电子银行风险管理指引.docxVIP

1/22

傳閱文件003/B/2008--DSB/AMCM(日期:二零零八年一月七日)

電子銀行風險管理指引

澳門金融管理局（AMCM）根據三月十一日第14/96/M號法令第九條和七月五日第32/93/M號法令核准之《金融體系法律制度》第六條所賦予的權限，制定本指引。

1.背景

1.1資訊科技的發展和創新正在改變信用機構的運作方式，也使其能通過電子及互動通訊渠道爲客戶提供銀行服務和産品（下稱“電子銀行”）。利用電子銀行，客戶既可以通過私人或公共的網路，包括互聯網，獲得某信用機構提供産品和服務的資訊，又可從網上申請新産品及服務，查看存貸款賬戶及交易餘額，以及在賬戶之間劃撥資金或進行其他的交易1。

1.2電子銀行帶來效益但也伴隨著風險。因此，信用機構應根據風險的種類、複雜性、允許的交易金額及其使用的電子渠道進行風險管理控制。

1.3本指引提出了對電子銀行的風險管理主要原則。它適用於在本地註冊的信用機構，也適用於外地信用機構在澳門開設的分行。所有正在或準備開展電子銀行業務的信用機構應運用這些原則建立健全、有效的風險管理程序；強化系統運行的可用性、安全和恢復能力；及實施嚴

1包括用電子方式在儲值卡上儲錢、用儲值卡採購商品和服務、使用自動櫃員機及使用信用機構發行或推廣的付款卡在特約商戶消費等。

2/22

格的保密制度和重要的管理守則以保護客戶資料。在適用的情況下，本指引也適用於已使用或將使用電子通訊渠道提供服務的其他機構2：

(a)根據第15/83/M號法令獲許可經營的財務公司；及

(b)根據《金融體系法律制度》獲許可經營的金融中介機構和其他金融機構。

1.4電子銀行給獲許可機構帶來風險管理的挑戰。相關風險管理過程及進行獨立評估的核心監管要求在下文各段列出，惟本指引所列舉的建議並非終局性的。獲許可機構應隨著科技的不斷快速發展，適當參照其他相關的行業標準和做法，以保證電子銀行的風險管理程序適時和適用。

1.5AMCM認同巴塞爾銀行監察委員會（下稱“巴塞爾委員會”）2003年7月頒佈的文件《電子銀行風險管理原則》(http://publ/bcbs98.htm)和《跨境電子銀行活動管理和監管》(http://publ/bcbs99.htm)列舉的風險管理原則和良好的做法，並鼓勵獲許可機構閱讀和理解這些文件定出的主要原則。

2.電子銀行面臨的風險管理挑戰和其所具有的風險

2.1巴塞爾委員會認爲，電子銀行的基本特性對銀行機構構成了很多風險管理挑戰：

(1)科技和客戶服務創新的快速變化，對機構要在很短的時間內推出新的業務作業軟件産生了競爭壓力。競爭也增強了在運行新電子銀行作業軟件前進行適當的策略評估、風險分析及安全檢查的必要性。

2信用機構及本處所指的其他金融機構，以下簡稱為“獲許可機構”。

3/22

(2)交易性電子銀行網頁、零售及批發業務軟件與舊電腦系統的整合，使機構更加依賴於系統設計和結構的安全，以及系統的互通能力和運作的規模效應。

(3)隨著對資訊技術依賴程度的提高，與不受監管的第三方建立夥伴聯盟和簽訂外判協議的趨勢越來越明顯。

(4)公開電子網路的普遍性和全球性使得安全控制、客戶確認、資料保護、審計軌迹和客戶私隱等都變得更加重要。

2.2儘管電子銀行的風險種類不是新的，但其産生方式、重要性和可能後果都出現了新的形式。爲監管之目的，AMCM著重列出以下幾種常見的電子銀行風險，要求獲許可機構充份熟悉這些風險，以便對其進行更好的識別、計量、監測和控制：

(a)策略風險。這是指因爲逆向業務決策、執行決策不當或對行業變化缺乏反應而産生的對現時及未來的盈利和資本的影響。管理層在決定開發某種特定的電子銀行産品前，應瞭解與電子銀行相關的風險；同時也應考慮此産品和科技與獲許可機構的策略計劃是否相吻合，有否配置適當的專業人員和資源以識別、監測和控制這些風險。

(b)操作風險。這是指錯誤或欺詐風險，或系統未能對交易或狀況進行適當記錄、監測和記賬的風險。如果業務的計劃、執行和監測不周詳，更高層次的操作風險就會發生。獲許可機構提供電子銀行産品既要滿足客戶要求，也要保證自身有適當的産品組合和提供準確、準時