第一篇:對電子銀行安全與風險防范的思考
弱技術配強管理的電子銀行安全效果,與強技術配弱管理的安全效果是一樣令人擔憂的。銀行要通過強技術強管理的組合來保證電子銀行的安全。
由于方便、快捷,電子銀行越來越為銀行和客戶所青睞,其業務量在銀行業務中的占比逐漸增加。與此同時,電子銀行的安全問題也引起了越來越多的關注。近兩年,網上銀行發生的安全事件增加了人們對
電子銀行安全性的擔心,英國破獲黑客盜劃2.2億英鎊的新聞,讓客戶疑慮自己的財富是否會在眨眼間化為烏有,所以不少人選擇了小規模、低頻率使用網上銀行的下策。而對于銀行來說,安全事件給銀行造成聲譽和經濟上的重大損失,而且今后還可能面對賠償訴訟。如何保證電子銀行的安全、有效防范風險成為各銀行的頭等大事。
電子銀行的安全問題千頭萬緒,要分析清楚,還得從電子銀行的系統架構和風險點說起(見圖1)。
圖1 電子銀行技術實現的網絡原理
電子銀行風險點
操作系統的安全
操作系統安全的主要考慮有:(1)連續無故障運行天數。(2)超級用戶指令保管與使用。操作系統的口令是系統安全的命門,一旦超級用戶指令被人知曉,該知情者就可以遠程控制計算機,進而修改數據庫用戶的密碼,從而無障礙地進入數據庫系統進行任何操作。(3)壓力指標。操作系統提供的緩沖空間、進程數等是數據庫、應用軟件運行的基礎參數,需要根據運行情況進行參數最優化配置。通常操作系統要與應用系統一起進行壓力測試,以便測出業務量等極限值。針對極限值,把系統裝備相應的預防、處理、應急機制,如自動或人為分流流量、報警等,避免系統癱瘓。
數據庫的安全
數據庫安全的主要考慮有:(1)操作系統登錄時的用戶名與口令如果泄密將危及整個數據庫的安全,數據的修改將無法控制。(2)數據庫的用戶名和密碼不要簡單得讓人猜出來,不少系統就使用用戶名sa和口令sa,這樣做不但使數據庫安全受威脅,操作系統的安全也受到威脅。因為可以通過一種數據庫遠程控制機制控制遠程操作系統。(3)數據庫操作審計,將運行主機上所有數據庫操作及數據變更寫入日志。這個日志將迅速膨脹,需要專門的日志管理員進行外部備份和清理,否則系統硬盤過一段時間就會漲滿。但是,中小銀行可能會屏蔽數據庫審計功能,以減少日志清理和管理的麻煩。這樣,數據庫安全失去了重要的、可跟蹤恢復的操作監視手段。(4)數據同步、一致性問題。數據操作是以事件驅動的,事件沒有完成,則數據庫將自動恢復到事件前狀態。軟件編程要注意應用數據表之間的邏輯一致性,否則,數據挖掘就得浪費大量的時間清理無效數據。
核心系統的安全
第二代核心系統主要有信貸、柜臺、賬務、現金管理等,第三代核心業務系統模型則包括了客戶關系管理、風險管理、市場營銷分析等模塊。第四代核心系統正在建設當中,思路更加清晰,更加強調數據共享和soa架構,更好地進行業務流程整合與信息管理整合。
核心系統安全的考慮包括:(1)源程序是否有漏洞、后門和錯誤代碼。由于當代銀行軟件主要采用的是黑匣子測試,而不是白匣子測試,因而大量“死角”無法發現,隱藏的風險是較大的。2007年底,一客戶在廣州市某銀行atm機上取現金1000元,而賬戶卻只扣一元,客戶因取現17.5萬元被判重刑而引起爭議。其實在這個案件中,銀行過錯在先,因為銀行軟件測試沒有發現程序錯誤。(2)系統壓力測試。如某銀行的基金理財平臺屬于核心系統,由于股市行情的井噴,致使2007年8月的一天網上銀行占用主機資源過多,主機down機幾個小時。這種現象斷斷續續持續約一個月時間,銀行其他業務也受到影響。事后,該銀行制定了應對策略,讓分行分流部門網上理財業務。分行業務數據通過電信、網通專網與總行相連,避免流量都擠在公網入口的局面。高峰期,專網的傳輸速度比公網快,速度有保證。另外,在分行增設業務流控制界面,一旦全國行情井噴,則由分行控制流量,避免由于理財產品等邊緣業務導致整個核心系統癱瘓的惡性事件。(3)核心系統的管理員用戶名和密碼。(4)核心系統的易維護性、易擴展性。如果元數據標準等標準化建設達到了一定的水平,則外圍系統容易擴展核心系統的功能,共享核心系統的數據。同時,核心系統如果獲得越多的外圍子系統的數據,則越可能做數據挖掘等建模工作,而風險管理、管理決策、客戶分析等都離不開數據挖掘和商務智能。(5)版本升級、新產品上線、定期系統在線清理、操作運行主機等操作行為的風險控制。在核心系統down機的嚴重故障中,部分原因恰是系統切換、系統升級或新產品上線欠周全造成的。操作運行主機要有一定的程序要求,要求雙人共同操作,且不可進行試驗性操作。試驗性操作要在備份機器上進行,確認無誤后才可在運行主機上
操作。另外,主機長年累月地運行,不可避免地會出現內存、進程等方面的問題,需要人為適當干預。隨著硬件功能越來越強大,以及soa設計理念和設計能力的普及,核心系統的能力范圍會逐漸擴大,安全性也越來越有保證。(6)數據備份與系統備份。大銀行都有南北兩個異地數據中心,每個數據中心有本地同步備份,共有四套系統。目前,監管部門強調在數據中心災
備就屬于核心系統安全的重要范疇。
路由器、入侵檢測、防火墻的安全
路由器提供了網絡連接的路徑。入侵檢測可以對非法訪問內部網絡的數據包進行檢測并預警。防火墻是通過對網絡層傳輸的數據包中的目標地址進行檢測,控制數據包的流向,從而避免對核心系統的非正常訪問。如果路由器的端口密碼被人攻破,則黑客可以通過直接添加路由,使得外來的訪問變得合法。這時,獲得的內網訪問能力是十分危險的。
區分外網與內網是重要的安全方法。一般對外網的防護要嚴格些,而對內網的防護則簡單得多。某證券公司嚴禁客戶在內網上炒股,就是擔心客戶反復試驗出總部主機的密碼。因為內網沒有設置相應的安全防護措施。
網上銀行包括個人網銀和企業網銀。由于個人網上銀行功能日益豐富,如匯款、基金買賣、外匯買賣、黃金買賣、銀證通、代繳費、網上商家等,數量龐大的客戶群的集中操作給核心系統造成了巨大壓力。
應用軟件服務器
應用軟件服務器處在客戶端和核心系統之間,解決渠道的多變與核心系統穩定之間的關系。花旗銀行的產品達6000個左右,這種方式明顯保持了核心系統的穩定。我國銀行核心系統每五六年重新設計一次,達到核心系統穩定性與靈活性的統一,每過五六年銀行的硬件就要更新一次。
應用服務器通過數據接口與核心系統相連,也需要有相應審計措施跟蹤人為操作。否則,由于超級權限造成的對客戶數據的直接、非法修改,會危及系統的安全。黑客也可以攻擊應用服務系統,從而修改重要客戶資料。內網用戶也可以攻破應用服務器的關鍵密碼,以獲得超級權限。
應用服務器一般采用雙備份、雙線路方式,一旦由于硬件損壞等原因造成系統故障,可以迅速切換到正常系統。
網絡傳輸的安全
現有網絡安全技術不少是用來解決網絡傳輸數據安全問題的,如數據加密、數字認證、安全標準。數據加密主要有對稱加密算法des和非對稱加密算法rsa。從理論上說,有些現行算法已經被數學家攻破,能夠在現有條件下解密,所以隨著計算機芯片速度的不斷提升,有些算法需要淘汰。
數字認證技術,包括數字簽名、數字證書、生物特征識別等,正面很難攻破。但是每一種技術都存在軟肋,通常這些認證證書的保管等是軟肋。
安全標準有ssl、set。這些標準保證了交易的不可否認性,以及網絡傳輸數據的不可修改性。
客戶端的安全
終端用戶的安全是最脆弱的,攻破的成本也最低。主要問題有:
數字證書文件被病毒竊走。這種軟證書比硬證書的安全性低,存在硬盤和外設中,病毒可以將證書文件通過網絡傳給主人。數字證書的弱點在于證書的保管,如硬件證書被挪用,軟證書被復制。
網銀密碼被木馬程序竊走。網銀大盜病毒可以竊取客戶在鍵盤上輸入的賬號和密碼,并通過郵件發給病毒的主人。英國最近破獲的金額達2.2億英鎊的國際大案,就是黑客知道客戶的賬號和密碼后,轉出客戶資金。對付這類病毒的方法除殺毒、系統打補丁外,可以采用軟鍵盤,即在屏幕上出現鍵盤界面,用鼠標點擊屏幕上的相應鍵符來代替手工鍵盤輸入。用這種方法,病毒無法捕捉鍵盤輸入信息。
信用卡賬戶和密碼被竊取。現在信用卡采用的是磁條技術,極易仿造。由于信用卡都是標準化的,其磁條信息的格式是已知的。如果知道了卡號,就可以使用專用的寫卡器,寫入卡號,偽造出一張信用卡。知道了密碼,該信用卡可以在取款機上取款。要想從根本上解決這個問題,只有采用更新的emv2000技術。這是一種多操作系統的ic卡技術,攜帶不可復制的加密區,保證ic卡的不可復制。但是,從目前的磁條信用卡標準向emv2000智能卡標準過渡,成本很高。盡管我國監管機構積極推進信用卡向emv2000標準遷移,但實際進展不大。
pos系統。如果設法通過客戶輸入密碼的操作來獲得客戶的密碼,則客戶資金就危險了。
客戶對賬號、密碼、證書的管理是網銀、手機銀行、atm機、pos系統等薄弱之處,此外還有釣魚網站法,如騙子網站www.tmdps.cn,其頁面通常做得與實際網站www.tmdps.cn的頁面幾乎完全相同,以欺騙信用卡客戶輸入用戶和密碼。他們的主要作案手法,是篡改公網上指向實際銀行的鏈接地址,指向釣魚網站地址;或者在bbs論壇等網頁空間設置釣餌,文字上看是某某銀行,實際鏈接地址卻是釣魚網站地址。由于釣魚網站域名與真實網址域名相似,沒有警惕性的人是注意不到這些細微差別的。客戶一旦受騙輸入賬戶和密碼,賬號和密碼就被竊取了。
客戶端的安全方面,銀行有義務教育、協助客戶保持賬號、密碼、證書的安全。建議建立反釣魚網站法律、組織、技術措施,動態跟蹤釣魚網站。客戶使用簡單但可靠的安全方法,如輸入網址、使用動態口令卡、取款短信提醒服務、支付的計算機綁定等。對于中小銀行的企業銀行業務來說,生物指紋識別是一種可靠的和使用簡單的方法。但這種方法對大銀行不適用,因為目前指紋識別的技術還不很成熟,采樣多,識別時間長。對于大銀行來說,幾億客戶量的指紋讀寫是系統繁重的負擔。
電子銀行安全不止包括技術安全,還包括信息安全。敏感數據被刪除、竊取、篡改、非法訪問,用戶身份被冒充,交易被抵賴,機密信息被公開等等,都是信息安全。我國還缺少對公開客戶信息方面的法律懲戒措施,如果與國際慣例接軌,則要頒布隱私保護法等相應法律。
風險防范對策
銀行轉變觀念,主動承擔起電子銀行各個環節的安全義務。以前我國銀行在客戶資金被盜問題上采取了拒絕賠償的立場,使銀行聲譽到影響。所以,銀行不能采取駝鳥政策,應該主動采取措施保證電子銀行的安全,而不能將責任全部推給終端客戶。
技術和管理并重。弱技術配強管理的電子銀行安全效果,與強技術配弱管理的安全效果是一樣的。銀行要通過強技術強管理的組合來保證電子銀行的安全。
所有小型機、大型機的登錄密碼,數據庫登錄密碼都要復雜得讓人記不住。可以采用雙人或多人復合密碼的形式,各人記一段,分段保密。但是也要避免密碼保管過于復雜,以免導致密碼遺失。要加強對密碼保管方式的研究,可以適用保密級別的方法。當然,再怎么保密,還得基于對人的信任。如果對所有人都不信任,那么密碼保管成本將相當高,使用起來也相當麻煩。
運行主機上的所有操作都要有可追蹤的記錄。無論是操作系統操作,還是數據庫操作,都要由系統自動記載。對于應用軟件的操作,在數據表中要有相應的操作記錄,供操作風險審計員使用。一旦發生重大問題,可以依靠這些記錄來確定責任人和責任原因。否則,責任無法定位的系統從根本上就不是安全的系統,是十分可怕的。
運行機雙人操作、版本升級管理、備份等的管理制度。運行機雙人操作,避免操作人因為情緒激動和僥幸原因而人為導致重大操作失誤。各銀行在版本升級管理方面是交了學費才總結出一套操作規程經驗的。備份有災備、備份數據中心、系統熱備份等不同級別的方法和措施。
不斷就最新的安全技術進行實驗使用,跟蹤國際電子銀行安全技術,參與國際交流。災備中心平時就是實驗中心,可以就最新的安全技術進行實驗性使用。銀行對于軟硬件的使用,偏好于穩定性好的技術系統,而不是技術最新的不穩定技術。銀行通常要等新技術通過其他實際部門一段時間有效使用后,才大規模地使用。新技術有入侵檢測技術、防火墻技術、加密技術、反病毒技術、數字認證技術、安全標準等等,銀行要加強對這些技術的弱點的研究和把握,以便分析電子銀行安全所處的態勢,并研究實際中發生的安全問題的原因,提出對策。矛與盾總是此消彼長,任何一門技術總有破解的新方法。同樣,新技術被破解之后,更新的技術又會出現,而且風險防范的技術也相應演化。對于安全態勢和技術的研究是目前我國銀行的弱點,需要建立相應的合作機制。銀行要獨立、自主地關注電子銀行的安全問題,而不能完全依賴第三方安全公司。銀行要在電子銀行的安全領域有所作為,有自主知識產權的產品和理念。
設置客戶端電子銀行安全保障崗位。銀行總行應有相應的崗位就目前客戶端的電子銀行的安全問題進行調查、分析,提出對策,并反饋、主導建立電子銀行客戶端安全保障機制。安全既是技術又是管理,可以通過強化技術來改善安全管理的預見性、可控性,在保證整體安全效果的情況下,降低安全管理的難度和風險。
備份和應急機制。在市場成熟技術條件下,投入越大,安全水平越高。但是,投入水平與安全水平并不成線性關系,而是非線性關系。當安全要求達到閥值時,市場上沒有相應的安全產品,此時需要進行研發,或者為了把安全水平提高一點,需要幾倍的投入。在一套系統的運行故障率是a的情況下,兩套系統熱備份運行時的故障概率是a2。工行要保障系統運行的正常率是99.99%,從概率學來說,若兩套系統同行運行,自動切換,一套系統的故障率就能容忍達到1%的較高故障水平。
正是由于高安全的高成本,銀行應該有計劃地加大對安全的研究性投入,包括安全產品、技術、標準的投入。從機會成本上說,這是劃算的。電子銀行應用的首要問題就是安全問題,銀行有義務在此領域保持領先地位。
絕對的安全是不存在的。所以,要建立應急機制。應急機制有技術應急和管理應急。筆者認為,沒有必要建立千年蟲那種級別的應急機制,成本太高,而可以建立中等級別的應急機制,比如說切換系統演練。對于異地備份系統來說,由于數據不同步,系統切換就面臨著無從考證的數據包丟失問題。這將使銀行面臨復雜的舉證責任。如果是客戶取錢沒有入賬,客戶可能不會主動找銀行退錢。但若是客戶的系統入賬沒有收到,而出賬已經劃賬的情形,客戶必然要求銀行核實并糾正錯誤。銀行可以考察賬戶的資金劃出流向,一般來說是可以追蹤的,通過橫向不同賬戶和縱向不同時間的對賬,可以發現賬戶的真實改變情形。一套運行系統,銀行基本上需要四套系統配套,本地備份一套,異地備份一套和異地的本地備份一套。這就是電子銀行安全的備份成本。
在銀證通、銀期通等系統中,常會出現單邊賬情況,如2007年第三方存管業務的高峰期時,銀行系統無法滿足證券交易系統的大量交易和實時性要求,反復出現單邊賬情形,雙方日終對賬要對到午夜十二點,有時甚至到凌晨三四點。
圖2 電子銀行安全投入與安全水平的關系
制定標準與法律,加強監管。借鑒國外標準,修改完善現有電子銀行安全標準,包括安全建設、運行管理、安全組織設置等。企業的軟件開發、安全達標,以及監管機構的安全監管都依據此標準,以此提高電子金融的安全水平。我們要做以下方面的工作:完善信息安全的行業規范與法規;系統安全評估;信息系統戰略規劃;系統和網絡安全;業務持續性經營計劃;外包業務監控。不止安全標準,基礎標準、技術標準、管理標準、應用標準等都會對電子銀行的安全產生影響。頒布《電子銀行安全法》,以便對電子銀行安全的義務與權利認定、犯罪量刑等做出框架性的規定。業已生效的《電子合同法》、《電子簽名法》為電子銀行的發展奠定了基礎。加大對電子銀行犯罪的打擊力度,保護消費者的權益,將是電子銀行再一次爆發式增長的重要推動力。短期內,借鑒《薩班斯法案》加強對上市銀行的信息化監管。
利用itil進行信息技術基礎設施建設。作為銀行信息化的參考模型,可以指導包括網絡建設在內的銀行基礎技術設施升級改造。軟硬件方面的基礎性投入如存貯系統、入侵檢測系統、網絡管理監控系統等,是必要的,而多條專網則保證了穩定的帶寬。這些投入通常是很大的。對于那些中小銀行,可以探索外包方式。
加強對電子銀行開發、維護、呼叫中心、銀行業務、atm運維等外包風險的管理,制定相應的外包風險控制程序,并加強對金融服務提供商的監管。對于銀行來說,要制定外包的邊界,核心數據、關鍵系統等不能外包,銀行必須保持對電子金融的控制力。這方面要加強行業經驗交流。不同銀行在外包管理中確實積累了一些經驗,如某銀行軟件開發堅持銀行開發人員與企業開發人員共同組成開發小組的模式,你中有我,我中有你,制約金融it公司對電子金融項目的實際控制能力。由于一部分技術掌握在銀行員工手中,金融it公司想把開發隊伍全部拉走,從而實現對產品的控制就變得不太現實了。經驗表明,如果電子金融產品由金融it公司全部負責設計開發,則銀行必然處于被動地位。對外包的管理包括法律層面、技術層面和體制層面。銀行要與外包公司簽定保密協議,一旦發生泄密,金融it公司要承擔法律后果。
第二篇:電子銀行操作風險與防范
電子銀行操作風險與防范
一、內部控制風險
風險點1:操作人員崗位配備沒有落實到位。
主要表現:一是網銀內管系統錄入員、審核員與實際操作人員不符,崗位變動后沒有及時更新系統操作員信息,仍使用原崗位人員用戶名;二是營業網點人員變動未及時辦理交接登記手續
風險提示:沒有按照崗位設臵要求配備操作人員,或操作人員配備流于形式,導致內部制約環節難以落實到位,存在著內部管理風險隱患。
防控措施:
1.各級會計管理部門應設臵會計錄入崗、會計審核崗,負責業務參數設臵、機構管理、柜員管理等工作;
2.各級電子銀行業務管理部門應設臵業務管理崗、業務審核崗,負責留言管理、公告管理、業務統計等工作;
3.各營業網點應設臵業務錄入崗、業務審核崗,負責簽約、數字證書管理等業務操作。(企業網銀)
風險點2:非客戶本人簽約電子銀行業務。
風險提示:如果網點柜員對客戶(個人和企業)身份審核和驗證不嚴格,一旦有不法分子惡意使用他人身份證件(或企業資料)簽約電子銀行業務,掌握客戶銀行賬戶賬號和密碼,就有可 能發生盜取客戶資金案件。
嚴格把好客戶簽約注冊關 防控措施:
1.簽約個人網銀、手機銀行、網上支付、電話銀行、短信通,需遵循“本人辦理、本人簽字、本人簽收”原則,由客戶本人攜帶銀行卡及有效身份證件到柜面簽約。柜員在辦理簽約業務時,須核實開戶人本人及所持身份證件與公民身份聯網核查系統中公安部門原錄入身份證照片是否一致,驗證身份證件是否真實有效,以確保客戶本人簽約。
2.簽約企業網銀,應重點審核客戶提交的營業執照副本等證件是否真實有效;通過公民身份聯網核查系統驗證法定代表人、授權代理人的身份證件是否真實有效,對有疑點的客戶及時電話聯系企業負責人,核實經辦人員身份;通過折角驗印等方式核對客戶預留印鑒,確保各項資料審核無誤。
風險點3:代客戶保管USBKEY、手機銀行貼膜芯片、動態令牌等。
風險提示:如果員工持有客戶USBKEY、手機銀行貼膜芯片、動態令牌等,存在員工違規劃撥客戶資金的風險。
按重要空白憑證的要求規范化管理 防控措施:
1.加強USBKEY、手機銀行貼膜芯片、動態令牌等重要空白 憑證的管理,規范其領用、出庫、入庫、調撥和日常使用管理。每日營業終了,營業網點要按照會計部門關于重要空白憑證管理的要求進行賬實核對。
2.嚴格落實內部控制制約機制,要求員工及時將USBKEY、貼膜芯片、動態令牌等發放到客戶手中,禁止代客戶保管。
風險點4:客戶資料審核環節把關不嚴。
風險提示:如果柜員辦理簽約、變更、注銷等業務時,沒有認真審核客戶資料的完整性和真實性,一旦發生經濟糾紛和案件,就無法對相應操作免責,將會給農村信用社帶來法律風險。
嚴格按照操作規程辦理 防控措施:
1.柜員應認真審核客戶提供資料的完整性、授權委托書的規范性(使用財務會計部確定的格式憑證),以及填寫的各項要素是否完整、各類簽章是否齊全。
2.在辦理個人網銀業務時,應核對客戶提供的賬戶信息與系統登記的客戶身份信息是否相符,銀行卡狀態是否正常。
3.在辦理企業網銀業務時,應審核客戶提供的單位活期存款賬戶是否符合簽約企業網銀的條件,核對客戶提供的企業相關信息與核心業務系統登記信息是否相符。
4.辦理企業網銀簽約業務要堅持雙人操作,嚴格執行業務審核制度,避免擅自為企業客戶開通網銀的行為,以免造成客戶資 金風險。
風險點5:開通網上銀行、手機銀行(WAP)沒有按照操作規程要求進行操作。
風險提示:沒有按照流程操作,浪費操作時間,影響其他客戶辦理業務,甚至導致客戶不滿或投訴。
主要表現:先出售USBKEY或動態令牌,導致已簽約客戶無法進行簽約,這時必須對出售的USBKEY或動態令牌進行沖正,并將工本費返還給客戶。
規范操作可以有效避免此類問題的發生
防控措施:客戶申請開通網上銀行或手機銀行(WAP)時,柜員須按照“先簽約,后出售USBKEY或動態令牌,最后綁定客戶數字證書或動態令牌”的流程辦理,嚴禁在未簽約狀態下出售USBKEY或動態令牌給客戶。
風險點6:沒有在客戶簽約電子銀行時進行必要的安全提示。風險提示:在辦理開通電子銀行業務時,應重點提醒客戶防范欺詐風險,防止在不知情的情況下,被犯罪分子欺騙簽約電子銀行,進而造成客戶資金損失。
主動提示 盡職免責
防控措施:對主動要求簽約電子銀行的客戶,柜員首先詢問客戶開通電子銀行的用途,判斷客戶是否有被詐騙的可能。對有 被詐騙嫌疑且經提醒,客戶仍執意辦理電子銀行業務的,柜員應向客戶進行風險提示,履行風險告知義務,提醒客戶切勿按照陌生人提示簽約電子銀行或通過電子銀行辦理相關業務,對接收到的陌生郵件及短信提高警惕,不要輕易相信各種套取客戶資料的信息,以防上當受騙。
風險點7:客戶安全操作提示不到位。
風險提示:如果客戶操作提示不到位,不僅影響客戶正常使用,而且有可能給客戶帶來經濟損失。
防控措施:
1.提示客戶通過正確網址登陸,防范各種欺詐。應提示客戶直接登錄山東省聯社官方網址(www.tmdps.cn或www.tmdps.cn)或手機銀行(WAP)網址(https://wap.sdrcu.com),切勿通過其他網站鏈接方式登錄。
2.提示客戶在登錄網銀或手機銀行(WAP)系統后,及時核對自己設定的“預留信息”,切實防范“釣魚網站”等欺詐。3.提示客戶設臵安全性較高的密碼,不要采用生日、電話號碼、身份證號碼中的連續幾位以及簡單規則排列的數字等作為網銀或手機銀行(WAP)的登錄密碼。
4.提示客戶修改USBKEY初始密碼,具備條件的營業網點應由大堂經理指導客戶完成初始密碼修改工作。
5.提醒客戶妥善保管身份證件、銀行卡、USBKEY及動態令 牌等重要物品;勿將賬戶信息、證件號碼及密碼信息等透漏、告知包括自稱銀行工作人員在內的任何人。
6.提醒客戶不要在網吧等公共場所使用網上銀行。
7.提醒客戶使用USBKEY完成業務操作后,退出網銀系統并拔下USBKEY,不要在本人離開的情況下,長時間將USBKEY插在計算機上。
風險點8:新簽約電子銀行客戶,沒有引導其通過網銀體驗機進行首次使用操作。
風險提示:客戶沒有對我們的電子銀行首次登錄或初始密碼修改等進行操作,加大了客戶操作失敗的次數,客戶體驗較差。
防控措施:
1.營業網點要明確網銀體驗機的日常維護和管理職責,定期對網銀體驗機進行巡檢,確保機具正常使用。
2.安裝指定的殺毒軟件,防止使用人員非法安裝木馬程序,采取技術措施限制客戶只能登陸網銀系統相關頁面,并定期進行系統升級。
3.營業網點要安排相關人員通過網銀體驗機,教會客戶首次登錄網銀進行相關密碼變更、使用網銀、安全退出等操作,有效防范資金風險。
風險點9:營業網點在客戶提供的電子回單上加蓋印章。風險提示:客戶提供的電子回單,不符合操作規范,不作為客戶的入賬依據。
防控措施:按照相關操作規程要求,通過網銀或手機銀行內管系統查詢出客戶交易信息后,為其打印客戶回單并加蓋業務公章。
風險點10:企業年服務費扣繳,沒有按照企業操作員領用的USBKEY分別扣繳。
風險提示:企業客戶到柜臺主動繳納年服務費時,柜員沒有對該企業全部操作員領用的USBKEY分別扣繳年服務費,導致其中一個操作員不能操作,或者其中一個USBKEY扣繳了兩年的年服務費,容易造成糾紛。
防控措施:按照相關操作規程要求,對于存在一個以上操作員的企業用戶要分別扣繳每個USBKEY的年服務費。
風險點11:網銀注銷時沒有按照操作流程直接做注銷操作,而是先對USBKEY解綁后再進行網銀解約。
風險提示:網銀解約流程不符合操作規范,導致客戶數字證書沒有進行吊銷,存在一定的風險隱患。
嚴格按照操作規程辦理 防控措施:
1.按照電子銀行注銷操作流程規范操作。2.做好對電子銀行客戶注銷時提供資料的審核。
3.客戶電子銀行注銷后,提示客戶及時銷毀USBKEY或動態令牌。
二、客戶操作風險
風險點12:客戶電子銀行業務自助注冊風險
風險提示:網銀、手機銀行、電話銀行等電子銀行業務有其便利性,同時也伴隨著風險性,客戶自助注冊電子支付前要具備一定的電子支付和計算機操作技能,具備一定的風險防范意識,并主動實施。
防控措施:
1.認真閱讀電子銀行簽約協議和風險提示,對于不明鏈接或短信提示要提高警惕;
2.對于人行“超級網銀”業務中“跨行收款”、“跨行賬戶信息查詢”和“第三方貸記”業務功能,不要輕易授權他人使用。3.網上有風險,操作需謹慎。
風險點13:客戶賬號及密碼資料被盜。
風險提示:客戶將存款賬戶賬號、密碼存入電腦,有可能被木馬病毒侵害,泄露賬號及密碼。
防控措施:銀行卡賬戶、密碼不能保存于接入互聯網的電腦中;對于不熟悉的網站,填寫個人信息要謹慎;客戶應設臵更高級別的單獨密碼,使用“數字+字母+符號”組合的高安全級別密 碼;網上銀行和手機銀行登錄密碼、USBKEY密碼、動態令牌開機密碼、銀行卡交易密碼應設臵為不同的密碼,且不定期修改
風險點14:客戶電腦中木馬病毒。
風險提示:客戶要定期查殺病毒,保證在一個干凈、安全的電腦里使用電子銀行。
防控措施:
1.陌生人發來的鏈接或者郵件,不要輕易接收甚至打開;對一些后綴名為exe的安裝文件,或者不常見后綴名,更要加以留心。
2.有些鏈接點一下,原本很清爽簡單的文字會變成很長一串,而且亂七八糟,這種網頁要馬上關閉。
3.假如對方要發圖片給你看,不要采取接收文件的形式。如果圖片數量很大,可讓對方上傳到QQ空間或者博客里。4.養成良好的安全上網習慣,不要打開垃圾網站或可疑網站,關閉或刪除系統中不需要的服務,及時給系統打補丁,安裝專業防毒軟件實時監控。
5.推薦使用二代USBKEY。客戶數字證書本身不存在安全風險,但由于網絡黑客、木馬病毒的存在,加之客戶操作不規范(USBKEY長時間放到電腦上)使之安全性受到威脅,建議采用二代USBKEY。由于USBKEY在客戶手中,不法分子不能進行按鍵確認,可以有效避免資金損失 風險點15:網上消費時,打開來源不明的郵件或異常鏈接。
風險提示:不明賣家發送的鏈接或電子郵件有可能攜帶木馬病毒,隨意進入可能會遭木馬攻擊,從而泄露支付賬號和密碼。
防控措施:網上購物時,要登錄正確的網址,按照購物流程直接在平臺內支付,不要輕易點擊賣家發送的不明鏈接,不要輕易接受來源不明的電子郵件。
風險點16:沒有辨別“釣魚網站”。
風險提示:不法分子通過設臵“釣魚網站”、以假亂真等手段,達到騙取客戶錢財的目的,要引起網購客戶的警惕。
防控措施:
1.網上購物應保持警惕,看網站是否具有合法的ICP證及工商部門頒發的營業執照,看網站有沒有公布詳細的經營地址和電話號碼。
2.網上購物時不能貪圖便宜,更要留意其支付方式,對不接受貨到付款或匯款的支付一定要慎重。
3.向賣家索要收據、發票或者其他憑證,妥善保管匯款單據等,同時保留與賣家的往來郵件,交易訂單的網頁等,以備不時之需。
風險點17:USBKEY、動態令牌或手機丟失。
風險提示:客戶USBKEY、動態令牌或手機等設備丟失,要 在第一時間撥打客服電話(96668)進行相關簽約、綁定賬戶的口頭掛失,首先確保賬戶資金安全,然后到營業網點辦理相關業務的具體處理工作。
防控措施:
1.USBKEY或動態令牌丟失后,客戶應憑有效身份證件到簽約網點辦理USBKEY或動態令牌掛失手續,并領取新的USBKEY或動態令牌。
2.手機如有遺失或被盜,客戶要及向運營商時報停機,憑有效身份證件到簽約網點辦理手機銀行掛失手續,并領取新的手機銀行貼膜芯片。
3.手機號碼更換后,客戶要及時更新短信通簽約手機號碼及網上銀行、手機銀行客戶信息資料,避免賬戶信息泄露。
風險點18:企業網銀客戶代發工資操作不當帶來的資金風險。
風險提示:客戶對企業網銀代發工資業務處理機制不了解,不清楚其入賬時間,多次提交,在賬戶余額充足的情況下造成重復發放工資。企業員工一旦離職,重復發放的工資難以追回。
防控措施:
1.客戶辦理簽約代發工資業務時,應告知客戶代發工資業務的入賬時間為日終系統批量后次日,避免客戶重復提交業務。2.若出現代發工資失敗的情況,企業操作人員要及時撥打客服中心(96668)或到營業網點咨詢。
風險點19:客戶未在網銀或手機銀行(WAP)中設臵預留信息。
風險提示:個人及企業客戶在網銀或手機銀行(WAP)中設臵預留信息,每次登錄時,首先驗證預留信息的正確性,可有效規避誤入釣魚網站。
防控措施:客戶開通網銀或手機銀行(WAP)業務后,應及時設臵并定期修改預留信息,且每次登錄時首先核對預留信息的正確性,避免進入釣魚網站,辦理完畢業務后應安全退出系統操縱界面。
風險點20:網上支付資金賬戶存放資金較多。
風險提示:由于網上支付方便快捷,個人身份認證環節相對寬松,客戶在網上支付綁定賬戶應盡量少存放資金,以免給自己帶來資金損失。
防控措施:網上支付綁定資金賬戶中不要存入過多資金,最好隨用隨轉。采用雙賬戶管理網上銀行支付交易,在直接支付賬戶中不留或少留資金,在進行支付交易時,方可將資金轉到支付賬戶中進行交易。風險點21:客戶未及時掌握網上支付賬戶資金變動情況。
風險提示:客戶要及時掌握自己賬戶資金變動,在賬戶被盜的情況下,能最大限度避免經濟損失。
防控措施:
1.客戶應經常關注網銀、手機銀行及網上支付相關加掛賬戶內資金變化和登錄次數,發現賬戶被他人操作、登錄密碼泄露或其他可疑情況,立即修改密碼。
2.網上銀行、手機銀行及網上支付客戶應開通短信通業務,以便及時掌握賬戶資金變動。手機號碼變更時,應及時維護個人短信通客戶信息,以防個人信息資料被他人盜取。
風險點22:客戶未設臵交易限額
風險提示:客戶要按照自身資金往來實際,及時合理設臵網銀、手機銀行等電子銀行渠道單筆和日累計交易限額,有效防范資金風險。
防控措施:
1.網上銀行、手機銀行、電話銀行簽約時,可在營業網點由柜員進行相關交易限額的設臵。
2.對于已簽約的網銀、手機銀行客戶,可登錄相關系統,自行設臵交易限額。
3.若由于臨時大額資金劃撥等原因,導致客戶當日單筆或累計交易限額超過自己設定的交易限額(在銀行控制的交易限額之 內),客戶可更改相關設定后再辦理相關資金劃撥。資金劃撥后,可再將交易限額調整至原設定值。
風險點23:企業客戶沒有按照企業網銀的交易規則,設臵操作員和交易審核機制。
風險提示:部分企業客戶風險意識不強,為了業務操作方便,將兩個USBKEY交由一個操作員使用和管理,企業內部業務審核環節形同虛設,不能發揮應有的作用。一旦企業操作員盜竊或惡意侵占企業資金,很容易通過網上銀行非法轉移企業資金,案件偵破難度也會大大增加。
防控措施:企業客戶應加強網銀操作員的管理,加強操作員應用管理,嚴格落實網銀內部審核流程,防止資金被惡意侵占。
風險點24:客戶不重視電話銀行操作風險。
風險提示:在辦理電話銀行業務時,客戶應采取切實有效措施,切實保護賬戶、密碼等個人關鍵信息,嚴格防止賬戶資金被盜情況的發生。
防控措施:
1.最好不要使用公用電話或他人手機撥打客服電話,以防賬戶信息、密碼等個人資料泄露。
2.嚴格核對客服電話號碼,以防誤撥與客戶電話相似的電話號碼,防范客戶賬戶信息、密碼等資料泄露。3.使用電話銀行時,不要開啟電話的免提功能。
三、系統安全風險
風險點25:業務差錯處臵不及時,如果涉及客戶交易手續費沒有及時進行沖正。
風險提示:因系統故障造成的業務差錯,若得不到及時處理,可能給客戶帶來經濟損失,甚至引發客戶投訴。由于客戶自身原因造成業務差錯,若不能及時協助客戶查明賬務差錯原因,有可能貽誤客戶追索資金的時機。
防控措施:
1.由于系統故障原因造成的錯記、重記、漏記、或少記客戶賬務差錯,要嚴格按照會計核算有關規定及時進行調賬,涉及手續費、資金匯劃費的同時進行沖正。
2.對客戶自身原因造成的業務差錯,要積極協助客戶查明原因,并向客戶解釋清楚;需要追索款項的,相關部門要盡量給客戶提供幫助,做好協調工作。
風險點26:系統服務中斷處臵不及時。
風險提示:系統服務中斷影響客戶正常辦理業務,如果不能及時處臵,影響客戶對我們的滿意度,甚至可能給客戶帶來經濟損失;一旦引發客戶投訴,可能帶來聲譽風險,損害農村信用社的信譽和服務形象。防控措施:
1.對于客戶反映的系統服務中斷事件,受理機構人員應立即排查原因,經確認,屬非客戶原因服務中斷導致客戶無法辦理網銀業務的,應立即向上級主管部門報告。
2.由于不可抗外力因素、系統程序缺陷等各種原因導致網銀系統服務中斷,省聯社相關部門應立即排查系統中斷原因,迅速啟動應急處臵預案,采取有效處臵措施,使網上銀行系統盡快恢復對外服務。
風險點27:電子銀行安全事件處臵不及時。
風險提示:如果電子銀行安全事件處臵不及時,造成客戶資金損失,勢必會引發客戶投訴;一旦被新聞媒體曝光,就會帶來聲譽風險,造成難以挽回的損失。
防控措施:
1.客戶反映賬戶或資金被異常使用時,受理機構人員要認真聽取并記錄有關情況,幫助客戶查詢、核對業務交易情況,認真查找分析原因,并及時向上級主管部門報告。
2.指導客戶立即辦理賬戶掛失或止付手續,及時修改相關登錄密碼、USBKEY密碼、動態令牌開機密碼,以及賬戶交易密碼等個人信息。
3.對交易確屬可疑的,要及時向省聯社報告,并詳細說明事件情況,主要包括:客戶姓名、賬號、事件經過、是否報案、采 取的措施等內容。
4.安全事件較為嚴重或有繼續發展趨勢的,需向公安機關報案的,要及時向公安機關報案并提供線索,配合公安部門偵破案件。
第三篇:淺談網上電子銀行結算風險與防范
淺談網上電子銀行結算風險與防范免費文秘網免費公文網
淺談網上電子銀行結算風險與防范2010-06-29 18:45:29免費文秘網免費公文網淺談網上電子銀行結算風險與防范淺談網上電子銀行結算風險與防范(2)
近年來,電子銀行業務以其成本低,方便、快捷、全天候服務等優勢倍受客戶青睞。網上電子銀行結算在企事業單位迅速發展,但是,由于社會的復雜性、企業財務人員水平和個別銀行結算人員業務水平較低,網上電子銀行結算風險案例也不斷增加。增強風險意識,規避網上電子銀行結算成為當前網上電子銀行發展的當務之急。
一、網上電子銀行結算風險類型
網上電子銀行結算風險存在于銀行及客戶通過互聯網登陸銀行網站辦理各項業務活動的始終,網上電子銀行會計結算風險也是自始至終貫穿于網上銀行業務處理的全過程,我國商業銀行結算業務目前所面臨的部分結算風險在一定程度上是與網上銀行結算有關。從目前網上銀行結算的風險類型來看主要有客戶自身風險、銀行內部操作風險、黑客惡意攻擊風險。
(一)客戶自身風險。表現形式主要是企業財務管理混亂,崗位職責不清,財務管理做不到相互制約,有的企業所有印章全由會計一人保管,企業對財務事項全權委托會計一人處理,法人對財務事項長期不管不問,涉及簽字授權也不看不問,大筆一揮完事大吉,企業自身在管理上的嚴重缺陷,一旦財務人員有盜竊或侵占等非法手段獲得結算資金企圖,會通過網上銀行則將企業資金轉入個人儲蓄存款賬戶等。
案例:5月7日上午10時,一對
公客戶持現金支票到某支行營業室支取現金,柜員記賬時顯示客戶賬戶余額不足。客戶稱自己是該單位負責人,原會計辭職,支票及印鑒都在自己手中,前一天明明有一筆10萬元款項到賬,自己沒有開出別的支票,怎么會沒有存款呢?經查,該企業原會計在未告知企業負責人的情況下辦理了企業網上銀行開戶手續,并且設定業務權限為轉賬額度2萬元,設定一人辦理。5月7日上午8時,原會計進入網上銀行分5次將10萬元存款轉入其他賬戶。
該企業在開辦企業網銀時,會計在法人代表不知道什么是網上銀行的情況下取得授權書一人經辦,開通網上銀行業務后多次使用網上銀行轉賬及匯款,法人代表從未過問。法人代表在不明白網上銀行業務情況下就出具了授權書,反映了企業自身在管理上的嚴重缺陷。同時,也向我們揭示了企業網上銀行業務的風險點之一——開戶環節。作為經辦網點,必須嚴格企業網上銀行開
戶手續,確保企業網銀開戶資料齊全、合法,避免埋下事故案件隱患。
(二)銀行內部操作風險。銀行內部操作風險多數來自銀行經辦人員出于私利,首先經辦人員同客戶相互之間比較信任,出于營銷目的或別的原因,在客戶不了解網上銀行的情況下向客戶營銷,之后替客戶保管證書,由于風險意識淡薄、疏于管理,出現了內部會計人員利用網上銀行盜竊客戶結算資金的案件,不僅給造成了損失,也損害了銀行形象,給銀行結算工作造成不良影響。
(三)黑客惡意攻擊風險。具體表現為,一是犯罪分子利用客戶疏于防范心理盜竊客戶原始密碼自助注冊網上銀行盜竊客戶資金。二是利用假網站誘騙客戶上當。
二、網上電子銀行結算風險成因
網上電子銀行結算風險與銀行其他風險相比具有復雜性、隱蔽性、突發性和更大的危害性等特點,其風險形成是多方面的:如銀行臨柜人員違規違章
操作,賬務處理程序隨意簡化,隱瞞問題不及時上報造成重大隱患;銀行臨柜人員缺乏對網上電子銀行結算業務整體性的了解,對一些關鍵性的環節控制不到位或業務不熟悉;會計人員缺乏對網上電子銀行結算風險的研究,忽略重點環節的控制等。從已發生的案例來分析,主要為內部原因和外部原因兩方面:
(一)外部原因。主要是犯罪分子利用網上電子銀行結算這一環節,采用隱蔽、狡猾的手法進行詐騙。
1、洗錢。網上電子銀行結算不受時間、空間限制,銀行在為客戶提供方便的同時也為犯罪分子洗錢提供方便,犯罪分子可以在短時間內將非法所得通過網上銀行結算在不同賬戶之間劃轉達到洗錢目的。
2、詐騙。利用人們對網上電子結算業務不精通設置假網址進行詐騙。地震以來,不法分子利用人們支援災區的愛心設置假冒網址欺騙廣大qq用戶匯款的情況,近日,**分行連續發生不法分
子利用地震災情,通過在騰訊科技有限公司設置假冒財付通捐贈網址欺騙廣大qq用戶匯款的情況,其假冒網址和內容為:**匯款或銀行轉賬——可通過網上銀行轉賬;或中國工商銀行賬戶捐款;人民幣捐贈;開戶單位中國紅十字會總會(李連杰壹基金計劃-四川地震救助);收款人蒲某經查,假冒網址1的開戶人蒲某于 2008年4月25日使用第二代身份證在****州某支行開立個人結算賬戶。
3、盜竊他人密碼自助注冊。犯罪分子潛伏在銀行營業網點,當有人辦理開戶業務時,記下賬號、密碼、身份證件,自助注冊網上銀行盜竊他人資金。
(二)內部原因。主要是銀行規章制度不健全及結算人員違規操作帶來風險。
1、結
第四篇:淺談網上電子銀行結算風險與防范
近年來,電子銀行業務以其成本低,方便、快捷、全天候服務等優勢倍受客戶青睞。網上電子銀行結算在企事業單位迅速發展,但是,由于社會的復雜性、企業財務人員水平和個別銀行結算人員業務水平較低,網上電子銀行結算風險案例也不斷增加。增強風險意識,規避網上電子銀行結算成為當前網上電子銀行發展的當務之急。
一、網上電子銀行
結算風險類型
網上電子銀行結算風險存在于銀行及客戶通過互聯網登陸銀行網站辦理各項業務活動的始終,網上電子銀行會計結算風險也是自始至終貫穿于網上銀行業務處理的全過程,我國商業銀行結算業務目前所面臨的部分結算風險在一定程度上是與網上銀行結算有關。從目前網上銀行結算的風險類型來看主要有客戶自身風險、銀行內部操作風險、黑客惡意攻擊風險。
(一)客戶自身風險。表現形式主要是企業財務管理混亂,崗位職責不清,財務管理做不到相互制約,有的企業所有印章全由會計一人保管,企業對財務事項全權委托會計一人處理,法人對財務事項長期不管不問,涉及簽字授權也不看不問,大筆一揮完事大吉,企業自身在管理上的嚴重缺陷,一旦財務人員有盜竊或侵占等非法手段獲得結算資金企圖,會通過網上銀行則將企業資金轉入個人儲蓄存款賬戶等。
案例:5月7日上午10時,一對公客戶持現金支票到某支行營業室支取現金,柜員記賬時顯示客戶賬戶余額不足。客戶稱自己是該單位負責人,原會計辭職,支票及印鑒都在自己手中,前一天明明有一筆10萬元款項到賬,自己沒有開出別的支票,怎么會沒有存款呢?經查,該企業原會計在未告知企業負責人的情況下辦理了企業網上銀行開戶手續,并且設定業務權限為轉賬額度2萬元,設定一人辦理。5月7日上午8時,原會計進入網上銀行分5次將10萬元存款轉入其他賬戶。
該企業在開辦企業網銀時,會計在法人代表不知道什么是網上銀行的情況下取得授權書一人經辦,開通網上銀行業務后多次使用網上銀行轉賬及匯款,法人代表從未過問。法人代表在不明白網上銀行業務情況下就出具了授權書,反映了企業自身在管理上的嚴重缺陷。同時,也向我們揭示了企業網上銀行業務的風險點之一——開戶環節。作為經辦網點,必須嚴格企業網上銀行開戶手續,確保企業網銀開戶資料齊全、合法,避免埋下事故案件隱患。
(二)銀行內部操作風險。銀行內部操作風險多數來自銀行經辦人員出于私利,首先經辦人員同客戶相互之間比較信任,出于營銷目的或別的原因,在客戶不了解網上銀行的情況下向客戶營銷,之后替客戶保管證書,由于風險意識淡薄、疏于管理,出現了內部會計人員利用網上銀行盜竊客戶結算資金的案件,不僅給造成了損失,也損害了銀行形象,給銀行結算工作造成不良影響。
(三)黑客惡意攻擊風險。具體表現為,一是犯罪分子利用客戶疏于防范心理盜竊客戶原始密碼自助注冊網上銀行盜竊客戶資金。二是利用假網站誘騙客戶上當。
二、網上電子銀行結算風險成因
網上電子銀行結算風險與銀行其他風險相比具有復雜性、隱蔽性、突發性和更大的危害性等特點,其風險形成是多方面的:如銀行臨柜人員違規違章操作,賬務處理程序隨意簡化,隱瞞問題不及時上報造成重大隱患;銀行臨柜人員缺乏對網上電子銀行結算業務整體性的了解,對一些關鍵性的環節控制不到位或業務不熟悉;會計人員缺乏對網上電子銀行結算風險的研究,忽略重點環節的控制等。從已發生的案例來分析,主要為內部原因和外部原因兩方面:
(一)外部原因。主要是犯罪分子利用網上電子銀行結算這一環節,采用隱蔽、狡猾的手法進行詐騙。
1、洗錢。網上電子銀行結算不受時間、空間限制,銀行在為客戶提供方便的同時也為犯罪分子洗錢提供方便,犯罪分子可以在短時間內將非法所得通過網上銀行結算在不同賬戶之間劃轉達到洗錢目的。
2、詐騙。利用人們對網上電子結算業務不精通設置假網址進行詐騙。5.12地震以來,不法分子利用人們支援災區的愛心設置假冒網址欺騙廣大qq用戶匯款的情況,近日,**分行連續發生不法分子利用地震災情,通過在騰訊科技有限公司設置假冒財付通捐贈網址欺騙廣大qq用戶匯款的情況,其假冒網址和內容為:**匯款或銀行轉賬——可通過網上銀行轉賬;或中國工商銀行賬戶捐款;人民幣捐贈;開戶單位中國紅十字會總會(李連杰壹基金計劃-四川地震救助);收款人蒲某經查,假冒網址1的開戶人蒲某于 2008年4月25日使用第二代身份證在****州某支行開立個人結算賬戶。
3、盜竊他人密碼自助注冊。犯罪分子潛伏在銀行營業網點,當有人辦理開戶業務時,記下賬號、密碼、身份證件,自助注冊網上銀行盜竊他人資金。
(二)內部原因。主要是銀行規章制度不健全及結算人員違規操作帶來風險。
1、結
算隊伍建設滯后。網上銀行結算業務量隨著經濟的發展而迅速增加,網上銀行結算管理的任務不斷加重,然而專業結算人員素質不高,這種狀況,必然削弱網上銀行結算管理,成為違章違紀行為經常發生的一個原因。結算人員替客戶保管證書,很容易引發網上銀行結算風險,這樣無形當中增加了經辦人員錯弊的可能性,同時也為作案人員創造了機會。
2、內部檢查力度不夠。一些行由于會計檢查人員配備不足,會計檢查人員水平有限,會計檢查輔導內部檢查的頻率和覆蓋面均未涉及網上銀行結算,未達到一個合理的水平,無法及時發現網上銀行結算工作中存在的問題。
3、重營銷輕管理,風險意識不到位。近年來,網上電子銀行的營銷作為一項指標與支行掛鉤,部分營銷人員缺乏防范意識,為完成任務指標往往在手續不全的情況下為客戶注冊網上銀行,一旦發生風險無法補救。
三、網上電子銀行結算風險的防范措施
(一)客戶自身風險的防范。一是在向客戶營銷時作好調查,企業財務管理情況、企業財務人員電腦水平有多高要了如指掌。二是向客戶做好培訓工作,一定要教會教懂。三是一定要提醒客戶進行必要的風險防范。
(二)銀行內部操作風險防范。一是統一開戶資料的核驗標準。嚴格按照制度和操作流程辦理業務。堅持按制度辦理業務是規避風險的有效手段。二是增強員工的業務素質和案防意識。只有熟知制度和業務操作流程,才能掌握風險點,控制業務風險。對此,必須加強員工培訓學習,建立學習制度,使業務學習經常化、規范化。另外,要加強風險教育工作,結合實際案件揭示各項業務的風險點,讓員工真正理解制度,做到“知其然知其所以然”,減少和避免對制度的抵觸情緒。三是加強內部檢查力度。目前對網上銀行電子結算檢查環節比較薄弱,檢查頻率、深度不夠。
(三)黑客惡意攻擊風險防范。一是加大金融知識宣傳力度。采取多種形式進行業務宣傳,對開戶企業寄送網銀資料,利用客戶回訪或與企業座談等宣傳網上銀行的強大功能與優勢,使客戶感受到網銀的便利與特點,同時也使企業法人及財務人員了解企網特點與風險點,增強企業領導和財務人員風險意識。二是提請客戶識別假網站,安裝防病毒軟件。三是營業網點大堂經理做好大堂秩序維護,防止閑雜人等混入銀行伺機作案,同時提醒客戶開戶信息不要隨意丟棄。
第五篇:電子銀行業務風險與防范
課 程 提 綱
賴立峰
課程名稱:電子銀行業務風險與防范
課程時長:120分鐘
課程簡介:我國的電子銀行業務始于20世紀90年代后期,目前已初步建成一套較為完整的包括網上銀行、電話銀行、手機銀行、自助銀行等渠道在內的電子銀行服務體系。雖然目前我國電子銀行業務得到了迅速發展,但電子銀行在產品特色、經營理念及管理水平上都還存在參差不齊的現狀。尤其隨著我國加入WTO,外資銀行全面進軍國內市場,在經營地域、業務范圍和客戶市場上將與中資銀行開展全面競爭,國內各銀行風險的把握是極其必要的。因此,對電子銀行業務進行風險評估與管理就成為國內商業銀行把握機遇,降低風險的必要步驟。課程內容:
一、電子銀行業務風險分類標準
1、《電子銀行風險管理原則》(Risk Management Principle for Electronic Banking);
2、按中國銀監會標準劃分。
二、電子銀行業務風險分析
1、傳統風險:★信用(基礎)、流動性、市場、利率等;
2、特殊風險:技術、★操作(差別較大)、★法律(差別較大)、戰略、聲譽、外包、跨境等。
三、風險的管理和控制
1、操作風險管理
2、信用風險管理
3、流動性、利率、市場風險管理
4、聲譽風險管理
5、法律風險管理
四、其他措施和輔助手段:包括稽核和系統檢測。
點擊咨詢 