《电子银行业务风险管理培训.ppt》由会员分享,可在线阅读,更多相关《电子银行业务风险管理培训.ppt(47页珍藏版)》请在三一办公上搜索。
1、,电子银行业务风险管理,电子银行部,主要内容,一、萌芽阶段,二、整合品牌,三、新一代网上银行,四、CIF-SC成功开发,五、RA系统停运,六、综合管理系统上线,一、电子银行业务风险管理概述,业务发展历程,电子银行产品和服务体系,一、电子银行业务风险管理概述,各级机构在开办电子银行业务过程中须对电子银行业务风险进行有效识别、评估、分析,并采取有效措施进行防范、控制和处理。,一、电子银行业务风险管理概述,风险种类,一、电子银行业务风险管理概述,风险管理所涉及对象,(1)各级机构须建立健全电子银行风险管理体系和内部控制体系,做到事前严密防范、事中有效控制、事后及时处理。(2)电子银行严格执行“双因素
2、”安全认证,判断客户身份合法性和确认交易有效性的标识包括数字证书和密码。(3)各级机构在开展电子银行业务过程中,应遵循外部监管机构的规定,定期组织电子银行业务安全评估工作。(4)各级机构须严格按照有关规定加强电子银行业务的自律监管和内控检查,有效控制和防范电子银行业务风险。(5)各级机构须建立健全电子银行业务突发事件应急处理机制,严格执行应急预案,保证电子银行业务正常开展。如遇突发重大事件,应严格按照规定及时上报。(6)电子银行渠道发生的所有交易纳入全行反洗钱系统和会计监控系统,统一监测和处理。,一、电子银行业务风险管理概述,风险管理基本规定,主要内容,控制措施,二、电子银行业务操作风险介绍,
3、(一)网点审核客户身份未尽职,二、电子银行业务操作风险介绍,(二)1、网点审核个人客户注册资料未尽职,二、电子银行业务操作风险介绍,(二)2、网点审核企业客户注册资料未尽职,控制措施:经办员与复核员双人仔细核对客户申请资料的真实性、有效性和完整性。,二、电子银行业务操作风险介绍,(三)银行人员擅自留存客户注册资料,表现为:银行人员利用工作便利,对客户资料进行擅自复印、留存或挪做它用进行非法交易。,控制措施:加强人员监督,复核客户资料,严禁擅自复印、留存、盗用客户资料。,二、电子银行业务操作风险介绍,(四)网点人员蓄意为客户提供非真实的动态口令卡,表现为:银行人员为客户办理绑定动态口令卡交易后,
4、未将已经绑定的口令卡交付客户,为盗用客户资金提供便利。,控制措施:严格按照操作规程办理业务;加强柜员的自律监管;动态口令卡严格按照重要空白凭证管理。,二、电子银行业务操作风险介绍,(五)网点人员泄露客户两码信息,表现为:两码信封未当面交给客户;将已经开启的两码信封交给客户;未使用两码信封打印两码信息。,控制措施:严格按照操作规程办理业务;提示客户保存好两码信封,证书下载前一旦丢失应立即到柜面申请补办证书。,二、电子银行业务操作风险介绍,(六)网点人员违规登记电话银行收款方账户,表现为:在客户不知情的情况下,柜员利用工作便利擅自将他人的账户登记到客户的收款方账户里面。,控制措施:严格按照业务规定
5、办理电话银行收款方账户注册业务。,二、电子银行业务操作风险介绍,风险表现:未按要求指定至少一人及时规范的处理网银落地业务;手工填写或者涂改落地业务凭证;伪造落地业务凭证;柜员重复处理落地业务、或处理落地业务有误。,(七)网银落地业务相关风险,二、电子银行业务操作风险介绍,控制措施:1、落地业务处理网点必须至少指定一名柜员严格按落地业务处理时限要求及时、规范地进行落地业务处理;2、落地业务凭证必须由电脑打印,不得手工填制或涂改;3、复核人员必须对落地业务凭证中的会计要素进行认真核对;4、复核员复核落地业务时发现凭证上有“补打”字样的借方凭证,应核对有无同样业务信息的借方凭证,如果发现重复扣账或错
6、误扣账的,应对错账进行抹账处理。,网银落地业务相关风险,二、电子银行业务操作风险介绍,(八)网银虚假交易,表现为:两个或者多个账户之间的多笔大额资金循环转账交易,虚增网银交易笔数和交易金额,加大我行的法律风险和经营风险。,控制措施:落实各级行领导的监督责任;加强日常监控,完善考核机制;加强各级行电子银行部的自律监管,整顿虚假交易。,二、电子银行业务操作风险介绍,企业网银证书激活,若由待激活的网上银行管理员/操作员本人到注册行办理激活证书,注册行应联网身份证件核查,并复印身份证件留存。若非待激活的网上银行管理员/操作员本人到注册行办理激活证书,两码确认单要素填写应齐全,加盖单位预留印鉴,法人代表
7、(或授权人)签名及需激活的管理员和操作员本人签名。,(九)证书管理,严禁银行工作人员私自下载及操作客户的网上银行证书。企业客户明确提出需要银行人员协助的,有关人员可给予客户必要的指导,但不得向客户询问证书密码等保密信息。,二、电子银行业务操作风险介绍,(十)1、银行审核商户身份注册资料未尽职,风险表现:受理行未对商户进行实地调查导致不符合准入条件的商户注册,受理行未验证商户经办人及商户操作员身份的真实性、有效性;受理行、注册行未对商户提交资料的完整性进行审核;商户申请资料填写要素、签章不全或涂改;商户提供虚假申请资料。,二、电子银行业务操作风险介绍,控制措施:1.受理行对商户进行实地调查,全面
8、了解商户情况;2.通过联网核查系统对经办人以及商户操作员的有效身份证件进行查询核实,并打印的核查信息与身份证复印件一起装订留存;3、受理行、注册行应严格按照规定对商户提交资料的完整性、真实性、合规性进行审查。,银行审核商户身份、注册资料未尽职,二、电子银行业务操作风险介绍,(十)2、各级行未按商户类别执行审批报备制度,风险表现:发展网上平台类商户未由一级分行初审后报经总行审批;发展网上普通类商户各级行审批通过后未向总行报备;发展不受电子支付卡限额限定的B2C网上普通类商户未经总行审批。,控制措施:1.各级行发展的网上平台类商户应严格实行总行审批制;2.对于网上普通类商户,各级行审批通过后,应按
9、规定向总行上报备案;3.对于不受电子支付卡限额限定的B2C网上普通类商户,受理行报一级分行初审,一级分行初审通过后报总行审批。,二、电子银行业务操作风险介绍,各级行未按商户类别执行审批报备制度,二、电子银行业务操作风险介绍,(十)3、银行未定期核查商户,风险表现:商户信誉状况恶化或经国家有关部门认定已无经营资格;商户销售国家禁止流通、限制流通商品或提供非法服务;商户与客户串通诈骗银行资金;商户对客户存在欺诈行为。,控制措施:1、至少每半年调查商户的信誉状况,如发现商户在合作期间信誉状况恶化或存在违反协议的情况,应及时要求商户纠正,超过一个月仍未纠正的,应终止合作关系;2、监督、检查商户的运作情
10、况,发现异常及时处理,对不良商户要报总行备案,对涉及经营非法交易活动的商户要立即关闭其电子银行业务。,二、电子银行业务操作风险介绍,银行未定期核查商户,二、电子银行业务操作风险介绍,吞卡,本行卡和国际卡,自吞卡日起保存20个工作日;他行卡由于发卡机构吞卡指令吞没的卡片,自吞卡次日起保存3个工作日;吞卡逾期持卡人未领取要剪角作废。客户领取吞卡时,须严格执行身份审核,加钞/清机,严格执行自助设备钥匙和密码管理,每半年进行一次密码重置。钞箱视同金库管理。离行式自助设备装钞视同营业场所接送款。,长短款,每日必须核对自助设备账务报表,核查清单,核对账款。发现错账、冲账或者其他异常情况需进行登记,查明错款
11、原因后进行相应处理,并上报相关部门。,故障,自助设备出现故障时,管理员应先做自检,如无法排除故障,应及时通知运行监控中心或外包公司进行维护。防范人为破坏柜员机或在柜员机上加装非法插件或其他设备定期巡查。,(十一)ATM操作风险管理,二、电子银行业务操作风险介绍,密钥,严格密钥卡的制作、发放、使用和保管制度,坚持卡和密码分开保管,对密钥卡(加密部件内置的转账电话)的领取、保管、发放和销毁情况要登记转账电话机具出入库登记簿。,客户准入,做好签约客户准入管理,杜绝虚假申请,从源头控制风险;做好已签约客户的操作培训与风险指导,有效降低操作性风险;加强银行内部管理和规范操作,控防内部风险。,巡检,定期巡
12、检或不定期巡检,并做好巡检登记,定期巡检每年不得少于两次。(一)专用机具是否运行正常,是否出现故障或损坏等问题。(二)专用机具是否连接可疑设备。(三)客户使用情况是否正常,是否出现争议交易。(四)客户经营情况是否正常,是否有停业或转让倾向。(五)是否存在其他异常情况。,(十二)转账电话操作风险管理,主要内容,随着互联网的高速发展,网络安全形势更加严峻,各种木马病毒等恶意程序以爆发式的形态增长,呈现出在整个互联网领域泛滥的趋势。从总行通报提示看,电子银行风险事件涉及个人网上银行、企业网上银行、电子商务、自助银行(ATM)、转账电话等不同业务种类。,三、电子银行业务风险管理案例分析,风险案件发生主
13、要有三个原因,业务人员风险防范意识还比较欠缺,表现为有章不循,违规操作,有的基层管理人员和操作人员对已经存在的风险隐患认识不明确、不到位客户风险意识淡薄,将自身证书和账号等信息随便告诉他人,造成敏感信息泄漏,致使不法分子诈骗成功黑客对网银的攻击手段、技术有加快更新的趋势,已经从攻击密码转向攻击数字证书,数字证书可能因电脑染上木马病毒而被盗取。,三、电子银行业务风险管理案例分析,今年初,B分行发生一起400万元的金融诈骗案。甲冒用乙公司的资料和使用仿造的乙公司公章、财务专用章和法定代表人印章,注册行审核不严导致甲用虚假资料注册了企业网银。甲通过网上银行陆续将乙公司账上资金分65笔转出,合计399
14、.832万元。一个月后乙公司找到B分行反映其并未注册网上银行,而账户资金通过网银被转走,要求B分行赔偿。B分行立即向公安机关报案。公安机关立案侦查过程中发现甲和乙公司存在借贷关系,双方商议一旦借贷资金断裂,甲无法偿还向乙公司所借款项,则诈骗农行承担资金损失。公安机关以涉嫌“金融凭证诈骗”立案侦查,涉案人员已被抓获,案件正在审理中。,案例一,分析:部分业务人员风险防范意识还比较欠缺,表现为有章不循,违规操作。具体的环节表现在注册环节客户资料审核不严,事后注册行调出注册资料才发现当初提供的注册资料均为伪造。,措施:严格按照操作规程办理业务,认真审核客户资料。特别是企业客户必须要折角核对印鉴,案例二
15、,C分行一客户被骗,自己将IE证书的两码和动态口令卡的内容全部告诉犯罪嫌疑人,被盗资金60万元。D分行客户的电脑被植入病毒,黑客通过让客户登录虚假的口令卡升级程序,获得了客户的IE 数字证书和动态口令卡密码,被盗资金2200元。4月9日晚上23点左右,客户霍某正在网上玩QQ斗地主游戏,忽然屏幕上弹出一个窗口,提示内容大致为“农业银行在线升级,请客户输入动态口令卡V1H5坐标对应的口令密码”,客户按照提示输入后,电脑提示升级成功。此后不久,其电脑D盘和E盘下载的歌曲、收藏夹里的网址被删除,同时电脑死机,并且无法启动。4月10日上班与同事们谈及此事,同事提醒其是否中木马病毒了,该客户才意识到问题的
16、严重性,于是立即查询其银行卡资金并报案(被盗11700元),原因:客户风险意识淡薄,将自身证书和账号等信息随便告诉他人,造成敏感信息泄漏,致使不法分子诈骗成功,案例三,第一步,冒充中国电信、中国移动等单位随机拨打手机或固定电话,接通后,通过语音提示告知对方电话已欠费,若要查询详情请转入人工服务台第二步,对方转入人工服务台后,犯罪分子诱骗其向公安机关报案,并提供真实公安机关电话(一般为值班电话或总机),同时暗示对方可通过114查询台验明此号码真伪第三步,犯罪分子随即使用“任意显号”软件(将自己本来的主叫号码修改为提供给对方的公安机关号码)给对方拨打电话,接通后,告知其身份证件与银行卡涉嫌洗钱或其
17、他犯罪,诱骗、恫吓对方按照电话指示到银行办理转账或通过电子银行转账(有些案件犯罪分子还诱骗被害人交出网上银行证书和密码),将资金转入犯罪分子账户第四步,通过网上或银行转账快速转移资金至全国各地其他账户,分析:媒体连续曝光,社会关注度极大。连续发生此类案件,虽然为犯罪分子团伙流窜作案,但由于部分客户资金被盗,对我行产生很大的负面影响。,加强公众网上银行安全教育。应切实承担起对网上银行客户的安全教育责任,通过各种宣传渠道向公众明示正确的网上银行官方网址和呼叫中心号码;印制并向客户配发语言通俗,形象直观的网上银行安全宣传折页或手册。指定专门的人员或部门及时处理客户投诉,并对客户投诉情况进行研究分析。
18、对于客户投诉集中的电子银行业务环节和产品,应及时向上级部门汇报,尽快制定有效的解决措施,加以改正。做好动态口令卡的对外宣传解释工作,应明确:“IE证书+动态口令卡”客户使用动态口令密码,不使用银行卡支付密码进行网上银行交易,与我行章程、协议规定内容一致,不存在与现行规定相抵触的现象,具有法律效力。大力发展K宝客户,防范措施,自助银行案件特点,近年在自助设备上发生的案件呈高发态势。多起案件中,犯罪分子利用伪造的刷卡、摄录设备,窃取客户银行卡磁条信息、取款密码,制作伪卡后疯狂盗刷,导致客户资金损失。发生在夜间。犯罪分子利用晚上,特别是凌晨我行自助银行无人值守的时机,贴挡监控录像镜头,伺机安装盗卡设
19、备,实施犯罪;盗卡设备越来越具备隐蔽性,一般客户难以识别。犯罪分子使用的设备从卡槽设计、形状、颜色、LOGO等方面都与自助设备融合程度很高,一般客户难以识别;犯罪分子窃取到客户银行卡磁条信息、取款密码,制作伪卡后,通过取现、转账、再取现的方式迅速转移套取现金。张贴虚假告示,诱导客户转账的作案仍有发生。犯罪分子利用客户不熟悉自助设备服务流程的机会,提供客户虚假服务热线的方式,骗取客户资金。,应对措施,各行机构、网点引起高度重视,加大对所辖ATM检查的频次和力度,实行蹲守和巡查的方式,加强自助设备的夜间巡查,开展巡检工作时,要将自助银行的门禁系统和自助设备机身是否有非法安装物或张贴物,周边是否有非
20、法录像设备等作为必查项目,并及时记录检查情况,发现异常,妥善处置,并立即报告上级行。及时清理用户遗留的交易凭条。部分客户在使用自助设备后,会遗忘或简单处理交易凭条,巡检人员要注意及时清理这些遗忘凭条,避免犯罪分子利用凭条信息实施诈骗。在自助设备需要进行运营维护或维修工作时,除维护商人员外,必须确保一名行内员工及一名保安在场,行内员工需佩戴可以标识身份的证件,防止犯罪分子利用维护操作,安装非法设备。重点关注自助银行及设备周边可疑人群,密切注意在自助银行及设备周边逗留时间过长、手持异常电子设备的东南亚人,一旦发现异常行为,控制犯罪嫌疑人,并及时报告公安部门。,落实专人,负责此类紧急事件的快速响应,
21、切实保障客户资金安全。自助设备的管理员发现客户账户、密码信息可能泄露的情况,要立即整理卡号等信息上报相关部门,及时联系客户挂失、止付账户,冻结资金。在我行自助设备上发现他行卡被盗信息,及时与发卡行客服联系或通过中国银联公司协助联系客户。加强客户自助设备使用的安全提示,使用过程中出现问题,第一时间拨打95599联系客户服务中心。加强与外部的沟通、协调。积极与公安部门沟通、协调,现场取证,分析作案手段、特点,并主动配合公安部门,争取早日破案,为客户挽回资金损失。,应对措施,主要内容,今年是我行股改上市第一年,在积极推动电子银行业务发展的同时,防范和化解各类风险尤为重要。,面临的新形势,2010年电
22、子银行风险管理工作贯彻“预防为主”的工作方针,积极采取各项预防措施,利用业务和技术手段对电子银行风险事件进行有效控制,多纬度把控风险,提高电子银行风险管理能力。,四、电子银行业务风险防控体系,四、电子银行业务风险防控体系,严格控制各渠道交易限额,丰富电子银行安全认证体系,电子银行业务自律监管,加强对客户安全防范意识的宣传,电子银行业务风险防控体系,(一)严格控制各渠道交易限额,1、为落实四部委关于加强银行卡安全管理,预防和打击银行卡犯罪的通知,2009年11月1日起,对客户通过我行电子银行业务进行自助转账的限额进行了调整2、网银动态口令卡客户:每笔最高1千元,每客户每日最高3千元;电话银行转账
23、:每日每卡最高5万元;手机银行转账:每日每卡最高5万元;ATM转账:每日每卡最高5万元,(二)丰富电子银行安全认证体系,扩展型K宝上线推广工作:1、制定了新的USB-KEY技术标准,并聘请国家权威安全部门对参与投标的基本型和扩展型(带液晶显示屏和带确认按钮等型号)USB-KEY进行了安全测试。2、对USB-KEY证书下载和使用程序进行升级,以支持在网上银行系统推广应用新型USB-KEY,密宝上线推广工作:采用OTP技术的Token(密宝)将应用在我行网银系统,作为K宝、动态口令卡的有力补充,丰富我行网银安全认证手段并大幅提升我行网银的安全性和易用性。,丰富电子银行安全认证体系,手机安全认证:手
24、机K码作为手机安全认证的具体形式,将应用在我行的网上银行、电话银行,不断增强电子银行身份认证方式的抗攻击性,方便客户使用,多角度、全方位防范电子银行业务风险。网银安全控件:为防范键盘记录、木马病毒窃取客户账号密码信息的风险,我行将与第三方安全厂商联合研发针对我行网银系统的安全控件,提升我行网银系统的安全等级。大额交易监管:为落实监管机构要求,防范网银大额资金交易风险,我行将逐步对网银各类客户交易限额进行明确,如客户确有超出上限金额的交易需求,可到我行柜台办理大额交易开通申请。,丰富电子银行安全认证体系,(三)电子银行业务自律监管,1、为加强电子银行业务管理,加大内部控制力度,有效防范和化解电子银行业务经营风险,保证电子银行业务稳定健康发展,电子银行部每年都组织分行开展电子银行业务自律监管(尽职监督检查),检查形式:现场检查和非现场检查。2、内控、审计内控评价点:授权审批、银行证书、特约商户、会计控制、自助设备、客户服务、安全措施。审计要点:业务合规性、业务真实性、风险管理、内部控制、绩效管理。,加大对客户安全防范意识的宣传和引导,采取多种形式对客户进行电子银行风险防范和安全操作的宣传,提醒客户采取相应的预防措施,保护个人信息资料,保管好证书介质,强化客户安全意识,提高客户的防范风险能力。,Thank You!,电子银行部,
