第六章 网上银行风险和.pptVIP

第六章 网上银行的风险与管理;风险定义;风险的计量 由可能性大小与后果两者决定 例如乘飞机、驾车与慧星撞击 驾车事故概率很高，但后果一般不大 乘飞机事故概率不大，但后果一般很严重 慧星撞击概率很小高，但后果极为严重 ;网上银行主要的风险分析;网上银行主要的风险分析;风险的表现;技术问题案例;世界银行案例;典型案例;一、操作风险 操作风险源于系统的可靠性或完整性严重不足而引发的潜在损失；也可能源于客户的误操作，或源于网上银行系统设计或实施中的缺陷。 ;（一）未经受权的系统访问 1.可能的表现形式 （1）黑客进入银行内部系统； （2）未经受权的第三方截获机密的客户信息； （3）在银行系统中注入病毒； （4）故意破坏银行的系统和数据。; 例如： 病毒通过邮件或程序下载进入个人电脑，当受害者在网上填写客户信息、账户信息、密码或交易时病毒就会截取其信息，从而达到盗取资金的目的。 ;2.对银行机构的潜在影响 （1）丢失数据； （2）窃取或篡改客户信息； （3）使银行内部计算机系统的主要部分失效； （4）与修复系统相关的开支； （5）银行系统的非安全性可能的不利宣传。;3.可能的风险管理措施 （1）针对系统脆弱性进行侵入测试； （2）监视系统，以发现使用中的异常情况； （3）实施通信安全措施； （4）在内部系统中实施病毒检测，不间断的对安全性措施进行间控。;（二）雇员欺诈 1.可能的表现形式 （1）雇员修改数据，以从银行帐户提取资金，从记录中获取信息； （2）雇员窃取智能卡。 ; 案例: 意大利警方曾摧毁了一黑手党的网上诈骗团伙。该团伙欺诈网上银行，试图盗窃2万亿里拉（约6.8亿美元）。 该团伙同西西里银行的一群腐败雇员一道，建立了一个类似银行的电脑网络。该团伙通过程序，在上班时使得其系统与银行的内部转帐系统相连，并利用其它雇员的口令转帐，让西西里地方政府的成百上千亿里拉转到了意大利的国内和国外的帐户上。;2.对银行机构的潜在影响 （1）与补偿客户损失相关的开支，以及与重构客户数据相关的开支； （2）在没有收到预付资金的情况下兑现电子货币可能造成的损失； （3）客户认为银行不可信； （4）银行面临着法律的制裁和负面的宣传。;3.可能的风险管理措施 （1）制定策略，以恰当地监视新雇员； （2）设定内部控制，其中包括义务的划分； （3）雇员业绩的外部审计； （4）对智能卡存放、生产的恰当控制。;（三）伪造电子货币 1.可能的表现形式 犯罪者篡改或复制电子货币产品，在没有进行支付的情况下获取物品或资金。 2.对银行机构的潜在影响 （1）银行应该为伪造的电子货币负责； （2）与修复受损系统相关的开支。;3.可能的风险管理措施 （1）与发放者或中央操作员进行联机交互； （2）降低装载限额，从而减少伪造货币对犯罪者吸引力。;（四）服务提供商风险 1.可能的表现形式 （1）服务提供商没能提供银行所期望的服务； （2）在系统、数据完整性或可靠性方面存在不足之处；;2.对银行机构的潜在影响 客户认为银行应为因服务提供商而导致的问题负责。 3.可能的风险管理措施 （1）在与服务提供商签定合同之前，银行应进行必要的考察； （2）构造服务提供商合同，以建立性能基准，论述应急和审计条款； （3）与服务提供商一起制定备份计划； （4）与备选的服务提供商签订合同，以制定应急计划。;（五）系统退化 1.可能的表现形式 （1）交易处理过程中发生延迟或中断； （2）在系统、数据完整性或可靠性方面存在不足之处； 2.对银行机构的潜在影响 （1）不利的公众反映； （2）错误的交易可能导致法律方面的问题； （3）与解决客户问题相关的开支。;3.可能的风险管理措施 （1）定期审查现有硬件和软件的性能； （2）制定会计责任制度，以指明更新系统和设备的职责；;（六）过时的职员和管理技能 1.可能的表现形式 快速的技术变化意味着银行管理部门和职员不能完全理解该行所采用的新技术或技术升级的特点。 ;2.对银行机构的潜在影响 （1）新技术的劣质实施； （2）无法提供后续支持； （3）在系统性、完整性或可靠性方面存在不足之处。 3.可能的风险管理措施 （1）把培训视为一种后续过程； （2）在计划阶段就确定对管理人员和职员的培训。;（七）客户在安全性方面的经验不足 1.可能的表现形式 （1）客户在非安全的电子传输中使用个人信息； （2）犯罪者使用本应该保守机密的信息来访问客户帐户。; 案例： 1.2003年，罪犯佘某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户，然后转移钱款。 2. 20