电子银行业务风险管理完全手册.docxVIP

PAGE 1 PAGE 1 电子银行业务风险管理完全手册 电子银行业务风险管理和电子货币业务的不断发展有助于提高银行业和支付系统的效率，也有助于国内外零售业务的成本下降。但电子货币和一些电子银行业务的发展和运用尚处于早期，考虑到电子银行和电子货币在将来的技术和市场发展中的不确定性，监管当局必需避免制定阻碍有益创新和试验的政策。同时，巴塞尔委员会认为，电子银行和电子货币业务为银行带来的收益与风险并存，因此风险与收益必需进行平衡。  一、电子银行业务风险管理分析  随着电子银行业务和电子货币业务的不断发展，银行与其客户之间的跨境业务就会增加。此类业务关系会给银行和监管当局带来了各种不同的问题和风险。依据对风险的识别和分析，管理方法有3个主要步骤，即：评估风险，落实掌握风险的措施和监控风险。在目前这个阶段，好像操作风险、声誉风险、和法律风险，可能是大多数电子银行和电子货币业务中最重要的业务风险管理类别。  1、操作风险。  操作风险主要是指由于系统中存在不利于牢靠性、稳定性和安全性要求的重大缺陷而导致的损失的可能性。它可能来自于电子银行客户的疏忽大意，也可能来自电子银行安全系统和其产品设计缺陷与业务风险管理操作失误。  2、声誉风险。  声誉风险是公众对银行产生重大负面的看法，从而引发资金来源或客户的重大损失的风险。声誉风险可能源自系统或产品没有达到预期效果，并且在公众中造成广泛的负面影响。声誉风险可能源自客户，即客户没有把握足够的产品信息和问题解决方法，以致遇到问题而不知所措。声誉风险也可能源自对一家银行的有目标的攻击。例如，一位黑客侵入一家银行的网络，并且故意散布银行或其产品的不精确的信息。  3、法律风险。  法律风险源自违反或违背相关法律、法令、条例或商定的习惯做法，或对一笔交易各方的法律义务和权利模糊不清。从事电子银行和电子货币业务的银行，可能面临来自客户信息披露和隐私保护方面的法律风险。随着电子商务的不断发展，银行期望开展电子身份认证业务，例如通过使用数字证书。身份认证可能使一家银行面临法律风险。假如银行参与新的身份认证系统，但权利和义务在合同协议中没有明确规定，那么银行就可能蒙受法律风险。  4、其它风险。  传统的银行风险，诸如信用风险、流淌性风险、利率风险和市场风险，也可以产生于电子银行和电子货币业务，但是它们的实际影响力对于银行和监管当局来说，可能与操作、声誉和法律风险大不相同。  二、建立可操作的业务风险管理体系  技术创新的日新月异，可能转变银行在电子货币和电子银行中所面临的风险的性质和范围。监管人员期望银行制定一些业务风险管理方法，来应付目前存在的风险，同时对新出现的风险也有相应对策。风险管理方法应包括3个基本要素，即：评估风险，掌握风险和监控风险，只有这样才能达到银行和监管当局心中预期的目标。  业务风险管理措施一、安全政策和措施。  安全是系统、应用和内部掌握的统一，其作用是保证数据和操作过程的完整性、真实性和保密性。安全的保障取决于银行制定和落实合适的安全政策和安全措施，也取决于银行与外部各方的交流是否安全顺畅。安全政策和措施，可以限制内部和外部的对电子银行和电子货币系统攻击的风险，也可以限制因安全违规而引发的声誉风险。  安全措施是硬件、软件工具和人员管理的统一，这样才能保证系统和操作的安全。这些措施包括许多，例如：密码技术、口令、防火墙、病毒掌握和雇员遴选。密码技术是将文本数据转换成密码以防非授权的阅读。口令、口令串、个人身份识别数字、硬件标志和生物测量学都是用来掌握进入和识别用户的技术。  防火墙是硬件和软件的结合，用来遴选和限制外部进入与开放型网络（如因特网）相连接的内部系统。防火墙也可以把使用因特网技术的内部网络，分隔成几个小片。防火墙技术，如设计合理且实施得当的话，能够有效地掌握进入、保证数据的保密性和完整性。由于该技术设计复杂且成本昂贵，防火墙的强度和性能必需与被保护信息的敏感度相适应。一个好的设计应当包括：整个银行的安全要求，一目了然的操作步骤，职责的分解，选择牢靠之人来负责防火墙的设计和操作。  虽然防火墙遴选来自外部的信号，但是并不一定能够完全防止从因特网下载来的已被病毒感染的程序。因此，管理层应当制定防止和检测的掌握方法，来削减病毒入侵和数据破坏的机会，特殊是对远程银行业务更应如此。缓释病毒感染风险的程序应当包括：网络掌握、终端用户政策、用户培训和病毒检测软件。  并非全部安全威逼来自外部。在可能的状况下，电子银行和电子货币系统，应防止现职或已离职的雇员的非授权操作。与现有的银行业