信息科技与电子银行风险管理
2020-03-02 14:16:16 来源:范文大全收藏下载本文
信息科技与电子银行风险管理专题
信息科技发展现状
完成了全省数据大集中
各类业务系统和管理信息系统不断丰富 更好更快更优的服务
对业务的支撑作用越来越大
信息科技地位和受关注程度越来越高 信息科技风险日益积聚 信息科技风险的概念
IT风险是指在对信息科技的运用过程中,由于自然因素、人为因素、技术漏洞、管理缺陷产生的操作风险、法律和声誉等风险。
特点:风险发生时影响较大
风险出现具有不确定性
对风险的估计或防范手段不足
对其他风险具有传导性
对当前农村合作金融机构而言,最大的风险是对科技的不够了解,以至于没有纳入日常管理内容。
信息科技风险管理的目标:通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
近年银行信息科技风险事件
2007年3月21日,某全国性银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;
8月15日,某全国性银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时之后,系统才逐步恢复正常 ;
12月21日,某全国性银行因运行中心核心网络设备出现故障,造成业务无法正常进行 ,虽启动应急预案,但仍然中断营业近1个小时;
08年元月7日,某地方银行因主干专线的接入设备发生故障,造成在京117家支行网点柜台交易缓慢,业务无法正常进行,故障持续1个多小时才得以解决。
06年4月,某大型银行间组织发生系统故障,导致所有银行卡跨行业务影响8个多小时
2010年,发生多起某全国性银行、地方性银行、外资银行、银行间组织等严重信息科技运行事故。
监管当局VS信息科技风险
2006年,银行业机构信息科技风险评价审计通知;
2007年,落实信息科技风险评价审计整改及自评估工作的通知 2008年,发布《银行业重要信息系统应急管理规范(试行)》; 2009年,发布《商业银行信息科技风险管理指引》 2010年,发布《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《银行业金融机构外包风险管理指引等》
目前存在的主要风险及应对措施
内控制度建设不完善,没有将科技纳入日常管理工作范围
二级法人体制下的科技建设矛盾和信息安全管理的矛盾
主要业务平台和结算渠道建设完成后,行社将成为特色业务、产品创新的主要角色
信息化快速发展造成行社科技管理的缺失:
对系统功能没有充分了解,影响业务管理,如授权、流程、劳动组合、产品创新
科技人员不足、内部审计的空缺
现状:科技人员的缺乏,法人行社内部审计对科技信息风险管理监测的缺失
措施:未雨绸缪,结合精英培养工程,制定人才补充、培养计划
内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录
充分重视科技队伍建设,做好人才储备,关键岗位
实现A、B岗
没有正确认识业务与科技关系
科技的工具作用:引领作用、创新作用
科技工具的双面性:提高生产力水平和风险的隐蔽性、聚集性
关键工作:
业务规划、市场调研:科技充分介入
业务需求说明书:科学、详细,业务为主、科技参与
测试:重点关注、运行风险及业务风险关键
科技工作特点:风险大、责任大、压力大
科技人员工作软环境:理解、认可、支持,科技人员不是电工
科技为业务服务,科技需要走在业务的前面
外包风险将是银行未来主要关注的信息科技风险
案例:
2006年4月21日,许霆与朋友郭安山利用ATM机故障漏洞取款,许取出17.5万元,许霆被广州中院判处无期徒刑。
2010年5月23日,云南农信昆明关雨信用社ATM出现故障,何鹏取1000元,取款机吐出了3700, ATM大方送钱近6万元。何鹏被抓,判无期,去年最高人民法院又改判为8年6个月。
措施:关键系统维护必须严格管理,制定完善的实施方案,清晰职责、履行审批手续,双人操作,换人复核,做好维护记录。
自己的系统自己管,落实制度、不能偷懒,外面的人员更要严管
访问控制(内外网互联)
案例:
2004年,某大学生非法侵入合肥多家银行的计算机盗取客户资料,并公布于互联网上,对银行声誉产生了很大影响,该案是公安部成立网监部门后破获的第一起案件,该罪犯被判处2年徒刑。
某银行员工,采用拨号接入方式,在家中登陆业务系统,非法窃取资金500多万。
措施:关键系统维护必须严格管理,制定完善的实施方案,履行审批手续,双人操作,换人复核,做好维护记录。
专机专用、内外网物理分离、部署检测工具软件、不在外网机器存放敏感、涉密信息
由业务而导致的科技风险
案例:
2010年,某大型银行一分行,提交50000笔代发工资业务,随即又进行取消操作,导致该行计算机系统停止服务20小时,该分行行长被调离岗位,科技部门负责人受到处分。
分析:数据修改、批量代发、中间业务等,业务对科技风险具有传导性。
措施:严格操作管理,对批量业务事先做好准备工作。 计算机物理环境风险
计算机实体安全:资源管理、冗余、防盗、变更、维护 机房基础设施:防火、防水、温控、冗余 机房出入管理:门禁、登记、陪同、监控 值班与监控: 物理安全域
所有设备都要有备份、冗余 银行卡的种类及功能
按照能否提供透支功能,银行卡可分为信用卡和借记卡 针对发卡对象的不同,银行卡可分为单位卡和个人卡
按银行卡的帐号币种不同,银行卡可分为人民币卡、外币卡和双币种卡 储蓄功能、支付结算功能、汇兑转账功能、消费信贷功能 银行卡业务风险
银行卡风险管理的一般原则: 确定管理目标 进行风险评价
风险控制及处置
银行卡风险管理的原则
银行卡业务特有风险管理原则:
从上到下的风险管理策略和流程明晰化原则
深刻理解风险和收益对称的原则
应用统计手段和系统化管理的原则
有效风险管理组织架构的原则。
银行卡业务风险
银行卡风险:信用风险、市场风险、操作风险、法律政策风险、声誉风险
借记卡风险较低,主要是管理责任,包括:反洗钱、受理环境保障、风险提示义务 银行卡业务风险
信用风险:是指由于持卡人主观或者客观上的原因,违约拒付欠款而产生的坏账风险,由于信用卡属于无担保、无抵押的小额消费信贷产品,因此,信用风险是信用卡业务的一个最主要损失来源。
应对措施:做好信用卡申请人员的身份、还款来源的审查工作,系统提供预警机制。 操作风险:是指由于人员、系统以及业务流程方面的问题而产生的风险,主要包括欺诈风险、内部操作风险、中介机构交易风险和系统安全风险。
欺诈风险又分为欺诈性申请和欺诈性交易。欺诈者盗用他人身份信息而申请开户信用卡,是欺诈性申请,欺诈者盗取卡片或卡片的信息进行刷卡,是欺诈性交易。 欺诈风险也是目前最严重、危害最大的一类风险。
应对措施:一是加强本行信息系统安全管理,建立各种交易风险监控机制,构建数据分析和风险预测模型,
二是加大与中国银联、公安部门及同业之间的信息沟通与交流合作,共享银行卡风险信息和风险控制的最新措施,通过各方的力量化解风险事件,
三是做好银行卡受理环境的预防工作,按照“谁发卡,谁负责”和“谁发展的特约商户,谁负责”的原则建立发卡机构和收单机构责任追究制度,定期对特约商户进行回访制度;加大对收单机构人员银行卡受理流程的培训,做到规范受理,不给犯罪分子可乘之机。
四是加强对自助设备的巡查和监控力度。
五是加强银行卡风险宣传工作,提高持卡人风险防范意识。 内部操作风险
是指银行工作人员违规操作或操作失误造成银行资金损失,或者工作人员利用职务之便,与不法分子勾结、串通作案,引起发卡行或客户资金损失的风险。
与外部欺诈风险和中介机构交易风险相比,此类案件不具有普遍性,但是由于是内部专业人员作案,手段更加隐蔽,对银行声誉的影响也更严重。 规范内部流程、明确岗位责任、加强监督制约
声誉风险:往往是一种结果性的体现,银行卡业务环节中某一个利益主体在出现欺诈风险、系统安全风险或法律、政策性风险时,其未必会有直接性的财务损失,但往往会影响其良好品牌形象的维护,从而间接带来经济上的损失
声誉风险也来自于客户的错误操作或是疏忽。安全风险会被夸大从而导致客户对银行失去信心。
克隆网站、钓鱼网站等虚假网站会带来客户敏感信息泄露,引起资金损失从而影响银行声誉。
案例一:2009年3月8日,雷某在深圳某ATM机取钱,在正常输入密码后,听到点钞声,但出钞口未见钱出来,这时,雷某看到ATM机旁有一张“温馨提示”,就按照“温馨提示”留下的“服务热线”拨过去,对方在电话中称事主的银行卡出现故障,卡内资金已不安全,要求按提示转移到另一“安全账户内”,雷某立即在ATM上进行转账。导致资金受损1万元
应对措施:加强对ATM机和转账业务的管理,未经持卡人主动申请并书面确认,发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务 为持卡人开通自助转账业务时,要向持卡人充分提示开通有关业务的风险,并要对持卡人进行更为严格的真实身份核查,确保实名开户。同时提示持卡银行卡密码设置不能过于简单、银行卡与身份证等证件尽量不要放在一处保管,领卡时及时在卡片背面签署持卡人姓名,不要在不安全的网站链接网银。
总结
风险是可以转移的 风险就是收益
最大的风险是不能正确认识风险,不能充分管理风险
相关推荐
人人范文网 m.inrrp.com.cn 手机版