電子銀行風險管理及其行業監管梳理

謝宗曉 陳琳

摘要：梳理了電子銀行安全相關的監管制度，包括巴塞爾銀行監管委員會發布的報告、中國人民銀行和中國銀行業監督管理委員會發布的監管文件，以及新加坡金融管理局和香港金融管理局的相關監管制度。

關鍵詞： 電子銀行 金融監管 網絡銀行/網上銀行

Electronic Banking Risk Management and Supervision

Xie Zongxiao （ China Financial Certification Authority ）

Chen Lin （ Shandong University of Science and Technology ）

Abstract： This paper reviews the regulatory system of electronic banking security， including the report issued by the Basel Committee on Banking Supervision， the regulatory documents issued by the PBC and the CBEC， and the relevant regulatory systems of the MAS and the HKMA.

Key words： electronic banking/e-banking， financial supervision， internet banking

1 概念

電子銀行（electronic banking or e-banking）是一個廣義的概念，在《電子銀行業務管理辦法》（中國銀行業監督管理委員會令〔2006〕第5號）中將其定義為商業銀行等銀行業金融機構利用面向社會公眾開放的通訊通道或開放型公眾網絡，以及銀行為特定自助服務設施或客戶建立的專用網絡，向客戶提供的銀行服務。根據這個定義，電子銀行及其風險主要如圖1所示。

圖1 電子銀行的業務分類

如圖1所示，一般認為，網上銀行/網絡銀行（Internet Banking）是電子銀行的一種，這個包含關系在《香港貨幣銀行用語匯編》[1]中也有清晰的 定義。

2 巴塞爾銀行監管委員會相關報告

對電子銀行的監管最早始于國際清算銀行（Bank for International Settlements）巴塞爾銀行監管委員會（Basel Committee on Banking Supervision）在1998年3月發布的《電子銀行與電子貨幣風險管理》（Risk Management for Electronic Banking and Electronic Money Activities），但是在該報告中，電子銀行的范圍主要指通過電子渠道提供零售與小額銀行產品和服務，包括商業POS機終端，ATM自動柜員機，電話自動應答服務，個人計算機，智能卡等。在腳注中，特別指出電子銀行業務不包括大額電子支付以及其他電子方式傳送的批發銀行業務。

1999年11月，巴塞爾銀行監管委員會建立電子銀行組（Electronic Banking Group，EBG），并在2000年10月發布了《電子銀行組倡議及白皮書》（Electronic Banking Group Initiatives and White Papers），在該白皮書中，加入了新的媒介，例如Internet，但是電子銀行的定義與范圍并沒有大的 變化。

2001年5月，EBG 發布了《電子銀行風險管理原則》（Risk Management Principles for Electronic Banking），并且在2003年7月進行了改版，這個報告對電子銀行的定義特別強調了電子銀行包括大額電子支付以及其他電子方式傳送的批發銀行業務。《電子銀行風險管理原則》包含了14項原則，其中特別指出，這不是“最佳實踐”，而是“指南”。

巴塞爾銀行監管委員會發布的相關報告順序，如圖2所示。

3 國內的電子銀行監管文件梳理

國內對于電子銀行以及網上銀行的監管也比較早，一般認為，最早發布的監管文件是《網上銀行業務管理暫行辦法》（中國人民銀行令〔2001〕第6號）（以下簡稱《暫行辦法》），其中第三條中指出了“本辦法所稱網上銀行業務，是指銀行通過因特網提供的金融服務。”在中國人民銀行公告 〔2007〕 第4號，宣布該文廢止。更有指導意義的是中國人民銀行發布的 JR/T 0068—2012《網上銀行系統信息安全通用規范》[2]。

中國人民銀行發布的主要監管文件的梳理，如圖3所示。

中國銀行業監督管理委員會在2006年公布了《電子銀行業務管理辦法》（中國銀行業監督管理委員會令〔2006〕第5號）和《電子銀行安全評估指引》（銀監發〔2006〕9號），這兩個監管文件同時為了解決《暫行辦法》中存在的一些問題，具體引述如下[3]：

《暫行辦法》僅對網上銀行業務（Online Banking）1）進行規范，一方面導致對同一電子銀行平臺上相同風險的監管，因客戶所使用的設備不同而產生差異，監管網上銀行有依據，而監管其他類似銀行業務“無法可依”，不利于真正控制電子銀行的風險；另一方面《暫行辦法》也與國際上以網絡銀行（Internet Banking）或電子銀行（Electronic Banking， E-Banking）作為法律規范對象的通常做法差異較大，不利于跨境電子銀行業務的監管。

中國銀行業監督管理委員會的主要監管文件梳理，如圖4所示。

4 其他可以參考的監管制度

國外對電子銀行的監管制度，我們主要參考新加坡金融管理局（Monetary Authority of Singapore，MAS）和香港金融管理局（Hong Kong Monetary Authority，HKMA）。

新加坡金融管理局的監管制度有一個明顯的特點，就是在風險管理的框架下考慮技術安全問題。MAS在2001年3月公布了《網絡銀行技術風險管理》（Internet Banking Technology Risk Management），并在之后經歷了數次改版，無論哪個版本，都提供了風險管理框架。在2013年7月發布的《技術風險管理指南》（Technology Risk Management Guidelines），依然保持了這個風格，其中，第4章，將風險管理的過程分為：風險識別、風險評估、風險應對、風險監視與報告。

值得指出的是，MAS在2008年版《網絡銀行技術風險管理》的定義明確指出，“在合適的場合，網絡銀行可以認為是在線（網上）金融服務的同義詞。”這個論斷也佐證了圖1的分類。

新加坡金融管理局的主要監管文件梳理，如圖5所示：

香港金融管理局在2000年7月發布了《電子銀行服務安全風險管理》（Management of Security Risks in Electronic Banking Services），在本文中討論的諸多概念也參考了《香港貨幣銀行用語匯編》。

5 小結

普遍認為，信息安全的主要目標是控制風險，因此，對于電子銀行技術風險而言，在整體的風險管理框架下考慮更為合理。例如，現有的風險管理框架一般要包括：風險識別、風險評價、風險評估和風險應對等多個過程[4-6]，組織可以由此結合巴塞爾銀行監管委員會發布的《電子銀行風險管理原則》，建立適合組織特點的電子銀行風險管理框架，然后在此基礎上，再考慮具體的技術細節。

參考文獻

http：//www.hkma.gov.hk/gdbook/gb_chi/main/index_c.shtml.

李東榮. 《網上銀行系統信息安全通用規范》解讀[M]. 北京：中國金融出版社，2017.

中國銀監會就電子銀行安全評估指引答問（實錄）[EB/OL]，http：//www.huaxia.com/xw/dl/2006/00417661.html.

謝宗曉. 信息安全風險管理相關詞匯定義與解析[J]. 中國標準導報，2016（04）：26-29.

謝宗曉，劉立科. 信息安全風險評估/管理相關國家標準介紹[J]. 中國標準導報，2016（05）：30-33.

趙戰生，謝宗曉. 信息安全風險評估（第2版）[M]. 北京：中國標準出版社，2016.