联网金融的健康发展。

（包括：内部欺诈，外部欺诈，雇佣制度及工作场所，客户、产品及业务，实物资产的损坏，营业中断及系统瘫痪，执行、交割及流程管理）。

我国银行业引入操作风险概念的时间不长，对于操作风险的内涵与系统管理体系仍处于不断摸索阶段。随着银行信息化建设的基本完成、信息化银行的加速发展，金融业务产品越来越多样化和复杂化，再加上金融市场全球化、一体化的趋势，操作风险问题不断增多、带来的损失日益严重，此类风险问题已成为我国商业银行不可回避的话题。

二、互联网金融下的操作风险管理新问题（一）金融业信息化中的操作风险新问题

一、操作风险管理的定义与监管标准

２０１２年６月，中国银监会正式发布新的《商业银行资本管理办法》，２０１３年１月１日正式实施，在信用风险和市场风险的基础上，将操作风险纳入资本监管框架，对银行自身的风险管理提出了更高的要求。该管理办法发布标志着中国版的巴塞尔协议Ⅲ落地，为中国银行业监管树立了新的标杆。

巴塞尔银行监管委员会对操作风险的定义是：由于内部程序、人员和系统的不完备或失效，或由于外部事件造成损失的风险。巴塞尔委员会对操作风险的种类进行了双维度的划分，一方面将操作风险划分为８个业务条线（包括：公司金融，交易销售，零售银行，商业银行，支付结算，代理服务，资产管理和零售经纪），另一方面根据损失事件类型又划分为７个种类

１．　支付方式创新带来的风险问题

在互联网金融快速发展的形势下，做为基础支付手段的移动支付已经成为一种潮流。根据艾瑞咨询《２０１２－２０１３年中国移动支付市场研究报告》的数据显示，２０１２年中国移动支付市场交易规模达１５１１．４亿元，同比增长８９．２％；预计到２０１６年中国移动支付市场交易规模将达到１３５８３．４亿元。

移动支付快速发展过程中暴露的安全性问题已成为阻碍移动支付业务发展的最关键因素，本文从近场支付和远程支付两个方面分析我国主要移动支付模式的安全问题。

（１）近场支付的安全问题分析

近场支付，是移动终端通过非接触式受理终端在本地或接入收单网络完成支付过程的支付方式。近场支付是在线下进行的，不需要通过移动网络，支付的处理在现场进行，依托于ＮＦＣ、

ＮＥＷ　ＦＩＮＡＮＣＥ３３　　　　　ＳＥＰＴＥＭＢＥＲ2013

总第２９５期

９

金　融　监　管

红外、蓝牙等技术实现。近场支付可以用智能手机集成多张银行卡、公交卡、购物卡，或者用金融ＩＣ卡在原有业务基础上增加电子钱包、圈存、圈提、ＩＣ卡脱机交易等业务。这些业务给近场交易带来更多的便利，同时也带来了一定的技术和业务两方面的安全风险隐患。

在技术安全方面，目前对金融ＩＣ卡的攻击技术主要有物理攻击、软件与应用分析攻击和系统攻击等，对ＩＣ芯片卡的攻击比较复杂、技术难度高，尚未出现此类攻击导致的安全事件。但目前国内商业银行发行的芯片卡大都是双介质卡（ＩＣ卡和磁条并存），鉴于磁条卡易复制等安全缺陷，在今后一段时间内（央行规定２０１５年１月１日新发行的银行卡均应为金融ＩＣ卡），来自双介质卡的安全问题依然不可低估。

在业务集成方面，基于金融ＩＣ卡的业务创新中，已集成了多种交易业务，如公交卡、购物卡、交通缴费卡、燃气缴费卡等，一旦交易介质丢失，因业务集成导致的资金被盗将形成连锁效应，直接、间接损失成倍放大。

（２）　远程支付的安全问题分析

远程支付，是指使用移动终端通过无线通信网络，与后台服务器之间进行交互，由服务器端完成交易处理的支付方式。远程支付可以通过网银支付、电话银行支付和手机支付等完成。随着智能移动终端（智能手机、Ｐａｄ等）的快速普及，远程支付已成为客户使用金融服务的重要方式。银行、支付平台、运营商、手机制造商都在积极推动各类远程支付业务的发展。

远程支付的快速发展给消费者带来了巨大便利，但同时也存在诸多安全威胁：传统互联网交易面临的钓鱼、欺诈风险尚未彻底解决，因智能终端系统、网络环境等自身特点伴生的新型威胁也纷至沓来。

在应对传统的网银欺诈方面，面向智能移动客户端的安全软件产品尚不成熟，尤其是对破解并取得系统管理员权限的客户端缺乏有效的防护措施，对第三方软件可能存在的木马程序也不能有效识别。

在应对智能客户端和网络环境安全威胁方面，面临着身份认证局限、客户端环境检测、网络环境安全风险等问题。在身份认证方面，因缺少Ｕ盾接口，手机移动支付普遍采用的是短信认证、预约码验证及预留信息验证等身份认证措施，在此方面客户的安全意识薄弱且存在易受到基于客户信息的社会工程学攻击等安全隐患；在客户端环境检测方面，尚缺少有效手段完成对客户端的硬件和软件的全面检测，同时不侵犯客户个人隐私数据且不影响正常的交易相应速度；在网络环境安全方面，

犯罪分子常利用钓鱼ＷＩＦＩ站点或其他攻击手段，对客户交易信息进行截取或篡改，对客户资金安全造成了巨大威胁。

２．　银行安全防护体系面临的新问题

中国的银行信息化建设一直处于国际领先水平，已经形成由自助银行、电话银行、手机银行和网上银行构建的电子银行立体服务体系。为适应客户需求，抢占电子银行领域的市场份额，我国商业银行大力发展电子银行业务，但在快速发展的同时信息安全体系建设却没有同步完善，在日益翻新的攻击手段和木马病毒威胁下存在重大安全风险。

目前，在世界范围内，一些大型商业银行的电子银行系统已因安全防护体系不足造成了重大损失。

黑客组织通过攻击大型金融公司的网站和服务器，中断正常的金融服务，删除数据信息，甚至盗取客户资料，对金融机构的安全性和稳定性造成了严重影响。另外，目前针对金融机构网上业务网站进行的跨站脚本、ＳＱＬ注入等攻击手段日益增多，客户端木马病毒、假冒网上银行网站的欺诈技术也更具隐蔽性和欺骗性，对网银系统的安全防护提出了很多新的要求。

３．　银行业务运营系统的风险防控新问题

在银行信息化建设基本完成，银行的业务运营系统集中化的形势下，单个操作风险问题，就可能造成重大损失，对电子银行系统的稳定性和风险防控水平提出了更高的要求。近期国内和国际银行界爆发的几次风险管理问题，凸显出银行业操作风险控制方面的新问题。

２０１３年５月１０日，摩根大通（ＪＰＭ）宣布公司一位名为“伦敦鲸鱼”的交易员导致公司亏损２０亿美元。事件的原因在于摩根大通的风险控制部门未对该交易员的交易ＣＤＳ（信用违约掉期）头寸进行及时审查和控制；在此之前，巴林银行就因为一个交易员的违规操作，利用操作监管的局限，谋求不当利益，从而导致这家百年银行破产，这也是促使巴塞尔协议修正的原因之一。在业务系统集中处理中，对交易额度的风险控制是一个信息系统的操作技术问题，由此引发的风险问题会产生巨大影响。

这些安全事件，暴露了在银行风险管理及当局金融监管方面的缺失，对银行信息化形式下的操作风险问题尚缺乏有效的应对手段，在应对关键性系统操作上缺乏有效的事前风险发现和事中应急处理机制。

（二）行业间的关联性风险问题

在互联网金融创新中，金融企业风险管理不仅要考虑自身的风险因素，还要考虑来自相互联系的其他金融企业，甚至是其他行业的风险影响。

３４ＮＥＷ　ＦＩＮＡＮＣＥ１．　金融企业间的关联风险新问题

统一的支付平台架构是支付方式发展的趋势，在向统一支付平台发展中，银行间的互联互通越来越紧密，金融企业之间的关联性增强，相互之间风险的传导性和对平台安全风险的敏感性大大提高。

当前，“超级网银”跨行转账管理功能已经成为黑客恶意利用的目标，“超级网银”存在的安全风险主要包括：缺乏对授权查询和转账操作的双方身份验证；授权操作过于简单，仅需点击授权页面的链接即可在不同电脑上实现授权；部分银行没有在授权界面中提醒用户设置额度，获得授权的账户可以无限制转账；个别银行解除授权的操作比授权更复杂，甚至只允许被授权账户确认解除。　

在金融企业间业务关联性增强、风险感染威胁加大的形势下，加强对各关联交易业务的风险挖掘及对综合性交易平台的安全风险防范是互联网金融形势下风险管理的重要内容。

２．　互联网企业带来的风险问题

在互联网金融形势下，金融业务的开展极大地依赖于互联网技术，来自于互联网企业的风险问题对金融企业产生了巨大影响。在互联网企业中，搜索引擎可以用来进行组织信息，为金融业务创新和开展提供标准化的信息接口。金融业务对搜索引擎的依赖性，决定了其容易受到搜索引擎的风险影响。

据社交媒体信息，２０１２年１２月左右，国内多家商业银行频频爆出客户使用搜索引擎而被引诱登陆假冒银行网站造成资金损失的案件。此类案件的直接原因是国内某搜索引擎进行了排名算法调整，增加了区域性搜索排名功能，搜索引擎会根据用户ＩＰ所在地理位置，进化该地区的搜索排名。搜索引擎推出此创新的目的在于使自然搜索结果更好地满足地域性用户的需求，但同时对部分金融机构产生了安全威胁。

在中部和西部的某些地区，因网络银行使用量和搜索量相对较少，黑客可以比较轻松地运用一些技术手段，利用区域性搜索排名的漏洞，将其制作的假冒银行网站排名上升到搜索排名的前几位。当用户在搜索引擎中搜索相应的网络银行时，就较容易被引诱至黑客制作的假冒网银站点中，因此造成了巨大的安全风险。

３．　电信运营商带来的风险影响

在互联网金融中，电信运营商为金融服务提供了接入渠道和部分认证信息的发送渠道，运营商渠道信息的安全性和部分服务会对金融体系的风险产生影响，对金融业务的风险管理模型需要加入对运营商侧服务的考量。

在移动支付方式中，无卡支付正在成为主流，基于手机渠

道身份认证的使用越来越多，支付安全性越来越多地受到运营商渠道的影响。通过利用运营商渠道漏洞进行的电信欺诈和资金盗窃已经成为电子银行欺诈案件的主要手段之一。另外，电信运营商的接入渠道做为电子银行的基础设施，其运行的稳定性和可靠性极大地影响着电子银行系统的稳健运营，来自外包的运营商网络链路风险管理已成为操作风险管理的重要内容。

（三）消费者相关的风险问题

传统的金融监管主要关注宏观领域的系统性风险，但在互联网金融模式下，消费者行为特征在金融业务创新中占据着重要地位，来自消费者的操作风险和消费者权益保护问题是互联网金融下的风险管理新问题，也是互联网金融监管的重要内容。

１．　消费者的“操作”风险新问题

在基于互联网的金融创新活动中，业务的安全性与便捷性之间的矛盾博弈，需要加入消费者操作行为分析这个重要的要素，甚至可以说，移动支付的安全性在很大程度上取决于客户的行为习惯。

随着３Ｇ、无线技术的快速普及，公用和免费ＷＩＦＩ也成为电子银行欺诈事件的重灾区。黑客分子利用大众对ＷＩＦＩ安全性了解不足的弱点，建立假冒ＷＩＦＩ站点，套取客户的银行账号和密码，进行非法活动。近期频繁发生以假冒银行短信提示密码器升级、诱骗客户登陆假冒银行网站等手段诈骗资金的事件，已造成了重大资金损失，严重影响了互联网金融业务创新的发展、银行声誉和消费者权益。

总之，在此类风险问题中，因银行对创新业务的安全风险宣传不足，客户对新型欺诈手段了解不足、相应的金融业务安全防范意识和业务安全使用习惯尚未完全建立，产生了一系列操作风险问题。

２．　大数据下的消费者信息安全新问题

互联网金融的一个重要特征是建立在大数据基础上的数据分享和数据挖掘。随着社交网络、新媒体、电子商务、电子银行的发展，个人交易数据等敏感信息被广泛搜集，对金融安全和消费者权益保护提出了巨大挑战。

在互联网金融形式下，攻击者可以利用泄露的客户敏感数据信息进行金融欺诈，对金融业务安全保障提出了严峻挑战。对互联网金融下的信息及资金安全管理、对消费者合法权益的保护，是引入金融风险管理的新课题，需要相关监管机构和商业银行进一步完善监管机制和风险防控体系。

三、对操作风险新问题的管理举措及改进建议

综上所述，互联网金融下的风险管理新问题，内涵非常丰

ＮＥＷ　ＦＩＮＡＮＣＥ３５　　　　　ＳＥＰＴＥＭＢＥＲ2013

总第２９５期

９

他金融企业的交流合作，形成长效的合作机制。在管理模式上，可以成立独立的风险管理团队，监控微博、大型社区论坛等大众化、快速传播的新媒体舆论，及时发现风险并进行应急处理，避免损失进一步扩大。

对金融监管机构来说，应加强分业监管下的联合，并与信息产业管理部门、工商部门进行合作，规范信息行业、电子商务等的相关业务创新，促进互联网金融创新健康有序发展。

富，涵盖了金融业及其关联行业、消费者相关的风险问题等，对金融企业产品创新和业务运营的风险防控体系提出了严峻挑战。

本文对此类风险管理问题的现有举措进行了一些分析，并相应提出部分改进建议，以供银行业和金融监管机构参考，促进互联网金融的健康发展。

（一）金融业信息化中的操作风险管理

对金融业信息化中的操作风险新问题，应该从支付方式创新、银行安全防护体系建设、银行管理及业务系统风险防控等方面进行有针对性的风险管理研究，分别采取相应的管理措施，并严格落实监管机构相应的制度规范。

１．在对移动支付引发的风险问题，应该从整个支付链的整体角度来考虑完善安全防护措施，综合考虑每个参与要素的风险影响因素。目前，商业银行已经采取部分措施来解决客户端环境的复杂风险问题，比如在智能移动客户端上嵌入定制化的ＩＥ网银系统，或更进一步，可以与移动终端设备厂商合作，研制开发面向对公客户和高端客户的定制移动终端，开展对资金安全性要求更高的业务品种。

２．在信息安全防护体系方面，商业银行应成立防范网络攻击的专业队伍，紧跟国际信息攻击技术的前沿动向，有针对性地研究防护措施，及时提出预警报告和防护建议，完善金融企业的安全防御体系。

３．在对业务运营系统的风险防控上，建议对涉及潜在风险点的数据信息进行集中，建立专业的团队来挖掘金融业务创新的可能风险，对已暴露的风险问题进行深度分析，从整体系统层面提出整改举措。

在制度规范上，人民银行于２０１２年５月发布的《网上银行系统信息安全通用规范》对业务安全交易机制从身份认证、交易流程、交易监控三个方面制定了相应的业务运作规范。《规范》要求，金融机构应根据自身业务特点，建立完善的网上银行异常交易监控体系，识别并及时处理异常交易；应根据交易的风险特征建立风险交易模型，以此为基础，建立风险交易监控平台；应建立异常交易识别规则和风险处置机制，对监控到的风险交易进行及时分析与处置等内容。目前，商业银行对此规范制度的落实还处于初步阶段，对网上银行交易风险交易监控系统的建设尚未完全成熟。

（三）面向消费者的风险管理建议

对消费者引入的风险问题，属于金融监管的微观层面，应该以加强对消费者权益保护为主要方向的监管模式、法律体系建设。

在消费者“操作”风险方面，应该首先提高消费者的安全意识。金融机构、电信运营商、公安机关应该从不同角度加强对消费者安全意识的培养教育：金融机构应完善对业务的风险和常见欺诈行为的警示、完善事中和事后的风险防控机制；电信运营商应该完善通信号码买卖管理规范、对通信软件的安全管理规范；公安机关应及时将具有普遍意义的资金欺诈行为通过电视报纸等媒体通告教育消费者。

在消费者信息防护及权益保护方面，电子商务及互联网企业、银行业、监管机构应该在各自领域加强对消费者权益的保护措施和制度规范建设：电子商务及互联网企业应该加大对客户信息防泄漏的防护体系建设；银行业应加强对电子银行业务风险的防控，在金融创新时把握好便捷性和安全性的平衡，创新出针对不同风险承受群体的金融产品；监管部门应加强在金融创新方面的消费者权益保护立法工作，尽快完善消费者损失索赔的法律规范，以切实减少客户的实际损失。

参考文献：

１．王兆星，巴塞尔Ⅲ落地　银行业监管迎来新标杆［Ｎ］，２１世纪经济报道，２０１２年６月１５日

２．阎庆民，中国商业银行操作风险研究［Ｍ］，中国经济出版社，２０１２年４月：３－４

３．杜金，银行业风险管理模式正发生转变［Ｎ］，金融时报，２０１３年１月２５日

４．中国人民银行，网上银行系统信息安全通用规范［Ｓ］，２０１２年５月：２９－３４

作者简介：

张　松、史经伟、雷　鼎　中国工商银行数据中心　　

（二）行业间的关联性风险管理

在管理行业间的关联性风险方面，银行业和金融监管机构应该在现有的风险管理模式上采取一些新的措施。

对银行业来说，应该加强与互联网企业、电信运营商及其

３６ＮＥＷ　ＦＩＮＡＮＣＥ