电子银行业务的风险管理原则(巴塞尔)
新巴塞尔协议与操作风险监管原则
新巴塞尔协议与操作风险监管原则新巴塞尔协议(Basel III)是国际上对银行风险监管的一项重要准则,该协议于2010年由巴塞尔银行监管委员会发布,并于2013年开始逐步实施。
新巴塞尔协议的目的是提高银行的抗风险能力,减少金融危机的发生概率,保护整个金融系统的稳定性。
新巴塞尔协议与操作风险监管原则一起构成了全面的银行风险监管框架。
操作风险是指由不当操作、失误、内部系统故障以及外部事件等引起的损失风险。
这些风险可能发生在交易所执行、结算与备付、信息处理及系统以及人员、客户及外部事件等方面。
新巴塞尔协议对操作风险监管提出了一系列要求和原则。
首先,银行应该建立健全的内部控制体系,确保操作风险的有效管理和控制。
这包括建立适应银行规模和业务特点的风险管理框架,明确风险管理职责和权限,并采取措施提高员工的风险意识和操作技能。
其次,银行应该评估和量化操作风险,并建立相应的风险测量和管理机制。
协议要求银行使用适当的方法对操作风险进行测量和评估,并将其纳入整体的风险管理体系。
这有助于银行更好地识别、评估和管理操作风险,并采取必要的风险应对措施。
此外,新巴塞尔协议还推动银行加强对操作风险的监控和报告。
银行应确保及时监控操作风险暴露的情况,及时报告风险事件和风险指标,并向监管机构提供准确、全面和及时的操作风险报告。
最后,新巴塞尔协议要求银行建立适当的资本充足性框架,以应对操作风险可能导致的损失。
银行需要根据其操作风险的特征和规模,保持足够的资本储备,并采取风险敏感的资本补充措施,以应对不同水平的操作风险。
总之,新巴塞尔协议与操作风险监管原则共同构成了银行风险管理的重要框架。
通过建立健全的内部控制体系、评估和量化操作风险、加强监控和报告机制以及保持适当的资本充足性,银行能够更好地管理和控制操作风险,提高其整体的抗风险能力和稳定性。
这将有助于保护金融系统的健康发展,并减少金融危机的风险。
新巴塞尔协议(Basel III)和操作风险监管原则的出台,是对全球金融体系的一次重要调整和改革。
试论《巴塞尔协议》与银行的有效监管
试论《巴塞尔协议》与银行的有效监管内容摘要:随着我国经济的发展,银行业的进一步国际化、全球化,对于银行监管的有效性问题逐渐被引上台面。
本文首先从巴塞尔协议的背景出发,试图从其发展的轨迹上找寻巴塞尔协议对于我国银行监管的意义所在。
另外一方面,本文从我国本身的监管传统出发,从监管的传统和我国的监管实际案例的角度,结合巴塞尔新资本协议的建设性的内容,广泛的联系日本、西欧、美国的经验,从而探询建设银行的有效监管的途径。
试图建立起以银行经理层的自身约束为首要条件,以银行内部的制度和风险评级改革为次要条件,以银行监管主管部门的监管思路和制度的变革为第三条件,以银行监管主管部门自身的制度改革为第四条件的,能够广泛的包括对外资银行的监管和对内资银行的监管的合理的银行监管结构。
关键词:巴塞尔协议、对外资银行监管、对内资银行监管The Basel Accord andEfficient Bank SupervisionAbstract:Going with the development of Chinese economic、the stepping internationalization and the globalization of bank, the bank supervision calls more and more attention. This thesis begins with the background of Basel Accord, trying to find the meaning of Basel Accord to Chinese bank supervision from its developing track. On the other hand, the thesis origin to the traditional Chinese bank supervision, standing the supervision tradition and the supervision case in China point, together with the constructive content of Basel new Capital Accord, reviewing the experience of Japan、West Europe、USA, consequently searching the way to construct efficient bank supervision. Trying to build a broad rational bank supervision frame which conclude foreign bank and local bank, by making the bank manger self-moral-restriction the first term、the inherent bank system and risk evaluation revolution the second term、the bank supervisor authority supervision mode and rules the third term、the bank supervisor authority system revolution the forth term.Keywords: Basel Accord、Foreign Bank Supervision、Local Bank Supervision巴塞尔协议是国际银行界关于银行以及其他相关的金融机构的监管的一个重要法律文件,是当前影响全球金融界最为深刻的风险管理原则,其重要性就如同ISO标准在质量管理中的地位。
新巴塞尔协议和操作风险监管原则
?新巴塞尔协议和操作风险监管原则新巴塞尔协议和操作风险监管原则钟伟沈闻一摘要:一个典型的全面风险管理框架应该包含辨识和定义公司所面临的风险,评估它们的强度,使用各种手段来缓释风险,并且为潜在的损失配置资本和计提准备等基本要素,目前国际上优秀的商业银行主要是通过建立各种模型来完善风险管理系统的,但是不是所有的风险都能够很容易地被量化并且纳入模型之中。
90风险,????????????Morgan对于操作风险的定义是,操作风险是各公司业务和支持活动中内生的一种风险因素,这类风险表现为各种形式的错误、中断或停滞,可能导致财务损失或者给公司带来其他方面的损害。
英国银行家协会(BBA)将操作风险定义为“由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险”,从1998年至今,巴塞尔委员会对操作风险的定义均沿用了BBA的定义????????????。
????????????操作风险按风险类型可以分为四种,分别为内部操作流程,人为因素,体制因素和外部事件;按风险因素可以分为七种类型,包括:内部欺诈(Internal????????????fraud);外部欺诈(Externalfraud);雇员活动和工作场所的安全问题(Employm entpracticesand????????????workplacesafety);客户、产品和业务活动的安全问题(Clients,products&busin ess????????????practices);银行维系经营的实物资产损坏(Damagetophysical)等英国(这????????????。
此外,在BBA,ISDA,RMA所作的全球性调查中(该调查覆盖了54%的全球性大规模银行,5%的投资银行,5%的资产管理公司,9%的财务公司和27%的现金中心和零售银行),发现已有84%的银行实行了操作风险管理,其中30家机构有自己的操作风险定义和政策,24家机构对跨国公司操作风险进行评估,22家机构将操作风险与信用风险和市场风险相联系,19家机构执行和发展了操作风险自我评估体系,18家机构进行了操作风险管理训练。
金融风险管理:Basel_III(巴塞尔协议)
巴塞尔委员会提出的这两个流动性风险监管标准,旨在实现 两个独立但互补的目标:
➢ 一方面,通过确保金融机构拥有足够的优质流动性资源来 提高银行应对短期流动性风险的能力,保证有充足的高质 量流动资产来度过持续一个月的高压境况;
➢ 另一方面,通过建立激励机制让银行运用更加稳定、持久 和结构化的融资渠道来提高其在较长时期内的应对流动性 风险的能力。
• 到期日至少5年,银行赎回只能在5年后实施。 由于市场波动导致的某些储备资产的重估增值,在巴塞
尔协议II下被视为二级资本,而巴塞尔协议III中则不予认可。
➢ 银行的三级资本被废除,以确保市场风险要求下的资本质 量与信用风险、操作风险持8%不变, 但核心资本(一级资本)充足率将由目前的4%上调 到6%,其中,普通股占加权风险资产的比重至少应 达到4.5%(巴塞尔协议II的标准是2%)。
流动性覆盖率主要描述短期(30天以内)特定压力情境下 , 银行所持有的无变现障碍的、高质量的流动性资产数量,以 此应对资金流失的能力。
一般情况下,主动负债(发行债券、对央行负债、对金融机 构负债 )流失较快,而非主动负债(存款 )流失相对较慢。 因此,该指标不鼓励同业资金往来。
2、净稳定融资比率(Net Stable Funding Ratio,NSFR)
Basel Ⅲ
Basel Ⅲ 背景与概况
2008年全球金融危机爆发后,《巴塞尔协议Ⅱ》存在 的缺陷充分暴露出来。
《巴塞尔协议Ⅱ》是1990年代后期在银行放松管制时 期发起制定的,主要侧重微观金融稳定,即金融机构 个体风险的控制,没有充分考虑宏观审慎监管。
《巴塞尔协议Ⅱ》规定那些活跃银行在计算资产风险 以决定资本准备金提取数额时,不再沿用标准公式, 允许它们使用自己内部确定的模型。
商业银行风险管理:巴塞尔协议应用
商业银行风险管理:巴塞尔协议应用在当今复杂多变的金融环境中,商业银行面临着诸多风险,如信用风险、市场风险、操作风险等。
为了有效管理这些风险,保障金融体系的稳定,巴塞尔协议应运而生。
巴塞尔协议作为国际银行业监管的重要准则,对商业银行的风险管理产生了深远的影响。
巴塞尔协议的发展历程是一个不断演进和完善的过程。
巴塞尔协议Ⅰ主要关注信用风险,规定了资本充足率的计算方法和最低要求。
它的出台为商业银行的资本管理提供了一个初步的框架,但随着金融市场的发展,其局限性也逐渐显现。
巴塞尔协议Ⅱ在巴塞尔协议Ⅰ的基础上,进一步拓展了风险的范畴,将市场风险和操作风险纳入监管视野,并提出了三大支柱的监管框架。
第一支柱是最低资本要求,不仅涵盖了信用风险、市场风险和操作风险,还引入了内部评级法等更加精细化的风险计量方法,使资本要求更能反映银行的实际风险水平。
第二支柱是监督检查,强调监管机构对银行风险管理和资本充足状况的监督和评估。
第三支柱是市场纪律,要求银行公开披露相关信息,增强市场对银行的约束。
巴塞尔协议Ⅲ则是在全球金融危机的背景下出台的,旨在进一步提高银行的资本质量和数量,增强银行抵御风险的能力。
它引入了杠杆率、流动性覆盖率和净稳定资金比例等新的监管指标,加强了对系统性风险的防范。
同时,对资本定义进行了更加严格的界定,提高了普通股和留存收益在资本中的比重。
在商业银行的日常运营中,巴塞尔协议的应用体现在多个方面。
首先,在信用风险管理方面,银行通过内部评级系统对客户的信用状况进行评估,根据评估结果确定风险权重,计算资本要求。
这有助于银行更准确地识别和计量信用风险,合理配置信贷资源。
例如,对于信用评级较高的客户,银行可以给予较低的风险权重,从而降低资本占用;对于信用评级较低的客户,则相应提高风险权重,增加资本储备。
在市场风险管理方面,银行采用风险价值(VaR)等方法来计量市场风险,并根据风险水平调整投资组合。
巴塞尔协议要求银行对市场风险进行压力测试,以评估极端市场情况下的潜在损失。
《新巴塞尔资本协议》:我国商业银行风险管理的新理念
《新巴塞尔资本协议》:我国商业银⾏风险管理的新理念2019-09-24摘要:《新巴塞尔资本协议》于2006年底在西⽅10国集团国际活跃银⾏实施,对国际银⾏业风险管理提出新的要求。
本⽂认为《新巴塞尔资本协议》在风险管理上有着全新的理念。
我国商业银⾏风险管理⽔平与10国集团国际活跃银⾏相⽐在很多⽅⾯都存在差距,因此,要学习《新巴塞尔资本协议》的风险管理理念和具体⽅法,推⾏全⾯风险管理,提⾼风险管理⽔平。
关键词:新巴塞尔资本协议商业银⾏风险管理⼀、《新巴塞尔资本协议》关于风险管理的新理念《新巴塞尔资本协议》阐述的不仅仅是最低资本⾦要求、监管当局的监督检查、市场约束三⼤⽀柱,其内容远⽐我们⼀般意义上所归纳的三⼤⽀柱要丰富得多。
《新巴塞尔资本协议》的核⼼是风险管理,它从不同⾓度阐述了关于商业银⾏风险管理的理念。
(⼀)风险管理是商业银⾏的核⼼功能⼀般意义上,我们认为商业银⾏是以追逐利润为⽬的的⾦融企业,核⼼功能是向社会提供信⽤中介、⾦融服务,是典型意义上的间接融资的⾦融机构。
由于来⾃外部、内部的压⼒,商业银⾏业务、经营理念不断创新,其业务已不再局限于信⽤中介,⽽是多元的综合的业务。
因此,商业银⾏的定位也出现了新的变化,其核⼼功能不是简单的信⽤中介、⾦融服务,⽽是风险管理,换句话说,商业银⾏的核⼼功能、基本任务是管理风险。
(⼆)商业银⾏的风险管理是全⾯风险管理在我国商业银⾏的风险管理实践中,把更多的精⼒放在信⽤风险上,忽略了市场风险、操作风险等,使风险管理对象不全⾯,这种状况是受1988年《巴塞尔协议》影响的。
1988年《巴塞尔协议》对商业银⾏资本⾦的要求对应的是信⽤风险,虽然我们分析其中隐含了市场风险,但并没有直接显现出来。
在该协议的指导下,商业银⾏在资本⾦管理中强调商业银⾏资本⾦如何满⾜信⽤风险,把信⽤风险作为商业银⾏⾯临的⾸要风险。
随着商业银⾏⽣存、发展的外部环境发⽣变化,特别是利率市场化以来,以利率风险为主要风险的市场风险成为商业银⾏在新形势下⾯临的新的、重要的风险,使商业银⾏对风险有了新的认识,管理有了新的发展。
金融风险管理(第三版)课件第12章 巴塞尔协议III
© 2021-2025
12.3 巴塞尔协议III对市场风险的监管
资本要求计算方法
内部模型法
有独立的风险控制部门
建立事后测试程序
杠杆率=(一级资本–资本扣减项)/调整后的表内外风险暴露总额
© 2021-2025
12.6 巴塞尔协议III对大额风险暴露的监管
大额风险暴露的监管的历史沿革
➢ 1991:《大额信用风险暴露的测度与 控制》
➢ 1999:《从亚洲危机中汲取的监管教 训》
➢ 2013年3月:《大额风险暴露的测度 与控制监管框架》(征求意见稿)
自行 估计 风险 参数
计量 损失 类别
违约的概率(PD) 违约损失率(LGD) 违约风险暴露(EAD) 有效期限(M) 非预期损失
预期损失
© 2021-2025
12.2 巴塞尔协议III对市场风险的监管
市场风险是因市场价格波动而造成的表内外头寸的损失的风险。 即交易账户中属于利率相关的金融工具和股权的风险;遍及全行的汇 率风险和商品风险。
短期监管指标
流动性覆盖率
该比率主要是从短期的时间角度来衡量机构应对流动性风险的能力, 确保机构拥有足够的流动性资源来应对短期流动性风险,能够在一个月 的压力环境中恢复。监管标准规定,商业银行流动性覆盖率不得低于 100%。
© 2021-2025
12.3 巴塞尔协议III对市场风险的监管
短期监管指标
高层积极参与内部风险控制过程
监 管
银 1、满足
内部风险模型与日常风险管理结合
wen
二、网上银行的风险管理和控制如上文所分析,由于网上银行面临的主要风险又不同于传统银行,所以就应对电子银行的业务运营风险管理有不同于传统银行的要求。
下文将从风险管理的原则及网上银行风险管理的措施二个方面来提出自己的几点看法。
(一)风险管理的原则依照巴塞尔委员会的《有效银行监管的核心原则》的要求,采取适度审慎和持续监控(ongoing)的管理原则,同时强调管理上的综合性考虑(即要求管理者要将对技术性风险的管理和对消费者隐私权的保护和系统安全性控制结合在一起考虑)。
在具体的风险管理实践中,强调保持措施的灵活性,以适应电子银行领域多变的特点。
(二)风险管理措施1、实施安全政策和措施银行应保证系统的保证系统不受外来的恶意入侵、数据的完整性、系统的可使用性,采取包括加密技术、口令、防火墙、病毒控制等安全措施,防止外部的非法入侵。
2、对董事会和经理层的管理根据巴塞尔委员会2001年5月发布的《网上银行风险管理原则》和参考美国以及新加坡的《网上银行管理指南》,认为对于董事会和经理层的管理应包括以下二个方面:其一,鉴于电子银行对技术结合紧密的特点,应对管理人员的资格要求方面增加额外的要求。
即要求电子银行的中级管理人员必须熟悉电子银行的运作所需要的技术要求,同时要求电子银行必须专门雇佣一名专业技术总监,负责管理和监控电子银行运作所需要的信息技术系统,并及时更新银行运营所必须的信息技术。
其二,明确董事会和经理层的主管人员负有建立有效且完善的风险管理机制的义务。
所以董事会和经理层必须制定相关的风险监管计划和活动准则以指导银行的日常运作,同时持续关注银行运作的环境,以确保其风险管理框架与银行的规模和开展的相关业务活动相适应。
而技术多变性会改变银行在提供电子银行服务时所面临的风险的范围、复杂性和风险的大小。
所以银行必须在制定风险监管计划时应保持有一定的弹性以保证银行能及时有效的将对现有风险的监管措施调整至适应对新风险的监管要求的水平上来。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子银行业务的风险管理原则巴塞尔银行监管委员会 2003年7月董事会和管理层监督董事会和高级管理层负责制定银行的业务战略。
在开始提供电子银行交易服务之前,应该对是否希望银行提供此类服务作出明确的战略决策。
特别要提出,董事会应该确保电子银行计划与公司战略目标明确地结合起来,并对拟开展的电子银行业务进行风险分析,对已识别的风险建立适当的风险缓释和监控程序,以及按照银行的业务计划和目标,不断检查评估电子银行业务的成果。
此外,董事会和高级管理层还应该适当考虑和解决银行在电子银行业务战略中的操作和安全风险问题。
通过互联网提供金融服务,可以大大改变甚至增加传统银行业务风险(例如:战略风险、声誉风险、操作风险、信用风险和流动性风险),因此,银行应该采取一些措施,确保现行的风险管理程序、安全控制程序、对业务外包的尽职调查和监督程序能够针对电子银行服务的发展作出适当评估和相应修改。
原则1:董事会和高级管理层应该对与电子银行业务有关的风险进行有效的管理监督,包括建立具体的责任制度、策略和控制措施来管理这些风险。
管理层的高度监督对完善电子银行业务的内部控制是非常重要的。
除了互联网传送渠道的具体特征,电子银行的以下方面也可能对传统的风险管理程序造成相当大的挑战:·银行不能直接控制传送渠道(互联网和相关技术)的主要方面。
·互联网促进了银行跨境提供服务,而其中有些银行服务并不是由在当地开设的实体分支机构来提供。
·电子银行业务比较复杂,包含一些较高难度的技术术语和概念,在很多情况下,董事会和高级管理层缺乏有关经验。
考虑到电子银行的独特特征,对银行的风险状况和战略有重大影响的新的电子银行项目,董事会和高级管理层应该予以检查,并做适当的战略和成本/回报分析。
如果不进行足够的前期战略审查和连续的计划评估,银行就可能低估成本,高估电子银行业务的回报。
此外,董事会和高级管理层应该在开展新的电子银行业务或采用新技术以前,确认银行拥有必要的专业知识来进行有效的风险管理监督。
管理层和员工的专业知识应该足以应付电子银行业务的技术特征和复杂性以及相应技术。
不管银行的电子银行系统和服务是由自己管理还是外包给第三方,银行自己必须拥有足够的专业知识。
高级管理层应该进行动态的监督,以便有效地干预和纠正任何可能发生的重大电子银行系统问题或安全事故。
由于电子银行业务的声誉风险日益增加,银行有必要密切监控系统的可操作性和客户的满意程度,此外,还需要建立向董事会和高级管理层适当报告突发事件的机制。
最后,银行对电子银行业务的风险管理程序,应该与银行的全面风险管理相统一。
董事会和高级管理层应该对银行的现行风险管理政策和程序进行评估,以确保这些政策和程序的完善性,使其可以解决当前或计划之中的电子银行业务带来的新风险。
在风险管理监督方面,董事会和高级管理层还应该承担以下工作:·明确银行在电子银行业务方面的风险偏好。
·建立关键的授权和报告机制,包括对影响银行安全、稳健或声誉的各种突发事件,建立必要的逐级上报程序。
·要处理好一切与电子银行产品和服务的安全性、完整性和可用性相关的独特风险因素。
对于那些承包关键系统或业务的第三方,也应该要求其采取相似的措施。
·在银行进行跨境电子银行业务之前,须确保进行了适当的尽职调查和风险分析。
互联网极大地提升了银行提供产品和服务的能力,使其可以在事实上不受包括过境在内的地理区域的限制(包括跨越国境)。
此类跨境电子银行业务,特别是银行在"东道国"没有设立实体分行的情况下,可能给银行带来新的法律风险、监管风险和国家风险,原因是在银行发照、监管和客户保护方面,各国规定可能存在很大差异。
因为需要避免不意违反国外的各种法律或条例,以及对有关的国家风险因素进行管理,所有打算开展跨境电子银行业务的银行,事先应该充分研究这些风险,并且有效管理这些风险。
各银行的风险管理方案的范围和结构应根据其电子银行业务范围和复杂程度的不同而不尽相同。
管理电子银行服务所需要的资源应该足以适应交易的功能性和系统的重要性、以及适应网络的弱点和传递信息的敏感度。
原则2:董事会和高级管理层应该检查和审批银行安全控制程序的主要方面。
董事会和高级管理层应该检查安全控制基础设施的开发和持续维护中与保护电子银行系统和数据免受内部和外部威胁相关的部分。
这些基础设施包括建立适当的授权等级制度,逻辑和物理进入控制,以及足以维持适当的内部和外部用户活动的基础设施安全措施。
保护银行资产是董事会的受托责任之一,也是高级管理层的一项基本职责。
但是,在电子银行迅速发展的环境中,保护银行资产是一项艰巨的任务,因为通过公用互联网开展业务和使用新技术时,安全风险问题会变得非常复杂。
为了确保对电子银行业务进行适当的安全控制,董事会和高级管理层需要确定银行是否拥有包括策略和步骤在内的全面的安全程序,以处理可能的内部和外部安全威胁,及对突发事件进行防范和作出回应。
有效的电子银行安全程序的主要内容包括:·明确管理层/员工在检查公司安全政策的制订和维护方面的责任。
·充足的物理控制以防止非授权的物理进入计算机环境。
·充足的逻辑控制和监控程序,以防止非授权的内部和外部用户进入电子银行的应用系统和数据库。
·安全措施和控制措施的定期检查和测试,包括对当前业界安全发展情况持续跟踪,软件的适当升级,以及服务打包和其他必要的措施的采用。
原则3:董事会和高级管理层应该建立全面和持续的尽职调查制度和监管程序,来管理银行在电子银行业务方面的业务外包和其他对第三方的依赖。
由于银行日益依赖合伙方和第三方提供服务来履行关键的电子银行职能,银行管理层的直接控制能力有所下降了。
因此,为了管理业务外包和其他对第三方的依赖所??序应该涵盖合伙人和服务供应商的第三方的业务,其中包括可能对银行产生重大影响的外包业务的分包合同。
在过去,业务外包往往局限于某一家服务供应商,内容也仅局限于某项具体职能。
但是,近几年来,银行的业务外包不仅规模在扩大,而且复杂程度也提高了,其直接原因在于信息技术的进步和电子银行业务的出现。
使问题变得更为复杂的是,电子银行服务的业务外包还可能被分包给其他服务供应商或在国外进行。
而且,由于电子银行业务和服务在技术上日益先进,在战略上日渐重要,某些电子银行职能领域越来越集中依赖于少数几家专业的第三方公司和服务供应商。
这些情况可能导致风险日益集中,因此需要引起每家银行以及整个银行业的注意。
总之,以上这些因素突出了对业务外包和其他对外部的依赖进行全面和持续评估的重要性,其中包括对可能影响银行的风险状况和风险管理能力的部分进行评估。
董事会和高级管理层监控业务外包和对第三方的依赖,应该特别注意确保:·充分了解对其电子银行系统或业务进行业务外包或签订合伙协议会带来哪些风险。
·在签订任何电子银行服务合同之前,必须对第三方服务供应商或合伙人的业务能力和财务状况进行适当的尽职调查。
·在业务外包或合伙关系中,所有合同各方的责任必须非常明确。
例如,应该明确规定向服务供应商提供信息的责任和向服务供应商收集信息的责任。
·银行所有业务外包的电子银行系统和业务应该符合银行自己制定的风险管理、安全和隐私权保护政策的标准。
·对业务外包进行定期独立的内部和/或外部审计,审计的范围至少要等于该业务由本行自己处理的情况下的范围。
·制订电子银行业务外包的适当应急计划。
安全控制虽然董事会有责任确保制定适宜的电子银行安全控制程序,但是这些程序的内容还需要引起管理层的特别注意,因为电子银行业务造成的安全问题的难度在日益增大。
下列问题尤其显著:身份认证、不可否认性、数据和交易的完整性、职责的分解、授权控制、审计跟踪的维持、对关键银行信息的保密。
原则4:对于与银行通过互联网发生业务往来的客户,银行应该采取适当的措施,对其身份和授权情况进行认证。
银行必须能够确认某一特定通讯、交易或进入请求是否合法,相应地,银行应该使用可靠的方法来审核新客户的身份和授权情况,同时也要审核寻求开展电子交易的老客户的身份和授权情况。
在账户开立时对客户身份进行审核可以减少诸如盗用身份、欺诈账户和洗钱等方面的风险。
如果银行不能对客户的身份作适当认证,就可能导致未经授权的人员进入电子银行账户,出现欺诈、秘密信息泄露或无意卷入犯罪活动,并且最终给银行造成经济损失和声誉损害。
在一个完全开放的电子网络环境中,确认和认证进入银行系统的人员的身份和授权情况,可能是一项非常艰巨的任务。
网络黑客可能通过许多技术盗用合法用户的授权,还可以通过使用"嗅探器",来占用合法授权人员的线路,进行有害或犯罪性质的??过认证控制程序。
因此,银行必须拥有正式的政策和程序,使用各种适当的方法,确保银行能够正确地对个人、代理人或系统的身份和授权情况进行认证,使用的方法既要独特又要尽量切实可行,并且能够阻止非授权的个人和系统的进入。
银行可以用来进行认证的方法有很多种,其中包括个人身份号码、密码、智能卡、生物测量技术和数字证书。
这些方法可以单独使用或合并使用。
一般来说,多种认证方法同时使用会更安全。
银行管理层必须对整个电子银行系统或其某些组成部分所带来的风险进行评估分析,在此基础上决定采用何种身份认证方法。
风险分析应该包括评估电子银行系统(如资金转移、账单支付、贷款发放、账户汇总等)的交易能力、所储存的电子银行数据的敏感度和价值以及客户使用认证方法的难易程度。
在跨境电子银行业务中,完善的客户认证和授权程序非常重要。
因为在与国外客户进行电子交易时,可能会出现许多其他方面的难题,包括身份模仿的风险,对潜在客户的资信状况进行有效审查的难度则更大。
在认证方法的不断发展的同时,应该鼓励银行跟踪和采用该领域中的业界稳健做法,以确保:·审查进入电子银行顾客账户或敏感系统的身份认证数据库不被篡改和毁损。
任何篡改都可以被及时发现,并且对这些篡改企图进行审计跟踪。
·对个人、代理或系统的身份认证数据库所进行的增加、删除或修改都需要事先经认证资源适当授权。
·应该采取适当措施,控制电子银行系统连接,例如,防止未知的第三方取代已有的客户。
·在整个通讯期间,经过认证的电子银行通讯线路一直保持安全状态。
如果因安全原因而中断通讯线路,再次进入时应该要求重新认证。
原则5:银行应该使用促进交易不可否认性和明确电子银行交易责任的认证方法。
不可否认性包含产生原始凭证或传送电子信息以保护传送人免受数据接收人的虚假否认,或者保护接收人免受数据传送人的虚假否认。
在诸如信用卡或证券交易等传统交易中,否认交易的风险已经比较严重。