第一篇:电子银行业务风险与防范
课 程 提 纲
赖立峰
课程名称:电子银行业务风险与防范
课程时长:120分钟
课程简介:我国的电子银行业务始于20世纪90年代后期,目前已初步建成一套较为完整的包括网上银行、电话银行、手机银行、自助银行等渠道在内的电子银行服务体系。虽然目前我国电子银行业务得到了迅速发展,但电子银行在产品特色、经营理念及管理水平上都还存在参差不齐的现状。尤其随着我国加入WTO,外资银行全面进军国内市场,在经营地域、业务范围和客户市场上将与中资银行开展全面竞争,国内各银行风险的把握是极其必要的。因此,对电子银行业务进行风险评估与管理就成为国内商业银行把握机遇,降低风险的必要步骤。课程内容:
一、电子银行业务风险分类标准
1、《电子银行风险管理原则》(Risk Management Principle for Electronic Banking);
2、按中国银监会标准划分。
二、电子银行业务风险分析
1、传统风险:★信用(基础)、流动性、市场、利率等;
2、特殊风险:技术、★操作(差别较大)、★法律(差别较大)、战略、声誉、外包、跨境等。
三、风险的管理和控制
1、操作风险管理
2、信用风险管理
3、流动性、利率、市场风险管理
4、声誉风险管理
5、法律风险管理
四、其他措施和辅助手段:包括稽核和系统检测。
第二篇:银行电子银行业务风险管理办法
XXXXXX银行电子银行业务风险
管理办法
第一章
总 则
第一条
为加强XXXXXX银行(以下简称我行)电子银行业务风险管理,保障客户及我行的合法权益,促进电子银行业务的健康有序发展,根据《中华人民共和国电子签名法》、《电子银行业务管理办法》、《电子银行安全评估指引》、《电子支付指引(第一号)》、《商业银行信息科技风险管理指引》等信息安全的有关法律法规,制定本办法。
第二条
电子银行风险管理的目标是通过建立有效的机制,实现对电子银行风险的识别、计量、监测和控制,促进电子银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第三条
电子银行风险管理的内容包括业务风险管理和信息安全风险管理。电子银行业务的风险主要体现为:操作风险、信息科技风险、法律风险、信誉风险、合规风险以及信用风险、市场风险等。
电子银行业务信用风险、市场风险的管理应遵守我行现行各项风险管理制度。本办法重点规范操作风险、信息科技风险、法律风险、信誉风险的管理。
第四条
我行实行电子银行评估制度,重大事件报告制度。对重大事件,按事件性质和专项制度规定及时向监管部门报告。
第五条
由内控风险管理部对电子银行系统的运行状况进行定期审计。
第六条
本办法适用于我行各管理部门、业务部门、营业机构及全体员工。
—1— 第二章
风险管理的组织机构与职责
第七条
风险管理委员会负责制定电子银行风险管理政策、监控风险管理政策执行情况、制定我行电子银行风险管理活动目标、审批电子银行风险管理的重大事项,协调内控风险管理部、综合管理部、会计核算部、电子银行部、信息科技部、金电公司托管中心等相关业务管理部门之间的操作风险管理缝隙,建立涵盖辖区范围电子银行各项活动的风险管理系统。
第八条
电子银行部是电子银行业务的主管部门,主要职责有:贯彻落实电子银行监管的各项规定与政策;拟定电子银行管理、运营的各项规章制度;配合市场营销部门提供客户服务,配合市场营销部门组织开展电子银行业务的市场调研、产品开发及产品完善工作;负责提出电子银行业务开发、更新、升级需求,并组织相关测试和培训;落实电子银行风险管理政策及内控要求,确保电子银行业务运行的连续性和安全性。
第九条
电子银行业务风险管理纳入我行风险管理体系。风险管理委员会负责制订与完善风险管理制度及实施细则,组织开展电子银行业务自律监管、安全评估,有效识别、监测、控制和评估电子银行业务风险,及时向上级部门或监管部门报告风险信息和处理情况。
第十条
会计核算部负责制定会计核算规章制度,确保电子银行业务严格按照国家会计政策和我行相关制度执行,参与网银业务的需求讨论、系统测试与验收工作。
第十一条
信息科技部负责产品研发过程中的技术风险分析、新产品开发、投产、运行维护和功能完善工作;制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作;电子银行运营设备和安全控制设备的正常运转;电子银行数据的安全存放和传递;风险管理技术手段的安全保障;制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作;及时解决电子银行系统运行中
—2— 出现的技术问题,确保电子银行系统安全、正常运行。
第十二条
金电公司托管中心是我行电子银行系统的运维部门,金电公司托管中心负责制定信息系统运维相关资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、信息系统变更管理、安全事件处理、数据备份与恢复管理、信息系统应急预案、密码安全、交付管理等相关规章制度;负责信息系统运维环境网络安全管理;负责信息系统运维环境物理机房安全监控管理;负责信息系统运维环境主机安全管理,包括但不限于对服务器操作系统、数据库等安全进行管理;负责信息系统运维环境应用安全管理;负责信息系统运维环境数据安全管理,包括但不限对外包服务所涉及的重要业务数据、鉴别信息等的安全管理。
第十三条
内控风险管理部负责电子银行系统的检查审计工作,开展电子银行系统运行的审计,查找并督促消除业务风险和管理隐患,查处违反电子银行系统内部控制制度的事件。
第十四条
综合业务部负责电子银行安全措施的检查、协助公安司法部门对违法行为的调查、侦破。
第十五条
综合管理部、会计核算部分别负责电子银行业务风险管理所涉及的法律事务和反洗钱工作。
第十六条
营业部及各支行应指定专人负责电子银行业务管理工作,向客户推介电子银行业务,按照我行制定的规章制度受理和办理电子银行业务、做好电子银行业务营销、售后服务和意见反馈工作。
第三章
操作风险管理
第十七条
操作风险是指我行员工或客户没有按照相关规定或手册操作而造成我行收益或资本的风险。
第十八条
对于员工操作风险控制的基本要求:
(一)有效隔离应用系统、验证系统、处理系统和数据库等各系
—3— 统间的风险传递;
(二)确保任何单个员工和外部服务供应商都无法独立完成一项交易;
(三)加强员工思想道德教育,强化操作人员密码管理,实行分级授权管理;
(四)实行电子银行关键岗位工作人员AB角制,岗位第一责任人不在岗位时,应指定相应工作人员代其行使相关事权,确保工作不间断、不拖延。
(五)电子银行业务操作人员必须熟悉电子银行的业务操作流程,必须参加电子银行业务培训方能办理业务,电子银行部定期组织培训和考核。
第十九条
对于客户操作风险控制的基本要求:
(一)详细说明并提供演示流程,清晰告知客户电子银行操作要领;
(二)通过客户服务中心、操作指南、柜员指导等多渠道提供帮助,并及时进行风险提示;
(三)通过登陆保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率;
(四)客户重要信息(如姓名、身份证号码等)变更必须由本人持有效证件前往营业网点办理;
(五)对客户对外支付额度进行限制,支付限额如有调整必须提前十日向客户公布。
第四章
信息科技风险管理
第二十条
信息科技风险是指信息科技在电子银行系统运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷导致的我行收益或资本的风险。
—4— 第二十一条
严密防范并及时填堵系统后门,以防止黑客通过后门进入系统进行破坏和窃密。
第二十二条
严格进行网络逻辑分段,形成IP子网,实现对内部网络的隔离,在路由器上实施数据包过滤,并且利用防火墙来实现基于IP地址的内外访问控制。
第二十三条
建立实时病毒防范功能,以防止系统错误、数据混乱、服务失败等给业务系统和管理系统带来损失。
第二十四条
建立数据存储备份管理,确保在发生系统被破坏、应用错误、数据丢失时,通过数据存储管理进行及时恢复。
第二十五条
建立系统安全漏洞扫描机制,在系统使用过程中动态地寻找系统漏洞,帮助完善系统的安全,并以此防止由于其它的网络操作对系统的安全造成威胁。
第二十六条
建立外部攻击侦测机制,通过IDS、IPS系统,及时发现外部攻击行为,并对攻击行为进行及时处理,问题严重时候,启动应急预案。
第二十七条
采用身份鉴别、访问控制、数据加密、数据完整、数字签名、防重发等安全控制机制,保证客户使用的安全性。
第二十八条
进行风险评估,制定风险评估计划,识别信息资产,评价信息资产威胁发生的可能性以及弱点被利用的容易程度,确定风险等级,找出目标与现状的差距,改进信息安全措施。
第二十九条
制定安全计划,明确实施方案,确定可接受风险的程度,制定风险缓释策略,减少、规避和转移风险;检查和测试风险缓释策略和安全计划实施情况。
第三十条
保证电子银行开发环境和应用环境的分离,评估和认证后续开发应用的需求和风险。
—5—
第五章
法律风险管理
第三十一条
法律风险是指违反或不遵守法律、法规、规章或约定的惯例,或者没有完善地界定有关交易各方在法律上的权利和义务而造成我行收益或资本的风险。
第三十二条
对于资金转移类交易,必须要采用双重身份认证和加密传输,并由客户设定支付额度,以此防范人民银行《电子支付指引(第一号)》提示的电子支付风险。
第三十三条
电子银行业务的开通,必须首先与客户签订电子银行服务协议及合同,明确双方的权利与义务,并在协议条款和网站上对电子银行业务有可能造成的风险进行公告。
第三十四条
对于客户有意泄露密码或未履行应尽义务的,我行应根据法律法规维护自身合法权益。
第三十五条
加强对与我行系统存在技术和业务连接的第三方机构的管理,通过正式法律协议明确双方的纠纷处理、赔偿等相关法律责任,向客户充分披露银行与第三方机构的业务流程和责权关系,积极防范法律风险。
第六章
信誉风险管理
第三十六条
信誉风险是指负面的公众舆论对我行收益或资本所造成的风险。
第三十七条
在电子系统中,应采用先进、成熟的技术,避免因技术落后给客户带来不便,使客户对我行整体服务能力产生不信赖。
第三十八条
为客户信息负责,防止因系统安全性缺陷严重损害客户的隐私权。
第三十九条
制定合适的应急计划和业务连续性计划,使系统
—6— 具备为客户提供不间断服务的能力。
第四十条
制定危机公关预案,加强与媒体的合作,针对突发事件和负面舆论,要认真分析、及时汇报、积极响应、统一口径,最大限度地消除负面影响。
第七章
合规风险管理
第四十一条
合规风险是指银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已及适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
第四十二条
电子银行部应定期组织培训学习,加大频度,培训中结合监管部门有关银行业金融机构信息科技风险管理文件要求,通过系统学习和培训,在工作中自觉贯彻执行,提高全员信息科技合规意识。
第四十三条
建立各网点一线人员联席会议制度,及时对临柜操作的各项风险点相互交流,共同研究和解决工作中出现的新问题、新情况。
第四十四条
建立电子银行业务管理部门、内控风险管理部门与业务部门的联动机制,实现各部门间的防范优势互补和信息共享,形成风险管理的合力。
第四十五条
各营业网点内部建立信息科技风险协调机制,明确责任,定期自查本网点信息科技合规方面存在的问题,遇到内部不能协调解决的问题,及时上报。
第四十六条
完善信息科技风险内控制度,查漏补缺,调整优化,严格评估信息安全内控体系的完整性和实施的有效性,电子银行部、内控风险管理部应适时组织开展辖内机构信息科技合规风险的现场检查。
—7—
第八章
异常交易监控
第四十七条
要求电子银行系统外包服务商应用专门软件对电子银行系统进行实时的监控和审计,并逐日形成日志和审计报告。按业务规则定期审查监控日志和审计报告,对于业务异常流量和交易进行事后监督和确认。
第四十八条
对电子银行客户发生的大额交易、可疑交易按监管部门的要求提取、上报。
第四十九条
电子银行客户发生大额交易、异常交易时,系统应提示相关工作人员及时联系客户,由相关工作人员根据客户的回应决定是否放行交易。
第九章
风险的分析与报告
第五十条
电子银行业务的分析与报告是指对电子银行业务风险定期进行分析,总结经验,发现问题,分析原因,采取措施,并形成业务风险报告。业务风险报告分为业务风险报告和重大突发事件的专题报告。
第五十一条
业务风险报告必须在次年1月内上报,其主要内容包括:本业务风险发生情况、风险结构、分析成因、防范措施、经验教训、整改措施。
第五十二条
重大突发事件专题报告:对系统故障、非法入侵、客户信息泄漏、客户资金被盗及内部作案等重大突发事件要逐件专题报告,并及时上报有关部门采取相应补救措施,防止损失进一步扩大。
第十章
附 则
第五十三条
本办法由XXXXXX银行内控风险管理部负责解释和修订。
—8— 第五十四条 本办法自下发之日起施行。
—9—
第三篇:电子银行操作风险与防范
电子银行操作风险与防范
一、内部控制风险
风险点1:操作人员岗位配备没有落实到位。
主要表现:一是网银内管系统录入员、审核员与实际操作人员不符,岗位变动后没有及时更新系统操作员信息,仍使用原岗位人员用户名;二是营业网点人员变动未及时办理交接登记手续
风险提示:没有按照岗位设臵要求配备操作人员,或操作人员配备流于形式,导致内部制约环节难以落实到位,存在着内部管理风险隐患。
防控措施:
1.各级会计管理部门应设臵会计录入岗、会计审核岗,负责业务参数设臵、机构管理、柜员管理等工作;
2.各级电子银行业务管理部门应设臵业务管理岗、业务审核岗,负责留言管理、公告管理、业务统计等工作;
3.各营业网点应设臵业务录入岗、业务审核岗,负责签约、数字证书管理等业务操作。(企业网银)
风险点2:非客户本人签约电子银行业务。
风险提示:如果网点柜员对客户(个人和企业)身份审核和验证不严格,一旦有不法分子恶意使用他人身份证件(或企业资料)签约电子银行业务,掌握客户银行账户账号和密码,就有可 能发生盗取客户资金案件。
严格把好客户签约注册关 防控措施:
1.签约个人网银、手机银行、网上支付、电话银行、短信通,需遵循“本人办理、本人签字、本人签收”原则,由客户本人携带银行卡及有效身份证件到柜面签约。柜员在办理签约业务时,须核实开户人本人及所持身份证件与公民身份联网核查系统中公安部门原录入身份证照片是否一致,验证身份证件是否真实有效,以确保客户本人签约。
2.签约企业网银,应重点审核客户提交的营业执照副本等证件是否真实有效;通过公民身份联网核查系统验证法定代表人、授权代理人的身份证件是否真实有效,对有疑点的客户及时电话联系企业负责人,核实经办人员身份;通过折角验印等方式核对客户预留印鉴,确保各项资料审核无误。
风险点3:代客户保管USBKEY、手机银行贴膜芯片、动态令牌等。
风险提示:如果员工持有客户USBKEY、手机银行贴膜芯片、动态令牌等,存在员工违规划拨客户资金的风险。
按重要空白凭证的要求规范化管理 防控措施:
1.加强USBKEY、手机银行贴膜芯片、动态令牌等重要空白 凭证的管理,规范其领用、出库、入库、调拨和日常使用管理。每日营业终了,营业网点要按照会计部门关于重要空白凭证管理的要求进行账实核对。
2.严格落实内部控制制约机制,要求员工及时将USBKEY、贴膜芯片、动态令牌等发放到客户手中,禁止代客户保管。
风险点4:客户资料审核环节把关不严。
风险提示:如果柜员办理签约、变更、注销等业务时,没有认真审核客户资料的完整性和真实性,一旦发生经济纠纷和案件,就无法对相应操作免责,将会给农村信用社带来法律风险。
严格按照操作规程办理 防控措施:
1.柜员应认真审核客户提供资料的完整性、授权委托书的规范性(使用财务会计部确定的格式凭证),以及填写的各项要素是否完整、各类签章是否齐全。
2.在办理个人网银业务时,应核对客户提供的账户信息与系统登记的客户身份信息是否相符,银行卡状态是否正常。
3.在办理企业网银业务时,应审核客户提供的单位活期存款账户是否符合签约企业网银的条件,核对客户提供的企业相关信息与核心业务系统登记信息是否相符。
4.办理企业网银签约业务要坚持双人操作,严格执行业务审核制度,避免擅自为企业客户开通网银的行为,以免造成客户资 金风险。
风险点5:开通网上银行、手机银行(WAP)没有按照操作规程要求进行操作。
风险提示:没有按照流程操作,浪费操作时间,影响其他客户办理业务,甚至导致客户不满或投诉。
主要表现:先出售USBKEY或动态令牌,导致已签约客户无法进行签约,这时必须对出售的USBKEY或动态令牌进行冲正,并将工本费返还给客户。
规范操作可以有效避免此类问题的发生
防控措施:客户申请开通网上银行或手机银行(WAP)时,柜员须按照“先签约,后出售USBKEY或动态令牌,最后绑定客户数字证书或动态令牌”的流程办理,严禁在未签约状态下出售USBKEY或动态令牌给客户。
风险点6:没有在客户签约电子银行时进行必要的安全提示。风险提示:在办理开通电子银行业务时,应重点提醒客户防范欺诈风险,防止在不知情的情况下,被犯罪分子欺骗签约电子银行,进而造成客户资金损失。
主动提示 尽职免责
防控措施:对主动要求签约电子银行的客户,柜员首先询问客户开通电子银行的用途,判断客户是否有被诈骗的可能。对有 被诈骗嫌疑且经提醒,客户仍执意办理电子银行业务的,柜员应向客户进行风险提示,履行风险告知义务,提醒客户切勿按照陌生人提示签约电子银行或通过电子银行办理相关业务,对接收到的陌生邮件及短信提高警惕,不要轻易相信各种套取客户资料的信息,以防上当受骗。
风险点7:客户安全操作提示不到位。
风险提示:如果客户操作提示不到位,不仅影响客户正常使用,而且有可能给客户带来经济损失。
防控措施:
1.提示客户通过正确网址登陆,防范各种欺诈。应提示客户直接登录山东省联社官方网址(www.xiexiebang.com或www.xiexiebang.com)或手机银行(WAP)网址(https://wap.sdrcu.com),切勿通过其他网站链接方式登录。
2.提示客户在登录网银或手机银行(WAP)系统后,及时核对自己设定的“预留信息”,切实防范“钓鱼网站”等欺诈。3.提示客户设臵安全性较高的密码,不要采用生日、电话号码、身份证号码中的连续几位以及简单规则排列的数字等作为网银或手机银行(WAP)的登录密码。
4.提示客户修改USBKEY初始密码,具备条件的营业网点应由大堂经理指导客户完成初始密码修改工作。
5.提醒客户妥善保管身份证件、银行卡、USBKEY及动态令 牌等重要物品;勿将账户信息、证件号码及密码信息等透漏、告知包括自称银行工作人员在内的任何人。
6.提醒客户不要在网吧等公共场所使用网上银行。
7.提醒客户使用USBKEY完成业务操作后,退出网银系统并拔下USBKEY,不要在本人离开的情况下,长时间将USBKEY插在计算机上。
风险点8:新签约电子银行客户,没有引导其通过网银体验机进行首次使用操作。
风险提示:客户没有对我们的电子银行首次登录或初始密码修改等进行操作,加大了客户操作失败的次数,客户体验较差。
防控措施:
1.营业网点要明确网银体验机的日常维护和管理职责,定期对网银体验机进行巡检,确保机具正常使用。
2.安装指定的杀毒软件,防止使用人员非法安装木马程序,采取技术措施限制客户只能登陆网银系统相关页面,并定期进行系统升级。
3.营业网点要安排相关人员通过网银体验机,教会客户首次登录网银进行相关密码变更、使用网银、安全退出等操作,有效防范资金风险。
风险点9:营业网点在客户提供的电子回单上加盖印章。风险提示:客户提供的电子回单,不符合操作规范,不作为客户的入账依据。
防控措施:按照相关操作规程要求,通过网银或手机银行内管系统查询出客户交易信息后,为其打印客户回单并加盖业务公章。
风险点10:企业年服务费扣缴,没有按照企业操作员领用的USBKEY分别扣缴。
风险提示:企业客户到柜台主动缴纳年服务费时,柜员没有对该企业全部操作员领用的USBKEY分别扣缴年服务费,导致其中一个操作员不能操作,或者其中一个USBKEY扣缴了两年的年服务费,容易造成纠纷。
防控措施:按照相关操作规程要求,对于存在一个以上操作员的企业用户要分别扣缴每个USBKEY的年服务费。
风险点11:网银注销时没有按照操作流程直接做注销操作,而是先对USBKEY解绑后再进行网银解约。
风险提示:网银解约流程不符合操作规范,导致客户数字证书没有进行吊销,存在一定的风险隐患。
严格按照操作规程办理 防控措施:
1.按照电子银行注销操作流程规范操作。2.做好对电子银行客户注销时提供资料的审核。
3.客户电子银行注销后,提示客户及时销毁USBKEY或动态令牌。
二、客户操作风险
风险点12:客户电子银行业务自助注册风险
风险提示:网银、手机银行、电话银行等电子银行业务有其便利性,同时也伴随着风险性,客户自助注册电子支付前要具备一定的电子支付和计算机操作技能,具备一定的风险防范意识,并主动实施。
防控措施:
1.认真阅读电子银行签约协议和风险提示,对于不明链接或短信提示要提高警惕;
2.对于人行“超级网银”业务中“跨行收款”、“跨行账户信息查询”和“第三方贷记”业务功能,不要轻易授权他人使用。3.网上有风险,操作需谨慎。
风险点13:客户账号及密码资料被盗。
风险提示:客户将存款账户账号、密码存入电脑,有可能被木马病毒侵害,泄露账号及密码。
防控措施:银行卡账户、密码不能保存于接入互联网的电脑中;对于不熟悉的网站,填写个人信息要谨慎;客户应设臵更高级别的单独密码,使用“数字+字母+符号”组合的高安全级别密 码;网上银行和手机银行登录密码、USBKEY密码、动态令牌开机密码、银行卡交易密码应设臵为不同的密码,且不定期修改
风险点14:客户电脑中木马病毒。
风险提示:客户要定期查杀病毒,保证在一个干净、安全的电脑里使用电子银行。
防控措施:
1.陌生人发来的链接或者邮件,不要轻易接收甚至打开;对一些后缀名为exe的安装文件,或者不常见后缀名,更要加以留心。
2.有些链接点一下,原本很清爽简单的文字会变成很长一串,而且乱七八糟,这种网页要马上关闭。
3.假如对方要发图片给你看,不要采取接收文件的形式。如果图片数量很大,可让对方上传到QQ空间或者博客里。4.养成良好的安全上网习惯,不要打开垃圾网站或可疑网站,关闭或删除系统中不需要的服务,及时给系统打补丁,安装专业防毒软件实时监控。
5.推荐使用二代USBKEY。客户数字证书本身不存在安全风险,但由于网络黑客、木马病毒的存在,加之客户操作不规范(USBKEY长时间放到电脑上)使之安全性受到威胁,建议采用二代USBKEY。由于USBKEY在客户手中,不法分子不能进行按键确认,可以有效避免资金损失 风险点15:网上消费时,打开来源不明的邮件或异常链接。
风险提示:不明卖家发送的链接或电子邮件有可能携带木马病毒,随意进入可能会遭木马攻击,从而泄露支付账号和密码。
防控措施:网上购物时,要登录正确的网址,按照购物流程直接在平台内支付,不要轻易点击卖家发送的不明链接,不要轻易接受来源不明的电子邮件。
风险点16:没有辨别“钓鱼网站”。
风险提示:不法分子通过设臵“钓鱼网站”、以假乱真等手段,达到骗取客户钱财的目的,要引起网购客户的警惕。
防控措施:
1.网上购物应保持警惕,看网站是否具有合法的ICP证及工商部门颁发的营业执照,看网站有没有公布详细的经营地址和电话号码。
2.网上购物时不能贪图便宜,更要留意其支付方式,对不接受货到付款或汇款的支付一定要慎重。
3.向卖家索要收据、发票或者其他凭证,妥善保管汇款单据等,同时保留与卖家的往来邮件,交易订单的网页等,以备不时之需。
风险点17:USBKEY、动态令牌或手机丢失。
风险提示:客户USBKEY、动态令牌或手机等设备丢失,要 在第一时间拨打客服电话(96668)进行相关签约、绑定账户的口头挂失,首先确保账户资金安全,然后到营业网点办理相关业务的具体处理工作。
防控措施:
1.USBKEY或动态令牌丢失后,客户应凭有效身份证件到签约网点办理USBKEY或动态令牌挂失手续,并领取新的USBKEY或动态令牌。
2.手机如有遗失或被盗,客户要及向运营商时报停机,凭有效身份证件到签约网点办理手机银行挂失手续,并领取新的手机银行贴膜芯片。
3.手机号码更换后,客户要及时更新短信通签约手机号码及网上银行、手机银行客户信息资料,避免账户信息泄露。
风险点18:企业网银客户代发工资操作不当带来的资金风险。
风险提示:客户对企业网银代发工资业务处理机制不了解,不清楚其入账时间,多次提交,在账户余额充足的情况下造成重复发放工资。企业员工一旦离职,重复发放的工资难以追回。
防控措施:
1.客户办理签约代发工资业务时,应告知客户代发工资业务的入账时间为日终系统批量后次日,避免客户重复提交业务。2.若出现代发工资失败的情况,企业操作人员要及时拨打客服中心(96668)或到营业网点咨询。
风险点19:客户未在网银或手机银行(WAP)中设臵预留信息。
风险提示:个人及企业客户在网银或手机银行(WAP)中设臵预留信息,每次登录时,首先验证预留信息的正确性,可有效规避误入钓鱼网站。
防控措施:客户开通网银或手机银行(WAP)业务后,应及时设臵并定期修改预留信息,且每次登录时首先核对预留信息的正确性,避免进入钓鱼网站,办理完毕业务后应安全退出系统操纵界面。
风险点20:网上支付资金账户存放资金较多。
风险提示:由于网上支付方便快捷,个人身份认证环节相对宽松,客户在网上支付绑定账户应尽量少存放资金,以免给自己带来资金损失。
防控措施:网上支付绑定资金账户中不要存入过多资金,最好随用随转。采用双账户管理网上银行支付交易,在直接支付账户中不留或少留资金,在进行支付交易时,方可将资金转到支付账户中进行交易。风险点21:客户未及时掌握网上支付账户资金变动情况。
风险提示:客户要及时掌握自己账户资金变动,在账户被盗的情况下,能最大限度避免经济损失。
防控措施:
1.客户应经常关注网银、手机银行及网上支付相关加挂账户内资金变化和登录次数,发现账户被他人操作、登录密码泄露或其他可疑情况,立即修改密码。
2.网上银行、手机银行及网上支付客户应开通短信通业务,以便及时掌握账户资金变动。手机号码变更时,应及时维护个人短信通客户信息,以防个人信息资料被他人盗取。
风险点22:客户未设臵交易限额
风险提示:客户要按照自身资金往来实际,及时合理设臵网银、手机银行等电子银行渠道单笔和日累计交易限额,有效防范资金风险。
防控措施:
1.网上银行、手机银行、电话银行签约时,可在营业网点由柜员进行相关交易限额的设臵。
2.对于已签约的网银、手机银行客户,可登录相关系统,自行设臵交易限额。
3.若由于临时大额资金划拨等原因,导致客户当日单笔或累计交易限额超过自己设定的交易限额(在银行控制的交易限额之 内),客户可更改相关设定后再办理相关资金划拨。资金划拨后,可再将交易限额调整至原设定值。
风险点23:企业客户没有按照企业网银的交易规则,设臵操作员和交易审核机制。
风险提示:部分企业客户风险意识不强,为了业务操作方便,将两个USBKEY交由一个操作员使用和管理,企业内部业务审核环节形同虚设,不能发挥应有的作用。一旦企业操作员盗窃或恶意侵占企业资金,很容易通过网上银行非法转移企业资金,案件侦破难度也会大大增加。
防控措施:企业客户应加强网银操作员的管理,加强操作员应用管理,严格落实网银内部审核流程,防止资金被恶意侵占。
风险点24:客户不重视电话银行操作风险。
风险提示:在办理电话银行业务时,客户应采取切实有效措施,切实保护账户、密码等个人关键信息,严格防止账户资金被盗情况的发生。
防控措施:
1.最好不要使用公用电话或他人手机拨打客服电话,以防账户信息、密码等个人资料泄露。
2.严格核对客服电话号码,以防误拨与客户电话相似的电话号码,防范客户账户信息、密码等资料泄露。3.使用电话银行时,不要开启电话的免提功能。
三、系统安全风险
风险点25:业务差错处臵不及时,如果涉及客户交易手续费没有及时进行冲正。
风险提示:因系统故障造成的业务差错,若得不到及时处理,可能给客户带来经济损失,甚至引发客户投诉。由于客户自身原因造成业务差错,若不能及时协助客户查明账务差错原因,有可能贻误客户追索资金的时机。
防控措施:
1.由于系统故障原因造成的错记、重记、漏记、或少记客户账务差错,要严格按照会计核算有关规定及时进行调账,涉及手续费、资金汇划费的同时进行冲正。
2.对客户自身原因造成的业务差错,要积极协助客户查明原因,并向客户解释清楚;需要追索款项的,相关部门要尽量给客户提供帮助,做好协调工作。
风险点26:系统服务中断处臵不及时。
风险提示:系统服务中断影响客户正常办理业务,如果不能及时处臵,影响客户对我们的满意度,甚至可能给客户带来经济损失;一旦引发客户投诉,可能带来声誉风险,损害农村信用社的信誉和服务形象。防控措施:
1.对于客户反映的系统服务中断事件,受理机构人员应立即排查原因,经确认,属非客户原因服务中断导致客户无法办理网银业务的,应立即向上级主管部门报告。
2.由于不可抗外力因素、系统程序缺陷等各种原因导致网银系统服务中断,省联社相关部门应立即排查系统中断原因,迅速启动应急处臵预案,采取有效处臵措施,使网上银行系统尽快恢复对外服务。
风险点27:电子银行安全事件处臵不及时。
风险提示:如果电子银行安全事件处臵不及时,造成客户资金损失,势必会引发客户投诉;一旦被新闻媒体曝光,就会带来声誉风险,造成难以挽回的损失。
防控措施:
1.客户反映账户或资金被异常使用时,受理机构人员要认真听取并记录有关情况,帮助客户查询、核对业务交易情况,认真查找分析原因,并及时向上级主管部门报告。
2.指导客户立即办理账户挂失或止付手续,及时修改相关登录密码、USBKEY密码、动态令牌开机密码,以及账户交易密码等个人信息。
3.对交易确属可疑的,要及时向省联社报告,并详细说明事件情况,主要包括:客户姓名、账号、事件经过、是否报案、采 取的措施等内容。
4.安全事件较为严重或有继续发展趋势的,需向公安机关报案的,要及时向公安机关报案并提供线索,配合公安部门侦破案件。
第四篇:信用社(银行)电话银行业务风险防范预案
信用社(银行)电话银行业务风险防范预案
为进一步加强电话银行业务及系统运行管理,完善电话银行业务流程,强化客户的风险防范意识及宣传力度,有效降低风险,确保电子银行业务的正常开展,特制定《牡丹区农村信用合作联社风险防范预案》。具体内容如下:
一、总
则
(一)目的
本预案由区联社统一组织、制定,是指导牡丹区农村信用社做好电话银行业务风险防范处置工作的依据。
(二)编制依据
本预案依据《山东银监局办公室转发银监会办公厅关于商业银行电话银行业务风险提示的通知》和中国人民银行及山东省农村信用社联合社电子银行业务风险防范方面的规定等制定。
(三)使用范围
本预案适用于牡丹区农村信用社发生的电话银行风险事故。
二、组织机构与职责
牡丹区农村信用合作联社设立电话银行业务风险管理委员会,办公室设在科技部,各信用社设立电话银行业务风险防范小组,作为应对电话银行业务风险的议事、决策、协调、处置机构。
(一)电话银行风险管理委员会的组成与职责。
1、电话银行风险管理委员会的组成。电话银行风险管理委员会由联社分管主任任主任,科技部经理、财务会计部经理担任委员,财务会计部、科技部成员担任电话银行风险管理员,各信用社成立相应领导小组,明确电话银行风险管理员。
2、电话银行风险管理委员会的职责。
(1)审议制定电话银行业务风险防范总体规划,完善风险管理工作的基本原则、基本规划和工作流程,促进电话银行风险管理工作稳步健康开展。
(2)定期召开会议,听取相关部门和信用社对电话银行风险防范工作及后续工作的汇报,分析有关电话银行风险防范的重要信息及防范措施,(3)分析、审议、决定如何开展电话银行风险防范的宣传和风险提示方式,积极防范针对电话银行的不法活动,维护银行和客户权益。
(4)协调各级职能部门共同开展电话银行风险防范处置工作,做好领导交办的其他工作。
3、电话银行风险管理工作机制。
(1)联社财务会计部负责电子银行业务风险突发事件的处理和上报;定期组织电话银行风险管理专项检查,对电话银行中存在的风险和问题及时发现,分析研究,制定相关防范措施;通 过多种渠道和方式,加大电话银行、ATM、pos、自助终端等电子银行业务的风险教育和安全提示工作,帮助客户培养良好的密 码设置习惯和密码保护意识,提高客户防范风险的意识。
(2)联社科技部负责完善电话银行业务流程,加强各类电子银行设备及系统运行管理,确保系统正常运转,保持电子银行业务的正常开展;定期对ATM、自助终端等电子设备的运行状况进行检查,制定相关应急预案。
(3)网点电话银行风险管理员负责ATM、自助终端等电子设备的日常检查,确保现金、打印纸充足及各类设备的正常运转。
(4)电话银行风险分为业务风险和系统风险,网点电话银行风险管理员根据风险种类做好电话银行风险事故的上报工作,做到及时发现、及时处理、及时上报。
三、电话银行风险突发事件的报告
(一)突发事件报告的基本原则
1、及时性:最先获悉农村信用社电话银行风险突发事件发 生信息的部门或机构人员,应当在第一时间按规定报告上级部门或相关机构。
2、准确性:报告内容要客观真实,不得主观臆断。
3、规范性:报告内容要合乎有关要求。
(二)事件发生的主要内容。
1、事件涉及的机构名称、地点、时间。
2、事件发生的原因、性质、类型、等级、可能涉及的金额及人员,损失程度,影响范围等。
(三)事件报告的一般程序。根据事件的性质,按规定上报。
四、电话银行风险事件的上报程序
(一)系统风险。因系统故障或监控故障而导致的ATM、自助终端出现异常或暂停,电子银行风险管理员或网点人员应及时上报本单位电话银行风险管理小组,同时上报联社科技部,由科技部根据事件性质做出快速处理,启动应急预案,及时恢复系统运行。
(二)业务风险。因犯罪分子利用电子银行渠道进行作案而造成的突发事件,电子银行风险管理员或网点人员应及时上报本单位电话银行风险管理小组,同时上报联社财务会计部,由财务会计部根据事件性质做出快速反应,降低客户资金风险。
五、预防和预警机制
针对不法分子的作案方法,采取有效措施防范风险:
(一)开展各种形式的电话银行风险教育,积极帮助客户培养成良好的密码设置习惯和密码保护意识。
(二)在各大营业厅张贴各种安全提示,明示电话银行业务操作应注意的各类安全事项。
(三)积极开展电话银行转账功能风险评估和分类,依据收款帐户的潜在风险高低,相应设置不同的转账额度和次数限制。对受益方不明确、资金难以追索的收款帐户,应审慎或不提供电话银行转账服务。
(四)对应用银行卡卡号和密码相组合完成登陆的电话银行业务,应根据潜在风险高低,增加其他身份信息检验要求。
(五)严格控制规定时间内同一卡号、帐号、密码等登陆信息在电话银行操作中的输入次数,避免无次数限制地允许输入错误登录信息,严格防范犯罪分子采用试探手段获取密码信息。
(六)建立电话银行异常交易检测预警机制'针对小额、多笔连续交易行为建立有效的后台监控预警体系。
六、应急晌应及启动
(一)电话银行业务风险管理员发现风险事件,启动本单位风险防范处理机制,根据事件性质,按上报程序及上报。
(二)系统风险,科技部接到事件上报的第一时间内,判断故障原因及时启动应急预案。
(三)业务风险,财务会计部接到事件上报的第一时间内,分析、审议风险事件,采取相应处理机制。
七、后期处置
事件应急处置工作结束后,相关部门和机构要做好组织、协调工作,恢复正常营业秩序,协调新闻单位做好正面宣传报道工作,把握正确的**宣传导向,最大限度地降低突发事件给农村信用社带来的不 良影响。事件结束后,依照专业、权限和有关规定组成专项调查组对事件及处置工作进行及时调查、评估与总结,事件发生责任单位应当予以配合。对事件的调查应当及时、准确,要查清事件的性质、原因和责任,总结教训并提出防范和改进措施。调查结束后,要形成书面调查报告逐级上报。
八、保障措施
(一)通讯保障
牡丹区联社要与省联社菏泽办事处、牡丹区政
府职能部门、菏泽银监分局和菏泽市人民银行保持必要的联系,并建立电话银行信息共享平台。电话银行风险管理委员会办公室应集中掌握小组成员联系电 话及其他联系方式,确保信息畅通。
(二)物资、交通保障
各级综合部门负责事件发生时的物资和交通工具保障。
九、附则
本预案由牡丹区农村信用合作联社制定,并负责修改、解释。本预案自发布之日起实施。
第五篇:电子银行业务风险管理问题分析对策
电子银行和电子货币业务的不断发展有助于提高银行业和支付系统的效率,也有助于国内外零售业务的成本下降。但电子货币和一些电子银行业务的发展和运用尚处于早期,考虑到电子银行和电子货币在将来的技术和市场发展中的不确定性,监管当局必须避免制定阻碍有益创新和实验的政策。同时,巴塞尔委员会认为,电子银行和电子货币业务为银行带来的收益与风险并存,因此风险与收益必须进行平衡。
一、电子银行业务的风险分析
随着电子银行和电子货币业务的不断发展,银行与其客户之间的跨境业务就会增加。此类业务关系会给银行和监管当局带来了各种不同的问题和风险。根据对风险的识别和分析,管理办法有3个主要步骤,即:评估风险,落实控制风险的措施和监控风险。在目前这个阶段,似乎操作风险、声誉风险、和法律风险,可能是大多数电子银行和电子货币业务中最重要的风险类别。
1、操作风险。
操作风险主要是指由于系统中存在不利于可靠性、稳定性和安全性要求的重大缺陷而导致的损失的可能性。它可能来自于电子银行客户的疏忽大意,也可能来自电子银行安全系统和其产品设计缺陷与操作失误。
2、声誉风险。
声誉风险是公众对银行产生重大负面的看法,从而引发资金来源或客户的重大损失的风险。声誉风险可能源自系统或产品没有达到预期效果,并且在公众中造成广泛的负面影响。声誉风险可能源自客户,即客户没有掌握足够的产品信息和问题解决办法,以致遇到问题而不知所措。声誉风险也可能源自对一家银行的有目标的攻击。例如,一位黑客侵入一家银行的网络,并且故意散布银行或其产品的不准确的信息。
3、法律风险。
法律风险源自违反或违背相关法律、法令、条例或约定的习惯做法,或对一笔交易各方的法律义务和权利模糊不清。从事电子银行和电子货币业务的银行,可能面临来自客户信息披露和隐私保护方面的法律风险。随着电子商务的不断发展,银行希望开展电子身份认证业务,例如通过使用数字证书。身份认证可能使一家银行面临法律风险。如果银行参加新的身份认证系统,但权利和义务在合同协议中没有明确规定,那么银行就可能蒙受法律风险。
4、其它风险。
传统的银行风险,诸如信用风险、流动性风险、利率风险和市场风险,也可以产生于电子银行和电子货币业务,但是它们的实际影响力对于银行和监管当局来说,可能与操作、声誉和法律风险大不相同。
二、建立可操作的风险防范体系
技术创新的日新月异,可能改变银行在电子货币和电子银行中所面临的风险的性质和范围。监管人员希望银行制定一些管理办法,来对付目前存在的风险,同时对新出现的风险也有相应对策。风险管理办法应包括3个基本要素,即:评估风险,控制风险和监控风险,只有这样才能达到银行和监管当局心中预期的目标。
1、安全政策和措施。
安全是系统、应用和内部控制的统一,其作用是保证数据和操作过程的完整性、真实性和保密性。安全的保障取决于银行制定和落实合适的安全政策和安全措施,也取决于银行与外部各方的交流是否安全顺畅。安全政策和措施,可以限制内部和外部的对电子银行和电子货币系统攻击的风险,也可以限制因安全违规而引发的声誉风险。
安全措施是硬件、软件工具和人员管理的统一,这样才能保证系统和操作的安全。这些措施包括很多,例如:密码技术、口令、防火墙、病毒控制和雇员遴选。密码技术是将文本数据转换成密码以防非授权的阅读。口令、口令串、个人身份识别数字、硬件标志和生物测量学都是用来控制进入和识别用户的技术。
防火墙是硬件和软件的结合,用来遴选和限制外部进入与开放型网络(如因特网)相连接的内部系统。防火墙也可以把使用因特网技术的内部网络,分隔成几个小片。防火墙技术,如设计合理且实施得当的话,能够有效地控制进入、保证数据的保密性和完整性。由于该技术设计复杂且成本昂贵,防火墙的强度和性能必须与被保护信息的敏感度相适应。一个好的设计应该包括:整个银行的安全要求,一目了然的操作步骤,职责的分解,选择可靠之人来负责防火墙的设计和操作。
虽然防火墙遴选来自外部的信号,但是并不一定能够完全防止从因特网下载来的已被病毒感染的程序。因此,管理层应该制定防止和检测的控制办法,来减少病毒入侵和数据破坏的机会,特别是对远程银行业务更应如此。缓释病毒感染风险的程序应该包括:网络控制、终端用户政策、用户培训和病毒检测软件。
并非所有安全威胁来自外部。在可能的情况下,电子银行和电子货币系统,应防止现职或已离职的雇员的非授权操作。与现有的银行业务一样,对新雇员、临时雇员、顾问的背景进行审查、内部控制和职责分解,都是保证系统安全的重要预防措施。
对于电子货币,额外的安全措施可以帮助阻止攻击和误用(包括伪造和洗钱)。这些措施包括:与发行者或中央操作
者保持热线联系;监控和追踪个人交易;维护中央数据库里的历史记录;在储值卡或商业硬件中植入防止篡改的设施;对储值卡设定最高限额和失效日期。
2、内部交流。
如果管理层和重要职员之间能够进行很好交流的话,那么操作、声誉、法律和其它风险,就能够得到有效管理和合理控制。同时,技术职员应该向管理高层汇报清楚:系统是如何设计的,该系统的长处以及不足所在。这样的一些步骤可以减少:设计缺陷造成的操作风险(包括在同一银行内不同系统之间互不兼容);数据完整性问题;因系统没有达到预期效果,而客户对银行不满所造成的声誉风险;以及信用和流动性风险。
3、评估和升级。
在产品和服务全面推广之前进行评估,有助于控制操作和声誉风险。对设备和系统要进行测试,以便知道其功能是否正常,并产生预期的结果。试运行或试点有利于开发新的应用系统。如果定期检查现行硬件和软件的功能,则可以减少由于系统速度降低或中断而造成的风险。
4、信息披露和客户教育
信息披露和客户教育,有利于银行限制法律和声誉风险。信息披露和教育项目应该让客户知道:如何使用新产品和服务、对服务和产品所收取的费用、问题和错误如何解决,这样一来,就利于银行遵守客户保护和隐私权方面的法律和条例。
应急计划。
通过制定应急计划,银行可以限制因内部程序、服务、产品传送中断而引发的风险,计划可以确保在提供电子银行和电子货币服务中断的情况下,银行有计可施。计划可以包括:数据恢复、可以替换的数据处理设施、紧急员工配备、以及客户服务支持。对备用系统应该定期测试,以保证其连续有效。银行应该确保:其应急操作与正常的生产操作一样安全。
6、对系统的运行进行测试,有利于发现异常情况,以及避免重大系统问题、中断和攻击。
通过多种不按正常步骤的方法,主动入侵系统,可以集中测试安全机制的身份认证、隔离措施情况、设计和执行方面的缺陷所在。监视是一种监控方法,即通过电脑软件或审计来跟踪相关业务。与入侵测试相比,监视集中于监控日常运作、调查异常、以及通过检测遵守安全政策情况来对安全的有效性作出动态判断。
点击咨询 