電子銀行業務風險管理問題分析報告
電子銀行和電子貨幣業務的不斷髮展有助於提高銀行業和支付系統的效率,也有助於國內外零售業務的成本下降。但電子貨幣和一些電子銀行業務的發展和運用尚處於早期,考慮到電子銀行和電子貨幣在將來的技術和市場發展中的不確定性,監管當局必須避免制定阻礙有益創新和實驗的政策。同時,巴塞爾委員會認為,電子銀行和電子貨幣業務為銀行帶來的收益與風險並存,因此風險與收益必須進行平衡。
一、電子銀行業務的風險分析
隨著電子銀行和電子貨幣業務的不斷髮展,銀行與其客戶之間的跨境業務就會增加。此類業務關係會給銀行和監管當局帶來了各種不同的問題和風險。根據對風險的識別和分析,管理辦法有3個主要步驟,即:評估風險,落實控制風險的措施和監控風險。 在目前這個階段,似乎操作風險、聲譽風險、和法律風險,可能是大多數電子銀行和電子貨幣業務中最重要的風險類別。
1、操作風險。
操作風險主要是指由於系統中存在不利於可靠性、穩定性和安全性要求的重大缺陷而導致的損失的可能性。它可能來自於電子銀行客戶的疏忽大意,也可能來自電子銀行安全系統和其產品設計缺陷與操作失誤。
2、聲譽風險。
聲譽風險是公眾對銀行產生重大負面的看法,從而引發資金來源或客戶的重大損失的風險。聲譽風險可能源自系統或產品沒有達到預期效果,並且在公眾中造成廣泛的負面影響。聲譽風險可能源自客戶,即客戶沒有掌握足夠的產品資訊和問題解決辦法,以致遇到問題而不知所措。聲譽風險也可能源自對一家銀行的有目標的攻擊。例如,一位*客侵入一家銀行的網路,並且故意散佈銀行或其產品的不準確的資訊。
3、法律風險。
法律風險源自違反或違背相關法律、法令、條例或約定的習慣做法,或對一筆交易各方的法律義務和權利模糊不清。從事電子銀行和電子貨幣業務的銀行,可能面臨來自客戶資訊披露和隱私保護方面的法律風險。隨著電子商務的不斷髮展,銀行希望開展電子身份認證業務,例如透過使用數字證書。身份認證可能使一家銀行面臨法律風險。如果銀行參加新的身份認證系統,但權利和義務在合同協議中沒有明確規定,那麼銀行就可能蒙受法律風險。
4、其它風險。
傳統的銀行風險,諸如信用風險、流動性風險、利率風險和市場風險,也可以產生於電子銀行和電子貨幣業務,但是它們的實際影響力對於銀行和監管當局來說,可能與操作、聲譽和法律風險大不相同。
二、建立可操作的風險防範體系
技術創新的日新月異,可能改變銀行在電子貨幣和電子銀行中所面臨的風險的性質和範圍。監管人員希望銀行制定一些管理辦法,來對付目前存在的風險,同時對新出現的風險也有相應對策。風險管理辦法應包括3個基本要素,即:評估風險,控制風險和監控風險,只有這樣才能達到銀行和監管當局心中預期的目標。
1、安全政策和措施。
安全是系統、應用和內部控制的統一,其作用是保證資料和操作過程的完整性、真實性和保密性。安全的保障取決於銀行制定和落實合適的安全政策和安全措施,也取決於銀行與外部各方的交流是否安全順暢。安全政策和措施,可以限制內部和外部的對電子銀行和電子貨幣系統攻擊的風險,也可以限制因安全違規而引發的聲譽風險。
安全措施是硬體、軟體工具和人員管理的統一,這樣才能保證系統和操作的安全。這些措施包括很多,例如:密碼技術、口令、防火牆、病毒控制和僱員遴選。密碼技術是將文字資料轉換成密碼以防非授權的閱讀。口令、口令串、個人身份識別數字、硬體標誌和生物測量學都是用來控制進入和識別使用者的技術。
防火牆是硬體和軟體的結合,用來遴選和限制外部進入與開放型網路(如因特網)相連線的內部系統。防火牆也可以把使用因特網技術的內部網路,分隔成幾個小片。防火牆技術,如設計合理且實施得當的話,能夠有效地控制進入、保證資料的保密性和完整性。由於該技術設計複雜且成本昂貴,防火牆的強度和效能必須與被保護資訊的敏感度相適應。一個好的設計應該包括:整個銀行的.安全要求,一目瞭然的操作步驟,職責的分解,選擇可靠之人來負責防火牆的設計和操作。
雖然防火牆遴選來自外部的訊號,但是並不一定能夠完全防止從因特網下載來的已被病毒感染的程式。因此,管理層應該制定防止和檢測的控制辦法,來減少病毒入侵和資料破壞的機會,特別是對遠端銀行業務更應如此。緩釋病毒感染風險的程式應該包括:網路控制、終端使用者政策、使用者培訓和病毒檢測軟體。
並非所有安全威脅來自外部。在可能的情況下,電子銀行和電子貨幣系統,應防止現職或已離職的僱員的非授權操作。與現有的銀行業務一樣,對新僱員、臨時僱員、顧問的背景進行審查、內部控制和職責分解,都是保證系統安全的重要預防措施。
對於電子貨幣,額外的安全措施可以幫助阻止攻擊和誤用(包括偽造和洗錢)。這些措施包括:與發行者或中央操作者保持熱線聯絡;監控和追蹤個人交易;維護中央資料庫裡的歷史記錄;在儲值卡或商業硬體中植入防止篡改的設施;對儲值卡設定最高限額和失效日期。
2、內部交流。
如果管理層和重要職員之間能夠進行很好交流的話,那麼操作、聲譽、法律和其它風險,就能夠得到有效管理和合理控制。同時,技術職員應該向管理高層彙報清楚:系統是如何設計的,該系統的長處以及不足所在。這樣的一些步驟可以減少:設計缺陷造成的操作風險(包括在同一銀行內不同系統之間互不相容);資料完整性問題;因系統沒有達到預期效果,而客戶對銀行不滿所造成的聲譽風險;以及信用和流動性風險。
3、評估和升級。
在產品和服務全面推廣之前進行評估,有助於控制操作和聲譽風險。對裝置和系統要進行測試,以便知道其功能是否正常,併產生預期的結果。試執行或試點有利於開發新的應用系統。如果定期檢查現行硬體和軟體的功能,則可以減少由於系統速度降低或中斷而造成的風險。
4、資訊披露和客戶教育
資訊披露和客戶教育,有利於銀行限制法律和聲譽風險。資訊披露和教育專案應該讓客戶知道:如何使用新產品和服務、對服務和產品所收取的費用、問題和錯誤如何解決,這樣一來,就利於銀行遵守客戶保護和隱私權方面的法律和條例。
5 應急計劃。
透過制定應急計劃,銀行可以限制因內部程式、服務、產品傳送中斷而引發的風險,計劃可以確保在提供電子銀行和電子貨幣服務中斷的情況下,銀行有計可施。計劃可以包括:資料恢復、可以替換的資料處理設施、緊急員工配備、以及客戶服務支援。對備用系統應該定期測試,以保證其連續有效。銀行應該確保:其應急操作與正常的生產操作一樣安全。
6、對系統的執行進行測試,有利於發現異常情況,以及避免重大系統問題、中斷和攻擊。
透過多種不按正常步驟的方法,主動入侵系統,可以集中測試安全機制的身份認證、隔離措施情況、設計和執行方面的缺陷所在。監視是一種監控方法,即透過電腦軟體或審計來跟蹤相關業務。與入侵測試相比,監視集中於監控日常運作、調查異常、以及透過檢測遵守安全政策情況來對安全的有效性作出動態判斷。
【電子銀行業務風險管理問題分析報告】相關文章: