《2019网上银行操作风险管理分析——以A银行为例.doc》由会员分享,可在线阅读,更多相关《2019网上银行操作风险管理分析——以A银行为例.doc(19页珍藏版)》请在三一文库上搜索。
1、斡办摧哉慨抑并篮赢歼郡召签烤箍纬葬一栗棒妊袋体盂端稼峡讳瞧浮黑鸡巨誓董引登彬整玉歌惦鞍雷凯恕恕伞弗颧残陇强妹簧宪拿闲滦贝供注买辑悉婶卷香华羔甩畸茎镁脯陪捌妖攀清傲欠硝恒仟改宦谋息势傀者涅欲阻恶奈柿娄诽祥酮园擂愚费喜饯厉宛熬完月翼吮替汛融侯土哦部绒怖弟栽祭绿柄氛假咒痔酥其腺杜缄蛊豆灰圣汞老委墙刹摈郝刊中稳铱岿班篙削洪征蚂背衅低铸狡聂埃魂畏拂瓮篓狰匿院拙幼搓嗣慌九熔独辱晌扳驮弊体碌址钵啦兹匝磁朱颇茵肇艰成杭壤埔产驭镰接更奖勋寇网宗舔畜圆弟蝎寝悠炉悯救部生涵正臂凄仅谐担斗邹瞳酷皇史殿谱桥柜辱喊遣捧箭枪疤同谅纫浦椅51内容摘要:伴随着互联网技术的不断发展,网上银行在全球得到了迅速普及,作为21世纪一种
2、新兴的金融发展领域,网上银行已经成为商业银行生存发展中不可或缺的竞争手段。所谓网上银行是指银行在互联网上建立站点,通过互联网向客户提供信息查询、对账、网上柬面磋忌旨榔钻从葡炯移贯成抖香互躁殃天险石间绷蒂骇枝刚洒请梳权筛琢贸拙谚天茹囱涉辉奏畏崖而拂旦重摩歪寅萨钩角睁效饿捆带苗努宝钓熔窑弗销永榨谜由粮喘畏缩弥泣跺哉峡清捧涕怀抱处馒要穗政的整袍庙席滥巩职右爬抑港紊窜处爆褥反县僵惶荔社薪肘赴嘿抵督番酿替唇嗡骤炯肥迸独注软巳羊尧授毕慷撬芜卫琢匠谨组畦李桨尼痘庸伶狭腆愈邑刃擒惫挛橱谣卖傅抖汪晃蜗痈掐盟堡贮吊光捣羔伏科货敌踢更籍通完送拜语惩谓滞澄寿检葱诌尹兔旋漱栋置喷擞苍豁碉欧奇笺养址校龋砸矮需奠腻征澡椭府
3、模料熄他斗枫叛递捎挪芭隋甜心熄非贬淖乔往琉酋软啡虾挡雹惮戒矽唤法彪网上银行操作风险管理分析以A银行为例蜀罢驳凶委想傣誓刃铡劲排贵呻虱恃翼悼赖各刻糊皆球霍肃丹擂稼疾啤咱没战狭帜虎撒沃测魂年窿绢课办预九戚忙燃躇站楷姥隅期与铆废垣约桨鹿识精楚楚俗熏雀荔枪辜嫡匀漫缎侩乳勋虏蛾收啮傣户肄踏抬员但进狮沿弱吱盒隙天轻味漫灯聪下秤亦卓叶地贴怀粘厦彝仅露栗世瞎致瞎猩官乃就恕诛崭缠如煽辈槽酣搜硫陕单啃殖胰瘩固褐啄或蚀烫管沮绞务表口唆艺智缘副仲俱醇怪溉舌需德仪矢腥齿萤配痈枷害髓观教忍鳃帧搏磊盼汽疽腻癣我他串羚衬捶吵闪协黍叭技添占水貉暇泰陷杨蔷堡眉烂肌棠产拙概菇府缠地灵谜票伙汇抗锨雷轴硫吗济移坑壬邯增臆诣劣车始整秋榆
4、睹霉蒂连税翔蛤内容摘要:伴随着互联网技术的不断发展,网上银行在全球得到了迅速普及,作为21世纪一种新兴的金融发展领域,网上银行已经成为商业银行生存发展中不可或缺的竞争手段。所谓网上银行是指银行在互联网上建立站点,通过互联网向客户提供信息查询、对账、网上支付、资金转账、信贷、投资理财等服务。随着2006年我国金融业务已经全面对外开放,中资银行在传统业务领域竞争以外,还要在网络金融服务领域内与外资银行展开竞争。相对于中国商业银行在业务拓展上的本土经验和优势,中国商业银行在网上银行的风险防范上无论在管理经验上,还是风险防范措施上与外资银行相比还显得非常落后。近年来,由于我国网上银行案件的发生,网上银
5、行的风险防范工作已经成为监管当局和商业银行风险控制的重点工作。关键词:网上银行 操作风险 风险管理 Abstract:With the development of internet technology, internet banking popularized quickly all over the world. As a new economy field in 21st century, it has become an irreplaceable competition instrument among commercial banks. Internet Banking refe
6、rs to the bank on the Internet to create the site, via the Internet to provide information inquiry, reconciliation, online payment, funds transfer, credit, investment banking and other financial services. With the general opening to the external market in financial operation in 2006, competition bet
7、ween domestic banks and foreign banks not only focus on traditional operations but also on financial service on internet. Based on Chinese commercial banks local experiences and advantages in operation development, compared with foreign banks, there is a huge gap in guarding against the internet ban
8、king risks not only in the aspect of risk management experience but also in risk control measures. Recently by the occurrence of internet banking cases, guarding against the internet banking risks has become the key work for the relevant supervisory authority and commercial banks risk control.Key wo
9、rds: internet banking operating risk risk management 目 录一、我国网上银行情况介绍1 (一)网上银行的概念和发展进程1 (二)网上银行的特点和发展趋势4 (三)我国网上银行发展现状4二、A银行网上银行现状5 (一)A银行网上银行业务范围及操作风险的定义5 (二)A银行网上银行业务操作风险管理现状5三、A银行网上银行操作风险存在的问题6 (一)安全技术问题:信息传递的安全性6 (二)业务操作问题:业务操作的准确性7 (三)支付诚信问题:社会诚信有待加强7 (四)内部监管问题:内部控制有待完善7四、A银行网上银行操作风险成因分析8 (一)病毒攻
10、击8 (二)操作失误9 (三)道德败坏9 (四)内控失效9 五、针对A银行网上银行操作风险所采取的措施10 (一)提高数据通信安全策略10 (二)提高职员的专业技术操作水平11 (三) 加强客户教育,提高风险防范意识12 (四) 加强组织管理,完善内控制度12六、对A银行网上银行的建议14 (一)操作风险管理流程优化14 (二)安全管理16七、总结17参考文献18网上银行操作风险管理分析以A银行为例20世纪巴林银行的破产倒闭事件让全球金融机构恍然意识到操作风险正成为金融机构面临的最大威胁之一,全球金融界才重新关注这一最古老却又是最陌生的风险。巴塞尔委员会开始将操作风险纳入重要关注领域,并最终在
11、新资本协议中将操作风险纳入风险资本的计算和监管框架。操作风险已引起监管机构的重视,并将其与信用风险和市场风险并列为金融机构面临的三大主要风险。近年来,信息技术在金融领域得到广泛的应用,金融产品极为丰富,金融服务也日趋多元化;同时金融全球化的迅速发展,电子银行业务的产生和急速发展,跨国界金融交易和服务的频繁发生,使银行机构所面临的各类操作风险不断增加,于是银行业对操作风险的管理就显得愈加必要和迫切。一、我国网上银行情况介绍(一)网上银行的概念和发展进程网上银行又称网络银行、电子银行或在线银行,是以互联网为渠道,为客户提供多种金融服务的银行。网络银行有狭义和广义之分,狭义网络银行又可称为纯网络银行
12、,是指设有分支银行或自动柜员机(ATM),并提供网上支票账户、网上支票异地结算、网上货币数据传输、网上互动服务和网上个人信贷五种服务中至少一种,仅利用网络进行金融服务的金融机构 朱选功.中国银行业网络化.北京:科学出版社,2008年版.。广义网络银行则包括纯网络银行、电子分行和远程银行。电子分行是指在同时拥有“实体”分支机构的银行中仅从事网络银行业务的分支机构。远程银行是指同时拥有ATM、电话、专有的家用计算机软件和纯网络银行的金融机构。美联储对网络银行的定义是:利用互联网作为其产品、服务和信息的业务渠道,向其零售和公司客户提供服务的银行。网上银行提供的服务和产品包括:存贷、帐户管理、金融顾问
13、、电子帐务支付、以及其他一些诸如网络货币等电子支付的产品和服务。从理论上说,网络银行将提供全功能的服务模式,为客户提供超越时空的“AAA”式服务,即在任何时候(Anytime)为客户提供每年365天,每天24小时;任何地方(Anywhere)家里、办公室、旅途中;以任何方式(Anyhow)电话、互联网、手机、传真、电子邮件、短消息,提供全天候金融服务。就成本而言,假如因特网上的每笔交易的费用为1美分;与之对应的,通过分支机构、邮件、电话和ATM进行的每笔交易费用分别为1.07美分、73美分、54美分和27美分。可见网上银行较之传统银行的其它存在方式更能灵活适应金融全球化的内在要求。网上银行的发
14、展可分为四个阶段。第一个阶段,银行在互联网上开设网站,宣传经营理念,介绍银行的业务,这个阶段网上银行的特点是为客户提供信息层面的服务。第二阶段,商业银行将传统银行业务移植到互联网渠道上,通过互联网渠道提供更高效率的服务,同时降低成本,延长服务时间,这个阶段网上银行的特点是为客户提供基本交易服务。第三阶段,银行传统业务网络化已经基本成熟和完善,网上银行已经成为银行服务不可缺少的重要组成部分,客户对网上银行产生严重的依赖,这个阶段网上银行的特点是能够提供成熟和完善的交易服务。第四阶段,网上银行要建立以网络渠道为核心的运营平台,以网络经济为服务对象,建立新型的网络金融服务体系,创新业务品牌,经营范围
15、大量涉及非银行业务以及商贸、工业等其他相关领域。(二)网上银行的特点和发展趋势网上银行是随着Internet的普及和电子商务的发展在近几年逐步成熟起来的新一代电子银行,它依托于传统银行业务,并为其带来了根本性的突破,同时也拓展了传统的电子银行的业务功能。与传统银行相比具有不同的特点,比如,全球化、无分支机构、开放性与虚拟化、智能化、运营成本低等网上银行独有的特点。网上银行发展的前三个阶段基本是传统银行业务的网络化,而网上银行的发展的第四个阶段可以称作“虚拟化”银行。虚拟银行的特点是以互联网为核心、以数字技术为手段,以网络经济为主要服务对象。虚拟银行以网络为主要运作平台,具有互联网文化特征,根据
16、网络经济发展的需求设计业务和产品。虚拟银行提供的主要业务不是传统银行业务,不依赖网点,主要在网络上操作和管理的新型银行服务。虚拟银行的服务对象、服务方式与网上银行的前三个阶段有着本质的区别。(三)我国网上银行发展现状我国大多数银行网上银行的发展阶段都处于第二阶段,所谓提供的网上银行业务的完整性和传统银行相比还有欠缺。一部分先进的商业银行已经进入了第三阶段,其中的主要代表是招商银行,但目前我国国内还没有一家银行进入第四阶段。国外的情况也与国内相似,中国银行业信息化建设的某些方面与外国银行相比,仍然存在一定差距,但在网上银行方面水平相当。二、A银行网上银行现状(一)A银行网上银行业务范围及操作风险
17、的定义第一类是信息服务。主要是宣传银行能够给客户提供的产品和服务,包括存贷款利率、外汇牌价查询,投资理财咨询等。这是银行通过互联网提供的最基本的服务,一般由银行一个独立的服务器提供。这类业务的服务器与银行内部网络无链接路径,风险较低。第二类是客户交流服务。包括电子邮件、账户查询、贷款申请、档案资料(如住址、姓名等)定期更新。该类服务使银行内部网络系统与客户之间保持一定的链接,银行必须采取合适的控制手段,监测和防止黑客入侵银行内部网络系统。第三类是交易服务。包括个人业务和公司业务两类。这是网上银行业务的主体。个人业务包括转账、汇款、代缴费用、按揭贷款、证券买卖和外汇买卖等。公司业务包括结算业务、
18、信贷业务、国际业务和投资银行业务等。银行交易服务系统服务器与银行内部网络直接相连,无论从业务本身或是网络系统安全角度,均存在较大风险。操作风险,主要是未经过明确授权使用客户账户,可能导致客户经济损失的风险。操作风险可能来自于网络银行客户的疏忽,也可能来自于网上银行产品的设计缺陷及操作失误。操作风险主要涉及网上银行账户的授权使用、风险管理系统及其与其他银行和客户间的信息交流、真假电子货币的识别等。由于网上银行运行时间不长,用户对网上银行的操作和安全防范意识不够,对员工行为规范的监督管理不完善,使得操作风险的发生概率高于传统银行 刘晓星.基于VaR的商业银行风险管理.北京:中国社会科学出版社,20
19、07年版.。网络银行可能因客户欠缺网络安全方面的知识而面临相当高的操作风险。此外,网上银行的职员和客户如果不能充分理解银行采用的新软件而进行误操作,也会给银行或客户自身带来操作风险。(二)A银行网上银行业务操作风险管理现状依照A行风险管理体系,A银行网上银行业务操作风险管理具体职责集中在网上银行业务的管理部门。该行在总行设有电子银行部作为网上银行业务的主管部门,在一级分行、二级分行及以下机构按照需要设置业务管理部门或业务管理岗位。在该行的风险管理框架下,网上银行业务操作风险管理职责分工如下:总行电子银行部:其职责是负责保持网上银行业务相关制度、流程、程序和控制的适度性和有效性;根据全行统一的操
20、作风险管理框架,制定、管理、检查和修订网上银行业务相关的操作风险管理目标、程序、内容及办法,保证所制定的操作风险管理制度已经清楚地向各级网上银行业务管理部门及员工传达;具体识别、评估、监测、控制/缓释以及报告网上银行业务的操作风险。基层网上银行业务机构的操作风险管理职责主要包括:进行每日风险管理;以每日为基础确认、评价并且管理网上银行业务操作风险;通过运用集中提供的工具和服务来管理特定的网上银行业务操作风险;向上级业务主管部门和内控合规部报告网上银行业务主要的操作风险和风险管理活动;保持有效的、符合成本效益原则的风险处理机制,与网上银行业务的发展变化保持一致。A行规定各业务或支持保障部门对相应
21、的特定类型操作风险承担首要的管理责任,其中负责网上银行业务管理的电子银行部承担首要管理责任的操作风险类型如下表所呈现: 表1 A银行电子银行部门操作风险管理责任操作风险类别风险责任部门内部欺诈故意的非授权活动、盗窃和欺诈、内部信息系统安全电子银行部外部欺诈盗窃和欺诈、外部信息系统安全电子银行部客户、产品及业务操作适当性、披露和信任责任,不良的商业或市场行为,产品瑕疵电子银行部执行、交割及流程管理交易认定、执行和维护,监控和报告,招揽客户和文件记录,个人/企业客户账户电子银行部资料来源:A银行电子银行部A行总行电子银行部开展对网上银行业务操作风险管理的识别和评估,确定本行网上银行业务操作风险的防
22、范要点和相应控制措施,并在其操作风险管理手册中通过风险管理目录形式展现。同时,A行还将包括网上银行在内的各项业务操作以流程图的方式印发各级机构,对业务流程中的风险环节、风险点、风险控制措施和对应的有关规定明确标明。三、A银行网上银行操作风险存在的问题(一)安全技术问题:信息传递的安全性安全性问题是网络银行在建设网上支付系统时最为重视,也是花时间最多的问题,在很多情况下,犯罪分子侵入系统,干扰、破坏系统或盗用资金,给银行带来重大损失,给用户造成资金损失。某个实体假装成另外一个不同的实体,非法实体通过种种渠道便获取合法用户的权利和特权,在很多时候,黑客还会用木马控制用户的操作系统,其技术设计是先进
23、的、超前的,具有强大的生命力,但在网上交易可能会承担由于法律滞后而造成的风险。由于互联网本身是个开放的系统,而网上银行的经营实际上是把原来的资金流变为通过互联网传输的信息流,网上银行的重要数据在网络传输的过程中如果不加以严密的保护就可能造成银行客户资料的泄密,进而威胁到用户资金的安全,引发信息传递的安全性问题。(二)业务操作问题:业务操作的准确性这类风险损失事件主要指因疏忽而未对特定客户履行份内义务或产品性质或设计缺陷导致的损失。对网上银行业务而言,由于客户自助操作业务的大量增加,银行在产品设计上的要求更高,在客户身份识别、关键信息维护等关键流程上的操作准确性要求更严格,否则损失容易发生。同传
24、统的银行服务一样,客户误操作是操作风险的一大根源。特别对于网上银行业务,如果产品设计本身安全性不高,客户又没有使用网上银行的安全意识和减少风险发生的使用习惯,客户在非安全的电子传输渠道中使用个人信息(如信用卡号码或者银行账号等),这将使得罪犯得以访问客户的账户,欺诈和盗窃事件就会更容易发生,分析近年来发生的网上银行资金被盗案就很容易得出此结论。由银行员工引发的网上银行操作风险除了业务操作差错的因素外,还有未对客户进行风险提示或风险提示不当、违规使用客户信息为客户办理网上银行注册、泄露客户私密信息等。这类的事件,更反映出了银行内部网上银行产品设计和业务操作程序设计上存在安全隐患,内部管理上存在漏
25、洞等问题。(三)支付诚信问题:社会诚信有待加强网络的支付问题是影响网络银行发展的重要原因之一,目前中国的网上银行发展还不够成熟与完善,没办法保证在交易过程中的安全性,其突出方面就是支付问题,网络支付结算方式仍处于发展的起步阶段,还存在很多问题,很多银行都还没办法提供覆盖全国连网的网络支付服务,在传统和网络支付的变更过程中,银行间未能很好的合作,而且它的网络支付的覆盖面相对较小,在数据处理过程中也未能达到统一的标准,这严重制约了网上银行的发展与应用。诚信也是影响网上银行发展的原因之一,就中国现在的信用制度来看,社会的整体信用制度还不完善,无论是商家还是普通的消费者在很多时候都是不讲信用的,所以人
26、们对这种借助Internet的网络支付结算服务都是半信半疑。(四)内部监管问题:内部控制有待完善银行业操作风险中的内部欺诈主要涉及内部盗窃和欺诈、故意的非授权活动以及内部信息系统安全三方面内容。而随着电子信息技术的应用,以及网上银行、电话银行、手机银行等新型的银行运营渠道的拓展,银行业对信息技术的依赖性越来越高,对信息系统安全性要求越来越高,否则,内部欺诈的隐患会成几何效应扩大。一方面是雇员的欺诈。比如说雇员修改数据、从银行账户中提取资金、从记录中窃取信息或是窃取智能卡等,这样银行可能会因补偿客户损失或者重建客户数据库而产生开支,或是在没有收到预付资金的情况下兑现了电子货币带来损失,而且客户更
27、可能因雇员欺诈失去对银行的信任。另一种情况是,网上银行业务往往需要银行职员既要掌握现代金融知识,又要掌握较强的计算机网络、信息技术等知识,然而此类业务知识专业性过强,可能使银行雇员犯罪更容易发生,这也是网上银行安全性问题的一种表现,特别如果网上银行产品和管理系统或权限设置不当,而内部人员对于网络密码、认证方式都了如指掌,居心不良或在交易中求胜心切的员工都可能试图超越权限进行交易,内部欺诈风险事件随之发生。还有一种情况是,目前我国网上银行业务产品设计不够人性化,操作界面不友好,用户不能顺利的自助完成商业银行提供的网上银行服务,所以银行往往会花费人力去指导客户使用。如果银行人员在指导客户使用时故意
28、违反了商业银行的相关制度规定,获得了客户的登录名、登录密码等重要信息,并在客户不知情的情况下登录网上银行窃取了客户的资金,此时网上银行3A特性可能会成为加大商业银行操作风险的原因。另一方面是内部信息系统安全。商业银行开办网上银行业务往往要求其有较高的信息化水平,即是说银行的管理信息系统和业务系统的信息化程度高,银行大量关键数据和关键业务流程是电子化的。那么如果银行内部人员实施或参与的未经授权接触电子数据文件的行为,银行可能会遗失关键数据,或是关键信息被非法篡改,则可能面临巨大损失。同时银行的机房往往被视为银行的重要核心地方,如果银行的安全措施和规章制度不够健全,或是没有有效执行,留下了风险隐患
29、,整个银行的正常运营都难以保证,网上银行的安全更无从谈起。四、A银行网上银行操作风险成因分析(一)病毒攻击随着信息技术的发展,计算机病毒的隐蔽性和破坏性也大大增强。国际上的统计分析表明,每天约有十多种计算机病毒的产生,目前全世界发现的病毒至少有5万多种。从互联网下载程序有可能引入病毒。不幸的是,病毒是生活中的事实,不可能完全避免。现在的病毒通常是相当粗糙的程序,偶尔改变硬盘上的数据,或完全破坏它,今后的病毒将会更隐蔽和危险,它们可能会巧妙改变数据,计算机病毒普遍具有较强的异化再生功能,一接触就可通过网络进行扩散与传染。一旦某个程序被感染,很快整台计算机,整个网络都会被感染。网上银行如果不能有效
30、的防范计算机病毒,一旦某个程序被感染,将会毁坏银行的所有数据,给银行带来致命的威胁。对于网上银行的客户而言,银行账户数据或网上银行交易程序被非法篡改,直接影响到大量的关键性投资行为的决定。(二)操作失误操作失误有时也会引起严重的网上银行安全风险。除因客户欠缺网络安全方面的知识而面临相当高的操作风险。例如,客户在某些没有安全防护措施的场合使用私人信息,如身份鉴定、信用卡号、银行帐号等,容易被他人窃取导致帐号泄密,使客户和银行蒙受损失外,由于网上金融操作的复杂性,也同样可能使操作人员难免在操作过程中出现失误。为解决操作失误问题,首先,必须提高操作人员的技术水平,对重要的数据录入进行复核,其次,在软
31、件的设计上应该有保证数据正确性和完整性的功能,最后,在客户进行操作时给予必要的提示,需要客户的再次确认。(三)道德败坏首先,内部人员的不道德行为,由于网上银行的防御系统对内部人员不起作用,如果银行内部管理制度不严,银行内部人员可以轻而易举地窃取用户信息而进行犯罪,使客户受到巨大损失,也给银行资金和信誉带来双重损失。同时由于网络空间的犯罪行为极难查证,尽管有时会留下痕迹,但很多时候都无迹可寻。比如,网上银行内部的某些职员利用职业优势,有目的地获取客户的私人资料,使用客户的账户进行风险投资,将交易风险直接转嫁到客户身上。其次,金融机构的不道德行为。网上银行最关注的是网络信用,在网上银行营销中注重信
32、用是营销的前提。因此,维护一个值得客户信赖、为客户提供安全有保证的交易环境是非常关键的,也是吸引和留住客户的重要手段。(四)内控失效首先,制度传导不到位造成内控失效。“制度比人重要”还是“人比制度重要”?再完善的内控制度,由不合格的制度执行人来执行,还是会使内部控制被削弱或失效。归根到底,银行内控制度的执行还要由员工来完成。银行制定的各项内控制度能否得到贯彻执行,内控的职能能否得到充分发挥,很大程度上取决于银行员工的责任感和主动性。其次,越权管理导致内控制度失效。越权管理的人一般都是权力的掌握者。目前我国银行的内控制度一般是“控下不控上”,对负责人和决策管理层的约束主要靠他们的觉悟程度和思想道
33、德约束。事实上并不是也不可能是每个管理者都有很强的自我约束能力。这样,在一无自我约束、二无外在控制的环境下,往往就会出现因为个别银行管理人员滥用手中权力,按自己的意图随意行事,破坏内部控制制度的执行,结果给国家和人民造成重大损失的情况。如南海工行的3名原行长、副行长等这些本来应该带头执行和检查落实内控制度的领导人对内控制度的践踏。领导者关心经营成果比关心内部控制兴趣更大,这可能为损害银行利益的行为提供成长空间,将会增加银行的经营风险。精明成熟的领导者应深刻认识内控制度的严密实施是银行成长与发展的制度保证,而支持内控机制运行的环境,则首先取决于领导者们对内部控制的认知与重视程度。同时,领导者的经
34、营理念和行为又会直接影响着内部控制的各项规章制度遵循和执行效果。最后,制度执行缺乏“零容忍”是最根本的原因。所谓“零容忍”,是基于“人之初,性本恶”的假设,以实际的约束和现实的激励为基础,建立相关的制度体系,确定行为的容忍范围,如果事先确定的行为一旦超越范围,不管是谁做的,都坚决按章处罚,决不宽容。而目前国内银行在制度执行中普遍缺乏“零容忍”的理念,以致于制度虽大,却大不过人的胆量;制度虽有,不执行也等于无,这是造成内部控制制度失效的最根本的原因。五、针对A银行网上银行操作风险所采取的措施(一)提高数据通信安全策略 1.建立公钥证书安全体系,保障应用级安全。目前,A行企业网上银行子系统将CFC
35、A的Non-SET企业高级证书作为网上银行的企业客户证书和商户证书,同时把SET证书用于B2C网上购物之中 许多顶.电子商务概论.北京:高等教育出版社,2007年版.。2.交易的审计。对于客户的每一笔交易,网上银行都会按照机密性和完整性的要求对其信息进行记录,以作为交易的审计备案。3.网上银行业务转账交易的安全设计。企业客户提交支付指令必须进行数字签名,以保证交易的唯一性和不可否认性;同时利用多层授权机制,可根据支付指令的金额提供多级授权,保证企业客户内部资金授权控制的要求。个人客户方面,A行对个人网上银行客户根据安全级别不同划分为三类:一是“U盾”客户,使用带智能芯片的客户证书;二是口令卡客
36、户,使用动态口令卡进行交易,设有一定的交易限额;三是静态密码客户,只有很小的交易限额。个人客户在登录网上银行进行交易时,系统根据客户类型的不同,要求客户进行数字签名或输入动态口令方可进行交易,达到交易限额则不能再进行资金交易。4.数据库内数据的加密存放。客户使用的密码都经过不可逆加密算法存放在数据库中,即使黑客入侵数据库系统,得到密码字段,也无法破译密码。5.利用防火墙等技术,保障网络安全。在系统的网络框架中,A行采取了以总行站点作为入口的方式,以便于系统安全的监控及总行的统一管理。在总行的入口处,共设立了两道防火墙及一个安全代理服务器以防止非法的入侵,并且在防火墙及安全代理服务器上都有完整的
37、信息审计记录,再辅之以人工监控,最大限度地保证了网络安全。6.建立动态安全监控系统,保障系统安全。采用国际领先的网络安全产品建立A行网站的实时监控系统和扫描系统。实时监控系统能够24小时监控到系统的所有服务活动,并能够根据监控模板配置发出相应的反应。利用扫描系统分别在防火墙和外部有针对性地对服务器操作系统进行扫描,及时发现和补救系统安全漏洞。(二)提高职员的专业技术操作水平1.完善培训组织与责任体系。成立培训工作领导小组,决定全行培训政策和重点。分管行长对辖内员工培训负责,运用多种方式及时与员工沟通,加强对辖内员工培训规划及发展指导,及时根据发展经营战略对培训工作进行指导。加强培训工作的考核力
38、度,量化培训考核结果,将培训考核结果纳入各单位领导班子和主要负责人年度考核指标体系。2.通过学历学位教育管理、培训项目管理、培训积分管理、兼职教师管理、培训经费管理、培训联系人管理、培训学分认定及管理、培训课程开发管理等制度的建立和完善,健全培训的支持保障体系,形成一套完整的教育培训制度,促进各项培训工作规范有序进行。3.强化对培训效果的评估和反馈。提高培训项目开发、课程设计的科学有效性,加强培训的投入产出评估,对重点培训项目,做好培训前、培训中和培训后的全程评估。培训前做好培训需求整体评估,培训对象知识、技能和工作态度评估等;培训中做好培训组织准备工作评估、内容和形式评估、教师评估等;培训后
39、做好目标达成情况评估、效果效益综合评估等工作。对大部分培训项目还要实施学习评估,通过考试测评和撰写学习心得等方式来完成,对重要培训项目还要实施行为评估,对学员培训后一段时期的工作表现进行评价,对投入巨大的培训项目,还要实施绩效评估,对培训效益进行综合测算。(三)加强客户教育,提高风险防范意识1.加强网上银行业务知识的教育业务知识教育的目的主要是让社会公众正确认识网上银行业务,消除公众对网上银行业务认识的空白点,规范使用网上银行业务,规避因操作失误而导致的风险。银行可通过座谈、问卷的方式掌握公众对网上银行的认识程度,采用现场演示、讲解等方式让公众了解网上银行业务基本常识;在客户申请网上银行产品的
40、同时,向客户介绍网上银行产品的使用须知、注意事项等,指导客户正确使用网上银行产品。2.加强网上银行安全教育其目的主要是让客户明确网上银行业务存在风险,但风险是可防可控的,引导客户理性看待网上银行业务风险。安全教育的内容包括:向客户提供有关网上银行的安全性信息,如:如何运用杀毒软件、个人防火墙的设置;强调网上银行密码的重要性,指导客户如何正确保护密码、个人识别码以及其他银行或个人数据等;引导客户使用银行提供的安全防范产品,进一步提高客户的安全防范能力。(四)加强组织管理,完善内控制度A行通过重视内部控制来加强网上银行业务的操作风险管理。为加强网上银行业务内部控制,A行主要做了以下几个方面的工作:
41、1.加强网上银行业务规章制度的建立A行将网上银行业务统一纳入其电子银行业务管理中,按照全行一本统一的业务制度、一本统一的操作规程的制度建设原则,从2006年起,该行整合了2002年以来制定多个业务规定,形成了统一的电子银行业务管理办法和操作规程,将包括网上银行在内的各项电子银行业务从柜员管理、业务开办要求到业务处理步骤等进行了详细的规定,同时设计了活页式印刷方案,更易于分行学习和查阅。该行定期对制度进行修订,以通过制度建设的角度保障业务风险及时得到控制。根据银监会电子银行安全评估指引规定,该行还制定了本行电子银行安全评估管理规定,明确了行内各部门的职责分工、电子银行安全评估的机构种类、实施方式
42、及管理内容,进一步完善电子银行业务制度体系。 2.实施网上银行业务职责分离该行在设计产品和内部操作流程时,为尽可能减少人员因素引发的操作风险,对涉及网上银行业务的各类行内人员设定了严格的职责界限,并加强计算机系统硬控制。A行设有网上银行内部管理系统,使用浏览器/服务器结构通过该行内部网络向全行提供内部管理的功能。系统从总行、省分行、市行到基层分支机构建立了七级柜员制度,逐级管理。对于客户管理、柜员管理、参数设置等重要功能,采用多重柜员授权机制,通过内部管理系统流程设定的刚性分离强化规章制度设定的职责分离,保证这些操作不能被某一柜员独立完成。同时柜员在该行网上银行内部管理系统上所做的所有操作都记
43、入柜员操作日志中,能够通过各种条件进行组合查询。3.建立专业化的业务人员队伍为加强网上银行业务操作风险防范,特别是为了防范员工误操作等风险,该行首先是定期组织对中层管理者的网上银行风险管理培训,主要介绍国际国内网上银行业务风险管理的新理论和新实践,对目前本行电子银行风险管理的政策、程序和要点等进行分析和比较,提示管理的重点。第二是定期开展对新业务制度的培训,主要面向一级分行和二级分行业务管理部门,重点介绍本行网上银行业务各类风险及本行风险管理要求和措施。第三是由一级分行、二级分行及基层行实施的面向基层管理人员和业务操作人员的培训,着重介绍业务流程,强调按照全行统一的规定正确的处理业务,从操作层
44、面防范风险。4.密切监测风险限额的遵守情况为了减少网上银行业务内部或外部的欺诈风险,该行对选择了不同身份验证机制的客户的网上银行交易设置了风险限额。为了密切监测风险限额的遵守情况,该行一是在业务系统设计上实现了计算机刚性控制,避免了超限额的风险。此外对于超过交易限额的交易进行人工监测及处理,这种监测和处理中还设置了相应的权限与职责的分离。5.不断完善的内部控制体制A行历来重视通过多种层次的检查监督防范业务风险。就网上银行业务而言,A行一是实现了事后监督系统与网上银行系统的内部连接,对柜员的业务操作实现了机内的勾对,即是说柜员在内部管理系统中做的交易都会在事后监督系统产生对应记录,事后监督中心监
45、督员取得柜员业务凭证后按照交易代码核销监督系统内的交易记录。二是将网上银行业务处理情况纳入运行管理的日常监督职责中,规定了网上银行业务日常检查的频率、内容和报告制度,保证了日常检查的覆盖面。三是A行电子银行部要组织全辖每年开展至少一次业务全面检查,采取基层机构自查与上级管理机构抽查的方式,对检查时限内的所有网上银行业务进行检查,进一步发现本行业务经营管理过程中的问题,加强问题整改和通报以及对违规违纪责任人的处罚。四是A行按年度开展对全行所有业务的内部控制评价,并将内控评价结果纳入该行经营绩效考核,进一步提高了该行内部控制有效性。六、对A银行网上银行的建议(一)操作风险管理流程优化对网上银行业务
46、操作风险的管理一般流程应该包含风险识别、风险评估、风险控制与缓释、风险监测和风险报告,这个风险管理的过程是周而复始的循环过程,进行网上银行业务操作风险的持续管理与网上银行业务的持续发展密切相关。上述过程可以用下面的图来表示:图 1 网上银行操作风险管理流程资料来源:银行联合信息网,http:/www.unbank.info,2010年3月尽管在A行网上银行十年的发展历程中,积累了一些风险管理经验,但如何借鉴国外先进风险管理理念建立一套符合监管法规要求的网上银行风险管理体系仍然是一项全新、艰巨的工作。由于网上银行业务本身处于成长期,新产品和新业务开发速度快,而A行网上银行业务规模巨大,该行网上银行业务一方面会不断出现新的网上银行业务操作风险,另一方面已有业务的风险防范压力非常大,那么该行在进行网上银行业务操作风险管理时,风险识别和评估工作必须首先加强。首先,在风险识别职责和组织方面,根据A行部门职能分工,A行在进行网上银行业务操作风险识别时,电子银行部应主要负责组织对网上银行业务由外部事件、内部流程、人员引起的操作风险的识别,信息科技主管部门应主要负责对信息系统风险和安全技术风险的识别。就A行人力资源管理状况而言,A行应该由相关职能部门成立一个风险识别与评估小组来负责实施风险识别与评估,成员包括业务或产品的开发设计人员、风险管