电子银行业务风险管理办法（暂行）和安全操作指南（暂行）.docVIP

PAGE PAGE 1 附件1： 中国**银行电子银行业务 风险管理办法（暂行） 总　则 为规范中国**银行（以下简称**银行）电子银行业务风险管理工作，确保电子银行业务安全稳定运行，维护**银行及其客户的合法权益，根据《中华人民共和国商业银行法》、《中华人民共和国电子签名法》、中国银行业监督管理委员会《电子银行业务管理办法》、《电子银行安全评估指引》、中国人民银行《电子支付指引（第一号）》等有关法律法规和**银行相关制度规定，特制定本办法。 **银行电子银行业务是指**银行利用面向社会公众开放的通讯通道或开放型公众网络，以及为特定自助服务设施或客户建立的专用网络，向客户提供的银行服务。电子银行具有信息查询、转账汇款、支付结算、投资理财等金融服务功能。 电子银行业务风险管理是指在开办电子银行业务过程中对电子银行风险进行识别、分析并采取有效措施进行防范、控制和处理的行为。 电子银行业务风险管理涉及的对象包括：**银行、客户和第三方。其中客户主要指企业客户、个人客户和网上特约商户，第三方主要指服务提供商和业务合作伙伴等。 根据电子银行业务运作特点，应重点加强管理的风险种类包括：战略风险、技术风险、操作风险、声誉风险、信用风险、法律风险等。 （一）战略风险是指因银行经营决策失误、决策执行不当或对行业变化应对不当等因素，导致业务收益或资本形成现实或长远的不确定性或损失。 （二）技术风险是指银行在使用与计算机、网络等信息技术相关的产品、服务、传递渠道、系统时,所产生或引发的不确定性或对银行管理的不利因素。 （三）操作风险是指由于客户、银行员工操作不当或失误而导致的业务损失或不确定性；由于不完善或有问题的内部程序、人员及系统或外部事件造成损失的可能性。 （四）声誉风险是指因负面公众舆论而导致银行资金或客户严重流失的可能性。 （五）信用风险是指因客户恶意违约而使银行蒙受损失的现实结果或可能性。 （六）法律风险是指由于违反或不遵守法律、法规或约定的惯例，或者没有很完善地界定有关交易各方在法律上的权利和义务，从而产生或引发的对银行管理的不利因素。 电子银行业务风险管理应遵循的基本原则 （一）一致性原则。风险管理的目标在于为业务发展提供安全健康的运行环境，各分行要确保电子银行风险管理与业务发展目标的一致性，实现经营效益最大化。 （二）全面性原则。风险管理的内容应涉及电子银行业务的各个部门、岗位、业务运行环节和相关方。 （三）系统性原则。风险管理的运行机制应具有系统性，包括准确的风险识别机制、有效的风险控制机制、及时的风险补救机制和科学的风险评估机制。 （四）集中与分散相统一原则。风险管理的模式采取“统一管理、分级负责”的做法。总行对全行电子银行业务安全风险进行统筹规划与管理，各分行对辖内电子银行业务的风险管理工作具体负责。 （五）成本原则。风险管理工作应与电子银行业务的经营规模、业务范围和风险特点相适应，以合理的成本实现风险管理的目标。 总行和各分行须根据不同的风险管理对象、风险种类，按照风险管理的基本原则采取相应的管理措施，贯彻“预防为主”的思想，做到事前严密防范、事中有效控制、事后及时处理。 总行和各分行必须建立健全电子银行业务风险管理体系和内部控制体系，强化业务管理并运用有效技术手段，保证电子银行业务风险管理工作有序开展。 电子银行业务风险管理纳入全行风险管理体系。总行要科学制定电子银行发展战略和经营投资策略,切实防范战略风险;电子银行业务部门和其他相关部门在全行风险管理部门的指导下，根据相应职责范围开展电子银行风险管理工作。在预防、控制和处理电子银行业务风险过程中，各部门之间应相互配合，协同工作。 （一）电子银行业务部门负责制订与完善风险管理制度及实施细则，组织开展电子银行业务自律监管、内控检查以及安全评估，有效识别、监测、控制和评估电子银行业务风险，及时向上级部门或银行监管部门报告风险信息和处理情况。 （二）科技部门负责产品研发过程中的技术风险分析、电子银行运营设备和安全控制设备的正常运转、电子银行数据的安全存放和传递、风险管理技术手段的安全保障。 （三）审计部门负责对电子银行业务进行审计。 （四）保卫部门负责电子银行安全措施的检查，协助公安司法部门对违法行为的调查、侦破。 （五）法律事务部门负责电子银行业务风险管理所涉及的法律事务工作，并负责电子银行业务知识产权的保护工作。 风险预防 产品研发的风险预防 （一）调研论证。产品开发的市场调研和可行性论证须包括：新产品在业务流程中的操作风险评估、技术风险分析、法律风险分析、市场风险预测以及拟采取的风险防范措施等。 （二）立项审批。总行须科学评估电子银行产品的综合风险，以符合业务总体发展战略要求，切实防范战略风险；严格审查设计方案，充分考虑法律风险因素。 （三