单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,电子银行业务风险管理,电子银行部,主要内容,电子银行业务风险案例分析,电子银行业务操作风险介绍,电子银行业务风险管理概述,电子银行业务风险防控体系,一、萌芽阶段,二、整合品牌,三、新一代网上银行,四、,CIF-SC,成功开发,五、,RA,系统停运,六、综合管理系统上线,一、电子银行业务风险管理概述,业务发展历程,电子银行产品和服务体系,一、电子银行业务风险管理概述,各级机构在开办电子银行业务过程中须对电子银行业务风险进行有效识别、评估、分析,并采取有效措施进行防范、控制和处理。,一、电子银行业务风险管理概述,风险种类,电子银行风险管理,涉及的对象,农业银行,客户,第三方,个人客户,企业客户,网上特约商户,服务提供商,业务合作伙伴,一、电子银行业务风险管理概述,风险管理所,涉及对象,(,1,)各级机构须建立健全电子银行风险管理体系和内部控制体系,做到事前严密防范、事中有效控制、事后及时处理。,(,2,)电子银行严格执行“双因素”安全认证,判断客户身份合法性和确认交易有效性的标识包括数字证书和密码。,(,3,)各级机构在开展电子银行业务过程中,应遵循外部监管机构的规定,定期组织电子银行业务安全评估工作。,(,4,)各级机构须严格按照有关规定加强电子银行业务的自律监管和内控检查,有效控制和防范电子银行业务风险。,(,5,)各级机构须建立健全电子银行业务突发事件应急处理机制,严格执行应急预案,保证电子银行业务正常开展。如遇突发重大事件,应严格按照规定及时上报。,(,6,)电子银行渠道发生的所有交易纳入全行反洗钱系统和会计监控系统,统一监测和处理。,一、电子银行业务风险管理概述,风险管理基本规定,主要内容,电子银行业务风险管理案例分析,电子银行业务操作风险介绍,电子银行业务风险管理概述,电子银行业务风险防控体系,控制措施,二、电子银行业务操作风险介绍,(一)网点审核客户身份未尽职,二、电子银行业务操作风险介绍,(二),1,、网点审核个人客户注册资料未尽职,二、电子银行业务操作风险介绍,(二),2,、网点审核企业客户注册资料未尽职,控制措施:经办员与复核员双人仔细核对,客户申请资料的真实性、有效性和完整性。,二、电子银行业务操作风险介绍,(三)银行人员擅自留存客户注册资料,表现为:银行人员利用工作便利,对客户资料进行擅自复印、留存或挪做它用进行非法交易。,控制措施:加强人员监督,复核客户资料,严禁擅自复印、留存、盗用客户资料。,二、电子银行业务操作风险介绍,(四)网点人员蓄意为客户提供非真实的动态口令卡,表现为:银行人员为客户办理绑定动态口令卡交易后,未将已经绑定的口令卡交付客户,为盗用客户资金提供便利。,控制措施:严格按照操作规程办理业务;加强柜员的自律监管;动态口令卡严格按照重要空白凭证管理。,二、电子银行业务操作风险介绍,(五)网点人员泄露客户两码信息,表现为:两码信封未当面交给客户;将已经开启的两码信封交给客户;未使用两码信封打印两码信息。,控制措施:严格按照操作规程办理业务;提示客户保存好两码信封,证书下载前一旦丢失应立即到柜面申请补办证书。,二、电子银行业务操作风险介绍,(六)网点人员违规登记电话银行收款方账户,表现为:在客户不知情的情况下,柜员利用工作便利擅自将他人的账户登记到客户的收款方账户里面。,控制措施:严格按照业务规定办理电话银行收款方账户注册业务。,二、电子银行业务操作风险介绍,风险表现:,未按要求指定至少一人及时规范的处理网银落地业务;,手工填写或者涂改落地业务凭证;,伪造落地业务凭证;,柜员重复处理落地业务、或处理落地业务有误。,(七)网银落地业务相关风险,二、电子银行业务操作风险介绍,控制措施:,1,、落地业务处理网点必须至少指定一名柜员严格按落地业务处理时限要求及时、规范地进行落地业务处理;,2,、落地业务凭证必须由电脑打印,不得手工填制或涂改;,3,、复核人员必须对落地业务凭证中的会计要素进行认真核对;,4,、复核员复核落地业务时发现凭证上有“,补打,”字样的借方凭证,应核对有无同样业务信息的借方凭证,如果发现重复扣账或错误扣账的,应对错账进行抹账处理。,网银落地业务相关风险,二、电子银行业务操作风险介绍,(八)网银虚假交易,表现为:两个或者多个账户之间的多笔大额资金循环转账交易,虚增网银交易笔数和交易金额,加大我行的法律风险和经营风险。,控制措施:落实各级行领导的监督责任;加强日常监控,完善考核机制;加强各级行电子银行部的自律监管,整顿虚假交易。,二、电子银行业务操作风险介绍,企业网银证书激活,若由待激活的网上银行管理员,/,操作员本人到注册行办理激活证书,注册行应联网身份证件核查,并复印身份证件留存。,若非待激活的网上银行管理员,/,操作员本人到注册行办理激活证书,两码确认单,要素填写应齐全,加盖单位预留印鉴,法人代表(或授权人)签名及需激活的管理员和操作员本人签名。,(九)证书管理,严禁银行工作人员私自下,载及操作客户的网上银行,证书。企业客户明确提出,需要银行人员协助的,有,关人员可给予客户必要的,指导,但不得向客户询问,证书密码等保密信息。,二、电子银行业务操作风险介绍,(十),1,、银行审核商户身份注册资料未尽职,风险表现:,受理行未对商户进行实地调查导致不符合准入条件的商户注册,受理行未验证商户经办人及商户操作员身份的真实性、有效性;,受理行、注册行未对商户提交资料的完整性进行审核;,商户申请资料填写要素、签章不全或涂改;,商户提供虚假申请资料。,二、电子银行业务操作风险介绍,控制措施:,1.,受理行对商户进行实地调查,全面了解商户情况;,2.,通过联网核查系统对经办人以及商户操作员的有效身份证件进行查询核实,并打印的核查信息与身份证复印件一起装订留存;,3,、受理行、注册行应严格按照规定对商户提交资料的完整性、真实性、合规性进行审查。,银行审核商户身份、注册资料未尽职,二、电子银行业务操作风险介绍,(十),2,、各级行未按商户类别执行审批报备制度,风险表现:,发展网上平台类商户未由一级分行初审后报经总行审批;,发展网上普通类商户各级行审批通过后未向总行报备;,发展不受电子支付卡限额限定的,B2C,网上普通类商户未经总行审批。,控制措施:,1.,各级行发展的网上平台类商户应严格实行总行审批制;,2.,对于网上普通类商户,各级行审批通过后,应按规定向总行上报备案;,3.,对于不受电子支付卡限额限定的,B2C,网上普通类商户,受理行报一级分行初审,一级分行初审通过后报总行审批。,二、电子银行业务操作风险介绍,各级行未按商户类别执行审批报备制度,二、电子银行业务操作风险介绍,(十),3,、银行未定期核查商户,风险表现:,商户信誉状况恶化,或经国家有关部门认定已无经营资格;,商户销售国家禁止流通、限制流通商品或提供非法服务;,商户与客户串通诈骗银行资金;,商户对客户存在欺诈行为。,控制措施:,1,、至少每半年调查商户的信誉状况,如发现商户在合作期间信誉状况恶化或存在违反协议的情况,应及时要求商户纠正,超过一个月仍未纠正的,应终止合作关系;,2,、监督、检查商户的运作情况,发现异常及时处理,对不良商户要报总行备案,对涉及经营非法交易活动的商户要立即关闭其电子银行业务。,二、电子银行业务操作风险介绍,银行未定期核查商户,二、电子银行业务操作风险介绍,吞卡,本行卡和国际卡,自吞卡日起保存,20,个工作日;他行卡由于发卡机构吞卡指令吞没的卡片,自吞卡次日起保存,3,个工作日;吞卡逾期持卡人未领取要剪角作废。,客户领取吞卡时,须严格执行身份审核,加钞,/,清机,严格执行自助设备钥匙和密码管理,每半年进行一次密码重置。,钞箱视同金库管理。离行式自助设备装钞视同营业场所接送款。,长短款,每日必须核对自助设备账务报表,核查清单,核对账款。,发现错账、冲账或者其他异常情况需进行登记,查明错款原因后进行相应处理,并上报相关部门。,故障,自助设备出现故障时,管理员应先做自检,如无法排除故障,应及时通知运行监控中心或外包公司进行维护。,防范人为破坏柜员机或在柜员机上加装非法插件或其他设备定期巡查。,(十一),ATM,操作风险管理,二、电子银行业务操作风险介绍,密钥,严格密钥卡的制作、发放、使用和保管制度,坚持卡和密码分开保管,对密钥卡(加密部件内置的转账电话)的领取、保管、发放和销毁情况要登记,转账电话机具出入库登记簿,。,客户准入,做好签约客户准入管理,杜绝虚假申请,从源头控制风险;做好已签约客户的操作培训与风险指导,有效降低操作性风险;加强银行内部管理和规范操作,控防内部风险。,巡检,定期巡检或不定期巡检,并做好巡检登记,定期巡检每年不得少于两次。,(,一,),专用机具是否运行正常,是否出现故障或损坏等问题。,(,二,),专用机具是否连接可疑设备。,(,三,),客户使用情况是否正常,是否出现争议交易。,(,四,),客户经营情况是否正常,是否有停业或转让倾向。,(,五,),是否存在其他异常情况。,(十二)转账电话操作风险管理,主要内容,电子银行业务风险案例分析,电子银行业务操作风险介绍,电子银行业务风险管理概述,电子银行业务风险防控体系,随着互联网的高速发展,网络安全形势更加严峻,各种木马病毒等恶意程序以爆发式的形态增长,呈现出在整个互联网领域泛滥的趋势。,从总行通报提示看,电子银行风险事件涉及个人网上银行、企业网上银行、电子商务、自助银行(,ATM,)、转账电话等不同业务种类。,三、电子银行业务风险管理案例分析,风险案件发生主要有三个原因,业务人员风险防范意识还比较欠缺,表现为有章不循,违规操作,有的基层管理人员和操作人员对已经存在的风险隐患认识不明确、不到位,客户风险意识淡薄,将自身证书和账号等信息随便告诉他人,造成敏感信息泄漏,致使不法分子诈骗成功,黑客对网银的攻击手段、技术有加快更新的趋势,已经从攻击密码转向攻击数字证书,数字证书可能因电脑染上木马病毒而被盗取。,三、电子银行业务风险管理案例分析,今年初,,B,分行发生一起,400,万元的金融诈骗案。,甲冒用乙公司的资料和使用仿造的乙公司公章、财务专用章和法定代表人印章,注册行审核不严导致甲用虚假资料注册了企业网银。,甲通过网上银行陆续将乙公司账上资金分,65,笔转出,合计,399.832,万元。,一个月后乙公司找到,B,分行反映其并未注册网上银行,而账户资金通过网银被转走,要求,B,分行赔偿。,B,分行立即向公安机关报案。,公安机关立案侦查过程中发现甲和乙公司存在借贷关系,双方商议一旦借贷资金断裂,甲无法偿还向乙公司所借款项,则诈骗农行承担资金损失。,公安机关以涉嫌“金融凭证诈骗”立案侦查,涉案人员已被抓获,案件正在审理中。,案例一,分析:部分业务人员风险防范意识还比较欠缺,表现为有章不循,违规操作。具体的环节表现在注册环节客户资料审核不严,事后注册行调出注册资料才发现当初提供的注册资料均为伪造。,措施:严格按照操作规程办理业务,认真审核客户资料。特别是企业客户必须要折角核对印鉴,案例二,C,分行一客户被骗,自己将,IE,证书的两码和动态口令卡的内容全部告诉犯罪嫌疑人,被盗资金,60,万元。,D,分行客户的电脑被植入病毒,黑客通过让客户登录虚假的口令卡升级程序,获得了客户的,IE,数字证书和动态口令卡密码,被盗资金,2200,元。,4,月,9,日晚上,23,点左右,客户霍某正在网上玩,QQ,斗地主游戏,忽然屏幕上弹出一个窗口,提示内容大致为“农业银行在线升级,请客户输入动态口令卡,V1H5,坐标对应的口令密码”,客户按照提示输入后,电脑提示升级成功。此后不久,其电脑,D,盘和,E,盘下载的歌曲、收藏夹里的网址被删除,同时电脑死机,并且无法启动。,4,月,10,日上班与同事们谈及此事,同事提醒其是否中木马病毒了,该客户才意识到问题的严重性,于是立即查询其银行卡资金并报案(被盗,11700,元),原因:,客户风险意识淡薄,将自