第一篇：電子銀行業(yè)務風險與防范

課 程 提 綱

賴立峰

課程名稱：電子銀行業(yè)務風險與防范

課程時長：120分鐘

課程簡介：我國的電子銀行業(yè)務始于20世紀90年代后期，目前已初步建成一套較為完整的包括網(wǎng)上銀行、電話銀行、手機銀行、自助銀行等渠道在內(nèi)的電子銀行服務體系。雖然目前我國電子銀行業(yè)務得到了迅速發(fā)展，但電子銀行在產(chǎn)品特色、經(jīng)營理念及管理水平上都還存在參差不齊的現(xiàn)狀。尤其隨著我國加入WTO，外資銀行全面進軍國內(nèi)市場，在經(jīng)營地域、業(yè)務范圍和客戶市場上將與中資銀行開展全面競爭，國內(nèi)各銀行風險的把握是極其必要的。因此，對電子銀行業(yè)務進行風險評估與管理就成為國內(nèi)商業(yè)銀行把握機遇，降低風險的必要步驟。課程內(nèi)容：

一、電子銀行業(yè)務風險分類標準

1、《電子銀行風險管理原則》（Risk Management Principle for Electronic Banking）;

2、按中國銀監(jiān)會標準劃分。

二、電子銀行業(yè)務風險分析

1、傳統(tǒng)風險：★信用（基礎）、流動性、市場、利率等；

2、特殊風險：技術、★操作（差別較大）、★法律（差別較大）、戰(zhàn)略、聲譽、外包、跨境等。

三、風險的管理和控制

1、操作風險管理

2、信用風險管理

3、流動性、利率、市場風險管理

4、聲譽風險管理

5、法律風險管理

四、其他措施和輔助手段：包括稽核和系統(tǒng)檢測。

第二篇：銀行電子銀行業(yè)務風險管理辦法

XXXXXX銀行電子銀行業(yè)務風險

管理辦法

第一章

總 則

第一條

為加強XXXXXX銀行(以下簡稱我行)電子銀行業(yè)務風險管理，保障客戶及我行的合法權(quán)益，促進電子銀行業(yè)務的健康有序發(fā)展，根據(jù)《中華人民共和國電子簽名法》、《電子銀行業(yè)務管理辦法》、《電子銀行安全評估指引》、《電子支付指引（第一號）》、《商業(yè)銀行信息科技風險管理指引》等信息安全的有關法律法規(guī)，制定本辦法。

第二條

電子銀行風險管理的目標是通過建立有效的機制，實現(xiàn)對電子銀行風險的識別、計量、監(jiān)測和控制，促進電子銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。

第三條

電子銀行風險管理的內(nèi)容包括業(yè)務風險管理和信息安全風險管理。電子銀行業(yè)務的風險主要體現(xiàn)為：操作風險、信息科技風險、法律風險、信譽風險、合規(guī)風險以及信用風險、市場風險等。

電子銀行業(yè)務信用風險、市場風險的管理應遵守我行現(xiàn)行各項風險管理制度。本辦法重點規(guī)范操作風險、信息科技風險、法律風險、信譽風險的管理。

第四條

我行實行電子銀行評估制度，重大事件報告制度。對重大事件，按事件性質(zhì)和專項制度規(guī)定及時向監(jiān)管部門報告。

第五條

由內(nèi)控風險管理部對電子銀行系統(tǒng)的運行狀況進行定期審計。

第六條

本辦法適用于我行各管理部門、業(yè)務部門、營業(yè)機構(gòu)及全體員工。

—1— 第二章

風險管理的組織機構(gòu)與職責

第七條

風險管理委員會負責制定電子銀行風險管理政策、監(jiān)控風險管理政策執(zhí)行情況、制定我行電子銀行風險管理活動目標、審批電子銀行風險管理的重大事項，協(xié)調(diào)內(nèi)控風險管理部、綜合管理部、會計核算部、電子銀行部、信息科技部、金電公司托管中心等相關業(yè)務管理部門之間的操作風險管理縫隙，建立涵蓋轄區(qū)范圍電子銀行各項活動的風險管理系統(tǒng)。

第八條

電子銀行部是電子銀行業(yè)務的主管部門，主要職責有：貫徹落實電子銀行監(jiān)管的各項規(guī)定與政策；擬定電子銀行管理、運營的各項規(guī)章制度；配合市場營銷部門提供客戶服務，配合市場營銷部門組織開展電子銀行業(yè)務的市場調(diào)研、產(chǎn)品開發(fā)及產(chǎn)品完善工作；負責提出電子銀行業(yè)務開發(fā)、更新、升級需求，并組織相關測試和培訓；落實電子銀行風險管理政策及內(nèi)控要求，確保電子銀行業(yè)務運行的連續(xù)性和安全性。

第九條

電子銀行業(yè)務風險管理納入我行風險管理體系。風險管理委員會負責制訂與完善風險管理制度及實施細則，組織開展電子銀行業(yè)務自律監(jiān)管、安全評估，有效識別、監(jiān)測、控制和評估電子銀行業(yè)務風險，及時向上級部門或監(jiān)管部門報告風險信息和處理情況。

第十條

會計核算部負責制定會計核算規(guī)章制度，確保電子銀行業(yè)務嚴格按照國家會計政策和我行相關制度執(zhí)行，參與網(wǎng)銀業(yè)務的需求討論、系統(tǒng)測試與驗收工作。

第十一條

信息科技部負責產(chǎn)品研發(fā)過程中的技術風險分析、新產(chǎn)品開發(fā)、投產(chǎn)、運行維護和功能完善工作；制定相關技術標準并參與電子銀行業(yè)務的需求討論、系統(tǒng)測試與驗收工作；電子銀行運營設備和安全控制設備的正常運轉(zhuǎn)；電子銀行數(shù)據(jù)的安全存放和傳遞；風險管理技術手段的安全保障；制定相關技術標準并參與電子銀行業(yè)務的需求討論、系統(tǒng)測試與驗收工作；及時解決電子銀行系統(tǒng)運行中

—2— 出現(xiàn)的技術問題，確保電子銀行系統(tǒng)安全、正常運行。

第十二條

金電公司托管中心是我行電子銀行系統(tǒng)的運維部門，金電公司托管中心負責制定信息系統(tǒng)運維相關資產(chǎn)管理、介質(zhì)管理、設備管理、監(jiān)控管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、信息系統(tǒng)變更管理、安全事件處理、數(shù)據(jù)備份與恢復管理、信息系統(tǒng)應急預案、密碼安全、交付管理等相關規(guī)章制度；負責信息系統(tǒng)運維環(huán)境網(wǎng)絡安全管理；負責信息系統(tǒng)運維環(huán)境物理機房安全監(jiān)控管理；負責信息系統(tǒng)運維環(huán)境主機安全管理，包括但不限于對服務器操作系統(tǒng)、數(shù)據(jù)庫等安全進行管理；負責信息系統(tǒng)運維環(huán)境應用安全管理；負責信息系統(tǒng)運維環(huán)境數(shù)據(jù)安全管理，包括但不限對外包服務所涉及的重要業(yè)務數(shù)據(jù)、鑒別信息等的安全管理。

第十三條

內(nèi)控風險管理部負責電子銀行系統(tǒng)的檢查審計工作，開展電子銀行系統(tǒng)運行的審計，查找并督促消除業(yè)務風險和管理隱患，查處違反電子銀行系統(tǒng)內(nèi)部控制制度的事件。

第十四條

綜合業(yè)務部負責電子銀行安全措施的檢查、協(xié)助公安司法部門對違法行為的調(diào)查、偵破。

第十五條

綜合管理部、會計核算部分別負責電子銀行業(yè)務風險管理所涉及的法律事務和反洗錢工作。

第十六條

營業(yè)部及各支行應指定專人負責電子銀行業(yè)務管理工作，向客戶推介電子銀行業(yè)務，按照我行制定的規(guī)章制度受理和辦理電子銀行業(yè)務、做好電子銀行業(yè)務營銷、售后服務和意見反饋工作。

第三章

操作風險管理

第十七條

操作風險是指我行員工或客戶沒有按照相關規(guī)定或手冊操作而造成我行收益或資本的風險。

第十八條

對于員工操作風險控制的基本要求：

（一）有效隔離應用系統(tǒng)、驗證系統(tǒng)、處理系統(tǒng)和數(shù)據(jù)庫等各系

—3— 統(tǒng)間的風險傳遞；

（二）確保任何單個員工和外部服務供應商都無法獨立完成一項交易；

（三）加強員工思想道德教育，強化操作人員密碼管理，實行分級授權(quán)管理;

（四）實行電子銀行關鍵崗位工作人員AB角制，崗位第一責任人不在崗位時，應指定相應工作人員代其行使相關事權(quán)，確保工作不間斷、不拖延。

（五）電子銀行業(yè)務操作人員必須熟悉電子銀行的業(yè)務操作流程，必須參加電子銀行業(yè)務培訓方能辦理業(yè)務，電子銀行部定期組織培訓和考核。

第十九條

對于客戶操作風險控制的基本要求：

（一）詳細說明并提供演示流程，清晰告知客戶電子銀行操作要領；

（二）通過客戶服務中心、操作指南、柜員指導等多渠道提供幫助，并及時進行風險提示；

（三）通過登陸保護、密碼強度以及各類防范技術盡可能減少客戶發(fā)生風險損失的概率;

（四）客戶重要信息（如姓名、身份證號碼等）變更必須由本人持有效證件前往營業(yè)網(wǎng)點辦理;

（五）對客戶對外支付額度進行限制，支付限額如有調(diào)整必須提前十日向客戶公布。

第四章

信息科技風險管理

第二十條

信息科技風險是指信息科技在電子銀行系統(tǒng)運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷導致的我行收益或資本的風險。

—4— 第二十一條

嚴密防范并及時填堵系統(tǒng)后門，以防止黑客通過后門進入系統(tǒng)進行破壞和竊密。

第二十二條

嚴格進行網(wǎng)絡邏輯分段，形成IP子網(wǎng)，實現(xiàn)對內(nèi)部網(wǎng)絡的隔離，在路由器上實施數(shù)據(jù)包過濾，并且利用防火墻來實現(xiàn)基于IP地址的內(nèi)外訪問控制。

第二十三條

建立實時病毒防范功能，以防止系統(tǒng)錯誤、數(shù)據(jù)混亂、服務失敗等給業(yè)務系統(tǒng)和管理系統(tǒng)帶來損失。

第二十四條

建立數(shù)據(jù)存儲備份管理，確保在發(fā)生系統(tǒng)被破壞、應用錯誤、數(shù)據(jù)丟失時，通過數(shù)據(jù)存儲管理進行及時恢復。

第二十五條

建立系統(tǒng)安全漏洞掃描機制，在系統(tǒng)使用過程中動態(tài)地尋找系統(tǒng)漏洞，幫助完善系統(tǒng)的安全，并以此防止由于其它的網(wǎng)絡操作對系統(tǒng)的安全造成威脅。

第二十六條

建立外部攻擊偵測機制，通過IDS、IPS系統(tǒng)，及時發(fā)現(xiàn)外部攻擊行為，并對攻擊行為進行及時處理，問題嚴重時候，啟動應急預案。

第二十七條

采用身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整、數(shù)字簽名、防重發(fā)等安全控制機制，保證客戶使用的安全性。

第二十八條

進行風險評估，制定風險評估計劃，識別信息資產(chǎn)，評價信息資產(chǎn)威脅發(fā)生的可能性以及弱點被利用的容易程度，確定風險等級，找出目標與現(xiàn)狀的差距，改進信息安全措施。

第二十九條

制定安全計劃，明確實施方案，確定可接受風險的程度，制定風險緩釋策略，減少、規(guī)避和轉(zhuǎn)移風險；檢查和測試風險緩釋策略和安全計劃實施情況。

第三十條

保證電子銀行開發(fā)環(huán)境和應用環(huán)境的分離，評估和認證后續(xù)開發(fā)應用的需求和風險。

—5—

第五章

法律風險管理

第三十一條

法律風險是指違反或不遵守法律、法規(guī)、規(guī)章或約定的慣例，或者沒有完善地界定有關交易各方在法律上的權(quán)利和義務而造成我行收益或資本的風險。

第三十二條

對于資金轉(zhuǎn)移類交易，必須要采用雙重身份認證和加密傳輸，并由客戶設定支付額度，以此防范人民銀行《電子支付指引（第一號）》提示的電子支付風險。

第三十三條

電子銀行業(yè)務的開通，必須首先與客戶簽訂電子銀行服務協(xié)議及合同，明確雙方的權(quán)利與義務，并在協(xié)議條款和網(wǎng)站上對電子銀行業(yè)務有可能造成的風險進行公告。

第三十四條

對于客戶有意泄露密碼或未履行應盡義務的，我行應根據(jù)法律法規(guī)維護自身合法權(quán)益。

第三十五條

加強對與我行系統(tǒng)存在技術和業(yè)務連接的第三方機構(gòu)的管理，通過正式法律協(xié)議明確雙方的糾紛處理、賠償?shù)认嚓P法律責任，向客戶充分披露銀行與第三方機構(gòu)的業(yè)務流程和責權(quán)關系，積極防范法律風險。

第六章

信譽風險管理

第三十六條

信譽風險是指負面的公眾輿論對我行收益或資本所造成的風險。

第三十七條

在電子系統(tǒng)中，應采用先進、成熟的技術，避免因技術落后給客戶帶來不便，使客戶對我行整體服務能力產(chǎn)生不信賴。

第三十八條

為客戶信息負責，防止因系統(tǒng)安全性缺陷嚴重損害客戶的隱私權(quán)。

第三十九條

制定合適的應急計劃和業(yè)務連續(xù)性計劃，使系統(tǒng)

—6— 具備為客戶提供不間斷服務的能力。

第四十條

制定危機公關預案，加強與媒體的合作，針對突發(fā)事件和負面輿論，要認真分析、及時匯報、積極響應、統(tǒng)一口徑，最大限度地消除負面影響。

第七章

合規(guī)風險管理

第四十一條

合規(guī)風險是指銀行因未能遵循法律法規(guī)、監(jiān)管要求、規(guī)則、自律性組織制定的有關準則、已及適用于銀行自身業(yè)務活動的行為準則，而可能遭受法律制裁或監(jiān)管處罰、重大財務損失或聲譽損失的風險。

第四十二條

電子銀行部應定期組織培訓學習，加大頻度，培訓中結(jié)合監(jiān)管部門有關銀行業(yè)金融機構(gòu)信息科技風險管理文件要求，通過系統(tǒng)學習和培訓，在工作中自覺貫徹執(zhí)行，提高全員信息科技合規(guī)意識。

第四十三條

建立各網(wǎng)點一線人員聯(lián)席會議制度，及時對臨柜操作的各項風險點相互交流，共同研究和解決工作中出現(xiàn)的新問題、新情況。

第四十四條

建立電子銀行業(yè)務管理部門、內(nèi)控風險管理部門與業(yè)務部門的聯(lián)動機制，實現(xiàn)各部門間的防范優(yōu)勢互補和信息共享，形成風險管理的合力。

第四十五條

各營業(yè)網(wǎng)點內(nèi)部建立信息科技風險協(xié)調(diào)機制，明確責任，定期自查本網(wǎng)點信息科技合規(guī)方面存在的問題，遇到內(nèi)部不能協(xié)調(diào)解決的問題，及時上報。

第四十六條

完善信息科技風險內(nèi)控制度，查漏補缺，調(diào)整優(yōu)化，嚴格評估信息安全內(nèi)控體系的完整性和實施的有效性，電子銀行部、內(nèi)控風險管理部應適時組織開展轄內(nèi)機構(gòu)信息科技合規(guī)風險的現(xiàn)場檢查。

—7—

第八章

異常交易監(jiān)控

第四十七條

要求電子銀行系統(tǒng)外包服務商應用專門軟件對電子銀行系統(tǒng)進行實時的監(jiān)控和審計，并逐日形成日志和審計報告。按業(yè)務規(guī)則定期審查監(jiān)控日志和審計報告，對于業(yè)務異常流量和交易進行事后監(jiān)督和確認。

第四十八條

對電子銀行客戶發(fā)生的大額交易、可疑交易按監(jiān)管部門的要求提取、上報。

第四十九條

電子銀行客戶發(fā)生大額交易、異常交易時，系統(tǒng)應提示相關工作人員及時聯(lián)系客戶，由相關工作人員根據(jù)客戶的回應決定是否放行交易。

第九章

風險的分析與報告

第五十條

電子銀行業(yè)務的分析與報告是指對電子銀行業(yè)務風險定期進行分析，總結(jié)經(jīng)驗，發(fā)現(xiàn)問題，分析原因，采取措施，并形成業(yè)務風險報告。業(yè)務風險報告分為業(yè)務風險報告和重大突發(fā)事件的專題報告。

第五十一條

業(yè)務風險報告必須在次年１月內(nèi)上報，其主要內(nèi)容包括：本業(yè)務風險發(fā)生情況、風險結(jié)構(gòu)、分析成因、防范措施、經(jīng)驗教訓、整改措施。

第五十二條

重大突發(fā)事件專題報告：對系統(tǒng)故障、非法入侵、客戶信息泄漏、客戶資金被盜及內(nèi)部作案等重大突發(fā)事件要逐件專題報告，并及時上報有關部門采取相應補救措施，防止損失進一步擴大。

第十章

附 則

第五十三條

本辦法由XXXXXX銀行內(nèi)控風險管理部負責解釋和修訂。

—8— 第五十四條 本辦法自下發(fā)之日起施行。

—9—

第三篇：電子銀行操作風險與防范

電子銀行操作風險與防范

一、內(nèi)部控制風險

風險點1：操作人員崗位配備沒有落實到位。

主要表現(xiàn)：一是網(wǎng)銀內(nèi)管系統(tǒng)錄入員、審核員與實際操作人員不符，崗位變動后沒有及時更新系統(tǒng)操作員信息，仍使用原崗位人員用戶名；二是營業(yè)網(wǎng)點人員變動未及時辦理交接登記手續(xù)

風險提示：沒有按照崗位設臵要求配備操作人員，或操作人員配備流于形式，導致內(nèi)部制約環(huán)節(jié)難以落實到位，存在著內(nèi)部管理風險隱患。

防控措施：

1.各級會計管理部門應設臵會計錄入崗、會計審核崗，負責業(yè)務參數(shù)設臵、機構(gòu)管理、柜員管理等工作；

2.各級電子銀行業(yè)務管理部門應設臵業(yè)務管理崗、業(yè)務審核崗，負責留言管理、公告管理、業(yè)務統(tǒng)計等工作；

3.各營業(yè)網(wǎng)點應設臵業(yè)務錄入崗、業(yè)務審核崗，負責簽約、數(shù)字證書管理等業(yè)務操作。（企業(yè)網(wǎng)銀）

風險點2：非客戶本人簽約電子銀行業(yè)務。

風險提示：如果網(wǎng)點柜員對客戶（個人和企業(yè)）身份審核和驗證不嚴格，一旦有不法分子惡意使用他人身份證件（或企業(yè)資料）簽約電子銀行業(yè)務，掌握客戶銀行賬戶賬號和密碼，就有可 能發(fā)生盜取客戶資金案件。

嚴格把好客戶簽約注冊關 防控措施：

1.簽約個人網(wǎng)銀、手機銀行、網(wǎng)上支付、電話銀行、短信通，需遵循“本人辦理、本人簽字、本人簽收”原則，由客戶本人攜帶銀行卡及有效身份證件到柜面簽約。柜員在辦理簽約業(yè)務時，須核實開戶人本人及所持身份證件與公民身份聯(lián)網(wǎng)核查系統(tǒng)中公安部門原錄入身份證照片是否一致，驗證身份證件是否真實有效，以確?？蛻舯救撕灱s。

2.簽約企業(yè)網(wǎng)銀，應重點審核客戶提交的營業(yè)執(zhí)照副本等證件是否真實有效；通過公民身份聯(lián)網(wǎng)核查系統(tǒng)驗證法定代表人、授權(quán)代理人的身份證件是否真實有效，對有疑點的客戶及時電話聯(lián)系企業(yè)負責人，核實經(jīng)辦人員身份；通過折角驗印等方式核對客戶預留印鑒，確保各項資料審核無誤。

風險點3：代客戶保管USBKEY、手機銀行貼膜芯片、動態(tài)令牌等。

風險提示：如果員工持有客戶USBKEY、手機銀行貼膜芯片、動態(tài)令牌等，存在員工違規(guī)劃撥客戶資金的風險。

按重要空白憑證的要求規(guī)范化管理 防控措施：

1.加強USBKEY、手機銀行貼膜芯片、動態(tài)令牌等重要空白 憑證的管理，規(guī)范其領用、出庫、入庫、調(diào)撥和日常使用管理。每日營業(yè)終了，營業(yè)網(wǎng)點要按照會計部門關于重要空白憑證管理的要求進行賬實核對。

2.嚴格落實內(nèi)部控制制約機制，要求員工及時將USBKEY、貼膜芯片、動態(tài)令牌等發(fā)放到客戶手中，禁止代客戶保管。

風險點4：客戶資料審核環(huán)節(jié)把關不嚴。

風險提示：如果柜員辦理簽約、變更、注銷等業(yè)務時，沒有認真審核客戶資料的完整性和真實性，一旦發(fā)生經(jīng)濟糾紛和案件，就無法對相應操作免責，將會給農(nóng)村信用社帶來法律風險。

嚴格按照操作規(guī)程辦理 防控措施：

1.柜員應認真審核客戶提供資料的完整性、授權(quán)委托書的規(guī)范性（使用財務會計部確定的格式憑證），以及填寫的各項要素是否完整、各類簽章是否齊全。

2.在辦理個人網(wǎng)銀業(yè)務時，應核對客戶提供的賬戶信息與系統(tǒng)登記的客戶身份信息是否相符，銀行卡狀態(tài)是否正常。

3.在辦理企業(yè)網(wǎng)銀業(yè)務時，應審核客戶提供的單位活期存款賬戶是否符合簽約企業(yè)網(wǎng)銀的條件，核對客戶提供的企業(yè)相關信息與核心業(yè)務系統(tǒng)登記信息是否相符。

4.辦理企業(yè)網(wǎng)銀簽約業(yè)務要堅持雙人操作，嚴格執(zhí)行業(yè)務審核制度，避免擅自為企業(yè)客戶開通網(wǎng)銀的行為，以免造成客戶資 金風險。

風險點5：開通網(wǎng)上銀行、手機銀行（WAP）沒有按照操作規(guī)程要求進行操作。

風險提示：沒有按照流程操作，浪費操作時間，影響其他客戶辦理業(yè)務，甚至導致客戶不滿或投訴。

主要表現(xiàn)：先出售USBKEY或動態(tài)令牌，導致已簽約客戶無法進行簽約，這時必須對出售的USBKEY或動態(tài)令牌進行沖正，并將工本費返還給客戶。

規(guī)范操作可以有效避免此類問題的發(fā)生

防控措施：客戶申請開通網(wǎng)上銀行或手機銀行（WAP）時，柜員須按照“先簽約，后出售USBKEY或動態(tài)令牌，最后綁定客戶數(shù)字證書或動態(tài)令牌”的流程辦理，嚴禁在未簽約狀態(tài)下出售USBKEY或動態(tài)令牌給客戶。

風險點6：沒有在客戶簽約電子銀行時進行必要的安全提示。風險提示：在辦理開通電子銀行業(yè)務時，應重點提醒客戶防范欺詐風險，防止在不知情的情況下，被犯罪分子欺騙簽約電子銀行，進而造成客戶資金損失。

主動提示 盡職免責

防控措施：對主動要求簽約電子銀行的客戶，柜員首先詢問客戶開通電子銀行的用途，判斷客戶是否有被詐騙的可能。對有 被詐騙嫌疑且經(jīng)提醒，客戶仍執(zhí)意辦理電子銀行業(yè)務的，柜員應向客戶進行風險提示，履行風險告知義務，提醒客戶切勿按照陌生人提示簽約電子銀行或通過電子銀行辦理相關業(yè)務，對接收到的陌生郵件及短信提高警惕，不要輕易相信各種套取客戶資料的信息，以防上當受騙。

風險點7：客戶安全操作提示不到位。

風險提示：如果客戶操作提示不到位，不僅影響客戶正常使用，而且有可能給客戶帶來經(jīng)濟損失。

防控措施：

1.提示客戶通過正確網(wǎng)址登陸，防范各種欺詐。應提示客戶直接登錄山東省聯(lián)社官方網(wǎng)址（004km.cn或004km.cn）或手機銀行（WAP）網(wǎng)址（https：//wap.sdrcu.com），切勿通過其他網(wǎng)站鏈接方式登錄。

2.提示客戶在登錄網(wǎng)銀或手機銀行（WAP）系統(tǒng)后，及時核對自己設定的“預留信息”，切實防范“釣魚網(wǎng)站”等欺詐。3.提示客戶設臵安全性較高的密碼，不要采用生日、電話號碼、身份證號碼中的連續(xù)幾位以及簡單規(guī)則排列的數(shù)字等作為網(wǎng)銀或手機銀行（WAP）的登錄密碼。

4.提示客戶修改USBKEY初始密碼，具備條件的營業(yè)網(wǎng)點應由大堂經(jīng)理指導客戶完成初始密碼修改工作。

5.提醒客戶妥善保管身份證件、銀行卡、USBKEY及動態(tài)令 牌等重要物品；勿將賬戶信息、證件號碼及密碼信息等透漏、告知包括自稱銀行工作人員在內(nèi)的任何人。

6.提醒客戶不要在網(wǎng)吧等公共場所使用網(wǎng)上銀行。

7.提醒客戶使用USBKEY完成業(yè)務操作后，退出網(wǎng)銀系統(tǒng)并拔下USBKEY，不要在本人離開的情況下，長時間將USBKEY插在計算機上。

風險點8：新簽約電子銀行客戶，沒有引導其通過網(wǎng)銀體驗機進行首次使用操作。

風險提示：客戶沒有對我們的電子銀行首次登錄或初始密碼修改等進行操作，加大了客戶操作失敗的次數(shù)，客戶體驗較差。

防控措施：

1.營業(yè)網(wǎng)點要明確網(wǎng)銀體驗機的日常維護和管理職責，定期對網(wǎng)銀體驗機進行巡檢，確保機具正常使用。

2.安裝指定的殺毒軟件，防止使用人員非法安裝木馬程序，采取技術措施限制客戶只能登陸網(wǎng)銀系統(tǒng)相關頁面，并定期進行系統(tǒng)升級。

3.營業(yè)網(wǎng)點要安排相關人員通過網(wǎng)銀體驗機，教會客戶首次登錄網(wǎng)銀進行相關密碼變更、使用網(wǎng)銀、安全退出等操作，有效防范資金風險。

風險點9：營業(yè)網(wǎng)點在客戶提供的電子回單上加蓋印章。風險提示：客戶提供的電子回單，不符合操作規(guī)范，不作為客戶的入賬依據(jù)。

防控措施：按照相關操作規(guī)程要求，通過網(wǎng)銀或手機銀行內(nèi)管系統(tǒng)查詢出客戶交易信息后，為其打印客戶回單并加蓋業(yè)務公章。

風險點10：企業(yè)年服務費扣繳，沒有按照企業(yè)操作員領用的USBKEY分別扣繳。

風險提示：企業(yè)客戶到柜臺主動繳納年服務費時，柜員沒有對該企業(yè)全部操作員領用的USBKEY分別扣繳年服務費，導致其中一個操作員不能操作，或者其中一個USBKEY扣繳了兩年的年服務費，容易造成糾紛。

防控措施：按照相關操作規(guī)程要求，對于存在一個以上操作員的企業(yè)用戶要分別扣繳每個USBKEY的年服務費。

風險點11：網(wǎng)銀注銷時沒有按照操作流程直接做注銷操作，而是先對USBKEY解綁后再進行網(wǎng)銀解約。

風險提示：網(wǎng)銀解約流程不符合操作規(guī)范，導致客戶數(shù)字證書沒有進行吊銷，存在一定的風險隱患。

嚴格按照操作規(guī)程辦理 防控措施：

1.按照電子銀行注銷操作流程規(guī)范操作。2.做好對電子銀行客戶注銷時提供資料的審核。

3.客戶電子銀行注銷后，提示客戶及時銷毀USBKEY或動態(tài)令牌。

二、客戶操作風險

風險點12：客戶電子銀行業(yè)務自助注冊風險

風險提示：網(wǎng)銀、手機銀行、電話銀行等電子銀行業(yè)務有其便利性，同時也伴隨著風險性，客戶自助注冊電子支付前要具備一定的電子支付和計算機操作技能，具備一定的風險防范意識，并主動實施。

防控措施：

1.認真閱讀電子銀行簽約協(xié)議和風險提示，對于不明鏈接或短信提示要提高警惕；

2.對于人行“超級網(wǎng)銀”業(yè)務中“跨行收款”、“跨行賬戶信息查詢”和“第三方貸記”業(yè)務功能，不要輕易授權(quán)他人使用。3.網(wǎng)上有風險，操作需謹慎。

風險點13：客戶賬號及密碼資料被盜。

風險提示：客戶將存款賬戶賬號、密碼存入電腦，有可能被木馬病毒侵害，泄露賬號及密碼。

防控措施：銀行卡賬戶、密碼不能保存于接入互聯(lián)網(wǎng)的電腦中；對于不熟悉的網(wǎng)站，填寫個人信息要謹慎；客戶應設臵更高級別的單獨密碼，使用“數(shù)字+字母+符號”組合的高安全級別密 碼；網(wǎng)上銀行和手機銀行登錄密碼、USBKEY密碼、動態(tài)令牌開機密碼、銀行卡交易密碼應設臵為不同的密碼，且不定期修改

風險點14：客戶電腦中木馬病毒。

風險提示：客戶要定期查殺病毒，保證在一個干凈、安全的電腦里使用電子銀行。

防控措施：

1.陌生人發(fā)來的鏈接或者郵件，不要輕易接收甚至打開；對一些后綴名為exe的安裝文件，或者不常見后綴名，更要加以留心。

2.有些鏈接點一下，原本很清爽簡單的文字會變成很長一串，而且亂七八糟，這種網(wǎng)頁要馬上關閉。

3.假如對方要發(fā)圖片給你看，不要采取接收文件的形式。如果圖片數(shù)量很大，可讓對方上傳到QQ空間或者博客里。4.養(yǎng)成良好的安全上網(wǎng)習慣，不要打開垃圾網(wǎng)站或可疑網(wǎng)站，關閉或刪除系統(tǒng)中不需要的服務，及時給系統(tǒng)打補丁，安裝專業(yè)防毒軟件實時監(jiān)控。

5.推薦使用二代USBKEY。客戶數(shù)字證書本身不存在安全風險，但由于網(wǎng)絡黑客、木馬病毒的存在，加之客戶操作不規(guī)范（USBKEY長時間放到電腦上）使之安全性受到威脅，建議采用二代USBKEY。由于USBKEY在客戶手中，不法分子不能進行按鍵確認，可以有效避免資金損失 風險點15：網(wǎng)上消費時，打開來源不明的郵件或異常鏈接。

風險提示：不明賣家發(fā)送的鏈接或電子郵件有可能攜帶木馬病毒，隨意進入可能會遭木馬攻擊，從而泄露支付賬號和密碼。

防控措施：網(wǎng)上購物時，要登錄正確的網(wǎng)址，按照購物流程直接在平臺內(nèi)支付，不要輕易點擊賣家發(fā)送的不明鏈接，不要輕易接受來源不明的電子郵件。

風險點16：沒有辨別“釣魚網(wǎng)站”。

風險提示：不法分子通過設臵“釣魚網(wǎng)站”、以假亂真等手段，達到騙取客戶錢財?shù)哪康?，要引起網(wǎng)購客戶的警惕。

防控措施：

1.網(wǎng)上購物應保持警惕，看網(wǎng)站是否具有合法的ICP證及工商部門頒發(fā)的營業(yè)執(zhí)照，看網(wǎng)站有沒有公布詳細的經(jīng)營地址和電話號碼。

2.網(wǎng)上購物時不能貪圖便宜，更要留意其支付方式，對不接受貨到付款或匯款的支付一定要慎重。

3.向賣家索要收據(jù)、發(fā)票或者其他憑證，妥善保管匯款單據(jù)等，同時保留與賣家的往來郵件，交易訂單的網(wǎng)頁等，以備不時之需。

風險點17：USBKEY、動態(tài)令牌或手機丟失。

風險提示：客戶USBKEY、動態(tài)令牌或手機等設備丟失，要 在第一時間撥打客服電話（96668）進行相關簽約、綁定賬戶的口頭掛失，首先確保賬戶資金安全，然后到營業(yè)網(wǎng)點辦理相關業(yè)務的具體處理工作。

防控措施：

1.USBKEY或動態(tài)令牌丟失后，客戶應憑有效身份證件到簽約網(wǎng)點辦理USBKEY或動態(tài)令牌掛失手續(xù)，并領取新的USBKEY或動態(tài)令牌。

2.手機如有遺失或被盜，客戶要及向運營商時報停機，憑有效身份證件到簽約網(wǎng)點辦理手機銀行掛失手續(xù)，并領取新的手機銀行貼膜芯片。

3.手機號碼更換后，客戶要及時更新短信通簽約手機號碼及網(wǎng)上銀行、手機銀行客戶信息資料，避免賬戶信息泄露。

風險點18：企業(yè)網(wǎng)銀客戶代發(fā)工資操作不當帶來的資金風險。

風險提示：客戶對企業(yè)網(wǎng)銀代發(fā)工資業(yè)務處理機制不了解，不清楚其入賬時間，多次提交，在賬戶余額充足的情況下造成重復發(fā)放工資。企業(yè)員工一旦離職，重復發(fā)放的工資難以追回。

防控措施：

1.客戶辦理簽約代發(fā)工資業(yè)務時，應告知客戶代發(fā)工資業(yè)務的入賬時間為日終系統(tǒng)批量后次日，避免客戶重復提交業(yè)務。2.若出現(xiàn)代發(fā)工資失敗的情況，企業(yè)操作人員要及時撥打客服中心（96668）或到營業(yè)網(wǎng)點咨詢。

風險點19：客戶未在網(wǎng)銀或手機銀行（WAP）中設臵預留信息。

風險提示：個人及企業(yè)客戶在網(wǎng)銀或手機銀行（WAP）中設臵預留信息，每次登錄時，首先驗證預留信息的正確性，可有效規(guī)避誤入釣魚網(wǎng)站。

防控措施：客戶開通網(wǎng)銀或手機銀行（WAP）業(yè)務后，應及時設臵并定期修改預留信息，且每次登錄時首先核對預留信息的正確性，避免進入釣魚網(wǎng)站，辦理完畢業(yè)務后應安全退出系統(tǒng)操縱界面。

風險點20：網(wǎng)上支付資金賬戶存放資金較多。

風險提示：由于網(wǎng)上支付方便快捷，個人身份認證環(huán)節(jié)相對寬松，客戶在網(wǎng)上支付綁定賬戶應盡量少存放資金，以免給自己帶來資金損失。

防控措施：網(wǎng)上支付綁定資金賬戶中不要存入過多資金，最好隨用隨轉(zhuǎn)。采用雙賬戶管理網(wǎng)上銀行支付交易，在直接支付賬戶中不留或少留資金，在進行支付交易時，方可將資金轉(zhuǎn)到支付賬戶中進行交易。風險點21：客戶未及時掌握網(wǎng)上支付賬戶資金變動情況。

風險提示：客戶要及時掌握自己賬戶資金變動，在賬戶被盜的情況下，能最大限度避免經(jīng)濟損失。

防控措施：

1.客戶應經(jīng)常關注網(wǎng)銀、手機銀行及網(wǎng)上支付相關加掛賬戶內(nèi)資金變化和登錄次數(shù)，發(fā)現(xiàn)賬戶被他人操作、登錄密碼泄露或其他可疑情況，立即修改密碼。

2.網(wǎng)上銀行、手機銀行及網(wǎng)上支付客戶應開通短信通業(yè)務，以便及時掌握賬戶資金變動。手機號碼變更時，應及時維護個人短信通客戶信息，以防個人信息資料被他人盜取。

風險點22：客戶未設臵交易限額

風險提示：客戶要按照自身資金往來實際，及時合理設臵網(wǎng)銀、手機銀行等電子銀行渠道單筆和日累計交易限額，有效防范資金風險。

防控措施：

1.網(wǎng)上銀行、手機銀行、電話銀行簽約時，可在營業(yè)網(wǎng)點由柜員進行相關交易限額的設臵。

2.對于已簽約的網(wǎng)銀、手機銀行客戶，可登錄相關系統(tǒng)，自行設臵交易限額。

3.若由于臨時大額資金劃撥等原因，導致客戶當日單筆或累計交易限額超過自己設定的交易限額（在銀行控制的交易限額之 內(nèi)），客戶可更改相關設定后再辦理相關資金劃撥。資金劃撥后，可再將交易限額調(diào)整至原設定值。

風險點23：企業(yè)客戶沒有按照企業(yè)網(wǎng)銀的交易規(guī)則，設臵操作員和交易審核機制。

風險提示：部分企業(yè)客戶風險意識不強，為了業(yè)務操作方便，將兩個USBKEY交由一個操作員使用和管理，企業(yè)內(nèi)部業(yè)務審核環(huán)節(jié)形同虛設，不能發(fā)揮應有的作用。一旦企業(yè)操作員盜竊或惡意侵占企業(yè)資金，很容易通過網(wǎng)上銀行非法轉(zhuǎn)移企業(yè)資金，案件偵破難度也會大大增加。

防控措施：企業(yè)客戶應加強網(wǎng)銀操作員的管理，加強操作員應用管理，嚴格落實網(wǎng)銀內(nèi)部審核流程，防止資金被惡意侵占。

風險點24：客戶不重視電話銀行操作風險。

風險提示：在辦理電話銀行業(yè)務時，客戶應采取切實有效措施，切實保護賬戶、密碼等個人關鍵信息，嚴格防止賬戶資金被盜情況的發(fā)生。

防控措施：

1.最好不要使用公用電話或他人手機撥打客服電話，以防賬戶信息、密碼等個人資料泄露。

2.嚴格核對客服電話號碼，以防誤撥與客戶電話相似的電話號碼，防范客戶賬戶信息、密碼等資料泄露。3.使用電話銀行時，不要開啟電話的免提功能。

三、系統(tǒng)安全風險

風險點25：業(yè)務差錯處臵不及時，如果涉及客戶交易手續(xù)費沒有及時進行沖正。

風險提示：因系統(tǒng)故障造成的業(yè)務差錯，若得不到及時處理，可能給客戶帶來經(jīng)濟損失，甚至引發(fā)客戶投訴。由于客戶自身原因造成業(yè)務差錯，若不能及時協(xié)助客戶查明賬務差錯原因，有可能貽誤客戶追索資金的時機。

防控措施：

1.由于系統(tǒng)故障原因造成的錯記、重記、漏記、或少記客戶賬務差錯，要嚴格按照會計核算有關規(guī)定及時進行調(diào)賬，涉及手續(xù)費、資金匯劃費的同時進行沖正。

2.對客戶自身原因造成的業(yè)務差錯，要積極協(xié)助客戶查明原因，并向客戶解釋清楚；需要追索款項的，相關部門要盡量給客戶提供幫助，做好協(xié)調(diào)工作。

風險點26：系統(tǒng)服務中斷處臵不及時。

風險提示：系統(tǒng)服務中斷影響客戶正常辦理業(yè)務，如果不能及時處臵，影響客戶對我們的滿意度，甚至可能給客戶帶來經(jīng)濟損失；一旦引發(fā)客戶投訴，可能帶來聲譽風險，損害農(nóng)村信用社的信譽和服務形象。防控措施：

1.對于客戶反映的系統(tǒng)服務中斷事件，受理機構(gòu)人員應立即排查原因，經(jīng)確認，屬非客戶原因服務中斷導致客戶無法辦理網(wǎng)銀業(yè)務的，應立即向上級主管部門報告。

2.由于不可抗外力因素、系統(tǒng)程序缺陷等各種原因?qū)е戮W(wǎng)銀系統(tǒng)服務中斷，省聯(lián)社相關部門應立即排查系統(tǒng)中斷原因，迅速啟動應急處臵預案，采取有效處臵措施，使網(wǎng)上銀行系統(tǒng)盡快恢復對外服務。

風險點27：電子銀行安全事件處臵不及時。

風險提示：如果電子銀行安全事件處臵不及時，造成客戶資金損失，勢必會引發(fā)客戶投訴；一旦被新聞媒體曝光，就會帶來聲譽風險，造成難以挽回的損失。

防控措施：

1.客戶反映賬戶或資金被異常使用時，受理機構(gòu)人員要認真聽取并記錄有關情況，幫助客戶查詢、核對業(yè)務交易情況，認真查找分析原因，并及時向上級主管部門報告。

2.指導客戶立即辦理賬戶掛失或止付手續(xù)，及時修改相關登錄密碼、USBKEY密碼、動態(tài)令牌開機密碼，以及賬戶交易密碼等個人信息。

3.對交易確屬可疑的，要及時向省聯(lián)社報告，并詳細說明事件情況，主要包括：客戶姓名、賬號、事件經(jīng)過、是否報案、采 取的措施等內(nèi)容。

4.安全事件較為嚴重或有繼續(xù)發(fā)展趨勢的，需向公安機關報案的，要及時向公安機關報案并提供線索，配合公安部門偵破案件。

第四篇：信用社(銀行)電話銀行業(yè)務風險防范預案

信用社（銀行）電話銀行業(yè)務風險防范預案

為進一步加強電話銀行業(yè)務及系統(tǒng)運行管理，完善電話銀行業(yè)務流程，強化客戶的風險防范意識及宣傳力度，有效降低風險，確保電子銀行業(yè)務的正常開展，特制定《牡丹區(qū)農(nóng)村信用合作聯(lián)社風險防范預案》。具體內(nèi)容如下：

一、總

則

(一)目的

本預案由區(qū)聯(lián)社統(tǒng)一組織、制定，是指導牡丹區(qū)農(nóng)村信用社做好電話銀行業(yè)務風險防范處置工作的依據(jù)。

(二)編制依據(jù)

本預案依據(jù)《山東銀監(jiān)局辦公室轉(zhuǎn)發(fā)銀監(jiān)會辦公廳關于商業(yè)銀行電話銀行業(yè)務風險提示的通知》和中國人民銀行及山東省農(nóng)村信用社聯(lián)合社電子銀行業(yè)務風險防范方面的規(guī)定等制定。

(三)使用范圍

本預案適用于牡丹區(qū)農(nóng)村信用社發(fā)生的電話銀行風險事故。

二、組織機構(gòu)與職責

牡丹區(qū)農(nóng)村信用合作聯(lián)社設立電話銀行業(yè)務風險管理委員會，辦公室設在科技部，各信用社設立電話銀行業(yè)務風險防范小組，作為應對電話銀行業(yè)務風險的議事、決策、協(xié)調(diào)、處置機構(gòu)。

(一)電話銀行風險管理委員會的組成與職責。

1、電話銀行風險管理委員會的組成。電話銀行風險管理委員會由聯(lián)社分管主任任主任，科技部經(jīng)理、財務會計部經(jīng)理擔任委員，財務會計部、科技部成員擔任電話銀行風險管理員，各信用社成立相應領導小組，明確電話銀行風險管理員。

2、電話銀行風險管理委員會的職責。

(1)審議制定電話銀行業(yè)務風險防范總體規(guī)劃，完善風險管理工作的基本原則、基本規(guī)劃和工作流程，促進電話銀行風險管理工作穩(wěn)步健康開展。

(2)定期召開會議，聽取相關部門和信用社對電話銀行風險防范工作及后續(xù)工作的匯報，分析有關電話銀行風險防范的重要信息及防范措施，(3)分析、審議、決定如何開展電話銀行風險防范的宣傳和風險提示方式，積極防范針對電話銀行的不法活動，維護銀行和客戶權(quán)益。

(4)協(xié)調(diào)各級職能部門共同開展電話銀行風險防范處置工作，做好領導交辦的其他工作。

3、電話銀行風險管理工作機制。

(1)聯(lián)社財務會計部負責電子銀行業(yè)務風險突發(fā)事件的處理和上報;定期組織電話銀行風險管理專項檢查，對電話銀行中存在的風險和問題及時發(fā)現(xiàn)，分析研究，制定相關防范措施;通 過多種渠道和方式，加大電話銀行、ATM、pos、自助終端等電子銀行業(yè)務的風險教育和安全提示工作，幫助客戶培養(yǎng)良好的密 碼設置習慣和密碼保護意識，提高客戶防范風險的意識。

(2)聯(lián)社科技部負責完善電話銀行業(yè)務流程，加強各類電子銀行設備及系統(tǒng)運行管理，確保系統(tǒng)正常運轉(zhuǎn)，保持電子銀行業(yè)務的正常開展;定期對ATM、自助終端等電子設備的運行狀況進行檢查，制定相關應急預案。

(3)網(wǎng)點電話銀行風險管理員負責ATM、自助終端等電子設備的日常檢查，確保現(xiàn)金、打印紙充足及各類設備的正常運轉(zhuǎn)。

(4)電話銀行風險分為業(yè)務風險和系統(tǒng)風險，網(wǎng)點電話銀行風險管理員根據(jù)風險種類做好電話銀行風險事故的上報工作，做到及時發(fā)現(xiàn)、及時處理、及時上報。

三、電話銀行風險突發(fā)事件的報告

(一)突發(fā)事件報告的基本原則

1、及時性：最先獲悉農(nóng)村信用社電話銀行風險突發(fā)事件發(fā) 生信息的部門或機構(gòu)人員，應當在第一時間按規(guī)定報告上級部門或相關機構(gòu)。

2、準確性：報告內(nèi)容要客觀真實，不得主觀臆斷。

3、規(guī)范性：報告內(nèi)容要合乎有關要求。

(二)事件發(fā)生的主要內(nèi)容。

1、事件涉及的機構(gòu)名稱、地點、時間。

2、事件發(fā)生的原因、性質(zhì)、類型、等級、可能涉及的金額及人員，損失程度，影響范圍等。

(三)事件報告的一般程序。根據(jù)事件的性質(zhì)，按規(guī)定上報。

四、電話銀行風險事件的上報程序

(一)系統(tǒng)風險。因系統(tǒng)故障或監(jiān)控故障而導致的ATM、自助終端出現(xiàn)異?；驎和?，電子銀行風險管理員或網(wǎng)點人員應及時上報本單位電話銀行風險管理小組，同時上報聯(lián)社科技部，由科技部根據(jù)事件性質(zhì)做出快速處理，啟動應急預案，及時恢復系統(tǒng)運行。

(二)業(yè)務風險。因犯罪分子利用電子銀行渠道進行作案而造成的突發(fā)事件，電子銀行風險管理員或網(wǎng)點人員應及時上報本單位電話銀行風險管理小組，同時上報聯(lián)社財務會計部，由財務會計部根據(jù)事件性質(zhì)做出快速反應，降低客戶資金風險。

五、預防和預警機制

針對不法分子的作案方法，采取有效措施防范風險:

(一)開展各種形式的電話銀行風險教育，積極幫助客戶培養(yǎng)成良好的密碼設置習慣和密碼保護意識。

(二)在各大營業(yè)廳張貼各種安全提示，明示電話銀行業(yè)務操作應注意的各類安全事項。

(三)積極開展電話銀行轉(zhuǎn)賬功能風險評估和分類，依據(jù)收款帳戶的潛在風險高低，相應設置不同的轉(zhuǎn)賬額度和次數(shù)限制。對受益方不明確、資金難以追索的收款帳戶，應審慎或不提供電話銀行轉(zhuǎn)賬服務。

(四)對應用銀行卡卡號和密碼相組合完成登陸的電話銀行業(yè)務，應根據(jù)潛在風險高低，增加其他身份信息檢驗要求。

(五)嚴格控制規(guī)定時間內(nèi)同一卡號、帳號、密碼等登陸信息在電話銀行操作中的輸入次數(shù)，避免無次數(shù)限制地允許輸入錯誤登錄信息，嚴格防范犯罪分子采用試探手段獲取密碼信息。

(六)建立電話銀行異常交易檢測預警機制'針對小額、多筆連續(xù)交易行為建立有效的后臺監(jiān)控預警體系。

六、應急晌應及啟動

(一)電話銀行業(yè)務風險管理員發(fā)現(xiàn)風險事件，啟動本單位風險防范處理機制，根據(jù)事件性質(zhì)，按上報程序及上報。

(二)系統(tǒng)風險，科技部接到事件上報的第一時間內(nèi)，判斷故障原因及時啟動應急預案。

(三)業(yè)務風險，財務會計部接到事件上報的第一時間內(nèi)，分析、審議風險事件，采取相應處理機制。

七、后期處置

事件應急處置工作結(jié)束后，相關部門和機構(gòu)要做好組織、協(xié)調(diào)工作，恢復正常營業(yè)秩序，協(xié)調(diào)新聞單位做好正面宣傳報道工作，把握正確的**宣傳導向，最大限度地降低突發(fā)事件給農(nóng)村信用社帶來的不 良影響。事件結(jié)束后，依照專業(yè)、權(quán)限和有關規(guī)定組成專項調(diào)查組對事件及處置工作進行及時調(diào)查、評估與總結(jié)，事件發(fā)生責任單位應當予以配合。對事件的調(diào)查應當及時、準確，要查清事件的性質(zhì)、原因和責任，總結(jié)教訓并提出防范和改進措施。調(diào)查結(jié)束后，要形成書面調(diào)查報告逐級上報。

八、保障措施

(一)通訊保障

牡丹區(qū)聯(lián)社要與省聯(lián)社菏澤辦事處、牡丹區(qū)政

府職能部門、菏澤銀監(jiān)分局和菏澤市人民銀行保持必要的聯(lián)系，并建立電話銀行信息共享平臺。電話銀行風險管理委員會辦公室應集中掌握小組成員聯(lián)系電 話及其他聯(lián)系方式，確保信息暢通。

(二)物資、交通保障

各級綜合部門負責事件發(fā)生時的物資和交通工具保障。

九、附則

本預案由牡丹區(qū)農(nóng)村信用合作聯(lián)社制定，并負責修改、解釋。本預案自發(fā)布之日起實施。

第五篇：電子銀行業(yè)務風險管理問題分析對策

電子銀行和電子貨幣業(yè)務的不斷發(fā)展有助于提高銀行業(yè)和支付系統(tǒng)的效率，也有助于國內(nèi)外零售業(yè)務的成本下降。但電子貨幣和一些電子銀行業(yè)務的發(fā)展和運用尚處于早期，考慮到電子銀行和電子貨幣在將來的技術和市場發(fā)展中的不確定性，監(jiān)管當局必須避免制定阻礙有益創(chuàng)新和實驗的政策。同時，巴塞爾委員會認為，電子銀行和電子貨幣業(yè)務為銀行帶來的收益與風險并存，因此風險與收益必須進行平衡。

一、電子銀行業(yè)務的風險分析

隨著電子銀行和電子貨幣業(yè)務的不斷發(fā)展，銀行與其客戶之間的跨境業(yè)務就會增加。此類業(yè)務關系會給銀行和監(jiān)管當局帶來了各種不同的問題和風險。根據(jù)對風險的識別和分析，管理辦法有3個主要步驟，即：評估風險，落實控制風險的措施和監(jiān)控風險。在目前這個階段，似乎操作風險、聲譽風險、和法律風險，可能是大多數(shù)電子銀行和電子貨幣業(yè)務中最重要的風險類別。

1、操作風險。

操作風險主要是指由于系統(tǒng)中存在不利于可靠性、穩(wěn)定性和安全性要求的重大缺陷而導致的損失的可能性。它可能來自于電子銀行客戶的疏忽大意，也可能來自電子銀行安全系統(tǒng)和其產(chǎn)品設計缺陷與操作失誤。

2、聲譽風險。

聲譽風險是公眾對銀行產(chǎn)生重大負面的看法，從而引發(fā)資金來源或客戶的重大損失的風險。聲譽風險可能源自系統(tǒng)或產(chǎn)品沒有達到預期效果，并且在公眾中造成廣泛的負面影響。聲譽風險可能源自客戶，即客戶沒有掌握足夠的產(chǎn)品信息和問題解決辦法，以致遇到問題而不知所措。聲譽風險也可能源自對一家銀行的有目標的攻擊。例如，一位黑客侵入一家銀行的網(wǎng)絡，并且故意散布銀行或其產(chǎn)品的不準確的信息。

3、法律風險。

法律風險源自違反或違背相關法律、法令、條例或約定的習慣做法，或?qū)σ还P交易各方的法律義務和權(quán)利模糊不清。從事電子銀行和電子貨幣業(yè)務的銀行，可能面臨來自客戶信息披露和隱私保護方面的法律風險。隨著電子商務的不斷發(fā)展，銀行希望開展電子身份認證業(yè)務，例如通過使用數(shù)字證書。身份認證可能使一家銀行面臨法律風險。如果銀行參加新的身份認證系統(tǒng)，但權(quán)利和義務在合同協(xié)議中沒有明確規(guī)定，那么銀行就可能蒙受法律風險。

4、其它風險。

傳統(tǒng)的銀行風險，諸如信用風險、流動性風險、利率風險和市場風險，也可以產(chǎn)生于電子銀行和電子貨幣業(yè)務，但是它們的實際影響力對于銀行和監(jiān)管當局來說，可能與操作、聲譽和法律風險大不相同。

二、建立可操作的風險防范體系

技術創(chuàng)新的日新月異，可能改變銀行在電子貨幣和電子銀行中所面臨的風險的性質(zhì)和范圍。監(jiān)管人員希望銀行制定一些管理辦法，來對付目前存在的風險，同時對新出現(xiàn)的風險也有相應對策。風險管理辦法應包括3個基本要素，即：評估風險，控制風險和監(jiān)控風險，只有這樣才能達到銀行和監(jiān)管當局心中預期的目標。

1、安全政策和措施。

安全是系統(tǒng)、應用和內(nèi)部控制的統(tǒng)一，其作用是保證數(shù)據(jù)和操作過程的完整性、真實性和保密性。安全的保障取決于銀行制定和落實合適的安全政策和安全措施，也取決于銀行與外部各方的交流是否安全順暢。安全政策和措施，可以限制內(nèi)部和外部的對電子銀行和電子貨幣系統(tǒng)攻擊的風險，也可以限制因安全違規(guī)而引發(fā)的聲譽風險。

安全措施是硬件、軟件工具和人員管理的統(tǒng)一，這樣才能保證系統(tǒng)和操作的安全。這些措施包括很多，例如：密碼技術、口令、防火墻、病毒控制和雇員遴選。密碼技術是將文本數(shù)據(jù)轉(zhuǎn)換成密碼以防非授權(quán)的閱讀?？诹?、口令串、個人身份識別數(shù)字、硬件標志和生物測量學都是用來控制進入和識別用戶的技術。

防火墻是硬件和軟件的結(jié)合，用來遴選和限制外部進入與開放型網(wǎng)絡（如因特網(wǎng)）相連接的內(nèi)部系統(tǒng)。防火墻也可以把使用因特網(wǎng)技術的內(nèi)部網(wǎng)絡，分隔成幾個小片。防火墻技術，如設計合理且實施得當?shù)脑?，能夠有效地控制進入、保證數(shù)據(jù)的保密性和完整性。由于該技術設計復雜且成本昂貴，防火墻的強度和性能必須與被保護信息的敏感度相適應。一個好的設計應該包括：整個銀行的安全要求，一目了然的操作步驟，職責的分解，選擇可靠之人來負責防火墻的設計和操作。

雖然防火墻遴選來自外部的信號，但是并不一定能夠完全防止從因特網(wǎng)下載來的已被病毒感染的程序。因此，管理層應該制定防止和檢測的控制辦法，來減少病毒入侵和數(shù)據(jù)破壞的機會，特別是對遠程銀行業(yè)務更應如此。緩釋病毒感染風險的程序應該包括：網(wǎng)絡控制、終端用戶政策、用戶培訓和病毒檢測軟件。

并非所有安全威脅來自外部。在可能的情況下，電子銀行和電子貨幣系統(tǒng)，應防止現(xiàn)職或已離職的雇員的非授權(quán)操作。與現(xiàn)有的銀行業(yè)務一樣，對新雇員、臨時雇員、顧問的背景進行審查、內(nèi)部控制和職責分解，都是保證系統(tǒng)安全的重要預防措施。

對于電子貨幣，額外的安全措施可以幫助阻止攻擊和誤用（包括偽造和洗錢）。這些措施包括：與發(fā)行者或中央操作

者保持熱線聯(lián)系；監(jiān)控和追蹤個人交易；維護中央數(shù)據(jù)庫里的歷史記錄；在儲值卡或商業(yè)硬件中植入防止篡改的設施；對儲值卡設定最高限額和失效日期。

2、內(nèi)部交流。

如果管理層和重要職員之間能夠進行很好交流的話，那么操作、聲譽、法律和其它風險，就能夠得到有效管理和合理控制。同時，技術職員應該向管理高層匯報清楚：系統(tǒng)是如何設計的，該系統(tǒng)的長處以及不足所在。這樣的一些步驟可以減少：設計缺陷造成的操作風險（包括在同一銀行內(nèi)不同系統(tǒng)之間互不兼容）；數(shù)據(jù)完整性問題；因系統(tǒng)沒有達到預期效果，而客戶對銀行不滿所造成的聲譽風險；以及信用和流動性風險。

3、評估和升級。

在產(chǎn)品和服務全面推廣之前進行評估，有助于控制操作和聲譽風險。對設備和系統(tǒng)要進行測試，以便知道其功能是否正常，并產(chǎn)生預期的結(jié)果。試運行或試點有利于開發(fā)新的應用系統(tǒng)。如果定期檢查現(xiàn)行硬件和軟件的功能，則可以減少由于系統(tǒng)速度降低或中斷而造成的風險。

4、信息披露和客戶教育

信息披露和客戶教育，有利于銀行限制法律和聲譽風險。信息披露和教育項目應該讓客戶知道：如何使用新產(chǎn)品和服務、對服務和產(chǎn)品所收取的費用、問題和錯誤如何解決，這樣一來，就利于銀行遵守客戶保護和隱私權(quán)方面的法律和條例。

應急計劃。

通過制定應急計劃，銀行可以限制因內(nèi)部程序、服務、產(chǎn)品傳送中斷而引發(fā)的風險，計劃可以確保在提供電子銀行和電子貨幣服務中斷的情況下，銀行有計可施。計劃可以包括：數(shù)據(jù)恢復、可以替換的數(shù)據(jù)處理設施、緊急員工配備、以及客戶服務支持。對備用系統(tǒng)應該定期測試，以保證其連續(xù)有效。銀行應該確保：其應急操作與正常的生產(chǎn)操作一樣安全。

6、對系統(tǒng)的運行進行測試，有利于發(fā)現(xiàn)異常情況，以及避免重大系統(tǒng)問題、中斷和攻擊。

通過多種不按正常步驟的方法，主動入侵系統(tǒng)，可以集中測試安全機制的身份認證、隔離措施情況、設計和執(zhí)行方面的缺陷所在。監(jiān)視是一種監(jiān)控方法，即通過電腦軟件或?qū)徲媮砀櫹嚓P業(yè)務。與入侵測試相比，監(jiān)視集中于監(jiān)控日常運作、調(diào)查異常、以及通過檢測遵守安全政策情況來對安全的有效性作出動態(tài)判斷。