第一篇:信用卡、电子银行业务风险案例分析报告
信用卡、电子银行业务风险案例分析报告
年初以来,信用卡中心紧紧围绕“防范风险、合规经营”主题开展工作,在努力完成各项任务指标的同时,着重加强业务管理和各项规章制度的落实,多种措施并举,有效地防范和控制了信用卡及电子银行业务风险。下面,就我行信用卡及电子银行业务发展过程中的风险隐患和防范情况进行具体分析:
一、信用卡业务风险与防范分析
(一)信用卡业务风险点分析及防范措施 关联案例:
今年8月9日,农行山东泰安分行信用卡中心外呼平台在外呼申请办理10份公务卡时发现该批申请许多疑点,工作人员随即提高警惕,根据支行申报资料填写地址及所盖公章上单位名称,到现场进行了逐户查找,核实确定了该申请单位地址为虚假地址。为进一步核实,工作人员又到被冒办单位某防火办公室与其工作人员进行证实,了解到该批办卡人员都不是该单位工作人员。为稳妥起见,又核对了所盖单位公章,发现公章为伪造公章。最终确定,这是一起利用虚假资料、伪造信息申请办理信用卡的案件。从而成功防范了一起利用虚假资料申办信用卡的案件,保全了我行资金安全。
1、个人信用卡业务风险分析
信用卡业务具有分散性、高利润、高风险的特点。由于信用卡所针对的客户是风险相互独立的消费者个人,客户的多样性和独立性使得信用卡业务和传统的对公业务相比,具有高度风险分散的特点。当前,我行信用卡业务风险隐患主要存在欺诈风险、持卡人信用风险和睡眠信用卡风险。
(1)欺诈风险。从我行信用卡发展情况来看,虚假申请和商户欺诈与套现成为我行信用卡业务发展过程中的极大隐患。
虚假申请是指犯罪分子使用虚假身份、冒用他人身份或使用虚假资料获取银行卡进行欺诈交易。从当前信用卡业务发展来看,主要存在虚假资料申请。信用卡申请出现了身份证件真实有效,但工作单位信息(包括工作单位、工作单位地址、办公电话等)和住宅信息(包括住宅地址、住宅电话等)均与实际情况不符的申请。由于基层营销人员片面追求绩效卡量而忽略信用卡申领人真实单位信息和住宅信息的现象时而有之,而基层调查岗人员由于申请资料过多而多数采用电话调查的方式,有时不能真实反映申领人的真实信息;还有个别员工为了完成信用卡营销指标弄虚造假,这对我行信用卡业务健康发展埋下了很大隐患。
(2)持卡人信用风险。这一风险主要是由于银行在信用卡业务的发展上,重规模、轻质量,不能有效区分潜在客户,对客户授信未予以严格把关所引发的风险。我行信用卡目前处于初级发卡阶段,主要以发卡量和市场占有率作为主要考核指标。这样的发展模式势必造成重数量轻质量的发展模式,有时为提高发卡量而人为地降低申领人准入门槛,对于客户的授信未严格执行授信标准,由此引发了信用卡申领人恶意透支风险。(3)大量闲臵和睡眠信用卡风险。由于农行信用卡发行较晚,发卡对象大部分已有招商银行、中国银行、建设银行、工商银行等其他商业银行的信用卡,而拥有这些信用卡的持卡人被各家商业银行共同确认为信用卡的中高级客户群体,因此形成了一个持卡人拥有多家商业银行的信用卡,从而造成了一些客户一人手持多卡、信用卡大量闲臵和睡眠、累计信用额度较高。从我行发卡情况来刊,银行工作人员只是简单介绍信用卡消费的便利、积分优惠、赠送礼品等正面信息,而对信用卡相关的法律规定和相关风险等介绍宣传的较少,影响了信用卡业务的健康发展。
2、主要防范措施
(1)加强风险防范,把好发卡准入关。我行信用卡中心将对申领人按照规定的程序进行严格审查,核实申领表中填写的各项内容的真实性和完整性。在资信调查上不能流于形式、走过场,要将责任落实到人,做到谁调查谁负责。同时,要加强对担保人的严格审查,除严格审查担保人的担保能力外,还应进行当面核对,确认担保的真实性、合法性和有效性,以避免追索时不必要的麻烦。申领人领取信用卡必须出具本人有效身份证件,原则上由本人亲自领取,确有困难,委托他人代办的,代领人除出示本人证件外,还要办好登记手续。
(2)强化内部管理,规范业务操作。要严重按照《中国农业银行信用卡章程》和《中国农业银行信用卡业务管理办法》进行规范性的业务操作。一是要坚持各岗位业务人员有明确分工不得混岗作业,强化各岗位间的约束机制;二是要坚持办理业务必须核对身份证与签字相一致的原则;三是要坚持做好疑问查询,超过限额授权的要登记有效身份证号码;四是要坚持执行异地存款的登记制度,建立健全信用卡事后监督制度。
(3)做好商户的培训工作,增强特约商户的风险防范意识。要根据商户不断变化的实际情况,如人员流动,经营范围扩大等,定期、不定期的对商户进行培训和现场指导,提高商户验卡、验证、刷卡、签章、授权等各项工作的效率和质量,以防止和减少特约商户人员操作不当而造成的风险损失。
(二)商户收单业务的风险及防范措施 关联案例:
2009年10月中旬,上海某公司通过虚假资料办理工商注册登记并骗领了营业执照,然后以特约商户身份向银行申请3台POS机。银行未对公司提交的资料进行仔细的审查即为其办理了相关的业务。随后,该公司在网络上发布广告,吸引信用卡持卡人到该公司办理套现交易(持卡人在不具备真实交易背景的情况下通过POS机透支刷卡,该公司扣除3%的手续费。)由于该公司在短短一个月内非法套现1600万元,公安机关已经以涉嫌刑事犯罪为由对其立案侦查。
近一段时期以来,国内银行卡收单业务风险事件呈高发态势。部分地区商户套现、盗刷持卡人资金等事件频繁发生,不法分子通过虚假申请骗取商户入网资格或通过租借、购买入网POS机具等实施违法犯罪活动,作案手段呈现异地移机、团伙作案、技术性强、资金转移迅速等特点。近期还出现了不法分子通过消费后私自撤销等方式对商户进行诈骗的新手法,收单风险防范形势十分严峻。此外,一些发卡行为转嫁风险损失,频繁发起针对商户交易的批量调单,也对收单行业务管理提出了挑战。
目前部分行收单风险意识淡漠,管理工作滞后,防控措施薄弱,难以适应风险形势的需要。突出反映在商户准入环节把关不严,未认真执行商户巡检、培训的日常管理措施,未对商户交易进行有效监控等方面。
针对以上问题采取的措施
1、加强商户准入工作。
一是认真执行现场调查制度。要对目标商户的营业场所、经营状况等进行认真现场调查,不放过任何可疑情况,未经实地调查不得审批开通商户,严防不法商户准入。二是切实落实商户实名审核措施,杜绝问题商户进入。要充分利用联网核查身份信息系统、人民银行征信系统等渠道,核实目标商户及负责人的相关信息,同时要利用中国银联风险管理系统、工商红盾网、税务部门网站等对目标商户资料进行核查,落实商户信息注册实名制,严防虚假申请。三是严格批发类商户审批手续。批发类商户应主要限于专业批发市场中从事商品批发业务的商户。对于其他营业场所商户、批零兼营商户,其商户类型要按照实际经营状态设臵,不得随意设臵为批发类。对于存量批发类商户,要逐户进行排查,不符合条件的要重新签约,调整MCC及扣率。四是对于在省行下发的商户管理实施细则中列为谨慎发展的商户类型,必须加强对商户注册成立时间、在我行开户情况等方面的评估,采取更为严格的准入标准、调查措施和审批程序。五是根据商户经营规模大小设臵单笔刷卡限额。
2、落实商户日常管理措施
一是加强新签约商户的管理。对于新发展的商户,前3个月收单行至少要每月巡检一次;对于谨慎发展的商户,3个月考察期内收单行还要每月上门收取签购单或要求商户交单。二是加强商户巡检管理。要确保至少每季度对商户进行一次现场巡检。要认真审核商户经营状况,检查机具管理和使用情况。对于存在违规移机、出租、出借POS机具的商户,要采取关闭商户交易、控制商户结算账户等措施。要核实商户是否按要求保管签购单据,发现异常情况的,要及时收回签购单据,确保发卡行调单时我行能够及时提供。三是加强商户教育和培训。要认真宣讲合法合规受理银行卡的相关法律界限和政策规定,特别是两高院关于办理妨害信用卡管理刑事案件具体应用法律的司法解释和公安部门开展的打击银行卡犯罪专项行动,对风险商户产生威慑作用。要向商户宣传出租、出借、出售POS机具、结算账户和网银证书的危害以及可能导致的严重后果,防止不法分子借机作案。要向商户详细讲解收单业务规范操作手续、风险防范知识以及机具管理、收银员及主管密码管理、单据保管的相关要求,确保正确办理业务。
二、电子银行业务风险与防范分析
(一)、网上银行的主要风险、成因及防范措施: 关联案例:
2003年2月,美国一名电脑黑客攻破了一家负责代表商家处理Visa和万事达卡交易业务的企业计算机系统,掌握了220万个顾客的信用卡号;在日本,黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码,使1600万日元不翼而飞。2002年,中国公安部曾经破获一起不法分子利用黑客手段在银行的网银服务器中植入“木马”程序,窃取了多家银行和证券客户的账号、密码信息进行诈骗的案件,涉案金额达80多万元。
1、从风险发生的概率及危害程度看,网上银行的风险主要来自三个方面。一是客户自身风险,主要是由于企业内部财务制度不健全造成的。有的企业所有印章由一人保管,企业法人对财务事项长期不管不问,一旦财务人员出现道德风险,盗窃或侵占企业资金,很容易通过网上银行非法转移企业资金,并且作案分子可以先潜逃后作案,即使东窗事发,后续的案件侦破,追回资金的难度也会大大加大。二是银行内部欺诈风险。多数来自银行员工利用客户对自己的信任,在客户不知情的情况下,代替客户注册网上银行并掌握其网银证书,通过网上银行盗窃客户资金。三是网络风险。网络风险是犯罪分子基于互联网技术,通过木马病毒,网络钓鱼,虚假网站等手段利用客户属于防范和贪图小利等心理,盗窃客户卡号,密码等关键信息,或远程控制客户计算机,通过网上银行盗窃客户资金。
2、风险的成因 概括起来主要有两个方面:一是银行外部原因。首先,客户自身安全意识薄弱,误以为保管好自己的银行账户介质就可以高枕无忧,殊不知电子银行诞生后,犯罪分子的作案手段发展到“无介质”状态。其次,目前信息化领域法律法规不健全,对打击和防范基于信息技术的木马病毒,网络钓鱼,虚假网站等犯罪行为的措施和手段不就十分有效。二是银行内部原因。主要是由于银行的各项规章制度没有落实到位。
3、防范网银风险的措施
首先,客户的自我防护能力和安全防范意识是降低电子银行风险的最佳途径。一是银行在营销客户时,应在充分了解客户的基础上酌情为客户推介合适的金融产品;二是做好客户培训工作,在客户注册网银后给予必要的操作指引,保证客户能够正常使用网上银行。三是做好客户安全教育和风险提示工作,充分告知客户使用过程中可能遇到的风险,提醒客户采取必要防范措施。其次,培育风险管理理念,加强员工职业道德教育,培养员工主动防范风险意识。
(二)、ATM机等现金类自助设备的风险防范 关联案例:
2008年5月31日22时,某持卡人到中国农业银行某支行营业网点的ATM机取款。ATM出钞口被不法分子用塑胶和强力胶水封住,客户取款时因出钞口封死,取款失败。情急之下,持卡人看见ATM机一侧贴有“电脑升级,如取款出现问题请及时与本行联系……”的提示,于是,该持卡人按提示进行操作。然而,其卡上的4万多元存款不翼而飞。
1、案件特点
一是近年在自助设备上发生的案件呈高发态势。多起案件中,犯罪分子利用伪造的刷卡、摄录设备,窃取客户银行卡磁条信息、取款密码,制作伪卡后疯狂盗刷,导致客户资金损失。二是发生在夜间。犯罪分子利用晚上,特别是凌晨自助银行无人值守的时机,贴挡监控录像镜头,伺机安装盗卡设备,实施犯罪; 三是盗卡设备越来越具备隐蔽性,一般客户难以识别。犯罪分子使用的设备从卡槽设计、形状、颜色、LOGO等方面都与自助设备融合程度很高,一般客户难以识别; 四是犯罪分子窃取到客户银行卡磁条信息、取款密码,制作伪卡后,通过取现、转账、再取现的方式迅速转移套取现金。五是张贴虚假告示,诱导客户转账的作案仍有发生。犯罪分子利用客户不熟悉自助设备服务流程的机会,提供客户虚假服务热线的方式,骗取客户资金。
2、建议
目前,大量伪卡案件源于不法分子在银行自助机具安装 侧录设备、摄像头等窃取持卡人银行卡信息、密码,进而伪造卡片盗取资金。此外,在自助设备旁张贴“提示告示”欺骗持卡人转账等情况也大量存在。
首先建议提高银行卡防伪技术;二是银行应积极提示持卡人安全用卡,防止密码等信息泄露;三是要严格落实制度中关于ATM机、自助银行设备巡查制度,发现可疑情况的,要及时予以排除;四是出现银行卡纠纷时,银行应注意留存相关证据,及时报案;五是银行卡案件涉诉的,可以采取持卡人对于其卡片资料及密码泄露存在过错、银行的技术手段和业务操作符合标准、银行对自助机具及场所等尽到安全保障义务、按照举证规则应由持卡人对伪卡交易承担举证责任等抗辩理由积极维护银行权益。
3、风险防范措施
一是各支行、网点要引起高度重视,增加巡查频率。认真分析犯罪分子的作案特点,与保安服务公司签定自助设备巡防协议,增加巡查频率,对全行附行式自助设备、附行式自助银行和离行式自助银行的夜间巡查增加巡查频率,做到及时发现问题和解决问题。开展巡检工作时,要将自助银行的门禁系统和自助设备机身是否有非法安装物或张贴物,周边是否有非法录像设备等作为必查项目,并及时记录检查情况,发现异常,妥善处臵,并立即报告上级行。二是及时清理用户遗留的交易凭条。部分客户在使用自助设备后,会遗忘或简单处理交易凭条,巡检人员要注意及时清理这些遗忘凭条,避免犯罪分子利用凭条信息实施诈骗。三是在自助设备需要进行运营维护或维修工作时,除维护商工程师外,必须确保一名行内员工及一名保安在场,行内员工需佩戴可以标识身份的证件,防止犯罪分子利用维护操作,安装非法设备。四是重点关注自助银行及设备周边可疑人群,密切注意在自助银行及设备周边逗留时间过长、手持异常电子设备的人员,一旦发现异常行为,控制犯罪嫌疑人,并及时报告公安部门。落实专人,负责此类紧急事件的快速响应,切实保障客户资金安全。五是自助设备的管理员发现客户账户、密码信息可能泄露的情况,要立即整理卡号等信息上报相关部门,及时联系客户挂失、止付账户,冻结资金。六是在自助设备上发现他行卡被盗信息,及时与发卡行客服联系或通过中国银联公司协助联系客户。七是加强客户自助设备使用的安全提示,使用过程中出现问题,第一时间拨打95599联系客户服务中心。八是加强对客户安全使用自助设备的引导,要求大堂经理在平时的引导中,对客户进行安全讲解,告知客户安全操作自助设备,同时向客户散发安全使用自助设备宣传资料,在营业网点门前电子门楣上滚动宣传安全标语,营造“轻松存取款,安全不可忘”的浓厚氛围,不要给犯罪分子留下可趁之机,提高防范效果。九是加强与外部的沟通、协调。积极与公安部门沟通、协调,现场取证,分析作案手段、特点,并主动配合公安部门,争取早日破案,为客户挽回资金损失。认真进行引导。
综上所述,市行信用卡中心将继续加强信用卡、电子银行业务风险防范与管理,切实开展业务自查和自律监管检查工作,做到切实防控风险,保障信用卡及电子银行业务合规经营、稳健发展。
第二篇:电子银行业务风险管理问题分析对策
电子银行和电子货币业务的不断发展有助于提高银行业和支付系统的效率,也有助于国内外零售业务的成本下降。但电子货币和一些电子银行业务的发展和运用尚处于早期,考虑到电子银行和电子货币在将来的技术和市场发展中的不确定性,监管当局必须避免制定阻碍有益创新和实验的政策。同时,巴塞尔委员会认为,电子银行和电子货币业务为银行带来的收益与风险并存,因此风险与收益必须进行平衡。
一、电子银行业务的风险分析
随着电子银行和电子货币业务的不断发展,银行与其客户之间的跨境业务就会增加。此类业务关系会给银行和监管当局带来了各种不同的问题和风险。根据对风险的识别和分析,管理办法有3个主要步骤,即:评估风险,落实控制风险的措施和监控风险。在目前这个阶段,似乎操作风险、声誉风险、和法律风险,可能是大多数电子银行和电子货币业务中最重要的风险类别。
1、操作风险。
操作风险主要是指由于系统中存在不利于可靠性、稳定性和安全性要求的重大缺陷而导致的损失的可能性。它可能来自于电子银行客户的疏忽大意,也可能来自电子银行安全系统和其产品设计缺陷与操作失误。
2、声誉风险。
声誉风险是公众对银行产生重大负面的看法,从而引发资金来源或客户的重大损失的风险。声誉风险可能源自系统或产品没有达到预期效果,并且在公众中造成广泛的负面影响。声誉风险可能源自客户,即客户没有掌握足够的产品信息和问题解决办法,以致遇到问题而不知所措。声誉风险也可能源自对一家银行的有目标的攻击。例如,一位黑客侵入一家银行的网络,并且故意散布银行或其产品的不准确的信息。
3、法律风险。
法律风险源自违反或违背相关法律、法令、条例或约定的习惯做法,或对一笔交易各方的法律义务和权利模糊不清。从事电子银行和电子货币业务的银行,可能面临来自客户信息披露和隐私保护方面的法律风险。随着电子商务的不断发展,银行希望开展电子身份认证业务,例如通过使用数字证书。身份认证可能使一家银行面临法律风险。如果银行参加新的身份认证系统,但权利和义务在合同协议中没有明确规定,那么银行就可能蒙受法律风险。
4、其它风险。
传统的银行风险,诸如信用风险、流动性风险、利率风险和市场风险,也可以产生于电子银行和电子货币业务,但是它们的实际影响力对于银行和监管当局来说,可能与操作、声誉和法律风险大不相同。
二、建立可操作的风险防范体系
技术创新的日新月异,可能改变银行在电子货币和电子银行中所面临的风险的性质和范围。监管人员希望银行制定一些管理办法,来对付目前存在的风险,同时对新出现的风险也有相应对策。风险管理办法应包括3个基本要素,即:评估风险,控制风险和监控风险,只有这样才能达到银行和监管当局心中预期的目标。
1、安全政策和措施。
安全是系统、应用和内部控制的统一,其作用是保证数据和操作过程的完整性、真实性和保密性。安全的保障取决于银行制定和落实合适的安全政策和安全措施,也取决于银行与外部各方的交流是否安全顺畅。安全政策和措施,可以限制内部和外部的对电子银行和电子货币系统攻击的风险,也可以限制因安全违规而引发的声誉风险。
安全措施是硬件、软件工具和人员管理的统一,这样才能保证系统和操作的安全。这些措施包括很多,例如:密码技术、口令、防火墙、病毒控制和雇员遴选。密码技术是将文本数据转换成密码以防非授权的阅读。口令、口令串、个人身份识别数字、硬件标志和生物测量学都是用来控制进入和识别用户的技术。
防火墙是硬件和软件的结合,用来遴选和限制外部进入与开放型网络(如因特网)相连接的内部系统。防火墙也可以把使用因特网技术的内部网络,分隔成几个小片。防火墙技术,如设计合理且实施得当的话,能够有效地控制进入、保证数据的保密性和完整性。由于该技术设计复杂且成本昂贵,防火墙的强度和性能必须与被保护信息的敏感度相适应。一个好的设计应该包括:整个银行的安全要求,一目了然的操作步骤,职责的分解,选择可靠之人来负责防火墙的设计和操作。
虽然防火墙遴选来自外部的信号,但是并不一定能够完全防止从因特网下载来的已被病毒感染的程序。因此,管理层应该制定防止和检测的控制办法,来减少病毒入侵和数据破坏的机会,特别是对远程银行业务更应如此。缓释病毒感染风险的程序应该包括:网络控制、终端用户政策、用户培训和病毒检测软件。
并非所有安全威胁来自外部。在可能的情况下,电子银行和电子货币系统,应防止现职或已离职的雇员的非授权操作。与现有的银行业务一样,对新雇员、临时雇员、顾问的背景进行审查、内部控制和职责分解,都是保证系统安全的重要预防措施。
对于电子货币,额外的安全措施可以帮助阻止攻击和误用(包括伪造和洗钱)。这些措施包括:与发行者或中央操作
者保持热线联系;监控和追踪个人交易;维护中央数据库里的历史记录;在储值卡或商业硬件中植入防止篡改的设施;对储值卡设定最高限额和失效日期。
2、内部交流。
如果管理层和重要职员之间能够进行很好交流的话,那么操作、声誉、法律和其它风险,就能够得到有效管理和合理控制。同时,技术职员应该向管理高层汇报清楚:系统是如何设计的,该系统的长处以及不足所在。这样的一些步骤可以减少:设计缺陷造成的操作风险(包括在同一银行内不同系统之间互不兼容);数据完整性问题;因系统没有达到预期效果,而客户对银行不满所造成的声誉风险;以及信用和流动性风险。
3、评估和升级。
在产品和服务全面推广之前进行评估,有助于控制操作和声誉风险。对设备和系统要进行测试,以便知道其功能是否正常,并产生预期的结果。试运行或试点有利于开发新的应用系统。如果定期检查现行硬件和软件的功能,则可以减少由于系统速度降低或中断而造成的风险。
4、信息披露和客户教育
信息披露和客户教育,有利于银行限制法律和声誉风险。信息披露和教育项目应该让客户知道:如何使用新产品和服务、对服务和产品所收取的费用、问题和错误如何解决,这样一来,就利于银行遵守客户保护和隐私权方面的法律和条例。
应急计划。
通过制定应急计划,银行可以限制因内部程序、服务、产品传送中断而引发的风险,计划可以确保在提供电子银行和电子货币服务中断的情况下,银行有计可施。计划可以包括:数据恢复、可以替换的数据处理设施、紧急员工配备、以及客户服务支持。对备用系统应该定期测试,以保证其连续有效。银行应该确保:其应急操作与正常的生产操作一样安全。
6、对系统的运行进行测试,有利于发现异常情况,以及避免重大系统问题、中断和攻击。
通过多种不按正常步骤的方法,主动入侵系统,可以集中测试安全机制的身份认证、隔离措施情况、设计和执行方面的缺陷所在。监视是一种监控方法,即通过电脑软件或审计来跟踪相关业务。与入侵测试相比,监视集中于监控日常运作、调查异常、以及通过检测遵守安全政策情况来对安全的有效性作出动态判断。
第三篇:电子银行业务经营情况分析
xxx信用联社9月份
电子银行业务经营情况分析
xxx市联社电子银行部:
我辖电子银行业务在省市联社及有关部门的领导和帮助下,各项业务得到了稳步发展,现将有关情况总结分析如下:
一、有关指标完成情况分析
(一)信通卡发行量和卡内余额
截止9月底,我辖信通卡存量 张,完成全年任务100.59%。卡内余额万元,完成全年任务的79 %。采取的措施一是利用布放农信“村村通”机会,宣传以折换卡方便支取;二是宣传信通卡无年费,小额帐户管理费等优势条件;三是利用代发各种农业补贴机会,宣传信通卡优势,促进发卡量。
(二)特约商户及POS布放
目前我辖营销的POS各类有传统直联POS、农信银POS、农信“村村通”POS三种。截止 月底,我辖发展直联商户 户,台;农信银 户,台;农信“村村通” 户,台。在发展特约商户的工作中,我们根据POS的功能特点,有针对性的筛选客户,努力占领收单市场。比如直联POS优先考虑零售类商户超市,大型批发市场等大量收款,且有刷信用卡需求,对外转汇款没有特殊要求的客户,但此类商户须在我辖网点开立对公结算户。而农信银POS主要针对有跨行转款需求一般批发户,农
信“村村通”农户主要针对农村内小商店、小农资超市等。二是加大对信用社主任、柜员、会计、客户经理培训力度,使他们熟悉各种POS特点,加大营销力度。
(三)ATM布放及交易量分析
目前我辖布放ATM 台,开通运行 台,还有一台存取一体机任务未完成。整体运行平稳。开机率95%,平均每台每天 笔业务。业务主要集中在信通卡取款。ATM交易量差距较大,主要是城区信用社ATM交易量较大,而布放在农村较偏避的交易量明显较少。主要原因一是信用社ATM开通时间不长,加之宣传力度不够,客户未认识到信用社ATM;二是个别社ATM布放位置选择不够合理,影响交易量。三是信通卡较其他行市场占有率低,造成客户在信用社ATM交易量小。
(四)网银业务和短信平台
我辖网银业务未正式对外开通,是试运行阶段,目前业务运行平稳,未发现问题。短信平台业务发展稳定,便利性使信通卡客户主动开通短信平台,开通用户 户。电话银行 户。
(五)村村通业务
截止9月底,全辖共布放EPOS机 部,市联社分配全年任务为 部,完成任务的107%。覆盖xxx114个自然村,覆盖率为%。其中: “基层建设年”帮扶村EPOS布放任务涉及 个村,已完成 台,个村,剩余北齐同村和西安家庄村 个农村尚未布放,正积极筛选合格农户,近期完成。
EPOS使用情况方面:农户对存取款和查询功能使用较多,消费、转账功能使用率低。在机具利用率方面,全辖EPOS使用率不高,尽管已为商户布放机具,却没有操作过实际业务。主要原因一是宣传力度小,大部分农户还没有认识到EPOS的方便、快捷。二是EPOS功能限制,目前该机具只支持信通卡,其他银行卡不支持消息和查询等功能,再就是EPOS限额低,存取现单笔1000元,不够方便。三是农户还是持币消费习惯,没有形成持卡消费理念,造成消费业务偏少。四是还未支付特约农户手续费,造成使用积极性不高。
二、下月工作计划
一是对外加大对信通卡、POS机、ATM机等电子银行业务的宣传力度,扩大市场占有率。二是对内部职工加大培训力度,使信用社职工人人都懂POS机相关知识,人人都是营销员。三是加大对本部室人员培训和学习力度,扩展知识面,学懂学精业务知识,更好的促进工作。
总之,我们按照职责分工,努力做好本职工作,扩大我辖电子银行业务的市场占有率。
二〇一二年十月二日
第四篇:电子银行业务风险与防范
课 程 提 纲
赖立峰
课程名称:电子银行业务风险与防范
课程时长:120分钟
课程简介:我国的电子银行业务始于20世纪90年代后期,目前已初步建成一套较为完整的包括网上银行、电话银行、手机银行、自助银行等渠道在内的电子银行服务体系。虽然目前我国电子银行业务得到了迅速发展,但电子银行在产品特色、经营理念及管理水平上都还存在参差不齐的现状。尤其随着我国加入WTO,外资银行全面进军国内市场,在经营地域、业务范围和客户市场上将与中资银行开展全面竞争,国内各银行风险的把握是极其必要的。因此,对电子银行业务进行风险评估与管理就成为国内商业银行把握机遇,降低风险的必要步骤。课程内容:
一、电子银行业务风险分类标准
1、《电子银行风险管理原则》(Risk Management Principle for Electronic Banking);
2、按中国银监会标准划分。
二、电子银行业务风险分析
1、传统风险:★信用(基础)、流动性、市场、利率等;
2、特殊风险:技术、★操作(差别较大)、★法律(差别较大)、战略、声誉、外包、跨境等。
三、风险的管理和控制
1、操作风险管理
2、信用风险管理
3、流动性、利率、市场风险管理
4、声誉风险管理
5、法律风险管理
四、其他措施和辅助手段:包括稽核和系统检测。
第五篇:银行电子银行业务风险管理办法
XXXXXX银行电子银行业务风险
管理办法
第一章
总 则
第一条
为加强XXXXXX银行(以下简称我行)电子银行业务风险管理,保障客户及我行的合法权益,促进电子银行业务的健康有序发展,根据《中华人民共和国电子签名法》、《电子银行业务管理办法》、《电子银行安全评估指引》、《电子支付指引(第一号)》、《商业银行信息科技风险管理指引》等信息安全的有关法律法规,制定本办法。
第二条
电子银行风险管理的目标是通过建立有效的机制,实现对电子银行风险的识别、计量、监测和控制,促进电子银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第三条
电子银行风险管理的内容包括业务风险管理和信息安全风险管理。电子银行业务的风险主要体现为:操作风险、信息科技风险、法律风险、信誉风险、合规风险以及信用风险、市场风险等。
电子银行业务信用风险、市场风险的管理应遵守我行现行各项风险管理制度。本办法重点规范操作风险、信息科技风险、法律风险、信誉风险的管理。
第四条
我行实行电子银行评估制度,重大事件报告制度。对重大事件,按事件性质和专项制度规定及时向监管部门报告。
第五条
由内控风险管理部对电子银行系统的运行状况进行定期审计。
第六条
本办法适用于我行各管理部门、业务部门、营业机构及全体员工。
—1— 第二章
风险管理的组织机构与职责
第七条
风险管理委员会负责制定电子银行风险管理政策、监控风险管理政策执行情况、制定我行电子银行风险管理活动目标、审批电子银行风险管理的重大事项,协调内控风险管理部、综合管理部、会计核算部、电子银行部、信息科技部、金电公司托管中心等相关业务管理部门之间的操作风险管理缝隙,建立涵盖辖区范围电子银行各项活动的风险管理系统。
第八条
电子银行部是电子银行业务的主管部门,主要职责有:贯彻落实电子银行监管的各项规定与政策;拟定电子银行管理、运营的各项规章制度;配合市场营销部门提供客户服务,配合市场营销部门组织开展电子银行业务的市场调研、产品开发及产品完善工作;负责提出电子银行业务开发、更新、升级需求,并组织相关测试和培训;落实电子银行风险管理政策及内控要求,确保电子银行业务运行的连续性和安全性。
第九条
电子银行业务风险管理纳入我行风险管理体系。风险管理委员会负责制订与完善风险管理制度及实施细则,组织开展电子银行业务自律监管、安全评估,有效识别、监测、控制和评估电子银行业务风险,及时向上级部门或监管部门报告风险信息和处理情况。
第十条
会计核算部负责制定会计核算规章制度,确保电子银行业务严格按照国家会计政策和我行相关制度执行,参与网银业务的需求讨论、系统测试与验收工作。
第十一条
信息科技部负责产品研发过程中的技术风险分析、新产品开发、投产、运行维护和功能完善工作;制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作;电子银行运营设备和安全控制设备的正常运转;电子银行数据的安全存放和传递;风险管理技术手段的安全保障;制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作;及时解决电子银行系统运行中
—2— 出现的技术问题,确保电子银行系统安全、正常运行。
第十二条
金电公司托管中心是我行电子银行系统的运维部门,金电公司托管中心负责制定信息系统运维相关资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、信息系统变更管理、安全事件处理、数据备份与恢复管理、信息系统应急预案、密码安全、交付管理等相关规章制度;负责信息系统运维环境网络安全管理;负责信息系统运维环境物理机房安全监控管理;负责信息系统运维环境主机安全管理,包括但不限于对服务器操作系统、数据库等安全进行管理;负责信息系统运维环境应用安全管理;负责信息系统运维环境数据安全管理,包括但不限对外包服务所涉及的重要业务数据、鉴别信息等的安全管理。
第十三条
内控风险管理部负责电子银行系统的检查审计工作,开展电子银行系统运行的审计,查找并督促消除业务风险和管理隐患,查处违反电子银行系统内部控制制度的事件。
第十四条
综合业务部负责电子银行安全措施的检查、协助公安司法部门对违法行为的调查、侦破。
第十五条
综合管理部、会计核算部分别负责电子银行业务风险管理所涉及的法律事务和反洗钱工作。
第十六条
营业部及各支行应指定专人负责电子银行业务管理工作,向客户推介电子银行业务,按照我行制定的规章制度受理和办理电子银行业务、做好电子银行业务营销、售后服务和意见反馈工作。
第三章
操作风险管理
第十七条
操作风险是指我行员工或客户没有按照相关规定或手册操作而造成我行收益或资本的风险。
第十八条
对于员工操作风险控制的基本要求:
(一)有效隔离应用系统、验证系统、处理系统和数据库等各系
—3— 统间的风险传递;
(二)确保任何单个员工和外部服务供应商都无法独立完成一项交易;
(三)加强员工思想道德教育,强化操作人员密码管理,实行分级授权管理;
(四)实行电子银行关键岗位工作人员AB角制,岗位第一责任人不在岗位时,应指定相应工作人员代其行使相关事权,确保工作不间断、不拖延。
(五)电子银行业务操作人员必须熟悉电子银行的业务操作流程,必须参加电子银行业务培训方能办理业务,电子银行部定期组织培训和考核。
第十九条
对于客户操作风险控制的基本要求:
(一)详细说明并提供演示流程,清晰告知客户电子银行操作要领;
(二)通过客户服务中心、操作指南、柜员指导等多渠道提供帮助,并及时进行风险提示;
(三)通过登陆保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率;
(四)客户重要信息(如姓名、身份证号码等)变更必须由本人持有效证件前往营业网点办理;
(五)对客户对外支付额度进行限制,支付限额如有调整必须提前十日向客户公布。
第四章
信息科技风险管理
第二十条
信息科技风险是指信息科技在电子银行系统运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷导致的我行收益或资本的风险。
—4— 第二十一条
严密防范并及时填堵系统后门,以防止黑客通过后门进入系统进行破坏和窃密。
第二十二条
严格进行网络逻辑分段,形成IP子网,实现对内部网络的隔离,在路由器上实施数据包过滤,并且利用防火墙来实现基于IP地址的内外访问控制。
第二十三条
建立实时病毒防范功能,以防止系统错误、数据混乱、服务失败等给业务系统和管理系统带来损失。
第二十四条
建立数据存储备份管理,确保在发生系统被破坏、应用错误、数据丢失时,通过数据存储管理进行及时恢复。
第二十五条
建立系统安全漏洞扫描机制,在系统使用过程中动态地寻找系统漏洞,帮助完善系统的安全,并以此防止由于其它的网络操作对系统的安全造成威胁。
第二十六条
建立外部攻击侦测机制,通过IDS、IPS系统,及时发现外部攻击行为,并对攻击行为进行及时处理,问题严重时候,启动应急预案。
第二十七条
采用身份鉴别、访问控制、数据加密、数据完整、数字签名、防重发等安全控制机制,保证客户使用的安全性。
第二十八条
进行风险评估,制定风险评估计划,识别信息资产,评价信息资产威胁发生的可能性以及弱点被利用的容易程度,确定风险等级,找出目标与现状的差距,改进信息安全措施。
第二十九条
制定安全计划,明确实施方案,确定可接受风险的程度,制定风险缓释策略,减少、规避和转移风险;检查和测试风险缓释策略和安全计划实施情况。
第三十条
保证电子银行开发环境和应用环境的分离,评估和认证后续开发应用的需求和风险。
—5—
第五章
法律风险管理
第三十一条
法律风险是指违反或不遵守法律、法规、规章或约定的惯例,或者没有完善地界定有关交易各方在法律上的权利和义务而造成我行收益或资本的风险。
第三十二条
对于资金转移类交易,必须要采用双重身份认证和加密传输,并由客户设定支付额度,以此防范人民银行《电子支付指引(第一号)》提示的电子支付风险。
第三十三条
电子银行业务的开通,必须首先与客户签订电子银行服务协议及合同,明确双方的权利与义务,并在协议条款和网站上对电子银行业务有可能造成的风险进行公告。
第三十四条
对于客户有意泄露密码或未履行应尽义务的,我行应根据法律法规维护自身合法权益。
第三十五条
加强对与我行系统存在技术和业务连接的第三方机构的管理,通过正式法律协议明确双方的纠纷处理、赔偿等相关法律责任,向客户充分披露银行与第三方机构的业务流程和责权关系,积极防范法律风险。
第六章
信誉风险管理
第三十六条
信誉风险是指负面的公众舆论对我行收益或资本所造成的风险。
第三十七条
在电子系统中,应采用先进、成熟的技术,避免因技术落后给客户带来不便,使客户对我行整体服务能力产生不信赖。
第三十八条
为客户信息负责,防止因系统安全性缺陷严重损害客户的隐私权。
第三十九条
制定合适的应急计划和业务连续性计划,使系统
—6— 具备为客户提供不间断服务的能力。
第四十条
制定危机公关预案,加强与媒体的合作,针对突发事件和负面舆论,要认真分析、及时汇报、积极响应、统一口径,最大限度地消除负面影响。
第七章
合规风险管理
第四十一条
合规风险是指银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已及适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
第四十二条
电子银行部应定期组织培训学习,加大频度,培训中结合监管部门有关银行业金融机构信息科技风险管理文件要求,通过系统学习和培训,在工作中自觉贯彻执行,提高全员信息科技合规意识。
第四十三条
建立各网点一线人员联席会议制度,及时对临柜操作的各项风险点相互交流,共同研究和解决工作中出现的新问题、新情况。
第四十四条
建立电子银行业务管理部门、内控风险管理部门与业务部门的联动机制,实现各部门间的防范优势互补和信息共享,形成风险管理的合力。
第四十五条
各营业网点内部建立信息科技风险协调机制,明确责任,定期自查本网点信息科技合规方面存在的问题,遇到内部不能协调解决的问题,及时上报。
第四十六条
完善信息科技风险内控制度,查漏补缺,调整优化,严格评估信息安全内控体系的完整性和实施的有效性,电子银行部、内控风险管理部应适时组织开展辖内机构信息科技合规风险的现场检查。
—7—
第八章
异常交易监控
第四十七条
要求电子银行系统外包服务商应用专门软件对电子银行系统进行实时的监控和审计,并逐日形成日志和审计报告。按业务规则定期审查监控日志和审计报告,对于业务异常流量和交易进行事后监督和确认。
第四十八条
对电子银行客户发生的大额交易、可疑交易按监管部门的要求提取、上报。
第四十九条
电子银行客户发生大额交易、异常交易时,系统应提示相关工作人员及时联系客户,由相关工作人员根据客户的回应决定是否放行交易。
第九章
风险的分析与报告
第五十条
电子银行业务的分析与报告是指对电子银行业务风险定期进行分析,总结经验,发现问题,分析原因,采取措施,并形成业务风险报告。业务风险报告分为业务风险报告和重大突发事件的专题报告。
第五十一条
业务风险报告必须在次年1月内上报,其主要内容包括:本业务风险发生情况、风险结构、分析成因、防范措施、经验教训、整改措施。
第五十二条
重大突发事件专题报告:对系统故障、非法入侵、客户信息泄漏、客户资金被盗及内部作案等重大突发事件要逐件专题报告,并及时上报有关部门采取相应补救措施,防止损失进一步扩大。
第十章
附 则
第五十三条
本办法由XXXXXX银行内控风险管理部负责解释和修订。
—8— 第五十四条 本办法自下发之日起施行。
—9—
点击咨询 