电子银行风险管理分析课件

电子银行业务风险管理电子银行业务风险管理提纲电子银行业务风险概述电子银行重要风险点和控制措施电子银行风险管理机制提纲电子银行业务风险概述电子银行重要风险点和控制措施电子银行银行业务的主要风险一、电子银行业务风险概述电子银行业务风险类别银行业务的主要一、电子银行业务风险概述电子银行业务风险类别银行业务的主要风险信用风险流动性风险市场风险操作风险声誉风险一、电子银行业务风险概述电子银行业务风险类别银行业务的主要风险信用风险流动性风险市场风险操作风险声誉风险银行业务的主要风险操作风险声誉风险一、电子银行业务风险概述电子银行业务风险类别外部欺诈风险内部欺诈风险内部违规操作风险内部失误操作风险计算机系统风险法律风险银行业务的主要风险操作风险声誉风险一、电子银行业务风险概述电一、电子银行业务风险概述电子银行业务风险类别类型操作风险内部欺诈风险

代客户开通电子银行

截留客户的身份认证工具内部违规风险违规办理电子银行操作柜员操作权限设置不当不按制度规定维护参数内部失误风险银行内部人员由于疏忽或不知情导致操作失误外部欺诈风险假冒客户注册电子银行利用电信诈骗、网络钓鱼、木马病毒等窃取客户电子银行密码由商户、支付机构等合作方带来的风险不法分子虚假注册后再以未注册电子银行二其存款丢失为由讹诈银行法律风险业务流程或功能与法律法规不符电子银行相关法律诉讼声誉风险由于公众对银行的误解导致银行无形资产遭到损失一、电子银行业务风险概述电子银行业务风险类别类型内部欺诈风险电子银行重要风险点和控制措施个人客户注册环节企业客户注册环节客户交易环节电子银行洗钱风险内部管理环节电子银行重要风险点和控制措施个人客户注册环节企业客户注册环节二、电子银行重要风险点和控制措施个人客户注册环节案例一：2011年9月银行离职人员尤某以高息揽存为诱饵引诱客户张某到网点开立银行账户，并让客户张某在网点理财区等候，自己持

张某身份证代为办理开户、开通网银并领取U盾。因尤某原为银行

员工，与网点人员比较熟悉，网点经办人员麻痹大意，疏于防范，接受尤某提交的申请，为尤某办理名为张某的银行卡及网银并发放

了U盾。尤某只将银行卡交给张某，尤某自己将U盾则保留下来。待张某存款后，尤某当日就通过网上银行将其资金盗走。风险点一：非客户本人申请二、电子银行重要风险点和控制措施个人客户注册环节案例一：2二、电子银行重要风险点和控制措施个人客户注册环节风险点一：非客户本人申请案例二：2012年1月，某支行上门为某石油公司办理代发工资业务，

批量开卡同时营销个人网上银行产品。由于恰值工作时间，支

行营销客户心切，同意由该公司财务人员为多名职工代办网银

注册业务。财务人员将多名职工的网上银行登录密码都设为相

同字符，并掌握了所有职工的U盾。

责任人处理：对营业经理和经办人员进行批评教育并扣减绩效。二、电子银行重要风险点和控制措施个人客户注册环节风险点一：非二、电子银行重要风险点和控制措施个人客户注册环节

严格审核客户身份证件，须本人办理风险点一：非客户本人申请控制措施：

验证账户介质和密码

留存客户身份证件复印件

现场管理人员审核

现场监控和非现场监控二、电子银行重要风险点和控制措施个人客户注册环节二、电子银行重要风险和控制措施个人客户注册环节风险点二：身份认证工具未交给客户本人案例：2011年5月，客户王某在其经商合作伙伴李某的介绍下，到

银行开立银行卡并注册网银。王某对银行业务不了解，李某

热情带王某填写了网银注册申请表，并陪同王某到柜台前办

理业务。在李某指导下，王某顺利完成设定密码、签字等手

续。柜员将各种业务资料递出柜台后，就低头整理凭证，李某趁王某不注意，将U盾匿藏，王某由于不了解网银，也未及

时索要U盾。事后，李某使用王某的U盾，通过网上银行窃取

了王某的资金。二、电子银行重要风险和控制措施个人客户注册环节风险点二：身份二、电子银行重要风险点和控制措施个人客户注册环节U盾双人发放风险点二：身份认证工具未交给客户本人控制措施：

提示客户身份认证工具发放

客户本人签收

身份认证工具纳入要素管理系统

客户回访二、电子银行重要风险点和控制措施个人客户注册环节二、电子银行重要风险点和控制措施个人客户注册环节风险点三：非客户本人签字案例：2010年12月，客户李某在其灵通卡中累计存款40余万元，2011

年3月，李某发现卡内余额仅剩100多元，经查40多万元已通过

网银转走。李某以其未开通网银而存款丢失为由，将所在分行

诉讼到法院。从我行系统记录查看，李某的灵通卡于2010年12

月注册网上银行并申领U盾。由于监控录像已过期删除，调取

注册是的申请资料发现，申请书上的客户签字笔迹并非客户本

人。据了解李某从事间借贷，可能由资金链断裂将责任转嫁给

银行。由于银行未能拿出李某本人签字确认的申请书，导致该

分行处于不利地位。二、电子银行重要风险点和控制措施个人客户注册环节风险点三：非二、电子银行重要风险点和控制措施个人客户注册环节风险点三：非客户本人签字

监督客户本人签字控制措施：

妥善保管客户申请资料二、电子银行重要风险点和控制措施个人客户注册环节风险点三：非二、电子银行重要风险点和控制措施个人客户注册环节风险点四：未按照客户申请事项录入

远程授权控制措施：

客户核对打印申请事项并签字

凭证资料管理二、电子银行重要风险点和控制措施个人客户注册环节风险点四：未二、电子银行重要风险点和控制措施个人客户注册环节风险点五：假冒客户身份注销风险分析和防控：

此类事件不仅严重影响了客户正常使用网银，也容易引发客户对农信系统业务办理安全性的质疑，给我社声誉造成负面影响。

防范此类风险，要加强一线员工的风险防范意识，进一步强化网银注销业务的客户身份审核。二、电子银行重要风险点和控制措施个人客户注册环节风险点五：假二、电子银行重要风险点和控制措施企业客户注册环节风险点一：单位本身不具备法律资格

审查单位证明文件控制措施：

核对企业名称和公章名称

留存单位证明文件复印件二、电子银行重要风险点和控制措施企业客户注册环节风险点一：单二、电子银行重要风险点和控制措施企业客户注册环节风险点二：非单位真实办理意愿案例：2011年2月，张某到银行网点申请为A单位办理企业网上银行

注册，并声称要赶时间。由于张某一直是A单位的财务人员，

经常来网点办理A单位的业务，网点对公业务人员对其很熟

悉。在张某的催促下，业务人员简单比对了预留印鉴就立即

为其办理了单位的企业网银注册业务，并单场制作发放了网

银客户证书。其实张某已从A单位辞职，并利用原来工作之

便防制了A单位的预留印鉴。二、电子银行重要风险点和控制措施企业客户注册环节风险点二：非二、电子银行重要风险点和控制措施企业客户注册环节风险点二：非单位真实办理意愿

核对预留银行印鉴控制措施：

审核单位经办人身份

审核单位经办人权限

确定单位申请意愿二、电子银行重要风险点和控制措施企业客户注册环节风险点二：非二、电子银行重要风险点和控制措施企业客户注册环节风险点三：证书未发放给单位案例：A公司法定代表人李某于2011年5月在公司外部人员黄某的陪

同下到银行开立一般结算账户并企业注册企业网上银行。几天

后，黄某持盖有A公司预留印鉴的证书领取单和李某的身份证

复印件到营业网点领取企业网银客户证书，其中证书领取单重

指定的证书领取人为李某。经办柜员因黄某陪同李某来办理开

户和企业网银注册手续，误认为黄某是A公司内部人员，在未

认真审核证书领取单上指定领取人员与实际领取人身份是否一

致的情况下，给黄某发放了A公司的客户证书。二、电子银行重要风险点和控制措施企业客户注册环节风险点三：证二、电子银行重要风险点和控制措施企业客户注册环节风险点三：证书未发放给单位

证书领取单位加盖预留印鉴控制措施：

审核领取证书的经办人身份证

核实证书领取情况，确认单位已领取证书后才解冻二、电子银行重要风险点和控制措施企业客户注册环节风险点三：证二、电子银行重要风险点和控制措施客户交易环节风险……篡改交易指令操作客户账户诱骗客户操作获取客户密码

猜出密码

盗取密码

网络钓鱼

电信诈骗

商户诈骗

高利引诱

远程控制

委托代扣

账户共管

交易劫持

道高一尺

魔高一丈12435二、电子银行重要风险点和控制措施客户交易环节风险……篡改交易二、电子银行重要风险点和控制措施客户交易环节风险案例一：客户张某为62岁的退休女职工，收到自称为歌华有线的电

话，称有线电视欠费，并将张某电话转到自称是刑警队的人，

该人称张某涉嫌参与一起贩毒和洗钱案件，因此其账户已被冻

结，并告知张某等待法院船票。张某为了证明自己的清白，需

要按要求到银行将活期账户和定期账户注册网上银行并申领电

子密码器，同时为了警方破案必须严守秘密。张某通过114查

询，对方给的电话号码果然是某市公安局，张某信以为真，办

好电子密码器后又按照“警方”的指令操作电子密码器，随后

发现，其定活期账户中的资金共计10余万元被转走。二、电子银行重要风险点和控制措施客户交易环节风险案例一：客户二、电子银行重要风险点和控制措施客户交易环节风险案例二:网络钓鱼近期，银行陆续发现一批钓鱼网站，调取客户的登录密码和动态密码。引诱客户上钓鱼网站的方法包括短信和链接等。诈骗短信1：工商银行提醒，您在我行的网银U盾存在安全隐患，请尽快登录下载我行安全控件进行升级修复。诈骗短信2：尊敬的客户，您的电子密码器鉴于次日失效，请及时登录进行维护更新，给你带来的不便敬请谅解。二、电子银行重要风险点和控制措施客户交易环节风险案例二:网络电子银行风险管理分析课件二、电子银行重要风险点和控制措施建立钓鱼网站并发送欺诈短信冒充政府或银行工作人员给客户打电话接收欺诈短信接听欺诈电话访问钓鱼网站并输入网银信息及动态密码告知不法分子网银信息机动态密码登陆客户真实网银实施转账通过ATM取现或转账转移资金通过跨行汇款转移资金二、电子银行重要风险点和控制措施建立钓鱼网站并冒充政府或银行二、电子银行重要风险点和控制措施外部欺诈风险形势严峻诈骗手段（木马病毒、钓鱼网站、电话诈骗、短信诈骗）不断

翻新，造成客户资金损失，严重威胁客户电子银行安全。全球恶意代码数量趋势二、电子银行重要风险点和控制措施外部欺诈风险形势严峻二、电子银行重要风险点和控制措施外部欺诈风险形势严峻

像客户推荐安全级别高的身份认证工具提供网银登陆权限冻结、身份认证工具更换等服务，以及余额变动提醒、预留信息验证等辅助安全工具。

提示客户根据需要设置功能权限和额度权限积极向客户宣传安全使用电子银行的方法，提示客户严密保管密码和身份认证工具二、电子银行重要风险点和控制措施外部欺诈风险形势严峻二、电子银行重要风险点和控制措施客户身份认证介质二、电子银行重要风险点和控制措施客户身份认证介质二、电子银行重要风险点和控制措施电子银行身份认证介质特点防钓鱼和电信诈骗防交易篡改防计算机远程控制综合比较二代u盾双因素，双通道U盾密码+数字签名显示签名内容按键确认高高高最高一代u盾双因素，双通道U盾密码+数字签名高中等较高较高电子密码器双因素，单通道开机密码+动态口令交易要素绑定较低较高高中等动态口令卡单因素，单通道动态口令较低较低较低较低二、电子银行重要风险点和控制措施电子银行身份认证介质特点防钓二、电子银行重要风险点和控制措施电子银行支付限额体系单笔支付限额日累计

支付限额历史累计支付限额二、电子银行重要风险点和控制措施电子银行支付限额体系单笔二、电子银行重要风险点和控制措施发生电子欺诈事件后怎么办

详细了解欺诈经过和作案手法及时向上级联社报告

妥善安抚客户，防止媒体炒作尽量挽回或保全客户资金

积极配合客户和公安机关侦破案件二、电子银行重要风险点和控制措施发生电子欺诈事件后怎么办发生电子欺诈事件后怎么办二、电子银行重要风险点和控制措施案例：江西某公司自开户以来一直无业务往来。从5月份开始，该账户突然频繁出现大金额转进转出。资金由在深圳开户的公司转入，并在当天全部通过企业网上银行分散转到多个个人账户（用途为劳务费）。这些个人账户收到资金后，又立即通过个人晚上银行转给在深圳开立的个人账户发生电子欺诈事件后怎么办二、电子银行重要风险点和控制措施案例二、电子银行重要风险点和控制措施电子银行洗钱风险实际为深圳地下钱庄和江西地下钱庄联手为深圳公司客户洗钱，通过化整为零逃避公转私交易监管。对公账户（黑钱）个人账户实现公转私深圳公司账户深圳个人账户内地公司账户内地个人账户深圳地下钱庄江西地下钱庄二、电子银行重要风险点和控制措施电子银行洗钱风险电子银行洗钱风险电子银行洗钱的特点

资金短时间“快进快出”，交易量较大，日终账户余额大小进行跨行、跨地区甚至跨境进行资金划转

洗钱主体的经营和交易行为不正常洗钱的主要方式为“公转私”交易二、电子银行重要风险点和控制措施电子银行洗钱风险电子银行洗钱的特点资金短时间“快二、电子银行重要风险点和控制措施电子银行反洗钱事中：控制企业网银公转私额和批量支付交易

事后：及时做好大额和可疑交易报告事前：严格电子银行客户注册环节的身份识别二、电子银行重要风险点和控制措施电子银行反洗钱事中：控制企业二、电子银行重要风险点和控制措施内部管理环节业务操作权限与对本人办理业务的审批授权权限或监督权限不得兼任

系统用户具有的系统操作权限应与其工资职责权限相对应事前：严格电子银行客户注册环节的身份识别风险点一：系统用户权限设置不当控制措施：二、电子银行重要风险点和控制措施内部管理环节业务操作权限与对二、电子银行重要风险点和控制措施内部管理环节系统用户变动情况要登记

系统用户编号要本人专用签发、变更、注销要申请审批风险点二：系统用户管理不当控制措施：

系统操作要记录二、电子银行重要风险点和控制措施内部管理环节系统用户变动情况二、电子银行重要风险点和控制措施内部管理环节参数维护部门双人操作完成维护

参数维护申请部门应对参数值得正确性和合规性负责参数主管部门提出申请，申请部门有权人审批风险点三：参数维护管理不当控制措施：

参数维护操作部门应对参数维护操作的正确性负责二、电子银行重要风险点和控制措施内部管理环节参数维护部门双人二、电子银行重要风险点和控制措施案例一：2013年3月某日，两名分别持成都、重庆异地身