电子银行业务的风险管理原则巴塞尔银行监管委员会 2003年7月董事会和管理层监督董事会和高级管理层负责制定银行的业务战略。
在开始提供电子银行交易服务之前,应该对是否希望银行提供此类服务作出明确的战略决策。
特别要提出,董事会应该确保电子银行计划与公司战略目标明确地结合起来,并对拟开展的电子银行业务进行风险分析,对已识别的风险建立适当的风险缓释和监控程序,以及按照银行的业务计划和目标,不断检查评估电子银行业务的成果。
此外,董事会和高级管理层还应该适当考虑和解决银行在电子银行业务战略中的操作和安全风险问题。
通过互联网提供金融服务,可以大大改变甚至增加传统银行业务风险(例如:战略风险、声誉风险、操作风险、信用风险和流动性风险),因此,银行应该采取一些措施,确保现行的风险管理程序、安全控制程序、对业务外包的尽职调查和监督程序能够针对电子银行服务的发展作出适当评估和相应修改。
原则1:董事会和高级管理层应该对与电子银行业务有关的风险进行有效的管理监督,包括建立具体的责任制度、策略和控制措施来管理这些风险。
管理层的高度监督对完善电子银行业务的内部控制是非常重要的。
除了互联网传送渠道的具体特征,电子银行的以下方面也可能对传统的风险管理程序造成相当大的挑战:·银行不能直接控制传送渠道(互联网和相关技术)的主要方面。
·互联网促进了银行跨境提供服务,而其中有些银行服务并不是由在当地开设的实体分支机构来提供。
·电子银行业务比较复杂,包含一些较高难度的技术术语和概念,在很多情况下,董事会和高级管理层缺乏有关经验。
考虑到电子银行的独特特征,对银行的风险状况和战略有重大影响的新的电子银行项目,董事会和高级管理层应该予以检查,并做适当的战略和成本/回报分析。
如果不进行足够的前期战略审查和连续的计划评估,银行就可能低估成本,高估电子银行业务的回报。
此外,董事会和高级管理层应该在开展新的电子银行业务或采用新技术以前,确认银行拥有必要的专业知识来进行有效的风险管理监督。
管理层和员工的专业知识应该足以应付电子银行业务的技术特征和复杂性以及相应技术。
不管银行的电子银行系统和服务是由自己管理还是外包给第三方,银行自己必须拥有足够的专业知识。
高级管理层应该进行动态的监督,以便有效地干预和纠正任何可能发生的重大电子银行系统问题或安全事故。
由于电子银行业务的声誉风险日益增加,银行有必要密切监控系统的可操作性和客户的满意程度,此外,还需要建立向董事会和高级管理层适当报告突发事件的机制。
最后,银行对电子银行业务的风险管理程序,应该与银行的全面风险管理相统一。
董事会和高级管理层应该对银行的现行风险管理政策和程序进行评估,以确保这些政策和程序的完善性,使其可以解决当前或计划之中的电子银行业务带来的新风险。
在风险管理监督方面,董事会和高级管理层还应该承担以下工作:·明确银行在电子银行业务方面的风险偏好。
·建立关键的授权和报告机制,包括对影响银行安全、稳健或声誉的各种突发事件,建立必要的逐级上报程序。
·要处理好一切与电子银行产品和服务的安全性、完整性和可用性相关的独特风险因素。
对于那些承包关键系统或业务的第三方,也应该要求其采取相似的措施。
·在银行进行跨境电子银行业务之前,须确保进行了适当的尽职调查和风险分析。
互联网极大地提升了银行提供产品和服务的能力,使其可以在事实上不受包括过境在内的地理区域的限制(包括跨越国境)。
此类跨境电子银行业务,特别是银行在"东道国"没有设立实体分行的情况下,可能给银行带来新的法律风险、监管风险和国家风险,原因是在银行发照、监管和客户保护方面,各国规定可能存在很大差异。
因为需要避免不意违反国外的各种法律或条例,以及对有关的国家风险因素进行管理,所有打算开展跨境电子银行业务的银行,事先应该充分研究这些风险,并且有效管理这些风险。
各银行的风险管理方案的范围和结构应根据其电子银行业务范围和复杂程度的不同而不尽相同。
管理电子银行服务所需要的资源应该足以适应交易的功能性和系统的重要性、以及适应网络的弱点和传递信息的敏感度。
原则2:董事会和高级管理层应该检查和审批银行安全控制程序的主要方面。
董事会和高级管理层应该检查安全控制基础设施的开发和持续维护中与保护电子银行系统和数据免受内部和外部威胁相关的部分。
这些基础设施包括建立适当的授权等级制度,逻辑和物理进入控制,以及足以维持适当的内部和外部用户活动的基础设施安全措施。
保护银行资产是董事会的受托责任之一,也是高级管理层的一项基本职责。
但是,在电子银行迅速发展的环境中,保护银行资产是一项艰巨的任务,因为通过公用互联网开展业务和使用新技术时,安全风险问题会变得非常复杂。
为了确保对电子银行业务进行适当的安全控制,董事会和高级管理层需要确定银行是否拥有包括策略和步骤在内的全面的安全程序,以处理可能的内部和外部安全威胁,及对突发事件进行防范和作出回应。
有效的电子银行安全程序的主要内容包括:·明确管理层/员工在检查公司安全政策的制订和维护方面的责任。
·充足的物理控制以防止非授权的物理进入计算机环境。
·充足的逻辑控制和监控程序,以防止非授权的内部和外部用户进入电子银行的应用系统和数据库。
·安全措施和控制措施的定期检查和测试,包括对当前业界安全发展情况持续跟踪,软件的适当升级,以及服务打包和其他必要的措施的采用。
原则3:董事会和高级管理层应该建立全面和持续的尽职调查制度和监管程序,来管理银行在电子银行业务方面的业务外包和其他对第三方的依赖。
由于银行日益依赖合伙方和第三方提供服务来履行关键的电子银行职能,银行管理层的直接控制能力有所下降了。
因此,为了管理业务外包和其他对第三方的依赖所??序应该涵盖合伙人和服务供应商的第三方的业务,其中包括可能对银行产生重大影响的外包业务的分包合同。
在过去,业务外包往往局限于某一家服务供应商,内容也仅局限于某项具体职能。
但是,近几年来,银行的业务外包不仅规模在扩大,而且复杂程度也提高了,其直接原因在于信息技术的进步和电子银行业务的出现。
使问题变得更为复杂的是,电子银行服务的业务外包还可能被分包给其他服务供应商或在国外进行。
而且,由于电子银行业务和服务在技术上日益先进,在战略上日渐重要,某些电子银行职能领域越来越集中依赖于少数几家专业的第三方公司和服务供应商。
这些情况可能导致风险日益集中,因此需要引起每家银行以及整个银行业的注意。
总之,以上这些因素突出了对业务外包和其他对外部的依赖进行全面和持续评估的重要性,其中包括对可能影响银行的风险状况和风险管理能力的部分进行评估。
董事会和高级管理层监控业务外包和对第三方的依赖,应该特别注意确保:·充分了解对其电子银行系统或业务进行业务外包或签订合伙协议会带来哪些风险。
·在签订任何电子银行服务合同之前,必须对第三方服务供应商或合伙人的业务能力和财务状况进行适当的尽职调查。
·在业务外包或合伙关系中,所有合同各方的责任必须非常明确。
例如,应该明确规定向服务供应商提供信息的责任和向服务供应商收集信息的责任。
·银行所有业务外包的电子银行系统和业务应该符合银行自己制定的风险管理、安全和隐私权保护政策的标准。
·对业务外包进行定期独立的内部和/或外部审计,审计的范围至少要等于该业务由本行自己处理的情况下的范围。
·制订电子银行业务外包的适当应急计划。
安全控制虽然董事会有责任确保制定适宜的电子银行安全控制程序,但是这些程序的内容还需要引起管理层的特别注意,因为电子银行业务造成的安全问题的难度在日益增大。
下列问题尤其显著:身份认证、不可否认性、数据和交易的完整性、职责的分解、授权控制、审计跟踪的维持、对关键银行信息的保密。
原则4:对于与银行通过互联网发生业务往来的客户,银行应该采取适当的措施,对其身份和授权情况进行认证。
银行必须能够确认某一特定通讯、交易或进入请求是否合法,相应地,银行应该使用可靠的方法来审核新客户的身份和授权情况,同时也要审核寻求开展电子交易的老客户的身份和授权情况。
在账户开立时对客户身份进行审核可以减少诸如盗用身份、欺诈账户和洗钱等方面的风险。
如果银行不能对客户的身份作适当认证,就可能导致未经授权的人员进入电子银行账户,出现欺诈、秘密信息泄露或无意卷入犯罪活动,并且最终给银行造成经济损失和声誉损害。
在一个完全开放的电子网络环境中,确认和认证进入银行系统的人员的身份和授权情况,可能是一项非常艰巨的任务。
网络黑客可能通过许多技术盗用合法用户的授权,还可以通过使用"嗅探器",来占用合法授权人员的线路,进行有害或犯罪性质的??过认证控制程序。
因此,银行必须拥有正式的政策和程序,使用各种适当的方法,确保银行能够正确地对个人、代理人或系统的身份和授权情况进行认证,使用的方法既要独特又要尽量切实可行,并且能够阻止非授权的个人和系统的进入。
银行可以用来进行认证的方法有很多种,其中包括个人身份号码、密码、智能卡、生物测量技术和数字证书。
这些方法可以单独使用或合并使用。
一般来说,多种认证方法同时使用会更安全。
银行管理层必须对整个电子银行系统或其某些组成部分所带来的风险进行评估分析,在此基础上决定采用何种身份认证方法。
风险分析应该包括评估电子银行系统(如资金转移、账单支付、贷款发放、账户汇总等)的交易能力、所储存的电子银行数据的敏感度和价值以及客户使用认证方法的难易程度。
在跨境电子银行业务中,完善的客户认证和授权程序非常重要。
因为在与国外客户进行电子交易时,可能会出现许多其他方面的难题,包括身份模仿的风险,对潜在客户的资信状况进行有效审查的难度则更大。
在认证方法的不断发展的同时,应该鼓励银行跟踪和采用该领域中的业界稳健做法,以确保:·审查进入电子银行顾客账户或敏感系统的身份认证数据库不被篡改和毁损。
任何篡改都可以被及时发现,并且对这些篡改企图进行审计跟踪。
·对个人、代理或系统的身份认证数据库所进行的增加、删除或修改都需要事先经认证资源适当授权。
·应该采取适当措施,控制电子银行系统连接,例如,防止未知的第三方取代已有的客户。
·在整个通讯期间,经过认证的电子银行通讯线路一直保持安全状态。
如果因安全原因而中断通讯线路,再次进入时应该要求重新认证。
原则5:银行应该使用促进交易不可否认性和明确电子银行交易责任的认证方法。
不可否认性包含产生原始凭证或传送电子信息以保护传送人免受数据接收人的虚假否认,或者保护接收人免受数据传送人的虚假否认。
在诸如信用卡或证券交易等传统交易中,否认交易的风险已经比较严重。