电子银行业务的风险管理原则
巴塞尔银行监管委员会 2003年7月
董事会和管理层监督
董事会和高级管理层负责制定银行的业务战略。在开始提供电子银行交易服务之前,应该对是否希望银行提供此类服务作出明确的战略决策。特别要提出,董事会应该确保电子银行计划与公司战略目标明确地结合起来,并对拟开展的电子银行业务进行风险分析,对已识别的风险建立适当的风险缓释和监控程序,以及按照银行的业务计划和目标,不断检查评估电子银行业务的成果。
此外,董事会和高级管理层还应该适当考虑和解决银行在电子银行业务战略中的操作和安全风险问题。通过互联网提供金融服务,可以大大改变甚至增加传统银行业务风险(例如:战略风险、声誉风险、操作风险、信用风险和流动性风险),因此,银行应该采取一些措施,确保现行的风险管理程序、安全控制程序、对业务外包的尽职调查和监督程序能够针对电子银行服务的发展作出适当评估和相应修改。
原则1:董事会和高级管理层应该对与电子银行业务有关的风险进行有效的管理监督,包括建立具体的责任制度、策略和控制措施来管理这些风险。
管理层的高度监督对完善电子银行业务的内部控制是非常重要的。除了互联网传送渠道的具体特征,电子银行的以下方面也可能对传统的风险管理程序造成相当大的挑战:
·银行不能直接控制传送渠道(互联网和相关技术)的主要方面。
·互联网促进了银行跨境提供服务,而其中有些银行服务并不是由在当地开设的实体分支机构来提供。
·电子银行业务比较复杂,包含一些较高难度的技术术语和概念,在很多情况下,董事会和高级管理层缺乏有关经验。
考虑到电子银行的独特特征,对银行的风险状况和战略有重大影响的新的电子银行项目,董事会和高级管理层应该予以检查,并做适当的战略和成本/回报分析。如果不进行足够的前期战略审查和连续的计划评估,银行就可能低估成本,高估电子银行业务的回报。
此外,董事会和高级管理层应该在开展新的电子银行业务或采用新技术以前,确认银行拥有必要的专业知识来进行有效的风险管理监督。管理层和员工的专业知识应该足以应付电子银行业务的技术特征和复杂性以及相应技术。不管银
行的电子银行系统和服务是由自己管理还是外包给第三方,银行自己必须拥有足够的专业知识。高级管理层应该进行动态的监督,以便有效地干预和纠正任何可能发生的重大电子银行系统问题或安全事故。由于电子银行业务的声誉风险日益增加,银行有必要密切监控系统的可操作性和客户的满意程度,此外,还需要建立向董事会和高级管理层适当报告突发事件的机制。
最后,银行对电子银行业务的风险管理程序,应该与银行的全面风险管理相统一。董事会和高级管理层应该对银行的现行风险管理政策和程序进行评估,以确保这些政策和程序的完善性,使其可以解决当前或计划之中的电子银行业务带来的新风险。在风险管理监督方面,董事会和高级管理层还应该承担以下工作:
·明确银行在电子银行业务方面的风险偏好。
·建立关键的授权和报告机制,包括对影响银行安全、稳健或声誉的各种突发事件,建立必要的逐级上报程序。
·要处理好一切与电子银行产品和服务的安全性、完整性和可用性相关的独特风险因素。对于那些承包关键系统或业务的第三方,也应该要求其采取相似的措施。
·在银行进行跨境电子银行业务之前,须确保进行了适当的尽职调查和风险分析。
互联网极大地提升了银行提供产品和服务的能力,使其可以在事实上不受包括过境在内的地理区域的限制(包括跨越国境)。此类跨境电子银行业务,特别是银行在"东道国"没有设立实体分行的情况下,可能给银行带来新的法律风险、监管风险和国家风险,原因是在银行发照、监管和客户保护方面,各国规定可能存在很大差异。因为需要避免不意违反国外的各种法律或条例,以及对有关的国家风险因素进行管理,所有打算开展跨境电子银行业务的银行,事先应该充分研究这些风险,并且有效管理这些风险。
各银行的风险管理方案的范围和结构应根据其电子银行业务范围和复杂程度的不同而不尽相同。管理电子银行服务所需要的资源应该足以适应交易的功能性和系统的重要性、以及适应网络的弱点和传递信息的敏感度。
原则2:董事会和高级管理层应该检查和审批银行安全控制程序的主要方面。
董事会和高级管理层应该检查安全控制基础设施的开发和持续维护中与保护电子银行系统和数据免受内部和外部威胁相关的部分。这些基础设施包括建立适当的授权等级制度,逻辑和物理进入控制,以及足以维持适当的内部和外部用户活动的基础设施安全措施。
保护银行资产是董事会的受托责任之一,也是高级管理层的一项基本职责。但是,在电子银行迅速发展的环境中,保护银行资产是一项艰巨的任务,因为通过公用互联网开展业务和使用新技术时,安全风险问题会变得非常复杂。
为了确保对电子银行业务进行适当的安全控制,董事会和高级管理层需要确定银行是否拥有包括策略和步骤在内的全面的安全程序,以处理可能的内部和外部安全威胁,及对突发事件进行防范和作出回应。有效的电子银行安全程序的主要内容包括:
·明确管理层/员工在检查公司安全政策的制订和维护方面的责任。
·充足的物理控制以防止非授权的物理进入计算机环境。
·充足的逻辑控制和监控程序,以防止非授权的内部和外部用户进入电子银行的应用系统和数据库。
·安全措施和控制措施的定期检查和测试,包括对当前业界安全发展情况持续跟踪,软件的适当升级,以及服务打包和其他必要的措施的采用。
原则3:董事会和高级管理层应该建立全面和持续的尽职调查制度和监管程序,来管理银行在电子银行业务方面的业务外包和其他对第三方的依赖。
由于银行日益依赖合伙方和第三方提供服务来履行关键的电子银行职能,银行管理层的直接控制能力有所下降了。因此,为了管理业务外包和其他对第三方的依赖所??序应该涵盖合伙人和服务供应商的第三方的业务,其中包括可能对银行产生重大影响的外包业务的分包合同。
在过去,业务外包往往局限于某一家服务供应商,内容也仅局限于某项具体职能。但是,近几年来,银行的业务外包不仅规模在扩大,而且复杂程度也提高了,其直接原因在于信息技术的进步和电子银行业务的出现。使问题变得更为复杂的是,电子银行服务的业务外包还可能被分包给其他服务供应商或在国外进行。而且,由于电子银行业务和服务在技术上日益先进,在战略上日渐重要,某些电子银行职能领域越来越集中依赖于少数几家专业的第三方公司和服务供应商。这些情况可能导致风险日益集中,因此需要引起每家银行以及整个银行业的注意。
总之,以上这些因素突出了对业务外包和其他对外部的依赖进行全面和持续评估的重要性,其中包括对可能影响银行的风险状况和风险管理能力的部分进行评估。董事会和高级管理层监控业务外包和对第三方的依赖,应该特别注意确保:
·充分了解对其电子银行系统或业务进行业务外包或签订合伙协议会带来哪些风险。
·在签订任何电子银行服务合同之前,必须对第三方服务供应商或合伙人的业务能力和财务状况进行适当的尽职调查。
·在业务外包或合伙关系中,所有合同各方的责任必须非常明确。例如,应该明确规定向服务供应商提供信息的责任和向服务供应商收集信息的责任。
·银行所有业务外包的电子银行系统和业务应该符合银行自己制定的风险管理、安全和隐私权保护政策的标准。
·对业务外包进行定期独立的内部和/或外部审计,审计的范围至少要等于该业务由本行自己处理的情况下的范围。
·制订电子银行业务外包的适当应急计划。
安全控制
虽然董事会有责任确保制定适宜的电子银行安全控制程序,但是这些程序的内容还需要引起管理层的特别注意,因为电子银行业务造成的安全问题的难度在日益增大。下列问题尤其显著:身份认证、不可否认性、数据和交易的完整性、职责的分解、授权控制、审计跟踪的维持、对关键银行信息的保密。
原则4:对于与银行通过互联网发生业务往来的客户,银行应该采取适当的措施,对其身份和授权情况进行认证。
银行必须能够确认某一特定通讯、交易或进入请求是否合法,相应地,银行应该使用可靠的方法来审核新客户的身份和授权情况,同时也要审核寻求开展电子交易的老客户的身份和授权情况。
在账户开立时对客户身份进行审核可以减少诸如盗用身份、欺诈账户和洗钱等方面的风险。如果银行不能对客户的身份作适当认证,就可能导致未经授权的人员进入电子银行账户,出现欺诈、秘密信息泄露或无意卷入犯罪活动,并且最终给银行造成经济损失和声誉损害。
在一个完全开放的电子网络环境中,确认和认证进入银行系统的人员的身份和授权情况,可能是一项非常艰巨的任务。网络黑客可能通过许多技术盗用合法用户的授权,还可以通过使用"嗅探器",来占用合法授权人员的线路,进行有害或犯罪性质的??过认证控制程序。
因此,银行必须拥有正式的政策和程序,使用各种适当的方法,确保银行能够正确地对个人、代理人或系统的身份和授权情况进行认证,使用的方法既要独特又要尽量切实可行,并且能够阻止非授权的个人和系统的进入。银行可以用来进行认证的方法有很多种,其中包括个人身份号码、密码、智能卡、生物测量技术和数字证书。这些方法可以单独使用或合并使用。一般来说,多种认证方法同时使用会更安全。
银行管理层必须对整个电子银行系统或其某些组成部分所带来的风险进行评估分析,在此基础上决定采用何种身份认证方法。风险分析应该包括评估电子银行系统(如资金转移、账单支付、贷款发放、账户汇总等)的交易能力、所储存的电子银行数据的敏感度和价值以及客户使用认证方法的难易程度。
在跨境电子银行业务中,完善的客户认证和授权程序非常重要。因为在与国外客户进行电子交易时,可能会出现许多其他方面的难题,包括身份模仿的风险,对潜在客户的资信状况进行有效审查的难度则更大。
在认证方法的不断发展的同时,应该鼓励银行跟踪和采用该领域中的业界稳健做法,以确保:
·审查进入电子银行顾客账户或敏感系统的身份认证数据库不被篡改和毁损。任何篡改都可以被及时发现,并且对这些篡改企图进行审计跟踪。
·对个人、代理或系统的身份认证数据库所进行的增加、删除或修改都需要事先经认证资源适当授权。
·应该采取适当措施,控制电子银行系统连接,例如,防止未知的第三方取代已有的客户。
·在整个通讯期间,经过认证的电子银行通讯线路一直保持安全状态。如果因安全原因而中断通讯线路,再次进入时应该要求重新认证。
原则5:银行应该使用促进交易不可否认性和明确电子银行交易责任的认证方法。
不可否认性包含产生原始凭证或传送电子信息以保护传送人免受数据接收人的虚假否认,或者保护接收人免受数据传送人的虚假否认。在诸如信用卡或证券交易等传统交易中,否认交易的风险已经比较严重。电子银行业务中的此项风险变得更加突出,因为电子银行业务中对交易各方的身份和授权情况进行有效认证的难度大,并且存在可能出现修改或劫持电子交易的潜在可能,另外电子银行用户还可能宣称有关交易被欺诈性地修改过。
为了解决这些突出问题,银行需要按照电子银行交易的重要性和类型作出合理的努力,以确保:
·电子银行系统在设计时,尽量减少授权用户进行意外交易的可能性,也不应要求客户完全了解他们所进行的交易的相关风险。
·所有交易各方都经过有效认证,并维持对认证渠道的控制。
·财务交易数据不能被随便修改,并且任何修改可以被发现。
银行已经开始使用各种技术来帮助建立不可否认性机制,以确保电子银行交易的保密性和完整性。这些技术包括使用公钥加密体系的数字证书。银行可以向
客户或交易对象发放数字证书,以保证其独特的身份识别和认证,减少交易否认的风险。虽然有些国家的客户有权按照特定法律条款否认某些交易,但是有些国家已经进行立法,认可数字签字的法律效力。随着相关技术的不断发展,越来越多的国家可能在法/span>
原则6:在电子银行系统、数据库和应用程序中银行应该采取适当的措施,以保证有效地分解职责。
内部控制的基本措施之一就是职责分解,这样做可以减少操作程序和系统中的欺诈风险,确保有关交易和银行资产得到正当授权、记录和保护。职责分解可以确保数据的准确性和完整性,也可以用于防止个人欺诈行为。如果对职责已经做了充分的分解,那么欺诈只有通过共谋才能实现。
因为通过电子系统进行交易时,交易对象的身份很容易被掩饰或伪造,因此在提供电子银行服务时,有必要对现行的职责分解方法进行修改。此外,在电子银行业务中,许多操作交易职能已经被压缩得越来越一体化了。因此,需要对传统的职责分解控制措施作重新检查和修改,确保其维持合适的控制水平。因为通过内部或外部网络,进入安全措施不严的数据库变得更加容易,有必要作进一步严格的授权和识别步骤、安全和稳健的直通程序结构,以及充足的审计跟踪强化。
在电子银行业务环境中,建立和维护职责分解的通常做法包括如下:
·交易程序和系统在设计时,要防止单个雇员或业务外包的服务供应商单独进入、授权和完成一笔交易。
·录入初始静态数据(包括网页内容)的人员和负责复核完整性的人员之间职责分明。
·应该对电子银行系统进行测试,以确保职责分解不会被省略。
·电子银行系统的开发人员和管理人员之间,职责要分明。
原则7:银行应确保对电子银行系统、数据库和应用程序拥有适当的授权控制和进入特权制度。
为了保证职责分解,银行需要严格控制授权和进入特权。如果不能进行足够的授权控制,某些个人就可能会修改他们的权限,规避职责分解和进入未经特许授权的电子银行系统、数据库或应用程序。
在电子银行系统中,银行内的授权和进入权力的认定,可以采取集中的方式,也可以采取分散的方式。为了进行有效的授权控制,有必要对这些数据库加以保护,避免被篡改或毁损。
原则8:银行应该确保拥有保护电子银行交易、记录和信息等数据的完整性的适当措施。
数据的完整性是指,确保传递或储存的信息,在没有授权的情况下不能被修改。如果不能维持交易、记录和信息等数据的完整性,银行就可能蒙受经济损失或承受重大法律和声誉风险。
电子银行直通程序的固有特征,可能使得计算机编程出现错误并导致欺诈行为难以在早期阶段被发现。因此,银行在实施直通处理程序时,很有必要确保安全、稳健和数据完整性。
由于电子银行的交易是通过公共网络进行的,所以这些交易容易出现数据毁损、欺诈和记录篡改等问题。因此,银行应该确保拥有适当的措施,保证通过互联网传输的、储存于银行内部数据库或通过代表银行提供服务的第三方传输/储存的电子银行交易、记录和信息等数据的准确性、完整性和可靠性。在电子银行环境中,确保数据完整性的共同做法包括:
·电子银行业务在交易的整个过程中,要确保数据被篡改的可能性极小。
·电子银行业务记录的储存、进入和修改,要确保数据被篡改的可能性极小。
·电子银行交易和记录程序在设计时,应该杜绝未经授权的修改逃避监控。
·应该拥有包括监控和修改步骤在内的足够修改控制政策,以避免电子银行系统受到任何可能损害其控制措施或数据可靠性的有意或无意的修改。
·通过交易处理、监控和记录职能,可以发现对电子银行交易或记录的任何篡改。
原则9:银行确保对所有电子银行交易进行明确的审计跟踪。
通过互联网提供金融服务,如果内部控制措施不能适应电子银行环境,那么银行执行内控和进行明确的审计跟踪就会变得愈发困难。银行不仅必须确保在高度自动化的环境中进行有效内部控制,而且必须确认这些控制措施受到独立审计,特别是对于所有关键的电子银行事件和各种应用系统。
如果银行对其电子银行业务不能进行明确的审计跟踪,那么银行的内部控制环境就可能被弱化,是因为有关电子银行业务交易的全部至少是多数记录和证据采用了电子化的形式。在确定哪些方面需要进行明确的审计跟踪时,应该考虑以下电子银行交易的类型:
·客户账户的开立、修改或注销。
·与财务结果相关的一切交易。
·对客户超过某一限度的一切授权。
·任何对于系统进入权力或特权的授予、修改或撤消。
原则10:银行应该采取适当的措施,对关键的电子银行业务信息进行保密。保密措施应该与传输和/或数据库中所储存信息的敏感性相适应。
保密就是要保证银行对关键信息的独占性,其他未经授权者无法查看或使用这些关键信息。误用或未经授权而公开披露这些信息可能给银行带来声誉和法律方面的风险。电子银行的出现,使得银行的安全问题更加突出,因为通过公共网络传输的信息或是数据库中存储的信息,可能被未经授权者或不当的人获取,或者信息被使用的方式违反了客户提供信息时的意愿,这些都会增加银行的风险。此外,银行越来越多的使用服务供应商,也增加了银行关键数据泄密的可能性。
为了做好对电子银行关键信息的保密工作,银行需要确保:
·银行的保密数据和记录,只有经过适当授权和身份认证的个人、代理或系统才能获取。
·银行的保密数据,在通过公共、私人或内部网??偷看或修改。
·因业务外包而获得银行数据的第三方,也应当遵守银行数据使用和保护的有关标准和控制措施。
·对所有获取保密数据的行为都须记入日志,并且尽力确保这些日志不被篡改。
法律和声誉风险管理
各国对客户及其隐私保护的具体条例和法律不尽相同。但是,在信息披露、保护客户数据和保证业务持续可用性方面,银行通常都有明确的责任,使得客户在进行电子银行业务时达到与传统银行业务中相似的满意程度。
原则11:银行应该确保,其网站提供了足够的信息,可以使潜在客户在进行电子银行业务交易之前,清楚了解银行的身份和银行的监管状况。
为了尽量减少国内外电子银行业务所带来的法律和声誉风险,银行必须在其网站上提供充足的信息,允许客户在进行电子银行业务交易之前,清楚了解银行的身份和监管状况。
银行在其网站上应该提供的信息包括:
·银行的名称和总行(和当地分支机构)的地点。
·负责监管银行总行的主要银行监管当局的名称。
·涉及服务问题、投诉、怀疑账户误用等情况时,客户联系银行的客户服务中心的方式。
·客户如何进入和使用有关的消费者投诉方案或客户投诉受理系统。
·诸如客户应该如何获取对于相关的国家补偿或存款保险涵盖范围以及所能提供的保护程度等信息,或者如何链接到提供此类信息的网站。
·其他有关的或各国要求提供的信息。
原则12:银行应该采取适当的措施,确保遵守所在国银行提供电子银行产品和服务方面的有关客户隐私权的规定。
对客户信息保密是银行的重要责任。误用或未经授权公开披露应该保密的客户数据,会给银行带来法律和声誉风险。为了较好地解决对客户信息的保密问题,银行应该作出合理努力,确保:
·银行的客户隐私政策和标准考虑并且符合所在国银行提供电子银行产品和服务的一切有关隐私权方面的条例和法律。
·让客户了解银行的隐私权政策,以及使用电子银行产品和服务相关的隐私权问题。
·客户可以拒绝允许银行与第三方共享用于交叉营销目的的任何信息,包括客户的个人需要、兴趣、财务状况或银行业务活动。
·客户数据的使用,不能超越客户允许的范围,也不能超越客户已作出的授权范围。
·第三方因业务外包而获得客户数据时,应该符合出包银行有关客户数据使用的各种标准。
原则13:银行应该拥有有效的能力、业务连续性和应急计划程序,以确保电子银行系统和服务的连续可用性。
为了防范业务、法律和声誉风险,银行必须按照客户意愿连续及时地为客户提供电子银行服务。为了实现这一目标,银行必须有能力从主源(即内部银行系统和应用系统)或次源(即服务供应商的系统或应用系统)为终端用户提供电子银行服务。确保体系的正常运转也取决于应急支持系统缓释拒绝服务的攻击(或其他可能造成业务中断的事件)的能力。
确保电子银行系统及其应用程序的正常运转的挑战是相当大的,因为交易需求可能会很高,在高峰时期情况更是如此。另外,客户对于缩短交易处理周期时间和维持连续可用性有较高的期望,(每周7天,每天24小时),这种期望也增加了稳健能力、业务连续性和应急计划的重要性。为了向客户提供他们期望的连续的电子银行服务,银行需要确保:
·根据电子商务的总体市场动力和对客户接受电子银行产品和服务的预测比率,对当前的电子银行系统能力和未来的可扩展性进行分析。
·对电子银行业务交易处理能力要进行评估、压力测试以及定期检查。
·对关键的电子银行处理和传送系统,要制定适当的业务连续和应急计划,并且定期进行测试。
原则14:银行应该制定适当的突发事件反应计划,以管理、控制和尽量减少意外事件造成的各种难题。意外事件是指阻碍电子银行业务系统运作以及阻碍提供服务的事件,包括内部和外部攻击。
有效的突发事件反应机制非常重要,它可以最大限度地减少意外事件造成的操作风险、法律风险和声誉风险。意外事件是指影响电子银行业务系统运作和提供服务的事件,包括内部和外部攻击。银行应该制定适当的突发事件反应计划,包括通讯战略,确保业务连续,控制声誉风险,限定电子银行服务中断所造成的责任,这种中断包括因业务外包系统和操作造成的服务中断。
为了确保对不能预见的突发事件作出有效反应,银行应该制定:
·突发事件反应计划,处理各种情况下各个业务和各个地方的电子银行系统和服务的恢复工作。情形分析应该考虑风险发生的可能性及其对银行的影响。外包给第三方服务供应商的电子银行系统应该是这些计划中不可或缺的部分。
·及时识别突发事件或危机、评估其严重性以及控制因服务中断而造成的声誉风险的各种机制。
·通讯战略,以便较好地处理因安全事故、网络攻击和电子银行系统失败而造成的外部市场和媒体问题。
·清晰的处理程序,以便发生严重安全事故或业务中断事件时,能及时上报有关监管当局。
·突发事件反应工作组。工作组应该有权根据情况采取紧急行动,并且在分析突发事件侦察/反应系统方面训练有素,能够对事件所造成的结果作出解释。
·包括内部和业务外包操作在内的一连串明确的指令,以确保按照突发事件的大小迅速采取适当的行动。此外,应该制定逐级上报和内部通讯步骤,包括在必要时向董事会进行汇报。
·一套程序,用以确保及时、适当地通知一切有关的外部各方(包括银行客户、交易对象和媒体),告知重大的电子银行业务中断和业务恢复情况。
·一套程序,用以收集和保存法院证据,帮助对电子银行突发事件进行适当的事后调查分析,以及帮助起诉各种攻击者。
网上银行管理办法 为促进公司网上银行业务有序发展,确保公司资金安全和高效运作,根据《中国人民银 行支付结算办法》等相关规定,特制定本办法,请严格遵照执行。 一、适用范围 本办法适用于本公司及其下属分(子)公司、控制企业、代管企业。 二、网银管理基本原则:集中管理、分级负责、确保安全、讲求效益。 (一)集中管理:拟开通单位网上银行业务的成员企业,需填制“网银业务申请表”并 报资产财务部现金流管理中心(以下简称:现金流中心)经审批通过后方可办理后续相关手续。 (二)分级负责: 开通网上银行业务的成员企业,对网银业务的正确操作承担责任,并负责日常网上银行的维护与管理,保证公司资金安全。 (三)确保安全:采用硬件技术、业务分级授权的双重安全机制,保障网上银行系统正常运行和公司资金的安全。 (四)讲求效益:在保证安全的前提下,力求实现结算效率与效益的最大化。 三、业务范畴:根据业务需求,各单位网上银行目前仅限于以下业务: (一)账户查询:账户状态及其余额的查询、历史交易明细查询、票据查询等。 (二)银行收支结算:内部转账、货款支付、工资发放、自助缴费等。 (三)账户状态管理:账户临时挂失、修改账户密码等。 四、网上银行业务管理流程 (一)办理网上银行业务的内部申请 本公司各成员企业因业务发展需要,拟开通网上银行业务,必须提交书面申请及实施方案,就开通网银支付的事由、网银业务范围、内部相关财务人员分工、安全防范措施等要素进行详细阐述,经申请单位财务负责人签字后,提交公司现金流中心。现金流中心负责对申请企业开通网银业务的必要性、可行性、安全性进行评估,并交公司资产财务部负责人、总会计师审批,审批通过后方可办理后续相关事宜。 (二)银企网银协议的签订 经批准同意办理网上银行业务的单位,在签订网银协议前,申请单位财务经办人员与财务负
電子銀行業務作業風險及防範措施 壹、概述 鑒於邇來各金融機構所開辦各項電子銀行相關業務(如:網路銀行、金融卡、信用卡、現金卡、電話語音、行動銀行等),多有因業者本身對於各項業務之作業安全控管有欠嚴謹,或由於客戶缺乏基本安全概念,業者亦未善盡提醒與教育之責,肇致金融機構客戶之存款遭歹徒詐騙盜領之個案頻傳,不僅損及存款大眾對於金融安定信心,亦造成金融機構莫大商譽及營業損失。為維護各金融機構辦理電子銀行交易之作業安全,爰蒐集整理各金融機構近年來辦理前述各項作業時所發生之詐欺舞弊案件,並研擬該項作業允宜加強注意之事項,供各金融機構作為辦理上述業務之參考。茲就各項業務之作業風險及防範措施分述如次: 貳、網路銀行業務作業風險及防範措施 網路銀行因係客戶利用個人電腦,藉由憑證認證機構所核發之電子憑證,透過網際網路連線至金融機構之網站進行交易,因此其作業風險主要來自於三方面:客戶端作業憑證之保管及使用、金融機構端資訊設備與系統之安全防護、交易訊息經由網際網路傳輸過程是否遭受外來駭客之干擾或截聽;另由於網路銀行交易過程中均處於開放環境之系統架構,致可能隨時遭遇來自金融機構內部/外部之試煉與挑戰。綜上所述,網路銀行作業安全之風險可能如下:主機實體安全之漏洞,如:資訊機房門禁管制欠佳、輸出入設備及通訊設備管制欠妥、預留過多未經管制之外接埠、報表及磁性媒體管制欠妥等,導致主機遭破壞、系統遭入侵、防火牆被關閉、實體連結線路被改變,作業人員或客戶資料遭竊取等。 作業系統或系統軟體漏洞,如:未定期修補系統程式或未及時提
升版本、未掃描異常更新或複製之系統檔案、未設妥電腦病毒防範措施、系統安控參數設定不完整,致使駭客利用緩衝區溢出漏洞、植入木馬程式取得特權使用者密碼或夾帶植入電腦病毒以癱瘓主機及防火牆系統,或夾帶木馬程式進行資料竊取及破壞,或利用系統安控設定不周延以進行資料竊取及破壞。 網路系統安全設計及管理有缺失,如:未設計資料庫查詢參數過濾器(Query Parameter Filter)及介面查詢程式過濾器(CGI Program Filter),導致駭客利用資料隱碼攻擊(SQL Injection)夾帶程式竊取資料庫資料;對於資料庫未設定適當之存取權限,未建立嚴謹之網路銀行所有程式及網頁之換版程序;或委外開發維護之系統遭電腦廠商程式人員夾帶程式不當顯示資料原始碼,造成資料外洩;任意下載系統漏洞修補程式而遭入侵;對網路銀行主機、防火牆、資料庫主機及中心主機所形成之網路與銀行內部網路(Intranet)未作區隔,導致歹徒利用預先隱藏特定網頁或功能,入侵中心主機存取資料。 對檔案資料存取控制設定欠佳,如:對使用者資料檔未訂定系統安全管理規範、未限制使用檔案修改工具、職務分工不當或未落實,違反牽制原則,導致歹徒或金融機構內部人員竊取未隱藏之使用者資料檔,並採用字典攻擊法推測出使用者密碼,進而篡改資料庫或檔案內容。 資料傳輸過程安全性欠佳,如:網路銀行主機與中心主機間資料之傳送未加密,導致歹徒或金融機構內部人員竊取以明碼方式傳送於網路銀行主機及中心主機間之客戶網路銀行交易密碼,或篡改轉帳交易資料封包。 不安全的連結點過多,如:internet/ extranet /modems未嚴禁開放主機撥接功能;未建置防火牆、未訂定系統安全策略、未利用網址轉換(NAT)技術隱藏內部終端/服務主機之IP位址;未
关于银行开立借记卡及电子签约业务的风险提示1.事件回放 近期个别金融机构相继发生客户集体开立借记卡、办理网上银行、自助银行或电话银行等电子签约业务,并将借记卡密码告知他人,由他人通过银行自助工具频繁进行资金划转等现象。其主要特点是: (1)持多人身份证件代人开立借记卡账户。 (2)采取流窜开卡方式,到多个网点开卡。 (3)银行卡资金进出异常,每日资金频繁流动,且多为集中转入分散转出、分散转入后集中转出或逐笔转入、逐笔转出。 (4)小额试探性交易后,立即频繁利用他行的ATM或POS 机具发生资金转账。 2.反映出的问题 (1)银行人员风险意识薄弱,未严格按照规章制度执行,使不法分子利用他人身份证件进行开户、办卡和利用银行自助渠道频繁转移资金,以达到其洗钱等目的。 (2)柜员办理相关业务时,只注重留存的身份信息资料是否完整,联网核查结果是否正确,忽视了对身份证件的真伪鉴别以及证件信息与办卡人员是否一致等,使银行账户实名制不能有效落实,犯罪分子则借此伪造证件或冒用他人证件办理开户,为其进一步盗取银行及客户资金创造条件。 3.应对措施
(1)柜面经办人员应认真对客户提供的证件人工鉴别真伪,并重视身份证件与其本人相貌的核对,以及登陆联网核查系统审查开户证件,确保源头信息的真实性;凡制度规定需本人办理的,必须严格执行由申请人本人办理,需出示身份证件的,必须审核客户实名有效证件原件;及时、完整、准确登记和保留客户身份信息;在日常业务中发现可疑交易客户或可疑交易账户的,除对客户提示相关风险外,应拒绝办理并及时向会计主管报告。 (2)授权员在办理此类风险易发交易时,应重点审查授权内容与相关办理依据的合理性与一致性;会计主管应针对当日借记卡开立交易中同一客户开立多张银行卡且同时开通自助转账功能、交易传票中多张银行卡留存的联系地址或联系电话相对集中等的情况进行关注,对异常信息应及时上报。 (3)风险监督人员一是应充分发挥会计营运操作管理系统、实时监控系统、风险监控系统等作用,针对交易特点,进一步加强对开户和可疑交易的管理和监控工作,对已开立的可疑卡,要采取每日监控措施;二是做好可疑交易的上报工作,对确认为可疑的交易,及时按规定及时提交可疑交易报告,并加强后续资金交易的跟踪监测,防止不法分子利用银行账户转移犯罪资金。
商业银行通讯员管理办法 第一章总则 第一条为进一步加强通讯员队伍建设,助力宣传工作落地,构建本行和谐企业文化,激发本行通讯员积极向行内周报、社会媒体的投稿热情,建立科学合理的通讯员工作评价和激励机制,推动本行宣传工作有力开展,确保上下联动的新闻宣传格局,保障信息宣传工作的规范化、制度化,结合本行实际,特制定本办法。 第二条各部门(支行)通讯员由部门(支行)负责人推进或自荐产生,通讯员工作内容由综合管理部统一考核并提供奖励和考核依据。 第三条通讯员因工作调动、离职或其他原因不能继续担任通讯工作的,由所在部门(支行)另行推荐人选,一周内上报综合管理部。 第二章指导思想 第四条各部门(支行)通讯工作须围绕杭州联合银行主发起村镇银行的发展实践,结合本行实际要求,以服务三农和小微企业为宗旨,发挥好舆论的宣传导向,推进本行稳健有序健康发展。 第三章通讯员任职资格 第五条热爱本职工作,具备良好的道德、思想素养,具有较强的新闻敏感性。 第六条热爱宣传工作,熟悉全行工作导向及部门(支行)的各项工作。 第七条具有较好的文字写作水平和摄影等专业技能。 第八条勤于思考,善于沟通,具备良好的协调能力和团队精神。 第九条具有实事求是、认真负责的工作态度,具备严谨的工作作风和较强的学习能力。 第十条积极主动参与行内组织的各类学习、培训和营销活动。 第四章通讯员工作职责 第十一条围绕企业文化重点工作,宣传所在部门(支行)各项工作开展情况、团队建设及业务产品推进情况。
第十二条负责搜集部门(支行)的新闻线索,定期汇总或拟成通讯稿件上报综合管理部。 第十三条保证稿件质量,并按时完成每月供稿数量,确保完成全年宣传工作目标任务。 第十四条协助综合管理部做好杭州联合银行月报的信息上报工作,主动收集关于改进本行企业文化建设、周报的意见和建议,提高本行稿件在报刊、杂志等各大媒体的录用率,扩大本行的影响力。 第十五条完成政务信息上报工作,确保本行与中国人民银行以及银监局等部门的联系。 第五章通讯员工作要求 第十六条各部门(支行)通讯员每月保证2篇投稿,全年各级媒体录用稿件数量达到年初宣传工作制定的目标。 第十七条报送信息内容主要包括: (1)贯彻落实上级精神及重大工作进展情况反映和跟踪情况,例如“支农、支小”、“走村镇、访企业”等相关工作动态。 (2)执行各项政策的新举措、新办法、新思路、新成效。 (3)各村镇银行发展进程中的新经验、新典型、新气象、新风貌。 (4)各村镇银行在经营管理、企业文化建设、业务营销、创新 (5)各种新产品、新业务的介绍。 (6)工作中遇到的困难和问题,相关意见或建议;工作中取得的成效,相关经验交流与感受。 (7)文化生活类综合信息。 第十八条稿件要求主题鲜明、文笔通畅、语言生动、清晰简练,内容充实、真实新颖,有思想性、趣味性和可读性,并具有原创性、真实性,名称、时间、数字一定要核实准确。配图要求清晰,原始图片要求存档以备后用。 第十九条报道稿件要注意时效性,要及时,避免因为滞后性导致质量好的稿件未被采纳。 第二十条各部门(支行)负责人要高度重视、关心和支持信息宣传工作,并指定专人负责信息及通讯的报送工作(即部门通讯员)。全体人员要积极参与信息宣传工作,尤其是信息宣传骨干,要在部门中发挥联络沟通作用,带头挖掘素材,撰写稿件。 第二十一条通讯员应对稿件的真实性负责,对提供虚假信息、违反企业文化、职业道德的通讯员将取消通讯员资格,影响恶劣者将按照有关规定给予处罚。 第二十二条对重大信息知情不报、漏报,报送信息内容严重失实的部门和
**********关于印发移动金融平台业务管理办法(试行)的通知 各分行,各事业部,总行各部室: 为加强我行移动金融平台的管理,有效防范风险,促进移动金融平台有序发展,根据《**********营业网点柜员管理办法》、《**********有价单证及重要空白凭证管理办法》、《**********人民币结算账户管理办法》、《**********网上银行业务管理办法》、《**********手机银行业务管理办法》等相关制度,特制定《**********手机银行业务管理办法》,现予以印发,请认真遵照执行。 2016年6月28日 **********移动金融平台业务管理办法 (试行) 第一章总则 第一条为加强我行移动金融平台的管理,有效防范风险,促进移动金融平台有序发展,根据《**********营业网点柜员管理办法》、《**********有价单证及重要空白凭证管理办法》、《**********人民币结算账户管理办法》、《**********网上银行业务管理办法》、《**********手机银行业务管理办法》、《**********账户盈业务管理办法》、《**********网点销售提升指引》、《速融宝之“税金贷”产品操作指引》等相关业务制度,制定本办法。 第二条本办法所称移动金融平台是指利用无线互联技术,通过移动智能终端(平板电脑)建立集营销受理、产品销售、内部办公、信息发布于一身的立体营销管理平台。包括移动金融应用平台和移动设备管理平台。
第三条移动金融应用平台分为移动运营、智能厅堂、私人银行、预填单、小微宝等模块、信用卡申请等。 移动运营作为客户经理在户外高效的对客户进行业务办理、产品营销、信息收集及客户管理的移动客户端,可办理户外个人实时开卡、个人综合签约、单位开户及签约、盈商宝业务。 智能厅堂作为大堂经理和理财经理在厅堂客服和产品营销及客户管理的移动客户端,可进行大堂排号情况实时监控、客户排队时间预警、一页纸广告展示、产品展架、金融计算器、风险评估等。 私人银行可为客户提供相关产品与服务的介绍及查询,展示我行高端产品。 预填单是利用客户等待叫号的时间,让客户在平板电脑上进行要办理业务的单据填写,客户填写完毕,平板电脑将数据发送至后台bsbank系统,待客户被叫号时,柜员通过身份证号查询出客户填写的单据。 小微宝作为客户经理在户外对小微客户进行业务办理、产品营销及客户管理的移动客户端,能够实现实时快速进行小微贷款进件的需求。 信用卡申请作为客户经理进行信用卡业务办理、产品营销及客户管理的移动客户端。主要包含信用卡申请、业绩查询、进度查询等。 第四条移动设备管理平台主要实现对移动设备及移动应用软件的管理。 第五条移动金融应用平台使用对象为我行各营业网点客户经理、大堂经理、理财经理和客户。移动设备管理平台使用对象为管理员。 第六条各机构开办移动金融平台业务均须执行本办法。移动运营单位开户业务须参照《**********对公移动开户业务管理办法》执行。 第七条**********移动金融平台业务由总行统一管理,并接受中国
中国邮政储蓄银行电视银行业务管理办法 (试行) 中国邮政储蓄银行 二〇一三年二月
目录
第一章总则 第一条为加强电视银行业务管理,规范电视银行业务处理,保障客户及银行资金安全,促进电视银行业务健康有序发展,根据《中华人民共和国商业银行法》、《中华人民共和国电子签名法》、中国人民银行《电子支付指引(第一号)》、《支付结算办法》、中国银行业监督管理委员会《电子银行业务管理办法》、《电子银行安全评估指引》等相关规定,制定本办法。 第二条中国邮政储蓄银行电视银行以双向数字电视网络为传输媒介,向客户提供信息、金融及衍生服务。客户通过电视银行可以自助办理账户查询、转账、电视支付、信用卡还款、缴费等各种业务。 第三条开展电视银行业务应遵循“统一规划、统一管理、统一开发”的原则。总行提供统一的电视银行服务界面,统一负责电视银行系统开发和维护,开展电视银行业务。各分行开发分行特色业务,必须报经总行批准,由总行组织开发。 第四条电视银行服务对象为在我行开立有借记卡(绿卡通副卡、军人保障卡等除外)、信用卡(附属卡除外)、本币结算存折的客户。 第五条各级机构(含邮政代理机构)经办电视银行业务均适用本管理办法。
第二章机构人员管理 第一节机构管理 第六条电视银行业务发展相关各级机构包括管理机构和营业机构。其中,管理机构包括总行、一级分行、二级分行和一级支行;营业机构包括所有邮政金融网点和一、二级分行营业部或直属支行营业厅。 第七条总行负责管理全行电视银行业务,具体职责包括: (一)负责与银监会等相关监管部门的协调与沟通; (二)负责对电视银行业务进行统一规划和部署; (三)负责全国电视银行业务的管理和指导; (四)负责电视银行业务管理办法、规章制度、操作规程、章程协议的制定; (五)负责电视银行业务功能场所、设备标准的制定; (六)负责办理电视银行业务准入资格; (七)负责对一级分行开办电视银行业务准入进行审批、授权等工作; (八)负责电视银行业务从业人员的管理与培训工作及技术人员培训; (九)负责电视银行品牌的创建; (十)负责电视银行产品的设计、研发,策划与组织电视银行在全国范围内的推广; (十一)负责全国范围内电视银行业务宣传和营销的策划与组织实施; (十二)负责电视银行业务计算机应用系统的集中统一开
河北大学工商学院 网上支付与网上金融服务结课论文 电子银行风险防范 年级: 2009级 学号: XXXXXXXXXXX 姓名: XXX 专业: 电子商务 二零一二年六月十七日
摘要:电子银行以其方便快捷的特性深受广大客户欢迎,但由于网络的开放性、匿名性和技术复杂性,电子银行业务也面临比传统服务渠道更大的风险。近些年频繁发生的资金被盗事件已经使得许多客户对电子银行安全性产生忧虑。为保障电子银行业务持续健康发展,本文对电子银行业务的风险防范进行了研究,提出了对策。 关键词:电子银行;风险;对策 目录 目录 (2) 正文 (3) 一丶电子银行的发展及其风险防范现状 (3) 二丶针对三类主要电子银行风险,采取措施减少风险。 (4) 1、增强操作风险的防范力度 (4) 2、从宏观、中观、微观多方面入手防范声誉风险事件 (6) 1、宏观上,通过建立和完善社会信用制度减少风险事件的出现。 (6) 2、中观上,加强与第三方机构的合作。 (6) 3、微观上,加强电子银行业务人员与技术人员的信息沟通。 (7) 3、通过健全法律降低电子银行业务的法律风险 (7)
正文 一丶电子银行的发展及其风险防范现状电子银行作为一项新兴业务,在经过几年持续高速发展之后,其风险也随之不断积累并对业务的发展产生了负面影响。由于网络的开放性、匿名性和技术复杂性,电子银行业务面临比传统服务渠道更大的风险。近年来因钓鱼网站、木马病毒、诈骗短信等导致的资金被盗事件频繁发生,客户对电子银行的安全性更加忧虑,从而不敢或不愿尝试使用网上银行。这已经成为阻碍电子银行业务持续健康发展的主要原因。巴塞尔银行监管委员会《电子银行和电子货币业务的风险管理》认为,“操作风险、声誉风险和法律风险是大多数电子银行和电子货币业务最重要的风险”。因此,本文将电子银行业务面临的主要风险种类归为操作风险、声誉风险和法律风险三类。操作风险,是指由于不当或失败的内部流程、人员缺陷、系统缺陷或因外部事件导致直接或间接损失的可能性。《电子银行和电子货币业务的风险管理》中列举了电子银行业务操作风险的8 种来源,分别是未经授权的访问、雇员欺诈、伪造电子货币、服务提供商风险、系统退化、职员及管理技能落后、客户安全性经验不足、客户对交易抵赖。 声誉风险,是指由于公众对电子银行业务产生严重不利看法而导致银行无形资产遭受损失的可能性。声誉风险通常因操作风险和法律风险控制不当产生。当前的金融全球化、信息化使得银行面临的市场竞争更加激烈,银行要想建立好的信誉需要付出很大的努力,但是信誉的毁损却可能发生在转瞬之间。互联网的开放性和传递信息的高效率使得一旦电子银行出现安全事故、技术不完善或误操作等问题,就会通过互联网等媒介广泛迅速传播,再加上有
电子银行风险成因及对策 电子银行业务从无到有,从小到大,近年来进入发展快车道。以网上银行、电话银行、手机银行、自助银行、支付宝无卡支付、为代表的新型服务方式,为广大用户带来了方便和新的服务体验。首先是银行传统业务形成的客户群体,为电子银行业务的发展打下了坚实基础。近年来,商业银行利用多层次、全方位营销和主动上门推介等方式,拥有了一批实力雄厚的黄金客户。在全新的服务模式下,从以柜面服务为主的传统服务渠道向、全方位服务渠道方向全面转型。 一、电子银行风险成因 从风险发生的概率及危害程度看,网上银行的风险主要来自三个方面。一是客户自身风险,主要是由于企业内部财务制度不健全造成的。有的企业所有印章由一人保管,企业法人对财务事项长期不管不问,一旦财务人员出现道德风险,盗窃或侵占企业资金,很容易通过网上银行非法转移企业资金,并且作案分子可以先潜逃后作案,即使东窗事发,后续的案件侦破,追回资金的难度也会大大加大。二是银行内部欺诈风险。多数来自银行员工利用客户对自己的信任,在客户不知情的情况下,代替客户注册网上银行并掌握其网银证书,通过网上银行盗窃客户资金。三是网络风险。网络风险是犯罪分子基于互联网技术,通过木马病毒,网络钓鱼,虚假网站等手段利用客户属于防范和贪图小利等心理,盗窃客户卡号,密码等关键信息,或远程控制客户计算机,通过网上银行盗窃客户资金 二、防范电子银行风险的主要措施 1.大力提高风险管理能力 电子银行不能做到绝对的安全,但是一定可以做到更安全。当前,随着电子银行业务的发展,电子银行的风险管理刻不容缓,要实现电子银行业务超常规发展,形成一个产品多元化、渠道集成化、服务智能化的电子银行体系,对商业银行来讲,必须采取积极有效的策略措施来强化电子银行业务安全性的建设。因此,银行在开办电子银行业务时要将电子银行业务风险纳入风险管理的总体框架中并设立相应的管理机构,明确管理职能,完善授权机制建设,有效
xx银行手机银行业务管理办法 xx总发〔2010〕107号,2010年8月27日印发 第一章总则 第一条为规范xx银行手机银行卡(简称“手机银行”,下同)服务,促进手机银行业务健康发展,特制定本办法。 第二条本办法所称手机银行服务是xx银行作为移动数据业务内容提供商,利用移动、联通和电信无线通信网络而开办的金融服务业务。 第三条 xx银行手机银行服务由总行统一管理,并接受中国银行业监督管理委员会的管理和监督。 第四条 xx银行手机银行服务采用全行统一模式,开办业务范围由总行向中国银行业监督管理委员会申请或报告。 第二章业务组织与管理 第五条个私业务部是全行手机银行业务的归口管理部门,其主要职责是: (一)负责制定有关手机银行业务管理规章制度和操作规范; (二)负责手机银行业务需求的提出和完善; (三)负责手机银行业务培训指导工作; (四)负责手机银行卡片初始化及初始化密钥的保管; (五)负责手机银行业务监督、内控检查和管理工作; (六)负责全辖机构的业务统计、分析和考评工作; (七)负责全行范围内手机银行营销策略制订。 第六条科技部负责手机银行业务系统的技术开发、系统安全、优化升级和日常维护等工作。 第七条会计出纳部负责手机银行业务会计核算管理等工作。 第八条稽核监察部负责手机银行业务风险内控和管理等相关制度审查,对相关协议条款进行合规性审查。 第九条各分支机构负责手机银行业务的市场营销、宣传、培训和推广工作;接受客户咨询、投诉和建议;向总行提供业务需求和市场调查报告等。 第三章服务范围和内容 第十条手机银行是xx银行与上海方付通公司合作,结合xx银行自身业务发展需要,为客户提供基于安全模式的智能卡交易服务。服务范围和内容包括:实时汇款、普通汇款、申请收款、确认付款、转账、查询、对账、挂失、增值服务等。 第十一条 xx银行可根据需要变更服务范围和内容,变更内容以公告形式告知客户,不逐一通知客户。 第四章服务申请 第十二条客户应遵守xx银行电子银行章程和xx银行电子银行个人客户服务协议,按照手机银行服务流程办理手机银行业务。 第十三条客户申请手机银行业务,需携带本人有效证件与兰花卡(或个人结算帐户存折)前往账户开户网点办理注册业务。 第十四条临柜人员在客户申请业务前须向客户做好说明工作,让客户对开办的业务有所了解。向客户说明的信息包括但不限于手机银行开户需要在SIM/UIM卡上打孔安装贴片式芯片(又称手机银
中国农业发展银行网上银行管理办法 第一章总则 第一条为规范中国农业发展银行(以下简称农发行)网上银行管理,保障网上银行健康有序开展,有效防范风险,根据中国银行业监督管理委员会《电子银行业务管理办法》等法律法规,制定本办法。 第二条网上银行是指农发行通过互联网为在农发行开户的对公客户提供的金融服务。 第三条农发行网上银行坚持“整体规划、统一管理、服务客户、安全高效”原则。围绕全行战略目标,在确保业务发展依法合规、风险整体可控基础上,以客户需求为导向,积极推进业务创新能力,实现流程创新与技术创新有机结合,不断提高客户服务水平,促进现代农业政策性金融发展。 第四条本办法适用于农发行各级机构。 - 1 -
第二章管理职责 第五条农发行网上银行实行总行统筹、逐级管理的体制。各级行应严格履行工作职责,强化网上银行管理,积极开展业务经营活动。 第六条总行网上银行主管部门为信息科技部门,其职责如下: (一)负责制定网上银行各项规章制度。 (二)负责制定网上银行发展规划,开展业务分析、考核评价,组织产品宣传和推广。 (三)负责开办机构审批和使用网上银行渠道的业务准入审批。 (四)负责参数管理,使用网上银行内部管理系统进行参数配置、机构及省级分行管理员维护、角色设定与分配等。 (五)负责制订网上银行价格标准与收费管理。 (六)负责组织网上银行培训。 (七)负责网上银行客户服务支持,配套客户服务平台的建设、管理,客户服务相关培训,网上银行公告发布等管理工作。 (八)负责组织开展网上银行业务需求收集、分析与产品创新。 (九)负责向监管部门报送网上银行相关业务报表等。 - 2 -
展的“瓶颈”。网上银行的风险责任承担问题在我国也没有具体的法律规定,使客户对其敬而远之。本文借助一则网上银行纠纷的案例,来探讨网上银行的风险类型及防范措施,希望对我国网上银行立法特别是风险管理方面有所帮助。 关键词:网上银行风险防范 目录 一、引文----------------------------------------------------------------------------------------------------------
1 二、案例正文----------------------------------------------------------------------------------------------------2 三、案例分析---------------------------------------------------------------------------------------------------2 四、网上银行风险的形成原因----------------------------------------------2 五、网上银行的防范措施------------------------------------------------------------------------------------3 六、结束语-------------------------------------------------------------------------------------------------------4 参考文献---------------------------------------------------------------------------------------------------------4
电子银行业务管理办法 (中国银行业监督管理委员会令2006年第5号) 《电子银行业务管理办法》已经2005年11月10日中国银行业监督管理委员会第40次主席会议通过。现予公布,自2006年3月1日起施行。 主席刘明康 二○○六年一月二十六日 电子银行业务管理办法 第一章总则 第一条为加强电子银行业务的风险管理,保障客户及银行的合法权益,促进电子银行业务的健康有序发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》和《中华人民共和国外资金融机构管理条例》等法律法规,制定本办法。 第二条本办法所称电子银行业务,是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。 电子银行业务包括利用计算机和互联网开展的银行业务(以下简称网上银行业务),利用电话等声讯设备和电信网络开展的银行业务(以下简称电话银行业务),利用移动电话和无线网络开展的银行业务(以下简称手机银行业务),以及其他利用电子服务设
备和网络,由客户通过自助服务方式完成金融交易的银行业务。 第三条银行业金融机构和依据《中华人民共和国外资金融机构管理条例》设立的外资金融机构(以下通称为金融机构),应当按照本办法的规定开展电子银行业务。 在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司以及经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构,开办具有电子银行性质的电子金融业务,适用本办法对金融机构开展电子银行业务的有关规定。 第四条经中国银监会批准,金融机构可以在中华人民共和国境内开办电子银行业务,向中华人民共和国境内企业、居民等客户提供电子银行服务,也可按照本办法的有关规定开展跨境电子银行服务。 第五条金融机构应当按照合理规划、统一管理、保障系统安全运行的原则,开展电子银行业务,保证电子银行业务的健康、有序发展。 第六条金融机构应根据电子银行业务特性,建立健全电子银行业务风险管理体系和内部控制体系,设立相应的管理机构,明确电子银行业务管理的责任,有效地识别、评估、监测和控制电子银行业务风险。 第七条中国银监会负责对电子银行业务实施监督管理。 第二章申请与变更 第八条金融机构在中华人民共和国境内开办电子银行业务,应当依照本办法的有
信用卡电子银行业务风险案例分析调研报告 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
【最新资料,WORD文档,可编辑修改】 【本文摘要】工行江西新余分行依托个人金融业务“专业化经营、系统化管理”改革平台,围绕姜董事长提出的电子银行业务“跑马圈地”战略目标,实施二次创业工程,实现了个人电子银行业务的快速发展。 工行江西新余分行依托个人金融业务“专业化经营、系统化管理”改革平台,围绕姜董事长提出的电子银行业务“跑马圈地”战略目标,实施二次创业工程,实现了个人电子银行业务的快速发展。据统计,截至10月31日,工行新余分行个人网上银行客户、个人网上银行证书客户、个人电话银行客户、手机银行客户营销已完成或超额完成全年任务。工行新余分 行的主要做法是:
一是深化“两化”改革,整合营销渠道。按照个人金融业务“专业化经营、系统化管理”的改革要求,工行新余分行对个人金融业务产品营销渠道进行了整合,将“以客户为中心”的经营思想落实在经营管理的各个环节,改变传统了的部门分割、多头管理、产品分散经营的局面,将个人电子银行产品的营销管理职能整合到个人金融业务部,直接负责各支行、各分理处的个人电子银行产品的宣传、推介和营销管理,在组织模式上实现了对接,在体制上保证了“以客户为中心”的“大个金”经营模式,为个人电子银行业务发展打下了坚 实的基础。 二是加大宣传力度,树立品牌形象。今年以来,工行新余分行加大了对个人电子银行产品的宣传推广力度,努力扩大个人电子银行产品在社会的影响,
提高了个人电子银行品牌产品的知名度。首先是网点宣传。通过经常性地在营业网点悬挂宣传横幅、在咨询台摆放宣传折页、张贴宣传画开展宣传。还专门制作了宣传幻灯在营业网点的电子宣传牌反复播放,加强了对个人电子银行产品宣传。其次是上街宣传。工行新余分行经常组织人员到居民社区、购物广场、休闲广场等公共场所宣传包括个人电子银行产品在内的个人金融产品宣传。最后是上门宣传。工行新余分行积极与政府部门、企事业单位、中职院校联系,上门开展个人金融产品宣传、咨询活动。 三是组织竞赛活动,扰动营销氛围。工行新余分行根据不同的季节组织开展了一系列个人金融产品营销竞赛活动,基本做到了一个季度一个竞赛活动。为认真组织开展好营销竞赛活动,工行新余分行专门成立了竞赛活动领导小组,由行领导亲自担任组长。每项营销竞赛活动开展之前都要召开动员大会,进行层层动员、层层发动。为确保营销竞赛活动取得实效,工行新余分行还组成了督导小组,深入网点进行督导。专业部门每天都要对营销竞赛活动的成效进行监控,及时公布营销竞赛排行榜。同时,工行新余分行还通过编发《个人金融业务“专业化经营、系统化管理”改革简报》,及时反映营销竞赛活动的动态和经验做法,指导和推动营销竞赛活动的开展。据统计,已编发了《“两化”改革简报》99期,对扰动营销竞赛活动起到了关键性的作用。 四是开展定向营销,拓展市场份额。工行新余分行通过走出去请进来的方式开展个人电子银行产品定向营销、职场营销活动,有效地拓展了电子银行市场份额。据统计,截至10月31日,共组织人员深入政府机关、企事业单位、中职院校开展个人电子银行产品定向营销活动41场次,活动中共散发各种宣 传资料、客户需求调查表近60000份。
电子银行业务管理办法
附件二十九上海农村商业银行企业网上银行通知存款业务作业指导书 附件1: 永兴沪农商村镇银行电子银行业务管理办法 (2015年2月修订) 目录 第一章总则 (4) 第二章管理职责 (8) 第三章基本规定 (10) 第四章柜员管理 (21) 第五章参数管理 (22) 第六章移动数字证书管理 (23) 第七章个人网上银行业务 (24) 第八章企业网上银行业务 (25) 第九章电子银行业务特殊处理 (26) 第十章客户投诉及咨询业务 (27) 第十一章门户网站管理 (28) 第十二章自助机具管理 (30) 第十三章移动终端业务管理 (32) 第十四章短信业务管理 (33) (35)
第十六章业务检查 (36) 第十七章电子银行售后服务 (38) 第十八章电子银行客户教育 (39) 第十九章突发事件应急处理 (40) 第二十章附则 (43)
第一章总则 第一条为加强永兴沪农商村镇银行电子 银行业务管理,规范业务处理行为,防范风险发生,促进电子银行业务健康、持续、快速发展,根据《中华人民共和国商业银行法》、《中华人民共和国电子签名法》、《电子银行业务管理办法》、《电子支付指引》、《网上银行系统信息安全规范》、《人民币银行结算账户管理办法》、《支付结算办法》以及监管部门有关规定、规范性文件和相关业务制度,制定本办法。 第二条本办法所称永兴沪农商村镇银行(以下简称“村镇银行”)是经监管机构依据有关法律、法规批准,由上海农商银行(以下简称“主发起行”)和其他境内非金融机构企业法人或境内自然人共同出资并由上海农商 银行控股,主要为县(市)区域内的“三农”及中小企业提供金融服务的银行业金融机构;村镇银行管理部是主发起行设立的,负责管理和推动村镇银行业务发展,指导村镇银行建立健全业务制度、防范各类风险的职能部门;村镇银行管理分部是主发起行村镇银行管理部
东北财经大学网络教育本科毕业论文网上银行的风险防范分析 作者51毕业论文网 学籍批次200903 学习中心河南焦作市总工会职工中等专业学校奥鹏学习中心 层次专升本专业金融学专业指导教师
内容摘要 网上银行业务在我国已经展开,但是国内法律法规及金融规章并未对这一新业务进行系统规制。网上银行的安全风险分配问题已经成为制约其在我国发展的“瓶颈”。网上银行的风险责任承担问题在我国也没有具体的法律规定,使客户对其敬而远之。本文借助一则网上银行纠纷的案例,来探讨网上银行的风险类型及防范措施,希望对我国网上银行立法特别是风险管理方面有所帮助。 关键词:网上银行风险防范
目录 一、引文----------------------------------------------------------------------------------------------------------1 二、案例正文----------------------------------------------------------------------------------------------------2 三、案例分析---------------------------------------------------------------------------------------------------2 四、网上银行风险的形成原因----------------------------------------------2 五、网上银行的防范措施------------------------------------------------------------------------------------3 六、结束语-------------------------------------------------------------------------------------------------------4 参考文献---------------------------------------------------------------------------------------------------------4
关于网上银行U盾管理的风险分析及措施 2010-5-4 10:28:50 文章来源:本站原创作者:郭瑾 关键词: 核心提示: 工商银行网上银行客户证书是存放客户身份标识,并对客户发送的电子银行交易信息进行数字签名的电子文件。在多种客户证书中,USB key证书(以下简称U 盾)推广较为普遍,它是客户通过网上办理资金划转业务的重要身份验证介质,加强U盾证书的管理,就是确保客户资金安全的重要环节。 一、U盾管理中的风险点分析 (一)空白U盾的管理 2009年NOVA+1.1.4版本已将营业网点向客户发放的空白客户证书(包括个人、企业空白USB key证书)作为重要物品纳入要素核算管理系统。空白U盾从收到厂家发货起,办理的出库、入库、请领、发放、核对等都要按照核算要素管理系统的流程处理,并进行控号管理。管理中存在以下风险点: 1、支行向上级机构请领时,上级机构重点审核请领人的身份,核实无误后方可办理出库手续。 2、空白U盾实物领取时,出、入库人员必须当面点清并办理交接。营业部凭证库管库员与支行凭证库管库员、支行凭证库管库员与柜员间办理U盾的发放时,必须当面核对实物与核算要素系统中发放数量一致。 3、营业终了,柜员对未使用的空白U盾必须入箱(柜)保管。 (二)个人U盾的启用与发放 1、个人客户新申请注册网上银行服务时,需在《中国工商银行电子银行个人客户注册申请表》上注明申领个人客户证书,营业网点审核客户提供的本人身份证件和注册的银行卡无误后,使用“7639网银注册、户口开立”交易,启用并发放个人客户证书。
2、个人客户对已注册网银账户增加U盾。已经注册个人网上银行的客户应在《中国工商银行电子银行个人客户变更(注销)事项申请表》上注明增加“客户证书”,柜员使用“1538电子客户认证介质维护”交易增加U盾。 远程授权集中后,电子银行开户、变更已纳入远程授权管理,操作流程为:一是经办柜员需将电子银行注册申请书、客户本人有效身份证原件正反面、银行介质、身份证联网核查信息,向远程授权中心上传影像资料。二是现场管理人员核实客户本人办理;监督客户U盾回执;U盾发放客户本人;在相关凭证上签章确认。三是远程授权人员审核交易画面与申请书、介质号码、身份证信息一致;审查身份证联网核查信息;审核现场管理人员签章。个人U盾的启用与发放中存在以下风险点: (1)客户本人办理网上注册及U盾证书的启用和发放。柜员和现场管理人员操作时必须认真审核客户身份证件及注册卡,审核确认客户身份真实及账户确属客户本人所有。 (2)批量办理个人电子银行注册业务,客户不在场,由内部人员代客户输入注册密码。 (3)U盾证书发放时,柜员及现场管理人员必须核对系统中录入的U 盾号码与发放给客户的U盾号码一致。 (4)U盾必须发放给客户本人。现场管理人员应监督柜员将U盾交付客户本人,并确认客户本人在《个人U盾领取回执》上签字确认。 (5)营业网点柜员在向客户发放U盾后,应及时在核算要素管理系统中将U盾进行销号处理。 (三)企业网上已制客户证书的管理 企业申请注册网银时,柜员按规定对资料进行审查,无误后通过内部管理系统办理网银注册业务,并由制证网点对U盾进行制证。下面主要从证书制证后,证书代理网点与开户网点对已制证书的交接、客户领取证书及密码信封、对已领取的证书解冻三方面分析交接环节的风险点。
ⅩⅩ银行客户经理等级管理办法为完善我行市场营销体制,加强对客户经理的管理,提高客户经理队伍的整 体素质和展业能力,充分调动和激发客户经理的工作积极性、主动性、创造性,形成有效的竞争和激励机制,促进各项业务的持续稳定发展,更好地推进我行精细化管理与职业化建设,特制定本办法。 第一章客户经理岗位等级设定 第一条本办法所称客户经理是指为客户提供资产、负债、中间业务等金融服务,承担相关业务开发与客户关系管理职责的市场营销人员。客户经理是我行对外展业代表,负责开拓市场,了解客户需求,推介产品,争揽业务,同时协调、会同行内有关部门为客户提供全方位金融服务,在主动防范金融风险的前提下,建立、保持与客户的长期密切联系,实现业务稳步发展,并努力降低成本,增加收益,提高经济效益。 第二条按照“资格认定、管户对等、业绩优先、阅历适度、优胜劣汰”的原则,客户经理按年聘用,按季考核,能上能下。各级客户经理每年进行一次全面业绩考核,对达到年度规定的业绩标准,考核合格者予以聘用。客户经理实行绩效挂钩的考核奖励办法,在聘用期间,根据季度考核所达到的业绩标准,按季享受业绩奖金以及相应等级的职位工资、两费津贴以及其他福利待遇。 第三条我行客户经理职位分为高级、一级、二级、三级、四级、见习六个等级。对由于综合能力、身体或年龄等原因,不适合一线营销工作岗位,经组织安排在各中心支行营销科从事内部资料管理等工作的内勤人员,不享受客户经理相关待遇。 第四条客户经理职位等级与行员等级对应为: 客户经理等级行员等级 高级客户经理 5 等 一级客户经理 6 等 二级客户经理7 等 三级客户经理8 等 四级客户经理9 等 见习客户经理9 等 第五条客户经理实行资格认定,聘用上岗。每个岗位等级客户经理上岗前,均需达到分行对其岗位所要求的任职条件,并由分行客户经理管理小组根据其综合素质和业绩进行资格审查,合格者方可获得相应级别客户经理资格。获得客户经理资格的人员,分行可根据工作需要及其本人实际能力聘用为相应岗位的客户经理。 第六条见习客户经理见习期为一年。 第二章客户经理岗位条线设置与配备原则 第七条公司客户经理指承担各类表内外资产负债业务、中间业务、新产品推广、营销策划等职能,做好公司客户关系管理的营销人员。 第八条已被聘用为高级客户经理者对外统称“高级客户经理”;已被聘用为各岗位的客户经理,对外统称“客户经理”。 第九条客户经理配备原则及在岗最低业务指标。