操作风险管理电子银行论文
前言:本站为你精心整理了操作风险管理电子银行论文范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
一、电子银行操作风险与防范
电子银行业务由于具有客户自助操作的特性,交易主要由客户利用银行提供的服务渠道,在银行外部完成交易。本文按照电子银行操作风险发生的部位分为银行内部操作风险和银行外部操作风险两大类,分别进行阐述。
1.银行内部操作风险。
1.1系统安全风险,指商业银行的电子银行系统由于设计缺陷、安全机制不健全、软硬件设施落后等原因,导致电子银行系统被攻击而造成损失的风险。该类风险事件一旦发生,将给银行的电子银行系统带来较大的破坏和影响,危及大量客户的信息安全和资金安全。商业银行应通过建立系统安全评估机制,加强对系统漏洞与缺陷的主动扫描和监测,及时修正问题、弥补漏洞,消除风险隐患。
1.2运营风险,指电子银行服务运营过程中,因生产系统突发事件、设备网络老化故障等原因,造成电子银行系统宕机、拥堵、错账等风险。该类风险将使客户无法正常办理电子银行业务,影响客户体验,甚至可能出现因资金到账不及时、错误等与客户产生纠纷。商业银行一方面应建立生产系统应急预案,强化预案演练并定期更新,在故障发生时,能够在最短的时间内予以解决;另一方面,在重要时点,提前预判业务峰值,动态调整系统承载能力,减少问题的发生。
1.3内部管理风险,指银行员工在业务管理中因操作失误、恶意违规、内外勾结等行为,给银行、客户造成资金损失的风险。该类风险的防范依赖于商业银行内部控制手段,目前各商业银行主要通过发挥业务操作职能部门、业务管理职能部门、内部稽核部门三道防线的作用来强化操作风险管理。
2.银行外部操作风险。
2.1诈骗风险,指不法分子利用各种手段欺骗客户或银行,诱导客户按指定方式开通电子银行业务,进而盗取客户资金的风险。常见的诈骗手法,如通过短信、邮件或广告等告知客户可代办银行无抵押、无担保贷款,要求客户使用其提供的手机号码签约电子银行服务,并须存入资金后告知银行卡密码已便进行验资;又如不法分子冒充国家公检法机关、税务局、银监局、银行、电信公司等单位工作人员,以各种理由给客户打电话实施诈骗。
2.2木马病毒攻击风险,指不法分子通过散播木马、病毒等恶意文件,对客户使用的PC机、手机或其他设备进行攻击,窃取客户账户、密码等关键信息进而盗取客户资金,或直接远程控制客户设备发起交易,导致客户资金损失的风险。早期,木马病毒主要针对网上银行进行攻击,各大商业银行通过推广二代U盾(二代网银盾)等安全工具来加以防范;近期,随着手机在客户生活服务、银行业务中嵌入越来越多,木马病毒逐步转变为攻击客户的手机,特别是相对开放的安卓系统,来抓取客户信息,甚至直接窃取客户资金,给客户、银行以及第三方支付机构带来了巨大的风险。
2.3钓鱼网站风险防范,不法分子通过建立钓鱼网站或通过邮件、链接、短信等方式,诱导客户泄露信息,进而造成资金损失,或与木马病毒相结合,诱骗客户打开网页后,自动将木马病毒植入客户设备,进而盗取客户资金。近期,最新出现了通过假冒电讯基站,伪造银行或运营商短信号码向客户群发短信,诱骗客户登录钓鱼网站并盗取资金的案列,可见钓鱼方式也在不断演化,风险形势日益严峻。针对该类风险,应以加强风险提示、强化客户教育、提升客户安全防范意识为主;同时,建立反钓鱼机制,主动侦测、鉴别钓鱼网站,消除风险源头。
2.4客户误操作风险,指客户因误操作,交易办理重复、错误,可能导致资金损失或引发客户纠纷的风险。该风险主要由客户过失所致,但商业银行也应在流程设计、安全确认等环节,增加提示、优化设计,减少客户误操作几率。
二、对商业银行电子银行安全防范体系的建议
目前,各商业银行已经在安全技术、安全产品、内部控制、风险提示等方面采取了相应措施,取得了一定成效。但笔者认为,随着内外部风险形势的不断变化,商业银行以及监管单位、公安机关等还应在安全防范体系建设方面,有更多前瞻性的考虑,统筹协调,共同推进,相关建议主要有以下几点:
1.建立电子银行风险监控系统,强化事中干预。商业银行应充分运用IT技术,建立电子银行风险监控系统,支持实时或事后对交易数据的收集、分析,并组织专业人才成立专职团队,负责后台监控系统的运营,条件具备的,应确保后台监控7×24运营,实时处理各种风险事件。同时,商业银行应研究内外部风险事件,分析犯罪分子作案手法和客户风险特征,并制定相应的风险识别模型。通过风险识别模型的匹配,对客户风险级别和交易风险级别进行识别和评估。结合内外部风险形势的变化,商业银行还应动态补充完善风险识别模型,涵盖各种风险因子,不断提高后台监控的识别准确率。
2.建立客户问题解决机制,主动化解客户纠纷。电子银行风险事件中,犯罪分子往往在客户不知情的情况下,窃取客户关键信息,进而盗取资金。而一旦发生资金损失,客户由于对资金损失过程不了解,通常首先会要求银行给予解释并赔偿损失。此时,银行方如果无法提供强有力证据证明资金损失确为客户责任,往往会处于较为被动的局面,而客户情绪一旦激化,银行又要面临声誉风险。因此,建议商业银行应本着“客户为中心”的理念,逐步建立纠纷和解机制,在基本排除客户诈骗银行的前提下,主动通过垫付客户部分资金等形式安抚客户,化解客户纠纷,避免声誉风险,树立客户使用电子银行的信心。同时,在与客户纠纷和解过程中,应与客户签署保密文本,纠纷和解实施后,应注意对事件传播范围的控制,避免不明真相的大众客户或媒体因误解事件经过,出现对商业银行不利的投诉、报道等。
3.建立监管当局、公安机关牵头,商业银行、通讯运营商等单位协作的风险联防与共商机制。互联网时代,不法分子也依托互联网不限地域、时空的特点进行各种欺诈行为,团伙作案,分工协作,已逐步形成制作木马病毒、建立钓鱼网站、骗取客户信息、盗取客户资金、销赃钱款等较为完整的“产业链”。而商业银行往往各自为战,在接到客户关于资金损失的风险事件后,基于银行声誉的考虑,也往往采用息事宁人的态度和客户单独解决,不愿将信息与监管单位、公安机关以及社会公众分享,使公安机关对犯罪分子的打击处于较为被动的局面。为更有效的打击不法分子的嚣张气焰,建议监管当局、公安机关主动牵头,建立与商业银行、通讯运营商、第三方支付机构等单位的风险联防与共商机制,定期沟通外部风险形势,分享案件信息,统一开展公众安全教育,制定更为有效的联动防范对策,切实保障广大客户资金安全,促进电子银行业务的进一步普及和可持续发展。
作者:楚栋单位:中国建设银行山东省分行
