电子银行风险评估(精选8篇)
1.电子银行风险评估 篇一
【发布单位】中国银行业监督管理委员会 【发布文号】
【发布日期】2006-02-07 【生效日期】2006-03-01 【失效日期】 【所属类别】政策参考
【文件来源】中国银行业监督管理委员会
电子银行安全评估指引
第一章 总 则
第一条第一条 为加强电子银行业务的安全与风险管理,保证电子银行安全评估的客观性、及时性、全面性和有效性,依据《 电子银行业务管理办法》的有关规定,制定本指引。
第二条第二条 电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
第三条第三条 开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估。
第四条第四条 金融机构可以利用外部专业化的评估机构对电子银行进行安全评估,也可以利用内部独立于电子银行业务运营和管理部门的评估部门对电子银行进行安全评估。
第五条第五条 金融机构应建立电子银行安全评估的规章制度体系和工作规程,保证电子银行安全评估能够及时、客观地得以实施。
第六条第六条 金融机构的电子银行安全评估,应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。
第二章 安全评估机构
第七条第七条 承担金融机构电子银行安全评估工作的机构,可以是金融机构外部的社会专业化机构,也可以是金融机构内部具备相应条件的相对独立部门。
第八条第八条 外部机构从事电子银行安全评估,应具备以下条件:
(一)具有较为完善的开展电子银行安全评估业务的管理制度和操作规程;
(二)制定了系统、全面的评估手册或评估指导文件,评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等;
(三)拥有与电子银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准;
(四)中国银监会规定的其他从事电子银行安全评估应当具备的条件。
第九条第九条 金融机构内部部门从事电子银行安全评估,除应具备第八条规定的有关条件外,还应具备以下条件:
(一)必须独立于电子银行业务系统开发部门、运营部门和管理部门;
(二)未直接参与过有关电子银行设备的选购工作。
第十条第十条 中国银监会负责电子银行安全评估机构资质认定工作。
电子银行安全评估机构在开展金融机构电子银行安全评估业务前,可以向中国银监会申请对其资质进行认定。
第十一条第十一条 金融机构在进行电子银行安全评估时,可以选择经中国银监会资质认定的安全评估机构,也可以选择未经中国银监会资质认定的安全评估机构。
金融机构选择经中国银监会资质认定的安全评估机构时,有关安全评估机构的管理适用本指引有关规定。金融机构选择未经中国银监会资质认定的安全评估机构时,安全评估机构的选择标准应不低于第八条、第九条规定的条件要求,并应按照《电子银行业务管理办法》的有关规定,报送相关材料。
电子银行安全评估机构无论是否经过中国银监会资质认定,在开展电子银行安全评估活动时,都应遵守有关电子银行安全评估实施和管理的规定。
第十二条第十二条 中国银监会每年将组织一次电子银行安全评估机构资质认定工作,评定时间应提前1个月公告。
第十三条第十三条 申请资质认定的电子银行安全评估机构,应在中国银监会公告规定的时限内提交以下材料(一式七份):
(一)电子银行安全评估资质认定申请报告;
(二)机构介绍;
(三)安全评估业务管理框架、管理制度、操作规程等;
(四)评估手册或评估指导文件;
(五)主要评估人员简历;
(六)中国银监会要求提供的其他文件、资料。
第十四条第十四条 中国银监会收到安全评估机构资质认定申请完整材料后,组织有关专家和监管人员对申请材料进行评议,采用投票的办法评定电子银行安全评估机构是否达到了有关资质要求。
第十五条第十五条 中国银监会对评估机构资质评议后,出具《电子银行安全评估机构资质认定意见书》,载明评议意见,对评估机构的资质做出认定。
第十六条第十六条 中国银监会出具的《电子银行安全评估机构资质认定意见书》,仅供评估机构与金融机构商恰有关电子银行安全评估业务时使用,不影响评估机构开展其他经营活动。
评估机构不得将《电子银行安全评估机构资质认定意见书》用于宣传或其他活动。
第十七条第十七条 经中国银监会评议并被认为达到有关资质要求的评估机构,每次资质认定的有效期限为2年。
经评议不符合认定资质的,评估机构可在下一重新申请资质认定。
第十八条第十八条 在资质认定的有效期限内,电子银行安全评估机构如果出现下列情况,中国银监会将撤销已做出的评议和认定意见:
(一)评估机构管理不善,其工作人员泄露被评估机构秘密的;
(二)评估工作质量低下,评估活动出现重要遗漏的;
(三)未按要求提交评估报告,或评估报告中存在不实表述的;
(四)将《电子银行安全评估机构资质认定意见书》用于宣传和其他经营活动的;
(五)存在其他严重不尽职行为的。
第十九条第十九条 评估机构有下列行为之一的,中国银监会将在一定期限或无限期不再受理评估机构的资质认定申请,金融机构不应再委托该评估机构进行安全评估:
(一)与委托机构合谋,共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(二)在评估过程中弄虚作假,编造安全评估报告的;
(三)泄漏被评估机构机密信息,或不当使用被评估机构机密资料的。
金融机构内部评估机构出现以上情况之一的,中国银监会将依法对相关机构和责任人进行处罚。
第二十条第二十条 中国银监会认可的电子银行安全评估机构,以及有关资质认定、撤销等信息,仅向开展电子银行业务的各金融机构通报,不向社会发布。
金融机构不得向第三方泄露中国银监会的有关通报信息,影响有关机构的其他业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
第二十一条第二十一条 金融机构可以在中国银监会认定的评估机构范围内,自主选择电子银行安全评估机构。
第二十二条第二十二条 电子银行主要系统设置于境外并在境外实施电子银行安全评估的外资金融机构,以及需要按照所在地监管部门的要求在境外实施电子银行安全评估的中资金融机构境外分支机构,电子银行安全评估机构的选择应遵循所在国家或地区的法律要求。
所在国家或地区没有相关法律要求的,金融机构应参照本指引的有关规定开展安全评估活动。
第二十三条第二十三条 金融机构应与聘用的电子银行安全评估机构签订书面服务协议,在服务协议中,必须含有明确的保密条 款和保密责任。
金融机构选择内部部门作为评估机构时,应由电子银行管理部门与评估部门签订评估责任确定书。
第二十四条第二十四条 安全评估机构应根据评估协议的规定,认真履行评估职责,真实评估被评估机构电子银行安全状况。
第三章 安全评估的实施
第二十五条第二十五条 评估机构在开始电子银行安全评估之前,应就评估的范围、重点、时间与要求等问题,与被评估机构进行充分的沟通,制定评估计划,由双方签字认可。
第二十六条第二十六条 依据评估计划,评估机构进场对委托机构的电子银行安全进行评估。
电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十七条第二十七条 电子银行安全评估至少应包括以下内容:
(一)安全策略;
(二)内控制度建设;
(三)风险管理状况;
(四)系统安全性;
(五)电子银行业务运行连续性计划;
(六)电子银行业务运行应急计划;
(七)电子银行风险预警体系;
(八)其他重要安全环节和机制的管理。
第二十八条第二十八条 电子银行安全策略的评估,至少应包括以下内容:
(一)安全策略制定的流程与合理性;
(二)系统设计与开发的安全策略;
(三)系统测试与验收的安全策略;
(四)系统运行与维护的安全策略;
(五)系统备份与应急的安全策略;
(六)客户信息安全策略。
评估机构对金融机构安全策略的评估,不仅要评估安全策略、规章制度和程序是否存在,还要评估这些制度是否得到贯彻执行,是否及时更新,是否全面覆盖电子银行业务系统。
第二十九条第二十九条 电子银行内控制度的评估,应至少包括以下内容:
(一)内部控制体系总体建设的科学性与适宜性;
(二)董事会和高级管理层在电子银行安全和风险管理体系中的职责,以及相关部门职责和责任的合理性;
(三)安全监控机制的建设与运行情况;
(四)内部审计制度的建设与运行情况。
第三十条第三十条 电子银行风险管理状况的评估,应至少包括以下内容:
(一)电子银行风险管理架构的适应性和合理性;
(二)董事会和高级管理层对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况;
(三)电子银行管理机构职责设置的合理性及对相关风险的管控能力;
(四)管理人员配备与培训情况;
(五)电子银行风险管理的规章制度与操作规定、程序等的执行情况;
(六)电子银行业务的主要风险及管理状况;
(七)业务外包管理制度建设与管理状况。
第三十一条第三十一条 电子银行系统安全性的评估,应至少包括以下内容:
(一)物理安全;
(二)数据通讯安全;
(三)应用系统安全;
(四)密钥管理;
(五)客户信息认证与保密;
(六)入侵监测机制和报告反应机制。
评估机构应突出对数据通讯安全和应用系统安全的评估,客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙,银行内部运作系统和数据库是否安全等,以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序,并能保证各种修改得到及时测试和审核。
第三十二条第三十二条 电子银行业务运行连续性计划的评估,应至少包括以下内容:
(一)保障业务连续运营的设备和系统能力;
(二)保证业务连续运营的制度安排和执行情况。
第三十三条第三十三条 电子银行业务运行应急计划的评估,应至少包括以下内容:
(一)电子银行应急制度建设与执行情况;
(二)电子银行应急设施设备配备情况;
(三)定期、持续性检测与演练情况;
(四)应对意外事故或外部攻击的能力。
第三十四条第三十四条 评估机构应制定本机构电子银行安全评定标准,在进行安全评估时,应根据委托机构的实际情况,确定不同评估内容对电子银行总体风险影响程度的权重,对每项评估内容进行评分,综合计算出被评估机构电子银行的风险等级。
第三十五条第三十五条 评估完成后,评估机构应及时撰写评估报告,并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估报告。
第三十六条第三十六条 评估报告应至少包括以下内容:
(一)评估的时间、范围及其他协议中重要的约定;
(二)评估的总体框架、程序、主要方法及主要评估人员介绍;
(三)不同评估内容风险权重的确定标准,风险等级的计算方法,以及风险等级的定义;
(四)评估内容与评估活动描述;
(五)评估结论;
(六)对被评估机构电子银行安全管理的建议;
(七)其他需要说明的问题;
(八)主要术语定义和所采用的国际或国内标准介绍(可作为附件);
(九)评估工作流程记录表(可作为附件);
(十)评估机构参加评估人员名单(可作为附件)。
在评估结论中,评估机构应采用量化的办法表明被评估机构电子银行的风险等级,说明被评估机构电子银行安全管理中存在的主要问题与隐患,并提出整改建议。
第三十七条第三十七条 评估报告完成并提交委托机构后,如需修改,应将修改的原因、依据和修改意见作为附件附在原报告之后,不得直接修改原报告。
第四章 安全评估活动的管理
第三十八条第三十八条 金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行系统进行安全评估。
第三十九条第三十九条 金融机构开办电子银行业务后,有下列情形之一的,应立即组织安全评估:
(一)由于安全漏洞导致系统被攻击瘫痪,修复运行的;
(二)电子银行系统进行重大更新或升级后,出现系统意外停机12小时以上的;
(三)电子银行关键设备与设施更换后,出现重大事故修复后仍不能保持连续不间断运行的;
(四)基于电子银行安全管理需要立即评估的。
第四十条第四十条 金融机构对电子银行外部安全评估机构的选聘,应由金融机构的董事会或高级管理层负责。
第四十一条第四十一条 已实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务不需单独进行安全评估,在总行(公司)的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。
第四十二条第四十二条 未实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的,分支机构的电子银行系统应在总行(公司)的统一管理和指导下,按照有关规定进行安全评估。
第四十三条第四十三条 电子银行主要业务处理系统设置在境外的外资金融机构,其境外总行(公司)已经进行了安全评估且符合本指引有关规定的,其境内分支机构开展电子银行业务不需单独进行安全评估,但应按照本指引的有关要求,向监管部门报送安全评估报告。
第四十四条第四十四条 电子银行主要业务处理系统设置在境内的外资金融机构,或者虽设置在境外但其境外总行(公司)未进行安全评估或安全评估不符合本指引有关规定的,应按规定开展电子银行安全评估工作。
第四十五条第四十五条 电子银行安全评估工作,确需由多个评估机构共同承担或实施时,金融机构应确定一个主要的评估机构协调总体评估工作,负责总体评估报告的编制。
金融机构将电子银行系统委托给不同的评估机构进行安全评估,应当明确每个评估机构安全评估的范围,并保证全面覆盖了应评估的事项,没有遗漏。
第四十六条第四十六条 金融机构应在签署评估协议后两周内,将评估机构简介、拟采用的评估方案和评估步骤等,报送中国银监会。
第四十七条第四十七条 中国银监会根据监管工作的需要,可派员参加金融机构电子银行安全评估工作,但不作为正式评估人员,不提供评估意见。
第四十八条第四十八条 评估机构应本着客观、公正、真实和自主的原则,开展评估活动,并严格保守在评估过程中获悉的商业机密。
第四十九条第四十九条 在评估过程中,委托机构和评估机构之间应建立信息保密工作机制:
(一)评估过程中,调阅相关资料、复制相关文件或数据等,都应建立登记、签字制度;
(二)调阅的文件资料应在指定的场所阅读,不得带出指定场所;
(三)复制的文件或数据一般也不应带出工作场所,如确需带出的,必须详细登记带出文件或数据名称、数量、带出原因、文件与数据的最终处理方式、责任人等,并由相关负责人签字确认;
(四)评估过程中废弃的文件、材料和不再使用的数据,应立即予以销毁或删除;
(五)评估工作结束后,双方应就有关机密数据、资料等的交接情况签署说明。
第五十条第五十条 金融机构在收到评估机构评估报告的1个月内,应将评估报告报送中国银监会。
金融机构报送评估报告时,可对评估报告中的有关问题作必要的说明。
第五十一条第五十一条 未经监管部门批准,电子银行安全评估报告不得作为广告宣传资料使用,也不得提供给除监管部门以外的第三方机构。
第五十二条第五十二条 对未按有关要求进行的安全评估,或者评估程序、方法和评估报告存在重要缺陷的安全评估,中国银监会可以要求金融机构进行重新评估。
第五十三条第五十三条 中国银监会根据监管工作的需要,可以自己组织或委托评估机构对金融机构的电子银行系统进行安全评估,金融机构应予以配合。
第五十四条第五十四条 中国银监会根据监管工作的需要,可直接向评估机构了解其评估的方法、范围和程序等。
第五十五条第五十五条 对于评估报告中所反映出的问题,金融机构应采取有效的措施加以纠正。
第五章 附则
第五十六条第五十六条 本指引由中国银监会负责解释。
第五十七条第五十七条 本指引自2006年3月1日起施行。
本内容来源于政府官方网站,如需引用,请以正式文件为准。
2.电子银行风险评估 篇二
一、电子银行业务面临的主要安全风险分析
与传统柜台业务相比, 电子银行业务由于其独特的虚拟性和广域性, 在为客户提供高效便捷服务的同时, 银行也要面对来自外部、内部的各种风险。
1. 商业银行技术方面的风险。
技术风险包括技术漏洞风险和恶意攻击风险。技术漏洞风险主要指商业银行在进行业务改造时所选择的信息技术还不够成熟、完善, 存在一些安全隐患, 从而会极大地影响计算机系统运行的稳定性, 致使各项金融业务难以正常开展, 给商业银行带来信誉或实际的损害。信息技术的进步, 引发了新的、更多形式的安全威胁手段与途径, 增加了技术方面的风险。同时各银行的网络建设缺乏整体规划, 不但银行与银行之间的相连性和兼容性存在很大的问题, 甚至连各商业银行自身的统一性都不尽如人意。由于技术漏洞的存在, 导致恶意攻击风险不断, 计算机病毒发作、电脑黑客入侵等, 造成系统瘫痪或机密信息失窃。
2. 商业银行系统设计方面的风险。
新型网络金融服务拓展了金融服务的外延和范围, 简单的SSL加密模式的电子银行业务, 无法保证交易过程中的身份识别、交易数据和其他记录的安全性。目前, 金融业的灾难备份管理、系统的监控分析、故障诊断自动化程度, 以及应对突发事件和风险能力还很薄弱。而开放的电子递送渠道使银行暴露在新的安全风险之下, 形成了新的安全风险问题。同时很多银行机构过于依赖少数几个外包商, 这种对少数外包商的集中依赖性可能会产生系统性影响。而很多技术外包商也缺乏银行环境中所要求的控制知识, 业务外包可以引起与风险敞口相关的附加隐私权保护问题。
3. 客户操作方面的风险。
电子银行的很多业务都需要使用者具备一定的操作技能, 如果客户操作不熟练, 就有可能产生误操作, 产生操作风险;还有一些客户的安全意识不强, 将自己的银行卡账号和密码告诉他人, 或在ATM机上取款后, 随处丢弃回单, 给犯罪分子可乘之机;更严重的是不少犯罪分子利用短信、邮件、假银行网站等方式骗取客户的银行卡信息, 盗取客户资金, 给客户造成了巨大的损失。
4. 商业银行内部控制风险。
商业银行内控制度建设滞后于金融电子化的发展, 信息系统安全管理的基本框架、管理机制、策略方法和工作流程还不完善, 一些制度得不到认真执行, 导致银行内部人员违规操作或伺机作案, 给电子银行安全运行造成风险。如果银行不具备充分到位的内部控制措施, 并且这些控制措施不能得到独立审计的话, 那么银行就不能有效防范来自内外部的欺诈行为。从经营运作层面上来看, 电子银行是一项系统工程, 其业务分散在多个部门之中, 如果银行战略的规划和执行出现无效或不当, 飞速的技术变革, 激烈的同业竞争和该战略的性质都会暴露出银行的巨大风险。
5. 法律风险。
目前, 由于电子银行业务属于新型业务, 相关的法律法规条文非常缺乏, 电子银行的发展缺少可以依据的标准。而对于电子银行来说, 在有关交易规则、交易合同的有效性、交易双方当事人权责及消费者权益保护等方面, 与传统银行相比更加复杂, 更加难以进行界定。相应法律法规空白的存在, 很容易产生擦边球现象, 并且一旦产生纠纷很难解决。
二、网上电子银行结算风险成因的分析
电子银行结算风险与银行其他风险相比具有复杂性、隐蔽性、突发性和更大的危害性等特点, 其风险形成是多方面的:银行临柜人员违规违章操作, 账务处理程序随意简化, 隐瞒问题不及时上报造成重大隐患;银行临柜人员缺乏对网上电子银行结算业务整体性的了解, 对一些关键性的环节控制不到位或业务不熟悉;会计人员缺乏对电子银行结算风险的研究, 忽略重点环节的控制等。从已发生的案例来分析, 主要为内部原因和外部原因两方面:
一是外部原因。主要是犯罪分子利用网上电子银行结算这一环节, 采用隐蔽、狡猾的手法进行诈骗。
1. 洗钱。
网上电子银行结算不受时间、空间限制, 银行在为客户提供方便的同时也为犯罪分子洗钱提供方便, 犯罪分子可以在短时间内将非法所得通过网上银行结算在不同账户之间划转达到洗钱目的。
2. 诈骗。
利用人们对网上电子结算业务不精通设置假网址进行诈骗, 假网站诈骗是“网络钓鱼”的一种, 通常是指不法分子以某家银行的名义, 通过互联网建立貌似银行网站或网上银行的假网页, 并借此发布虚假消息, 搜集客户资料, 骗取客户网上银行注册卡号 (登录ID) 、密码、口令等信息, 进而达到非法窃取客户资金的目的。
假网站这种欺诈手法最初出现在北美, 2003年开始在亚洲蔓延, 并相继在香港地区发生了多宗利用假网站骗取客户网上银行账户口令和资金的案例。从2004年开始, 假冒银行网站开始在我国大陆出现, 网络安全事件也频繁见诸于媒体, 使网上银行安全性问题成为公众关注的焦点
3. 盗窃他人密码自助注册。
犯罪分子潜伏在银行营业网点, 当有人办理开户业务时, 记下账号、密码、身份证件, 自助注册网上银行盗窃他人资金。
二是内部原因。主要是银行规章制度不健全及结算人员违规操作带来风险。
1.结算队伍建设滞后。网上银行结算业务量随着经济的发展而迅速增加, 网上银行结算管理的任务不断加重, 然而专业结算人员素质不高, 这种状况, 必然削弱网上银行结算管理, 成为违章违纪行为经常发生的一个原因。结算人员替客户保管证书, 很容易引发网上银行结算风险, 这样无形当中增加了经办人员舞弊的可能性, 为作案人员创造了机会。
2.内部检查力度不够。一些商业银行由于会计检查人员配备不足, 会计检查人员水平有限, 会计检查辅导、内部检查的频率和覆盖面均未涉及网上银行结算, 未达到一个合理的水平, 无法及时发现网上银行结算工作中存在的问题。
3.重营销轻管理, 风险意识不到位。近年来, 电子银行的营销作为一项指标与支行挂钩, 部分营销人员缺乏防范意识, 为完成任务指标往往在手续不全的情况下为客户注册网上银行, 一旦发生风险无法补救。
三、如何防范电子银行风险
随着市场经济日臻完善和金融改革步伐的不断加快, 电子银行正成为金融业发展的主要方向之一。但由于上述社会环境, 技术条件等因素制约, 电子银行也暴露出一定的风险。如何防范电子银行风险, 确保资金安全运营是当前金融业亟待解决的一个重要问题。
1. 逐步构建适用现代商业银行的综合电子银行管理体制。
在现阶段应建立以人民银行现代化支付系统为主线, 以各金融机构电子银行系统为基层行, 多个市场交易系统和信息交换系统连接的综合性电子银行管理体制。现代化支付系统是我国支付结算的神经中枢, 它的建成标志着我国支付手段、支付水平在一定程度上已达到先进国家水平。应做好现代化支付系统与各金融机构电子银行系统的无缝链接, 为我国综合性电子银行的形成奠定基础。
2. 健全法律法规, 增强电子银行的安全性。
在当前信息时代, 电子支付是今后支付方式发展的重要方式, 而电子银行则是未来银行发展的重要方向之一。为保障电子银行的快速发展必须做好以下两点:一是加快立法进程, 为电子银行提供法律支付。《电子支付指引》和《电子银行业务管理办法》仅仅是初步明确了电子支付和电子银行的地位和作用, 建议尽快出台《电子银行法》, 从电子银行设立、业务运营、监管、市场准入, 业务范畴与标准, 金融创新、法律责任、市场退出机制等进行规范, 大力推进我国电子银行的发展进程。同时, 建议在制定新的《票据法》时将电子银行相关的内容纳入, 确认电子支付的法律地位, 为电子银行的快速发展扫清支付障碍。二是完善电子银行的稳定性, 降低电子银行的潜在风险。要不断加强电子银行的软硬件建设, 特别是提高网络的安全性, 提升电子银行的科技含量。
3. 不断提升银行内部控制能力。
首先是商业银行要制订全面的电子银行业务规程和安全规范, 并根据业务和技术发展情况及时修订完善, 确保及时发现并处理系统运行中出现的各种问题。其次是要建立完善的内部控制机制, 科学分配电子银行业务各环节的权限, 构建电子银行业务流程与权限相互制约体系, 建立严格的授权和保密制度, 加强对信息系统人员的监控。第三是加强员工的安全意识, 要建立健全激励约束机制, 加强思想政治工作, 及时了解员工的思想动态, 深入开展爱岗敬业活动, 充分调动广大员工的积极性, 降低内部违规事件出现的机率。第四是将风险环节前移, 在产品开发初期充分考虑到安全性, 对存在安全隐患的产品, 绝对不投入使用, 不投入市场。要定期对其技术支持来源进行重新评估, 以确定已有的方案是否继续适合其业务发展, 是否有足够的弹性来满足预期的将来需要。
4. 加强基础设施建设。
首先商业银行应制定正确的电子银行技术风险管理策略, 对建设电子银行的技术方案进行科学论证, 确保信息技术安全可靠, 电子银行系统设计严密、功能完善、运行稳定。其次应加大电子银行安全技术投入, 提高通信网络带宽, 建立灾难备份与恢复系统, 增强电子银行抵御灾难和意外事故的能力。第三, 应积极引进一些高效的安全产品和安全技术, 如将指纹识别技术与银行卡结合起来, 以指纹密码代替数字密码, 提高客户取款的安全性, 目前美国已经开始在ATM机上使用指纹识别系统。第四, 应采取有效措施防范病毒和黑客的攻击, 及时更新、升级防病毒软件和防火墙, 提高计算机系统抵御外部网络攻击和抗病毒侵扰的能力, 增强电子银行系统的保密性和完整性。
5. 强化客户安全意识。
提高客户安全意识是防范电子银行风险的有效途径。首先, 银行要加强对客户的安全教育, 在客户办理银行卡时, 重点介绍安全使用银行卡的知识, 提醒客户及时更改原始密码, 并在营业网点和自助服务设备上张贴风险防范告示, 提示客户保管好各种相关凭证。其次, 要充分利用新闻媒体对电子银行安全风险进行宣传报道, 向公众介绍犯罪分子利用电子银行盗取客户资金的各种手段, 提高客户识别真伪、防范风险的能力。
6. 加强法制建设, 加大对犯罪分子打击力度。
我国公安部门要适应形势变化的需要, 提高对高科技犯罪的侦破能力, 同时电信、金融行业要主动提供相关的信息资料, 积极配合公安部门侦破犯罪案件, 采取各种有效措施, 加大对电子银行盗窃案件的查处力度, 从严从重打击犯罪分子。
摘要:当前, 各家商业银行的电子银行业务正在快速发展, 不少银行相继成立了电子银行部, 把电子银行作为未来主要的发展方向。电子银行业务以其成本低, 方便、快捷、全天候服务等优势倍受客户青睐。文章分析了电子银行业务存在的风险, 提出了相应的控制策略。
关键词:电子银行,风险,成因控制策略
参考文献
[1].王文生.网上银行业务的法律规制[J].安徽大学学报, 2007 (2) 1.王文生.网上银行业务的法律规制[J].安徽大学学报, 2007 (2)
3.电子银行业务欺诈风险的防范 篇三
关键词:电子银行;欺诈风险;防范
中图分类号:F832 文献标识码:A 文章编号:1674-7712 (2013) 12-0000-01
一、教育员工严禁触碰高压线、踩踏红线
(一)加强培训,及时传导
内部操作风险与外部欺诈风险是电子银行业务目前面临的主要风险,是密切联系的。操作风险发生的主要原因,是由于操作人员对制度理解不深入,操作流程掌握不熟练导致。要运用多种形式,扎实开展操作风险要点的培训,通过晨会、例会等形式的培训督导工作,提高各层级人员电子银行业务风险管理水平及合规操作意识。
(二)发挥各层级作用,认真落实检查制度
要加强现场检查和非现场检查工作,对电子银行操作风险的关键风险点,重点排查。对于发现的问题,要认真总结产生原因,制定整改措施,防止屡查屡犯、此查彼犯。要进一步强化营业主管、柜员主管履行对电子银行签约环节的风险防范职责和风险教育职责,督促柜员严格执行电子银行操作流程和管理制度,对柜员的电子银行签约操作进行检查监督。要加强风险检查和案件排查工作。按时保质保量对电子银行制度执行情况、各项操作风险事项进行检查监督。在检查过程中采取边查边纠、查辅结合的方式,逐步提升各营业机构的风险防控水平。并及时发现风险点和风险隐患,认真做好整改督导工作,堵截风险漏洞。要加强电子银行风险管理队伍建设。建立形成省分行、二级分行、支行营业网点三级联动风险管理体系,贯穿业务发展全过程,做到层层有岗位、层层有把关、层层有防范。
(三)严禁触碰高压线、踩踏红线
根据银行员工从业禁止若干规定及银行工作人员违规失职行为处理办法等制度要求,员工在办理电子银行业务中严禁触碰三条高压线和八条红线。
二、教育员工按章操作,及时提醒
电子银行签约是办理电子银行业务的首要步骤,也是重点防范的关键风险环节。要强化制度执行,严格按照相关制度要求,规范业务操作,严把签约关,对签约操作风险关键要点要重点控制,为客户合规办理各项电子银行签约服务。并重点对以下环节加强管控:
(一)确认客户申请资料的完整性
网点在办理电子银行签约申请业务时,柜员应审核客户提供的申请资料是否规范、完整、有效,并做到“五确认”。
企业电子银行“五确认”即:(1)確认客户签约申请表填写完整、规范、有效,并签署网上银行企业客户服务协议。个人电子银行“五确认”:一是确认客户本人签约申请;二是确认客户持本人身份证件;三是确认本人账户为签约账户;四是确认客户签约手机号码为本人正在使用的手机号码;五是确认客户填写的签约申请完整、有效,并签字确认。
(二)要认真执行面签制度
网点在办理电子银行操作时要认真执行面签制度,日常操作中须做到“三核实”。企业电子银行“三核实”是指:(1)严格核实客户授权经办人身份。柜员应通过联网核查系统及身份证鉴别仪查验经办人身份证件,对客户授权经办人身份进行确认。不得由客户经理等行内员工代办签约。(2)严格核实单位公章真伪。网点对客户提交资料上加盖的单位公章,必须进行验印核实。(3)严格核实网银盾交接人。网银盾必须交法定代表人或客户单位授权经办人,不得由客户经理等我行员工转交。个人电子银行“三核实”:一是通过联网核查系统或二代身份证鉴别仪核实客户身份证件;二是核实是否是本人签约;三是核实签约手机号码是否是签约申请客户本人正在使用的手机号码。
(三)确认并登记客户本人手机号码
(1)个人客户申请电子银行业务时必须签约或登记本人手机号码。(2)对无手机号码、手机号码不正确、使用非本人手机号码的客户,不予办理开通。(3)柜员可采取各种合法有效手段核对客户签约或登记的手机号码是否是客户本人使用,比如客户拨打网点电话(具有来电显示功能)、与客户互拨电话(防止不法分子采用转移呼叫的方法欺骗柜员)等。(4)柜员必须提醒客户核对回执中的手机号码是否正确,并口头询问客户签约或登记的手机号码是否是其本人使用,向客户充分揭示签约他人手机号码的风险。
(四)尽职对客户进行提醒和安全教育
客户申请开通电子银行时,柜员或客户经理应对客户进行风险提示,至少告知客户以下电子银行有关的安全知识:(1)提醒客户妥善保管账户介质、身份证件、安全产品等重要物品,不要将上述物品转交他人,包括银行工作人员保管或使用,不要泄露银行密码、证件号码、银行卡号等重要信息。(2)提醒客户不要设置简单的、有规律的、容易猜测的银行密码。(3)提醒客户必须签约或登记本人的手机号码,当本人手机遗失或转让时,应及时注销电子银行服务,当本人手机号码更新后,应及时联系银行更新。(4)提醒客户防止无抵押贷款、验资等各种名义的诈骗手段等。(5)验证客户手机号码是否客户本人当前使用。客户申请电子银行服务时,必须签约或登记本人当前使用的手机号码。对无手机号码、手机号码不正确、使用非本人手机号码的客户,不予办理开通。网点可采取合法有效手段核对客户签约或登记的手机号码是否是客户本人使用。(6)必须刷卡验密。办理电子银行签约时,柜员必须按照业务流程刷卡验密,核实账户状态正常后,方可办理业务。(7)提醒客户核对签约回执信息并签字确认。
在对客户进行提醒的同时,柜员或客户经理应对客户进行安全提示教育,告知客户电子银行有关的使用安全知识。要利用各种宣传渠道和手段,加强对客户使用电子银行的安全教育,避免客户因为不熟悉电子银行功能遭受欺诈,发生账户资金损失。要提示客户不要轻信不明来历的关于网银升级的短信,登录网上银行时,应留意核对所登录的网址与银行官方网址是否相符,谨防被假冒银行网站欺骗。提醒客户防范木马钓鱼风险。签约操作人员要认真严格履行各项操作要点,尤其是对客户签约留存本人手机号码、客户本人实名制开户签约等重点环节,按照制度要求认真核查,确定为客户本人及本人手机号码后方可为客户办理业务。
4.电子银行的风险与控制 篇四
银行通过手机、电话、电脑、ATM等电子渠道向客户提供金融服务和产品的过程就是电子银行业务,与此同时,这些电子银行业务已在商业银行各项业务中占有重要地位。网上电子银行的结算,电子银行的成本低,方便、快捷等优势特点备受客户的喜爱。但是,由于社会复杂的现象,企业财务人员水平和个别银行结算人员的业务水平较低,电子银行结算风险案例也在不断增多。增强风险意识,规避电子银行结算风险,寻找控制风险的策略,已成为电子银行发展的当务之急。
一、电子银行面临的主要风险
1.战略和经营风险
银行在经营决策上出现错误,决策后执行的力度不够,面对行业的变化不能及时采取相应的对策,这些情况的出现都会对银行的收益造成影响,这些都属于战略和经营上的风险。战略风险具有普遍性和广泛性,是银行开展电子银行业业务时面临的最严重的风险之一。银行如果在规划和执行力上出现问题,跟不上技术变革的发展,在激烈的同行竞争中处于劣势地位,这样的战略性质不仅暴露出银行的巨大风险,也会让银行在一个饱和市场中没有丝毫的.立足之地。
2.运作风险
5.网上电子银行结算风险的防范措施 篇五
一、客户自身风险的防范。一是在向客户营销时作好调查,企业财务治理情况、企业财务职员电脑水平有多高要了如指掌。二是向客户做好培训工作,一定要教会教懂。三是一定要提醒客户进行必要的风险防范。
二、银行内部操纵风险防范。一是同一开户资料的核验标准。严格按照制度和操纵流程办理业务。坚持按制度办理业务是规避风险的有效手段。二是增强员工的业务素质和案防意识。只有熟知制度和业务操纵流程,才能把握风险点,控制业务风险。对此,必须加强员工培训学习,建立学习制度,使业务学习经常化、规范化。另外,要加强风险教育工作,结合实际案件揭示各项业务的风险点,让员工真正理解制度,做到“知其然知其所以然”,减少和避免对制度的抵触情绪。三是加强内部检查力度。目前对网上银行电子结算检查环节比较薄弱,检查频率、深度不够。
6.浅谈网上电子银行结算风险与防范 篇六
一、网上电子银行
结算风险类型
网上电子银行结算风险存在于银行及客户通过互联网登陆银行网站办理各项业务活动的始终,网上电子银行会计结算风险也是自始至终贯穿于网上银行业务处理的全过程,我国商业银行结算业务目前所面临的部分结算风险在一定程度上是与网上银行结算有关。从目前网上银行结算的风险类型来看主要有客户自身风险、银行内部操作风险、黑客恶意攻击风险。
(一)客户自身风险。表现形式主要是企业财务管理混乱,岗位职责不清,财务管理做不到相互制约,有的企业所有印章全由会计一人保管,企业对财务事项全权委托会计一人处理,法人对财务事项长期不管不问,涉及签字授权也不看不问,大笔一挥完事大吉,企业自身在管理上的严重缺陷,一旦财务人员有盗窃或侵占等非法手段获得结算资金企图,会通过网上银行则将企业资金转入个人储蓄存款账户等。
案例:5月7日上午10时,一对公客户持现金支票到某支行营业室支取现金,柜员记账时显示客户账户余额不足。客户称自己是该单位负责人,原会计辞职,支票及印鉴都在自己手中,前一天明明有一笔10万元款项到账,自己没有开出别的支票,怎么会没有存款呢?经查,该企业原会计在未告知企业负责人的情况下办理了企业网上银行开户手续,并且设定业务权限为转账额度2万元,设定一人办理。5月7日上午8时,原会计进入网上银行分5次将10万元存款转入其他账户。
该企业在开办企业网银时,会计在法人代表不知道什么是网上银行的情况下取得授权书一人经办,开通网上银行业务后多次使用网上银行转账及汇款,法人代表从未过问。法人代表在不明白网上银行业务情况下就出具了授权书,反映了企业自身在管理上的严重缺陷。同时,也向我们揭示了企业网上银行业务的风险点之一——开户环节。作为经办网点,必须严格企业网上银行开户手续,确保企业网银开户资料齐全、合法,避免埋下事故案件隐患。
(二)银行内部操作风险。银行内部操作风险多数来自银行经办人员出于私利,首先经办人员同客户相互之间比较信任,出于营销目的或别的原因,在客户不了解网上银行的情况下向客户营销,之后替客户保管证书,由于风险意识淡薄、疏于管理,出现了内部会计人员利用网上银行盗窃客户结算资金的案件,不仅给造成了损失,也损害了银行形象,给银行结算工作造成不良影响。
(三)黑客恶意攻击风险。具体表现为,一是犯罪分子利用客户疏于防范心理盗窃客户原始密码自助注册网上银行盗窃客户资金。二是利用假网站诱骗客户上当。
二、网上电子银行结算风险成因
网上电子银行结算风险与银行其他风险相比具有复杂性、隐蔽性、突发性和更大的危害性等特点,其风险形成是多方面的:如银行临柜人员违规违章操作,账务处理程序随意简化,隐瞒问题不及时上报造成重大隐患;银行临柜人员缺乏对网上电子银行结算业务整体性的了解,对一些关键性的环节控制不到位或业务不熟悉;会计人员缺乏对网上电子银行结算风险的研究,忽略重点环节的控制等。从已发生的案例来分析,主要为内部原因和外部原因两方面:
(一)外部原因。主要是犯罪分子利用网上电子银行结算这一环节,采用隐蔽、狡猾的手法进行诈骗。
1、洗钱。网上电子银行结算不受时间、空间限制,银行在为客户提供方便的同时也为犯罪分子洗钱提供方便,犯罪分子可以在短时间内将非法所得通过网上银行结算在不同账户之间划转达到洗钱目的。
2、诈骗。利用人们对网上电子结算业务不精通设置假网址进行诈骗。5.12地震以来,不法分子利用人们支援灾区的爱心设置假冒网址欺骗广大qq用户汇款的情况,近日,**分行连续发生不法分子利用地震灾情,通过在腾讯科技有限公司设置假冒财付通捐赠网址欺骗广大qq用户汇款的情况,其假冒网址和内容为:**汇款或银行转账——可通过网上银行转账;或中国工商银行账户捐款;人民币捐赠;开户单位中国红十字会总会(李连杰壹基金计划-四川地震救助);收款人蒲某经查,假冒网址1的开户人蒲某于 2008年4月25日使用第二代身份证在****州某支行开立个人结算账户。
3、盗窃他人密码自助注册。犯罪分子潜伏在银行营业网点,当有人办理开户业务时,记下账号、密码、身份证件,自助注册网上银行盗窃他人资金。
(二)内部原因。主要是银行规章制度不健全及结算人员违规操作带来风险。
1、结
算队伍建设滞后。网上银行结算业务量随着经济的发展而迅速增加,网上银行结算管理的任务不断加重,然而专业结算人员素质不高,这种状况,必然削弱网上银行结算管理,成为违章违纪行为经常发生的一个原因。结算人员替客户保管证书,很容易引发网上银行结算风险,这样无形当中增加了经办人员错弊的可能性,同时也为作案人员创造了机会。
2、内部检查力度不够。一些行由于会计检查人员配备不足,会计检查人员水平有限,会计检查辅导内部检查的频率和覆盖面均未涉及网上银行结算,未达到一个合理的水平,无法及时发现网上银行结算工作中存在的问题。
3、重营销轻管理,风险意识不到位。近年来,网上电子银行的营销作为一项指标与支行挂钩,部分营销人员缺乏防范意识,为完成任务指标往往在手续不全的情况下为客户注册网上银行,一旦发生风险无法补救。
三、网上电子银行结算风险的防范措施
(一)客户自身风险的防范。一是在向客户营销时作好调查,企业财务管理情况、企业财务人员电脑水平有多高要了如指掌。二是向客户做好培训工作,一定要教会教懂。三是一定要提醒客户进行必要的风险防范。
(二)银行内部操作风险防范。一是统一开户资料的核验标准。严格按照制度和操作流程办理业务。坚持按制度办理业务是规避风险的有效手段。二是增强员工的业务素质和案防意识。只有熟知制度和业务操作流程,才能掌握风险点,控制业务风险。对此,必须加强员工培训学习,建立学习制度,使业务学习经常化、规范化。另外,要加强风险教育工作,结合实际案件揭示各项业务的风险点,让员工真正理解制度,做到“知其然知其所以然”,减少和避免对制度的抵触情绪。三是加强内部检查力度。目前对网上银行电子结算检查环节比较薄弱,检查频率、深度不够。
7.电子银行风险评估 篇七
与之对应的是, 各种电子银行的认证手段和技术不断出现:从简单的密码设置, 到认证与静态口令并用;从“短信+数格卡”和“短信+令牌”, 到严格的“短信+证书”的复杂认证……所谓魔高一尺, 道高一丈, 电子银行的安全防卫技术在花样翻新的犯罪攻击中不断升级。
保卫电子银行的安全命脉, 银行业究竟准备好了没有?深究其实质, 电子银行的安全, 并不仅仅是一项技术问题, 在这场魔道较量中, 需要银行业拿出决心, 进行整体性的部署, 才能对日益猖獗的犯罪行为予以有力打击。
魔道较量:电子银行安全战
4 000万信用卡用户、1 390万名万事达客户、2 200万Visa客户、数量不详的美国运通和Discover客户……所有这些信息都可能被窃取。2009年美国万事达公司公布的这条消息震惊全球。背后的故事却很简单:电脑病毒侵入了一家结算处理公司的计算机系统, 于是黑客偷走了20万张信用卡和借记卡账户的数据, 并可能访问了4 000万名信用卡的信息。
这条新闻只是电子银行安全问题的冰山一角。
根据中国互联网络信息中心 (CNNIC) 发布的《第26次中国互联网络发展状况统计报告》, 仅2010年上半年, 就有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击;30.9%的网民账号或密码被盗过;电子商务网站访问者89.2%的人担心假冒网站, 其中, 86.9%的人表示如果无法获得该网站进一步的确认信息, 将会选择退出交易。
目前全世界每年计算机犯罪所涉及的金额有200多亿美元之多, 所造成的损失往往是常规犯罪的几十甚至几百倍, 特别在银行系统尤其如此。据美国官方统计, 银行每年在网络上被盗窃的资金达6 000万美元, 而每年在网络上企图进行盗窃案件的总数高达5亿~100亿美元之间。北美证券管理协会调查, 发生的网上诈骗每年估计使投资者损失约100亿美元。而在我国, 电子银行的安全问题更加让人担忧, 犯罪分子进行诈骗的一些奇招怪术层出不穷。2004年, 假冒的中国银行网站被发现, 紧接着, 假中国工商银行、假银联、假农业银行等冒牌山寨网站纷纷惊现网上。在这些网站中, 只要用户输入账户和密码, 那么用户信息就会被盗, 其后果可想而知。
电子银行:银行业未来金矿
面对来自网络方面的安全威胁, 尽管现实让人头痛, 但是银行业却不可能放弃电子银行这块越来越大的蛋糕, 可以说, 电子银行正在成为银行业的未来金矿。
招商银行行长马蔚华告诉媒体, 2010年招行网上银行对柜台的替代率已经超过80%, 网上银行的交易量以年复合增长100%的速度高速增长。另一方面, 尽管客户高速增长, 然而网上银行的经营成本却极大地低于传统柜面。马蔚华介绍, 网上银行的经营成本只占经营收入的15%到20%, 传统银行的经营成本则占经营收入的60%以上, 因此网上银行运营成本很低。
招商银行的例子正解释了电子银行迅猛发展背后的动力。首先它能够非常有效地降低成本, 特别是对于上市银行来说, 它在业务快速增长的同时也面临着提高效益, 精简机构和人员的压力, 电子银行的发展有助于银行进行业务转型、提高核心竞争能力。
据有关方面测算, 以单笔业务的成本计算, 营业网点为1.07美元, 电话银行为0.54美元, ATM为0.27美元, 而通过互联网则只需0.1美元;此外, 它还能够吸引业务交易量大、交易金额多的优质客户——据中国工商银行上海市分行的抽样统计, 电子银行平均每笔个人业务的交易金额是2.4万元, 是网点的5到8倍, 是ATM机的33倍;
除了在成本上进行“节流”, 电子银行在市场业务上进行“开源”的威力也不可小视。它能够有效孵化银行新产品和开拓新业务市场, 如外汇买卖、银证转账、银证通、开放式基金等, 目前98%的个人外汇买卖业务、100%的银证转账和银证通业务都是通过电子银行进行的;它也能够改进客户服务质量:网络银行系统与客户之间, 可以通过电子邮件、账户查询、贷款申请或档案更新等途径, 实现网络在线实时沟通, 客户可以在任何时间、任何地方通过因特网得到银行的金融服务, 极其方便快捷。
另一方面, 信息时代网路技术的发展也使得电子银行如虎添翼。截至2010年, 中国网民规模达到4.2亿, 突破了4亿关口, 较2009年底增加3600万人;互联网普及率攀升至31.8%, 固定电话用户达到3.03亿, 手机用户达到8.14亿。我国网民、电话、手机数的迅速增长, 为电子银行快速发展提供了重要的客户基础, 电子银行的发展正是相关市场发展的需要。
根据易观国际Enfodesk产业数据库发布的《2009年第4季度中国网上银行市场季度监测》显示, 2009年中国网上银行市场交易总额超过400万亿, 达404.88万亿, 其中个人网银交易额达到38.53万亿, 占比9.52%。另外, 截至2009年第4季度末, 中国网上银行注册用户数达到1.89亿。iResearch艾瑞市场咨询预测, 未来几年中国网上银行用户规模将继续扩大, 2010年该规模将达到2.17亿户, 目前中国网上银行交易额中绝大部分属于企业网上银行交易额, 个人网上银行所占比例还非常低, 因此针对个人的网上银行业务尚处于推广阶段, 未来将是一个潜在的巨大市场。以工商银行为例, 从2000年到2005年短短5年间, 工行网上银行交易额从156亿元增长到35.8万亿元, 增长了2 294倍;电子银行业务量占比由3%上升至26%, 上升了23个百分点。
在现实面前, 电子银行对传统业务形式的取代是一条必经之路, 作为银行业未来的金矿, 它将成为各大银行业排兵布阵、激烈竞争的兵家必争之地。
安全交易:电子银行生命线
一方面, 电子银行能够让用户在任何时候、任何地方、任何方式享受到银行的全方位、无间隙的服务, 突破了时间、空间的限制, 为用户提供了极大的方便和快捷, 成为银行提升自己服务质量, 增强竞争力的有力手段。
另一方面, 安全方面的问题却让用户对电子银行又爱又恨, 让银行对它又喜又惊, 可以说解决安全问题、有效保障用户权益是电子银行生存和发展的必由之路。根据iResearch艾瑞市场咨询的研究数据显示, 比例高达72.2%的网民选择“如果银行可以担保所有交易的安全”作为使用网上银行业务的原因, 68.8%网民使用网上银行时关心的问题首先是信用卡/银行卡资料是否会被其他人盗取, 由此可见安全性问题已经成为高悬在电子银行头上的“达摩克利斯之剑”。
“电子交易由于没有纸质凭证, 可能先入为主地给人们带来不安全感。另外, 黑客的攻击事件与事后报道也让人们对于安全性心怀芥蒂。”中国建设银行电子银行部总经理徐捷这样认为。
上海琮谷信息科技有限公司李伟镭总经理助理则指出, 电子银行安全问题虽然层出不穷、花样繁多, 但是总体看主要有两类:银行方面的原因和客户方面的原因。
银行方面的原因又可以分为三种:一是由于网络层安全设置不当而造成网络被攻破, 比如防火墙设置不合理、没有安装IDS (Intrusion Detection Systems, 入侵检测系统) 、没有设置防黑软件;二是网站保护不当, 比如没有安装网站保护软件, 没有安装网站证书/服务器证书/EV证书 (Extended Validation SSL Certificate, 意思是:遵循全球统一的严格身份验证标准颁发的SSL证书, 用来保护用户不与没有经过严格身份验证的网上商户从事在线交易) ;三是身份保护不周, 比如只有账户/密码保护或文件整合素, 没有实现双因子认证 (指结合密码以及实物, 如信用卡、SMS手机、令牌或指纹等生物标志, 两种条件对用户进行认证的方法) , 安全控件不严密。
客户方面的原因也可以细分为三种:一是客户被欺骗, 如由于委托或他人经办, 泄露个人身份和账户信息;二是客户端被攻击, 如中木马、键盘操作被记录、被录像;三是使用不当, 如密码设置不当 (不该密码/支付和账户密码一致) , 在大众场合使用网银。
针对这种情况, 目前银行往往根据不同的风险行为, 不同的交易量, 对客户实行不同的认证级别。比如登录、余额查询这类简单的操作, 一般采取机器认证和静态口令;小额转账则采用“短信+数格卡”或“短信+令牌”的方式;大额转账就采用严格的短信加证书的认证。
但是仅仅从技术方面入手是否就能根治问题?面对越来越多的网银安全事件, 也许在电子银行领域, 各大银行需要一种新的思维和做法, 抗击猖獗的犯罪行为。
安全保卫战:银行的整体部署
“面对越来越多的网银安全事件, 银行业的管理者应该思考, 为什么客户不信任网银安全?在网银各个环节中哪些是最脆弱和最易于攻击的?”李伟镭说。
从技术方面看, 电子银行的安全问题不仅仅只是针对用户进行身份保护, 它也包括如网络、网站、客户端等其他环节, 如果这些环节出现问题, 一样也会导致电子银行犯罪行为的出现。
光大银行广州分行科技部的邓德涛总经理指出:“为提升电子银行安全防护水平, 需要银行做好事前风险防范、建立高效的监控机制 (或系统平台) 进行有效事中风险监控、严格履行事后监督和相关程序对风险事件进行事后妥善处置。”
以光大银行为例, 在技术上, 比如针对身份认证环节的安全问题, 最近光大银行刚刚推出了全新一代电子银行身份认证工具――阳光令牌;针对网上银行等渠道服务系统, 光大银行则在银行端运用完备的防火墙、访问控制和灾备策略, 在服务器上采取高等级EV证书机制确保银行端系统的安全性和可靠性;在与客户端通信时全程采用SSL加密通道, 确保交易信息传输的安全性;在电话银行、手机银行以及其他电子自助渠道安全认证方面, 光大结合各渠道特点和业界标准, 制定了完备的客户身份和交易安全认证策略, 确保客户安全、便捷地享受电子渠道服务――例如在电话银行转账时要求客户事先绑定呼入电话或转入账户, 在手机银行交易中将客户手机作为唯一的绑定标志予以考虑等。“光大银行在实践业务开展中, 会依托前、中、后台完备的安全风险管控体系, 切实保证客户交易安全。”邓德涛说。
除了安全技术上下足工夫, 电子银行相关的安全政策、安全意识、应急安全事故处理预案等方面, 也是不可忽视的重要环节。在这方面, 光大银行不仅制定了严密的内部规章制度, 建立相对完善的灾难备份机制。
邓德涛介绍说:“电子银行安全绝不仅仅是一个技术问题, 而是一个由银行前中后台风险管理体系和客户自身共同构建而成的一个防护网络。”如果缺乏后者的主动参与, 那么即使银行在安全方面下足了工夫, 但是客户安全意识的缺乏将成为电子银行安全问题的短板, 结果事倍功半, 这将关系到银行在电子银行的业务中能分享到多大的蛋糕。
根据CFCA电子银行研究中心《2009中国网上银行用户行为和态度调查研究》的数据显示:对比未来一年准备开通网上银行和不准备开通网上银行的人对网银安全性的态度, 可以看出两者的差异是非常大的:准备开通网银的人中有75%认为网银是安全的, 他们的信心主要来自认为自我防范意识能力强和对银行的信任;不准备开通网上银行的人中有67%认为网银是不安全的, 形成这种观点的主要原因是对网上银行安全手段不了解和相关负面报道。
因此, 邓德涛建议说:“银行应该在电子银行业务方面非常注重对客户进行电子渠道安全使用教育工作。在日常业务开展中, 积极利用门户网站、营业网点、宣传材料、客户经理和柜台人员宣讲、产品发布和介绍会等形式向广大客户普及、宣传电子渠道业务安全使用常识和注意事项, 并根据业务创新和推出的进度, 不断更新现有宣传材料, 这样才能有效地提升客户对电子银行的安全意识和防护水平。”
李伟镭则认为:“网络安全不只是技术, 实际上是一个商业问题, 要实施安全, 不只是在网银领域, 而应该定义在全行机构中实施。”
这场电子银行的安全保卫战, 参与其中的不仅仅是反黑客的技术专家, 也包括跟客户进行接触的宣传部门, 同时更少不了能够进行整体规划的银行管理高层。
8.电子银行集结竞争实力 篇八
一、 电子银行业务开展概况
记者:工商银行开展电子银行的动因是什么?是来自外资银行的竞争压力还是自身发展到一定阶段的需要?
姜建清:1997年12月,工商银行在互联网上开办了自己的网站,是最早推出网上服务的国内银行之一,经过三年的内部信息化之后,于2000年2月和8月分别推出了具有独创性的企业网上银行和个人网上银行。1999年,在全国率先推出全国统一号码的电话银行服务95588。2002年,工商银行在国内同业中率先把网上银行、电话银行、手机银行等诸多产品、服务归为一类,旗帜鲜明地提出了电子银行的概念,并成功推出了“金融e通道”电子银行整体品牌。几年来,工商银行的电子银行业务交易额以几何级数增长:2000年是1.93万亿元, 2001年实现3.61万亿元, 2002年达到8.77万亿元, 2003突破20万亿,达22.3万亿元,今年仅前4个月就超过了10万亿元。
工商银行站在战略高度发展电子银行业务是综合分析后的作为,既有市场发展机遇和竞争方面的考虑,也是内趋性发展的需求。归纳起来讲,动因主要有三个。
一是基于市场机遇和客户需求。近年来,我国经济和社会信息化建设不断推进,企业信息化、电子商务、电子政务发展很快,网民队伍与日俱增,客户需求层次不断提升等,为我们电子银行的发展提供了良好的外部环境和巨大的发展空间,并提供了持续发展的动力。
二是国际金融业发展趋势的要求。信息技术在全球范围的金融业掀起了一场史无前例的创新化的大变革,这场变革使所有的银行业务活动都被嵌入到计算机信息网络中,使银行的运作方式和服务方式发生了质的变化,通过电子化手段提供3A式金融服务成为一种趋势。正是在这样一种环境下,世界上第一家网上银行SFNB(安全第一网上银行)1995年10月在美国亚特兰大诞生了。为了融入金融全球化的合作与竞争,我们必须加快发展电子银行。
三是从战略角度考虑进行业务转型。工商银行要从传统银行迈向现代商业银行,必须改变传统银行以高成本的柜面服务为主的局面,侧重多渠道服务体系的建设,以低成本高效率的“机构+鼠标”的方式发展。
记者:工行对电子银行这种新兴业务有哪些“倾斜”性政策和措施?
姜建清:前面已经说过,工商银行发展电子银行是基于客户需求、市场机遇、发展趋势、内在转型等多方面的考虑,是站在战略的角度实施的。对此,我们是经过充分论证并放在市场中进行检验的。全行对发展电子银行业务的重要性有充分认识。
在业务发展实践中,我们采取四项具体措施:一是科学规划,统筹发展。按照“统一规划、统一管理、统一开发、统一营销”的原则,推行产品创新和整合,制定和实施考核机制,进行整体营销等。二是加大投入,形成技术优势。工商银行从成立之日起就重视科技兴行,经过几任行长的“接力”,我们已建立起具有国际先进水准的金融技术平台,这为我们各项业务包括电子银行业务的发展打下了很好的基础。三是注重组织机构建设。2000年我们总行就成立了统一管理电子银行业务的电子银行部,同时在各分行建立了电子银行部门,形成了比较完备的专业组织机构体系。四是加强人力资源建设。将那些具有一定IT背景又懂银行经营管理的优秀人才优先充实到电子银行队伍当中,目前全行建立起了一支近千人的电子银行业务专家队伍。同时,我们舍得在员工培训上投入,通过培训提高员工素质。
记者:目前,工行电子银行业务分哪几大类?都能为企业和个人提供哪些服务?
姜建清:目前,工商银行的电子银行已经形成了包括网上银行、电话银行、手机银行、企业银行、自助银行五大系列、二十多类服务、200多项功能的比较完整的产品体系。业务涉及账户管理、转账支付、电子商务等众多领域,除现金存取外,实体网点可以做的业务电子银行几乎都可以做。
在企业网上银行方面,我们推出了许多国内首创的产品,如集团理财、网上收费站、B2B和B2C在线支付、银企互联、贵宾室、财务室、网上支付结算代理等。由于能为客户创造巨大的价值,这些产品受到了市场的热烈响应。以集团企业的财务管理为例,过去集团企业要想统一管理全国范围内所有分支机构账户、集中调度集团内外的资金,几乎不可能实现。企业网上银行“集团理财”使不可能成为可能,不仅节约了企业财务成本、提高了资金使用效率,还极大地提高了集团客户财务管理的水平。
对个人客户,工商银行于2003年12月18日推出了新一代个人网上银行“金融@家”,特别是在功能和安全上取得了重大突破。在功能上,“金融@家”是工商银行迄今开发的功能最强大的个人网上银行系统,具有12类、58项功能,除了账户管理、转账支付等常用功能外,还开发了能够满足各种缴费需要的在线缴费业务、24小时无限额任意转账、实时跨行支付、专业化的外汇、证券和保险信息及交易等独具特色的服务。
记者:那么,工商银行最近在电子银行服务项目上有什么新的考虑吗?
姜建清:工商银行一直秉承以创新推动电子银行业务持续发展。4年来,我们仅网上银行就先后投产了96个版本,每个版本都有新的产品和功能。今年下半年我们将为企业客户提供网上外汇汇款、国际信用证、通知与协定存款等新产品;还将推出新的手机银行,通过短信方式就可以查询账户、各种充值、购买彩票等;通过电话银行95588漫游服务,客户出差到国内任何一个城市,无须拨打长途电话,就可以获得工行电话银行的全部服务。
记者:谈论了这么多电子银行的话题,我体会到,工行电子银行业务种类齐全、功能完备。那么是否可以这样讲,电子银行可以取代实体银行了?
姜建清:电子银行与实体银行相比,区别比较明显:从业务处理方式看,实体银行主要是通过账户、密码、凭证、专用设备和机构网点等要素,由银行柜员为客户提供面对面服务,并完成各项业务操作;电子银行主要通过账户和密码两个要素,由客户通过银行提供的网络远距离自助办理业务。从服务时间看,实体银行提供的是8小时服务,电子银行提供的是24小时、全天候服务。
这种区别导致电子银行有以下特性:一是网站的银行,并区别于一般网站。一般的商业网站只具备信息服务功能,而银行网站是一个具有完善的结算支付功能、可开展商业性经营的基础平台。二是随“机”的银行。网上银行突破了传统银行的营业时间和空间的限制,使客户可以随时、随地通过随身携带的计算机享受银行服务。三是自助的银行。四是自我理财的银行。为客户提供包括外汇、证券、保险等在内的理财服务。五是网民的银行。计算机上网的工具特征决定了网上银行客户的主体层次为知识层客户、网民,网民的数量决定了客户的数量。六是信息发布的银行。除提供交易服务外,电子银行还可为客户提供大量的金融信息和评论。七是高技术服务的银行。八是低成本的银行。
但电子银行上述优势并不能说明其可以取代实体银行了。电子银行是以实体银行的信誉、信用和基本功能为平台,延伸出来的虚拟网点,两者相辅相成,合之可以达到“1+1>2”的效果,分之则可能两伤。
二、 开展电子银行业务的实际效果
记者:感谢姜行长的精辟论述和深入分析。作为消费者,我们很关心电子银行会给客户和社会发展带来怎样的好处?
姜建清:电子银行业务的开展,使银行服务突破了时间、空间和形式的限制,用户可以在任何时间、任何地点以任意的方式获得电子银行提供的服务,可以满足客户多样化的金融需求,能提供包括银行、证券、基金、保险、外汇和代理业务等个人理财服务。客户坐在家里,连通计算机网络,就能享受各类金融服务,无须过问银行设在什么地方、银行是否上班,从而提高了大众的生活品质。
对于企业客户而言,电子银行服务使客户可以加快资金的周转速度,提高资金使用效率和财务管理水平,从而促进了企业的发展和社会财富的增加。以企业网上银行为例,过去集团企业难以做到资金集中管理,以致存在“两头大”的现象,即有些分公司有大量存款沉淀在银行,另一些分公司资金不足需要银行提供大量贷款。通过电子银行,就可以有效监控并调配整个集团的资金,降低财务成本。再比如工商银行推出的网上现金管理服务,银行通过Internet为客户提供包括收款、付款、投资、融资、现金流转、信息报告等在内的综合服务,使企业只要通过联入因特网的计算机就能够实现高效、高附加值的现代企业财务管理。
在为客户提供优质服务的同时,电子银行的发展对于推动电子商务和社会信息化建设也发挥着不可或缺的作用。首先,电子银行为电子商务提供了支付渠道,担当了金融中枢的角色,很显然,如果没有电子银行的参与和推动,电子商务是不完整的;其次,银行业在发展电子银行的过程中,其人才、技术和信息优势得到了较好的发挥,从而有能力影响其他行业应用电子商务和信息化建设的进程和水平;最后,电子银行业务的普及,带动了全社会应用电脑、电话、手机等高科技,促进了全社会信息化水平的提高。
记者:开展电子银行业务会给银行带来什么利益呢?
姜建清:电子银行业务不仅能在为社会公众和企业客户提供了方便的、多样化、专门化的金融服务中直接获取收益,从银行发展的内趋性上看,它还可以提升银行整体的服务和竞争能力,促进银行从传统型向现代型转变,节约银行正常运营的各项成本。比如,在节约运营成本方面,电子银行至少体现在三个方面:首先电子银行是虚拟银行,具有替代实体网点的作用,从而节约了大量的固定资产投资成本;其二电子银行采用计算机自动化处理,与手工处理方式相比节约了大量人力、物力;三是电子银行处理业务的效率更高、更安全、更准确,每笔业务处理的平均成本更低。更重要的是,在降低成本的同时,电子银行有效提高了银行的核心竞争能力,成为争取优质客户的“敲门砖”。工商银行在市场竞争中成功地把先进的电子银行服务渠道与遍及全国的实体网点服务进行有机整合,形成独具优势的多渠道金融服务体系。去年工商银行电子银行的账面收入已达到了1.14亿元,是2002年的2.9倍,电子银行累计实现业务笔数16亿笔,相当于4103个实体营业网点的业务量,按每个网点需要30万元的运营成本计算,可减少成本支出12.3亿元。
记者:据我们所知,工商银行网站2002年就被英国《银行家》评为“全球最佳银行网站”,那次是发展中国家也是国内商业银行的网站首次在国际上获得这一殊荣。同年,工商银行又被美国《环球金融》杂志评为“中国最佳企业网上银行”。2003年,《环球金融》杂志再一次将年度中国的“最佳个人网上银行”奖授予了工行。而您本人也由于在电子金融方面的突出贡献,入选了2004年3月美国《机构投资者》杂志在全球范围内评选出的30位在电子金融方面有突出成就的企业家,是中国企业家的惟一入选者。您能否给我们介绍一下这些国际奖项的评选标准,工商银行又是如何脱颖而出的呢?
姜建清:国际上评判优秀网上银行的标准主要是看产品种类、网上客户占总客户数的比例、品牌、网站的设计水平等因素。国际金融界权威杂志《银行家》就曾盛赞中国工商银行网上银行不仅“网站浏览方便,提供了安全的网上银行和支付便利,提供了分行的联络信息,布局合理,用户能方便地找到所需要的信息”,而且“工商银行在电子商务方面遥遥领先于中国的其他银行,能够提供全方位的服务,是最先在网上提供B2B的银行,在中国率先提供实时转账和清算服务”。
三、 电子银行的技术支持与安全问题
记者:请问工商银行的电子银行在安全性方面都采取了哪些措施?效果怎么样?
姜建清:为保护客户的资金安全,工商银行在电子银行业务的发展中始终将安全性放在首位。为提高网上银行系统安全性,工商银行与美国微软公司强强合作,共同开发出了具有国际先进水平的个人网上银行安全系统,同时还采用了高度安全的智能芯片(USBKey)硬件加密,使工行“金融@家”个人网上银行具有了与企业网上银行同等安全级别的水平。
在吸收和采纳最先进的技术与国际著名的科技公司合作的同时,工商银行还培养了一支国内金融界强大的技术开发力量,能够开发出满足自己需要的核心业务系统,从而确保了网上银行系统的安全运行。可以这么说,在电子银行安全方面,我们是国际一流的。从实际效果上看,自工行电子银行投入市场开始,没有出现过一例纯粹由于电子银行安全上的原因而导致客户资金损失的情况。
四、 展望电子银行发展前景
记者:工行电子银行业务未来发展的重点是什么?有没有具体的发展目标?
姜建清:随着我国经济和社会信息化建设的不断推进,企业信息化、电子商务、电子政务发展很快,网民队伍与日俱增,为电子银行的进一步普及和快速发展提供了良好的外部环境和巨大的发展空间。为了加快电子银行业务的发展,下一步工商银行将着重从产品和渠道两方面下功夫。在产品方面,首先坚持创新,不断提供能真正为客户带来附加价值、设计人性化的优良产品,做到人无我有、人有我优,从而继续丰富电子银行产品系列,扩大电子银行业务范围。同时,我们将加强渠道整合,要让国内更多的企业、机构、个人、家庭等能够体验到工行先进的现代化金融服务手段,享受到工行增值服务,进一步将工商银行先进的电子银行服务渠道与遍及全国的网点服务进行有机整合,形成工行新的竞争优势。与此相适应,未来工商银行将在电子银行产品研究与开发方面投入更多的资源,在组织机构上则要逐步做到全员营销、专家服务,全方位推进电子银行业务的发展。
说到具体的业务发展目标,我们有这样一个预计:2004年我行电子银行交易额将达到35万亿元,其中网上银行年交易额将达到30万亿元;电子银行个人客户将达到2500万户,企业客户将超过90万户,并将在三年内发展2000万忠实的 “金融@家”个人网上银行客户,占领国内六成以上的市场份额。今后8-10年内,我行电子银行业务占比将超过50%,并将逐步成为营销产品、服务客户和处理“交易”型业务的主渠道。
记者:最后,能否请您展望一下电子银行的发展前景?
【电子银行风险评估】推荐阅读:
信用卡电子银行风险点08-18
农商银行电子银行业务09-07
电子银行方案07-23
银行电子商务发展瓶颈分析07-07
电子银行业务调研报告09-12
电子银行业务第一阶段工作总结06-20
电子商务背景下的银行信贷业务创新09-09
电子商务安全风险管理研究08-07
银行金融风险防范06-26
银行风险管理考试06-30