2007年2月23日,两年前因巨资诈骗的“金融硕鼠”,前中国银行哈尔滨松和街支行行长高山悄声从公众视线中消失后,如今因在加拿大一场车祸暴露身份而被拘捕,目前加方拟将其遣送回中国。这一曾轰动全国的金融案件如今又摆在公众面前。
近年来,随着国内外银行业欺诈案件的频频发生,银行为其付出高昂的经济代价。2004年,美国花旗银行为防止内外部欺诈行为,警告其用户不要相信一封自称来自银行的欺骗邮件,该邮件要求花旗银行客户去一个假冒网站验证银行帐号是否被篡改;2005年,巴西银行和金融机构因网络诈骗付出直接经济损失金额高达3亿雷亚尔(约合1.3亿美元),比2004年增加20%;2006年9月以来,瑞典最大的银行北欧金融集团多次被一犯罪团伙通过互联网进行诈骗,诈骗金额高达800万瑞典克朗(1美元约合7.1瑞典克朗)。
随着2006年我国银行业全面开放,国内监管与国际监管接轨以及新法规的实施,国内商业银行面临日益严苛的监管压力。特别是《巴塞尔新资本协议》实施以来,在风险管理中,除了包含信用风险和市场风险外,操作风险被纳入其中,欺诈风险属于操作风险的范畴,越渐受到重视。
欺诈的“高墙”
在我国金融行业的全面开放第一年,对于如何对国内银行进行激励与约束,还处于探索阶段,“在转轨时期,我们不容易找到一种明确的激励机制,它既包括经营目标又包括约束机制”,中国人民银行行长周小川曾公开表示。“现在我们找到了最综合、最有效的激励机制就是巴塞尔新协议,既满足金管部门监管目标,又涵括银行自身经营目标和约束机制”。
根据2004年6月,巴塞尔银行监督管理委员会(BIS)颁布的《巴塞尔新资本协议》的定义,操作风险是指由于不完善或失灵的内部程序、人员、系统或外部事件导致的风险,同时,该委员会将操作风险分为7大类,其中包括内部欺诈;外部欺诈;雇佣合同以及工作状况带来的风险事件;客户、产品以及商业行为引起的风险事件;有形资产的损失;经营中断和系统出错;涉及执行交割以及交易过程管理的风险事件。
IBM在今年3月7日发布的《银行业全面提升操作风险管理水平》白皮书中指出,在各种类型的操作风险中,对国内银行业影响最为重大、破坏力最为深远的首先是内部欺诈,其次是外部欺诈。
根据有关定义,又将那些有机构内部人员参与的诈骗、盗用资产、违反法律以及公司的规章制度的行为成为内部欺诈。这包括内部人员虚报头寸、内部人员偷盗和在职员的账户上进行内部交易等等,两年前的黑龙江“高山事件”便是典型的内部欺诈事件。
而外部欺诈是指第三方的诈骗、盗用资产、违犯法律的行为,比如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。通过网络系统进行欺诈的行为也随着银行信息化的推进而开始凸现。比如涉及通过IT系统欺诈的网络系统安全,在银行经过数据大集中后,开始正式步入业务持续管理阶段,为了保持业务的持续性需进行信息系统安全防范。目前,金融业的安全风险架构普遍存在这样的现象:通过内外网隔离的形式,从物理上解决安全隐患。但这其中仍然存在很多问题。
在一次安全风险论坛会议上,中国银行MIS中心的高级工程师王庆用了个很形象的比喻,“目前金融业构建安全体系的普遍心态,银行用内外网隔离的方式把自己围成一座城堡,但高墙其实很脆弱。内外网的物理隔离事实上是对安全问题的一种间接回避。”
据王庆介绍,日常银行业的安全隐患主要来自内部系统权限的篡改,这也是直接导致内部欺诈的由头。中国银行目前也采用了安全系统平台通过权限控制等手段进行安全维护。
而在对安全维护的人员配置上,几乎每个银行都有专员对电脑软硬件进行维护。中国银行监督管理委员会信息中心设备管理处处长陈文雄告诉记者,该委员会目前有2000多台终端电脑,日常的安全维护通常通过杀毒和安装防火墙的方式防范病毒入侵及黑客攻击。
1
2
下一页>>
