银行电子银行业务风险管理办法(通用8篇)
银行电子银行业务风险管理办法 篇1
管理办法
第一章
总 则
第一条
为加强XXXXXX银行(以下简称我行)电子银行业务风险管理,保障客户及我行的合法权益,促进电子银行业务的健康有序发展,根据《中华人民共和国电子签名法》、《电子银行业务管理办法》、《电子银行安全评估指引》、《电子支付指引(第一号)》、《商业银行信息科技风险管理指引》等信息安全的有关法律法规,制定本办法。
第二条
电子银行风险管理的目标是通过建立有效的机制,实现对电子银行风险的识别、计量、监测和控制,促进电子银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第三条
电子银行风险管理的内容包括业务风险管理和信息安全风险管理。电子银行业务的风险主要体现为:操作风险、信息科技风险、法律风险、信誉风险、合规风险以及信用风险、市场风险等。
电子银行业务信用风险、市场风险的管理应遵守我行现行各项风险管理制度。本办法重点规范操作风险、信息科技风险、法律风险、信誉风险的管理。
第四条
我行实行电子银行评估制度,重大事件报告制度。对重大事件,按事件性质和专项制度规定及时向监管部门报告。
第五条
由内控风险管理部对电子银行系统的运行状况进行定期审计。
第六条
本办法适用于我行各管理部门、业务部门、营业机构及全体员工。
—1— 第二章
风险管理的组织机构与职责
第七条
风险管理委员会负责制定电子银行风险管理政策、监控风险管理政策执行情况、制定我行电子银行风险管理活动目标、审批电子银行风险管理的重大事项,协调内控风险管理部、综合管理部、会计核算部、电子银行部、信息科技部、金电公司托管中心等相关业务管理部门之间的操作风险管理缝隙,建立涵盖辖区范围电子银行各项活动的风险管理系统。
第八条
电子银行部是电子银行业务的主管部门,主要职责有:贯彻落实电子银行监管的各项规定与政策;拟定电子银行管理、运营的各项规章制度;配合市场营销部门提供客户服务,配合市场营销部门组织开展电子银行业务的市场调研、产品开发及产品完善工作;负责提出电子银行业务开发、更新、升级需求,并组织相关测试和培训;落实电子银行风险管理政策及内控要求,确保电子银行业务运行的连续性和安全性。
第九条
电子银行业务风险管理纳入我行风险管理体系。风险管理委员会负责制订与完善风险管理制度及实施细则,组织开展电子银行业务自律监管、安全评估,有效识别、监测、控制和评估电子银行业务风险,及时向上级部门或监管部门报告风险信息和处理情况。
第十条
会计核算部负责制定会计核算规章制度,确保电子银行业务严格按照国家会计政策和我行相关制度执行,参与网银业务的需求讨论、系统测试与验收工作。
第十一条
信息科技部负责产品研发过程中的技术风险分析、新产品开发、投产、运行维护和功能完善工作;制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作;电子银行运营设备和安全控制设备的正常运转;电子银行数据的安全存放和传递;风险管理技术手段的安全保障;制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作;及时解决电子银行系统运行中
—2— 出现的技术问题,确保电子银行系统安全、正常运行。
第十二条
金电公司托管中心是我行电子银行系统的运维部门,金电公司托管中心负责制定信息系统运维相关资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、信息系统变更管理、安全事件处理、数据备份与恢复管理、信息系统应急预案、密码安全、交付管理等相关规章制度;负责信息系统运维环境网络安全管理;负责信息系统运维环境物理机房安全监控管理;负责信息系统运维环境主机安全管理,包括但不限于对服务器操作系统、数据库等安全进行管理;负责信息系统运维环境应用安全管理;负责信息系统运维环境数据安全管理,包括但不限对外包服务所涉及的重要业务数据、鉴别信息等的安全管理。
第十三条
内控风险管理部负责电子银行系统的检查审计工作,开展电子银行系统运行的审计,查找并督促消除业务风险和管理隐患,查处违反电子银行系统内部控制制度的事件。
第十四条
综合业务部负责电子银行安全措施的检查、协助公安司法部门对违法行为的调查、侦破。
第十五条
综合管理部、会计核算部分别负责电子银行业务风险管理所涉及的法律事务和反洗钱工作。
第十六条
营业部及各支行应指定专人负责电子银行业务管理工作,向客户推介电子银行业务,按照我行制定的规章制度受理和办理电子银行业务、做好电子银行业务营销、售后服务和意见反馈工作。
第三章
操作风险管理
第十七条
操作风险是指我行员工或客户没有按照相关规定或手册操作而造成我行收益或资本的风险。
第十八条
对于员工操作风险控制的基本要求:
(一)有效隔离应用系统、验证系统、处理系统和数据库等各系
—3— 统间的风险传递;
(二)确保任何单个员工和外部服务供应商都无法独立完成一项交易;
(三)加强员工思想道德教育,强化操作人员密码管理,实行分级授权管理;
(四)实行电子银行关键岗位工作人员AB角制,岗位第一责任人不在岗位时,应指定相应工作人员代其行使相关事权,确保工作不间断、不拖延。
(五)电子银行业务操作人员必须熟悉电子银行的业务操作流程,必须参加电子银行业务培训方能办理业务,电子银行部定期组织培训和考核。
第十九条
对于客户操作风险控制的基本要求:
(一)详细说明并提供演示流程,清晰告知客户电子银行操作要领;
(二)通过客户服务中心、操作指南、柜员指导等多渠道提供帮助,并及时进行风险提示;
(三)通过登陆保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率;
(四)客户重要信息(如姓名、身份证号码等)变更必须由本人持有效证件前往营业网点办理;
(五)对客户对外支付额度进行限制,支付限额如有调整必须提前十日向客户公布。
第四章
信息科技风险管理
第二十条
信息科技风险是指信息科技在电子银行系统运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷导致的我行收益或资本的风险。
—4— 第二十一条
严密防范并及时填堵系统后门,以防止黑客通过后门进入系统进行破坏和窃密。
第二十二条
严格进行网络逻辑分段,形成IP子网,实现对内部网络的隔离,在路由器上实施数据包过滤,并且利用防火墙来实现基于IP地址的内外访问控制。
第二十三条
建立实时病毒防范功能,以防止系统错误、数据混乱、服务失败等给业务系统和管理系统带来损失。
第二十四条
建立数据存储备份管理,确保在发生系统被破坏、应用错误、数据丢失时,通过数据存储管理进行及时恢复。
第二十五条
建立系统安全漏洞扫描机制,在系统使用过程中动态地寻找系统漏洞,帮助完善系统的安全,并以此防止由于其它的网络操作对系统的安全造成威胁。
第二十六条
建立外部攻击侦测机制,通过IDS、IPS系统,及时发现外部攻击行为,并对攻击行为进行及时处理,问题严重时候,启动应急预案。
第二十七条
采用身份鉴别、访问控制、数据加密、数据完整、数字签名、防重发等安全控制机制,保证客户使用的安全性。
第二十八条
进行风险评估,制定风险评估计划,识别信息资产,评价信息资产威胁发生的可能性以及弱点被利用的容易程度,确定风险等级,找出目标与现状的差距,改进信息安全措施。
第二十九条
制定安全计划,明确实施方案,确定可接受风险的程度,制定风险缓释策略,减少、规避和转移风险;检查和测试风险缓释策略和安全计划实施情况。
第三十条
保证电子银行开发环境和应用环境的分离,评估和认证后续开发应用的需求和风险。
—5—
第五章
法律风险管理
第三十一条
法律风险是指违反或不遵守法律、法规、规章或约定的惯例,或者没有完善地界定有关交易各方在法律上的权利和义务而造成我行收益或资本的风险。
第三十二条
对于资金转移类交易,必须要采用双重身份认证和加密传输,并由客户设定支付额度,以此防范人民银行《电子支付指引(第一号)》提示的电子支付风险。
第三十三条
电子银行业务的开通,必须首先与客户签订电子银行服务协议及合同,明确双方的权利与义务,并在协议条款和网站上对电子银行业务有可能造成的风险进行公告。
第三十四条
对于客户有意泄露密码或未履行应尽义务的,我行应根据法律法规维护自身合法权益。
第三十五条
加强对与我行系统存在技术和业务连接的第三方机构的管理,通过正式法律协议明确双方的纠纷处理、赔偿等相关法律责任,向客户充分披露银行与第三方机构的业务流程和责权关系,积极防范法律风险。
第六章
信誉风险管理
第三十六条
信誉风险是指负面的公众舆论对我行收益或资本所造成的风险。
第三十七条
在电子系统中,应采用先进、成熟的技术,避免因技术落后给客户带来不便,使客户对我行整体服务能力产生不信赖。
第三十八条
为客户信息负责,防止因系统安全性缺陷严重损害客户的隐私权。
第三十九条
制定合适的应急计划和业务连续性计划,使系统
—6— 具备为客户提供不间断服务的能力。
第四十条
制定危机公关预案,加强与媒体的合作,针对突发事件和负面舆论,要认真分析、及时汇报、积极响应、统一口径,最大限度地消除负面影响。
第七章
合规风险管理
第四十一条
合规风险是指银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已及适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
第四十二条
电子银行部应定期组织培训学习,加大频度,培训中结合监管部门有关银行业金融机构信息科技风险管理文件要求,通过系统学习和培训,在工作中自觉贯彻执行,提高全员信息科技合规意识。
第四十三条
建立各网点一线人员联席会议制度,及时对临柜操作的各项风险点相互交流,共同研究和解决工作中出现的新问题、新情况。
第四十四条
建立电子银行业务管理部门、内控风险管理部门与业务部门的联动机制,实现各部门间的防范优势互补和信息共享,形成风险管理的合力。
第四十五条
各营业网点内部建立信息科技风险协调机制,明确责任,定期自查本网点信息科技合规方面存在的问题,遇到内部不能协调解决的问题,及时上报。
第四十六条
完善信息科技风险内控制度,查漏补缺,调整优化,严格评估信息安全内控体系的完整性和实施的有效性,电子银行部、内控风险管理部应适时组织开展辖内机构信息科技合规风险的现场检查。
—7—
第八章
异常交易监控
第四十七条
要求电子银行系统外包服务商应用专门软件对电子银行系统进行实时的监控和审计,并逐日形成日志和审计报告。按业务规则定期审查监控日志和审计报告,对于业务异常流量和交易进行事后监督和确认。
第四十八条
对电子银行客户发生的大额交易、可疑交易按监管部门的要求提取、上报。
第四十九条
电子银行客户发生大额交易、异常交易时,系统应提示相关工作人员及时联系客户,由相关工作人员根据客户的回应决定是否放行交易。
第九章
风险的分析与报告
第五十条
电子银行业务的分析与报告是指对电子银行业务风险定期进行分析,总结经验,发现问题,分析原因,采取措施,并形成业务风险报告。业务风险报告分为业务风险报告和重大突发事件的专题报告。
第五十一条
业务风险报告必须在次年1月内上报,其主要内容包括:本业务风险发生情况、风险结构、分析成因、防范措施、经验教训、整改措施。
第五十二条
重大突发事件专题报告:对系统故障、非法入侵、客户信息泄漏、客户资金被盗及内部作案等重大突发事件要逐件专题报告,并及时上报有关部门采取相应补救措施,防止损失进一步扩大。
第十章
附 则
第五十三条
本办法由XXXXXX银行内控风险管理部负责解释和修订。
—8— 第五十四条 本办法自下发之日起施行。
银行电子银行业务风险管理办法 篇2
电子银行是一种新兴的技术和金融相结合的产物, 现如今已经在全世界范围推广开来, 有着蓬勃生命力。电子银行业务给商业银行带来了新的机遇, 但同时也给银行带来了收益以及风险。为了可以保证银行的正常运行, 最关键的就是提供一个安全稳定的环境。
二、电子银行业务的风险特征
电子银行风险的特征是由其手段和技术的方式所决定的。银行运行时的风险特征包括有 :
1、风险监管难度提高。电子银行的交易是在网上完成的, 是虚拟化的交易, 模糊了交易对象, 也使金融业务不受地理及时间的限制, 交易的过程也变得很不透明, 更加多样化了金融风险产生的形式。
2、加大了风险的破坏性和突发性。某些金融集团利用国际金融交易网络平台进行大范围的国际投机、投资活动, 因为熟知金融监管的法律法规就钻空子逃避金融监管, 操纵市场从而转嫁危机, 使得银行危机爆发的突然性和可能性被增加。
3、加快了扩散的速度。远程处理功能是高科技的网络技术所具有的, 提供了强大的技术支持的同时, 也加大了支付清算风险的扩散速度, 加大了风险的扩散面和补救成本。
4、增加了风险交叉传染的可能性。物理隔离的有效性在网络银行中大大减弱了, 客户和金融业的相互交叉、渗入, 加强国家间以及金融机构的风险相关性。
三、我国电子银行业务风险管理问题
1、有关法律法规不健全
目前我国未能形成健全的、完善的司法体系, 在很大程度上国内电子银行的发展则受到影响。有关电子银行的法律非常有限, 不能对电子银行业务活动各个方面制定规则。
2、风险管理人才匮乏
站在目前我国银行的人力资源结构, 可以看出在这方面有着相关实际经验的人员是极少的。①极缺乏从事创新型电子银行产品开发与服务的人才;②缺乏相应的内部控制方面的人才; ③从事电子银行信息系统生产运行安全管理方面的人才少。
3、研发创新能力不足
因为我国银行长期受到发展程度较低的金融市场环境以及利率的严格管制, 直接导致银行的创新能力的不足和创新意识的缺失。主要表现为产品单一、差异化不明显、层次低。
4、信用制度不完善
我国个人和企业的信用体系建设刚刚起步, 至今仍没有科学合理的风险评估机制进行约束, 通常都以资产质量为代价扩张银行的规模, 影响了我国银行的信用地位。而且我国电子银行客户资料因为其支付系统是各自为政导致其零散不全, 难以共享很多信息资源, 严重了我国电子银行业务的经营和发展。
5、缺乏良好的外部软硬件环境
部分人对新兴的电子银行业务知道的比较少, 难以接受电子银行及电子货币的观念, 没有一定的信心, 使得我国电子银行业务客源不足, 同时大多客户安全意识淡薄, 为犯罪分子提供了网络犯罪的机会。
6、内部管理机制不健全
我国建设商业银行内控制度跟不上金融电子化的发展, 没有完善信息系统安全管理的基本框架、策略方法、管理机制以及工作流程, 没有认真执行一些制度, 致使许多银行内部人员伺机作案及违规操作, 给电子银行的安全运行带来风险。
四、我国电子银行业务风险管理建议
1、完善法律法规建设
尽快形成健全的、完善的司法体系, 制定与电子银行业务相关的法律法规和技术规范, 实现电子银行的平稳安全运营, 确定我国电子银行业务的管辖权。明确银行内部监管员工的职责范围, 同时设立专门的监管机构对内部监管员工进行监督管理; 加强银行内部的规章制度建设, 规范员工行为;实现对电子银行员工的职业品德教育, 避免内部交易。
2、增强风险管理人才储备
电子银行业务的健康运行, 不仅要求员工对日常银行业务娴熟, 还要同时具备计算机技术、通信网络技术和金融业务知识的专业化知识, 以及全面的风险管理意识和道德素养。因此, 银行应该不断对内部员工进行各方面的科学合理培训, 加强对国内外优秀复合型人才的引进工作, 提供满意的报酬和良好的工作环境, 建立科学有效的激励机制, 坚持责任与利益相一致和效益优先、稳健经营的原则, 形成激励和约束相结合的机制。
3、提高研发创新能力
银行必须把传统经营理念转变成以客户为中心的经营理念, 增强时代精神, 树立创新意识;提高产品开发人员的工作积极性, 建立科学有效的创新人才激励和考核机制;进行产品的创新, 避免产品的同质化;实现创新产品的个性化和针对性, 紧紧抓住当前云计算、移动互联网、语音识别技术及人工智能以, 推动电子银行业务的快速发展。
4、重构信用制度
信用制度是金融市场的生命线, 无论新兴发展中的市场, 还是发达成熟的市场, 都会面临着不断完善和健全信用制度的客观需要, 尽管在信用制度比较完善的市场上, 严重的信用缺失也还是会引发系统性金融风险, 同时给金融市场带来严重的恶果。在后金融危机时代, 我国必须得从现代信用制度建设入手, 以信用专业服务机构为主体, 以信用法律法规为依据, 建立企业信用制度, 规范个人信用制度, 完善社会信用制度, 创新政府信用制度, 努力重新构建一个符合中国特色社会主义市场经济发展的信用模式。
5、构建良好的外部软硬件环境
加强把电子银行业务进行推广, 努力地把社会大众对使用电子银行的思想观念提升, 改变人们传统银行业务办理方式, 同时还得接受电子货币、银行的观念。因此要加大宣传力度, 防范电子银行业务风险的有效途径就是要强化客户安全意识, 客户使用电子银行的安全意识必须积极提高, 通过各种机会以及渠道向客户介绍各种安全风险注意事项, 正确的引导客户在如何控制风险和防范风险上进行重点关注。
同时要不断地建设和发展我国网络基础设施, 保持并提升自身的核心竞争力, 开发具有中国特色的并且具有国际顶尖水平的创新产品。而且, 国内银行必须树立知识产权意识, 应当形成自己的知识产权体系, 加强对金融产品的专利保护, 形成自身的强有力的竞争手段, 同时防止国外银行威胁国内电子银行业务的发展或者向国内银行收取专利使用费。
6、加强内部风险控制
商业银行首先要制订全面的电子渠道业务的规程以及安全规范, 在业务和技术发展的情况下及时修订完善, 确保可以及时滴发现同时处理好系统运行当中可能出现的各种问题。其次要加强员工的安全意识以及思想政治工作, 要建立健全激励约束机制, 深入开展爱岗敬业活动, 及时了解员工的思想动态, 充分调动广大员工的积极性, 降低内部违规事件出现的机率。再次要建立完善的内部控制机制, 构建电子渠道业务流程与权限相互制约体系, 建立严格的授权和保密制度, 科学分配电子银行业务各环节的权限, 加强对信息系统人员的监控。增进内部审计的效果必须要增强针对电子银行业务审计人才的储备工作, 培养和引进同时具备审计知识、通信网络技术和的计算机技术专业化人才, 充分考虑到产品开发初期安全性, 绝对不投入使用存在安全隐患的产品, 要定期重新评估其技术支持来源, 从而确定现用的方案是否可以适合其业务之后的发展, 在满足预期的将来需要上是否有着足够的弹性。
五、结束语
电子银行业务在我国的发展还得经历一个漫长的过程, 会受到很多方面的以及风险隐患的影响, 要想使得其安全稳定的发展, 因此, 必须要完善相关方面的法律法规体系的建设, 加大相关技术人员的培养, 进行相应的内外部风险控制制度, 为我国的银行业务的发展做出贡献。
参考文献
[1]王营.我国投资银行风险管理研究[D].华北电力大学 (北京) , 2011
电子银行风险评价与管理 篇3
电子银行风险分析
关于电子银行的风险,巴塞尔委员会认为,在电子银行业中,因特网及其他各种电子传送渠道仅是作为一种产品和服务的提供途径,当银行借助其开展业务时,并不产生新的风险类型,但给银行业经营风险带来了新的内容,引发风险的因素更多地与技术操作联系在一起。2001年,巴塞尔委员会发表了《电子银行风险管理原则》(Risk Management Principle for Electronic Banking),将电子银行中与技术相关的风险归结为:操作风险、声誉风险、法律风险和其他风险。
中国银监会认为,电子银行业务主要存在两类风险:一类是系统安全风险,主要是数据传输风险、应用系统设计的缺陷、计算机病毒攻击等;另一类是传统银行业务所固有的风险,如信用风险、利率和汇率风险、操作风险等,但这些风险又具有新的内涵。
电子银行的技术方式及手段决定了其风险的特征。由于电子银行在提供产品和服务时,必须以计算机为手段、以网络技术及其他各种电子传送渠道为途径,这就造成了电子银行的虚拟性。电子银行的风险在于,其虚拟的特性使其能够突破现有的银行监管体系,增加金融风险的放大效应。电子银行的风险主要表现为以下几个方面的特征:
风险的扩散快、破坏力强。高科技的网络技术所具有的快速远程处理功能,为便捷快速的金融服务提供了强大的技术支持,同时也加快了支付清算风险的扩散速度。相比传统银行,在电子银行中流动的更多的是数字化信息与电子货币,一旦风险在非常短的时间内爆发时,风险的化解就很困难,也难以预防。在传统银行的“纸质”结算中,对于出现的偶然性差错或失误有一定的时间进行纠正,而在电子银行中出现这种错误则立即会引起巨大的风险和损失,加大了风险的扩散面和补救成本。
风险交叉传染强。传统金融监管可以通过分业经营、提高市场准入规则、设置市场屏障或特许方式,将风险隔离在相对独立的领域,而电子银行削弱了传统银行金融监管的这些属性,使得监管的物理隔离有效性大大减弱。银行、证券、保险的业务不断交叉,同时也使得风险极易在这三个领域里交叉传染,而且金融业客户的相互渗透和交叉,使金融机构间、国家间的风险相关性日益加强。
风险的责任难以区分。随着信息技术不断融入银行业,电子银行业系统建设、运行和管理中常常会涉及到电信、电力、产品提供商、外包技术服务商等多个行为主体,有些则直接参与其中,因此,一旦发生如服务中断、系统崩溃、客户信息外泄等的情况时,往往难以区分事故的责任方。
风险监管的难度高。电子银行的交易过程是在网络上完成的,交易的虚拟化使金融业务失去了时间和地理限制,交易对象变得模糊,交易过程更加不透明,金融风险产生的形式更加多样化。由于被监管者和监管者之间信息不对称,金融监管机构难以准确了解金融机构资产负债的实际情况,难以针对可能的金融风险采取切实有效的金融监管手段,最终使得金融监管难度高、复杂化。
电子银行的风险分类
电子银行的风险划分可以按照不同的标准,按照风险产生的原因,一般而言,可将电子银行的风险分为传统风险和特殊风险。
电子银行的传统风险
电子银行的传统风险是指银行所固有的风险,是最基本的风险。这类的风险在电子银行和传统银行中并没有本质上的区别。电子银行的一般风险主要包括以下几种:
信用风险。信用风险是指债务人不履行合约而给债权人造成损失的可能性。在银行业中,信用风险是指由于借款人在到期日不能完全履行其还款义务或按约定行事而给银行带来的损失的可能性。与传统银行相同,电子银行也面临着贷款业务所带来的信用风险,并且由于电子银行的特殊性,其所面临的信用风险将会更大。比如,当电子银行在通过各种电子通道实现了跨地域跨国界的信贷时,银行和客户不再是面对面地交流,使得银行更加难以判断借款人身份真实性、评判其信用评级、核实借款担保抵押等方面的信息。另外,相对于传统的银行信贷,电子银行的信贷业务中除了银行和客户两个基本的当事人外,还常常包括网络运营商、网络设备提供商等主体,当发生信贷风险时,往往会因为责任方难以明确辨别而产生经济纠纷,这些都会使信用风险大大增加。
流动性风险。银行的流动性是指银行的某种资产不受损失的变现能力。流动性风险对于任何商业银行都是客观存在的,对于从事电子货币和电子支付运作的电子银行而言,如果在电子货币的投资和电子支付业务中,电子银行本身没有足够的资金来满足偿还或支付,则将遭受流动性风险,如果情况严重的话,还将连锁引发信誉风险,甚至导致电子银行的破产和倒闭。
市场风险。市场风险是指由于市场价格的变化,使得银行的资产负债表中的表内和表外头寸面临损失的风险。电子银行在存贷款业务、证券业务及电子货币支付中进行外币交易时,无疑将面临着较大的市场风险。
利率风险。利率风险是指由于利率出现不利的变动而使银行蒙受损失的可能性。利率的不利变化,同样会使电子银行的资产相对其负债发生可能的贬值。另外,在开放的网络环境下,国际资金特别是国际游资的流动速度将更加迅速,而这种期限较短、规模较大、流动性较强的资金在利率的变化下更容易对电子银行产生巨大的冲击,使
电子银行面临较大的利率风险,进而对该国的国际收支和金融市场的稳定产生极大的不利影响。
电子银行的特殊风险
电子银行的特殊风险并不是电子银行所特有的风险。这类风险,如操作风险、法律风险、声誉风险等,在传统银行环境中也都存在,只是在电子银行环境中,这些风险更具特殊性。电子银行的特殊风险主要有以下几种风险:
技术风险。技术风险是指电子银行由于技术采用不当,或是采用的技术相对落后所造成的安全性风险或系统性风险。电子银行,特别是纯电子银行主要依靠信息技术作为其技术的支撑,无论是在构建初期、正常运行还是后期日常维护,电子银行都会因其所选择的相关技术而面临风险。在构建初期,电子银行机构决策层在制定银行战略发展计划时,如果选择实施此计划的相关技术有误或不当,将会面临严重的技术决策风险;当电子银行正常运行和维护时,如果采用的技术有缺陷或者相对落后,可能会因为某一个技术环节出现问题而使整个电子银行系统出现故障,甚至停止运行;或者因为技术上的原因而使得网络黑客得以入侵电子银行系统,这些都会给电子银行带来非常严重的安全性风险和系统性风险,并且会连锁引发声誉风险和法律风险。
操作风险。操作风险是指由于系统可靠性、稳定性和安全性的重大缺陷而导致的风险。它可能是由于电子银行客户的疏忽,也可能是由于电子银行安全系统和产品的设计缺陷及操作失误产生。操作风险主要涉及电子银行账户的授权使用、电子银行的风险管理系统、电子银行与其他银行和客户之间的信息交流等。如在使用电子货币期间,网络安全系统的缺陷会令客户误认为是电子银行的欺诈行为,从而引发纠纷和风险;银行职员对业务的漫不经心,也有可能导致电子银行严重的操作风险,从而危及电子银行的总体安全。客户的疏忽也是造成操作风险的另一个主要原因。电子银行会因为客户欠缺网络安全方面的知识而面临相当高的操作风险。例如,客户在某些没有安全防护措施的场合使用私人信息,如身份鉴定、银行账号等,容易被他人窃取而导致账号泄密,使客户和银行双方都蒙受损失。此外,如果银行职员和客户不能充分理解电子银行采用的不断更新的软件,进行错误操作也会给银行或客户自身带来操作风险。当网上支付系统建成后,使用电子支票支付账目时,电子银行将摆脱物理状态(如各种建筑、柜台等)而存在。面对这一情况,会有客户因为没有了物理存在的银行而产生不安全感,进而对网络的信用产生怀疑。这种怀疑一旦蔓延开来,将会给电子银行带来另一种形式的操作风险。
法律风险。法律风险是指违反或不遵从法律、法规、规章、惯例、伦理标准而给电子银行造成的风险。银行本身所具有的高风险特征要求银行在运营中必须遵从相关的法律法规等方面的规定,而电子银行的创新性所产生的风险则对与其相适应的法律法规提出了更高的要求。与迅猛发展的电子银行相比,法律环境显得不尽完善,各国在电子银行相关法律法规的制定上步伐不一,从而使得法律风险凸显。
战略风险。美国财政部货币监理署OCC将战略风险定义为因决策失误、决策的实施不当或对行业变化缺乏响应而对银行造成的不确定性。为实现战略目标,一般需相关的IT资源来配套,包括有形资源(如计算机硬件、软件、传输网络等)和无形资源(如管理能力和才能等),当银行管理部门未能恰当的计划、管理和监督与信息技术相关的产品、服务、过程和传送渠道时,信息技术的应用就会产生战略风险。另外,如果管理部门没有理解、支持或应用Internet技术,而该技术对银行的竞争能力又是至关重要时,或银行使用了某项不可靠的技术时,也会产生战略风险。
声誉风险。声誉风险是指负面的公众舆论而导致银行资金或客户流失的风险。与传统银行相比,电子银行的声誉风险更具特殊性:负面的公众舆论会借助网络迅速的扩散而使声誉风险迅速增加。声誉风险几乎和其它所有的风险相关联,只要是由于某种或某些风险所带来的不利或损失情况被公众所获知,则无疑会连锁引发声誉风险。声誉风险可以表现为不同的轻重程度。因电子银行本身的原因而给客户带来短暂的不便,如银行系统故障导致客户短期内无法登录、支付等,使客户不满度增加,则或多或少会产生声誉风险(尽管程度可能比较轻微)。如果出现问题后银行解决不力,则声誉风险将会加大,如果因为银行系统严重故障甚至系统崩溃等情况而给客户带来损失,则会引起严重的声誉风险,甚至将引起客户集体退出的严重后果,从而使银行蒙受巨大的损失。
外包风险。外包风险是指金融机构在技术上依靠外部的技术提供商等机构而产生的风险。金融机构在选择不同的外包商时会面临不同的外包风险;金融机构在与外包商合作时,因为沟通不力而导致外包商设计错误,也会给金融机构带来外包风险;外包商将与金融机构合作中所掌握的如客户隐私等方面的信息有意无意泄露给他人,可能会给银行带来另一种类型的外包风险,如连锁产生法律风险。
跨境风险。跨境风险指金融机构在开展跨境业务后因面临不同的法律法规而产生的风险。跨境风险可能会产生综合风险,包括法律风险、信用风险及国家风险等。例如,当银行处理跨国界的客户交易时,它可能面临着不同的法律法规要求,常常会因为违反了法律而产生法律风险;通过电子银行接受来自其他国家客户的贷款申请,而使用国内客户信用评估系统,会面临信用风险;当银行与国外服务提供商或外国参与者发生业务时,因外方可能由于经济、社会和政治因素而无法履行其义务,从而可能会面临国家风险。
电子银行的风险管理
在网络环境下,网络银行仍然存在传统银行所具有的各种风险,也仍然可能发生传统银行所具有的危机或灾难。同时,在网络环境下,电子银行因其信息服务性、数字性、技术性等特点,因而可能具有比非网络环境下的银行更大的风险,可能遭受更大的损失。
对于电子银行风险的管理,根据巴塞尔银行监管委员会《电子银行和电子货币风险管理(1993.3)》(Risk Management for Electronic Banking and Electronic Money Activities,March 1993)规定,可对电子银行风险的内容、表现、影响及风险管理做出相关总结(参见表1~表5)。
银行电子银行业务风险管理办法 篇4
施及对策
我行电子银行业务主要包括网上银行、手机银行、电话银行、短信银行等,广义的还包括ATM、POS、EPOS。已形成一套独特而完整的体系,那就是:“物理网点+POS+EPOS+网上银行+手机银行+电话银行+短信银行”混合模式电子银行支付渠道体系。随着我行电子银行业务的迅速发展壮大,以及自助设备的大力应用,电子银行业务正在成为我行拓宽服务领域、实现弯道超越、调整经营战略、促进业务发展的重要手段。其在分流柜台压力、节省人力物力、降低经营管理成本、增收节支等方面起到了重要作用。但电子银行业务同时也是一把“双刃剑”,近年来,电子银行犯罪手段不断升级,电子银行业务作为我行的一项新业务,在加快发展的同时如何做好风险防范,已成为现阶段迫切需要思考和解决的问题。下面,就我行电子银行业务发展中面临的风险及防范措施主要做法如下:
一、电子银行业务风险主要有
目前,我行电子银行业务取得快速发展,在取得有效发展的同时,其风险也在不断上升,这给传统银行业带来不断挑战和压力。我行电子银行业务风险主要有:
(一)操作风险 操作风险,是指由于不完善或失灵的内部程序、人员、系统或外部事件导致的风险。操作风险是各种风险中最为常见、最为直接的风险。我行电子银行业务操作风险主要来源于以下两方面。一是内部员工的操作风险, 由于员工对电子银行业务的相关制度和新产品学习不及时、操作流程不熟悉,在电子银行业务的办理过程中,未认真审核开户人的身份信息及相关证件,未严格执行本人办理、本人开户等程序,从而埋下了安全隐患。二是客户误操作风险。我行由于地域环境、客户群体的特殊性,服务对象知识相对匮乏,对电子银行业务知识了解甚少、操作不熟练。电子银行的很多业务需要使用者具备一定的操作技能,如果客户知识缺乏、操作不熟练,就有可能产生误操作,从而产生操作风险;同时由于一些客户的安全意识不强,将自己的银行卡账号和密码告诉他人,随意放臵网银U盾,或在ATM机上取款后,随处丢弃回执单,给犯罪分子留下了可乘之机;另外,部分客户由于信息敏感性不高,容易掉入犯罪分子利用短信、邮件、假银行网站链接等方式埋下的操作陷阱,从而导致客户银行卡信息的泄露,造成风险隐患甚至财产损失。
(二)法律风险
目前,我行电子银行业务还属于新型业务,相关的法律法规和案例还不够全面,而电子银行业务在交易规则、交易合同的有效性、交易双方当事人权责及消费者权益保护等方面又较传统业务更为复杂、更难界定,从而,一旦发生电子银行业务相关的纠纷就很难解决。集中表现在三个方面:一是电子银行业务发展先于法律的建设,由于缺乏相应明确的法律和法规依据,使涉及的商业纠纷司法处理结果具有不确定性。二是电子银行业务涉及的法律文书可能存在的体系上或条款上缺陷或不完备的问题。三是对犯罪团伙可能利用电子银行渠道洗钱的监控不力引起的法律问题。
(三)信誉风险
信誉风险主要指公众对电子银行业务产生严重不利看法而导致我行无形资产遭受损失的可能性,信誉风险通常因操作风险和法律风险控制不当产生。我行要树立良好的信誉形象需要付出极大的努力,但信誉的毁损却可能发生在一瞬间,互联网的开放性和传递信息的高效率使得一旦电子银行业务出现安全事故,就会通过互联网等媒介广泛迅速传播,再加上某些竞争对手以讹传讹不断夸大问题的严重性,从而导致电子银行的信誉瞬间崩塌,使电子银行服务业务的发展受到连续、长久的消极影响,从而产生信誉风险。
(四)技术风险
技术风险的产生主要是因科技支撑保障不够而引发,包括系统软硬件故障、黑客攻击、计算机病毒引起的网络服务中断,客户网银登录账号和密码被盗,客户认证和数字签名证书被破译等风险。目前,电子银行业务所面临的风险也呈现出多样化和高技术化态势。
1.网上银行方面:早期的网络钓鱼方式是以电子邮件发送钓鱼链接,一旦用户点击链接则会访问假冒的网上银行站点,进而造成账号、密码被盗;随着通信业务和技术的进步,钓鱼方式逐步扩展为网上论坛发帖、QQ等即时通信发送消息、手机短信等,还出现了网页挂马,感染客户电脑盗取客户资金等风险。最新非常流行的社交网络,如微博等,必定成为假冒网上银行钓鱼、网银木马传播的新途径,由此产生更为严重的风险。
2.手机银行方面:手机银行技术风险点主要涉及以下三方面。一是数据提交阶段,即移动终端部分,主要是手机银行客户端风险。二是数据传输阶段,即网络通信部分,包括数据泄露、信息篡改等风险。三是数据处理阶段,即银行的技术实现层,主要针对服务器攻击、服务中止等风险。
3.电话银行方面:电话银行是利用电话为客户提供随时随地的24小时人工服务的金融服务渠道,它不与客户直接面对,通过信息系统识别客户后由客户自主或通过客服代表完成后续相关交易,操作流程存在一定的风险隐患,表现为客户信息泄漏、业务不当操作、咨询服务差错、客户身份识别、电话银行服务交接、IT系统故障或功能不足、知识库更新维护不足等风险。4.自助银行方面:目前,针对自助设备各类犯罪日益猖獗,客户资金遭到非法窃取,行业信誉受到严重影响。作案手段呈现出由低级到高级,花样层出不穷,张贴虚假告示,自制作案工具。手段越来越高呈现高科技、高智能特征,高科技犯罪有增多趋势。这无疑加大我行自助银行风险,带来严重挑战。
二、有效防范电子银行风险对策
我行电子银行业务正处起步阶段,管理体系不完善,管理制度有待健全,业务人员对新业务认知不够。电子银行业务的风险影响广、来源多、扩散速度快、解决难度大,除需要加大对电子银行业务的科技投入外,还应从几个方面采取措施以减少风险。
(一)加强内控管理,防范内部风险
加强电子银行内控管理就是要对电子银行业务的各类风险进行识别、评估、应对,采取各种方法减少电子银行风险造成损失的可能性,并在风险事件发生后尽量减少损失。具体来说,电子银行内控管理要做好以下几个方面的工作:一是确保电子银行业务流程不存在可能产生风险的漏洞,保证业务流程的闭合和严密;二是要确保办理业务的人员按照严密的流程和规则操作,防止其通过办理电子银行业务对银行或客户造成损失;三是要确保银行开办电子银行业务符合相关法律规章的要求,消除法律和监管风险;四是要根据业务风险程度对业务办理范围进行合理限制,使业务开办和交易行为与该业务的风险程度相适应;五是要明确银行与客户建立电子银行业务关系中的权利义务,避免产生法律纠纷;六是要对客户明确业务规则,充分告知其风险,防止客户与银行产生业务纠纷。
(二)建立应急机制,做好应急处理
快速应急机制是解决应急事件、确保业务连续运行的核心环节。由于电子银行业务的风险影响波及广、扩散速度快,这就要求对电子银行业务风险的反应比传统业务要更迅速、更及时。我行应在系统内建立有效的风险监控体系,在网点发现问题后,及时做好客户安抚工作,并能够以最快的时间将信息反馈到省联社。省联社接到报告后,应立即进行应急处理,采取有效措施解决问题,防止风险漫延。对于涉及到行业性的重大安全事件,应立即反馈到监管部门,由监管部门统一进行协调处理。
(三)建立安全体系,保证稳定运行
我行依据电子银行业务风险管理的目标和政策,组建信息科技和电子银行业务的管理部门,构建电子银行业务的安全体系,选择和运用合适的安全技术和产品,如“防火墙”技术、客户身份认证技术、数字加密和数字签名技术、防攻击技术和网络安全技术等。确保信息技术安全可靠,电子银行系统设计严密、功能完善、运行稳定。
(四)加强风险识别,化解业务风险
风险监测和识别体现了主动防范和积极应对的风险管理的思想和策略,因为电子银行业务是不断发展的,新的风险会不断出现,风险的表现形式也会不断变化,所以我行在日常业务中,要通过对电子银行业务的运行情况和运行环境的监控和分析,识别、评估和监控各类电子银行业务风险,风险监测和识别是有效防范、应对和化解风险的基础。
(五)加强信息披露,增强防范意识
银行电子银行业务风险管理办法 篇5
电子银行业务风险管理
——电子银行部 翟光斌
一、电子银行业务概述
银行卡 自助银行 特约商户 网上银行
电话(手机)银行
二、电子银行业务风险
电子银行是传统银行业务与现代科技高度结合的产物,它有着两者共有的风险。
电子银行业务风险是指银行或客户在运用、使用电子银行服务、产品过程中,由于各种因素如自然因素、人为因素、技术漏洞、管理缺陷产生的风险。主要有外部欺诈风险、中介机构交易风险、内部操作风险、声誉风险、法律风险等。
外部欺诈风险:主要是伪卡欺诈、直接骗取客户资金和利用ATM机骗卡三类,实现渠道主要有三种:ATM机取现、POS机套现(消费)或网络(电话)转账。外部欺诈风险是目前电子银行业务中最严重、危害最大的一类风险。
中介机构交易风险。中介机构交易风险主要是指特约商户非法
案件防控知识培训——电子银行业务风险管理
交易或违章操作引起持卡人或发卡机构资金损失的风险。
内部操作风险:是指银行工作人员违规操作或操作失误造成银行资金损失,或者工作人员利用职务之便,与不法分子勾结、串通作案,引起发卡行或客户资金损失的风险。与外部欺诈风险和中介机构交易风险相比,此类案件不具有普遍性,但是由于是内部专业人员作案,手段更加隐蔽,对银行声誉的影响也更严重。此类风险控制主要通过规范内部流程、明确岗位责任、加强监督制约来实现。
(一)银行卡(借记卡)
主要风险点
技术风险:存储介质低级、制卡技术简单; 管理风险:授权缺陷、身份确认、安全提示;
操作风险:冒名(假名)开卡、批量开卡、卡折同开、信息泄露、密码泄露、简单密码等。
风险表现形式
虚假挂失:利用银行审查不严漏洞,将他人卡(密码)挂失后获取密码。
柜面开卡:通过他人(或假)身份证在柜面开卡; 卡折同开:客户存折开户时,在客户不知情的情况下开卡; 批量开户:批量开户时,未严格按交接程序将卡移交到开卡人手中;
修改密码:非本人或非有效证件。
案件防控知识培训——电子银行业务风险管理
风险防控措施
——对客户安全提示,任何情况下都不能泄露银行卡密码; ——加强发卡、换卡、挂失(密码/卡)等环节管理; ——遵循“了解你的客户”的原则,严格持卡人身份真实性核对;对于批量发卡,加大对申请资料资信审核力度;
——建议客户使用银行卡签名,确认任何情况下为本人卡; ——卡折同开管理、零余额卡;
——建立稽核检查、合规风险管理、责任追究的长效机制。
(二)自助设备(ATM、一体机)
主要风险点
技术风险——设备技术(硬件)、软件技术、假币识别、通讯等;
机构风险——清机加钞、管理员交接、设备巡查、维修、密码、钥匙、流水账、登记簿等;
环境风险——非法广告、场地装修、墙体、门窗、监控设施、防盗、报警装臵;
操作风险——盗取信息(卡、密码)、卡掉包、退卡等。
风险表现形式
盗取卡号:通过门禁系统、ATM插卡口安装外挂读卡器获取卡号;
盗取密码:通过远程望远镜、安装微型摄像机、粘贴密码键盘
案件防控知识培训——电子银行业务风险管理
等获取他人密码;
银行卡掉包:取款人在ATM取款,输完密码等待出钞时,制造事端,将卡掉包;
取款人未退卡:若取款人没有退卡,犯罪人可继续取现至2万元。
盗窃钞箱现金:通过各种手段进入加钞室,开启自助设备保险柜盗取现金。
电信诈骗:远程遥控持卡人提供卡号和密码,或指示持卡人将卡内资金转移到指定账户。
风险防控措施
——自助设备设备日常安全检查与管理。ATM管理员和巡查员每天对设备检查不得少于三次(早中晚)。重点部位:ATM插卡口、出钞口有无附加装臵、密码键盘上有无粘贴附着物、屏幕画面有无异常、ATM附近有无微型摄像机、监控、防盗(撬)、报警等设施;
——加强日常管理,包括人员培训,钥匙、密码管理、设备故障报修管理,清机、加钞管理、吞没卡管理、长短款处理、流水、日志、登记簿管理等;
——完善自助设备环境设施,建立独立操作空间,安装防偷窥挡板和键盘防窥罩;
——建立有效的远程监控网络,安装幕帘、入侵、震动等报警系统,安装报警按钮、对讲装臵;
2009年4月5日下午,被告黎某在高安市工商银行的某自动提款机取款时,发现受害人蔡某遗留在机内的储蓄卡处于取款状态,遂以卡主身份继续实施操作,分三次每次提取3000
案件防控知识培训——电子银行业务风险管理
元,共提走9000元。得手后,黎某离开现场并将储蓄卡丢弃。2009年4月18日,黎某被公安人员抓获。
(三)特约商户POS
主要风险点
商户资信:资格审查、安装目的;
交易环节:交易真实性、偷(盗)刷、连接装臵、交易单签字、商户检查。
中介风险:特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的风险。
风险表现形式
恶意透支、盗现:最典型的POS作案手法,利用信用卡恶意透支、套现;
虚假交易:利用退单、返现等虚假交易套取现金; 借用移机:通过出租、出借给不法分子牟利; 重复刷卡:不法商户欺骗行为;
盗取信息:安装微型装臵盗取卡号和密码,与ATM作案手法相同;
不规范(甚至是非法)的信用卡营销行为引中介机构交易风险。
风险防控措施
——加强对POS特约商户资信审查;
案件防控知识培训——电子银行业务风险管理
——定期检查交易真实性; ——定期检查POS设备;
(四)网上银行
主要风险点
身份认证:用来识别客户身份的手段及方法。如密码、数字证书(U-key);
简单密码:使用家人生日、车牌号、电话号等; 计算机:用来进行网上银行资金交易的计算机;
网站:用来进行网上银行资金交易的网站,网上银行所依赖的安全技术。
风险表现形式
虚假网站:利用与真网站页面相似的假网站来引诱客户,以获取真实的信息和密码;
木马或病毒:通过木马或病毒来控制远程计算机,获取客户的卡号和密码,甚至可以直接操作远程计算机进行资金转账交易;
虚假信息:散布虚假信息,诱骗持卡人通过网上银行转移资金等。
风险防控措施
——妥善保管数字证书(U-key),关键所在; ——使用无任何意义密码;
——使用自己计算机。不要在公用计算机(如网吧、旅馆)使
案件防控知识培训——电子银行业务风险管理
用网上银行;
——查杀木马病毒。不要在使用网上银行的计算机上下载、安装来历不明的软件、游戏;
(五)电话(手机)银行
主要风险点
通讯设备:使用公用电话、将手机借给他人使用导致账户信息泄露;
虚假中奖:犯罪分子通过发送中奖信息给受害人,获取信息、密码。
风险表现形式
短信诈骗,如给客户发送中奖短信,并提供一个联系的固定电话。客户拨打该电话后,系统会提示客户输入银行卡卡号和客户密码,并称可以提供银行卡的查询、密码修改等服务。客户一旦输入,其卡号和密码立即被不法分子盗取,账户的资金将不翼而飞。
虚假客服,利用种种油头,发送虚假客户服务电话,获取卡号和密码;
密码泄露,在设臵电话银行密码时,使用过于简单的数字或使用其他上网密码(如QQ密码、电子邮箱密码等,此类密码利用网络木马很容易盗取),导致账号、密码泄露;意外密码泄露。
风险防控措施
——尽量避免在可以查询到输入号码的电话机上进行电话银
案件防控知识培训——电子银行业务风险管理
行操作,使用电话银行后,一定要记得删除通话记录。用户在电话键盘上输入的卡号、密码会被电话完整记录下来,如不及时删除,就可能被他人利用;
——在进行电话银行交易类操作时,避免使用免提电话,以防他人偷听;
——安徽农金使用的统一客户服务电话是“96669”。不要使用经其他号码连接后的“电话银行服务”。
——在设臵电话银行密码时,不要使用过于简单的数字,不要使用自己的出生日期、电话号码等容易被人猜中的数字作为密码,可以考虑分开设臵查询密码和交易密码,并定期进行修改。
银行电子银行业务风险管理办法 篇6
随着社会和经济的繁荣,计算机技术、网络技术、信息技术以及智能技术等现代高科技术的进一步发展,网络进入了千家万户,互联网广阔的处女地吸引着无数的开创者[1]。银行也从传统的经营模式转向网络化,电子银行随之应运而生。电子银行和电子货币作为21世纪金融技术和制度创新的主流,正成为各银行战略竞争的重要手段。银行的电子化和信息化,不仅使银行自身焕发出新的活力,还大大促进了国民经济信息化、全球金融一体化和经济一体化的进程。电子银行的迅速发展给人们提供了极大的便捷,其自身发展创造了新的机遇又面临着巨大的生存与发展的挑战。安全与风险是一对形影不离的“冤家”,由于电子货币的虚拟化更使人们对电子银行的安全持有不安与怀疑态度,因此对电子银行风险的控制显得尤为重要。
巴塞尔银行监管委员按风险特征将电子银行风险分为操作风险、信誉风险、法律风险和其他风险[2]。但就风险形成原因来看,可分为内部风险和外部风险2大类。银行内部风险是指银行在应用电子银行业务中因内部原因引起的风险,其主要有:
(1) 雇员引起的风险,包括雇员的欺诈行为,员工的技术和管理知识过时所引起的信用风险;
(2) 银行信息系统风险,包括系统退化引起的操作风险、病毒进入银行系统引起的安全风险、由于系统安全防范性能差异引起导致顾客信息泄露和错误交易产生的法律风险;
(3) 银行服务制度不完善引起的法律风险、包括未提供充分有效的服务信息,未保护好客户的隐私所引起的法律风险[3,4,5]。
这里重点讨论内部风险中关于员工是否具有防范和控制风险的能力的模糊综合评判。全体员工对风险的认识、防范与控制能力对于从整体上控制风险有着极其重要的作用[6,7]。任何一个电子银行单位对员工的基本要求是:具有良好的职业道德和健康状况,以及较高的文化素质水平。
2 模糊综合评判方法
模糊综合评判是一种应用广泛的模糊数学方法,它应用模糊关系映射原理,在模糊环境下,考虑多种影响因素,根据评价的指标标准和可以获得的实际数据,经过模糊变换后对事物做出综合评价的一种方法。该方法以专家已有的知识经验和对风险的主观判断为基础,(由于不同个体的知识水平、认识能力、经验和偏好不同,对同一事物的认知具有差异)利用模糊数学原理综合各位专家的评估意见,最后根据最大隶属度原理确定对各个风险因素进行管理的优先次序。
(1) 设与被评价事物相关的因素有m 个,记作U={u1,u2,…,um} 称之为因素集。
(2) 设所有可能出现的评语有n个,记作V={v1,v2,…,vn} ,称之为评价集。
(3) 建立单因素评判,即建立一个从U到f(V)的Fuzzy映射。γ:undefined,由γ可以诱导出Fuzzy关系,得到Fuzzy矩阵undefined,称R为单因素评判矩阵,并称三元有序组(U,V,R)为评判空间。由于各因素的重要程度不尽相同,所以需对各因素加权。用U上的F集A=(a1,a1,…,an),表示各因素的权分配,它与评判矩阵R的合成,就是对各因素的综合评判。
3 风险分类及模型建立和分析
3.1 风险分类
对员工是否具有防范和控制风险的能力初步划分如下:
(1) 初级程度:经过简单培训,基本满足所在岗位要求;
(2) 中级程度:经过短期的专业培训,对电子银行的相应工作基本了解,应变能力强,在短期内能迅速掌握相关工作技能,达到熟练水平;
(3) 高级程度:具有银行或电子银行相关工作经验及相应资格认证,熟练操作各项流程和程序;
(4) 高级职业技术程度:具有多年工作经验,适应新生事物能力强,能将已有经验知识迅速移植到新生事物中,对电子银行相关操作相当熟练;工作M1年出现N1次L1级的风险事件,X1年轮换1次岗位;拥有预测风险的意识和能力;
(5) 基本专业程度:既有足够的专业领域知识,理解概念和原理并在日常工作中熟练应用;工作M2年出现N2次L2级的风险事件,X2年轮换1次岗位;具有应对风险的识别能力;
(6) 丰富的专业程度:熟练掌握专业领域知识,并能在日常生活中融会贯通,这些知识通过在掌握各种原理基础上的广泛深入实践获得,或通过广泛接触先进国际知识中获得;工作M3年出现N3次L3级的风险事件,X3年轮换1次岗位;具有对风险的控制能力;
(7) 基本专家程度:确实精通掌握各种概念、原理和业务知识,这种知识通过在电子银行及计算机网络领域的深入发展,或是通过全面的业务经验及对国内外的经验总结、创新,且具有创新能力;工作M4年出现N4次L4级的风险事件,X4年轮换1次岗位;具有驾御风险的能力。拥有不同程度防范和控制风险的能力的员工对风险的影响程度和范围有着不同的影响。造成的风险类别可分为单一风险,多项风险和系列风险,风险的危害程度可分为低、中、高。
3.2 模型建立和分析
A*R=B=(b1,b2,…,bm),其中undefined。这里bj是r1j,r2j,…,rnj的函数,也就是评判矩阵。广义复合运算称为模糊综合评判A*R=B=(b1,b2,…,bm)。其中由广义模糊运算的定义,计算Bj一般可选4种算子,即M(ν,Λ),M(·,v),M(Λ,⊕),M(·,⊕),前3种用于突出主要因素,不考虑或稍微考虑次要因素的综合评判,后一种是对所有因素权重大小均衡兼顾,对风险的综合评价具有较好的效果,故本文采用M(·,⊕)算子[8,9,10]。
(1) 设因素集U={u1,u2,u3,u4,u5,u6,u7},其中u1=A,u2=B,u3=C,u4=D,u5=E,u6=F,u7=G,评价集V={v1,v2,v3,v4,v5,v6,v7,v8,v9}。
其中v1为低的单一风险;v2为中的单一风险;v3为高的单一风险;v4为低的多项风险;v5为中的多项风险;v6为高的多项风险;v7为低的系列风险;v8为中的系列风险;v9为高的系列风险。
(2) 构造综合评判矩阵。
把这m个单因素评价集作为行即得一个总的评判矩阵。其中相应的评价得分由专家或者经验丰富的工作人员填写统计后获得。
表1打分规则:将行因子与每列因子对应评分,认为一定能够引起相应风险的1分,很可能引起相应风险的0.7分,可能引起相应风险的0.5分,不太可能引起相应风险的0.2分,肯定不会引起相应风险的0分。假设有X个专家打分,则undefined。
下列综合评判矩阵的数据由以上打分表统计计算获得:
undefined
3.3 确定因素重要程度模糊集
由于各因素对事物的影响程度不尽相同,有些因素在总的评价中影响可能大些,而有些则可能小些。本文采用权因子判断表法。权因子判断表法是指由评价人员组成的专家组,通过专家组制定和填写判断表,然后对所填写值进行统计从而得出权因子。如表2所示。
表2由专家或者经验十分丰富的工作者填写,填写规则为:将行因子与每列因子相互比较,非常重要的指标1分,比较重要的指标0.7分,同样重要的0.5分,不太重要的0.3分,很不重要的0分。计算方法是:首先计算每一行评价指标得分值undefined,假设打分人数为X人,再求评价指标平均数undefined,最后求得undefined。undefined。由权统计方法获得以下数据:A=(0.05,0.08,0.10,0.12,0.15,0.20,0.30)。
3.4 根据评价模型,求出模糊评价集
此处采用加权平均M(·,⊕),B=A*R,其中undefined从而得到:B=(0.110 5,0.145,0.148,0.123 8,0.132 2,0.138 5,
0.092 4,0.072 5,0.055 1)。
3.5 综合评判
根据最大隶属度原则,选择模糊综合评价集B=(b1,b2,…,bn)中最大的bj所对应的等级(评语)vj作为综合评判的结果。
4 结 语
由最后所计算的数据根据最大隶属度原则可得到如下结论:对员工的管理以及员工所具有的防范和控制风险的能力的强弱,对电子银行风险管理具有不可忽视的作用,在较坏情况下容易引起单一高风险,在一般情况下不会引起高的系列风险。虽然如此,但对员工的综合能力要求不容忽视,否则会造成许多不必要的风险。
参考文献
[1]奚振斐.电子银行学[M].西安:西安电子科技大学出版社,2006.
[2]方霞.电子银行风险和解决之道[J].今日科技,2002(7):29-30.
[3]潘春雄.电子银行的风险分析与识别[J].云南财贸学院学报:社会科学版,2005,20(4):81-82.
[4]苏宏.开展信息系统审计控制电子银行风险[J].华南金融电脑,2004,12(5):2-5.
[5]聂玉林.电子银行的风险问题研究[D].青岛:中国海洋大学,2004.
[6]何东峰.电子银行风险研究[D].北京:北京科技大学,2000.
[7]林娜.试论我国电子银行的风险与防范[J].集团经济研究,2006(5):141-143.
[8]样纶标,高英义.模糊数学原理及应用[M].4版.广州:华南理工大学出版社,2005.
[9]陈水利,李敬功,王向公.模糊集理论及其应用[M].北京:科学出版社,2005.
银行风险管理审计 篇7
[关键词]风险管理审计内部审计问题优势
风险管理起源于20世纪60、70年代,20世纪80年代在金融、保险、制造业等行业的大企业有了发展,从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。它不仅关注传统的内部控制,更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测评控制,而且包括确认风险及测试管理风险的方法,风险管理审计是内部审计发展的新阶段。
一、银行风险的界定及类型
1.银行风险的界定
关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中,由于各种事先无法预料的不确定因素的影响,使银行的实际收益与预期收益发生背离,有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。
银行风险存在于银行价值链的每一个环节,可以说,银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点:(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西,是原来不确定事件形成的一种事实。两者的着眼点不同,风险着眼于未来,损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇,它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映,与经济主体的行为目标、决策方式和经济环境相联系,并不单纯是银行自身的问题。
2.银行风险的类型
我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出,商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。
从实践来看,对于银行影响比较大的风险主要有四种:信用风险、操作风险、市场风险和流动性风险。
二、内部审计在风险管理中的定位、职责与作用
内部审计是一种独立、客观的确认与咨询活动,它通过应用系统的、规范的方法,评价并改善风险、控制和治理过程的效果,帮助组织实现其目标。由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对单位面临的风险更了解;内部审计部门和人员是组织内部成员,其利益同组织发展、兴衰密切相关,对防范各种风险、实现经营目标有着更强烈的责任感;内部审计部门不同于其他部门,不从事具体业务,其职能独立于业务管理部门,可以跳出业务各环节的圈子,从全局出发、综合、客观地对风险进行识别和评价,采取有效的风险控制措施。
1.内部审计在风险管理中的定位
现在我们所说的风险管理越来越趋向于广义的概念,公司治理也好、内部控制也好,实际上都属于风险管理的范畴,只是风险管理所涉及的层次有所不同,而内部审计一直都担任着重要的角色。2002年美国国会通过的《萨班斯一奥克斯法案》指出,董事会、高层管理者、外部审计师与内部审计师作为有效公司治理的基石,成为开展公司治理、内部控制必须职责的重要组成部分。因此,内部审计在风险管理中扮演的角色对组织机构整体风险控制是至关重要的。现在内部审计在风险管理过程中的定位应该是参与者、协作者和监管者。
2.内部审计在风险管理中的责任
风险管理是内部审计的一条主线。因此,内部审计应当也必须参与风险管理。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。但内部审计不等同于风险管理。IIA指出,内部审计师在建立和管理风险过程中所起的积极作用有别于“风险所有者”的作用。为了避免起到“风险所有者”的作用,内部审计师应该要求管理层证实其在确定、防范、监测风险以及风险“所有者”的责任。2004年9月,IIA针对COSO委员会新发布的全面风险管理框架,以《全面风险管理的内部审计角色》为题发表了一份职位说明书,指出,内部审计的核心职能有五项:为风险管理流程提供保证、确保风险得到正确评价、评估风险管理流程、评估关键风险的报告体系以及审核关键风险的管理活动。其次,职位说明书对内部审计在风险防范方面的职责也进行详细的描述:协助识别和评价风险、培训管群层如何应对风险、协调全面风险管理活动、完善风险报告体系、维护开发全面风险管理框架、支持建立全面风险管理、为决策层拟定风险管理战略。最后,也明确内部审计不应承担以下责任:(1)设定风险额度;(2)强加风险管理流程;(3)向管理层提供风险保证;(4)做出风险应对决策;(5)以管理者名义执行风险应对方案;(6)风险管理的受托责任。
3.内部审计在风险管理中的作用
国内外企业,特别是世界知名企业,如杜邦公司和微软公司的风险管理体系都比较完善,内部审计在企业风险管理体系中发挥了重要的作用。风险管理是一项重要的管理责任。要实现其业务目标,管理层应该保证拥有健全的风险管理过程,并能发挥作用。董事会和审计委员会应该在确定组织是否建立恰当的风险管理过程以及这些程序适当有效地运作等方面起监督作用。内部审计师应该通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。还需要指出的是,内部审计部门在组织风险管理过程中的作用可以随着时问的推移而发生变化,并可能有不同的作用:即从无任何作用,到作为内部审计工作计划的一部分对风险管理过程进行审计,到积极持续地支持并参与风险管理过程,到管理和协调对风险的管理过程。
总的来说,内部审计在风险管理中的作用概括为以下四个方面:一是检查与评价,内部审计部门运用审计手段对银行风险管理體系的充分性和有效性进行评估;二是管理与协调,内部审计利用自身优势,积极参与银行风险管理体系建设,对各种风险要素进行识别、分析、协调、管理,并提出控制风险的有效建议;三是顾问与咨询,内部审计师以咨询顾问身份协助企业确定针对风险进行管理的方法和控制措施,并评价其合理性与有效性;四是报告与防范,内部审计部门通过及时传递并督促落实风险审计的成果,使各类风险因素得到有效的控制和防范。
三、银行风险管理审计存在的问题
中国工商银行、中国建设银行等都有针对性地组织了风险管理与审计等课题的研究。但是银行内部审计在风险管理中还存着以下问题:
1.内部审计理念落后
相对于一般的工商业企业来说,银行风险管理在其价值链中占有重要位置,是银行成立以来一直倍受关注的问题。因此,其风险管理相对比较好,这就使得业内外的一些认为银行风险管理是完善的,这也造成了内部审计对风险管理认识的不充分,内审人员不能积极主动地去关注风险,制约了内部审计作用的发挥。
2.内部审计方法手段不能适应银行风险管理的需求
我国银行内部审计尚处于查错防弊、开展合规性审计阶段,局限于对经营部门及营业机构执行各项规章制度的事后审计上,主要进行的还是现场审计,非现场审计开展不够。而银行风险管理系统要求进行系统的、全面的风险管理,不仅要进行事前防范、事中控制、事后管理,还要进行信息处理,大力开展非现场审计。
3.内部审计在风险管理中的作用和地位不明确
商业银行对风险的管理分为风险管理部门和内部审计部门。风险管理部门负责总的风险管理,内部审计部门根据风险管理部门的风险评价结果实施内部审计。而实际上风险管理部门与内部审计部门的关系并未得以明确。
4.风险审计开展力度不够
内部审计部门有责任对业务主管部门所面临的外部和内部风险进行归纳、整理和分析,并向高级管理层提交风险分析报告,为高级管理层的经营决策提供参考。而现在的审计工作基本上是根据总、省行的工作部署来展开,独立开展审计工作不充分,对风险的规避效果不佳。
四、银行风险管理审计的优势
银行风险管理审计是建立在全面风险管理基础之上的一种内部审计技术方法,这种方法作为成功的全面风险管理规划的一个重要组成部分,更加关注企业的经营目标、管理层的风险承受、关键风险衡量指标等。目前银行风险管理审计还具有以下优势:
1.有利于内部审计从全局角度评价风险管理
由于银行是经营货币的特殊的金融企业,决定了银行业务流程上的任一环节都有风险因素存在,并且由于风险具有感染性、传染性、不对称性等特征,链上某一主体造成的风险或疏于风险管理带来的后果有时并不是由其直接承担,而是会通过一定的联系传递到其他主体,最终会导致银行陷入困境。内部审计,可以将每一个环节及周围环境来的风险因素考虑在内,有利于从战略高度全面评价银行风险管理。
2.有利于加强银行风险管理
风险管理审计作为风险管理的组成部分,都是为了实现组织战略目标、实现银行增加价值的目的。但是,二者的责任并不相同。风险管理需要对风险管理的措施和方法进行设计并负责执行,而风险管理审计则是负责对风险管理设计与执行情况进行测试、评价,并为管理层提供有关风险管理信息适度确认的责任。因此,在某种程度上可以说,风险管理审汁是更高层次的风险管理。当局者迷、旁观者清,所以风险管理审计可以从“局外人”的角度,跳出风险管理来对价值实现过程中的风险管理过程进行系统地、客观地评价,有利于银行加强风险管理。
3.更加有利于实现审计的价值
风险管理和风险管理审计的目的都是为了实现战略目标,实现银行价值增加。风险管理审计侧重于风险管理过程的评价,通过评价风险管理过程来减少由于风险造成的经营成本的增加,并且风险管理审汁作为一种内部审计,并不局限于风险管理的审计,因此通过对业务流程及周围环境分析,不仅可以提供一些经营管理等其他方面的建议,起到一举多效的作用,而且也有利于實现内部审计的价值。
4.有利于信息沟通,树立银行风险管理文化
银行内部各部门之间需要及时的信息沟通,才能有效地、及时地解决银行面临的风险问题。但是,各部门之间有时是不能做到这一点的。内部审计的独立地位使得内部审计需要了解所有部门的信息,通过询问、观察、调查问卷等审计技术综合掌握银行信息资料,将信息在不同部门传递、沟通,从而加深了各部门之间的相互了解,有利于各部门从全局角度考虑风险问题,树立良好的风险管理文化。
银行电子银行业务风险管理办法 篇8
健全的合规风险管理机制,成熟的合规文化,是构建银行有效的内部控制机制的基础和核心,从而也为健全银行内控体系、提高市场竞争力奠定了基础。做到“常练为政之功,常修为政之德,常思贪欲之害”,不断提高自身综合素质和执行能力。通过此次教育学习活动,使我对合规操作意识有了更深一层的认识。现就此次学习活动的心得总结几点体会:
一、爱岗敬业、无私奉献。在平凡中奉献,爱岗敬业是各行各业中最为普遍的奉献精神,它看似平凡,实则伟大。从大的方面来说,一份职业,一个工作岗位,都是一个人赖以生存和发展的基础保障。从小的方面讲,比如我们农信社,每一个人所从事的工作岗位都是个人生存和发展的保障,也是农信社存在和发展的必需。农信社要发展,要在这个竞争激烈的金融业中不断强大,立于不败之地,没有我们每一位同志的无私奉献精神是不行的。作为农信人,做一名爱岗敬业的人,是职业道德对我们最引为用以规范行为品质,评价善恶的行为规则。
二、加强业务知识学习、提升合规操作意识。没有规矩何成方圆”,身为网点一线员工,切实提高业务素质和风险防范能力,全面加强柜面营销和柜台服务,是我们最为实际的工作任务。虚心学习业务,用心锻炼技能,耐心办理业务,热心对待客户。在银行业竞争日趋激烈的形势下,我们都很清楚地意识到:只有更耐心、周到、快捷的优质服务才能为我行争取更多的客户,赢得更好的社会形象。我们每天面对形形色色不同层次的客户和形形色色事物,更加要求我们一线员工有高度的思想觉悟。
加强合规操作意识,并不是一句挂在嘴边的空话。有时,总是觉得有的规章制度在束缚着我们业务的办理,在制约着我们的业务发展,细细想来,其实不然,各项规章制度的建立,不是凭空想象出来产物,而是在经历过许许多多实际工作经验教训总结出来的,只有按照各项规章制度办事,我们才有保护自已的权益和维护广大客户的权益能力。我们的各项规章制度正如一架庞大的机器,每一项制度都是一个机器零件,如果我们不按程序去操作维护它,哪怕是少了一颗锣丝钉,也会造成不可估量的损失,各项制度的维护和贯彻是要我们广大的员工严格执行,管中窥豹,时见一斑,规章制度的执行,不是某一人来执行的,而是要一个集体相互制约、监督来实施的。
【银行电子银行业务风险管理办法】推荐阅读:
电子银行业务风险06-13
风险防范下的电子银行04-30
风险视角下的电子银行06-11
信用社(银行)电子银行部合规风险评估08-12
对电子银行安全与风险防范的思考06-19
银行电子印章管理系统04-28
银行电子银行检查报告06-14
工商银行电子银行介绍07-08
农商银行电子银行业务08-05
银行电子银行工作总结04-17