信用卡、电子银行业务风险案例分析报告

信用卡、电子银行业务风险案例分析报告
第一篇：信用卡、电子银行业务风险案例分析报告
信用卡、电子银行业务风险案例分析报告
年初以来，信用卡中心紧紧围绕“防范风险、合规经营”主题开展工作，在努力完成各项任务指标的同时，着重加强业务管理和各项规章制度的落实，多种措施并举，有效地防范和控制了信用卡及电子银行业务风险。

下面，就我行信用卡及电子银行业务发展过程中的风险隐患和防范情况进行具体分析：
一、信用卡业务风险与防范分析
（一）信用卡业务风险点分析及防范措施关联案例：
今年8月9日，农行山东泰安分行信用卡中心外呼平台在外呼申请办理10份公务卡时发现该批申请许多疑点，工作人员随即提高警惕，根据支行申报资料填写地址及所盖公章上单位名称，到现场进行了逐户查找，核实确定了该申请单位地址为虚假地址。

为进一步核实，工作人员又到被冒办单位某防火办公室与其工作人员进行证实，了解到该批办卡人员都不是该单位工作人员。

为稳妥起见，又核对了所盖单位公章，发现公章为伪造公章。

最终确定，这是一起利用虚假资料、伪造信息申请办理信用卡的案件。

从而成功防范了一起利用虚假资料申办信用卡的案件，保全了我行资金安全。

1、个人信用卡业务风险分析
信用卡业务具有分散性、高利润、高风险的特点。

由于信用卡所针对的客户是风险相互独立的消费者个人，客户的多样性和独立性使得信用卡业务和传统的对公业务相比，具有高度风险分散的特点。

当前，我行信用卡业务风险隐患主要存在欺诈风险、持卡人信用风险和睡眠信用卡风险。

（1）欺诈风险。

从我行信用卡发展情况来看，虚假申请和商户欺诈与套现成为我行信用卡业务发展过程中的极大隐患。

虚假申请是指犯罪分子使用虚假身份、冒用他人身份或使用虚假资料获取银行卡进行欺诈交易。

从当前信用卡业务发展来看，主要存
在虚假资料申请。

信用卡申请出现了身份证件真实有效，但工作单位信息（包括工作单位、工作单位地址、办公电话等）和住宅信息（包括住宅地址、住宅电话等）均与实际情况不符的申请。

由于基层营销人员片面追求绩效卡量而忽略信用卡申领人真实单位信息和住宅信息的现象时而有之，而基层调查岗人员由于申请资料过多而多数采用电话调查的方式，有时不能真实反映申领人的真实信息；还有个别员工为了完成信用卡营销指标弄虚造假，这对我行信用卡业务健康发展埋下了很大隐患。

（2）持卡人信用风险。

这一风险主要是由于银行在信用卡业务的发展上，重规模、轻质量，不能有效区分潜在客户，对客户授信未予以严格把关所引发的风险。

我行信用卡目前处于初级发卡阶段，主要以发卡量和市场占有率作为主要考核指标。

这样的发展模式势必造成重数量轻质量的发展模式，有时为提高发卡量而人为地降低申领人准入门槛，对于客户的授信未严格执行授信标准，由此引发了信用卡申领人恶意透支风险。

（3）大量闲臵和睡眠信用卡风险。

由于农行信用卡发行较晚，发卡对象大部分已有招商银行、中国银行、建设银行、工商银行等其他商业银行的信用卡，而拥有这些信用卡的持卡人被各家商业银行共同确认为信用卡的中高级客户群体，因此形成了一个持卡人拥有多家商业银行的信用卡，从而造成了一些客户一人手持多卡、信用卡大量闲臵和睡眠、累计信用额度较高。

从我行发卡情况来刊，银行工作人员只是简单介绍信用卡消费的便利、积分优惠、赠送礼品等正面信息，而对信用卡相关的法律规定和相关风险等介绍宣传的较少，影响了信用卡业务的健康发展。

2、主要防范措施
（1）加强风险防范，把好发卡准入关。

我行信用卡中心将对申领人按照规定的程序进行严格审查，核实申领表中填写的各项内容的真实性和完整性。

在资信调查上不能流于形式、走过场，要将责任落实到人，做到谁调查谁负责。

同时，要加强对担保人的严格审查，除严格审查担保人的担保能力外，还应进行当面核对，确认担保的真实性、合法性和有效性，以避免追索时不必要的麻烦。

申领人领取信用卡必
须出具本人有效身份证件，原则上由本人亲自领取，确有困难，委托他人代办的，代领人除出示本人证件外，还要办好登记手续。

（2）强化内部管理，规范业务操作。

要严重按照《中国农业银行信用卡章程》和《中国农业银行信用卡业务管理办法》进行规范性的业务操作。

一是要坚持各岗位业务人员有明确分工不得混岗作业，强化各岗位间的约束机制；二是要坚持办理业务必须核对身份证与签字相一致的原则；三是要坚持做好疑问查询，超过限额授权的要登记有效身份证号码；四是要坚持执行异地存款的登记制度，建立健全信用卡事后监督制度。

（3）做好商户的培训工作，增强特约商户的风险防范意识。

要根据商户不断变化的实际情况，如人员流动，经营范围扩大等，定期、不定期的对商户进行培训和现场指导，提高商户验卡、验证、刷卡、签章、授权等各项工作的效率和质量，以防止和减少特约商户人员操作不当而造成的风险损失。

(二)商户收单业务的风险及防范措施关联案例：
2009年10月中旬，上海某公司通过虚假资料办理工商注册登记并骗领了营业执照，然后以特约商户身份向银行申请3台POS机。

银行未对公司提交的资料进行仔细的审查即为其办理了相关的业务。

随后，该公司在网络上发布广告，吸引信用卡持卡人到该公司办理套现交易（持卡人在不具备真实交易背景的情况下通过POS机透支刷卡，该公司扣除3%的手续费。

）由于该公司在短短一个月内非法套现1600万元，公安机关已经以涉嫌刑事犯罪为由对其立案侦查。

近一段时期以来，国内银行卡收单业务风险事件呈高发态势。

部分地区商户套现、盗刷持卡人资金等事件频繁发生，不法分子通过虚假申请骗取商户入网资格或通过租借、购买入网POS机具等实施违法犯罪活动，作案手段呈现异地移机、团伙作案、技术性强、资金转移迅速等特点。

近期还出现了不法分子通过消费后私自撤销等方式对商户进行诈骗的新手法，收单风险防范形势十分严峻。

此外，一些发卡行为转嫁风险损失，频繁发起针对商户交易的批量调单，也对收单行业务管理提出了挑战。

目前部分行收单风险意识淡漠，管理工作滞后，防控措施薄弱，难以适应风险形势的需要。

突出反映在商户准入环节把关不严，未认真执行商户巡检、培训的日常管理措施，未对商户交易进行有效监控等方面。

针对以上问题采取的措施
1、加强商户准入工作。

一是认真执行现场调查制度。

要对目标商户的营业场所、经营状况等进行认真现场调查，不放过任何可疑情况，未经实地调查不得审批开通商户，严防不法商户准入。

二是切实落实商户实名审核措施，杜绝问题商户进入。

要充分利用联网核查身份信息系统、人民银行征信系统等渠道，核实目标商户及负责人的相关信息，同时要利用中国银联风险管理系统、工商红盾网、税务部门网站等对目标商户资料进行核查，落实商户信息注册实名制，严防虚假申请。

三是严格批发类商户审批手续。

批发类商户应主要限于专业批发市场中从事商品批发业务的商户。

对于其他营业场所商户、批零兼营商户，其商户类型要按照实际经营状态设臵，不得随意设臵为批发类。

对于存量批发类商户，要逐户进行排查，不符合条件的要重新签约，调整MCC及扣率。

四是对于在省行下发的商户管理实施细则中列为谨慎发展的商户类型，必须加强对商户注册成立时间、在我行开户情况等方面的评估，采取更为严格的准入标准、调查措施和审批程序。

五是根据商户经营规模大小设臵单笔刷卡限额。

2、落实商户日常管理措施
一是加强新签约商户的管理。

对于新发展的商户，前3个月收单行至少要每月巡检一次；对于谨慎发展的商户，3个月考察期内收单行还要每月上门收取签购单或要求商户交单。

二是加强商户巡检管理。

要确保至少每季度对商户进行一次现场巡检。

要认真审核商户经营状况，检查机具管理和使用情况。

对于存在违规移机、出租、出借POS 机具的商户，要采取关闭商户交易、控制商户结算账户等措施。

要核实商户是否按要求保管签购单据，发现异常情况的，要及时收回签购单据，确保发卡行调单时我行能够及时提供。

三是加强商户教育和培
训。

要认真宣讲合法合规受理银行卡的相关法律界限和政策规定，特别是两高院关于办理妨害信用卡管理刑事案件具体应用法律的司法解释和公安部门开展的打击银行卡犯罪专项行动，对风险商户产生威慑作用。

要向商户宣传出租、出借、出售POS机具、结算账户和网银证书的危害以及可能导致的严重后果，防止不法分子借机作案。

要向商户详细讲解收单业务规范操作手续、风险防范知识以及机具管理、收银员及主管密码管理、单据保管的相关要求，确保正确办理业务。

二、电子银行业务风险与防范分析
（一）、网上银行的主要风险、成因及防范措施：关联案例：
2003年2月,美国一名电脑黑客攻破了一家负责代表商家处理Visa 和万事达卡交易业务的企业计算机系统,掌握了220万个顾客的信用卡号;在日本,黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码,使1600万日元不翼而飞。

2002年,中国公安部曾经破获一起不法分子利用黑客手段在银行的网银服务器中植入“木马”程序,窃取了多家银行和证券客户的账号、密码信息进行诈骗的案件,涉案金额达80多万元。

1、从风险发生的概率及危害程度看，网上银行的风险主要来自三个方面。

一是客户自身风险，主要是由于企业内部财务制度不健全造成的。

有的企业所有印章由一人保管，企业法人对财务事项长期不管不问，一旦财务人员出现道德风险，盗窃或侵占企业资金，很容易通过网上银行非法转移企业资金，并且作案分子可以先潜逃后作案，即使东窗事发，后续的案件侦破，追回资金的难度也会大大加大。

二是银行内部欺诈风险。

多数来自银行员工利用客户对自己的信任，在客户不知情的情况下，代替客户注册网上银行并掌握其网银证书，通过网上银行盗窃客户资金。

三是网络风险。

网络风险是犯罪分子基于互联网技术，通过木马病毒，网络钓鱼，虚假网站等手段利用客户属于防范和贪图小利等心理，盗窃客户卡号，密码等关键信息，或远程控制客户计算机，通过网上银行盗窃客户资金。

2、风险的成因概括起来主要有两个方面：一是银行外部原因。

首先，客户自身安全意识薄弱，误以为保管好自己的银行账户介质就
可以高枕无忧，殊不知电子银行诞生后，犯罪分子的作案手段发展到“无介质”状态。

其次，目前信息化领域法律法规不健全，对打击和防范基于信息技术的木马病毒，网络钓鱼，虚假网站等犯罪行为的措施和手段不就十分有效。

二是银行内部原因。

主要是由于银行的各项规章制度没有落实到位。

3、防范网银风险的措施
首先，客户的自我防护能力和安全防范意识是降低电子银行风险的最佳途径。

一是银行在营销客户时，应在充分了解客户的基础上酌情为客户推介合适的金融产品；二是做好客户培训工作，在客户注册网银后给予必要的操作指引，保证客户能够正常使用网上银行。

三是做好客户安全教育和风险提示工作，充分告知客户使用过程中可能遇到的风险，提醒客户采取必要防范措施。

其次，培育风险管理理念，加强员工职业道德教育，培养员工主动防范风险意识。

（二）、ATM机等现金类自助设备的风险防范关联案例：
2008年5月31日22时，某持卡人到中国农业银行某支行营业网点的ATM机取款。

ATM出钞口被不法分子用塑胶和强力胶水封住，客户取款时因出钞口封死，取款失败。

情急之下，持卡人看见ATM机一侧贴有“电脑升级，如取款出现问题请及时与本行联系……”的提示，于是，该持卡人按提示进行操作。

然而，其卡上的4万多元存款不翼而飞。

1、案件特点
一是近年在自助设备上发生的案件呈高发态势。

多起案件中，犯罪分子利用伪造的刷卡、摄录设备，窃取客户银行卡磁条信息、取款密码，制作伪卡后疯狂盗刷，导致客户资金损失。

二是发生在夜间。

犯罪分子利用晚上，特别是凌晨自助银行无人值守的时机，贴挡监控录像镜头,伺机安装盗卡设备，实施犯罪；三是盗卡设备越来越具备隐蔽性，一般客户难以识别。

犯罪分子使用的设备从卡槽设计、形状、颜色、LOGO等方面都与自助设备融合程度很高，一般客户难以识别；四是犯罪分子窃取到客户银行卡磁条信息、取款密码，制作伪卡后，通过取现、转账、再取现的方式迅速转移套取现金。

五是张贴虚假告
示，诱导客户转账的作案仍有发生。

犯罪分子利用客户不熟悉自助设备服务流程的机会，提供客户虚假服务热线的方式，骗取客户资金。

2、建议
目前，大量伪卡案件源于不法分子在银行自助机具安装侧录设备、摄像头等窃取持卡人银行卡信息、密码，进而伪造卡片盗取资金。

此外，在自助设备旁张贴“提示告示”欺骗持卡人转账等情况也大量存在。

首先建议提高银行卡防伪技术；二是银行应积极提示持卡人安全用卡，防止密码等信息泄露；三是要严格落实制度中关于ATM机、自助银行设备巡查制度，发现可疑情况的，要及时予以排除；四是出现银行卡纠纷时，银行应注意留存相关证据，及时报案；五是银行卡案件涉诉的，可以采取持卡人对于其卡片资料及密码泄露存在过错、银行的技术手段和业务操作符合标准、银行对自助机具及场所等尽到安全保障义务、按照举证规则应由持卡人对伪卡交易承担举证责任等抗辩理由积极维护银行权益。

3、风险防范措施
一是各支行、网点要引起高度重视，增加巡查频率。

认真分析犯罪分子的作案特点，与保安服务公司签定自助设备巡防协议，增加巡查频率，对全行附行式自助设备、附行式自助银行和离行式自助银行的夜间巡查增加巡查频率，做到及时发现问题和解决问题。

开展巡检工作时，要将自助银行的门禁系统和自助设备机身是否有非法安装物或张贴物，周边是否有非法录像设备等作为必查项目，并及时记录检查情况，发现异常，妥善处臵，并立即报告上级行。

二是及时清理用户遗留的交易凭条。

部分客户在使用自助设备后，会遗忘或简单处理交易凭条，巡检人员要注意及时清理这些遗忘凭条，避免犯罪分子利用凭条信息实施诈骗。

三是在自助设备需要进行运营维护或维修工作时，除维护商工程师外，必须确保一名行内员工及一名保安在场，行内员工需佩戴可以标识身份的证件，防止犯罪分子利用维护操作，安装非法设备。

四是重点关注自助银行及设备周边可疑人群，密切注意在自助银行及设备周边逗留时间过长、手持异常电子设备的人员，一
旦发现异常行为，控制犯罪嫌疑人，并及时报告公安部门。

落实专人，负责此类紧急事件的快速响应，切实保障客户资金安全。

五是自助设备的管理员发现客户账户、密码信息可能泄露的情况，要立即整理卡号等信息上报相关部门，及时联系客户挂失、止付账户，冻结资金。

六是在自助设备上发现他行卡被盗信息，及时与发卡行客服联系或通过中国银联公司协助联系客户。

七是加强客户自助设备使用的安全提示，使用过程中出现问题，第一时间拨打95599联系客户服务中心。

八是加强对客户安全使用自助设备的引导，要求大堂经理在平时的引导中，对客户进行安全讲解，告知客户安全操作自助设备，同时向客户散发安全使用自助设备宣传资料，在营业网点门前电子门楣上滚动宣传安全标语，营造“轻松存取款，安全不可忘”的浓厚氛围，不要给犯罪分子留下可趁之机，提高防范效果。

九是加强与外部的沟通、协调。

积极与公安部门沟通、协调，现场取证，分析作案手段、特点，并主动配合公安部门，争取早日破案，为客户挽回资金损失。

认真进行引导。

综上所述，市行信用卡中心将继续加强信用卡、电子银行业务风险防范与管理，切实开展业务自查和自律监管检查工作，做到切实防控风险，保障信用卡及电子银行业务合规经营、稳健发展。

第二篇：电子银行业务风险管理问题分析对策
电子银行和电子货币业务的不断发展有助于提高银行业和支付系统的效率，也有助于国内外零售业务的成本下降。

但电子货币和一些电子银行业务的发展和运用尚处于早期，考虑到电子银行和电子货币在将来的技术和市场发展中的不确定性，监管当局必须避免制定阻碍有益创新和实验的政策。

同时，巴塞尔委员会认为，电子银行和电子货币业务为银行带来的收益与风险并存，因此风险与收益必须进行平衡。

一、电子银行业务的风险分析
随着电子银行和电子货币业务的不断发展，银行与其客户之间的跨境业务就会增加。

此类业务关系会给银行和监管当局带来了各种不同的问题和风险。

根据对风险的识别和分析，管理办法有3个主要步
骤，即：评估风险，落实控制风险的措施和监控风险。

在目前这个阶段，似乎操作风险、声誉风险、和法律风险，可能是大多数电子银行和电子货币业务中最重要的风险类别。

1、操作风险。

操作风险主要是指由于系统中存在不利于可靠性、稳定性和安全性要求的重大缺陷而导致的损失的可能性。

它可能来自于电子银行客户的疏忽大意，也可能来自电子银行安全系统和其产品设计缺陷与操作失误。

2、声誉风险。

声誉风险是公众对银行产生重大负面的看法，从而引发资金来源或客户的重大损失的风险。

声誉风险可能源自系统或产品没有达到预期效果，并且在公众中造成广泛的负面影响。

声誉风险可能源自客户，即客户没有掌握足够的产品信息和问题解决办法，以致遇到问题而不知所措。

声誉风险也可能源自对一家银行的有目标的攻击。

例如，一位黑客侵入一家银行的网络，并且故意散布银行或其产品的不准确的信息。

3、法律风险。

法律风险源自违反或违背相关法律、法令、条例或约定的习惯做法，或对一笔交易各方的法律义务和权利模糊不清。

从事电子银行和电子货币业务的银行，可能面临来自客户信息披露和隐私保护方面的法律风险。

随着电子商务的不断发展，银行希望开展电子身份认证业务，例如通过使用数字证书。

身份认证可能使一家银行面临法律风险。

如果银行参加新的身份认证系统，但权利和义务在合同协议中没有明确规定，那么银行就可能蒙受法律风险。

4、其它风险。

传统的银行风险，诸如信用风险、流动性风险、利率风险和市场风险，也可以产生于电子银行和电子货币业务，但是它们的实际影响力对于银行和监管当局来说，可能与操作、声誉和法律风险大不相同。

二、建立可操作的风险防范体系
技术创新的日新月异，可能改变银行在电子货币和电子银行中所
面临的风险的性质和范围。

监管人员希望银行制定一些管理办法，来对付目前存在的风险，同时对新出现的风险也有相应对策。

风险管理办法应包括3个基本要素，即：评估风险，控制风险和监控风险，只有这样才能达到银行和监管当局心中预期的目标。

1、安全政策和措施。

安全是系统、应用和内部控制的统一，其作用是保证数据和操作过程的完整性、真实性和保密性。

安全的保障取决于银行制定和落实合适的安全政策和安全措施，也取决于银行与外部各方的交流是否安全顺畅。

安全政策和措施，可以限制内部和外部的对电子银行和电子货币系统攻击的风险，也可以限制因安全违规而引发的声誉风险。

安全措施是硬件、软件工具和人员管理的统一，这样才能保证系统和操作的安全。

这些措施包括很多，例如：密码技术、口令、防火墙、病毒控制和雇员遴选。

密码技术是将文本数据转换成密码以防非授权的阅读。

口令、口令串、个人身份识别数字、硬件标志和生物测量学都是用来控制进入和识别用户的技术。

防火墙是硬件和软件的结合，用来遴选和限制外部进入与开放型网络（如因特网）相连接的内部系统。

防火墙也可以把使用因特网技术的内部网络，分隔成几个小片。

防火墙技术，如设计合理且实施得当的话，能够有效地控制进入、保证数据的保密性和完整性。

由于该技术设计复杂且成本昂贵，防火墙的强度和性能必须与被保护信息的敏感度相适应。

一个好的设计应该包括：整个银行的安全要求，一目了然的操作步骤，职责的分解，选择可靠之人来负责防火墙的设计和操作。

虽然防火墙遴选来自外部的信号，但是并不一定能够完全防止从因特网下载来的已被病毒感染的程序。

因此，管理层应该制定防止和检测的控制办法，来减少病毒入侵和数据破坏的机会，特别是对远程银行业务更应如此。

缓释病毒感染风险的程序应该包括：网络控制、终端用户政策、用户培训和病毒检测软件。

并非所有安全威胁来自外部。

在可能的情况下，电子银行和电子货币系统，应防止现职或已离职的雇员的非授权操作。

与现有的银行。