《电子银行操作风险与防范.doc》由会员分享,可在线阅读,更多相关《电子银行操作风险与防范.doc(16页珍藏版)》请在三一办公上搜索。
1、电子银行操作风险与防范 一、内部控制风险风险点1:操作人员岗位配备没有落实到位。 主要表现:一是网银内管系统录入员、审核员与实际操作人员不符,岗位变动后没有及时更新系统操作员信息,仍使用原岗位人员用户名;二是营业网点人员变动未及时办理交接登记手续 风险提示:没有按照岗位设置要求配备操作人员,或操作人员配备流于形式,导致内部制约环节难以落实到位,存在着内部管理风险隐患。 防控措施: 1.各级会计管理部门应设置会计录入岗、会计审核岗,负责业务参数设置、机构管理、柜员管理等工作; 2.各级电子银行业务管理部门应设置业务管理岗、业务审核岗,负责留言管理、公告管理、业务统计等工作;3.各营业网点应设置业
2、务录入岗、业务审核岗,负责签约、数字证书管理等业务操作。(企业网银) 风险点2:非客户本人签约电子银行业务。风险提示:如果网点柜员对客户(个人和企业)身份审核和验证不严格,一旦有不法分子恶意使用他人身份证件(或企业资料)签约电子银行业务,掌握客户银行账户账号和密码,就有可能发生盗取客户资金案件。严格把好客户签约注册关防控措施:1.签约个人网银、手机银行、网上支付、电话银行、短信通,需遵循“本人办理、本人签字、本人签收”原则,由客户本人携带银行卡及有效身份证件到柜面签约。柜员在办理签约业务时,须核实开户人本人及所持身份证件与公民身份联网核查系统中公安部门原录入身份证照片是否一致,验证身份证件是否
3、真实有效,以确保客户本人签约。2.签约企业网银,应重点审核客户提交的营业执照副本等证件是否真实有效;通过公民身份联网核查系统验证法定代表人、授权代理人的身份证件是否真实有效,对有疑点的客户及时电话联系企业负责人,核实经办人员身份;通过折角验印等方式核对客户预留印鉴,确保各项资料审核无误。 风险点3:代客户保管USBKEY、手机银行贴膜芯片、动态令牌等。风险提示:如果员工持有客户USBKEY、手机银行贴膜芯片、动态令牌等,存在员工违规划拨客户资金的风险。按重要空白凭证的要求规范化管理防控措施:1.加强USBKEY、手机银行贴膜芯片、动态令牌等重要空白凭证的管理,规范其领用、出库、入库、调拨和日常
4、使用管理。每日营业终了,营业网点要按照会计部门关于重要空白凭证管理的要求进行账实核对。2.严格落实内部控制制约机制,要求员工及时将USBKEY、贴膜芯片、动态令牌等发放到客户手中,禁止代客户保管。风险点4:客户资料审核环节把关不严。风险提示:如果柜员办理签约、变更、注销等业务时,没有认真审核客户资料的完整性和真实性,一旦发生经济纠纷和案件,就无法对相应操作免责,将会给农村信用社带来法律风险。严格按照操作规程办理防控措施:1.柜员应认真审核客户提供资料的完整性、授权委托书的规范性(使用财务会计部确定的格式凭证),以及填写的各项要素是否完整、各类签章是否齐全,。2.在办理个人网银业务时,应核对客户
5、提供的账户信息与系统登记的客户身份信息是否相符,银行卡状态是否正常。3.在办理企业网银业务时,应审核客户提供的单位活期存款账户是否符合签约企业网银的条件,核对客户提供的企业相关信息与核心业务系统登记信息是否相符。4.办理企业网银签约业务要坚持双人操作,严格执行业务审核制度,避免擅自为企业客户开通网银的行为,以免造成客户资金风险。 风险点5:开通网上银行、手机银行(WAP)没有按照操作规程要求进行操作。风险提示:没有按照流程操作,浪费操作时间,影响其他客户办理业务,甚至导致客户不满或投诉。主要表现:先出售USBKEY或动态令牌,导致已签约客户无法进行签约,这时必须对出售的USBKEY或动态令牌进
6、行冲正,并将工本费返还给客户。规范操作可以有效避免此类问题的发生 防控措施:客户申请开通网上银行或手机银行(WAP)时,柜员须按照“先签约,后出售USBKEY或动态令牌,最后绑定客户数字证书或动态令牌”的流程办理,严禁在未签约状态下出售USBKEY或动态令牌给客户。 风险点6:没有在客户签约电子银行时进行必要的安全提示。 风险提示:在办理开通电子银行业务时,应重点提醒客户防范欺诈风险,防止在不知情的情况下,被犯罪分子欺骗签约电子银行,进而造成客户资金损失。 主动提示 尽职免责 防控措施:对主动要求签约电子银行的客户,柜员首先询问客户开通电子银行的用途,判断客户是否有被诈骗的可能。对有被诈骗嫌疑
7、且经提醒,客户仍执意办理电子银行业务的,柜员应向客户进行风险提示,履行风险告知义务,提醒客户切勿按照陌生人提示签约电子银行或通过电子银行办理相关业务 ,对接收到的陌生邮件及短信提高警惕,不要轻易相信各种套取客户资料的信息,以防上当受骗。 风险点7:客户安全操作提示不到位。风险提示:如果客户操作提示不到位,不仅影响客户正常使用,而且有可能给客户带来经济损失。 防控措施:1.提示客户通过正确网址登陆,防范各种欺诈。应提示客户直接登录山东省联社官方网址(或)或手机银行(WAP)网址(https:/),切勿通过其他网站链接方式登录。2.提示客户在登录网银或手机银行(WAP)系统后,及时核对自己设定的“
8、预留信息”,切实防范“钓鱼网站”等欺诈。 3.提示客户设置安全性较高的密码,不要采用生日、电话号码、身份证号码中的连续几位以及简单规则排列的数字等作为网银或手机银行(WAP)的登录密码。 4.提示客户修改USBKEY初始密码,具备条件的营业网点应由大堂经理指导客户完成初始密码修改工作。 5.提醒客户妥善保管身份证件、银行卡、USBKEY及动态令牌等重要物品;勿将账户信息、证件号码及密码信息等透漏、告知包括自称银行工作人员在内的任何人。 6.提醒客户不要在网吧等公共场所使用网上银行。 7.提醒客户使用USBKEY完成业务操作后,退出网银系统并拔下USBKEY,不要在本人离开的情况下,长时间将US
9、BKEY插在计算机上。 风险点8:新签约电子银行客户,没有引导其通过网银体验机进行首次使用操作。 风险提示:客户没有对我们的电子银行首次登录或初始密码修改等进行操作,加大了客户操作失败的次数,客户体验较差。 防控措施: 1.营业网点要明确网银体验机的日常维护和管理职责,定期对网银体验机进行巡检,确保机具正常使用。 2.安装指定的杀毒软件,防止使用人员非法安装木马程序,采取技术措施限制客户只能登陆网银系统相关页面,并定期进行系统升级。 3.营业网点要安排相关人员通过网银体验机,教会客户首次登录网银进行相关密码变更、使用网银、安全退出等操作,有效防范资金风险。 风险点9:营业网点在客户提供的电子回
10、单上加盖印章。 风险提示:客户提供的电子回单,不符合操作规范,不作为客户的入账依据。 防控措施:按照相关操作规程要求,通过网银或手机银行内管系统查询出客户交易信息后,为其打印客户回单并加盖业务公章。 风险点10:企业年服务费扣缴,没有按照企业操作员领用的USBKEY分别扣缴。 风险提示:企业客户到柜台主动缴纳年服务费时,柜员没有对该企业全部操作员领用的USBKEY分别扣缴年服务费,导致其中一个操作员不能操作,或者其中一个USBKEY扣缴了两年的年服务费,容易造成纠纷。防控措施:按照相关操作规程要求,对于存在一个以上操作员的企业用户要分别扣缴每个USBKEY的年服务费。 风险点11:网银注销时没
11、有按照操作流程直接做注销操作,而是先对USBKEY解绑后再进行网银解约。 风险提示:网银解约流程不符合操作规范,导致客户数字证书没有进行吊销,存在一定的风险隐患。严格按照操作规程办理防控措施: 1.按照电子银行注销操作流程规范操作。 2.做好对电子银行客户注销时提供资料的审核。 3.客户电子银行注销后,提示客户及时销毁USBKEY或动态令牌。 二、客户操作风险风险点12:客户电子银行业务自助注册风险 风险提示:网银、手机银行、电话银行等电子银行业务有其便利性,同时也伴随着风险性,客户自助注册电子支付前要具备一定的电子支付和计算机操作技能,具备一定的风险防范意识,并主动实施。 防控措施: 1.认
12、真阅读电子银行签约协议和风险提示,对于不明链接或短信提示要提高警惕; 2.对于人行“超级网银”业务中“跨行收款”、“跨行账户信息查询”和“第三方贷记”业务功能,不要轻易授权他人使用。 3.网上有风险,操作需谨慎。 风险点13:客户账号及密码资料被盗。 风险提示:客户将存款账户账号、密码存入电脑,有可能被木马病毒侵害,泄露账号及密码。 防控措施:银行卡账户、密码不能保存于接入互联网的电脑中;对于不熟悉的网站,填写个人信息要谨慎;客户应设置更高级别的单独密码,使用“数字+字母+符号”组合的高安全级别密码;网上银行和手机银行登录密码、USBKEY密码、动态令牌开机密码、银行卡交易密码应设置为不同的密
13、码,且不定期修改 风险点14:客户电脑中木马病毒。 风险提示:客户要定期查杀病毒,保证在一个干净、安全的电脑里使用电子银行。 防控措施: 1.陌生人发来的链接或者邮件,不要轻易接收甚至打开;对一些后缀名为exe的安装文件,或者不常见后缀名,更要加以留心。 2.有些链接点一下,原本很清爽简单的文字会变成很长一串,而且乱七八糟,这种网页要马上关闭。 3.假如对方要发图片给你看,不要采取接收文件的形式。如果图片数量很大,可让对方上传到QQ空间或者博客里。 4.养成良好的安全上网习惯,不要打开垃圾网站或可疑网站,关闭或删除系统中不需要的服务,及时给系统打补丁,安装专业防毒软件实时监控。 5. 推荐使用
14、二代USBKEY。客户数字证书本身不存在安全风险,但由于网络黑客、木马病毒的存在,加之客户操作不规范(USBKEY长时间放到电脑上)使之安全性受到威胁,建议采用二代USBKEY。由于USBKEY在客户手中,不法分子不能进行按键确认,可以有效避免资金损失 风险点15:网上消费时,打开来源不明的邮件或异常链接。 风险提示:不明卖家发送的链接或电子邮件有可能携带木马病毒,随意进入可能会遭木马攻击,从而泄露支付账号和密码。 防控措施:网上购物时,要登录正确的网址,按照购物流程直接在平台内支付,不要轻易点击卖家发送的不明链接,不要轻易接受来源不明的电子邮件。 风险点16:没有辨别“钓鱼网站”。 风险提示
15、:不法分子通过设置“钓鱼网站”、以假乱真等手段,达到骗取客户钱财的目的,要引起网购客户的警惕。 防控措施: 1.网上购物应保持警惕,看网站是否具有合法的ICP证及工商部门颁发的营业执照,看网站有没有公布详细的经营地址和电话号码。 2.网上购物时不能贪图便宜,更要留意其支付方式,对不接受货到付款或汇款的支付一定要慎重。 3.向卖家索要收据、发票或者其他凭证,妥善保管汇款单据等,同时保留与卖家的往来邮件,交易订单的网页等,以备不时之需。 风险点17:USBKEY、动态令牌或手机丢失。 风险提示:客户USBKEY、动态令牌或手机等设备丢失,要在第一时间拨打客服电话(96668)进行相关签约、绑定账户
16、的口头挂失,首先确保账户资金安全,然后到营业网点办理相关业务的具体处理工作。 防控措施: 1.USBKEY或动态令牌丢失后,客户应凭有效身份证件到签约网点办理USBKEY或动态令牌挂失手续,并领取新的USBKEY或动态令牌。 2.手机如有遗失或被盗,客户要及向运营商时报停机,凭有效身份证件到签约网点办理手机银行挂失手续,并领取新的手机银行贴膜芯片。 3.手机号码更换后,客户要及时更新短信通签约手机号码及网上银行、手机银行客户信息资料,避免账户信息泄露。 风险点18:企业网银客户代发工资操作不当带来的资金风险。 风险提示:客户对企业网银代发工资业务处理机制不了解,不清楚其入账时间,多次提交,在账
17、户余额充足的情况下造成重复发放工资。企业员工一旦离职,重复发放的工资难以追回。 防控措施: 1.客户办理签约代发工资业务时,应告知客户代发工资业务的入账时间为日终系统批量后次日,避免客户重复提交业务。 2.若出现代发工资失败的情况,企业操作人员要及时拨打客服中心(96668)或到营业网点咨询。 风险点19:客户未在网银或手机银行(WAP)中设置预留信息。 风险提示:个人及企业客户在网银或手机银行(WAP)中设置预留信息,每次登录时,首先验证预留信息的正确性,可有效规避误入钓鱼网站。 防控措施:客户开通网银或手机银行(WAP)业务后,应及时设置并定期修改预留信息,且每次登录时首先核对预留信息的正
18、确性,避免进入钓鱼网站,办理完毕业务后应安全退出系统操纵界面。 风险点20:网上支付资金账户存放资金较多。 风险提示:由于网上支付方便快捷,个人身份认证环节相对宽松,客户在网上支付绑定账户应尽量少存放资金,以免给自己带来资金损失。 防控措施:网上支付绑定资金账户中不要存入过多资金,最好随用随转。采用双账户管理网上银行支付交易,在直接支付账户中不留或少留资金,在进行支付交易时,方可将资金转到支付账户中进行交易。 风险点21:客户未及时掌握网上支付账户资金变动情况。 风险提示:客户要及时掌握自己账户资金变动,在账户被盗的情况下,能最大限度避免经济损失。 防控措施: 1.客户应经常关注网银、手机银行
19、及网上支付相关加挂账户内资金变化和登录次数,发现账户被他人操作、登录密码泄露或其他可疑情况,立即修改密码。2.网上银行、手机银行及网上支付客户应开通短信通业务,以便及时掌握账户资金变动。手机号码变更时,应及时维护个人短信通客户信息,以防个人信息资料被他人盗取。 风险点22:客户未设置交易限额 风险提示:客户要按照自身资金往来实际,及时合理设置网银、手机银行等电子银行渠道单笔和日累计交易限额,有效防范资金风险。防控措施: 1.网上银行、手机银行、电话银行签约时,可在营业网点由柜员进行相关交易限额的设置。 2.对于已签约的网银、手机银行客户,可登录相关系统,自行设置交易限额。 3.若由于临时大额资
20、金划拨等原因,导致客户当日单笔或累计交易限额超过自己设定的交易限额(在银行控制的交易限额之内),客户可更改相关设定后再办理相关资金划拨。资金划拨后,可再将交易限额调整至原设定值。 风险点23:企业客户没有按照企业网银的交易规则,设置操作员和交易审核机制。 风险提示:部分企业客户风险意识不强,为了业务操作方便,将两个USBKEY交由一个操作员使用和管理,企业内部业务审核环节形同虚设,不能发挥应有的作用。一旦企业操作员盗窃或恶意侵占企业资金,很容易通过网上银行非法转移企业资金,案件侦破难度也会大大增加。 防控措施:企业客户应加强网银操作员的管理,加强操作员应用管理,严格落实网银内部审核流程,防止资
21、金被恶意侵占。 风险点24:客户不重视电话银行操作风险。 风险提示:在办理电话银行业务时,客户应采取切实有效措施,切实保护账户、密码等个人关键信息,严格防止账户资金被盗情况的发生。 防控措施: 1.最好不要使用公用电话或他人手机拨打客服电话,以防账户信息、密码等个人资料泄露。 2.严格核对客服电话号码,以防误拨与客户电话相似的电话号码,防范客户账户信息、密码等资料泄露。 3.使用电话银行时,不要开启电话的免提功能。 三、系统安全风险风险点25:业务差错处置不及时,如果涉及客户交易手续费没有及时进行冲正。 风险提示:因系统故障造成的业务差错,若得不到及时处理,可能给客户带来经济损失,甚至引发客户
22、投诉。由于客户自身原因造成业务差错,若不能及时协助客户查明账务差错原因,有可能贻误客户追索资金的时机。 防控措施: 1.由于系统故障原因造成的错记、重记、漏记、或少记客户账务差错,要严格按照会计核算有关规定及时进行调账,涉及手续费、资金汇划费的同时进行冲正。 2.对客户自身原因造成的业务差错,要积极协助客户查明原因,并向客户解释清楚;需要追索款项的,相关部门要尽量给客户提供帮助,做好协调工作。 风险点26:系统服务中断处置不及时。风险提示:系统服务中断影响客户正常办理业务,如果不能及时处置,影响客户对我们的满意度,甚至可能给客户带来经济损失;一旦引发客户投诉,可能带来声誉风险,损害农村信用社的
23、信誉和服务形象。防控措施:1.对于客户反映的系统服务中断事件,受理机构人员应立即排查原因,经确认,属非客户原因服务中断导致客户无法办理网银业务的,应立即向上级主管部门报告。2.由于不可抗外力因素、系统程序缺陷等各种原因导致网银系统服务中断,省联社相关部门应立即排查系统中断原因,迅速启动应急处置预案,采取有效处置措施,使网上银行系统尽快恢复对外服务。 风险点27:电子银行安全事件处置不及时。 风险提示:如果电子银行安全事件处置不及时,造成客户资金损失,势必会引发客户投诉;一旦被新闻媒体曝光,就会带来声誉风险,造成难以挽回的损失。 防控措施: 1.客户反映账户或资金被异常使用时,受理机构人员要认真听取并记录有关情况,帮助客户查询、核对业务交易情况,认真查找分析原因,并及时向上级主管部门报告。 2.指导客户立即办理账户挂失或止付手续,及时修改相关登录密码、USBKEY密码、动态令牌开机密码,以及账户交易密码等个人信息。 3.对交易确属可疑的,要及时向省联社报告,并详细说明事件情况,主要包括:客户姓名、账号、事件经过、是否报案、采取的措施等内容。 4.安全事件较为严重或有继续发展趋势的,需向公安机关报案的,要及时向公安机关报案并提供线索,配合公安部门侦破案件。
