電子支付
出自 MBA智库百科(https://wiki.mbalib.com/)
電子支付(Electronic Payment)
目錄 |
電子支付是指電子交易的當事人,包括消費者、廠商和金融機構,使用安全電子支付手段,通過網路進行的貨幣支付或資金流轉。電子商務支付系統是電子商務系統的重要組成部分。
電子支付方式的出現要早於互聯網,電子支付的5種形式分別代表著電子支付的不同發展階段:
電子支付是最近幾年才被人們普遍接受的。在電子商務比較發達的美國與加拿大等國,各大企業如IBM 、惠普、微軟、SUN等紛紛推出各自的電子商務產品和解決方案。隨著電子商務的發展,各種法規也隨之健全,許多西方國家都已經通過數字簽名和身份認證法律。1996年下半年,美國財政部頒佈有關《全球電子商務選擇稅收政策》白皮書,聯合國國際貿易法委員會(UNCITRAL)已經完成模型電子商務法的制定工作,為電子交易制訂出統一通用的規則。另外,兩大國際信用卡組織VISA和 MasterCard合作制訂的安全電子交易協議(Secure Electronic Transaction,SET)定義了一種電子支付過程標準,其目的就是保護萬維網上支付卡交易的每一個環節。
電子支付的業務類型按電子支付指令發起方式分為網上支付、電話支付、移動支付、銷售點終端交易、自動櫃員機交易和其他電子支付。
1、網上支付
網上支付是電子支付的一種形式。廣義地講,網上支付是以互聯網為基礎,利用銀行所支持的某種數字金融工具,發生在購買者和銷售者之間的金融交換,而實現從買者到金融機構、商家之間的線上貨幣支付、現金流轉、資金清算、查詢統計等過程,由此電子商務服務和其它服務提供金融支持。
2、電話支付
電話支付是電子支付的一種線下實現形式,是指消費者使用電話(固定電話、手機、小靈通)或其他類似電話的終端設備,通過銀行系統就能從個人銀行賬戶里直接完成付款的方式。
3、移動支付
移動支付是使用移動設備通過無線方式完成支付行為的一種新型的支付方式。移動支付所使用的移動終端可以是手機、PDA、移動PC等。
隨著電腦技術的發展,電子支付的工具越來越多。這些支付工具可以分為三大類:
這些方式各有自己的特點和運作模式,適用於不同的交易過程。以下介紹下電子現金、電子錢包、電子支票和智能卡。
1、電子現金(E-Cash)
電子現金是(E-Cash)一種以數據形式流通的貨幣。它把現金數值轉換成為一系列的加密序列數,通過這些序列數來表示現實中各種金額的市值,用戶在開展電子現金業務的銀行開設帳戶併在帳戶記憶體錢後,就可以在接受電子現金的商店購物了。
2、電子錢包(Electronic Wallet)
電子錢包是電子商務活動中網上購物顧客常用的一種支付工具,是在小額購物或購買小商品時常用的新式錢包。
電子錢包一直是全世界各國開展電子商務活動中的熱門話題,也是實現全球電子化交易和網際網路交易的一種重要工具,全球已有很多國家正在建立電子錢包系統以便取代現金交易的模式,目前,我國也正在開發和研製電子錢包服務系統。使用電子錢包購物,通常需要在電子錢包服務系統中進行。電子商務活動中的電子錢包的軟體通常都是免費提供的,可以直接使用與自己銀行帳號相連接的電子商務系統伺服器上的電子錢包軟體,也可以從網際網路上直接調出來使用,採用各種保密方式利用網際網路上的電子錢包軟體。目前世界上有VISA cash和Mondex兩大電子錢包服務系統,其他電子錢包服務系統還有HP公司的電子支付應用軟體(VWALLET)、微軟公司的電子錢包MS Wallet、IBM公司的Commerce POINT Wallet軟體、Master Card cash、Euro Pay的Clip和比利時的Proton等。
3、電子支票(Electronic Check,E-check或E-cheque)
電子支票是一種借鑒紙張支票轉移支付的優點,利用數字傳遞將錢款從一個帳戶轉移到另一個帳戶的電子付款形式。這種電子支票的支付是在與商戶及銀行相連的網路上以密碼方式傳遞的,多數使用公用關鍵字加密簽名或個人身份證號碼(PIN)代替手寫簽名。
用電子支票支付,事務處理費用較低,而且銀行也能為參與電子商務的商戶提供標準化的資金信息,故而可能是最有效率的支付手段。
4、智能卡(Smart Card or IC)
智能卡是在法國問世的。20世紀70年代中期,法國Roland Moreno公司採取在一張信用卡大小的塑料卡片上安裝嵌入式存儲器晶元的方法,率先開發成功IC存儲卡。經過20多年的發展,真正意義上的智能卡,即在塑料卡上安裝嵌入式微型控制器晶元的IC卡,已由摩托羅拉和Bull HN公司於1997年研製成功。
在美國,人們更多地使用ATM卡。智能卡與ATM卡的區別在於兩者分別是通過嵌入式晶元和磁條來儲存信息。但由於智能卡存儲信息量較大,存儲信息的範圍較廣,安全性也較好,因而逐漸引起人們的重視。預計到2001年美國智能卡使用占全球的比例將從現在的2%增加到20%。美國紐約Jupiter通信公司最近公佈的一份報告稱,2000年,美國聯網商業的營業額預計將達73億美元,其中幾乎有一半的金額將用智能卡、電子現金和電子支票來支付。
近十五年來,中國國家金卡工程取得了令人矚目的成績,目前IC卡已在金融、電信、社會保障、稅務、公安、交通、建設及公用事業、石油石化、組織機構代碼管理等許多領域得到廣泛應用,像第二代居民身份證(卡)、社會保障IC卡、城市交通IC卡、電話IC卡、三表(水電氣) IC卡、消費IC卡等行業IC卡應用已經滲透到百姓生活的方方面面,並取得了較好的社會效益和經濟效益,這對提高各行業及地方政府的現代化管理水平,改變人民的生活模式和提高生活質量,推動國民經濟和社會信息化進程發揮了重要作用。
2006年的中國IC卡市場總體規模呈現出快速增長的態勢,全年企業卡片銷量超過16億張,為歷年之最,同時較上年度的10.8億張增長了55%,預計全球IC卡同期出貨量將在30億張左右,我國就占據了其中的一半還多,無可爭議地成為全球IC卡的製造中心。
與傳統的支付方式相比,電子支付具有以下特征:
1、電子支付是採用先進的技術通過數字流轉來完成信息傳輸的,其各種支付方式都是通過數字化的方式進行款項支付的;而傳統的支付方式則是通過現金的流轉、票據的轉讓及銀行的匯兌等物理實體來完成款項支付的。
2、電子支付的工作環境基於一個開放的系統平臺(即互聯網);而傳統支付則是在較為封閉的系統中運作。
3、電子支付使用的是最先進的通信手段,如Internet、Extranet,而傳統支付使用的則是傳統的通信媒介;電子支付對軟、硬體設施的要求很高,一般要求有聯網的微機、相關的軟體及其他一些配套設施,而傳統支付則沒有這麼高的要求。
4、電子支付具有方便、快捷、高效、經濟的優勢。用戶只要擁有一臺上網的PC機,便可足不出戶,在很短的時間內完成整個支付過程。支付費用僅相當於傳統支付的幾十分之一,甚至幾百分之一。
在電子商務中,支付過程是整個商貿活動中非常重要的一個環節,同時也是電子商務中準確性、安全性要求最高的業務過程。電子支付的資金流是一種業務過程,而非一種技術。但是在進行電子支付活動的過程中,會涉及到很多技術問題。
線上電子支付不等同於電子支付。因為在電子商務出現之前,以信用卡為代表的電子支付手段早已實現,信用卡可在商場、飯店等許多場所使用,可採用刷卡記賬、 POS終端結賬、ATM機提取現金等方式進行支付。而線上電子支付,又可稱為網上支付、電子貨幣支付,從廣義上來說,是指交易雙方在網上發生的一種資金交換;它是以金融電子化網路為基礎,以商用電子化機具和各類交易卡為媒介,以電子電腦技術和通信技術為手段,以電子數據(二進位數據)形式存儲在銀行的電腦系統中,並通過電腦網路系統以電子信息傳遞形式實現的流通和支付。電子支付系統是實現線上支付的基礎,而線上支付則是電子支付系統發展的更高形式,它使得電子支付可隨時隨地通過Internet進行直接的轉賬、結算,形成電子商務環境。
線上電子支付系統多種多樣,主要有網上銀行卡支付系統、電子現金支付系統、電子錢包支付系統、電子支票支付系統等幾種形式。
- 1、電子支付的基本風險
支付電子化的同時,既給消費者帶來便利,也為銀行業帶來新的機遇,同時也對相關主體提出了挑戰。電子支付面臨多種風險,主要包括經濟波動及電子支付本身的技術風險,也包括交易風險、信用風險等。金融系統中傳統意義上的風險在電子支付中表現得尤為突出。
(1)經濟波動的風險
電子支付系統面臨著與傳統金融活動同樣的經濟周期性波動的風險。同時由於它具有信息化、國際化、網路化、無形化的特點,電子支付所面臨的風險擴散更快、危害性更大。一旦金融機構出現風險,很容易通過網路迅速在整個金融體系中引起連鎖反應,引發全局性、系統性的金融風險,從而導致經濟秩序的混亂,甚至引發嚴重的經濟危機。
(2)電子支付系統的風險
首先是軟硬體系統風險。從整體看,電子支付的業務操作和大量的風險控制工作均由電腦軟體系統完成。全球電子信息系統的技術和管理中的缺陷或問題成為電子支付運行的最為重要的系統風險。在與客戶的信息傳輸中,如果該系統與客戶終端的軟體互不兼容或出現故障,就存在傳輸中斷或速度降低的可能。此外,系統停機、磁碟列陣破壞等不確定性因素,也會形成系統風險。根據對發達國家不同行業的調查,電腦系統停機等因素對不同行業造成的損失各不相同。其中,對金融業的影響最大。發達國家零售和金融業的經營服務已在相當程度上依賴於信息系統的運行。信息系統的平衡、可靠和安全運行成為電子支付各系統安全的重要保障。
其次是外部支持風險。由於網路技術的高度知識化和專業性,又出於對降低運營成本的考慮,金融機構往往要依賴外部市場的服務支持來解決內部的技術或管理難題,如聘請金融機構之外的專家來支持或直接操作各種網上業務活動。這種做法適應了電子支付發展的要求,但也使自身暴露在可能出現的操作風險之中,外部的技術支持者可能並不具備滿足金融機構要求的足夠能力,也可能因為自身的財務困難而終止提供服務,可能對金融機構造成威脅。在所有的系統風險中,最具有技術性的系統風險是電子支付信息技術選擇的失誤。當各種網上業務的解決方案層出不窮,不同的信息技術公司大力推舉各自的方案,系統兼容性可能出現問題的情況下,選擇錯誤將不利於系統與網路的有效連接,還會造成巨大的技術機會損失,甚至蒙受巨大的商業機會損失。
(3)交易風險
電子支付主要是服務於電子商務的需要,而電子商務在網路上的交易由於交易制度設計的缺陷、技術路線設計的缺陷、技術安全缺陷等因素,可能導致交易中的風險。這種風險是電子商務活動及其相關電子支付獨有的風險,它不僅可能局限於交易各方、支付的各方,而且可能導致整個支付系統的系統性風險。
- 2、電子支付的操作風險
銀行的業務風險由來已久,巴塞爾銀行監管委員會就曾經組織各國監管機構較系統地歸納出幾種常見風險,如操作風險、聲譽風險、法律風險等等。在傳統業務中,這些風險表現形式有所不同。在操作風險中,可能是信貸員沒有對借款人進行認真細緻的資信調查,或者是沒有要求借款人提供合格的擔保,沒有認真審查就盲目提供擔保,等等。這些風險可以通過現有的一系列管理措施加以防範,比如雙人臨櫃,比如制定和嚴格執行一整套貸款操作的規程,等等。傳統業務中的風險大多跟技術沒有直接的聯繫,某個環節存在的風險雖然對其他環節有影響,但影響限定在一定範圍內。
電子支付加大了風險,也使得其影響範圍也擴大了,某個環節存在的風險對整個機構,甚至金融系統都可能存在潛在的影響。互聯網和其他信息技術領域的進步所帶來的潛在損失已經遠遠超過了受害的個體所能承受的範圍,已經影響到經濟安全。這種情況與技術有著直接的關係,其中表現最為突出的是操作風險。電子貨幣的許多風險都可以歸納為操作風險。一些從事電子貨幣業務的犯罪分子偽造電子貨幣,給銀行帶來直接的經濟損失。這些罪犯不僅來自銀行外部,有時還來自銀行內部,對銀行造成的威脅更大。
(1)電子扒手
一些被稱為“電子扒手”的銀行偷竊者專門竊取別人網路地址,這類竊案近年呈迅速上升趨勢。一些竊賊或因商業利益,或因對所在銀行或企業不滿,甚至因好奇盜取銀行和企業密碼,瀏覽企業核心機密,甚至將盜取的秘密賣給競爭對手。美國的銀行每年在網路上被偷竊的資金達6000萬美元,而每年在網路上企圖電子盜竊作案的總數高達5~100億美元之間,持槍搶劫銀行的平均作案值是7500美元,而“電子扒手”平均作案值是25萬美元。“電子扒手”多數為解讀密碼的高手,作案手段隱蔽,不易被抓獲。
(2)網上詐騙
網上詐騙包括市場操縱、知情人交易、無照經紀人、投資顧問活動、欺騙性或不正當銷售活動、誤導進行高科技投資等互聯網詐騙。據北美證券管理者協會調查,網上詐騙每年估計使投資者損失100億美元。
(3)網上黑客攻擊
即所謂非法入侵電腦系統者,網上黑客攻擊對國家金融安全的潛在風險極大。目前,黑客行動幾乎涉及了所有的操作系統,包括UNIX與windows NT。因為許多網路系統都有著各種各樣的安全漏洞,其中某些是操作系統本身的,有些是管理員配置錯誤引起的。黑客利用網上的任何漏洞和缺陷修改網頁,非法進人主機,進入銀行盜取和轉移資金、竊取信息、發送假冒的電子郵件等。
(4)電腦病毒破壞
電腦網路病毒破壞性極強。以NOVELL網為例,一旦文件伺服器的硬碟被病毒感染,就可能造成NetWare分區中的某些區域上內容的損壞,使網路伺服器無法啟動,導致整個網路癱瘓,這對電子支付系統來說無疑是滅頂之災。電腦網路病毒普遍具有較強的再生功能,一接觸就可通過網路進行擴散與傳染。一旦某個程式被感染了,很快整台機器、整個網路也會被感染的。據有關資料介紹,在網路上病毒傳播的速度是單機的幾十倍,這對於電子支付的威脅同樣也是致命的。鑒於電腦網路病毒破壞性極強、再生機制十分發達、擴散面非常廣的特點,如何解決電腦網路病毒是當前電子支付監管要解決的首要問題之一。
(5)信息污染
正如在工業革命時期存在工業污染,信息時代也有信息污染和信息爆炸問題。大量與問題無關的或失真的信息不是資源而是災難。美國線上公司每天處理的3000萬份電子函件中,最多時有三分之一是網上垃圾,占據了很多寶貴的網路資源。加重了互聯網的負擔,影響了電子支付發送和接收網路信息的效率,更嚴重的是信息堵塞及其他附帶風險也隨之增加。
此外,由於技術更新很快,內部雇員和管理人員可能不熟悉電子貨幣的新技術,不能很有效的使用電子支付業務系統,有時,客戶操作不當也會給銀行帶來風險。如客戶沒有遵守操作規程,在不安全的環境下使用一些個人的信息,罪犯可以由此獲得客戶的信息,從而使用這些信息從事有關的犯罪活動,銀行可能就要對所造成的損失承擔賠償責任。此外,有的客戶雖然已經完成了某一交易,但事後反悔否認,而銀行的技術措施可能無法證明客戶已經完成過該交易,由此造成的損失也可能需由銀行承擔。
這些風險都可歸納為操作風險,跟技術有著直接或間接的關係。所以,巴塞爾委員會認為,操作風險來源於“系統在可靠性和完整性方面的重大缺陷帶來的潛在損失”,電子支付機構操作風險包括電子貨幣犯罪帶來的安全風險,內部雇員欺詐帶來的風險,系統設計、實施和維護帶來的風險以及客戶操作不當帶來的風險。其它組織如歐洲中央銀行、美國通貨管制局、聯邦存款委員會等對電子支付機構的操作風險也做出類似或相近的描述。
- 3、電子支付的法律風險
電子支付業務常涉及銀行法、證券法、消費者權益保護法、財務披露制度、隱私保護法、知識產權法和貨幣銀行制度等。目前,全球對於電子支付立法相對滯後。現行許多法律都是適用於傳統金融業務形式的。在電子支付業務中出現了許多新的問題。如發行電子貨幣的主體資格、電子貨幣發行量的控制、電子支付業務資格的確定、電子支付活動的監管、客戶應負的義務與銀行應承擔的責任,等等,對這些問題各國都還缺乏相應的法律法規加以規範。以網上貸款為例,就連網上貸款業務發展較早的臺灣金融監管部門也沒有相關法令規範這一新興業務,其監管機構目前能做的只是對銀行提交的契約範本進行核准。缺乏法律規範調整的後果表現在兩個方面,要麼司法者或仲裁者必須用傳統的法律規則和法律工具來分析網上業務產生的爭議;要麼法官或仲裁者不得不放棄受理這類糾紛。由於網路糾紛的特殊性,用傳統法律規則來解決是一個非常吃力的問題;但是,消極地拒絕受理有關爭議同樣無助於問題的解決。法律規定的欠缺使得金融機構面臨巨大的法律風險。
目前在電子支付業務的許多方面,沒有任何法律法規可用於規範業務及各方關係,而在電子支付業務的有些方面,雖然已有一些傳統的法律法規,但其是否應該適用,適用程度如何,當事人都不太清楚,有的時候,監管機構也未必明白。在這種情況下,當事人一方面可能不願意從事這樣的活動,一方面也可能在出現爭執以後,誰也說服不了誰,解決不了問題。比如,在處理銀行與客戶的關係方面,現有的法律總是更傾向於保護客戶,為銀行規定了更嚴格的義務,美國1978年《電子資金轉移法》規定銀行在向客戶提供ATM卡等借記卡服務的時候,必須向客戶披露一系列信息,否則,銀行要面臨潛在的風險。而電子貨幣,特別是智能卡出現以後,智能卡是否需要披露同樣的信息,即便是監管機構也無法立刻做出決定。因為兩種卡的性能完全不一樣,要求借記卡業務披露的信息可能對於智能卡來講沒有任何意義,而且,有的時候,要求過於嚴格,造成發卡銀行成本過大,又會阻礙業務的發展。在這種情況下,開展此項業務的銀行就會處於兩難的境地,以後一旦出現爭議或訴訟,誰也無法預料會出現什麼樣的後果。
類似的情況在電子支付的其他許多新業務中也同樣存在。如有的銀行在互聯網上建立自己的主頁,並作了許多鏈接點(Link),把自己的網址鏈接到其他機構的網址上。如果黑客利用這些鏈接點來欺詐銀行的客戶,客戶有可能會提起訴訟,要求銀行賠償損失。又比如,一些銀行可能會承擔認證機構的職能,並以此作為自己的一項新的業務,通過提供認證服務收取相應的服務費用。那麼,作為認證機構的銀行和申請認證的機構或個人以及接受認證證書的機構之間就可能存在潛在的爭議,一旦出現爭執,銀行的權利義務如何,尤其是在沒有相關立法調整數字簽名和認證機構的國家,銀行面臨的風險更大。
此外,電子支付還面臨洗錢、客戶隱私權、網路交易等其他方面的法律風險,這就要求銀行在從事新的電子支付業務時必須對其面臨的法律風險認真分析與研究。
- 4、電子支付的其它風險
除了基本風險、操作風險和法律風險以外,電子支付還面臨著市場風險、信用風險、流動性風險、聲譽風險和結算風險等。
(1)市場風險
電子支付機構的各個資產項目因市場價格波動而蒙受損失的可能性,外匯匯率變動帶來的匯率風險即是市場風險的一種。此外,國際市場主要商品價格的變動及主要國際結算貨幣銀行國家的經濟狀況等因素也會間接引發市場波動,構成電子支付的市場風險。
(2)信用風險
交易方在到期日不完全履行其義務的風險。電子支付拓展金融服務業務的方式與傳統金融不同,其虛擬化服務業務形成了突破地理國界限制的無邊界金融服務特征,對金融交易的信用結構要求更高、更趨合理,金融機構可能會面臨更大的信用風險。以網上銀行為例,網上銀行通過遠程通信手段,藉助信用確認程式對借款者的信用等級進行評估,這樣的評估有可能增加網上銀行的信用風險。因為借款人很可能不履行對電子貨幣的借貸應承擔的義務,或者由於借貸人網路上運行的金融信用評估系統不健全造成信用評估失誤。此外,從電子貨幣發行者處購買電子貨幣並用於轉賣的國際銀行,也會由於發行者不兌現電子貨幣而承擔信用風險。有時,電子貨幣發行機構將出售電子貨幣所獲得的資金進行投資,如果被投資方不履行業務,就可能為發行人帶來信用風險。總之,只要同電子支付機構交易的另外一方不履行義務,都會給電子支付機構帶來信用風險。因信用保障體系的不健全,目前網上出現了種種交易問題,開玩笑的、惡性交易的,甚至於專門在網上進行詐騙的,都有發生的案例。市場經濟不能沒有信用,信用可以減少市場交易費用。只有交易雙方有足夠的信用度,交易才有可能完成,否則任何交易都需要面對面、以貨易貨地進行,缺乏信用最典型的交易案例便是物物交易。面對面交易或者物物交易不僅增加交易費用,而且將交易的規模限制在一個很小的範圍內。
社會信用體系的不健全是信用風險存在的根本原因,也是制約電子支付業務甚至電子商務發展的重要因素。
(3)流動性風險
當電子支付機構沒有足夠的資金滿足客戶兌現電子貨幣或結算需求時,就會面臨流動性風險。一般情況下,電子支付機構常常會因為流動性風險而惡性迴圈地陷入聲譽風險中,只要電子支付機構某一時刻無法以合理的成本迅速增加負債或變現資產,以獲得足夠的資金來償還債務,就存在流動性風險,這種風險主要發生在電子貨幣的發行人身上。發行人將出售電子貨幣的資金進行投資,當客戶要求贖回電子貨幣的時候,投資的資產可能無法迅速變現,或者會造成重大損失,從而使發行人遭受流動性風險,同時引發聲譽風險。流動性風險與聲譽風險往往聯在一起,成為相互關聯的風險共同體。電子貨幣的流動性風險同電子貨幣的發行規模和餘額有關,發行規模越大,用於結算的餘額越大,發行者不能等值贖回其發行的電子貨幣或缺乏足夠的清算資金等流動性問題就越嚴重。
由於電子貨幣的流動性強,電子支付機構面臨比傳統金融機構更大的流動性風險。
(4)聲譽風險
與傳統風險比較,電子支付機構面臨的聲譽風險顯得更為嚴重。以網上銀行為例,傳統業務中,最常見的聲譽風險表現為一家銀行出了財務問題以後,導致大量的儲戶擠兌。網上銀行產生聲譽風險的原因與傳統業務有時候一樣,有時候也不一樣。不一樣的是,網上銀行可能由於技術設備的故障、由於系統的缺陷,導致客戶失去對該銀行的信心。重大的安全事故等會引起電子支付機構產生聲譽風險。如新聞媒體報道某家銀行被黑客人侵,儘管可能沒有造成任何損失,但是客戶會立刻對該銀行的安全性能產生懷疑。網上銀行的業務處在發展初期,客戶對安全存在潛在的不信任,聲譽風險的出現對網上銀行業務的影響尤其大。
5)結算風險
清算系統的國際化,大大提高了國際結算風險。基於電子化支付清算系統的各類金融交易,發達國家國內每日匯劃的日處理件數可以達到幾百甚至上千萬件。
- 1、電子支付風險管理步驟
電子支付與傳統金融風險管理的基本步驟和原理幾乎是一樣的,但是,不同的國家、不同的監管機構可能會根據不同的情況,制定出不同的電子支付風險管理要求。目前,最為常見、最為通俗易懂的是巴塞爾委員會採用的風險管理步驟。以網上銀行為例,巴塞爾委員會把電子支付風險管理分為三個步驟:評估風險、管理和控制風險以及監控風險。評估風險實際包含了風險識別過程,不過,識別風險只是最基本的步驟,識別之後,還需要將風險儘可能地量化;經過量化以後,銀行的管理層就能夠知道銀行所面臨的風險究竟有多大,對銀行會有什麼樣的影響,這些風險發生的概率有多大。等等。在此基礎上,銀行的管理層要做出決定,確定本銀行究竟能夠忍受多大程度的風險。換句話講,如果出現這些風險。造成了相應的損失。銀行的管理層能不能接受。到了這一步風險的評估才算完成了。管理和控制風險的過程比較複雜,簡單地說就是各種各樣相應的控制措施、制度的採用。最後一個步驟即風險的監控是建立在前兩個步驟基礎上的,實際上是在系統投入運行、各種措施相繼採用之後,通過機器設備的監控,通過人員的內部或者外部稽核,來檢測、監控上述措施是否有效,並及時發現潛在的問題,加以解決。
許多國家都接受巴塞爾委員會電子支付風險管理的步驟,並加以本土化,針對本國銀行的特點,制定出本國電子支付風險管理的基本程式。比如美國通貨監管局負責監管美國的國民銀行,隨著大量國民銀行採用各種各樣的電子技術向客戶提供電子支付的服務,國民銀行將與技術有關的風險管理也分成三個步驟:計劃、實施、檢測和監控。計劃階段在一定程度上包括風險的識別、量化等,但主要是針對某一個具體項目的採用而言。而實施實際上類似於巴塞爾委員會的管理和控制風險這一步驟,將各種相應風險控制和防範措施加以實際運用,以控制項目運行後造成的風險。檢測和監控階段則同巴塞爾委員會的風險監控大同小異。
因此,簡單地說,風險的管理過程是技術措施同管理控制措施相結合而形成的一系列制度、措施的總和。整個過程同傳統銀行業務的風險管理差別並不是很大,但電子支付採用的新的風險管理措施需要同銀行原有的內控制度相配合,同傳統業務的風險管理措施相融合。
- 2、防範電子支付風險的技術措施
電子支付風險的防範還依賴許多技術措施。
(1)建立網路安全防護體系,防範系統風險與操作風險。不斷採用新的安全技術來確保電子支付的信息流通和操作安全,如防火牆、濾波和加密技術等,要加快發展更安全的信息安全技術,包括更強的加密技術、網路使用記錄檢查評定技術、人體特征識別技術等。使正確的信息及時準確地在客戶和銀行之間傳遞,同時又防止非授權用戶如黑客對電子支付所存儲的信息的非法訪問和干擾。其主要目的是在充分分析網路脆弱性的基礎上,對網路系統進行事前防護。主要通過採取物理安全策略、訪問控制策略、構築防火牆、安全介面、數字簽名等高新網路技術的拓展來實現。為了確保電子支付業務的安全,通常設有三種防護設施。第一種是裝在使用者上網用的瀏覽器上的加密處理技術,從而確保資料傳輸時的隱秘性,保障使用者在輸入密碼、賬號及資料後不會被人劫取及濫用;第二種是被稱為“防火牆”的安全過濾路由器,防止外來者的不當侵入;第三種防護措施是“可信賴作業系統”,它可充分保護電子支付的交易中樞伺服器不會受到外人尤其是“黑客”的破壞與篡改。
(2)發展資料庫及數據倉庫技術,建立大型電子支付數據倉庫或決策支持系統,防範信用風險、市場風險等金融風險。通過資料庫技術或數據倉庫技術存儲和處理信息來支持銀行決策,以決策的科學化及正確性來防範各類可能的金融風險。要防範電子支付的信用風險,必須從解決信息對稱、充分、透明和正確性著手,依靠資料庫技術儲存、管理和分析處理數據,是現代化管理必須要完成的基礎工作。電子支付資料庫的設計可從社會化思路考慮信息資源的採集、加工和分析,以客戶為中心進行資產、負債和中間業務的科學管理。不同銀行可實行借款人信用信息共用制度,建立不良借款人的預警名單和“黑名單”制度。對有一定比例的資產控制關係、業務控制關係、人事關聯關係的企業或企業集團,通過資料庫進行歸類整理、分析、統計,統一授信的監控。
(3)加速金融工程學科的研究、開發和利用。金融工程是在金融創新和金融高科技基礎上產生的,是指運用各種有關理論和知識,設計和開發金融創新工具或技術,以期在一定風險度內獲得最佳收益。目前,急需加強電子技術創新對新的電子支付模式、技術的影響,以及由此引起的法制、監管的調整。
(4)通過管理、培訓手段來防止金融風險的發生。電子支付是技術發展的產物,許多風險管理的措施都離不開技術的應用。不過這些技術措施實際上也不是單純的技術措施,技術措施仍然需要人來。貫徹實施,因此通過管理、培訓手段提高從業人員素質是防範金融風險的重要途徑。《中華人民共和國電腦系統安全保護條例》、《中華人民共和國電腦信息網路國際聯網管理暫行規定》對電腦信息系統的安全和電腦信息網路的管理使用做出了規定,嚴格要求電子支付等金融業從業人員依照國家法律規定操作和完善管理,提高安全防範意識和責任感,確保電子支付業務的安全操作和良好運行。
為此,要完善各類人員管理和技術培訓工作。要通過各種方法加強對各級工作人員的培訓教育,使其從根本上認識到金融網路系統安全的重要性,並要加強各有關人員的法紀和安全保密教育,提高電子支付安全防護意識。是要培訓銀行內部員工。由於電子支付是技術的產物,使內部員工具有相應的技術水平也是風險管理的重要方面。這些培訓包括各種各樣的方式,如專門的技術課程要求員工參加業內的研討會、工作小組。同時,保證相應的技術人員能夠有時間進行研究、學習,跟蹤市場和技術的發展狀況。二是對客戶進行教育和培訓,教會他們如何使用銀行的設備,出現問題怎麼辦,並通過培訓向客戶披露有關的信息,如銀行主頁上建立的鏈接點的性質、消費者保護的措施、資料保密的要求,等等,以此減少相應的法律風險。
具體的技術防範細節還有很多,如為了防止黑客的入侵,防止內部人員隨意泄露有關的資料和信息,密碼技術被廣泛地應用。但是,並不是所有的信息都一樣重要。一些監管機構要求銀行首先要對資料進行分類,分成“高度機密”、“機密”和“公開”信息三類,不同種類的信息採取的保密措施不同。對於高度機密信息,在儲存和通過內部網路傳送時必須加密。在技術和資金允許的情況下,可以儘量採用更強一些的密鑰。同時,要強化密鑰的管理,建立有效的密鑰管理方式,如保護密鑰不受篡改和違法使用,根據資料的秘密程度,定期更換密鋸。至於通過公開網路如互聯網傳遞的信息,都必須進行加密。口令(Password)有時也稱為密碼,但為了與密碼技術相區別而把它稱為口令。口令實際上是控制機器設備,防止無關人員隨意進入和使用設備的技術措施。使用口令容易造成口令韻遺失(使用者忘記自己的口令),更為重要的是容易被犯罪貧子盜取。有的時候,對於一些關鍵設備,可以採用一次性司令.也就是只使用一次的口令,每次進入電腦系統時,口令都不同,通過對口令的管理來保護設備的安全。除了一次性口令這樣簡單的管理措施之外,還有其他一些比較系統化的措施來管理口令。口令的管理需要遵循一些基本的原則,比如,銀行的電腦系統自動促使使用者定期修改口令,使用者之間不要相互合用口令,不要使用一些很容易被猜到的口令,等等。具體的措施很多:如果口令被多次使用或通過網路傳遞,必須對口令進行加密才能存儲或傳送;使用安全子系統和應用程式建立口令的歷史檔案,防止重覆使用不久前才使用過的口令;為了防止犯罪分子使用一些自動的程式軟體猜測口令,必須規定一個界限,如多少次端現錯誤則停止其進入,並通知系統的管理員;為了防止犯罪分子盜用他人的合法口令進入內部網路,應該隨時將上次使用口令的時間等情況通知合法的使用者,便於發現自己的口令是否已經被人盜用。
同口令的功能相似的還有其他一些常用的手段,比如使用智能卡作為進入系統的.“身份證”,採用生物技術措施來識別有關當事人,主要是用指紋、聲音、面部特征和眼部特征等人的生物特征來識別人的身份。這些措施採用之後,仍然需要有配套的措施,如智能卡雖然安全,但仍然需要定期更換內部程式或密碼,以便保證其安全性能。
防火牆是一系列硬體和軟體的總稱。採用防火牆可以將銀行的內部網路和外部網路分割,使外部人員無法隨意地進入內部網路。有的時候,還可以採用同樣的技術將內部網路加以分割。這樣,不同級別、不同崗位的人就無法隨意進入其他部門,不同保密程度的信息可以放置在不同的位置。有的時候,不僅需要將網路分割,而且需要將實際的設備分開放置,集中保護。比如,將所有支持內部網路的關鍵設備、輔助設備(鍵盤、控制伺服器的電腦)、防火牆等集中放在玻璃室(Glass Houses)里,限制外來人員進入這些地方,同時設置24小時警衛。如果由於地域和經營的需要,必須將一些設備分開放置,則可以設立幾個玻璃室,採取同樣的安全措施。
此外,還有許多其他的技術防範措施。比如,防病毒的技術措施,對於主伺服器的管理,等等。這些措施技術成分比較大,需要銀行管理部門加以格外的註意。同時,光有技術措施也是不夠的,同樣需要輔以相應的管理和內控措施。比如,對銀行內部職員進行嚴格審查,特別是系統管理員、程式設計人員、後勤人員以及其他可以獲得機密信息的人員,都要進行嚴格的審查,審查的內容包括聘請專家審查其專業技能,家庭背景、有無犯罪前科、有無債務歷史,等等。而一些重要人物,比如,系統的管理員,由於他們可以毫無障礙地進入任何電腦和資料庫,也可能產生潛在的風險,對於這樣的人則必須採用類似於雙人臨櫃式的責任分離、相互監督等,手段來進行控制。
- 3、加強電子支付立法建設
電子支付業務的迅速發展,導致了許多新的問題與矛盾,也使得立法相對滯後,另一方面,電子支付涉及的範圍相當廣泛,也給立法工作帶來了一定的難度。在電子支付的發展過程中,為了防範各種可能的風險,不但要提高技術措施,健全管理制度,還要加強立法建設。
針對目前電子支付活動中出現的問題,應建立相關的法律,以規範電子支付參與者的行為。對電子支付業務操作、電子資金劃撥的風險責任進行規範,制定電子支付的犯罪案件管轄、仲裁等規則。對屯子商務的安全保密也必須有法律保障,對電腦犯罪、電腦泄密、竊取商業和金融機密等也都要有相應的法律製裁,以逐步形成有法律許可、法律保障和法律約束的電子支付環境。
- 4、電子支付風險管理的其它方面
技術安全措施在電子支付的風險管理中占有很重要的位置,這也是電子支付風險管理的一個比較明顯的特點。但電子支付的風險管理並不僅僅限於技術安全措施的採用,而是一系列風險管理控制措施的總和。
(1)管理外部資源。目前電子支付的一個趨勢是,越來越多的外部技術廠商參與到銀行的電子化業務中來,可能是一次性的提供機器設備,也可能是長期的提供技術支持。外部廠商的參與使銀行能夠減少成本、提高技術水平,但這加重了銀行所承擔的風險。為此,銀行應該採用有關措施,對外部資源進行有效的管理。比如,要求有權對外部廠商的運作和財務狀況進行檢查和監控,通過合同明確雙方的權利和義務,包括出現技術故障或消費者不滿意的時候,技術廠商應該承擔的責任。同時,還要考慮並準備一旦某一技術廠商出現問題時的其他可替代資源。作為監管機構,也需要保持對與銀行有聯繫的技術廠商的監管。
(2)建立健全金融網路內部管理體系。要確保網路系統的安全與保密,除了對工作環境建立一系列的安全保密措施外,還要建立健全金融網路的各項內部管理制度。
建立健全電腦機房的各項管理制度,並加以嚴格執行。是目前保障金融網路系統安全的有效手段。機房管理制度不僅包括機房工作人員的管理,而且還包括對機房內數據信息的管理、電腦系統運行的管理等,要求操作人員按照規定的流程進行操作,保證信息資料的保密性和安全性達到要求。
(3)建立應急計劃。電子支付給客戶帶來了便利,但可能會在瞬間內出現故障,讓銀行和客戶無所適從。因此,建立相應的應急計劃和容錯系統顯得非常重要。應急計劃包括一系列措施和安排。比如,資料的恢復措施、替代的業務處理設備、負責應急措施的人員安排、支援客戶的措施,等等。這些應急的設施必須定期加以檢測,保證一旦出事之後,確實能夠運作。
- 5、加強電子支付的監管
為確保金融秩序安全,維護銀行業公平有效競爭,保護存款人和社會公眾利益以及保證中央銀行貨幣政策的順利實施,必須加強金融的監管。為了實現金融監管的多重目標,中央銀行在金融監管中應堅持分類管理、公平對待、公開監管三條基本原則。分類管理原則就是將金融機構分門別類,突出重點,分別管理;公平對待原則是指在進行金融監管的過程中,不分監管對象,一視同仁,適用統一監管標準,這一原則與分類管理原則並不矛盾,分類管理是為了突出重點,加強監測,但並不降低監管標準;公開監管原則就是指加強金融監管的透明度,中央銀行在實施金融監管時需明確適用的金融機構法規、政策和監管要求,這也便於社會公眾的監督。目前,網路條件下的監管規避現象較為嚴重,從而改變了金融監管部門與金融機構的力量對比,增加了金融監管的難度。國際差別給電子支付監管帶來不便,適用於電子商務條件下的國際金融監管法規體系尚待建立和完善。金融監管的滯後性增強,電子商務發展加快了金融創新的步伐,金融監管的法律法規和監管手段有可能越來越落後於電子支付業務的創新與發展。金融業的不穩定性對電子支付監管提出了新的要求,國際金融環境的變化,從匯率風險防範到金融動蕩,從全球性金融系統的風險防範到金融證券市場的規範化制度化等,都反映了國際金融監管協調是網路性、國際性金融深化發展的必然要求。
電子支付監管的具體措施包括國內監管的措施和國際金融監管的協調。
(1)國內監管措施。包括金融監管手段要具有前瞻性、預見性,以解決現有的滯後性問題;建立以風險性監管為主導的監管體系;將行業自律與金融監管有效結合;建立健全電子支付監管法律、法規、制度;建立健全金融信息披露制度,增強金融監管的透明度;加強對金融中介機構的監管,形成中央銀行——中介機構——金融自律組織的有效監管體系;採用現場檢查與非現場檢查等主要監管手段,現場檢查主要是指監管機關親臨現場所開展的監管,非現場檢查主要是指監管機關不在現場,而是通過報表和收集的各方面信息等對監管對象開展的監管。
電子支付的監管屬於金融監管的重要內容,現場檢查在銀行監管中占有重要的地位。通過現場檢查,監管機構可以獲得第二手的資料和情況,以此貫徹現有的法律和監管規章。電子支付雖然很大程度實現了虛擬化,但都離不開入的操作,總需要一定的設施,需要人員的維護和管理。因此,對電子支付進行現場檢查不僅是必要的,而且是可行的。現場檢查的第一層次主要檢查銀行是否採取了相關的措施來遵守有關的廣告法律和法規,同時確保在為非存款性投資金融工具做廣告時,進行了必要的披露。第二層次主要檢查三個方面:第一,檢查銀行同客戶、技術廠商等當事人的協議是否充分規定了各方的權利和義務,確保這些法律文件中規定銀行有權監測、存儲和追蹤電子交易;第二,檢查銀行是否考慮了關於數字簽名、認證機構的法律,包括地方法和中央法;第三,檢查銀行同第三方簽訂的協議是否也包含在銀行保護客戶和遵守紀律的文件中。第三層次主要檢查的內容有:第一,檢查銀行是否採取了有關的措施確保網上業務遵守資料保存和客戶保密的法律;第二,對於銀行卡之類的電子貨幣產品,確保有關的協議明確了銀行、客戶和第三方之間關於銀行卡遺失和被盜的責任分擔。進行上述檢查時,雖然是針對電子支付業務進行的,但與對傳統業務的其他檢查可能也會發生重合,有時候也需要將對傳統業務的檢查同電子支付業務的檢查進行協調。如果必要,監管機構官員在檢查的時候,應該咨詢其他相關的官員。檢查完之後,進行檢查的官員必須製作一份完整的報告,這個報告應該包括對電子支付業務的描述、檢查的結果,並含有相關的評論。為了支持檢查所得出的結論,檢查官員還必須附上相關的文件。對電子支付進行現場檢查的結果提交監管機構之後,這一結果將直接影響被檢查銀行的評級。
(2)國際監管的協調。包括建立電子支付條件下的匯率協調機制和國際統一的信息披露與市場約束制度;協調控制網路國際短期資本的流動;防止國際性金融犯罪的監管協調;加強市場準入與金融風險監管的協調;協調對對沖基金之類高杠桿、高風險金融機構的監管機制;進行國際統一的金融監管立法。
說得好