1995年10月18日,全球第一家网络银行——安全第一网络银行在美国诞生,从此以网络银行为代表的网络金融飞速发展。欧美对网络银行的监管开始得较早,已经形成了比较系统和完善的网络银行监管模式。其中,美国模式以立法为核心实行自律监管,而欧洲模式则是以审慎为核心实行联合监管。
1.美国以立法为核心的自律监管
美国银行监管机构在传统监管法律制度的基础上,制定了一系列具体的专门针对网络银行业务及其风险的管制规则,这些规则一般都具有较强的针对性和可操作性。关于网络银行业务的专门监管法规,绝大部分与网络银行风险监控有着直接或间接关联,而且大多是围绕着与技术密切相关的风险监控问题展开的,为网络银行业务的风险监管提供了具体的监控指导。
具体而言,美国对网络银行监管的法律框架主要涉及以下五个方面:
一是财政部货币监理署发布的系列与网络银行业务相关的监管法律文件和规则,如1998年2月发布的«技术风险管理——个人电脑银行业务»;
二是联邦储备局发布的网络银行业务监管规则,如1997年12月发布的«网络信息安全稳健操作指南»;
三是联邦存款保险公司制定的有关监管规章,如1998年6月发布的«电子银行业务——安全与稳健审查程序»等;
四是联邦银行机构监察委员会公布的文件,如2000年11月的«外包技术服务风险管理»;
五是多个监管机构共同制定或发布的文件,如由货币监理署、联邦储备局、联邦保险公司和互济贷款监管署联合发布的«关于电子银行服务和消费者守法之指南»和«信息安全指引»。[1]
此外,美国银行机构具备严密的网络银行业务风险管理制度框架,主要包括以下四个方面:[2](www.xing528.com)
一是决策管理层在业务风险中的职责。监管当局对网络银行业务的风险监管具体通过银行机构的决策管理层的履职行为付诸实施。银行管理层是否合格、能力的强弱直接关系到风险监管的实施效果。这就意味着在风险监管中实际起关键作用的是银行机构的决策管理部门,即银行董事会和高级管理层。
二是网络银行业务的技术风险管理。网络银行业务风险监管除了具备传统银行风险管理规程外,还包括一种能够识别、衡量、监督和控制技术风险的管理程序。这种与新技术特别是互联网技术紧密相关的风险监管包括三个阶段:对技术运用的规划、对技术的实施、对风险的衡量和监控手段。在技术风险规划阶段,由银行董事会就可能给银行风险管理造成重大影响的网络产品是否同银行的整体战略保持一致作出判断,并由高级管理层对所采用的技术与风险做出评估,或者聘请审计人员或咨询员对网络银行业务技术与产品做出独立评估等。在技术实施阶段,管理层要有效评估与该业务有关的技术与产品,做出正确的技术组合选择,并确保所选择的技术安装无误。当银行不具备此类专业技能时,银行可以通过外包的方式将此类业务承包给专业人士,或与拥有互补性技术的另一网络银行业务提供者结成联盟。在衡量和监控风险阶段,管理层要利用稽核程序有效识别、衡量和控制网络银行业务系统,并对系统是否符合性能标准进行定期检查。
三是网络银行业务风险的内部控制机制。内部控制机制是监控网络银行业务操作与系统安全风险的主要手段,主要包括三个层次:(1)对可能发生的差错或非法活动的预防性控制,如利用一定的控制软件对网络进入人员进行控制,比如只允许那些授权人员通过使用用户名和密码的方式进入网络;(2)对已发生的活动加以识别并进行侦测控制,如对非法人员入侵活动发出警报;(3)对被侦测到的情况进行纠正控制,如用于恢复遭病毒侵害的档案和数据库的软件的恢复系统。为应付风险巨大、状况复杂的情形,如交易型网络银行业务,则要求银行具备相应的更高层次的内部控制机制,例如增加对交易活动的监控,运用跟踪技术识别和比对请求来源,对不寻常交易进行定期报告和检查等。
四是网络银行业务外包情况下相关风险的控制。银行在业务外包情况下,要定期对其技术支持来源进行重新评估,以确定已有的方案是否继续适合其业务计划,及是否有足够的弹性满足预期的需求。
2.欧洲以审慎战略为核心的联合监管
欧盟对网络银行的监管,不仅在国家层面上实施,而且还注重国际社会的监督合作。其监管的主要目标有两个:一是提供一个清晰、透明的法律环境;二是坚持适度审慎和保护消费者的原则。[3]以德国为例:德国在网络银行监管上主要依赖于其既有的法律对网络银行业务予以监督,同时实行适合网络银行业务之特别风险的审慎监管战略。
这种战略系统地阐述了“从事网络银行业务活动的最低要求”,它主要包括以下两方面的内容:一是网络银行业应当列出信息技术安全战略所需达到的基本要求。具体措施包括要求银行解释其网络银行业务战略及该战略如何与银行的总体业务战略相协调;要求银行提供其安全战略基本特征的详细描述,包括确认各个相关风险成分,分析每个部分风险并将分析结果作为制定工作指导的基础依据;要求银行说明客户教育培训水平;以及对其外包战略提出详尽的理由等。二是信息技术本身及其发展也应受到审查,包括对网络结构、操作系统、网络银行业务系统与整个系统的衔接测试及与生产系统的隔离,防火墙的有效性以及外部袭击的反应系统等方面的检查。
此外,欧洲银行监督机构主张在国家层面监管的基础上加强国际社会的监管合作,以达到理想的效果。因此,欧洲中央银行要求其成员国采取一致性的监管原则,并由欧盟各国国内的监管机构负责监管统一标准的实施。欧盟要求其成员国在网络银行监管上坚持一致的体系,承担认可电子交易合同的义务,并将建立在“注册国和业务发生国”基础上的监管规则替换为“起始国”规则,以加强监管合作,提高监管效率,实时监控网络银行产生的新风险。按此要求对网络银行的监管主要集中在以下几方面:一是区域问题,包括银行间的合并与联合、跨境交易活动等;二是安全问题,包括错误操作和数据处理产生的风险、网络被攻击等;三是服务技术能力;四是随着业务数量和范围的扩大而增加的信誉和法律风险,包括不同的法律体系可能造成的风险。[4]
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。