电子银行安全风险(精选6篇)
篇1:电子银行安全风险
弱技术配强管理的电子银行安全效果,与强技术配弱管理的安全效果是一样令人担忧的。银行要通过强技术强管理的组合来保证电子银行的安全。
由于方便、快捷,电子银行越来越为银行和客户所青睐,其业务量在银行业务中的占比逐渐增加。与此同时,电子银行的安全问题也引起了越来越多的关注。近两年,网上银行发生的安全事件增加了人们对
电子银行安全性的担心,英国破获黑客盗划2.2亿英镑的新闻,让客户疑虑自己的财富是否会在眨眼间化为乌有,所以不少人选择了小规模、低频率使用网上银行的下策。而对于银行来说,安全事件给银行造成声誉和经济上的重大损失,而且今后还可能面对赔偿诉讼。如何保证电子银行的安全、有效防范风险成为各银行的头等大事。
电子银行的安全问题千头万绪,要分析清楚,还得从电子银行的系统架构和风险点说起(见图1)。
图1 电子银行技术实现的网络原理
电子银行风险点
操作系统的安全
操作系统安全的主要考虑有:(1)连续无故障运行天数。(2)超级用户指令保管与使用。操作系统的口令是系统安全的命门,一旦超级用户指令被人知晓,该知情者就可以远程控制计算机,进而修改数据库用户的密码,从而无障碍地进入数据库系统进行任何操作。(3)压力指标。操作系统提供的缓冲空间、进程数等是数据库、应用软件运行的基础参数,需要根据运行情况进行参数最优化配置。通常操作系统要与应用系统一起进行压力测试,以便测出业务量等极限值。针对极限值,把系统装备相应的预防、处理、应急机制,如自动或人为分流流量、报警等,避免系统瘫痪。
数据库的安全
数据库安全的主要考虑有:(1)操作系统登录时的用户名与口令如果泄密将危及整个数据库的安全,数据的修改将无法控制。(2)数据库的用户名和密码不要简单得让人猜出来,不少系统就使用用户名sa和口令sa,这样做不但使数据库安全受威胁,操作系统的安全也受到威胁。因为可以通过一种数据库远程控制机制控制远程操作系统。(3)数据库操作审计,将运行主机上所有数据库操作及数据变更写入日志。这个日志将迅速膨胀,需要专门的日志管理员进行外部备份和清理,否则系统硬盘过一段时间就会涨满。但是,中小银行可能会屏蔽数据库审计功能,以减少日志清理和管理的麻烦。这样,数据库安全失去了重要的、可跟踪恢复的操作监视手段。(4)数据同步、一致性问题。数据操作是以事件驱动的,事件没有完成,则数据库将自动恢复到事件前状态。软件编程要注意应用数据表之间的逻辑一致性,否则,数据挖掘就得浪费大量的时间清理无效数据。
核心系统的安全
第二代核心系统主要有信贷、柜台、账务、现金管理等,第三代核心业务系统模型则包括了客户关系管理、风险管理、市场营销分析等模块。第四代核心系统正在建设当中,思路更加清晰,更加强调数据共享和soa架构,更好地进行业务流程整合与信息管理整合。
核心系统安全的考虑包括:(1)源程序是否有漏洞、后门和错误代码。由于当代银行软件主要采用的是黑匣子测试,而不是白匣子测试,因而大量“死角”无法发现,隐藏的风险是较大的。2007年底,一客户在广州市某银行atm机上取现金1000元,而账户却只扣一元,客户因取现17.5万元被判重刑而引起争议。其实在这个案件中,银行过错在先,因为银行软件测试没有发现程序错误。(2)系统压力测试。如某银行的基金理财平台属于核心系统,由于股市行情的井喷,致使2007年8月的一天网上银行占用主机资源过多,主机down机几个小时。这种现象断断续续持续约一个月时间,银行其他业务也受到影响。事后,该银行制定了应对策略,让分行分流部门网上理财业务。分行业务数据通过电信、网通专网与总行相连,避免流量都挤在公网入口的局面。高峰期,专网的传输速度比公网快,速度有保证。另外,在分行增设业务流控制界面,一旦全国行情井喷,则由分行控制流量,避免由于理财产品等边缘业务导致整个核心系统瘫痪的恶性事件。(3)核心系统的管理员用户名和密码。(4)核心系统的易维护性、易扩展性。如果元数据标准等标准化建设达到了一定的水平,则外围系统容易扩展核心系统的功能,共享核心系统的数据。同时,核心系统如果获得越多的外围子系统的数据,则越可能做数据挖掘等建模工作,而风险管理、管理决策、客户分析等都离不开数据挖掘和商务智能。(5)版本升级、新产品上线、定期系统在线清理、操作运行主机等操作行为的风险控制。在核心系统down机的严重故障中,部分原因恰是系统切换、系统升级或新产品上线欠周全造成的。操作运行主机要有一定的程序要求,要求双人共同操作,且不可进行试验性操作。试验性操作要在备份机器上进行,确认无误后才可在运行主机上
操作。另外,主机长年累月地运行,不可避免地会出现内存、进程等方面的问题,需要人为适当干预。随着硬件功能越来越强大,以及soa设计理念和设计能力的普及,核心系统的能力范围会逐渐扩大,安全性也越来越有保证。(6)数据备份与系统备份。大银行都有南北两个异地数据中心,每个数据中心有本地同步备份,共有四套系统。目前,监管部门强调在数据中心灾
备就属于核心系统安全的重要范畴。
路由器、入侵检测、防火墙的安全
路由器提供了网络连接的路径。入侵检测可以对非法访问内部网络的数据包进行检测并预警。防火墙是通过对网络层传输的数据包中的目标地址进行检测,控制数据包的流向,从而避免对核心系统的非正常访问。如果路由器的端口密码被人攻破,则黑客可以通过直接添加路由,使得外来的访问变得合法。这时,获得的内网访问能力是十分危险的。
区分外网与内网是重要的安全方法。一般对外网的防护要严格些,而对内网的防护则简单得多。某证券公司严禁客户在内网上炒股,就是担心客户反复试验出总部主机的密码。因为内网没有设置相应的安全防护措施。
网上银行包括个人网银和企业网银。由于个人网上银行功能日益丰富,如汇款、基金买卖、外汇买卖、黄金买卖、银证通、代缴费、网上商家等,数量庞大的客户群的集中操作给核心系统造成了巨大压力。
应用软件服务器
应用软件服务器处在客户端和核心系统之间,解决渠道的多变与核心系统稳定之间的关系。花旗银行的产品达6000个左右,这种方式明显保持了核心系统的稳定。我国银行核心系统每五六年重新设计一次,达到核心系统稳定性与灵活性的统一,每过五六年银行的硬件就要更新一次。
应用服务器通过数据接口与核心系统相连,也需要有相应审计措施跟踪人为操作。否则,由于超级权限造成的对客户数据的直接、非法修改,会危及系统的安全。黑客也可以攻击应用服务系统,从而修改重要客户资料。内网用户也可以攻破应用服务器的关键密码,以获得超级权限。
应用服务器一般采用双备份、双线路方式,一旦由于硬件损坏等原因造成系统故障,可以迅速切换到正常系统。
网络传输的安全
现有网络安全技术不少是用来解决网络传输数据安全问题的,如数据加密、数字认证、安全标准。数据加密主要有对称加密算法des和非对称加密算法rsa。从理论上说,有些现行算法已经被数学家攻破,能够在现有条件下解密,所以随着计算机芯片速度的不断提升,有些算法需要淘汰。
数字认证技术,包括数字签名、数字证书、生物特征识别等,正面很难攻破。但是每一种技术都存在软肋,通常这些认证证书的保管等是软肋。
安全标准有ssl、set。这些标准保证了交易的不可否认性,以及网络传输数据的不可修改性。
客户端的安全
终端用户的安全是最脆弱的,攻破的成本也最低。主要问题有:
数字证书文件被病毒窃走。这种软证书比硬证书的安全性低,存在硬盘和外设中,病毒可以将证书文件通过网络传给主人。数字证书的弱点在于证书的保管,如硬件证书被挪用,软证书被复制。
网银密码被木马程序窃走。网银大盗病毒可以窃取客户在键盘上输入的账号和密码,并通过邮件发给病毒的主人。英国最近破获的金额达2.2亿英镑的国际大案,就是黑客知道客户的账号和密码后,转出客户资金。对付这类病毒的方法除杀毒、系统打补丁外,可以采用软键盘,即在屏幕上出现键盘界面,用鼠标点击屏幕上的相应键符来代替手工键盘输入。用这种方法,病毒无法捕捉键盘输入信息。
信用卡账户和密码被窃取。现在信用卡采用的是磁条技术,极易仿造。由于信用卡都是标准化的,其磁条信息的格式是已知的。如果知道了卡号,就可以使用专用的写卡器,写入卡号,伪造出一张信用卡。知道了密码,该信用卡可以在取款机上取款。要想从根本上解决这个问题,只有采用更新的emv2000技术。这是一种多操作系统的ic卡技术,携带不可复制的加密区,保证ic卡的不可复制。但是,从目前的磁条信用卡标准向emv2000智能卡标准过渡,成本很高。尽管我国监管机构积极推进信用卡向emv2000标准迁移,但实际进展不大。
pos系统。如果设法通过客户输入密码的操作来获得客户的密码,则客户资金就危险了。
客户对账号、密码、证书的管理是网银、手机银行、atm机、pos系统等薄弱之处,此外还有钓鱼网站法,如骗子网站,其页面通常做得与实际网站的页面几乎完全相同,以欺骗信用卡客户输入用户和密码。他们的主要作案手法,是篡改公网上指向实际银行的链接地址,指向钓鱼网站地址;或者在bbs论坛等网页空间设置钓饵,文字上看是某某银行,实际链接地址却是钓鱼网站地址。由于钓鱼网站域名与真实网址域名相似,没有警惕性的人是注意不到这些细微差别的。客户一旦受骗输入账户和密码,账号和密码就被窃取了。
客户端的安全方面,银行有义务教育、协助客户保持账号、密码、证书的安全。建议建立反钓鱼网站法律、组织、技术措施,动态跟踪钓鱼网站。客户使用简单但可靠的安全方法,如输入网址、使用动态口令卡、取款短信提醒服务、支付的计算机绑定等。对于中小银行的企业银行业务来说,生物指纹识别是一种可靠的和使用简单的方法。但这种方法对大银行不适用,因为目前指纹识别的技术还不很成熟,采样多,识别时间长。对于大银行来说,几亿客户量的指纹读写是系统繁重的负担。
电子银行安全不止包括技术安全,还包括信息安全。敏感数据被删除、窃取、篡改、非法访问,用户身份被冒充,交易被抵赖,机密信息被公开等等,都是信息安全。我国还缺少对公开客户信息方面的法律惩戒措施,如果与国际惯例接轨,则要颁布隐私保护法等相应法律。
风险防范对策
银行转变观念,主动承担起电子银行各个环节的安全义务。以前我国银行在客户资金被盗问题上采取了拒绝赔偿的立场,使银行声誉到影响。所以,银行不能采取驼鸟政策,应该主动采取措施保证电子银行的安全,而不能将责任全部推给终端客户。
技术和管理并重。弱技术配强管理的电子银行安全效果,与强技术配弱管理的安全效果是一样的。银行要通过强技术强管理的组合来保证电子银行的安全。
所有小型机、大型机的登录密码,数据库登录密码都要复杂得让人记不住。可以采用双人或多人复合密码的形式,各人记一段,分段保密。但是也要避免密码保管过于复杂,以免导致密码遗失。要加强对密码保管方式的研究,可以适用保密级别的方法。当然,再怎么保密,还得基于对人的信任。如果对所有人都不信任,那么密码保管成本将相当高,使用起来也相当麻烦。
运行主机上的所有操作都要有可追踪的记录。无论是操作系统操作,还是数据库操作,都要由系统自动记载。对于应用软件的操作,在数据表中要有相应的操作记录,供操作风险审计员使用。一旦发生重大问题,可以依靠这些记录来确定责任人和责任原因。否则,责任无法定位的系统从根本上就不是安全的系统,是十分可怕的。
运行机双人操作、版本升级管理、备份等的管理制度。运行机双人操作,避免操作人因为情绪激动和侥幸原因而人为导致重大操作失误。各银行在版本升级管理方面是交了学费才总结出一套操作规程经验的。备份有灾备、备份数据中心、系统热备份等不同级别的方法和措施。
不断就最新的安全技术进行实验使用,跟踪国际电子银行安全技术,参与国际交流。灾备中心平时就是实验中心,可以就最新的安全技术进行实验性使用。银行对于软硬件的使用,偏好于稳定性好的技术系统,而不是技术最新的不稳定技术。银行通常要等新技术通过其他实际部门一段时间有效使用后,才大规模地使用。新技术有入侵检测技术、防火墙技术、加密技术、反病毒技术、数字认证技术、安全标准等等,银行要加强对这些技术的弱点的研究和把握,以便分析电子银行安全所处的态势,并研究实际中发生的安全问题的原因,提出对策。矛与盾总是此消彼长,任何一门技术总有破解的新方法。同样,新技术被破解之后,更新的技术又会出现,而且风险防范的技术也相应演化。对于安全态势和技术的研究是目前我国银行的弱点,需要建立相应的合作机制。银行要独立、自主地关注电子银行的安全问题,而不能完全依赖第三方安全公司。银行要在电子银行的安全领域有所作为,有自主知识产权的产品和理念。
设置客户端电子银行安全保障岗位。银行总行应有相应的岗位就目前客户端的电子银行的安全问题进行调查、分析,提出对策,并反馈、主导建立电子银行客户端安全保障机制。安全既是技术又是管理,可以通过强化技术来改善安全管理的预见性、可控性,在保证整体安全效果的情况下,降低安全管理的难度和风险。
备份和应急机制。在市场成熟技术条件下,投入越大,安全水平越高。但是,投入水平与安全水平并不成线性关系,而是非线性关系。当安全要求达到阀值时,市场上没有相应的安全产品,此时需要进行研发,或者为了把安全水平提高一点,需要几倍的投入。在一套系统的运行故障率是a的情况下,两套系统热备份运行时的故障概率是a2。工行要保障系统运行的正常率是99.99%,从概率学来说,若两套系统同行运行,自动切换,一套系统的故障率就能容忍达到1%的较高故障水平。
正是由于高安全的高成本,银行应该有计划地加大对安全的研究性投入,包括安全产品、技术、标准的投入。从机会成本上说,这是划算的。电子银行应用的首要问题就是安全问题,银行有义务在此领域保持领先地位。
绝对的安全是不存在的。所以,要建立应急机制。应急机制有技术应急和管理应急。笔者认为,没有必要建立千年虫那种级别的应急机制,成本太高,而可以建立中等级别的应急机制,比如说切换系统演练。对于异地备份系统来说,由于数据不同步,系统切换就面临着无从考证的数据包丢失问题。这将使银行面临复杂的举证责任。如果是客户取钱没有入账,客户可能不会主动找银行退钱。但若是客户的系统入账没有收到,而出账已经划账的情形,客户必然要求银行核实并纠正错误。银行可以考察账户的资金划出流向,一般来说是可以追踪的,通过横向不同账户和纵向不同时间的对账,可以发现账户的真实改变情形。一套运行系统,银行基本上需要四套系统配套,本地备份一套,异地备份一套和异地的本地备份一套。这就是电子银行安全的备份成本。
在银证通、银期通等系统中,常会出现单边账情况,如2007年第三方存管业务的高峰期时,银行系统无法满足证券交易系统的大量交易和实时性要求,反复出现单边账情形,双方日终对账要对到午夜十二点,有时甚至到凌晨三四点。
图2 电子银行安全投入与安全水平的关系
制定标准与法律,加强监管。借鉴国外标准,修改完善现有电子银行安全标准,包括安全建设、运行管理、安全组织设置等。企业的软件开发、安全达标,以及监管机构的安全监管都依据此标准,以此提高电子金融的安全水平。我们要做以下方面的工作:完善信息安全的行业规范与法规;系统安全评估;信息系统战略规划;系统和网络安全;业务持续性经营计划;外包业务监控。不止安全标准,基础标准、技术标准、管理标准、应用标准等都会对电子银行的安全产生影响。颁布《电子银行安全法》,以便对电子银行安全的义务与权利认定、犯罪量刑等做出框架性的规定。业已生效的《电子合同法》、《电子签名法》为电子银行的发展奠定了基础。加大对电子银行犯罪的打击力度,保护消费者的权益,将是电子银行再一次爆发式增长的重要推动力。短期内,借鉴《萨班斯法案》加强对上市银行的信息化监管。
利用itil进行信息技术基础设施建设。作为银行信息化的参考模型,可以指导包括网络建设在内的银行基础技术设施升级改造。软硬件方面的基础性投入如存贮系统、入侵检测系统、网络管理监控系统等,是必要的,而多条专网则保证了稳定的带宽。这些投入通常是很大的。对于那些中小银行,可以探索外包方式。
加强对电子银行开发、维护、呼叫中心、银行业务、atm运维等外包风险的管理,制定相应的外包风险控制程序,并加强对金融服务提供商的监管。对于银行来说,要制定外包的边界,核心数据、关键系统等不能外包,银行必须保持对电子金融的控制力。这方面要加强行业经验交流。不同银行在外包管理中确实积累了一些经验,如某银行软件开发坚持银行开发人员与企业开发人员共同组成开发小组的模式,你中有我,我中有你,制约金融it公司对电子金融项目的实际控制能力。由于一部分技术掌握在银行员工手中,金融it公司想把开发队伍全部拉走,从而实现对产品的控制就变得不太现实了。经验表明,如果电子金融产品由金融it公司全部负责设计开发,则银行必然处于被动地位。对外包的管理包括法律层面、技术层面和体制层面。银行要与外包公司签定保密协议,一旦发生泄密,金融it公司要承担法律后果。
篇2:电子银行安全风险
一、电子银行概述
(一)电子银行的发展
电子银行是伴随计算机与互联网技术发展,由金融创新带来的产物,是以互联网为渠道,为客户提供多种金融服务的银行,其不仅仅是银行业务的电子化,也包括对银行业务活动和流程的改造,使信息技术发挥其在降低经营成本,提高管理效率和质量等方面的作用,当前的电子银行的业务主要包括利用计算机和互联网开展的网上银行业务,利用电话等声讯设备和电信网络开展的电话银行业务,利用移动电话和无线网络开展的手机银行业务,以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的业务,如自助终端、ATM、POS等。电子银行业的发展一般会经历了三个阶段。在实体银行阶段,银行有经营业务的营业场所和人员,办理业务是面对面的,业务处理主要以手工为主,兼以部分电子化;在电子银行阶段,经营实体仍然存在,但电子化应用程度大大提高,银行业务辅以电话银行、无人自助银行等形式,自动柜员机、自动存款机、自动发卡机、夜间金库等电子金融产品的出现,极大地方便了银行客户;虚拟银行阶段是银行发展的较高层次,在这个阶段中,银行经营实体将不复存在,业务交易主要是通过计算机网络的运行来实现。网上银行是该阶段发展过程中的典型代表。
(二)电子银行的特点
网上银行又被称为“3A银行”,因为它不受时间、空间限制,能够在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyhow)为客户提供金融服务,随着经济与社会的不断进步,居民对金融服务的需求呈现多样化的趋势。如何满足居民日益多样化的金融需求是各大金融机构追求的目标,电子银行的发展呈现以下特点:
1、安全可靠:以我行为例,我行电子银行业务在网络安全上采用了防黑客技术,设置了二代交易按键Ukey,为用户设置了Ukey密码、登陆密码、交易密码、登陆名称等多种安全措施,客户在使用网上银行办理业务时能够看得见的防范措施有客户证书及其密码。这种情况下,客户基本可以解除资金是否安全的忧虑。
2、方便实用:客户可以随时查询帐户的余额、当日明细和历史明细等,查看某笔款项是否到帐,不但可以根据情况下载有关数据,还可打印出电子回单。即使是非银行工作日或者是非银行工作时间也可以进行帐务对帐和转帐结算,真正实现了7×24小时的银行服务。客户不必每笔业务都要跑到银行来办理,可以随时随地通过电子银行提供的产品和方式,自己来进行交易、查询和控制。
3、结算快捷:无论是收款还是付款,无论是本地还是全国异地,客户都可以在瞬间完成结算工作,对方如果在其他银行开户,客户在网上发出付款指令后,银行将由专人为客户办理,结算方便快捷。
4、强化管理:对于大客户能够通过企业网上银行监控分支机构的帐户,进行资金的双向调拨或横向调拨,提高了资金的使用效率,网上银行是银行业务的优势项目。
5、降低费用:客户开通电子银行业务以后,不必每笔结算业务都要跑银行,可以节省大量的人工、车辆等费用,还节省了支票等票据的费用;
网上银行自主理财的功能也将给客户提供了很好的资金调度手段,减少一些不必要的财务损耗,客户的财务费用也相应大大降低。
6、提高形象:客户开通电子银行还可以在自己的客户群体当中树立现代的、先进的形象,在e时代一展身手,为自身业务的开拓发展提供强有力的帮助。
(三)我国电子银行发展现状
互联网的迅速普及并持续高速发展,为我国网络银行的快速发展提供了坚实的基础。2001年,我国网上银行用户只有200多万户,2005年已发展到3460万户。2006年上半年已获准开放的外国银行开设网上银行的有48家,农村信用社约有5家也开设了网上银行,2007年上半年的网上银行客户数达6900万左右,网银交易额约140多万亿。1996年2月,中国银行在互联网上建立和发布了自己的主页,成为我国第一家在互联网上发布信息的银行。此后工商银行、建设银行、交通银行、光大银行以及农业银行等也陆续推出网上银行业务,我行也在2010年6月推出了网上银行业务。
在我国,根据CNNIC历年调查数据显示,截至2007年底,超过85%的网民选择网上支付作为付款方式,网上支付已经成为最为普遍和最受欢迎的网上购物付款方式。虽然目前我国网上银行业务在整个银行业务交易金额中的比例仅为5%-7%,还主要停留在电子银行的发展过程中,网上银行的业务品种还十分匮乏,但是部分商业银行已经不断向虚拟银行方向拓展。据界银行预测,在未来几年,中国网上银行业务量占银行业务量比重将达20%左右。可见,我国网上银行产品将从投入期进入发展期,市场发展潜力巨大,未来商业银行的实力则很有可能体现在金融创新和投资决策上。
二、电子银行风险分析
(一)电子银行风险
银行在维持其日常运转并谋求发展的过程中,会面临各种各样的风险,根据巴塞尔银行监管委员会《有效银行监管的核心原则》,将商业银行风险概括为信用风险,国家和转移风险,市场风险,利率风险,流动性风险,操作风险,法律风险,信誉风险八种,电子银行是金融创新的产物,与传统的商业银行一样,在经营过程中,电子银行也具有信用风险,流动性风险,市场风险和利率风险,国家和转移风险,在这个基础上,巴塞尔银行监管委员会《电子银行和电子货币业务业务的风险管理》认为:“操作风险,信誉风险和法律风险是大多数电子银行和电子货币业务最重要的风险”。
一方面,在互联网技术环境下,电子银行打破了传统银行业的经营模式和经营理念,带来了前所未有的机遇与挑战,作为电子银行业务最典型的风险类型,实践证明,操作风险比信用风险和市场风险更为广泛地分布于电子银行经营管理的方方面面,并造成越来越多的损失,随着我国电子银行业务的发展,如何加强操作风险管理,提高风险控制能力,成为我国金融业发展过程中的一项重要内容。
另一方面,电子银行的信誉风险也受到前所未有的挑战,由于当前信息传播速度快,不同电子银行业务系统之间的关联程度增强,因为,当某一个系统出现问题有可能会影响其他系统的运行,甚至影响整个系统,使银行的声誉受到负面的影响,此外,某个电子银行的风险不仅会影响自身银行的信誉,甚至产生多股诺米牌效应,对银行业的信誉造成巨大的影响。
最后,随着电子银行技术的不断发展和操作的规范化,信誉风险的管理,相关的法律法规也需及时出台,对电子银行业务相关方面进行规范,法律法规的滞后就会导致电子银行业务纠纷没有法律依据,影响客户对银行电子银行业务的信任程度,进而会使电子银行业的发展受到冲击。
综上所述,下文将分别从操作风险,法律风险,信誉风险重点介绍电子银行的风险。
(二)操作风险
随着电子银行业务的发展,操作风险的内容页不断扩大,它不仅存在电子银行日常运营使用的设备和技术中,也体现在银行的内部管理,以及对客户端的操作风险和相关知识的普及和传递。根据我行电子银行部的工作经验和《电子银行和电子货币业务的风险管理》,我们列举了电子银行操作风险的八种来源:
1、分别是未经授权的访问
2、雇员欺诈、客户和雇员联合欺诈
3、伪造电子货币
4、服务提供商风险
5、系统退化
6、职员及管理技能落后
7、客户安全性经验不足
8、客户交易抵赖等
总的来说,银行在这方面承担着重要和不可推卸的责任,银行应通过不断完善电子银行系统体系,及时调整安全基线,有效地运维管理和规范内部管理流程等工作,更有效地识别和管理操作风险。
(三)信誉风险
信誉风险主要指公众对电子银行业产生严重不利看法而导致银行无形资产遭受损失的可能性,信誉风险通常因操作风险和法律风险控制不当产生,当前的金融全球化,信息化使得银行的市场竞争更加激烈,银行要树立良好的信誉形象需要付出极大的努力,但是信誉的毁损可能发生在一瞬间,互联网的开放性和传递信息的高效率使得一旦电子银行出现安全事故,技术不完善或操作不当等问题,就会通过互联网等媒介广泛迅速传播,再加上某些竞争对手以讹传讹不断夸大问题的严重性,从而导致电子银行的信誉瞬间崩塌,使电子银行服务业务的发展会受到连续,长久的消极影响,对银行业务的影响非常大。
(四)法律风险 法律风险是指在电子银行业务经营活动中,因违反法律法规而遭受处罚或因交易各方的法律权利和义务未能有效确立和执行导致发生法律纠纷,而给银行造成直接或间接损失的可能性。同传统银行相比,电子银行有两个十分突出的特性:一是它传递信息采用的是电子化方式,二是它模糊了国与国之间的自然疆界,其业务延伸可达世界的每个角落,电子银行的这两个特性向传统,基于自然疆界和传统书面制约基础上的法律法规提出了挑战。
三、针对上述三类主要的电子银行风险,应该从以下几个方面采取措施减少风险
(一)防范电子银行操作风险的对策
由于操作风险广泛存在于电子银行日常运营使用的设备和技术中,也体现在银行的内部管理,以及对客户端的操作风险和相关知识的普及和传递中。所以对于操作风险的防范应该主要从两个方面着手。
1.从银行自身环节开始,进一步规范电子银行业务处理流程和管理,切实加强员工的风险防范意识教育,加大业务检查监督工作力度,扎实有效防范电子银行操作。具体的应对措施,首先要对银行员工加强风险教育,提高对风险防范重要性的认识,充分利用多种学习形式,做好对网点柜员、客户经理、大堂经理和网点负责人的制度传达,保证每个操作人员、管理人员熟知操作要点和风控重点,切实将电子银行风险防范措施落到实处,另一方面,要规范电子银行业务流程,例如,要严格按照主管部门关于电子银行注册和ukey发放的制度规定,突出重点,围绕企业和个人银行客户注册变更、ukey盾与发放、落地指令手工记账处理、参数管理、反洗钱公转私控制等电子银行业务执行制度执行情况,切实加强电子银行注册和ukey发放环节风险管理,有效防范电子银行操作风险,此外,也要加大检查力度,加强对电子银行业务的规范检查,明确人员工作职责,制定详细的电子银行业务检查实施方案,积极做好电子银行业务规章制度检查,加大整改工作力度,认真查纠在执行规章制度中存在的漏洞和薄弱环节,明确责任人,杜绝电子银行风险事故的发生,最后,也是最重要的环节是银行电子银行信息技术系统的维护,操作风险的解决需要依靠技术的进步和设备的不断更新来做坚强的后盾。
2.是针对客户环节,客户由于使用网上银行可以不受时间和空间的限制,只要有电脑和网络服务,可以在任何时间、任何地点,享受银行的服务,提高了银行的办事效率,同时也使客户避免了去银行办理业务排队的麻烦,大大节约了客户的时间和精力。但是在电子银行的操作过程中,对于客户来说,也会面临着一些风险,最主要的风险在于客户信息的被盗。客户信息被盗主要有以下几种情况,对于每一种情况客户都应有相应的应对措施。
(1)、假银行网站 这些网站往往会用一个和真实银行很相似的网址来迷惑客户,比如假中国工商银行的网址:,这个邮箱地址就是假冒地址。
(3)、假冒银行发送短信,假冒银行发送短信基本都是通过短信的方式通知客户,使客户通过短信提示的网站进行密码修改,而短信提示的网址则是钓鱼网址,针对这种情况,客户首先要注意发送短信的号码。另外,银行的短信一般内容都是一些问候、产品信息等,除了余额变动提醒之类的业务,短信内容根本不可能涉及客户的账户信息。
(二)防范电子银行信誉风险的对策 针对电子银行信誉风险,应该从宏观、微观等方面入手防范信誉风险事件
1.虽然我国目前是全球第二大经济体,市场经济取得了快速地发展,但是社会信誉体系发育相对滞后,银行交易活动中失信现象非常严重。从宏观方面入手来防范信誉风险,首先要建立和完善社会信誉体系,而完善的社会信誉体系是减少电子银行风险的制度保障之一,没有完善的社会信誉体系,人们就会增加对不确定性的预期,电子银行业务的虚拟性使这种不确定性得到强化,不利于电子银行业务的长远发展,而完善的社会信用体系则会减少不良事件的发生。
2.从微观方面出发,信誉风险影响着银行建立是否新的客户关系或业务渠道,也可能导致银行面临诉讼、财产损失及客户流失的不利局面,例如,当银行未能稳定地提供安全,准确与及时的网上银行服务和产品或者提供的产品与服务不如公众预期的那样好时,银行信誉受到质疑,导致客户资源的流失,所以没有信誉的基础,想要高效低开展电子银行业务是不现实的,针对银行信誉的问题,可以通过两个途径来解决:
一是加强电子业务人员与技术人员的信息沟通,因为业务人员一般比较熟悉客户在使用电子银行渠道时出现的安全问题,但是由于不懂技术而无法直接通过开发产品消除安全隐患,而技术人员则精于研发,却不了解客户,所以两者之间的沟通就显得非常重要,适当地沟通能够充分实现两类人员的信息共享,减少银行信誉风险发生的风险,二是建立第三方信誉服务认证机构,第三方信誉评级机构是以第三方身份出现的,其可以站在一个客观的立场,极力维护评级的公正性,在当前我国信誉环境恶化的今天,必须强调信誉评级机构的规范发展,通过向银行提供所需的信誉报告帮助银行防范信誉风险,另一方面,通过中介机构的信誉信息的传递机制,促进有效的社会惩罚机制,使失信银行的失信成本远远高于其失信所获得的“收益”,以此来弥补法律惩罚的不足,确保社会信誉功能的发挥,促进整个信誉秩序的根本好转。
(三)防范电子银行法律风险的对策
1.加强内部管理,完善规章制度和业务协议,电子银行业务能否健康有序地发展,能否避免和减少法律纠纷,在一定程度上取决于银行内部管理工作是否到位。在实际操作中,对于银行和客户之间的权利义务关系通过业务协议规范,尽可能做到详尽和具体化;对于银行和网络服务商之间的协议要明确约定;对于银行与软件供应商之间的协议要明确约定。同时拟订的协议必须兼顾当事人各方的利益,体现公平、合理、合法。
2.加强对电子银行犯罪的打击力度,目前,利用互联网犯罪的案件不断增多,作案方式也更加隐蔽和复杂,电子银行因其交易对象金融货币的特殊性,成为网络犯罪分子的重点攻击目标。随着社会信息化程度的不断提高,计算机犯罪日益渗透,危害的程度也越来越高,而刑法对计算机犯罪的规定较为粗疏、原则,量刑也较轻,对网上银行犯罪的威慑力较弱。因此,目前迫切需要顺应网上银行业务的开展,针对新的网上银行犯罪问题进一步制定出更加具体细化、操作强的法律规定,加大对电子银行犯罪的打击力度,以确保网上银行业务的稳健发展。
3.需要针对电子银行业务出现的问题,借鉴先进国家的经验,建立相关的法律,以规范电子银行业务参与者的行为,电子银行的行为规范如制定妥善的电子银行章程,跨国电子银行交易的法律问题等,其次,对电子业务的安全保密也要有法律保障:a.保障客户安全b.电子银行账户管理c.资金转移的控制措施d,监察异常交易活动e.预防虚假电子邮件或网站的监控措施f.客户隐私保护机制。我国已经人世十年,电子银行面临更加严峻的挑战,我国应该制定一套较为完整的国际标准,以便使我国电子银行在风险防范上与国际接轨,保障我国电子银行业务的顺利进行。
四、针对以上的风险,我行电子银行部也推出了多种举措排除风险,防患于未然,我行电子银行部推出了以下多种手段防范风险。
(一)、在用户使用安全性上,电子银行部做了如下防控:
1、2、网址直接印刷在Ukey上,防范钓鱼网站的威胁。
企业用户网银登陆页面直接弹出,加强防范了钓鱼网站的威胁风险。
3、在我行官方网站网站上推出风险提示,教育广大用户在使用电子银行业务中需要注意的风险。
4、用户交易时,必须手动按动Ukey的确认键才能转账成功,有效的防止了黑客挟制用户Ukey的风险。
5、推出短信中心业务,在用户账务发生改变的时候,发送短信到用户的手机上进行提醒。
6、推出电话银行业务,使用户在账户发生意外的情况下,能很方便快捷的进行自助挂失银行卡,电话银行具有查询用户对账单的功能。
(二)、在业务操作层面,我行进行了如下制度约束,防控网银风险。
1、办理原则:
个人网银需本人亲自办理,严禁代办。
企业网银由法人本人办理,或持法人授权委托书办理。
2、证件审查制度:
个人用户开户需要提供银行卡及输入密码、用户本人身份证及复印件,办理需进行身份证联网核查。企业需提供组织机构代码证、工商营业执照、税务登记证、法人身份证、代理人身份证、授权委托书、企业预留印鉴等。
3、网银客户开户授权制:无论是为个人还是企业开户,均需主管柜员进行授权操作。
4、Ukey出售时密码校验、授权、签字制:Ukey按重要空白凭证管理,出售Ukey给个人用户的时候,需要主管柜员授权,并校验用户的账号密码,柜员、用户领用时均需签字确认。
5、对账制度:进行月、季、年对账,要求支行定时上报对账单,每季度至少上缴一次。
6、回访制度:对于企业用户,电子银行部工作人员亲自上门回访、电话回访,等方式进行回访,既能掌握用户的使用情况,又能防范风险。
7、资金监控制度:对于贷款户进行资金监控,可自由设定需要监控的资金限额,超过限额需要支行柜员进行落地处理。对于个人户则设定个人日累计转账100万限额制度。对于企业户则统一设定为公转私日累计20万限额,账户转账日累计300万限额,超过限额,则需按我行资金管理规定进行审批。
8、登记薄制度:我部建立了多种登记簿《个人网银开销户登记簿》、《企业网银开销户登记簿》、《个人网银变更登记簿》、《企业网银变更登记簿》、《网宝(UK)出售登记簿》
篇3:电子银行安全风险
电子银行, 是指商业银行利用internet技术, 通过信息网络向客户提供账户查询、对账、跨行转账、网上证券和投资理财等服务, 使用户通过电脑或手机就可以便捷地完成基本的业务和个人投资行为, 它包括网上银行、手机银行、电话银行等多个品种。近年来, 随着信息技术的飞速发展, 网购和网上支付变得越发普遍, 这为国有商业银行电子银行带来了巨大的发展空间, 2014年中国工商银行的网银交易额超过400亿元, 同比增长20%, 再创历史新高。巨大的机遇也伴随着一系列的风险, 相比客户在实体营业厅办理业务, 电子银行存在着诸多风险, 如何认识风险、防范风险, 企业的内部审计人员如何对风险点进行审计, 已成为迫切需要解决的难题。
二、商业银行电子银行业务风险
(一) 系统风险与管理风险
1.电子银行系统和与之匹配的整个管理制度是否健全、是否有漏洞需要首先考虑, 一个不完整的系统极易受到黑客攻击、一个不健全的制度极易出现内部管理问题。由于信息技术发展较快, 系统、设备等固定资产更新换代周期极短, 操作系统、服务器更是需要及时更新, 修复漏洞, 并采取病毒防护措施, 否则极易出现系统缺陷和网络安全隐患, 银行人员可能因安全意识不够而无法对系统软件的安全性给予足够的重视。
2.我国法律规定, 由于网银电子交易数据都储存在银行服务器中, 所以一旦发生数据纠纷, 举证责任一般在银行方。这对银行的数据存储安全性和管理能力提出了更高的要求。而我国国有银行内部普遍对网银系统的风险认识度不高, 机构设置中缺少网银系统的风险管理职能与岗位。许多银行并没有一套有效管理网银日常业务流程的制度, 无法准确的识别、检测和纠正日常管理过程中出现的各种事故和突发状况, 如业务员的操作失误等。电子银行系统的日常管理与银行其他部门的管理截然不同, 网银作业流程管理如果出现缺陷就是制度层面的漏洞, 这将会成为内部欺诈的温床。
(二) 欺诈风险
欺诈风险分为两大类:内部欺诈与外部欺诈。其中, 内部欺诈主要是由于网银管理系统和管理制度不健全造成的, 如银行内部工作人员与银行外部的不法分子勾结, 利用内部漏洞牟利;银行内部的职责分离控制不到位, 处于不相容的职位的员工串通使内部控制失效。外部欺诈主要包括:利用短信等手段发布虚假信息诱骗客户上当;假冒银行的网址网站骗取客户的账户密码等, 例如曾有犯罪分子用“1”来代替工商银行网址中的“i”, 以此来冒充其官方网站行骗。现今互联网上欺诈信息泛滥, 具有较强的迷惑性和诱导性, 虽然银行的网银系统有诸多风险防范关卡和提示, 但是考虑到客户个人上网习惯、风险意识参差不齐, 操作失误的可能性同样存在, 其欺诈风险理应受到重视。
(三) 客户端的物理风险
客户在日常使用电子银行进行网上支付时, 通常有两种使用方法, 其一是直接使用网银进行操作, 该操作要求用户在电脑上安装银行提供的CA安全证书控件, 并插入“U盾”、“USBKEY”等密码保护工具来进行网银的登录和业务处理, 该方法安全性较高;其二则是将网银与第三方支付平台进行绑定, 绑定成功后用户就可以自行在网银账户和第三方支付平台账户上来回转账, 这种情况下网银是否安全与该第三方支付工具是否安全有直接关联。以支付宝为例, 用户付款或转账只需要输入六位数的固定支付密码或指纹密码即可完成操作, 方便快捷但也存在风险, 如果客户的手机丢失, 黑客仅需要攻破这六位数的支付密码就可能对客户网银的安全性造成威胁, 而固定的六位数密码所能提供的保护非常有限, 黑客的暴力攻击即可轻易攻破。另外, 现今的支付工具安全性都过于依赖手机, 仅凭一条手机短信验证码即可完成账号密码的重置、转账等诸多操作, 例如现今人气非常火爆的微信红包和微信转账, 客户从微信钱包内将钱塞入红包并发放时无需输入任何密码, 直接发送就可以完成操作。可见, 这些第三方支付工具的安全性主要靠手机本身。手机作为一个身份识别和验证方法的确简单有效, 各大网站的注册也都要求绑定手机, 但是万千身份验证于一体的手机本身也有丢失的风险, 如果手机失窃, 客户不仅要承受其直接损失, 还要担忧与之相关联的所有财产的安全性, 如何降低手机丢失后网银财产被盗窃的风险, 是我们目前迫切需要解决的问题。
三、对银行电子业务系统的审计策略
审计人员首先需对电子业务系统本身进行审计, 运用计算机辅助审计CAAT、远程在线审计、信息系统审计方法, 检查系统是否有漏洞、与硬件和其他软件的兼容性的强弱、与该系统相关的所有管理员账号的安全性、杀毒软件和防火墙的强度等诸多方面。电子银行系统的安全性是根本, 在对系统本身的审计结果满意之后, 审计人员才能在此基础上再透过系统运用账表分析技术对电子银行的相关财务数据进行分析性复核, 利用抽样、截止性测试等方法对其真实性、完整性、准确性进行核对。
四、对银行内部制度的审计策略
为应对银行内部员工舞弊与欺诈、内部员工与外部不法分子勾结的隐患, 审计人员应对电子银行系统相关的银行内部制度进行审计。具体方法包括:其一, 运用调查和询问方法对网银管理人员的管理制度进行审计, 检查规章制度, 包括职责分离和强制休假, 审计银行员工是否拥有基于个人的账号密码, 是否将个人的账户密码与职员的人事调动进行绑定、并及早注销离职的员工账号、每位职工的职责是否已经明确;关注银行对职工培训方面的投入和成果, 职工是否掌握了足够的专业技能、是否对网银业务的相关规定足够熟悉, 避免因操作失误而使银行蒙受损失;其二, 审计人员应重点查阅电子银行系统的故障记录及银行对此作出的相关分析报告, 检查银行内部管理层是否对网银系统相关的故障和问题进行归纳、总结, 并提出改善措施;其三, 关注网银客户服务条款是否完备无缺陷, 包括当出现系统设备故障、黑客攻击、客户被诈骗导致资料丢失、财产损失时的风险分担和责任认定。
五、对纠正性控制的审计策略与方法
对于欺诈风险和客户端的物理风险, 银行方面想要预防其发生难度是较大的, 这些风险引发的财务损失直接原因主要是客户的风险意识不强、不谨慎和操作失误, 银行方面能做的预防性控制无非是风险教育, 时常提醒客户擦亮双眼, 谨防冒牌网址、虚假信息的欺骗, 而这些控制还远远不够, 审计人员需审计银行的事后纠正性控制是否合理有效。有效的纠正性控制包括:建立健全的业务回滚机制。所谓业务回滚机制就是指网银转账完成后的较短时间内, 转出方可以向银行提交申请, 撤回该笔转账业务的全部操作, 这项控制是对网络欺诈等风险的最佳解决途径。审计人员需重点审计的内容有:回滚的金额限制, 转出方满足何种条件可以提交申请, 撤回的操作记录是否可查、是否留下了完整记录;检查银行的回滚机制功能是否健全, 例如, 当客户账户与“异常账户”发生“异常业务”, 回滚机制会自动触发。“异常账户”和“异常业务”的定义银行可自身通过归属地、金额大小与往常业务金额的比较、是否有往常业务等指标进行判定;同时回滚的业务不能过多, 否则会影响网银系统运行效率, 客户一般在被欺诈以后的较短时间内就会发现账户潜在安全问题进而向银行方面咨询, 所以回滚应有合理的时间限制, 从而达到安全性和效率的统一, 审计人员需要权衡两方面的效果, 给出综合的审计意见。
另外, 审计人员需重点审计电子银行固定六位密码的安全性。如若手机丢失, 网银六位数密码将是客户财产安全的唯一防线, 所以六位数密码是纠正性控制中重要的一部分。审计人员必须重点审计密码的强度, 在客户设置密码时, 银行是否对客户密码的强度有所要求和规范, 比如:禁止使用数字组合过于简单的密码、禁止使用与客户生日数字相似度过高的密码, 因为客户在丢失手机或银行卡时, 身份证件很可能会一并丢失, 那么客户的生日信息对于恶意的第三者来说是极易获取的, 如果银行密码与客户生日信息相似度过高, 那么第三者直接在自动取款机上试错即有可能对客户的财产造成威胁。由于办理银行卡时客户需提供身份证号, 所以该项控制在技术层面是完全可行的, 审计人员不能忽视这些容易疏漏的环节。
六、总结
国有商业银行的电子银行业务尤其是网银业务存在上述诸多风险, 为应对这些风险而采取控制措施和针对性的审计策略和方法变得刻不容缓。我们需要多角度、全方位、多层次的发现风险、量化风险和处理风险, 包括从公司治理层面、软硬件环境层面、业务流程层面, 部署预防性的、检测性的和纠正性的控制, 并对这些控制执行针对性的审计策略, 才能将上述风险对电子业务带来的不利影响降低至最低。
摘要:近年来, 我国商业银行电子银行业务发展迅猛, 网银交易量屡创新高。但繁荣的背后潜藏着诸多风险, 网络欺诈、客户纠纷等问题不断出现。本文主要论述了网上银行业务目前存在的风险, 探讨银行内审人员为应对这些风险可采取的审计策略和方法。
篇4:电子银行风险评价与管理
电子银行风险分析
关于电子银行的风险,巴塞尔委员会认为,在电子银行业中,因特网及其他各种电子传送渠道仅是作为一种产品和服务的提供途径,当银行借助其开展业务时,并不产生新的风险类型,但给银行业经营风险带来了新的内容,引发风险的因素更多地与技术操作联系在一起。2001年,巴塞尔委员会发表了《电子银行风险管理原则》(Risk Management Principle for Electronic Banking),将电子银行中与技术相关的风险归结为:操作风险、声誉风险、法律风险和其他风险。
中国银监会认为,电子银行业务主要存在两类风险:一类是系统安全风险,主要是数据传输风险、应用系统设计的缺陷、计算机病毒攻击等;另一类是传统银行业务所固有的风险,如信用风险、利率和汇率风险、操作风险等,但这些风险又具有新的内涵。
电子银行的技术方式及手段决定了其风险的特征。由于电子银行在提供产品和服务时,必须以计算机为手段、以网络技术及其他各种电子传送渠道为途径,这就造成了电子银行的虚拟性。电子银行的风险在于,其虚拟的特性使其能够突破现有的银行监管体系,增加金融风险的放大效应。电子银行的风险主要表现为以下几个方面的特征:
风险的扩散快、破坏力强。高科技的网络技术所具有的快速远程处理功能,为便捷快速的金融服务提供了强大的技术支持,同时也加快了支付清算风险的扩散速度。相比传统银行,在电子银行中流动的更多的是数字化信息与电子货币,一旦风险在非常短的时间内爆发时,风险的化解就很困难,也难以预防。在传统银行的“纸质”结算中,对于出现的偶然性差错或失误有一定的时间进行纠正,而在电子银行中出现这种错误则立即会引起巨大的风险和损失,加大了风险的扩散面和补救成本。
风险交叉传染强。传统金融监管可以通过分业经营、提高市场准入规则、设置市场屏障或特许方式,将风险隔离在相对独立的领域,而电子银行削弱了传统银行金融监管的这些属性,使得监管的物理隔离有效性大大减弱。银行、证券、保险的业务不断交叉,同时也使得风险极易在这三个领域里交叉传染,而且金融业客户的相互渗透和交叉,使金融机构间、国家间的风险相关性日益加强。
风险的责任难以区分。随着信息技术不断融入银行业,电子银行业系统建设、运行和管理中常常会涉及到电信、电力、产品提供商、外包技术服务商等多个行为主体,有些则直接参与其中,因此,一旦发生如服务中断、系统崩溃、客户信息外泄等的情况时,往往难以区分事故的责任方。
风险监管的难度高。电子银行的交易过程是在网络上完成的,交易的虚拟化使金融业务失去了时间和地理限制,交易对象变得模糊,交易过程更加不透明,金融风险产生的形式更加多样化。由于被监管者和监管者之间信息不对称,金融监管机构难以准确了解金融机构资产负债的实际情况,难以针对可能的金融风险采取切实有效的金融监管手段,最终使得金融监管难度高、复杂化。
电子银行的风险分类
电子银行的风险划分可以按照不同的标准,按照风险产生的原因,一般而言,可将电子银行的风险分为传统风险和特殊风险。
电子银行的传统风险
电子银行的传统风险是指银行所固有的风险,是最基本的风险。这类的风险在电子银行和传统银行中并没有本质上的区别。电子银行的一般风险主要包括以下几种:
信用风险。信用风险是指债务人不履行合约而给债权人造成损失的可能性。在银行业中,信用风险是指由于借款人在到期日不能完全履行其还款义务或按约定行事而给银行带来的损失的可能性。与传统银行相同,电子银行也面临着贷款业务所带来的信用风险,并且由于电子银行的特殊性,其所面临的信用风险将会更大。比如,当电子银行在通过各种电子通道实现了跨地域跨国界的信贷时,银行和客户不再是面对面地交流,使得银行更加难以判断借款人身份真实性、评判其信用评级、核实借款担保抵押等方面的信息。另外,相对于传统的银行信贷,电子银行的信贷业务中除了银行和客户两个基本的当事人外,还常常包括网络运营商、网络设备提供商等主体,当发生信贷风险时,往往会因为责任方难以明确辨别而产生经济纠纷,这些都会使信用风险大大增加。
流动性风险。银行的流动性是指银行的某种资产不受损失的变现能力。流动性风险对于任何商业银行都是客观存在的,对于从事电子货币和电子支付运作的电子银行而言,如果在电子货币的投资和电子支付业务中,电子银行本身没有足够的资金来满足偿还或支付,则将遭受流动性风险,如果情况严重的话,还将连锁引发信誉风险,甚至导致电子银行的破产和倒闭。
市场风险。市场风险是指由于市场价格的变化,使得银行的资产负债表中的表内和表外头寸面临损失的风险。电子银行在存贷款业务、证券业务及电子货币支付中进行外币交易时,无疑将面临着较大的市场风险。
利率风险。利率风险是指由于利率出现不利的变动而使银行蒙受损失的可能性。利率的不利变化,同样会使电子银行的资产相对其负债发生可能的贬值。另外,在开放的网络环境下,国际资金特别是国际游资的流动速度将更加迅速,而这种期限较短、规模较大、流动性较强的资金在利率的变化下更容易对电子银行产生巨大的冲击,使
电子银行面临较大的利率风险,进而对该国的国际收支和金融市场的稳定产生极大的不利影响。
电子银行的特殊风险
电子银行的特殊风险并不是电子银行所特有的风险。这类风险,如操作风险、法律风险、声誉风险等,在传统银行环境中也都存在,只是在电子银行环境中,这些风险更具特殊性。电子银行的特殊风险主要有以下几种风险:
技术风险。技术风险是指电子银行由于技术采用不当,或是采用的技术相对落后所造成的安全性风险或系统性风险。电子银行,特别是纯电子银行主要依靠信息技术作为其技术的支撑,无论是在构建初期、正常运行还是后期日常维护,电子银行都会因其所选择的相关技术而面临风险。在构建初期,电子银行机构决策层在制定银行战略发展计划时,如果选择实施此计划的相关技术有误或不当,将会面临严重的技术决策风险;当电子银行正常运行和维护时,如果采用的技术有缺陷或者相对落后,可能会因为某一个技术环节出现问题而使整个电子银行系统出现故障,甚至停止运行;或者因为技术上的原因而使得网络黑客得以入侵电子银行系统,这些都会给电子银行带来非常严重的安全性风险和系统性风险,并且会连锁引发声誉风险和法律风险。
操作风险。操作风险是指由于系统可靠性、稳定性和安全性的重大缺陷而导致的风险。它可能是由于电子银行客户的疏忽,也可能是由于电子银行安全系统和产品的设计缺陷及操作失误产生。操作风险主要涉及电子银行账户的授权使用、电子银行的风险管理系统、电子银行与其他银行和客户之间的信息交流等。如在使用电子货币期间,网络安全系统的缺陷会令客户误认为是电子银行的欺诈行为,从而引发纠纷和风险;银行职员对业务的漫不经心,也有可能导致电子银行严重的操作风险,从而危及电子银行的总体安全。客户的疏忽也是造成操作风险的另一个主要原因。电子银行会因为客户欠缺网络安全方面的知识而面临相当高的操作风险。例如,客户在某些没有安全防护措施的场合使用私人信息,如身份鉴定、银行账号等,容易被他人窃取而导致账号泄密,使客户和银行双方都蒙受损失。此外,如果银行职员和客户不能充分理解电子银行采用的不断更新的软件,进行错误操作也会给银行或客户自身带来操作风险。当网上支付系统建成后,使用电子支票支付账目时,电子银行将摆脱物理状态(如各种建筑、柜台等)而存在。面对这一情况,会有客户因为没有了物理存在的银行而产生不安全感,进而对网络的信用产生怀疑。这种怀疑一旦蔓延开来,将会给电子银行带来另一种形式的操作风险。
法律风险。法律风险是指违反或不遵从法律、法规、规章、惯例、伦理标准而给电子银行造成的风险。银行本身所具有的高风险特征要求银行在运营中必须遵从相关的法律法规等方面的规定,而电子银行的创新性所产生的风险则对与其相适应的法律法规提出了更高的要求。与迅猛发展的电子银行相比,法律环境显得不尽完善,各国在电子银行相关法律法规的制定上步伐不一,从而使得法律风险凸显。
战略风险。美国财政部货币监理署OCC将战略风险定义为因决策失误、决策的实施不当或对行业变化缺乏响应而对银行造成的不确定性。为实现战略目标,一般需相关的IT资源来配套,包括有形资源(如计算机硬件、软件、传输网络等)和无形资源(如管理能力和才能等),当银行管理部门未能恰当的计划、管理和监督与信息技术相关的产品、服务、过程和传送渠道时,信息技术的应用就会产生战略风险。另外,如果管理部门没有理解、支持或应用Internet技术,而该技术对银行的竞争能力又是至关重要时,或银行使用了某项不可靠的技术时,也会产生战略风险。
声誉风险。声誉风险是指负面的公众舆论而导致银行资金或客户流失的风险。与传统银行相比,电子银行的声誉风险更具特殊性:负面的公众舆论会借助网络迅速的扩散而使声誉风险迅速增加。声誉风险几乎和其它所有的风险相关联,只要是由于某种或某些风险所带来的不利或损失情况被公众所获知,则无疑会连锁引发声誉风险。声誉风险可以表现为不同的轻重程度。因电子银行本身的原因而给客户带来短暂的不便,如银行系统故障导致客户短期内无法登录、支付等,使客户不满度增加,则或多或少会产生声誉风险(尽管程度可能比较轻微)。如果出现问题后银行解决不力,则声誉风险将会加大,如果因为银行系统严重故障甚至系统崩溃等情况而给客户带来损失,则会引起严重的声誉风险,甚至将引起客户集体退出的严重后果,从而使银行蒙受巨大的损失。
外包风险。外包风险是指金融机构在技术上依靠外部的技术提供商等机构而产生的风险。金融机构在选择不同的外包商时会面临不同的外包风险;金融机构在与外包商合作时,因为沟通不力而导致外包商设计错误,也会给金融机构带来外包风险;外包商将与金融机构合作中所掌握的如客户隐私等方面的信息有意无意泄露给他人,可能会给银行带来另一种类型的外包风险,如连锁产生法律风险。
跨境风险。跨境风险指金融机构在开展跨境业务后因面临不同的法律法规而产生的风险。跨境风险可能会产生综合风险,包括法律风险、信用风险及国家风险等。例如,当银行处理跨国界的客户交易时,它可能面临着不同的法律法规要求,常常会因为违反了法律而产生法律风险;通过电子银行接受来自其他国家客户的贷款申请,而使用国内客户信用评估系统,会面临信用风险;当银行与国外服务提供商或外国参与者发生业务时,因外方可能由于经济、社会和政治因素而无法履行其义务,从而可能会面临国家风险。
电子银行的风险管理
在网络环境下,网络银行仍然存在传统银行所具有的各种风险,也仍然可能发生传统银行所具有的危机或灾难。同时,在网络环境下,电子银行因其信息服务性、数字性、技术性等特点,因而可能具有比非网络环境下的银行更大的风险,可能遭受更大的损失。
对于电子银行风险的管理,根据巴塞尔银行监管委员会《电子银行和电子货币风险管理(1993.3)》(Risk Management for Electronic Banking and Electronic Money Activities,March 1993)规定,可对电子银行风险的内容、表现、影响及风险管理做出相关总结(参见表1~表5)。
篇5:电子银行风险排查自查报告
自查报告
省行电子银行部:
近年来,我县支行电子银行业务以其成本低,方便、快捷、全天候服务等优势倍受客户青睐。网上电子银行结算及商户签约转账终端在企事业单位和单个客户群体中迅速发展,ATM因不受时间、空间限制,能够提供24小时便捷、高效的金融服务而广受客户欢迎。然而,由于社会的复杂性、企业财务人员水平和个别结算人员业务水平较低,网上电子银行结算风险案例也不断增加。增强风险意识,规避网上电子银行结算成为当前我县支行网上电子银行发展的当务之急。为了规范电子银行业务经营,防范风险,保证我县支行电子银行业务健康、快速、规范发展,特根据省行下发的通知对支行电子银行交易、商户签约转账终端及ATM进行全面自查,现将自查情况报告如下。
一、规避网上电子银行结算风险从执行规范化工作流程中落实。网上电子银行结算风险存在于联社及客户通过互联网登陆银行网站办理各项业务活动的始终,网上电子银行会计结算风险也是自始至终贯穿于网上银行业务处理的全过程,我县支行结算业务目前所面临的部分结算风险在一定程度上是与网上银行结算有关。自2011年5月15止我县支行共签约网上银行企业用户2户,个人用户9户,在网上银行的签约、柜台操作、后台操作以及客户经理等银行内部人员的工作管理上规范合理;由县支行资产负债部对企业签约的客户资
料实行一户一袋制,个人签约的客户资料专夹保管,各类登记薄完善健全;其中企业客户证书载体出入纪录健全,证书载体及密码做到双线传递、及时发放,并按照省支行统一收费标准向客户收取相关费用;同时严禁行内员工参与客户相关资金交易。
二、ATM的广泛使用必须基于安全、可靠的基础之上,否则就丧失
了存在的前提。
为有效防范不法分子通过电话、短信、邮件、假网站等方式,诱使客户在ATM上转账,进而造成客户资金损失的风险,我县支行将辖内ATM系统进行了版本升级,在ATM有卡转账及无卡交易中加入了“防欺诈提示信息”。当客户在ATM上选择“转账”或“无卡交易”功能键后,屏幕就会显示带有下列提示内容的画面与文字——“谨防电话、短信、邮件、假网站等诈骗信息,不要向陌生账户汇款、转账”,及时地提醒客户三思而后行,以防上当受骗。并在有卡转账和无卡交易中,加入了“回显户名”环节,当客户在ATM上输入对方卡号或账号后,屏幕会自动显示出该账户对应的户名供客户确认,通过这样的户名校验,解除了客户的担忧,可确保客户资金安全。
为了防止客户进行ATM存款时,因为拿错卡或卡被掉换而存错钱,我县支行在ATM存款交易中也加入了“回显户名”环节。当客户在ATM上存款时,系统会以类似于转账“回显户名”的方式,显示存款账户户名供客户确认,从而有效防范风险。
分析众多ATM案件中犯罪分子的作案手法,我们发现犯罪分子基本上都是靠窃取客户银行卡卡号或密码来达到犯罪目的的。那么,换
个角度来说,只要客户保护好自己的账户密码或卡号,就可以在很大程度上确保账户资金的安全了。因此,我县支行要求所有临柜工作人员加强对客户的教育、引导,提高客户自身防范意识,提示客户保护个人密码,增强防范意识,从而达到提升ATM使用安全的目的。在此,我县支行依然存在不足之处,没有设置电子银行监控岗位,并落实专门人员监控和严密的再监督检查方案。我县支行领导高度重视对电子银行风险控制,加强管理,决不容许出现为完成任务而弄虚作假的行为,并制定有效的检查方案,注重检查实效,发现问题,及时整改,将业务检查经常化、系统化、规范化,建立风险防范的长效监督机制,按照建设国际一流电子银行的标准,从根本上保障我县支行电子银行业务的快速、稳健发展。
XX县支行
篇6:电子银行的风险与控制
银行通过手机、电话、电脑、ATM等电子渠道向客户提供金融服务和产品的过程就是电子银行业务,与此同时,这些电子银行业务已在商业银行各项业务中占有重要地位。网上电子银行的结算,电子银行的成本低,方便、快捷等优势特点备受客户的喜爱。但是,由于社会复杂的现象,企业财务人员水平和个别银行结算人员的业务水平较低,电子银行结算风险案例也在不断增多。增强风险意识,规避电子银行结算风险,寻找控制风险的策略,已成为电子银行发展的当务之急。
一、电子银行面临的主要风险
1.战略和经营风险
银行在经营决策上出现错误,决策后执行的力度不够,面对行业的变化不能及时采取相应的对策,这些情况的出现都会对银行的收益造成影响,这些都属于战略和经营上的风险。战略风险具有普遍性和广泛性,是银行开展电子银行业业务时面临的最严重的风险之一。银行如果在规划和执行力上出现问题,跟不上技术变革的发展,在激烈的同行竞争中处于劣势地位,这样的战略性质不仅暴露出银行的巨大风险,也会让银行在一个饱和市场中没有丝毫的.立足之地。
2.运作风险
【电子银行安全风险】相关文章:
电子银行风险05-06
电子银行风险论文04-16
电子银行风险控制论文04-19
电子银行业务风险06-28
电子银行风险评估06-28
电子银行业务风险提示11-11
电子银行风险控制论文提纲11-15
电子银行业务风险与防范06-03
风险防范下的电子银行05-27
风险视角下的电子银行论文04-25