第一篇:汇金科技:银行实物流转内控风险管理一体化服务商
汇金科技:银行实物流转内控风险管理一体化服务商
■韩晋
珠海汇金科技股份有限公司主要从事基于银行现金、票据、印章等实物流转内控风险管理整体解决方案的相关应用产品研发、生产和销售,是国内最早拓展银行业实物流转内部控制风险管理市场的专业公司之一。公司致力于向银行客户提供适用于不同业务的系列化解决方案及实物流转内控风险管理系统,形成了以一体化服务为特点的经营模式,范围涵盖了业务咨询、方案设计、软件开发、硬件设计、系统集成、安装调试、技术支持、培训及后续服务的全过程。
重视自主研发创新 技术领先优势明显
汇金科技非常重视技术创新,始终坚持自主研发,通过优化结构设计和射频识别、动态密码、无线通信等技术应用,实现了银行实物流转内控风险管理的安全、可控、及时和可识别,并根据商业银行业务系统的风险特点和管理要求率先开发了银行自助设备现金管理系统、银行现金流转内控系统、银行上门服务系统以及银行印章管理系统等在内的系列产品,广泛应用于银行自助设备加配钞以及营业网点现金调缴、寄库、上门服务和印章使用等业务的内控风险管理,充分满足了银行业客户关于推进信息化、集约化建设和加强安全的需求。目前,公司已经为国内主要商业银行提供过产品和服务,用户包括五大国有商业银行、股份制商业银行、邮政储蓄银行等全国性商业银行和部分城商行、农商行、农信社以及外资银行,建立了从总行、省级分行到支行、乃至营业部的全国性客户网络。近年来,汇金科技发展迅速,证券市场红周刊 2016年11月21日
公司银行客户数量持续增长,截至2016年6月末已达1068家;银行自助设备现金管理系统累计实现销售125929台/套,约占全国联网ATM终端总量的14.53%。
经过多年的技术积累,汇金科技在银行实物流转内控风险管理领域掌握了一系列核心技术。安全性方面,公司开发密码生成主机,利用硬件生成密码技术随机生成一次性有效的动态密码,且密钥由银行自定义生成,既可防范密码失窃风险,也可防范外部人员技术破解;在印章使用过程中采用强制影像采集、识别技术,有效防范实物印章多盖、错盖等操作风险。可控性方面,公司采用实时授权机制和双向鉴权技术,实现了实物流转具体业务操作的定时、定点、定人、定项管理,即在特定的时间、地点指定特定的人实施特定的操作。及时性方面,公司通过与银行ATMC等业务系统对接或移动网络,实现了经办人员、前端设备和后端系统之间的实时数据通信。可识别性方面,公司开发了多重主体间的快速识别以及批量检测识别的射频技术,并做到“零误读、零漏读”。目前,公司已拥有银行实物流转内控风险管理领域10项发明专利、20项计算机软件著作权和51项实用新型、外观设计专利,在业内具备较为明显的技术领先优势。前瞻性开发先入为主 一体化服务锁定客户
通过长期的客户关系拓展与积累,公司已经与国内主要商业银行运营部门形成了良好沟通机制,在与银行互动交流的过程中挖掘银行对于银行实物流转内控风险管理相关产品和服务的潜在需求。在与银行紧密合作的基础上,汇金科技已经实现了自主开发的银行实物流转内控风险管理相关系统产品与银行信息系统的有效对接,公司“卡封”、“卡钔”品牌逐渐
证券市场红周刊 2016年11月21日
形成了较高的品牌价值和市场知名度,拥有较强的市场先发优势。
此外,汇金科技一体化服务的核心竞争优势尤为值得称道,在项目前期,公司将研发环节前移,直接参与银行客户具体业务流程改进的技术交流,实现研发与市场的直接对接,帮助银行发现、挖掘具体操作风险,进而在银行实物流转内控风险管理解决方案开发中及时、准确地反映客户需求;在中期开发阶段,公司具备不同专业背景的技术研发团队根据解决方案提出的功能需求,能够集成应用多领域、多学科的专业技术进行软件开发、硬件设计及系统集成;在后期安装、服务环节,公司拥有具备全国服务能力的安装、服务团队,建立了全国性的技术服务网络和响应机制,保持7天×24小时响应级别。汇金科技的一体化服务模式能够更有效地服务银行客户,提高客户黏性,发掘市场机会。
未来,随着监管机构对银行操作风险管理要求的持续提高以及银行持续推进信息化、集约化建设需求的逐渐出现,汇金科技将坚持推动研发创新,持续不断地推出新技术、新产品,凭借一体化服务的核心优势,积极引导和适应客户对实物流转内控风险管理的新需求,实现快速稳定可持续的优良发展态势。
证券市场红周刊 2016年11月21日
第二篇:银行内控与操作风险管理一体化之路
银行内控与操作风险管理一体化之路
操作风险是被“忽视”的风险
从1995年,英国的外汇交易员里森违规操作导致巴林银行破产,到2008年,一名驻巴黎交易员在股指期货上的违规操作,导致法国兴业集团损失49亿欧元,再到2010年,中国齐鲁银行被外部人员诈骗,涉案金额高达101亿元人民币,银行日常的经营无时无刻不在面临着操作风险,而对其的重视程度也是近10年才显得愈加重要起来。常见的操作风险的管理思路、方式、手段、工具以及与之配套的管理信息系统仍处于初级阶段,其计量更是不同于信用风险与市场风险,难以用风险概率分布方式进行量化。对于操作风险这样或那样的模糊认识,加之对其如何系统性的进行管理尚无经验可循,操作风险管理经常被管理者有意或无意地“忽视”着。
操作风险是什么
简单的讲,银行只要开门营业,就会面临各种由于人员、流程、系统以及外部环境冲击所带来的风险。例如,客户带来欺诈、伪造、纠纷等风险,内部人员发生越权、勾结、差错、盗窃的可能性,以及系统宕机、产品瑕疵、管理不当的风险。仅在2011年,全年银行业发案量达92件,涉案金额高达21亿元,而上述数据仅是进入银监会统计口径的数据,更多的操作风险事件几乎每天都在我们身边发生,提醒着我们操作风险不容小觑。
操作风险管理目的究竟是什么
做事情总是要考虑清楚了再动手,操作风险管理也是如此,要想清楚了风险管理的目的何在,然后再付诸于行动,我们可以把操作风险的管理目的用三种不同的层次或境界来阐述:
首先,从监管达标的角度来看,巴塞尔委员会编制的新资本协议明确提出了操作风险组织架构、政策、工具、流程和报告路线方面的监管要求,中国银监会也在2012年6月发布了《商业银行资本管理办法(试行)》,对这一监管要求做出了承接与细化,并要求在2018年前要达标。讲得直接点,操作风险管理最赤裸裸的目的是为了达银监会的标。我们称这是管理目的的第一层境界;
达标这第一层境界相对容易做到,那么达标之外,对银行有无实际效益呢?第二层境界就是从成本效益角度来讲,在可以承受的资源投入条件下,将操作风险可能造成的损失降低到管理者的风险容忍之内。简单的讲就是不干亏本的买卖,风险管理看到的效益一定要大于成本的投入;
最后的第三层境界,也是本文即将讨论的重点,即从管理提升的角度来分析。操作风险管理的目的不应仅仅在于孤立的风险管控,更要思考的是如何将管理的思路、方式、手段和工具与既有的内部控制体系相结合,形成一体化建设的整合模式,达到1+1>2的效果。当然,其实操作风险管理的目的绝不仅仅是上面这三个层次这么简单,长远看来,甚至会有第四层、第五层、乃至第六层。例如,从风险资本计提的角度来说,在操作风险高级计量法的框架下,通过计量工具,有效降低操作风险计提资本,释放银行的业务发展动能。说穿了,就是通过精细量化操作风险,少计提点风险资本,节省下来的钱拿去发展业务;这些层次暂不在本文要讲述的范围内,也就不多提了。
如何管理操作风险
那么操作风险如何进行管理呢?新协议提供了“风险与控制自我评估”、“关键风险指标风险”与“损失数据收集”三大操作风险管理工具,要求商业银行应当评估各业务条线的操作风险暴露金额与频率,并系统性地收集、跟踪和分析与操作风险相关的数据。在此基础上建立操作风险评估机制,将风险评估整合入业务处理流程,引入操作风险和控制自我评估或其他评估工具,定期评估主要业务条线的操作风险暴露,并将评估结果应用到风险考核、流程优化和风险报告中。与此同时,通过建立关键风险指标体系,及时监测相关指标,并明确指标突破阈值情况的处理流程,积极开展风险预警管控。
通过三大工具的建设和应用,帮助银行构建操作风险识别、评估、监控和预警处理的管理流程,可以确保管理层了解所面临的操作风险,并根据自身的承受能力和发展策略采取针对性的风险应对措施,以合理的成本达到预期的风险管理效果。
有了操作风险管理工具就能高枕无忧吗
然而,上述操作风险管理工具若要在银行实际落地运用,并看到实质上的效果,就必须要与银行既有的内控体系结合起来。究其原因,银行在运营的过程中,对操作风险发挥最主要也是最实际的控制效果的就是内部控制体系。良好的内部控制建设,可以有效防范起因于内部管理流程、人员以及系统的操作风险。在此基础上,我们再通过操作风险三大工具以及其配套的机制,建立操作风险识别与评估、监测与报告、控制与缓释的机制,便可让银行的操作风险管理智能化,依据自身的风险偏好与容忍度,及时监控各项业务的操作风险暴露对业务的影响,以及发掘风险管理薄弱的环节。
为什么要提内控、操风一体化建设
事实上,内控管理工作与操作风险管理工作既存在重叠,也各有侧重,就像唇与齿,缺一不可,但是独立的开展这两项管理工作势必会给银行带来很高的管理成本,因此,银行业开始探索并应用能够兼顾内控管理和操作风险管理工作的一体化管理思路,从组织与职责、体系与流程、管理工具和信息系统等各个方面将内控管理与操作风险管理两项工作整合起来。组织职责整合就是“两块牌子、一套人马”,由同一个部门和团队负责内控与操作风险管理,实现知识和人力资源的共享;体系流程与工具整合就是以操作风险管理三大工具为核心,搭载内控和操作风险管理的流程,将内控梳理、损失数据收集、风险与控制评估程序、问题与缺陷整改、风险报告及考核体系有机整合,同时兼顾内控管理和操作风险管理的需要;信息系统整合就是搭建同一的管理信息系统平台,同时收集内控与操作风险所需的数据,在统一的平台进行风险评估、监测预警、评估、学习和考核。
一体化的组织、流程、工具和信息系统管理避免了内控与操作风险管理中的重复工作,节约了时间成本与人力资源。以控制自我评估为例,它既是内控评价的重要组成部分,又是操作风险管理的重要工具,一体化的管理可以减轻基层业务人员内控与风险管理的压力。与此同时,借鉴操作风险的监控指标、风险容忍度地图、风险监测仪表盘等监控和分析决策工具,可以使得银行采取的内控管理决策更加科学,以成本效益的角度采取适当的控制措施。例如,采取风险容忍度地图方法确定管理层对操作风险容忍的底线,确定“不可接受”区间,将日常风险评估的结果落在风险地图中,如果落在“不可接受”区间,则必须立即采取措施完善内部控制。借助一体化管理信息系统绘制的风险监测仪表盘,将内控与风险管控现状、内控薄弱环节与风险暴露高发领域等评估结果进行图表与图形化展示,生成相关报告,供管理者决策,带来管理上的意义。
目前,内控与操作风险一体化管理体系已经在我国部分股份制商业银行与大型城市商业银行中开始运作,并已初见成效,各中小银行也渐渐开始思考采用这一方式。相信更多的金融机构会加入此行列,完善内部控制,提升操作风险管理能力。
第三篇:银行内控操作风险管理现状及防范措施
银行内控操作风险管理现状及防范措施
一、信阳农行操作风险管理现状
信阳农行新一届党委成立以来,把内控操作风险管理作为一项重要工作摆上议事日程,操作风险的管控能力有了较大提高,2007年内控评价由四类行晋升为三类行。
1、内控体系逐步健全。一是强化了组织制约,县域支行均建立了财务管理委员会、贷款审查委员会等决策议事机构,负责内部控制的决策咨询、审议和协调工作。二是加强了“三道防线”内控体系建设,初步形成了监管合力。作为第一道防线的业务操作层岗位制约更加严格和规范;以业务部门自律监管为主体的第二道防线的职责履行得到进一步加强;以审计、监察为主体的第三道防线得到完善,加强了对县域支行内控状况的评价,加大了风险提示和整改力度度。
2、内控措施逐步改进。为加强县域业务的操作风险管控,采取了行之有效的措施,切实提高了内控管理水平。对查出的问题不能由小看大,举一反三,扎实整改,甚至帮助违规人员求情进行责任开脱。
4、内控文化建设有待于进一步加强。县支行尤其是一线员工的内控理念和风险意识还比较薄弱,重开拓轻管理、重业务轻监督;重事后轻事前的现象比较普遍。
三、防范措施
(一)努力提高案防软实力
1、关心员工的疾苦,解决员工的学习、生活和工作困难。城区网点营业实施早九晚五后,柜员中午没地方吃饭,早晨要将中午的饭做好带入营业室以备中午饭,凉菜凉饭吃着不舒心。那种“吃苦在前,享受在后”的豪言壮语及舍我其谁的工作激情毕竟是少数、是理想的化身,短期内也许确有其人,但长期坚持难有保证。因此市、县两级行要想方设法研究解决这些困难,解决一线柜员后顾之忧,能够一门心思干工作,满腔热情搞服务。
2、提高员工收入。事实充分证明员工的收入高低与案件发生频率有很大的关系,员工的收入高、工作稳定、无后顾之忧的单位和行业,其案发率就低些或为零,否则,案件防不胜防。按照目前资源配置方式,提高员工的收入唯一的途径和办法就是将业务搞上去,这往往要受到客观因素的影响,有些单位难以实现。因此建议上级行提高我行员工收入基数,增加员工收入水平,起码能够保持与物价指数涨幅持平,使低收入员工无后顾之忧,精心工作,自觉抵制任何形式的违规。
3、倾听员工的心声,关注员工思想。这就需要包所行长到基层要充分与每个员工广泛接触,善于用领导的艺术和方法使他们把内心的、想说的话都说出来,以利于掌握思想动向,注意疏导和解决他们所面临的各种生活、学习、工作困难和矛盾,及他们所关注的焦点、难点问题,化消极为积极。
4、选好一行之长。如果一个单位一把手在人事任免权、财产购置权、收入分配权、固定资产处置权、网点装修权、奖惩决定权等上决策不民主、不科学,就会导致一个单位行风不正、士气不正,这个单位迟早会发生案件。行长要讲正气,讲原则、讲团结、讲和谐。凡事都从大局、整体利益出发,坚持用制度管人,用机制约束人,心底无私,行务透明,处理一切事情不从个人的好恶和感情出发,不厚此薄彼,一碗水端平,则整个单位自然风正、气顺,否则,极易挫伤一部分人的积极性。常言道“上有所好,下必兴焉”。正气不立、不长,少数人受益,大部分人可能心存不满,这样的环境迟早会出问题。
(二)提升案件防控整体水平
1、进一步提高防控意识。要加大学习教育力度,通过创新学习形式,丰富学习内容来增强学习效果,让制度规定等合规文化在员工中熟记于脑,烂记于心,不断提高防控意识。要让员工在教育中学会透过现象看本质,居安思危,善于从平静中发现暗潮潜流,将案件事故消灭在萌芽状态、起始阶段,做到自我警觉,自我防堵,自我保护,自我提高。
2、进一步提高内控执行力。要从案例教育、制度学习、业务操作、检查和被检查及问题的发现、整改等过程中,全面加强内控执行力建设,进一步提高全员内控执行能力,确保执行不变形走样,不折不扣,不漏损减值。
3、进一步加大员工行为排查力度。要坚持不懈做好每季员工行为排查,在此基础上重点做好重要岗位员工的行为排查,要结合员工的思想动向排查。下一步各营业单位要建立员工行为档案,对常不到岗或夜晚经常外出的“夜猫子”,要实行重点监控,看是否有不良及异常行为,异常行为表现要记录归档。
4、突出抓好“三员”管理。即所主任、会计主管和柜员。
第四篇:南京银行信息科技风险管理政策
南京银行股份有限公司信息科技风险管理政策
第一章 总则
第一条 为进一步完善南京银行股份有限公司(以下简称“本行”)全面风险管
理体系,保证本行业务的可持续发展,依据中国银行业监督管理委员会《商业银行
信息科技风险管理指引》并结合本行实际,制定本政策。
第二条 本政策所称信息科技风险是指本行在运用信息科技过程中,由于自然
因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第三条 本行信息科技风险政策取向是:稳健。实行规避、预防、缓释、抵补
等管理策略。
第四条 本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施,持续推动信息科技风险管理工作的开
展。
第五条 本行信息科技风险管理的管理原则是:全员参与、协调统一、预防为
主、动态管理。
第六条 本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管
理机制,实现对信息科技风险的识别、评估、计量、监测和控制,促进本行安全、持续、稳健运行,推动业务创新,提高本行信息技术使用水平,增强核心竞争力和
可持续发展能力。
第二章 信息科技风险的组织架构和职责
第七条 本行建立与信息科技风险特点相适应的组织架构,包括董事会、董事会
风险管理委员会、高级管理层。
第八条 董事会承担本行信息科技风险管理的最终职责。具体职责包括:
(一)建立并完善分工合理、职责明确、相互制衡、报告关系清晰的信息科技
治理组织结构;
(二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一
致;
(三)动态掌握信息科技风险政策和信息科技战略规划的执行情况、信息科技
预算和实际支出情况及信息科技的整体状况;
(四)定期听取专门委员会工作事项的执行情况。2 第九条 董事会授权风险管理委员会行使以下职责:
(一)依据本行信息科技战略,制定信息科技风险管理政策;
(二)监督高级管理层制定具体有效的信息科技风险管理制度和操作流程;
(三)按听取高级管理层的信息科技风险监测报告,评估信息科技风险管
理工作的总体效果和效率并提出完善的建议和意见;
(四)配合银监会及其派出机构做好信息科技风险监督检查工作,及时决策本
行发生的重大信息科技事故或突发事件,向银监会及其派出机构报送信息科技风险
管理的报告;
(五)确保内外部审计部门独立有效的进行信息科技风险审计,并确认审计报
告;
(六)履行董事会授权的其他信息科技风险管理职能。
第十条 高级管理层行使以下职责:
(一)负责执行本行信息科技风险政策和发展战略;
(二)制定具体的信息科技风险管理制度及具体的操作流程,确定可接受的信
息科技风险级别,确保境内外信息科技风险能够被识别、评估、计量、监测和控制,统一协调各经营部门有效开展信息科技风险管理工作;
(三)确保本行信息科技系统正常运行,有效防范跨境风险;
(四)规范职业道德行为和廉洁标准,增强内部企业文化建设,提高全体人员
对信息科技风险管理重要性的认识;
(五)组织专业培训,加强信息科技专业队伍的建设,建立人才激励机制;
(六)对董事会风险管理委员会确认的信息科技风险内外部审计报告,落实具
体的整改措施;
(七)配合银监会及其派出机构做好信息科技风险监督检查工作,并落实整改
措施,及时向银监会及其派出机构报告本行发生的重大信息科技事故或突发事件,并按相关预案快速响应;
(八)其他信息科技风险的管理职能。
第三章 信息科技风险管理的内容
第十一条 本行信息科技风险管理的内容包括但不限于:信息安全管理、信息系
统开发、测试和维护管理、信息科技运行管理、业务连续性管理和外包管理等方面。
第十二条 本行通过制定各类有效的信息科技管理制度,优化风险管理流程,提3 高制度约束的执行力水平,不断完善信息安全管理机制,最终实现信息的持续安全
管理。
第十三条 本行在信息系统开发中,采取适当的系统开发方法,充分评估信息科
技项目风险,合理安排信息科技项目的排序、立项、审批和控制;在测试和维护中,强化数据的完整性、保密性和可用性,确保系统的可靠性、完整性和可维护性,合理控制信息系统的生命周期。
第十四条 本行在信息系统运行过程中,实施必要的隔离措施,建立应急的信息
系统运行事故管理机制。
第十五条 本行在业务连续性管理过程中,通过制定适当的业务连续性规划,确
保信息系统在无法预见的中断时能够有效的运行。
第十六条 本行实施重要信息科技外包(如数据中心和信息科技基础设施等)时,坚持谨慎原则,经必要的分析、论证和审查程序,不得将信息科技管理责任外包;
适时谨慎的履行监督外包职能;在外包管理过程中,确保本行的客户资料等敏感信
息的安全。
第四章 信息科技风险管理的程序
第十七条 高级管理层按向董事会风险管理委员会出具本行信息科技风险
管理书面监测报告,详细说明信息科技风险管理情况和下一步完善措施。
第十八条 对本行重大的信息科技风险事件,在第一时间向董事会风险管理委员
会和监管部门报告。
第十九条 对监管部门现场检查和内外部审计机构审计中发现的问题,落实整改
措施并及时向董事会风险管理委员会报告。
第五章 考核与奖惩
第二十条 本行董事会将信息科技风险管理情况纳入到对董事、高级管理层的履职考核中。
第二十一条 高级管理层通过建立科学的信息科技风险管理问责制度,将信息科
技风险管理的考核指标纳入全面风险管理考核体系,以推动业务发展质量的全面提
升。
第六章 附则
第二十二条 本政策由南京银行股份有限公司董事会风险管理委员会负责解释。
第二十三条 本办法自董事会批准之日起执行。
第五篇:信息科技与电子银行风险管理
信息科技与电子银行风险管理专题
信息科技发展现状
完成了全省数据大集中
各类业务系统和管理信息系统不断丰富 更好更快更优的服务
对业务的支撑作用越来越大
信息科技地位和受关注程度越来越高 信息科技风险日益积聚 信息科技风险的概念
IT风险是指在对信息科技的运用过程中,由于自然因素、人为因素、技术漏洞、管理缺陷产生的操作风险、法律和声誉等风险。
特点:风险发生时影响较大
风险出现具有不确定性
对风险的估计或防范手段不足
对其他风险具有传导性
对当前农村合作金融机构而言,最大的风险是对科技的不够了解,以至于没有纳入日常管理内容。
信息科技风险管理的目标:通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
近年银行信息科技风险事件
2007年3月21日,某全国性银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;
8月15日,某全国性银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时之后,系统才逐步恢复正常 ;
12月21日,某全国性银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽启动应急预案,但仍然中断营业近1个小时;
08年元月7日,某地方银行因主干专线的接入设备发生故障,造成在京117家支行网点柜台交易缓慢,业务无法正常进行,故障持续1个多小时才得以解决。
06年4月,某大型银行间组织发生系统故障,导致所有银行卡跨行业务影响8个多小时
2010年,发生多起某全国性银行、地方性银行、外资银行、银行间组织等严重信息科技运行事故。
监管当局VS信息科技风险
2006年,银行业机构信息科技风险评价审计通知;
2007年,落实信息科技风险评价审计整改及自评估工作的通知 2008年,发布《银行业重要信息系统应急管理规范(试行)》; 2009年,发布《商业银行信息科技风险管理指引》 2010年,发布《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《银行业金融机构外包风险管理指引等》
目前存在的主要风险及应对措施
内控制度建设不完善,没有将科技纳入日常管理工作范围
二级法人体制下的科技建设矛盾和信息安全管理的矛盾
主要业务平台和结算渠道建设完成后,行社将成为特色业务、产品创新的主要角色
信息化快速发展造成行社科技管理的缺失:
对系统功能没有充分了解,影响业务管理,如授权、流程、劳动组合、产品创新
科技人员不足、内部审计的空缺
现状:科技人员的缺乏,法人行社内部审计对科技信息风险管理监测的缺失
措施:未雨绸缪,结合精英培养工程,制定人才补充、培养计划
内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录
充分重视科技队伍建设,做好人才储备,关键岗位
实现A、B岗
没有正确认识业务与科技关系
科技的工具作用:引领作用、创新作用
科技工具的双面性:提高生产力水平和风险的隐蔽性、聚集性
关键工作:
业务规划、市场调研:科技充分介入
业务需求说明书:科学、详细,业务为主、科技参与
测试:重点关注、运行风险及业务风险关键
科技工作特点:风险大、责任大、压力大
科技人员工作软环境:理解、认可、支持,科技人员不是电工
科技为业务服务,科技需要走在业务的前面
外包风险将是银行未来主要关注的信息科技风险
案例:
2006年4月21日,许霆与朋友郭安山利用ATM机故障漏洞取款,许取出17.5万元,许霆被广州中院判处无期徒刑。
2010年5月23日,云南农信昆明关雨信用社ATM出现故障,何鹏取1000元,取款机吐出了3700,ATM大方送钱近6万元。何鹏被抓,判无期,去年最高人民法院又改判为8年6个月。
措施:关键系统维护必须严格管理,制定完善的实施方案,清晰职责、履行审批手续,双人操作,换人复核,做好维护记录。
自己的系统自己管,落实制度、不能偷懒,外面的人员更要严管
访问控制(内外网互联)
案例:
2004年,某大学生非法侵入合肥多家银行的计算机盗取客户资料,并公布于互联网上,对银行声誉产生了很大影响,该案是公安部成立网监部门后破获的第一起案件,该罪犯被判处2年徒刑。
某银行员工,采用拨号接入方式,在家中登陆业务系统,非法窃取资金500多万。
措施:关键系统维护必须严格管理,制定完善的实施方案,履行审批手续,双人操作,换人复核,做好维护记录。
专机专用、内外网物理分离、部署检测工具软件、不在外网机器存放敏感、涉密信息
由业务而导致的科技风险
案例:
2010年,某大型银行一分行,提交50000笔代发工资业务,随即又进行取消操作,导致该行计算机系统停止服务20小时,该分行行长被调离岗位,科技部门负责人受到处分。
分析:数据修改、批量代发、中间业务等,业务对科技风险具有传导性。
措施:严格操作管理,对批量业务事先做好准备工作。计算机物理环境风险
计算机实体安全:资源管理、冗余、防盗、变更、维护 机房基础设施:防火、防水、温控、冗余 机房出入管理:门禁、登记、陪同、监控 值班与监控: 物理安全域
所有设备都要有备份、冗余 银行卡的种类及功能
按照能否提供透支功能,银行卡可分为信用卡和借记卡 针对发卡对象的不同,银行卡可分为单位卡和个人卡
按银行卡的帐号币种不同,银行卡可分为人民币卡、外币卡和双币种卡 储蓄功能、支付结算功能、汇兑转账功能、消费信贷功能 银行卡业务风险
银行卡风险管理的一般原则: 确定管理目标 进行风险评价
风险控制及处置
银行卡风险管理的原则
银行卡业务特有风险管理原则:
从上到下的风险管理策略和流程明晰化原则
深刻理解风险和收益对称的原则
应用统计手段和系统化管理的原则
有效风险管理组织架构的原则。
银行卡业务风险
银行卡风险:信用风险、市场风险、操作风险、法律政策风险、声誉风险
借记卡风险较低,主要是管理责任,包括:反洗钱、受理环境保障、风险提示义务 银行卡业务风险
信用风险:是指由于持卡人主观或者客观上的原因,违约拒付欠款而产生的坏账风险,由于信用卡属于无担保、无抵押的小额消费信贷产品,因此,信用风险是信用卡业务的一个最主要损失来源。
应对措施:做好信用卡申请人员的身份、还款来源的审查工作,系统提供预警机制。 操作风险:是指由于人员、系统以及业务流程方面的问题而产生的风险,主要包括欺诈风险、内部操作风险、中介机构交易风险和系统安全风险。
欺诈风险又分为欺诈性申请和欺诈性交易。欺诈者盗用他人身份信息而申请开户信用卡,是欺诈性申请,欺诈者盗取卡片或卡片的信息进行刷卡,是欺诈性交易。 欺诈风险也是目前最严重、危害最大的一类风险。
应对措施:一是加强本行信息系统安全管理,建立各种交易风险监控机制,构建数据分析和风险预测模型, 二是加大与中国银联、公安部门及同业之间的信息沟通与交流合作,共享银行卡风险信息和风险控制的最新措施,通过各方的力量化解风险事件, 三是做好银行卡受理环境的预防工作,按照“谁发卡,谁负责”和“谁发展的特约商户,谁负责”的原则建立发卡机构和收单机构责任追究制度,定期对特约商户进行回访制度;加大对收单机构人员银行卡受理流程的培训,做到规范受理,不给犯罪分子可乘之机。
四是加强对自助设备的巡查和监控力度。
五是加强银行卡风险宣传工作,提高持卡人风险防范意识。 内部操作风险
是指银行工作人员违规操作或操作失误造成银行资金损失,或者工作人员利用职务之便,与不法分子勾结、串通作案,引起发卡行或客户资金损失的风险。
与外部欺诈风险和中介机构交易风险相比,此类案件不具有普遍性,但是由于是内部专业人员作案,手段更加隐蔽,对银行声誉的影响也更严重。 规范内部流程、明确岗位责任、加强监督制约
声誉风险:往往是一种结果性的体现,银行卡业务环节中某一个利益主体在出现欺诈风险、系统安全风险或法律、政策性风险时,其未必会有直接性的财务损失,但往往会影响其良好品牌形象的维护,从而间接带来经济上的损失
声誉风险也来自于客户的错误操作或是疏忽。安全风险会被夸大从而导致客户对银行失去信心。
克隆网站、钓鱼网站等虚假网站会带来客户敏感信息泄露,引起资金损失从而影响银行声誉。
案例一:2009年3月8日,雷某在深圳某ATM机取钱,在正常输入密码后,听到点钞声,但出钞口未见钱出来,这时,雷某看到ATM机旁有一张“温馨提示”,就按照“温馨提示”留下的“服务热线”拨过去,对方在电话中称事主的银行卡出现故障,卡内资金已不安全,要求按提示转移到另一“安全账户内”,雷某立即在ATM上进行转账。导致资金受损1万元
应对措施:加强对ATM机和转账业务的管理,未经持卡人主动申请并书面确认,发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务 为持卡人开通自助转账业务时,要向持卡人充分提示开通有关业务的风险,并要对持卡人进行更为严格的真实身份核查,确保实名开户。同时提示持卡银行卡密码设置不能过于简单、银行卡与身份证等证件尽量不要放在一处保管,领卡时及时在卡片背面签署持卡人姓名,不要在不安全的网站链接网银。
总结
风险是可以转移的 风险就是收益
最大的风险是不能正确认识风险,不能充分管理风险
点击咨询 