电子银行业务中存在的风险隐患应引起重视.doc

电子银行业务中存在的风险隐患应引起重视电子银行业务中存在的风险隐患应l起重视口中国人民银行新野县支行何虹近年来,随着信息技术的进步和电子商务的普及,电子银行业务发展迅速,已成为商业银行新的服务渠道和利润构成之一,市场竞争也日益激烈.但是,电子银行与生俱来的灵活性,开放性和白助方式存在诸多风险隐患问题,应引起各金融部门的高度重视.一当前电子银行业务发展的主要特点1.交易渠道广泛当前,电子银行业务交易渠道主要有ATM,网上银行,POS,电话银行,手机银行等,具有如下几个特征:一是非现金类支付交易渠道交易笔数少,交易金额大,交易金额占全部电子银行交易金额的95%,且支付交易日趋活跃.二是现金类自助交易渠道(即ATM)交易数量大,交易金额小,交易量占全部电子银行交易量的55.70%.三是各类交易渠道交易量分布不均衡,传统的电话银行交易萎缩.2.大型银行电子银行市场份额占比超八成据有关统计数据显示,从各行交易量和交易金额分布情况看,5家大型商业银行电子银行业务交易量占总交易量的85.81%,交易金额占总交易金额的81.53%.其中,工商银行,农业银行和建设银行交易量占比分别为20.51%,22.93%和31.5%,交易金额占比分别为44.2%,12.13%和11.63%.据报道,截至2011年3月末,工商银行的个人网上银行客户数达到1.02亿户,成为国内首家拥有亿级个人网上银行客户群的商业银行,与此同时,电子银行业务在工商银行全部业务量中的占比超过了70%.3.新技术运用存在风险目前,手机银行业务成为各银行竞相发展的领域,但其弱点和漏洞还未充分暴露,风险管控措施尚处于摸索阶段.手机银行采取的软件加密技术的可靠性等方面还有待验证,手机支付芯片还在研发过程中,其风险环境有待进一步评估.4.超级网银将改变网银各自孤立运行的历史央行超级网银上线之后,客户可以只开立一家银行的网上银行,就可操控其所有银行账户的资金.因此,客户选择银行的标准,将从网点距离,服务质量等改变为选择电子银行的综合服务水平.超级网银对电子银行提出了更高的要求与挑战,同时也为商业银行带来了新的发展机遇,一方面是对已有客户市场重新洗牌,另一方面,超级网银业务作为增强客户忠诚度和品牌品质,开拓市场的利器,将成为商业银行电子银行业务的一个发展趋势.浦发银行超级网银业务于2010年12月正式上线,上线两周内汇款量达4亿多元.=,当前电子银行业务中存在的主要风险隐患1.电子银行风险管理机制不健全一是多头管理,条快分割的金融论坛管理方式难以形成风险管控合力.目前,国内银行的电子银行业务管理大多归口多个部门,多头管理的现状导致难于形成全方位风险防控策略,缺乏一个权威的部门负责研究,贯彻和落实风险防控策略.二是信息科技风险管理难以融入业务管理过程.电子银行作为一种新型支付方式,其风险管控应与银行的信息科技风险管控策略具有高度的一致性,但在实际工作中,信息科技部/-IN定的整体安全管理要求很难在业务部门落实.历次检查发现,各业务部门敏感信息随处可见,科技违规行为处罚规则形同虚设,在业务流程设计时,信息安全设计和测试往往因顾及业务部门追求的灵活性,易用性和紧急性而大打折扣.三是缺乏跨行电子银行风险管理机制.当前,银行卡跨行交易日益普遍,犯罪分子往往利用跨行交易处理流程的漏洞实施犯罪,跨行交易风险凸显.目前,在银行卡跨行交易领域,主要是依托银联跨行交易处理流程,虽然中国银联在其管理规定中明确了特约商户管理,交易差错处理,投诉管理和安全管理等诸方面要求,但实际执行情况并不理想.中国银联作为跨行业务的主要管理机构,其既当裁判员又做运动员的角色设定值得商榷.2.客户信息泄露风险较为突出一是银行卡业务处理环节信息泄露问题,如由于工作需要,部分银行将客户信息存储于普通办公计算机设备,在接入互联网,报废和维修等阶段,敏感信息缺乏有效的安全控制,存在客户信息泄露的风险.二是磁条银行卡安全性问题.目前国内银行卡科技含量不高,致使犯罪的技术门槛较低,在ATM中安装数据采集装置实施犯罪的案件频发.三是自助银行终端信息安全管理不力.部分银行没有采取严格的终端控制策略,自助终端无法有效监控信息存取操作,可随意拷贝设备内的文件,同时机接插件(如网络接口和模块)缺乏安全保护,如某银行网银白助服务体验区计算机设备采用内部办公的地址访问互联网,不仅可以使用移动存储设备,还能够访问该行的内部敏感网络,同时设备还可任意执行程序代码.四是外包服务管控不严.部分银行在外包服务人员进行自助设备维护操作时,未实施现场监督,对于其存取的数据也未进行登记和交接.3.业务处理不规范一是银行卡受理环节存在违规行为,如在信用卡办理过程中,银行工作人员迫于营销任务压力,委托熟人和第三方人员办理信用卡申请,甚至直接盗用客户开户信息办理信用卡业务,通过夹带方式,诱使客户鉴署无关的业务协议等.二是特约商户缺乏有效管控.部分银行在拓展特约商户时,轻视对商户的资信审查,未制定特约商户定期回访机制或回访机制流于形式等.三是自助设备管理制度执行不严,如部分银行自助设备管理人员未定期轮岗,自助设备密码,钥匙由同一人保管,未施行平行交接,存在在设备维护中擅离职守等问题.4.安全防范措施不到位一是重数据中心风险管理,轻分支机构和终端设备安全管理.电子银行业务的特征,决定了风险控制的界面在客户端,网点端,用户端.目前,各行多采取业务集中处理的模式,数据中心安全得到了普遍重视,但对于分支机构安全管理的措施和要求不够严格,加之分支机构自身安全意识普遍较低,导致在安全管理方面投入资源不足.例如,没有建立覆盖每个网点的信息安全员管理制度,缺乏对各类终端设备定期安全检查的制度性安排,没有对客户信息采取严格的技术管理措施.二是电子银行设备安全监控措施形同虚设.部分银行离行式ATM,由于传输线路不通畅,监控措施不能发挥其监控预警功能;网银系统虽然部署了防火墙,IDS等安全技术设施,但日志分析,风险评估等流于形式.三是特约商户的交易终端设备安全问题突出.尤其是POS设备的防信息窃取的控制,外挂刷卡设备的安全控制和POS机具外包服务的安全控制措施等.四是业务系统测试不足.朗OIf印国信用卡2006年广州发生的许霆案就是测试不足所导致的典型例子.近期某银行在实施商户POS系统项目建设中,由于加密测试不到位也导致业务运行缓慢.5.电子银行缺乏必要的法律保障由于网络经济和电子银行是一个全新的领域,具有不同于传统银行业务活动的特殊性,与传统的法律制度,社会规则之间必然发生冲突.我国现处于经济转型期,法制不够健全,假冒伪劣商品时有出现,服务水平较为低下,消费者权益往往得不到充分保护.特别是在电子支付安全方面,隐私权保护,电子签名,商业合同认证,纠纷调解,网上打假等问题的解决还缺乏相应的法律保障.由于缺乏相关的法律,问题出现后涉及责任认定,承担,仲裁结果的执行等复杂的法律关系,增加了银行和客户在网上进行金融交易的风险.三.防范电子银行业务风险的对策和建议1.建立风险机制一是建立专业化的电子银行风险防控机制,形成从业务处理到技术防范的集成化风险管控组织,负责对电子银行风险控制措施的研究,制定和落实.二是建立跨行风险管控机制,落实专门的监督协调机构,负责制定整体标准和规范并实施相关利益方的权利维护和监督管理.三是建立全行业的风险预警机制,广泛收集电子银行风险信息,根据特殊时期,特定范围,特别领域的风险预警信息,制定风险控制强化措施.2.控制风险源头一是强化合规建设.各银行要加强业务合规,风险控制是根本保证的意识教育,加强业务合规性的监督检查.二是强化客户信息保护.要求业务各个层面的工作人员加强客户信息保护,并经常性开展客户信息保护工作的监督检查.三是强化电子银行设备安全管理.监管部门要加强对银行,特约商户和客户的信息安全教育,加强自助银行,POS安全管理的监督检查,特别是在发展特约商户时,要将商户的安全管理要求落实在资信调查和定期回访工作中.3.堵塞风险漏洞一是要推进银行卡安全技术的研发与应用,解决当前银行卡技术风险,提高用卡安全性.二是要加强对特种设备生产,销售和回收厂商的监督和管理.提高设备的防伪造,防仿制和防破解水平,提高实施犯罪的技术门槛.三是要推动对电子银行业务系统和管理流程的安全评估.强化业务流程中关键控制环节的安全性和可审计性,及时发现系统和流程中的漏洞,降低其暴露的可能性.4.强化风险惩戒一是强化银行内部惩戒措施.提升惩戒措施的警示作用,加强违规操作的打击力度.二是强化对薄弱银行的惩戒措施.对于案件高发银行在业务准入,机构准入方面进行适当的限制,在操作风险资本计提方面给予适当的约束.三是强化特约商户违规操作的惩戒措施.建立特约商户征信档案,加大对商户违规行为的惩戒力度,提高银行特约商户的准入门槛.四是强化电子银行犯罪的打击力度.建立更为有效的跨部门,跨行业的电子银行案件防范和打击联动机制.5.健全法律法规加快电子银行法律和制度建设.我国目前已初步制定了网上证券交易,计算机使用安全保障等方面的法规,但还远不能适应网上银行发展的需求.借鉴国外经验,加快制定和颁布网络金融发展的有关法律法规,如在电子交易合法性,电子商务的安全保密