電子銀行業務作業風險及防範措施
壹、概述
鑒於邇來各金融機構所開辦各項電子銀行相關業務(如:網路銀行、金融卡、信用卡、現金卡、電話語音、行動銀行等),多有因業者本身對於各項業務之作業安全控管有欠嚴謹,或由於客戶缺乏基本安全概念,業者亦未善盡提醒與教育之責,肇致金融機構客戶之存款遭歹徒詐騙盜領之個案頻傳,不僅損及存款大眾對於金融安定信心,亦造成金融機構莫大商譽及營業損失。為維護各金融機構辦理電子銀行交易之作業安全,爰蒐集整理各金融機構近年來辦理前述各項作業時所發生之詐欺舞弊案件,並研擬該項作業允宜加強注意之事項,供各金融機構作為辦理上述業務之參考。茲就各項業務之作業風險及防範措施分述如次:
貳、網路銀行業務作業風險及防範措施
網路銀行因係客戶利用個人電腦,藉由憑證認證機構所核發之電子憑證,透過網際網路連線至金融機構之網站進行交易,因此其作業風險主要來自於三方面:客戶端作業憑證之保管及使用、金融機構端資訊設備與系統之安全防護、交易訊息經由網際網路傳輸過程是否遭受外來駭客之干擾或截聽;另由於網路銀行交易過程中均處於開放環境之系統架構,致可能隨時遭遇來自金融機構內部/外部之試煉與挑戰。綜上所述,網路銀行作業安全之風險可能如下:主機實體安全之漏洞,如:資訊機房門禁管制欠佳、輸出入設備及通訊設備管制欠妥、預留過多未經管制之外接埠、報表及磁性媒體管制欠妥等,導致主機遭破壞、系統遭入侵、防火牆被關閉、實體連結線路被改變,作業人員或客戶資料遭竊取等。
作業系統或系統軟體漏洞,如:未定期修補系統程式或未及時提
升版本、未掃描異常更新或複製之系統檔案、未設妥電腦病毒防範措施、系統安控參數設定不完整,致使駭客利用緩衝區溢出漏洞、植入木馬程式取得特權使用者密碼或夾帶植入電腦病毒以癱瘓主機及防火牆系統,或夾帶木馬程式進行資料竊取及破壞,或利用系統安控設定不周延以進行資料竊取及破壞。
網路系統安全設計及管理有缺失,如:未設計資料庫查詢參數過濾器(Query Parameter Filter)及介面查詢程式過濾器(CGI Program Filter),導致駭客利用資料隱碼攻擊(SQL Injection)夾帶程式竊取資料庫資料;對於資料庫未設定適當之存取權限,未建立嚴謹之網路銀行所有程式及網頁之換版程序;或委外開發維護之系統遭電腦廠商程式人員夾帶程式不當顯示資料原始碼,造成資料外洩;任意下載系統漏洞修補程式而遭入侵;對網路銀行主機、防火牆、資料庫主機及中心主機所形成之網路與銀行內部網路(Intranet)未作區隔,導致歹徒利用預先隱藏特定網頁或功能,入侵中心主機存取資料。
對檔案資料存取控制設定欠佳,如:對使用者資料檔未訂定系統安全管理規範、未限制使用檔案修改工具、職務分工不當或未落實,違反牽制原則,導致歹徒或金融機構內部人員竊取未隱藏之使用者資料檔,並採用字典攻擊法推測出使用者密碼,進而篡改資料庫或檔案內容。
資料傳輸過程安全性欠佳,如:網路銀行主機與中心主機間資料之傳送未加密,導致歹徒或金融機構內部人員竊取以明碼方式傳送於網路銀行主機及中心主機間之客戶網路銀行交易密碼,或篡改轉帳交易資料封包。
不安全的連結點過多,如:internet/ extranet /modems未嚴禁開放主機撥接功能;未建置防火牆、未訂定系統安全策略、未利用網址轉換(NAT)技術隱藏內部終端/服務主機之IP位址;未
嚴禁透過Internet連線維護主機資料;未利用防火牆反詐騙及反攻擊(Anti-spoofing/Anti-attack)技術防止各種入侵手段;未利用網路掃瞄(INTERSCAN)等網路偵測工具程式掃描異常網段,導致歹徒、金融機構內部人員或駭客透過撥接直接進入主機或利用維護主機系統之特定網頁,進入主機修改資料及開放不必要的服務功能。
內部及外部人員控管欠佳,如:未簽訂公司/員工網路公約、未確實有效監督廠商人員維護系統、未與廠商洽訂保密契約、未建立內部安全措施,致入侵者將IP、防火牆規則(Firewall Rule)等重要資料拷貝至儲存媒體或印成紙張攜出辦公室、或利用e-mail、ftp、http將資料利用撥接方式繞過防火牆傳送,以攻擊銀行內部主機。
網路銀行業務申辦作業流程欠佳,如:櫃台整體作業流程未符牽制原則,中心產製及核發電子憑證、軟體、密碼函不符牽制及機密性,致客戶資料、電子憑證、軟體、密碼函遭竊取;對重要電子憑證、基碼及密碼保管不當,致行員藉以竊取客戶資料、重要電子憑證、基碼、軟體及密碼以從事不法。
欠缺良好的稽核制度,如:未建立預警及稽核通報制度、未利用入侵偵測系統(IDS)防禦及檢測;未將通過防火牆之來源端及目的端主機IP位址、來源通訊埠編號、目的地通訊埠編號、通訊協定、登入登出時間、存取時間以及所採取的行動確實記錄留存並覆核,致入侵者刪除Log檔,以湮滅其入侵之事實。
客戶端問題,如:客戶將認證磁片隨意放置,致遭歹徒複製盜用進而盜領存款;客戶本身利用電子銀行進行非法之洗錢活動;客戶使用電子銀行前並未充分瞭解各項權利義務及操作方式,導致權益受損;不肖人士仿冒銀行網站,藉以騙取客戶基本資料,損及金融機構商譽。
茲列舉網路銀行業務之舞弊案例及分析說明其作業缺失如下:案例甲:91.4 歹徒在媒體刊登廣告以徵求彩券經銷商加盟店需繳交保證金(金額不等)50萬元為餌,計誘受騙民眾至XX
銀行開立帳戶,存入雙方事先約定金額,並申請語音及網
路銀行服務,嗣後歹徒以查詢各該受騙民眾是否依約存入
保證金為由,騙取其語音密碼,搶先使用語音密碼登入網
路銀行系統下載受害人之電子憑證,並隨即透過網路銀行
轉帳功能,分別盜轉各受害人之存款400千元、500千元、
800千元。本案歹徒係利用客戶於申請網路銀行業務功能
後,未及於變更密碼,並上網至憑證核發機構(台灣網路
認證公司)申請下載電子憑證之空窗期,計誘套取客戶密
碼後,搶先登錄下載電子憑證再予盜領存款所致。
案例乙:歹徒利用電腦工程師身分,90.3間趁XX銀行辦理定存系統維護,暫將客戶交易失敗之帳號、密碼存於系統交易失
敗軌跡檔(LOG FILE)之際,藉口維護系統,逕將前述檔
案擅以外掛程式反推盜知客戶證券網路下單之帳號及密
碼,再冒名上網進行交易,造成該行471千元之損失。經
分析結果,主要係該行資訊單位對網路下單系統之新種業
務不夠熟稔,且過度信賴電腦廠商對於該項系統安全防護
機制之保證與作業維護,未於軟體發展過程中提出契合於
該行之系統安全規格需求,上線後亦未比照主機系統作業
嚴格控管,致歹徒得以藉維護系統機會,以外掛程式入侵
作業系統,再以所盜取之客戶帳戶及密碼資料,冒名進行
網路下單交易,趁機出脫手中持股所致。
綜上,茲歸納金融機構辦理網路銀行防範措施如下:
一、網路銀行資訊設備安全管理
電子轉帳、交易性指示等金融交易訊息或電子文件傳輸,應確
認符合來源辨識性、訊息隱密性、完整性、不可重複性、不可
否認傳輸訊息等設計,應用程式設計應避免產生緩衝區溢位系
統漏洞,以免遭人利用夾帶不當指令竊取資料。
閘道(Gateway)系統建置或變更通訊等轉換內容,應建立符合
內控原則之控管程序;對異常進出閘道之事件應留存紀錄備
查;對重大異常狀況應建立警示機制及追蹤管理措施。
對提供客戶使用之軟體、密碼或其他有關資料,其提供、啟用、維護或更新之程序應符合內控原則。
對維護客戶資料(含密碼)隱密性應妥為設計,尤應注意保密
性,密碼應以亂碼化方式儲存。
資訊部門負責網路銀行資訊系統軟、硬體設備維護之職務應有
適當分工,其建置與變更應妥善控管,並留存可供追蹤查核之
稽核軌跡。
電腦機房門禁應加強,涉及儲存客戶資料之設備應嚴加控管。
有關私密金鑰、憑證資料或亂碼基碼及各項相關隱密性資料,
於產生、變更、儲存時應加強控管及符合內控原則;金鑰長度
應符合主管機關之規定。
對聯外網站與內部網路或電腦系統間之路徑應加以控管;對未
經防火牆之遠端存取應予過濾及管制;對未經授權或違規之異
常存取或進出網站情形,應設計偵測、警示及追蹤之機制,並
設有防範網頁遭竄改之控管措施。
二、系統可用性管理
應訂定故障預防(如病毒防範、偵測、警示等)程序、系統備援及系統復原等措施,並定期演練、檢討、改善。
三、與客戶、委外廠商或其他第三者關係
應訂定與客戶、委外廠商、第三者(含憑證機構、清算機構、
商家、供應商等)權利義務關係契約,並視情況隨環境定期檢
討,以確保適法性及周延性。
對重要軟硬體購置、租用或委外處理,應評估廠商信譽、財務
狀況、研發支援能力、內控制度,以避免衍生相關風險。
若採委外作業管理,應確實依金融機構委外注意事項辦理。四、風險承擔管理
金融機構應依法令規定,審酌承擔風險能力;訂定交易風險限
額,應依交易類別分別限制每次交易金額、每日交易累計金額
及約定與非約定帳戶轉帳金額。
應對憑證認證機構之營運及信賴度進行評估,以免產生相關風
險。
對客戶聯繫、服務及連外網路通訊安全應有防止內部及外部人
員入侵措施,並與內部有關資訊系統安全結合,建立例外管理
制度,設立緊急通報問題處理及追蹤管理程序。
五、客戶作業端管理規範
應提供客戶網路銀行業務或服務之詳細操作說明文件。
對客戶權益、資訊安全及隱密性等允宜加強注意事項,應以書
面且較醒目之方式告知客戶注意。
對各網路銀行業務之客戶往來情形,應提供對帳單以釐清與客
戶之權責,並加強事後追蹤查核。
訂定客戶終止網路銀行往來之處理程序,以免其帳戶遭盜用。
對首次往來客戶身分之確認,應有確認程序以避免有假冒他人
開戶或往來之情形發生。
六、代理憑證註冊作業管理
如代理憑證註冊作業,應訂定代理憑證註冊作業工作原則及工
作站管理辦法。
銀行將代理註冊資料上傳至認證公司或憑證資料下傳失敗時,
應由系統留存作業紀錄(log file)加以控管;註冊申請程序
應依符合內控之程序辦理。
代理註冊筆數、憑證維護、放行日報表等相關表報內容,應定
期交互勾稽核對,以確認憑證異動與申請確實相符。
客戶申請密碼解鎖作業,應將作業紀錄列印,並應與分行解鎖
申請書及解鎖電子郵件裝訂供主管覆核。
七、防火牆管理
應訂定網際網路防火牆安全政策,定期評估防火牆規則內容之
妥適性並予適時調整。
telnet、finger、http等高風險服務(service)應予以卸載
(disable)。
應俟確認最新之修補程式(patches)確無問題後,才予安裝。
重要檔案均應備援;防火牆文件應依人員業務執掌、文件機密
性及重要性程度限制取閱。
對作業紀錄(log file)、稽核軌跡(Audit Trail)及異常進
出紀錄等應留存完整,並設專人監控,且應建立警示機制,視
情況作適當反應及追蹤處理。
訂定符合內控原則之變更管理程序,並予以落實,內部與外部
網址對應關係之建置與變更應妥為控制。
防火牆不應設定為信賴主機(trust host),另控制台自動鎖
住(console auto lock)功能應啟動。
訪客帳戶(GUEST account)應予以刪除,除root、powerdown、daemon、checksys、bin、makefsys、uucp、mountfsys、sysadmin、umountfsys等使用者帳戶(account)外,其他使用者帳戶不
可設定為特權使用者(supervisor)帳戶。
NIS(Network Information System)之/etc/passwd或
/etc/group不可有'+*:0:0:::',以避免無密碼之使用者帳戶
亦可簽入(log on)系統。
八、伺服器管理
應訂定伺服器安全管理政策;對較具風險性之服務及網路通訊
協定,應經適當評估並經適當層級主管核准後始予開放。
對系統管理者帳號應更改名稱(rename),訪客(guest)帳號
應予關閉。
作業紀錄(Log File)及稽核軌跡(Audit Trail)應有專人監
控,並作適當反應處理。
各目錄存取權限應依內部職務分工予以授權。
應依據內控原則訂定系統參數,而不應僅以廠商安裝之初始值
來設定系統參數。
參、金融卡業務作業風險及防範措施
金融卡業務自81.12台中市XX信合社遭電腦維護工程師利用維護系統機會,藉機竊取客戶資料製作偽卡盜領客戶存款伊始,每隔相當時日即有類似案件再度發生,犯案手法則大致如出一轍,均係針對金融卡本身之安全機制或漏洞予以設法破解或入侵,因此金融卡作業原建置之安全機制,如:密碼亂碼化基碼(Pin Protection Key)、客戶密碼(Pin Key)、金融卡磁條第三軌資料(帳號或卡號Actno、密碼偏移值Offset、密碼錯誤次數及卡片驗證碼Cac)等,往往成為有心者覬覦目標,其可能使用手法及取得管道則大致如下:
一、金融機構資訊中心人員(或負責維護之電腦廠商)利用維護系
統機會竊取金融卡磁條第三軌資料;或利用製作金融卡密碼函
時取得客戶密碼(Pin);或竊取密碼亂碼化基碼並篡改程式將密
碼解密;或重新執行製作密碼函程式竊取密碼等。
二、ATM端末廠商維修人員(或金融機構程式人員)非法竊改ATM
端末程式,複製客戶金融卡第三軌資料及密碼後,偽造金融卡
盜領客戶存款。
三、營業單位保管金融卡或密碼函之主管、經辦監守自盜。
四、歹徒利用客戶提款時側錄客戶金融卡磁條資料及攝錄輸入之密
碼,並憑以製作偽卡盜領客戶存款。
五、歹徒利用存戶對該業務操作程序不熟悉或警覺性不足,以詐騙
手法計誘套取存戶密碼資料或依其指示將款項轉出至其所預設帳戶。
茲列舉金融卡業務之舞弊案例,並分析說明其作業風險如下:
案例甲:89.11 歹徒師法日本曾發生全球首件偽造假提款機盜領案手法,藉由坊間購得之提款機相關零組件及用以連接提款機
面板與側錄金融卡內碼之讀卡機介面程式,組合偽裝成XX
銀行提款機,再趁不知情民眾於其偽冒提款機提款時,同時
側錄金融卡密碼和磁條資料,再據以轉錄偽造金融卡,至他
行提款機盜領27家銀行客戶存款共600餘萬。分析全案固
由於一般民眾普遍疏於辨識提款機真偽,且對於無法正常提
款時,多未警覺應即時變更密碼並通報該屬金融機構查明原
因;另各金融機構則多僅注意其轄下各提款機機體之安全防
護措施,且對於報廢提款機之處置銷毀流程未嚴加控管,亦
為該案發生之主因。
案例乙:92.2 XX銀行資訊處接獲台北市警局大安分局通知,於他行自動服務區內,截獲三名金融卡盜領嫌犯,起出遭偽造之
該行不同帳戶磁卡46張,且已成功盜領2,753千元;92.6 有
客戶持三個拆自XX銀行南勢角分行ATM上裝置側錄器之假
鍵盤向中和分局南勢角派出所報案,損失金額因部分疑遭側
錄客戶無法取得聯繫而無法確定;91.4、92.4及92.6各月
間共計有八家行局通報所轄分行中有客戶存款遭歹徒於他
行持偽卡盜領,損失金額則由30千元~1,921千元不等,其
中並有一位向XX銀行投訴損失100千元之客戶,曾於91.9
向同單位投訴其金融卡資料遭盜領250千元。各案經分析,
其犯案手法或係向國際偽卡集團購得之偽卡盜領得逞,或係
藉各種手段設法取得存款戶帳戶資料及密碼後製作偽卡盜
領,至於製作偽卡所需資料來源及管道則可能源自金融機構
內部不肖作業人員、電腦維護廠商提供,或係趁民眾提款時
以附加或隱藏之機具(假鍵盤、針孔攝影機、磁條側錄器等)
側錄。另各銀行對於金融卡密碼函相關資料之保管、產製、
發送等作業安全控管欠嚴謹,或未落實對於行外無人自動化
作業區、委外裝填補鈔之提款機設施之定期(不定期)清查
檢測;未對存戶教育提款密碼正確使用知識(如注意變更及
保管),致其存款再度遭到盜領;或有未落實對於開戶證照
之查驗,致歹徒得以利用偽造身分證開立人頭戶,並作為轉
帳洗錢過渡帳戶等,均可能肇致各案類似情事持續發生。
案例丙:詐騙集團謊稱有國稅局退稅款、SARS補助款、中華電信電信費溢收等款項可領,惟須利用提款機辦理轉帳存入,再利
用一般民眾不諳提款機操作流程且貪小便宜心理,以電話聯
繫遙控請民眾至提款機依其指示輸入轉帳帳號、金額等交易
內容,藉由轉帳入戶方式分批將民眾帳戶內存款轉出至歹徒
預先開立之人頭戶,再予盜領一空。因歹徒不斷利用各種款
項名目誘騙民眾上當,實際受騙事件及損失金額無法綜計,
惟經分析此類案件歹徒盜領得逞,除肇因於民眾不熟悉提款
機所提供功能及服務內容,且進行轉帳交易時誤信歹徒指
示,致疏忽提款機螢幕上所顯示之各項訊息外,各金融機構
或有未善盡教育客戶之義務,或未依規定於各提款機上張貼
或顯示警示訊息提醒民眾,或有未落實對於開戶證照之查
驗,致歹徒得以利用偽造身分證開立人頭戶,均係該類詐騙
案件層出不窮主因。
金融機構辦理金融卡業務之防範措施如下:
一、亂碼化設備、基碼及應用程式控制之管理
為維護電腦作業亂碼系統正常運作,及確保亂碼化設備及作業
之安全,應訂定符合內控原則之跨行亂碼系統安全控管辦法。
亂碼化設備應使用硬體,且應每日列印使用記錄查核。
各項基碼之建置或變更應有申請核准之書面紀錄,其基碼建置
後應備分並由安全控管人員封存。
應避免以客戶同一身分證或統一編號,作為轉帳之控制基準(各
帳戶間可自由轉帳),以防止歹徒偽造身分證開立另一帳戶,
盜領客戶存款。
二、自動櫃員機設備及自動化服務區之管理
應依財政部所頒「金融機構自動櫃員機安全防護準則」及「金
融機構營業場所自動化服務設備管理辦法」訂定各項自動櫃員
機之安全防護措施並確實執行。
自動化設備之設置及裁撤應確實申報主管機關,對於報廢之自
動化服務設備,應嚴格控管或銷毀,並注意杜絕被重新組裝之
可能性。
應定期全面清查營業場所內、外自動化服務機器及線路有無附
加非法設備,或系統內有無安裝或夾帶非法程式截取客戶金融
卡磁條資料及密碼。
自動化服務設備及發給客戶之使用手冊與金融卡,均應記載24小時聯絡單位及電話、異常情形之處理方法(如即刻於他台
CD/ATM變更密碼或通知所屬金融機構及必要時掛失止付等)
等,受理專責單位應設簿記錄控管並儘速追蹤處理及回報。
ATM交易監錄設備畫質應注意維持清晰,時間設定應正確,並
備有充分錄影帶俾供較長期間之交易錄製及保存。
自動櫃員機鑰匙與密碼應分由不同人員負責保管,現金之裝
卸、清點宜由主管人員會同進行;廠商人員派員維修或保養自
動櫃員機設備,應請提供身分證明文件,並全程監督及留存維
修紀錄備查,若有調整軟體或更換磁片時應查明原因,磁碟機
寫入口應由主管及經辦共同封簽。
三、金融卡、密碼函之製作管理
製作自動化服務設備之金融卡、密碼函及建置跨行通訊基碼等
作業,應留存稽核軌跡、分人辦理且符合牽制原則。
金融卡(含密碼函)之製作程序應符合牽制原則,製卡場所應
管制人員進出並設於隱密安全處,製作卡數應嚴格控管,製卡
機器密碼、鑰匙、製卡磁片之使用及保管應符合牽制原則,製
卡機使用狀況應予紀錄並作適當控管。
製卡單位發送至營業單位之金融卡及密碼函,應分開寄送並追
蹤其收迄回條,以確認營業單位確已分別收妥。
空白金融卡應存放於安全之地點,其領用保管應嚴予控管,並
定期、不定期實施盤點;作廢之金融卡應確實辦理銷毀,留置
於CD/ATM金融卡應確實登錄並寄回原單位,掛失卡片應確實登
錄。
四、客戶投訴及相關帳務處理之管理
對客戶投訴其存款餘額有疑遭盜領之異常狀況,應建立通報機
制及處置措施,並予以追查原因;對於經確定係屬金融卡被偽
造盜領事件,應依規定於二日內將該帳戶相關ATM交易資料送
財金資訊公司查證,查證確實後並即補足客戶被盜領款項及依
規定通報。
國內金融卡、國際金融卡、國際信用卡、國內信用卡與相關清
算組織之清算基金帳務應相等,如不符應即查明原因並處理。
自動櫃員機補鈔作業如係委外辦理者,其補鈔金額交付受託機
構時,應有妥適之紀錄以明責任,對補鈔之金額及勤務安排應
有效掌握,且應有補鈔確認之機制;自動櫃員機之餘款應確實
匯回指定帳戶,自動櫃員機異常狀況應立即查明及處理,並隨
時清查掛帳後久未處理者。
肆、信用卡、現金卡業務作業風險及防範措施
近年來信用卡線上交易量逐年暴增,原傳統持卡人到實體商店刷卡消費之行為模式,漸被持卡人藉由上網輸入信用卡卡號、有效年月、使用者身分ID等資料,經由網際網路到店家的網站購物,再由商家傳送「授權/清算中心」要求付款清算,或由消費者使用金融機構所推出專供網路購物消費之虛擬信用卡(一組無實體卡之信用卡號碼),於網路上向「網路特約商店」購物之交易模式所取代,致其作業風險,已由傳統實體防偽機制(標誌、磁條基本資料、簽名、照片等)轉變為消費者上網登錄個人基本資料(姓名、地址、職業、電話、信用卡號或請款帳號等),而涉及無實體可供辨認所衍生之風險:
一、歹徒以冒名方式申請網路信用卡。
二、駭客利用網路技術入侵發卡銀行資料庫或侵入網際網路服務公
司(ISP)管理信用卡資訊之伺服器,竊取網路帳號、密碼及卡
號。
三、歹徒(或持卡人)與網路特約商店勾結「假消費真詐財」。
四、網路商店人員利用持卡人於網路消費時所輸入帳號、卡號等資
料上網冒用。
五、發卡銀行之電腦網路工程師或維修工程師利用維護系統時伺機
竊取持卡人資料檔案並偽冒消費。
另對於現金卡業務,其申請程序與資料安全管制同信用卡業務:核卡後卡片及密碼函之製作、寄發與作業安全機制則與金融卡
業務(請參閱前述金融卡作業防範措施)雷同,不再贅述。茲列舉有關信用卡弊案及作業缺失如下:
案例甲:87.8歹徒集團以他人身分證及偽造財產資料冒名申請信用卡後出售或購物轉售圖利。經分析該集團主要係利用金融機
構(或委外之招攬業務機構)經辦為爭取客源,未依規定辦
理徵信與調查,浮濫發卡;或對於信用卡申請人身分證件及
相關財力證明,未落實核驗並進一步徵信查證是否屬實,即
逕准予核卡;輕易取得卡片盜刷得逞。
案例乙:87.7歹徒勾結特約商店店員,趁持卡人不注意,於預先裝置之錄碼機刷卡,竊取內碼製作偽卡;87.8歹徒偽冒財團法
人聯合信用卡處理中心維修人員身分,以維修名義至商店檢
修刷卡機時,趁機以所攜側錄設備盜取商店端末機內客戶刷
卡資料,再利用內碼製作偽卡。二案或由於收單銀行對於特
約商店之勸誘與管理,因同業競爭激烈及缺乏自律,致特約
商店品質良莠不齊;或由於特約商店店員普遍對於刷卡設備
之安全防護缺乏警覺意識,任由歹徒以側錄設備盜取信用卡
磁條內碼資料,加上歹徒集團以幾可亂真之偽卡製作技術,
均導致信用卡作業中主要之安全防偽機制不再。
案例丙:90.1 XX銀行行員利用職務之便,由該行電腦系統中查詢客戶資料,再以傳真方式洩漏給歹徒憑以製作偽卡。本案係
因金融機構對於資訊中心(或信用卡部門、客服中心)人員
查詢客戶基本資料之作業權限未予嚴格控管,致不肖員工為
貪圖私利,將客戶基本資料外洩給歹徒。
案例丁:91年初歹徒利用中華電信公司「電話遙控指定轉接」服務,擅將XX銀行信用卡中心與客戶間服務傳真專線,轉接至其
住家中,不定時攔截持卡人信用卡號等個人資料,再上網盜
刷購物。本案發生原因在於中華電信公司之「電話遙控指定
轉接」業務申請,不需書面申請,及無身分確認程序,且不
需在原申請之電話機上即可操作設定轉接,整體作業手續設
計雖以服務便民為優先,惟讓歹徒有機可乘冒名申請,再利
用電話轉接之功能,將持卡人與發卡機構之通信(語音或傳
真之卡號、卡片有效期限)以轉接方式攔截,再持所攔截之
資料於電腦網路上進行購物消費,造成相關業者損失。
綜上,茲彙整金融機構辦理信用卡及現金卡業務之防範措施如下:一、委外作業管理
與廠商簽訂委外處理或維護合約,合約中除須詳細載明廠商之義務及責任範圍外,應約定受託機構同意配合財政部或財政部所委託之適當機構及銀行內外部人員進行檢查或稽核,及提供相關資料及報告,受託機構及員工應出具不洩漏銀行及銀行客戶等相關資料之文件,於違反上述約定時須負損害賠償責任。
二、資訊作業管理
申請核卡處理作業之電腦參數及授權參數應定期檢討評估並作適當調整;逾越參數值應經主管核准,並於事後整批列印供核准之主管核對勾稽,且均應符合金融機構之風險管理政策。三、製卡、密碼函及卡片管理
空白卡片採購、庫存管理、製作過程應符合內部牽制原則,
設簿登記控管且應不定期辦理盤點,防止空白卡片流出。
申請製卡之書面資料,應妥善保存,避免申請人資料外洩,
輸入電腦資料需有覆核人員覆核,以免因資料錯誤,影響客
戶權益。
電腦製卡檔之產生、使用或銷毀,應有完整之保護措施,避
免遭人竊取。
製卡場所應嚴禁非相關人員進出,並裝置錄影設備錄影留存
紀錄備查。
製卡相關耗材存量、銷毀程序等控制應達到作業不中斷,資
訊不外流之原則。
應建立卡片寄送後追蹤管理機制,確保卡片確已送達客戶。
密碼函之印製、寄送應注意安全及牽制原則。
四、客戶服務及管理
客戶卡片掛失應即時輸入電腦,並告知客戶相關權益事項。
應建立客戶申訴、問題處理之追蹤控管機制,妥為處理客戶
申訴之相關問題。
五、收單行作業管理
特約商店機器安裝、拆卸均應經相關主管核准,並有控管之
電腦檔案定期勾稽核對。
風險特約店一經確認,除應立即安排拆機外,並由主管視情
況作外部風險之通報。
伍、電話語音及行動銀行業務作業風險及防範措施
目前金融機構透過電話語音系統所提供金融服務,大致包括存款餘額查詢、轉帳、掛失、通知、傳真、費用代繳等,因交易時僅憑客戶輸入語音密碼作身分辨認,安全機制相對較金融卡交易來得薄弱,作業安全防護亦相對困難,其可能之犯案管道及作業風險經蒐集整理大致如下:
電話語音系統廠商維護人員(或金融機構程式人員)非法竄改語音系統程式,記錄含語音密碼之交易訊息並藉機拷貝複製,再利用語音轉帳盜轉存款(部分金融機構提供小額非約定帳戶之跨行轉帳服務)。
電話語音系統之交易訊息(含語音密碼)透過電話通訊系統傳遞時均為明碼,雖多以干擾音加密惟破解容易,歹徒可藉機竊聽電話通訊內容截取交易訊息後並加以破解,取得存戶帳號及密碼後,再予以盜轉存款。
歹徒利用金融機構對於同一人於其不同分支單位申請開立同一種類之存款帳戶及各帳戶間語音服務功能時,系統多係以ID作控管基準,可不經約定,各帳戶間即可互轉且無交易限額的控制設計漏洞,於偽冒開立新帳戶後即申請語音轉帳功能,以遂行其盜領原存戶其他帳戶存款之目的。
歹徒(或金融機構人員)利用金融機構電話語音系統設定語音密碼之初始值(“0000”或出生日期)之漏洞,於客戶尚未辦理密碼變更前冒名先行變更,進而盜領客戶帳戶之存款。
茲列舉有關電話語音業務弊案及作業缺失如下:
案例甲:89.8、91.6、91.11及92.3有四家銀行之部分存戶(個人戶、公司戶)之存款,遭歹徒持相同客戶(個人戶、公司戶)統一編號之證照,於各該行之其他聯行偽冒開立新帳戶,再
利用電話語音轉帳系統對於同戶間(同一統一編號)轉帳不
設限之程式設計漏洞,分別以語音轉帳盜領原存戶存款334
千元~7,190千元不等。經分析結果,各金融機構作業缺失大
致如下:
1.金融機構受理存戶開立第二存款帳戶時,未確實依規定向
原第一開戶行照會,或雖向聯行調閱相關開戶資料,惟未
確實核對其開戶身分證影本、筆跡、印鑑是否與原存行相
符,以確認客戶身分。
2.金融機機辦理語音轉帳以之客戶ID為控管基準,同一人不
同帳戶間語音轉帳可不必約定即可互轉,致有XX銀行客戶
於該行承德分行原開立帳戶並未約定為可轉出帳戶,惟仍
遭盜轉至中壢分行假帳戶,遭法院判決該行敗訴。
3.部分金融機構電話語音系統對語音密碼之初始值訂為預設
值“0000”,雖多規定首次使用電話語音功能須辦理
密碼變更,惟仍可臨櫃透過交易辦理「語音服務變更密碼」
將密碼變為初始值,且系統程式未限制須回原開戶行辦理
或顯示任何聯行開戶之訊息供主管辨識,致歹徒於偽開帳
戶後進一步得利用系統控制設計之漏洞,重新變更語音密
碼,透過語音轉帳盜領原客戶其他帳戶之存款。
案例乙:歹徒於偷竊他人信用卡資料及稅單後,利用各家銀行電話語音服務系統變更客戶語音密碼,並冒名申請補發信用卡,直接預支大筆現
金。本案係歹徒利用各金融機構電話語音認證系統,通常僅以客戶
的出生年月日及身分證號碼作身分辨識之漏洞,於偷竊他人信用卡
資料及稅單後,以竊得之客戶身分證號碼進入各家銀行電話語音服
務系統及認證專線查詢,再進一步更改密碼,及以該密碼篡改客戶
資料;嗣後並利用金融機構電話語音服務系統及網路銀行系統係共
用同一密碼之漏洞,冒名進入網路銀行系統取得部分客戶之開戶資
料及資金往來狀況,再要求銀行將消費者帳戶傳真,藉以取得客戶
信用卡號及密碼上網盜刷,或冒名申請補發信用卡直接預支大筆現
金。
另有關行動銀行係指金融機構提供客戶透過手機辦理各項金融服務,客戶申請行動銀行服務前,須先向手機業者洽辦行動電話,始得辦理,其交易安全機制較電話語音系統嚴謹。因各金融機構行動銀行業務多屬開辦未久,業務限制較多且申請不便(須另向電話公司申請PIN KEY),客戶使用與申請意願相對較低,以下僅針對電話語音服務現行之作業安全機制及部分金融機構發生之案例進行分析探討,研擬防範措施如下:
一、開戶之管理
為有效防範偽冒開立新帳戶之弊端,應明訂開戶作業程序,並要求業務經辦人員落實執行;對開立第二帳戶之客戶,除應加強身分及相關證件之辨識外,並應要求行員確實依規定照會第一開戶行,核對客戶留存之身分證影本、簽樣、印鑑及其他相關資料是否相符。
二、客戶服務之管理
對客戶投訴其存款有疑遭盜領之異常狀況,應建立通報機制及處置措施,並予以追查原因,對於經確定屬被偽造盜領事件,應即補足客戶被盜領款項及依規定通報。
三、作業安全控制設計
為確保傳輸訊息之隱密性、完整性,各項電話語音交易訊息
傳輸至中心主機時,應有加密之安全機制。
為確保語音密碼之保密性,語音密碼應儘量以密碼函方式產
製,避免採用初始值(如:0000或出生月日)之方式辦理。
對辦理電話語音系統各項服務項目時,應控制輸入之語音密
碼錯誤次數,連續錯誤次數達上限時,系統應即自動暫停作
業,俟客戶向原開戶行申請重置密碼,始得恢復使用本項服
務,以防不法人士推測密碼之弊端。
對同一人開立的不同帳戶間轉帳仍宜事先約定,以避免遭冒
名開戶盜領。
對透過電話語音系統之交易應留存完整之交易紀錄,俾供對
客戶交易異常情形追蹤處理。
電話語音系統設備應置於機房內或獨立空間由專人控管並應
有備援,對系統異常紀錄應訂有通報機制及緊急應變計劃。
四、委外作業管理
委外廠商辦理軟硬體維護時,應指派專人陪同監督並留存書
面紀錄備查。
對電話語音服務系統若採委外開發維護,應確實依金融機構
委外注意事項辦理,並應簽訂對客戶機密資料之保密約定。
银行信贷业务风险控制研究 摘要:银行承接最主要的经济业务是金融信贷业务,同时信贷业务也是银行利润的源头,因此信贷风险则是最主要的风险的金融风险来源,称为信贷风险。因此,只有合理控制信贷风险,才能实现金融市场和谐稳定的发展与运行。 关键词:温州银行;信贷业务;信贷风险 一、温州银行信贷管理的问题现状 (一)组织分工协调关系不足。温州银行的信贷组织结构的分工与制衡关系不足,信贷的权力过于集中,信贷业务分为业务的调查、审查、检查三个步骤,分别各设部门,共同制约发展。调查部门主要负责工作在于对贷款的评估,承担着评估失真与调查不实的责任;审查部门负责评估风险,对于资金的投向进行合理的审查;监察部门则主要工作点在于对负责贷款资金的发放、检查贷款金额、管理贷款项目、清收贷款款项,承担着检查失误的责任。这种机制的建立对于信贷的投放起到了一定的积极作用,然而温州银行却未启动此机制,因此,会产生信贷业务的巨大风险。(二)风险测量水平低下。企业的信用等级与风险系数决定着企业的贷款风险。但是,目前对于信用等级的评定和风险系数的计算并没有一个合理且有效的计量方法。这也就对于信贷业务的风险没有一个相对严谨的测量计算方法,促使信贷业务混乱,不能有效地提供风险和不能实际提供信用水平。这也就给信贷业务的进行带来了巨大的工作量。这也使得信贷专员加大了工作量,却降低了工作效率,使得信贷业务的风险大幅度增加。(三)信贷资金形式较为集中。温州银行目前的贷款趋势跟其余国有商业银行具有很大的相似性,重点基于房地产业与制造业项目,并且都以短期贷款为主,这样势必就大大增加了信贷风险。据信息可查,最严重的信贷危机风险多集中在外贸经营业与房地产业。因此,可以看出温州银行的信贷风险很集中,然而,银行为了信贷业务的要求,争取质量优质的顾客,不得不接受许多苛刻的条件,不仅降低贷款利率还加大贷款款目,降低贷款利息率就大大增加了信贷的风险,也降低了信贷利润收益。虽然信贷多投于大型企业与优势行业,收益高,利润稳定,但是单一的信贷对象往往使得资金流动较单一,容易形成风险,同时规避风险的能力也较弱,一旦企业由于大环境影响出现恶劣的经营状况,银行大幅度增加信贷风险,势必影响银行的效益情
電子銀行業務作業風險及防範措施 壹、概述 鑒於邇來各金融機構所開辦各項電子銀行相關業務(如:網路銀行、金融卡、信用卡、現金卡、電話語音、行動銀行等),多有因業者本身對於各項業務之作業安全控管有欠嚴謹,或由於客戶缺乏基本安全概念,業者亦未善盡提醒與教育之責,肇致金融機構客戶之存款遭歹徒詐騙盜領之個案頻傳,不僅損及存款大眾對於金融安定信心,亦造成金融機構莫大商譽及營業損失。為維護各金融機構辦理電子銀行交易之作業安全,爰蒐集整理各金融機構近年來辦理前述各項作業時所發生之詐欺舞弊案件,並研擬該項作業允宜加強注意之事項,供各金融機構作為辦理上述業務之參考。茲就各項業務之作業風險及防範措施分述如次: 貳、網路銀行業務作業風險及防範措施 網路銀行因係客戶利用個人電腦,藉由憑證認證機構所核發之電子憑證,透過網際網路連線至金融機構之網站進行交易,因此其作業風險主要來自於三方面:客戶端作業憑證之保管及使用、金融機構端資訊設備與系統之安全防護、交易訊息經由網際網路傳輸過程是否遭受外來駭客之干擾或截聽;另由於網路銀行交易過程中均處於開放環境之系統架構,致可能隨時遭遇來自金融機構內部/外部之試煉與挑戰。綜上所述,網路銀行作業安全之風險可能如下:主機實體安全之漏洞,如:資訊機房門禁管制欠佳、輸出入設備及通訊設備管制欠妥、預留過多未經管制之外接埠、報表及磁性媒體管制欠妥等,導致主機遭破壞、系統遭入侵、防火牆被關閉、實體連結線路被改變,作業人員或客戶資料遭竊取等。 作業系統或系統軟體漏洞,如:未定期修補系統程式或未及時提
升版本、未掃描異常更新或複製之系統檔案、未設妥電腦病毒防範措施、系統安控參數設定不完整,致使駭客利用緩衝區溢出漏洞、植入木馬程式取得特權使用者密碼或夾帶植入電腦病毒以癱瘓主機及防火牆系統,或夾帶木馬程式進行資料竊取及破壞,或利用系統安控設定不周延以進行資料竊取及破壞。 網路系統安全設計及管理有缺失,如:未設計資料庫查詢參數過濾器(Query Parameter Filter)及介面查詢程式過濾器(CGI Program Filter),導致駭客利用資料隱碼攻擊(SQL Injection)夾帶程式竊取資料庫資料;對於資料庫未設定適當之存取權限,未建立嚴謹之網路銀行所有程式及網頁之換版程序;或委外開發維護之系統遭電腦廠商程式人員夾帶程式不當顯示資料原始碼,造成資料外洩;任意下載系統漏洞修補程式而遭入侵;對網路銀行主機、防火牆、資料庫主機及中心主機所形成之網路與銀行內部網路(Intranet)未作區隔,導致歹徒利用預先隱藏特定網頁或功能,入侵中心主機存取資料。 對檔案資料存取控制設定欠佳,如:對使用者資料檔未訂定系統安全管理規範、未限制使用檔案修改工具、職務分工不當或未落實,違反牽制原則,導致歹徒或金融機構內部人員竊取未隱藏之使用者資料檔,並採用字典攻擊法推測出使用者密碼,進而篡改資料庫或檔案內容。 資料傳輸過程安全性欠佳,如:網路銀行主機與中心主機間資料之傳送未加密,導致歹徒或金融機構內部人員竊取以明碼方式傳送於網路銀行主機及中心主機間之客戶網路銀行交易密碼,或篡改轉帳交易資料封包。 不安全的連結點過多,如:internet/ extranet /modems未嚴禁開放主機撥接功能;未建置防火牆、未訂定系統安全策略、未利用網址轉換(NAT)技術隱藏內部終端/服務主機之IP位址;未
关于银行开立借记卡及电子签约业务的风险提示1.事件回放 近期个别金融机构相继发生客户集体开立借记卡、办理网上银行、自助银行或电话银行等电子签约业务,并将借记卡密码告知他人,由他人通过银行自助工具频繁进行资金划转等现象。其主要特点是: (1)持多人身份证件代人开立借记卡账户。 (2)采取流窜开卡方式,到多个网点开卡。 (3)银行卡资金进出异常,每日资金频繁流动,且多为集中转入分散转出、分散转入后集中转出或逐笔转入、逐笔转出。 (4)小额试探性交易后,立即频繁利用他行的ATM或POS 机具发生资金转账。 2.反映出的问题 (1)银行人员风险意识薄弱,未严格按照规章制度执行,使不法分子利用他人身份证件进行开户、办卡和利用银行自助渠道频繁转移资金,以达到其洗钱等目的。 (2)柜员办理相关业务时,只注重留存的身份信息资料是否完整,联网核查结果是否正确,忽视了对身份证件的真伪鉴别以及证件信息与办卡人员是否一致等,使银行账户实名制不能有效落实,犯罪分子则借此伪造证件或冒用他人证件办理开户,为其进一步盗取银行及客户资金创造条件。 3.应对措施
(1)柜面经办人员应认真对客户提供的证件人工鉴别真伪,并重视身份证件与其本人相貌的核对,以及登陆联网核查系统审查开户证件,确保源头信息的真实性;凡制度规定需本人办理的,必须严格执行由申请人本人办理,需出示身份证件的,必须审核客户实名有效证件原件;及时、完整、准确登记和保留客户身份信息;在日常业务中发现可疑交易客户或可疑交易账户的,除对客户提示相关风险外,应拒绝办理并及时向会计主管报告。 (2)授权员在办理此类风险易发交易时,应重点审查授权内容与相关办理依据的合理性与一致性;会计主管应针对当日借记卡开立交易中同一客户开立多张银行卡且同时开通自助转账功能、交易传票中多张银行卡留存的联系地址或联系电话相对集中等的情况进行关注,对异常信息应及时上报。 (3)风险监督人员一是应充分发挥会计营运操作管理系统、实时监控系统、风险监控系统等作用,针对交易特点,进一步加强对开户和可疑交易的管理和监控工作,对已开立的可疑卡,要采取每日监控措施;二是做好可疑交易的上报工作,对确认为可疑的交易,及时按规定及时提交可疑交易报告,并加强后续资金交易的跟踪监测,防止不法分子利用银行账户转移犯罪资金。
物流企业经营风险及防范措施 标签: 方法物流企业经营风险物流企业风险防范物流风险物流商面临的风险 摘要:现代物流的风险涉及的范围很广,风险的各种类型差别也很大。我们可将风险的大小量化为发生频率或概率,即很少发生、经常发生或者频繁发生;也可以根据结果量化为轻微的、严重的和灾难性的。 目前,社会已进入了一个风险管理的时代,要求企业必须了解风险、识别风险和学会控制风险。同样,对于从事现代物流(第三方物流)的企业来讲,风险的评估与管理是使其健康发展和高效运作的保证。谁能将风险降到最小范围、最低程度,且能事先将风险予以转移,谁就能获得最大的利润。 一、物流商面临的风险 1、与客户合同的责任风险 物流商与客户之间的法律责任主要体现于双方所签的合同,目前在签署这类合同中,人们发现某些大客户凭借自己雄厚的经济实力,在谈判中往往处于有利的地位,提出一些特别的要求与条件,而物流商常常迫于商业上的压力而接受某些苛刻甚至是“无理”的条款。合同中订立此类极不合理的条款,一旦产生纠纷,后果可想而知,有可能会导致物流商破产。 2、与分包商合同的责任风险 物流商是所有“供应链”的组织者,其中有的“供应链”由自己负责,有的“供应链”需要委托分包商来具体实施。但实践中物流商常常期与资信好的分包商合作,不仅能降低物流经营的成本,也可使物流商的责任风险降到最低点。反之,如遇到一个资信差的分包商,甚至分包商突然宣布破产或倒闭,物流商的损失更无法得到弥补。在与分包商合作中即物流运作的全程中,当客户发生损失时,无论是物流商的过失还是分包商的过失,都要由物流商先承担对外赔偿责任。尽管物流商在赔付后,尚可向负有责任的分包商进行追偿,但由于物流商与客户和分包商所签合同分别是背对背的合同,因此所适用的法律往往是不一样的,其豁免条款、赔偿责任限额及诉讼时效也是不一样的,致使物流商常常得不到全部赔偿。 3、与信息系统提供商合同的责任风险 物流商要想开展物流服务离不开信息技术,而物流商在利用信息技术时面临着以下两个问题:一是信息系统出现故障;二是商业秘密受到侵犯。一旦信息系统发生故障造成物流商的业务无法正常进行,不能及时履行向客户提供信息的服务,甚至资料全部丢失,损失相当巨大。解决此类纠纷时,如果合同中根据有关法律明确地划分了双方的责任,则纠纷容易解决;如果没有作出明确的规定,同时既查不出原因,又确定不了责任方,则纠纷就很难解决。所以,物流商在与信息系统提供商签订合同时应明确双方的责任,明确信息系统提供商在何种情况下需承担多大的责任是十分重要的。
摘要:目前,我国商业银行面临着来自国外同行的激烈竞争,但我国商业银行在风险管理理念、技术、方法等方面都与国外同行存在明显差距,因此,我国急需加快商业银行风险管理改革。文章首先阐述了现代商业银行风险管理领域发生的变化,然后分析了我国商业银行风险管理中存在的问题,最后提出改进建议。 关键词:商业银行;风险管理 一、商业银行风险管理的新变化 金融是现代经济的核心,银行业是金融的重要组成部分。商业银行的基本使命就是以承担风险和管理风险来获取收益。美国花旗银行前总裁沃特·瑞斯顿曾指出:“银行家的任务就是风险管理,简言之,这也是银行的全部业务。” 随着整个风险管理领域的迅速发展,商业银行风险管理也在不断发生变化,从而现代风险管理也表现出与传统风险管理不同的特点。主要表现为风险管理环境和风险管理方法的改变。 (一)风险管理环境变化 近年来随着我国金融体制改革的深入推进,我国利率、汇率及股票价格市场化进程不断加快,如何应对市场化条件下这三大风险变量的变化,对商业银行的风险管理提出了更高的要求。同时,随着金融业内部的行业结构整合力度的加大,银行、证券、保险、信托等行业混业经营的趋势越来越明显,出现了一些集银行、证券、保险、信托业务于一身的集团化金融机构,在我国当前仍实行金融业分业监管的体制下,无疑使商业银行所面临的风险更加多样化和复杂化。 随着我国加入世界贸易组织,2006年我国银行业全面开放,由此而带来的国际竞争将使得我国商业银行风险管理面临着更为严峻的挑战。激烈的市场竞争导致了市场大量创新金融产品的出现,金融创新产品的出现,使得市场的结构更加复杂,商业银行理解和认知新产品的难度也随之加大。 (二)风险量化度量和管理方法的革命 传统的风险管理主要采用管理的主观经验判断和定性分析的方法,缺乏科学的定量分析方法及手段,较少使用风险的量化模型,难以解决当前金融市场出现的各种新情况和新问题。随着现代金融理论的发展以及金融创新速度的加快,风险度量和管理这一领域正经历着一场革命性的变化,尤其VaR、CSFP、KMV等大量先进的现代风险管理技术与工具的出现。这些风险管理技术的出现才使风险定价、信用衍生产品和资产证券化以及金融机构整体经济资本配置和全面风险管理得以迅速发展,风险管理决策的科学性不断增强。 二、我国现行银行风险管理的缺陷 近几年来,我国的银行在风险管理方面取得了长足进步,各银行高级管理层不再只盯着贷款业务,风险部门不再只擅长于管理风险,交易人员也不会谈衍生产品而色变。但是与国外同行相比,我国银行还存在较大的差距。主要表现在以下几个方面: (一)银行风险管理的组织架构还不完善 在我国,许多银行并没有制定科学合理的风险治理规划,一些银行在组织结构设计上也存在缺陷。尽管大多数银行在表面上已经建立了多种风险类型的管理委员会,但他们的风险管理委员会在数量上要么太多,要么不足,而且都没有明确各自的职能和责任。由于各委员会的职能和责任划分不够明确,也就难以避免管理上的重叠与缺口。 (二)风险管理信息系统建设滞后 风险管理信息系统是风险管理的主要依据,是提高风险管理水平的有力的技术保证。但是,由于我国商业银行风险管理的起步时间较晚,导致积累的相关基础数据不足。同时,由于我国还没有建立起完善的公司治理结构和信息披露制度,使得不少企业的财务数据存在基础数据收集困难、公布出来的数据存在一定程度的失真等问题。而且,我国商业银行在信息系统开发上缺乏前瞻性和不连续性,这些都制约了风险管理模型的建立。 (三)风险量化管理技术落后 目前,我国商业银行在风险管理技术方面还停留在最初阶段。虽然有少数银行自主开发出了模型,但都很简单,而且并未得到实践的检验。一些关键风险管理参数及计量模型,如预期损失(EL)、经济资本(EC)、风险调整后收益(RAROC)等并没有被大部分商业银行所采用,商业银行的市场风险管理更多停留在制度建设与资金计划层面,一些先进的风险量化模型与技术还没有得到普及与有效应用。 (四)风险管理工具缺乏 自上个世纪70年代以来,国际金融衍生产品市场发展迅速,已成为商业银行规避风险、获取收益的重要工具,促进了金融市场稳定发展和金融创新的开展。然而,目前我国既缺乏成熟的金融衍生品市场为商业银行提供对冲利率风险、汇率风险、信用风险的平台,也没有成熟的资产证券化市场供商业银行通过贷款证券化、贷款出售转移风险。衍生金融产品的缺乏,极大限制了我国商业银行通过多样化资产组合来降低风险的可能性,明显制约了我国商业银行风险管理的现代化进程。 三、加强我国商业银行风险管理的途径 (一)完善商业银行的治理结构 公司治理是对公司的管理层、董事会、股东和其他利益相关者之间权利与责任的制度安排。治理结构是商业银行风
河北大学工商学院 网上支付与网上金融服务结课论文 电子银行风险防范 年级: 2009级 学号: XXXXXXXXXXX 姓名: XXX 专业: 电子商务 二零一二年六月十七日
摘要:电子银行以其方便快捷的特性深受广大客户欢迎,但由于网络的开放性、匿名性和技术复杂性,电子银行业务也面临比传统服务渠道更大的风险。近些年频繁发生的资金被盗事件已经使得许多客户对电子银行安全性产生忧虑。为保障电子银行业务持续健康发展,本文对电子银行业务的风险防范进行了研究,提出了对策。 关键词:电子银行;风险;对策 目录 目录 (2) 正文 (3) 一丶电子银行的发展及其风险防范现状 (3) 二丶针对三类主要电子银行风险,采取措施减少风险。 (4) 1、增强操作风险的防范力度 (4) 2、从宏观、中观、微观多方面入手防范声誉风险事件 (6) 1、宏观上,通过建立和完善社会信用制度减少风险事件的出现。 (6) 2、中观上,加强与第三方机构的合作。 (6) 3、微观上,加强电子银行业务人员与技术人员的信息沟通。 (7) 3、通过健全法律降低电子银行业务的法律风险 (7)
正文 一丶电子银行的发展及其风险防范现状电子银行作为一项新兴业务,在经过几年持续高速发展之后,其风险也随之不断积累并对业务的发展产生了负面影响。由于网络的开放性、匿名性和技术复杂性,电子银行业务面临比传统服务渠道更大的风险。近年来因钓鱼网站、木马病毒、诈骗短信等导致的资金被盗事件频繁发生,客户对电子银行的安全性更加忧虑,从而不敢或不愿尝试使用网上银行。这已经成为阻碍电子银行业务持续健康发展的主要原因。巴塞尔银行监管委员会《电子银行和电子货币业务的风险管理》认为,“操作风险、声誉风险和法律风险是大多数电子银行和电子货币业务最重要的风险”。因此,本文将电子银行业务面临的主要风险种类归为操作风险、声誉风险和法律风险三类。操作风险,是指由于不当或失败的内部流程、人员缺陷、系统缺陷或因外部事件导致直接或间接损失的可能性。《电子银行和电子货币业务的风险管理》中列举了电子银行业务操作风险的8 种来源,分别是未经授权的访问、雇员欺诈、伪造电子货币、服务提供商风险、系统退化、职员及管理技能落后、客户安全性经验不足、客户对交易抵赖。 声誉风险,是指由于公众对电子银行业务产生严重不利看法而导致银行无形资产遭受损失的可能性。声誉风险通常因操作风险和法律风险控制不当产生。当前的金融全球化、信息化使得银行面临的市场竞争更加激烈,银行要想建立好的信誉需要付出很大的努力,但是信誉的毁损却可能发生在转瞬之间。互联网的开放性和传递信息的高效率使得一旦电子银行出现安全事故、技术不完善或误操作等问题,就会通过互联网等媒介广泛迅速传播,再加上有
电子银行风险成因及对策 电子银行业务从无到有,从小到大,近年来进入发展快车道。以网上银行、电话银行、手机银行、自助银行、支付宝无卡支付、为代表的新型服务方式,为广大用户带来了方便和新的服务体验。首先是银行传统业务形成的客户群体,为电子银行业务的发展打下了坚实基础。近年来,商业银行利用多层次、全方位营销和主动上门推介等方式,拥有了一批实力雄厚的黄金客户。在全新的服务模式下,从以柜面服务为主的传统服务渠道向、全方位服务渠道方向全面转型。 一、电子银行风险成因 从风险发生的概率及危害程度看,网上银行的风险主要来自三个方面。一是客户自身风险,主要是由于企业内部财务制度不健全造成的。有的企业所有印章由一人保管,企业法人对财务事项长期不管不问,一旦财务人员出现道德风险,盗窃或侵占企业资金,很容易通过网上银行非法转移企业资金,并且作案分子可以先潜逃后作案,即使东窗事发,后续的案件侦破,追回资金的难度也会大大加大。二是银行内部欺诈风险。多数来自银行员工利用客户对自己的信任,在客户不知情的情况下,代替客户注册网上银行并掌握其网银证书,通过网上银行盗窃客户资金。三是网络风险。网络风险是犯罪分子基于互联网技术,通过木马病毒,网络钓鱼,虚假网站等手段利用客户属于防范和贪图小利等心理,盗窃客户卡号,密码等关键信息,或远程控制客户计算机,通过网上银行盗窃客户资金 二、防范电子银行风险的主要措施 1.大力提高风险管理能力 电子银行不能做到绝对的安全,但是一定可以做到更安全。当前,随着电子银行业务的发展,电子银行的风险管理刻不容缓,要实现电子银行业务超常规发展,形成一个产品多元化、渠道集成化、服务智能化的电子银行体系,对商业银行来讲,必须采取积极有效的策略措施来强化电子银行业务安全性的建设。因此,银行在开办电子银行业务时要将电子银行业务风险纳入风险管理的总体框架中并设立相应的管理机构,明确管理职能,完善授权机制建设,有效
展的“瓶颈”。网上银行的风险责任承担问题在我国也没有具体的法律规定,使客户对其敬而远之。本文借助一则网上银行纠纷的案例,来探讨网上银行的风险类型及防范措施,希望对我国网上银行立法特别是风险管理方面有所帮助。 关键词:网上银行风险防范 目录 一、引文----------------------------------------------------------------------------------------------------------
1 二、案例正文----------------------------------------------------------------------------------------------------2 三、案例分析---------------------------------------------------------------------------------------------------2 四、网上银行风险的形成原因----------------------------------------------2 五、网上银行的防范措施------------------------------------------------------------------------------------3 六、结束语-------------------------------------------------------------------------------------------------------4 参考文献---------------------------------------------------------------------------------------------------------4
龙源期刊网 https://www.doczj.com/doc/4d12007616.html, 浅析企业物流风险的防范措施 作者:王庆水 来源:《商场现代化》2010年第28期 [摘要] 现代企业处在一个充满变革和高度不确定的时代,每个企业在物流外包管理中都存在着风险,在物流外包管理中树立风险意识,将防范企业物流外包风险作为企业物流外包管理的一个重要组成部分。鉴于此,本文对物流企业物流外包风险的防范措施进行了探讨。 [关键词] 物流外包风险管理第三方物流 一、引言 随着市场竞争的加剧,经济活动节奏的加快,消费者需求日趋个性化,人们对产品的要求日益苛刻,使得产品的寿命周期大大缩短,由此而引发了企业物流模式的巨大变革。过去的企业对原材料供应、产品制造与分销全过程的“纵向一体化”的物流管理模式,已无法适应快速变化的市场需求,巨大的竞争压力和危机感迫使企业必须转换新的战略来赢得市场,企业物流外包应运而生,物流的外包使得物流管理交由非企业本身的第三方来完成,使第三方物流企业得以产生和发 展。物流外包为企业提高核心力、节约成本、缩短产品循环周期、加快供应链反应速度的同时,它也为实施外包的企业带来了更多的不确定因素,带来了风险。为了适应新世纪剧烈的变化和 动荡的新挑战,在物流外包管理中树立风险意识,成为企业物流外包管理工作者当仁不让的职责,也必然会成为企业物流外包管理理论和实践研究的新趋势。 二、企业物流外包的风险识别 1.物流外包的决策风险 (1)成本风险。物流费用构成复杂,它不仅涉及企业运营的多个环节,而且各个环节中的费用组成多样化,既有人工费、管理费,还有设施、设备、器具的折旧、维护费和资本利息等。由于现代物流管理离不开信息处理,信息处理费也是成本组成的重要部分。在物流外包过程中,成本的分割、归属难以界定。如何做好成本预算与比较是决定物流外包成败的决定性因素之一。(2)外包范围风险。面对现代物流外包,企业根据本公司经营状况、业务性质、规模大小等的不同,选择不同层次和范围的外包,如果选择不当,外包企业可能达不到外包的目的或效果不明显,也有可能造成企业的负担,从而造成物流外包的失败。(3)缺少风险分析的风险。风险计划的缺失会造成物流外包决策分析不完整,可能造成物流外包计划的流产。同时,一旦风险发生,没有相应的管理措施,会造成时间延误,加重企业损失。风险分析及风险计划是物流外包策略的一个重要组成部分,是不可缺少的。(4)企业文化风险.由企业文化差异带来的风险是指企业与物流商都存在自己的企业文化和企业价值取向,这就会导致对相同的问题有不同的看法与认识,从而存在分歧,
摘要银行承接最主要的经济业务是金融信贷业务,同时信贷业务也是银行利润的源头,因此信贷风险则是最主要的风险的金融风险来源,称为信贷风险。因此,只有合理控制信贷风险,才能实现金融市场和谐稳定的发展与运行。关键词温州银行;信贷业务;信贷风险一、温州银行信贷管理的问题现状一组织分工协调关系不足。温州银行的信贷组织结构的分工与制衡关系不足,信贷的权力过于集中,信贷业务分为业务的调查、审查、检查三个步骤,分别各设部门,共同制约发展。调查部门主要负责工作在于对贷款的评估,承担着评估失真与调查不实的责任;审查部门负责评估风险,对于资金的投向进行合理的审查;监察部门则主要工作点在于对负责贷款资金的发放、检查贷款金额、管理贷款项目、清收贷款款项,承担着检查失误的责任。这种机制的建立对于信贷的投放起到了一定的积极作用,然而温州银行却未启动此机制,因此,会产生信贷业务的巨大风险。二风险测量水平低下。企业的信用等级与风险系数决定着企业的贷款风险。但是,目前对于信用等级的评定和风险系数的计算并没有一个合理且有效的计量方法。这也就对于信贷业务的风险没有一个相对严谨的测量计算方法,促使信贷业务混乱,不能有效地提供风险和不能实际提供信用水平。这也就给信贷业务的进行带来了巨大的工作量。这也使得信贷专员加大了工作量,却降低了工作效率,使得信贷业务的风险大幅度增加。三信贷资金形式较为集中。温州银行目前的贷款趋势跟其余国有商业银行具有很大的相似性,重点基于房地产业与制造业项目,并
且都以短期贷款为主,这样势必就大大增加了信贷风险。据信息可查,最严重的信贷危机风险多集中在外贸经营业与房地产业。因此,可以看出温州银行的信贷风险很集中,然而,银行为了信贷业务的要求,争取质量优质的顾客,不得不接受许多苛刻的条件,不仅降低贷款利率还加大贷款款目,降低贷款利息率就大大增加了信贷的风险,也降低了信贷利润收益。虽然信贷多投于大型企业与优势行业,收益高,利润稳定,但是单一的信贷对象往往使得资金流动较单一,容易形成风险,同时规避风险的能力也较弱,一旦企业由于大环境影响出现恶劣的经营状况,银行大幅度增加信贷风险,势必影响银行的效益情况。四贷后管理手段单一薄弱。对于银行进行信贷业务而言,重中之重应该是做好贷前的计量与贷后的管理。现在,商业银行目前基于最弱风险控制技术阶段,对于企业的评估能力还存在巨大难度,因此,极容易形成信贷风险。这是由于过分重视重贷轻管而造成的。目前存在以下问题第一,客户留存银行的信息过于简单,不能按时按点反映出客户目前的经营状况,基础资料不准确,从而导致风险的增加。第二,还款来源不明确,给资产的保全带来巨大的安全隐患,最终容易丢失。第三,关于贷后的检查管理还处于薄弱环节。由于信贷业务后的监督是最终环节,是信贷的最重要指标,将会保证经济效益的最终质量。然而,银行所执行的贷后管理方法,效果却不尽如人意,重贷轻管制度的存在严重制约发展。五不良资产缺乏清收措施。目前,温州银行对于不良款项运用的手段是清收和重组。清收和重组
信用卡电子银行业务风险案例分析调研报告 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
【最新资料,WORD文档,可编辑修改】 【本文摘要】工行江西新余分行依托个人金融业务“专业化经营、系统化管理”改革平台,围绕姜董事长提出的电子银行业务“跑马圈地”战略目标,实施二次创业工程,实现了个人电子银行业务的快速发展。 工行江西新余分行依托个人金融业务“专业化经营、系统化管理”改革平台,围绕姜董事长提出的电子银行业务“跑马圈地”战略目标,实施二次创业工程,实现了个人电子银行业务的快速发展。据统计,截至10月31日,工行新余分行个人网上银行客户、个人网上银行证书客户、个人电话银行客户、手机银行客户营销已完成或超额完成全年任务。工行新余分 行的主要做法是:
一是深化“两化”改革,整合营销渠道。按照个人金融业务“专业化经营、系统化管理”的改革要求,工行新余分行对个人金融业务产品营销渠道进行了整合,将“以客户为中心”的经营思想落实在经营管理的各个环节,改变传统了的部门分割、多头管理、产品分散经营的局面,将个人电子银行产品的营销管理职能整合到个人金融业务部,直接负责各支行、各分理处的个人电子银行产品的宣传、推介和营销管理,在组织模式上实现了对接,在体制上保证了“以客户为中心”的“大个金”经营模式,为个人电子银行业务发展打下了坚 实的基础。 二是加大宣传力度,树立品牌形象。今年以来,工行新余分行加大了对个人电子银行产品的宣传推广力度,努力扩大个人电子银行产品在社会的影响,
提高了个人电子银行品牌产品的知名度。首先是网点宣传。通过经常性地在营业网点悬挂宣传横幅、在咨询台摆放宣传折页、张贴宣传画开展宣传。还专门制作了宣传幻灯在营业网点的电子宣传牌反复播放,加强了对个人电子银行产品宣传。其次是上街宣传。工行新余分行经常组织人员到居民社区、购物广场、休闲广场等公共场所宣传包括个人电子银行产品在内的个人金融产品宣传。最后是上门宣传。工行新余分行积极与政府部门、企事业单位、中职院校联系,上门开展个人金融产品宣传、咨询活动。 三是组织竞赛活动,扰动营销氛围。工行新余分行根据不同的季节组织开展了一系列个人金融产品营销竞赛活动,基本做到了一个季度一个竞赛活动。为认真组织开展好营销竞赛活动,工行新余分行专门成立了竞赛活动领导小组,由行领导亲自担任组长。每项营销竞赛活动开展之前都要召开动员大会,进行层层动员、层层发动。为确保营销竞赛活动取得实效,工行新余分行还组成了督导小组,深入网点进行督导。专业部门每天都要对营销竞赛活动的成效进行监控,及时公布营销竞赛排行榜。同时,工行新余分行还通过编发《个人金融业务“专业化经营、系统化管理”改革简报》,及时反映营销竞赛活动的动态和经验做法,指导和推动营销竞赛活动的开展。据统计,已编发了《“两化”改革简报》99期,对扰动营销竞赛活动起到了关键性的作用。 四是开展定向营销,拓展市场份额。工行新余分行通过走出去请进来的方式开展个人电子银行产品定向营销、职场营销活动,有效地拓展了电子银行市场份额。据统计,截至10月31日,共组织人员深入政府机关、企事业单位、中职院校开展个人电子银行产品定向营销活动41场次,活动中共散发各种宣 传资料、客户需求调查表近60000份。
货运装卸运输风险控制措施 一、目的和适用范围 1、为了有效控制和防止地震勘探过程中货运装卸运输过程中的风险,确保货物运输装卸环节的生产安全,杜绝安全隐患,保护作业人员及设备、设施的安全,特制定本风险控制措施。 2、本风险控制措施仅适用于野外作业队。 二、装卸运输原则 货物装车时应从重到轻,从大到小,并确保装完后货物在运输过程处于固定状态;卸车时刚好相反,应遵循从上到下,从后到前的原则卸车。 对于货物中的重型货物,在装车后应置于最底层,并确定该类货物固定在车厢具体位置。对于中型货物应放置于车载重型货物的上层,确保行驶过程中固定;对于器材、工具和其他散装物品可放置于车载货物的空隙处;最后装上车的是最轻的货物,只要确定物品放置不动及可。 三、货运装卸运输风险控制措施 1、货物运输装卸必须确定责任指挥,责任指挥具备货物运输装卸的基本技术知识和技能,现场统筹安排货物的装卸。 2、勘探物资货运装车在无特殊情况下,原则上由从重到轻、从大到小、形态分类逐一装车,防止运输过程中相互碰撞。相反,卸车在无特殊情况下,原则上由从轻到重、从上到下、从后到前、形态分类逐一卸车。 3、货物动迁前,有必要对货物的封装进行细致地检查;能够进行装箱的货物尽量装箱;无条件装箱的散装货物应按规格、形态进行分类,装车、卸车时按车辆货箱区域进行装卸,避免货物混杂。 4、对于重型货物在有条件的地方尽量选择用有资质的吊车装卸货物;吊车装卸货物必须设置专人指挥,在安全指令下进行装卸。 5、对于采用人力的货物装卸,应保证装卸人员是接受过基本装卸技能训练、体格
健壮、肢体健全、有一定装卸知识和技能的人员。 6、货物装卸前,根据人员体格体能、身材高矮进行优化组配。装卸人员的负重量不应超过正常负重量的四分之三;装卸过程中,根据装卸量合理调度人员,做到劳逸结合,尽量避免人员受伤。 7、人力装卸货物所使用的装卸器具,应是符合安全标准的、经过检验合格的专用装卸工具。在启动装卸工作前,应由负责装卸任务的责任人,组织进行装卸器具的安全技术指标的检验,检验合格方可使用。 9、货物装卸应根据货运车辆的货箱形态来决定装卸点位置。一旦装卸点位置确定后,应按照装卸点所处的位置在满足安全条件时方可进行货物装卸。 10、无箱体保护的固态货物装车时,应根据货物形态按顺序、按类别装车,并确保装车后捆扎结实、牢固平稳,突兀的部件有软材料保护。 11、完成货物装车后,应仔细地检查货箱板是否完全关联锁扣;货物保护篷布、绷绳是否捆扎牢实,无破损之处。 12、货物装卸车时,应尽可能根据货物大小、形态使用装卸梯、装卸踏板、装卸滑板。装卸人员应在后车箱上下两侧接应货物,不应正对面接手货物,以免无法承重而失手被砸伤。 13、货物装卸运输应停靠在安全地段,禁止在危险地段和公路中间上下货物。若在特殊地段进行非常规货物装卸运输,必须执行作业许可程序。 14、特种货物装卸运输,必须使用国家规定的专用运输车辆,由专业持证人员(驾驶员、押运员)负责押运和装卸。特种设备(氧气瓶、乙炔瓶)、危化品(炸药、雷管)必须分开运输。 15、租用外部车辆,应确认对方资质、运输必须的手续,签订运输及安全协议,派人跟车押送。 16、货物装卸运输不得违反国家、地方相关货物运输的法令。 (1)严禁“三超”:即“超高、超长、超重”; (2)严禁人货混装进行同车运输;
东北财经大学网络教育本科毕业论文网上银行的风险防范分析 作者51毕业论文网 学籍批次200903 学习中心河南焦作市总工会职工中等专业学校奥鹏学习中心 层次专升本专业金融学专业指导教师
内容摘要 网上银行业务在我国已经展开,但是国内法律法规及金融规章并未对这一新业务进行系统规制。网上银行的安全风险分配问题已经成为制约其在我国发展的“瓶颈”。网上银行的风险责任承担问题在我国也没有具体的法律规定,使客户对其敬而远之。本文借助一则网上银行纠纷的案例,来探讨网上银行的风险类型及防范措施,希望对我国网上银行立法特别是风险管理方面有所帮助。 关键词:网上银行风险防范
目录 一、引文----------------------------------------------------------------------------------------------------------1 二、案例正文----------------------------------------------------------------------------------------------------2 三、案例分析---------------------------------------------------------------------------------------------------2 四、网上银行风险的形成原因----------------------------------------------2 五、网上银行的防范措施------------------------------------------------------------------------------------3 六、结束语-------------------------------------------------------------------------------------------------------4 参考文献---------------------------------------------------------------------------------------------------------4
关于网上银行U盾管理的风险分析及措施 2010-5-4 10:28:50 文章来源:本站原创作者:郭瑾 关键词: 核心提示: 工商银行网上银行客户证书是存放客户身份标识,并对客户发送的电子银行交易信息进行数字签名的电子文件。在多种客户证书中,USB key证书(以下简称U 盾)推广较为普遍,它是客户通过网上办理资金划转业务的重要身份验证介质,加强U盾证书的管理,就是确保客户资金安全的重要环节。 一、U盾管理中的风险点分析 (一)空白U盾的管理 2009年NOVA+1.1.4版本已将营业网点向客户发放的空白客户证书(包括个人、企业空白USB key证书)作为重要物品纳入要素核算管理系统。空白U盾从收到厂家发货起,办理的出库、入库、请领、发放、核对等都要按照核算要素管理系统的流程处理,并进行控号管理。管理中存在以下风险点: 1、支行向上级机构请领时,上级机构重点审核请领人的身份,核实无误后方可办理出库手续。 2、空白U盾实物领取时,出、入库人员必须当面点清并办理交接。营业部凭证库管库员与支行凭证库管库员、支行凭证库管库员与柜员间办理U盾的发放时,必须当面核对实物与核算要素系统中发放数量一致。 3、营业终了,柜员对未使用的空白U盾必须入箱(柜)保管。 (二)个人U盾的启用与发放 1、个人客户新申请注册网上银行服务时,需在《中国工商银行电子银行个人客户注册申请表》上注明申领个人客户证书,营业网点审核客户提供的本人身份证件和注册的银行卡无误后,使用“7639网银注册、户口开立”交易,启用并发放个人客户证书。
2、个人客户对已注册网银账户增加U盾。已经注册个人网上银行的客户应在《中国工商银行电子银行个人客户变更(注销)事项申请表》上注明增加“客户证书”,柜员使用“1538电子客户认证介质维护”交易增加U盾。 远程授权集中后,电子银行开户、变更已纳入远程授权管理,操作流程为:一是经办柜员需将电子银行注册申请书、客户本人有效身份证原件正反面、银行介质、身份证联网核查信息,向远程授权中心上传影像资料。二是现场管理人员核实客户本人办理;监督客户U盾回执;U盾发放客户本人;在相关凭证上签章确认。三是远程授权人员审核交易画面与申请书、介质号码、身份证信息一致;审查身份证联网核查信息;审核现场管理人员签章。个人U盾的启用与发放中存在以下风险点: (1)客户本人办理网上注册及U盾证书的启用和发放。柜员和现场管理人员操作时必须认真审核客户身份证件及注册卡,审核确认客户身份真实及账户确属客户本人所有。 (2)批量办理个人电子银行注册业务,客户不在场,由内部人员代客户输入注册密码。 (3)U盾证书发放时,柜员及现场管理人员必须核对系统中录入的U 盾号码与发放给客户的U盾号码一致。 (4)U盾必须发放给客户本人。现场管理人员应监督柜员将U盾交付客户本人,并确认客户本人在《个人U盾领取回执》上签字确认。 (5)营业网点柜员在向客户发放U盾后,应及时在核算要素管理系统中将U盾进行销号处理。 (三)企业网上已制客户证书的管理 企业申请注册网银时,柜员按规定对资料进行审查,无误后通过内部管理系统办理网银注册业务,并由制证网点对U盾进行制证。下面主要从证书制证后,证书代理网点与开户网点对已制证书的交接、客户领取证书及密码信封、对已领取的证书解冻三方面分析交接环节的风险点。
机场货运风险点排查及防范措施 机场货运工作内容涵盖范围广,工作区域涉及机场飞行控制区各个角落。在货运工作 的每一个工作环节和操作步骤都蕴含着严格、复杂的业务标准,安全风险高,任何细 小的差错都可能直接影响着航空运行安全。 本文主要通过分析航空货运各操作节点的技术标准,总结近年来货运部为降低高风险 采取的安全管理措施,并结合货运工作特点谈谈如何提升货运安全运行品质。首先,介绍货运部各环节主要工作内容:一、运价管理和匹配使用 机场货运以航空公司结算运价为基础,结合运力、货运量等综合因素制定货运部顺达 销售运价。由专人(专岗)对运价使用情况进行检查、核算,确保运单货物符合运价 使用条件。运价调整变更,应及时下发运价变更通知至岗位,保证运价的时效性和准 确性。如果运价使用不合理,低于航空公司结算运价可能造成企业的销售和结算的经 济损失。二、货邮收运 货物收运保管要严格审核托运人交付的运输文件和货物,货物是否如实填报申报货物 品名,是否经过安全检查符合航空运输条件,是否有隐含危险品,并且货物要准确计重、计件,准确粘贴货物识别标签及操作标签,超重超限货物要计算待配运航班的地 板承受力,必要时要增加垫板。特种货物(危险品、贵重物品、鲜活易腐类货物等) 的收运操作要严格执行行业相关标准。危险品收运要符合国际航协《危险品操作规则》(DGR)及民航局CCAR-276部要求;活体动物和植物收运要符合国家相关管理规定;特种货物的存储还需根据其性质分类按要求进行存放。三、货物仓储管理 入库货物要根据性质及仓储要求进行分类管理。为便于提高货物出库操作效率,进港 货物按件数分类存储、出港货物按航空公司、流向目的站、或货物流程分类存储,特 种货物根据货物性质及储运要求入库存储,并以货物安全、正常、服务标准规范为目 的进行的货物仓储及保管。货物码垛原则:大不压小、重不压轻、木不压纸,并根据 操作指示标签(方向性标签)码放货物。库区管理要做到五防并严格执行每日清库制度,掌握库存信息。对不正常货物及时处置。四、货物配运 货物配运环节重点在于:要根据货物发运顺序、承运人要求以及库存货量,结合当日 航班运力、机型等因素合理搭配货物,保证收运货物及时发运、装机,进入下一个运 输环节。 货物配运人员要掌握当日航班班次及库存货物信息,及时和地服配载联系获取航班货 邮载量,充分考虑航线待运货物体积、重量、性质等因素,以承运人、目的站、中转 站以及机型保障能力为条件对待运货物进行筛选匹配。同时注意冬夏季节雨雪温度风 向风力变化、行李、飞机油量使用等情况引起的货物业载的变化,合理分配航班、搭 配货物,提高航班载运率及舱位利用率。五、货物出库组装
商业银行信贷风险管理研究 一、商业银行信贷风险管理概述 随着近几年我国银行业对不良资产的处置力度加大,我国商业银行的信贷情况发生了很大的变化。如何科学地评价信贷客户,将企业所属行业和区域的风险值细化、专业化,以期有效地掌握信贷客户的各种信息,预知其信用风险变化趋势,及时地改变其抵押和担保组合,将所发放贷款的风险降到最小并发挥其最大的效益,是新时期商业银行信贷风险管理的目标。 (一)商业银行开展信贷风险管理的必要性 尽管银行每年都在新增贷款,但银行的全部贷款中,存量贷款所占的比例仍然是最大,所以存量贷款的风险防范是银行信贷风险控制的重要内容。如何控制银行存量贷款的风险?存量贷款不是新发放贷款,它和新发放贷款最大的区别就在于它和银行之间已经存在交易记录,对于如何通过企业和银行之间的交易记录来识别存量贷款的风险大小,各银行都进行了大量的探索。重庆银行从2007年3月份开始一种新的管控模式,那就是由专门的的贷后管理部门实施独立的贷后评价。重庆银行在企业申报续授信时,由信贷监控部对存量贷款的基本情况、授信结构、企业的生产经营情况、第二还款来源、授信后审批条件的执行情况等进行综合评价,然后将评价结果送交专门的贷款评审部门,作为贷款评审的重要依据,所以贷款的后评价成为银行控制风险又一道关口,这无疑加强了银行的风险防范能力。 (二)商业银行开展信贷风险管理评价的基本原则 1.动态检查和静态分析相结合原则。管户人员原则上应通过走访支行、到企业实地调查、调阅财务报表等信贷资料,核实相关情况,了解企业现状。 2.合法合规原则。现场检查工作必须以我行相关规章制度为准绳,确保检查程序合法合规。 3.客观原则。管户人员通过调阅信贷资料、现场调查等手段,出具全面、公正的续授信贷后评价意见。 (三)商业银行开展信贷风险管理评价的主要内容 后评价工作通过动态的下户检查和静态的材料分析相结合方式予以开展,主要关注授信后审批条件落实情况、存续期间企业生产经营重大变化等工作重点。具体而言,主要从以下几方面开展评价工作: 1.基本情况:如客户名称、注册资本金、股东结构、法人代表、主营业务有无重大变化等。 2.授信结构:通过登录人行信贷征信系统,查询企业有无关注或不良类贷款,负债总额有无较大增减,他行授信政策有无重大变化等。