电子银行创新与风险管理.ppt

* * Date * 巴塞尔协议定义的电子银行的风险内容和管理 风险类型 可能的表现形式 对银行的潜在影响 可行的风险管理措施 操作风险 未经授权的访问 黑客进入银行内部系统；第三方未经授权截取客户信息；使银行系统感染病毒；故意破坏银行系统数据 丢失数据；客户信息被窃取或篡改；内部计算机系统主体失效；系统修复费用开支；对外界形成不安全印象 侵入测试；监视系统发现使用中异常；通讯安全措施(防火墙、口令管理、加密技术、对终端用户的正确授权)；内部系统病毒检测，不间断监控 雇员欺诈 雇员修改数据、从银行账户中提取资金、从记录中获取信息；窃取智能卡 补偿客户损失开支、重构客户数据库的开支；未收到预付资金而兑现电子货币可能造成的损失；客户对银行失去信任；法律制裁和负面宣传 适当监督新员工的策略；设定内部控制和责任制；雇员业绩的外部审计；适当控制智能卡的生产、存放 伪造电子货币 犯罪人篡改或复制电子货币，不支付而获取物品或资金 银行为伪造的电子货币承担责仟；·修复受损系统的开支 监视跟踪个人交易，在中央数据库中维持连续记录，在储值卡和商户硬件中嵌入防篡改设备，实施审计记录；降低装载，减少伪造货币对犯罪人吸引力 服务提供商风险 服务提供商没能提供银行所希望的服务；在系统、数据完整性或可靠性方面存在缺陷 客户认为银行应为服务提供商风险负责 与服务提供商签合同之前，充分考虑风险；在服务提供尚合同中明确性能标准、应急方案、审计、检查条款；与服务提供商一起制定备份计划，与其他备选的提供商签订合同，制定应急计划 系统退化 交易过程的迟滞或中断；在系统、数据完整性或可靠性方面存在缺陷 负面的公众反应；错误的交易导致法律问题，如诉讼；解决问题的开支 定期审查现有软硬件性能；制定责任制，明确系统和设备的更新职责 职员及其管理技能落伍 快速的技术变化使；管理层和职员不能完全理解所采用的新技术或技术升级的特点 新技术实施差；无法提供后续支持；在系统性、完整性或可靠性性存在不足 客户安全性经验不足 在非安全的电子传输渠道中使用个人信息(如信用卡卡号、银行账户号)；犯罪者利用客户泄密访问客户账户 未经授权的交易造成资金损失 向客户说明在非安全的交易中保护个人信息的重要性；在产品和服务中采取安全措施 客户对交易抵赖 客户否认自己完成的交易，要求退款 为证明客户授权了该笔交易而发生的开支；不能提供证明而造成的资金损失 实施安全措施(比如个人识别密码)，提高客户鉴别能力；对交易实施审计记录 风险类型 可能的表现形式 对银行的潜在影响 可行的风险管理措施 法律风险 不确定或不明确的法律规定 银行因疏忽违反法律既定的消费者保护、反洗钱、数字签名法应用的不确定性 银行法律方面的开支，或受到法律制裁 开展电子银行业务前，确定哪些领域存在法律不确定性；对法律不确定性风险承受能力做出细致的判断；定期审查守法合规情况；向立法机关请求解释；更新守法合规培训；制定应急计划 洗钱 客户滥用银行的电子全良行系统或电子货币系统从事洗钱或犯罪活动 因未遵守“了解你的客户”法则而受到法律制裁 设计客户鉴别和监视技术；实施审计记录；设计策略和程序，发现并报告可疑行为；降低电子货币装载限额，减少洗钱吸引力；定期审查守法合规情况；更新守法合规培训；制定应急计划 向客户披露的信息不充分 客户未完全理解其权利义务和争一议解决程序，使用中没有采取足够的预防措施 客户诉诸法庭，银行面临法律制裁 恰当披露信息；培训员工理解客户困难。在可能产生风险的领域，仔细权衡走出法律底限之外的信息披露的成本收益；向公众分发产品说明；制定一定程序定期审查立法要求 没能保护客户隐私 未经客户授权发布有关客户金融交易模式的信息 如果客户诉诸法庭，银行面临应诉开支；可能面临法律制裁风险 审查隐私权保护策略；培训员工隐私权保护程序；实施安全性措施；定期审查守法合规情况；更新守法合规培训 与银行互联的站点出现问题 当银行网址与提供互补性产品的机构互联时，后者可能令银行客户失望或欺骗银行客户 银行面临客户的诉讼 全面理解互联其他站点的法律环境和安全性风险；恰当的消费者信息披露；不在银行网站上对互联站点的产品和服务做出质量说明 发证机构风险 以银行名义伪造证书；未进行身份确定下向伪装成银行客户的个人发放证书 与撤销和重发证书相关的成本；第三方信任伪造证书或以欺骗方式获得证书，可能将银行告上法庭；·声誉受到负面影响 实施恰当的安全措施和控制 跨境经营带来的风险 电子银行吸引外国客户，银行面临不同国家的法律要求；不同国家间的司法管辖权责任不清；银行发行或分销电子货币可能在本土以外使用 银行未遵守本国以外的法律或法规；银行面临不可预测的法律事务开支 确定跨国使用程度，就银行对司法权不确定性的反应能力做出判断；培训工作人员了解不同国家的法律环境 风险