电子银行风险管理及其行业监管梳理
摘要:梳理了电子银行安全相关的监管制度,包括巴塞尔银行监管委员会发布的报告、中国人民银行和中国银行业监督管理委员会发布的监管文件,以及新加坡金融管理局和香港金融管理局的相关监管制度。
关键词:电子银行金融监管网络银行/网上银行
1概念
电子银行(electronicbankingore-banking)是一个广义的概念,在《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)中将其定义为商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。根据这个定义,电子银行及其风险主要如图1所示。
如图1所示,一般认为,网上银行/网络银行(InternetBanking)是电子银行的一种,这个包含关系在《香港货币银行用语汇编》[1]中也有清晰的定义。
2巴塞尔银行监管委员会相关报告
对电子银行的监管最早始于国际清算银行(BankforInternationalSettlements)巴塞尔银行监管委员会(BaselCommitteeonBankingSupervision)在1998年3月发布的《电子银行与电子货币风险管理》(RiskManagementforElectronicBankingandElectronicMoneyActivities),但是在该报告中,电子银行的范围主要指通过电子渠道提供零售与小额银行产品和服务,包括商业POS机终端,ATM自动柜员机,电话自动应答服务,个人计算机,智能卡等。在脚注中,特别指出电子银行业务不包括大额电子支付以及其他电子方式传送的批发银行业务。
1999年11月,巴塞尔银行监管委员会建立电子银行组(ElectronicBankingGroup,EBG),并在2000年10月发布了《电子银行组倡议及白皮书》(ElectronicBankingGroupInitiativesandWhitePapers),在该白皮书中,加入了新的媒介,例如Internet,但是电子银行的定义与范围并没有大的变化。
2001年5月,EBG发布了《电子银行风险管理原则》(RiskManagementPrinciplesforElectronicBanking),并且在2003年7月进行了改版,这个报告对电子银行的定义特别强调了电子银行包括大额电子支付以及其他电子方式传送的批发银行业务。《电子银行风险管理原则》包含了14项原则,其中特别指出,这不是“最佳实践”,而是“指南”。
巴塞尔银行监管委员会发布的相关报告顺序,如图2所示。
3国内的电子银行监管文件梳理
国内对于电子银行以及网上银行的监管也比较早,一般认为,最早发布的监管文件是《网上银行业务管理暂行办法》(中国人民银行令〔2001〕第6号)(以下简称《暂行办法》),其中第三条中指出了“本办法所称网上银行业务,是指银行通过因特网提供的金融服务。”在中国人民银行公告〔2007〕第4号,宣布该文废止。更有指导意义的是中国人民银行发布的JR/T0068—2012《网上银行系统信息安全通用规范》[2]。
中国人民银行发布的主要监管文件的梳理,如图3所示。
中国银行业监督管理委员会在2006年公布了《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)和《电子银行安全评估指引》(银监发〔2006〕9号),这两个监管文件同时为了解决《暂行办法》中存在的一些问题,具体引述如下[3]:
《暂行办法》仅对网上银行业务(OnlineBanking)1)进行规范,一方面导致对同一电子银行平台上相同风险的监管,因客户所使用的设备不同而产生差异,监管网上银行有依据,而监管其他类似银行业务“无法可依”,不利于真正控制电子银行的风险;另一方面《暂行办法》也与国际上以网络银行(InternetBanking)或电子银行(ElectronicBanking,E-Banking)作为法律规范对象的通常做法差异较大,不利于跨境电子银行业务的监管。
中国银行业监督管理委员会的主要监管文件梳理,如图4所示。
4其他可以参考的监管制度
境外对电子银行的监管制度,我们主要参考新加坡金融管理局(MonetaryAuthorityofSingapore,MAS)和香港金融管理局(HongKongMonetaryAuthority,HKMA)。
新加坡金融管理局的监管制度有一个明显的特点,就是在风险管理的框架下考虑技术安全问题。MAS在2001年3月公布了《网络银行技术风险管理》(InternetBankingTechnologyRiskManagement),并在之后经历了数次改版,无论哪个版本,都提供了风险管理框架。在2013年7月发布的《技术风险管理指南》(TechnologyRiskManagementGuidelines),依然保持了这个风格,其中,第4章,将风险管理的过程分为:风险识别、风险评估、风险应对、风险监视与报告。
值得指出的是,MAS在2008年版《网络银行技术风险管理》的定义明确指出,“在合适的场合,网络银行可以认为是在线(网上)金融服务的同义词。”这个论断也佐证了图1的分类。
新加坡金融管理局的主要监管文件梳理,如图5所示:
香港金融管理局在2000年7月发布了《电子银行服务安全风险管理》(ManagementofSecurityRisksinElectronicBankingServices),在本文中讨论的诸多概念也参考了《香港货币银行用语汇编》。
5小结
普遍认为,信息安全的主要目标是控制风险,因此,对于电子银行技术风险而言,在整体的风险管理框架下考虑更为合理。例如,现有的风险管理框架一般要包括:风险识别、风险评价、风险评估和风险应对等多个过程[4-6],组织可以由此结合巴塞尔银行监管委员会发布的《电子银行风险管理原则》,建立适合组织特点的电子银行风险管理框架,然后在此基础上,再考虑具体的技术细节。
参考文献
[1]http://www.hkma.gov.hk/gdbook/gb_chi/main/index_c.shtml.
[2]李东荣.《网上银行系统信息安全通用规范》解读[M].北京:中国金融出版社,2017.
[3]中国银监会就电子银行安全评估指引答问(实录)[EB/OL],http://www.huaxia.com/xw/dl/2006/00417661.html.
[4]谢宗晓.信息安全风险管理相关词汇定义与解析[J].中国标准导报,2016(04):26-29.
[5]谢宗晓,刘立科.信息安全风险评估/管理相关国家标准介绍[J].中国标准导报,2016(05):30-33.
[6]赵战生,谢宗晓.信息安全风险评估(第2版)[M].北京:中国标准出版社,2016.
上一篇:企业金融投资风险如何管理
