电子银行业务的风险管理指引

第12章电子银行业务的风险管理指引
(4)银行外包的电子银行系统和业务应该符合银行制定 的风险管理、安全和隐私权保护政策的标准。
(5)对业务外包进行定期独立的内部和/或外部审计， 审计的范围应该涵盖的业务由银行决定。
(6)针对电子银行业务的外包，制定适当的应急计划。
第12章电子银行业务的风险管理指引
(6)对银企互联特别要防止敏感数据窃取，建立事后服 务标准与机制。
第12章电子银行业务的风险管理指引
【原则3】董事会和高级管理层应该建立全面和持续的 尽职调查制度和监管程序，来管理银行在电子银行业务方 面的业务外包和对第三方的依赖。
12.为了管理由业务外包和其他对第三方的依赖所带来 的风险，是否制定了全面的管理程序，是否关注由于Biblioteka Baidu第 三方服务依赖所带来的风险的集中?
第12章电子银行业务的风险管理指引 13.为了监控业务外包和对第三方的依赖，是否做到
(1)充分了解对电子银行系统或业务进行业务外包或 签订合伙协议会带来哪些风险。
(2)在签订任何电子银行服务合同之前，必须对第三 方服务供应商或合伙人的业务能力和财务状况进行适当的 尽职调查。
(3)在业务外包和合伙关系中，所有合同各方的责任 必须非常明确。例如，应该明确规定向服务供应商收集信 息的责任。
第12章电子银行业务的风险管理指引 【原则5】银行应该使用促进交易不可否认性和明确电
子银行交易责任的认证方法。
20.银行是如何按照电子银行交易的重要性和类型做出 合理的控制的，
(1)电子银行系统在设计时，尽量减少授权用户进行意 外交易的可能性，也不应要求客户完全了解他们所进行的交 易的相关风险。
(2)所有交易各方都经过有效认证，并维持对认证渠道 的控制。
(2)充分的物理控制以防止非授权的物理进入计算机环 境。
(3)充分的逻辑控制和完备的监控程序，以防止非授权 的内部和外部用户进入电子银行的应用系统和数据库。
(4)安全措施和控制措施的定期检查和测试，包括对当 前业界安全发展情况持续跟踪，软件的适当升级，以及服务 打包和其他必要的措施的采用。
(5)银行每年应对电子银行进行稽核与审计。
4.为防范电子银行业务的声誉风险，银行是如何密切监 控系统的可操作性和提高客户的满意程度？
5.对影响银行安全、稳健和声誉的各种突发事件，建立 了什么样的授权和报告机制，包括必要的逐级上报程序?
第12章电子银行业务的风险管理指引
6.电子银行业务的风险管理程序应该与银行的全面风险 管理相统一。为了确保风险管理政策和程序的完善性，使其 可以解决电子银行业务带来的新风险，银行是如何对电子银 行的风险管理政策和程序进行评估的？
第12章电子银行业务的风险管理指引
第12章电子银行业务的风险管理指引
根据国际巴塞尔协议关于电子银行业务的风险管理的原 则，执笔者针对原则提出了具体的问题并进行了思考。
［原则1］ 董事会和高级管理层应该对与电子银行业 务有关的风险进行有效的监督,包括建立具体的责任制度， 制定控制风险的措施、策略等。
1.对银行风险状况和经营战略有重大影响的电子银行项 目，如何进行战略目标一致性分析,如何进行成本/回报分析？
第12章电子银行业务的风险管理指引
17.为决定采用何种身份认证方法，银行是如何对整个 电子银行系统或其某些组成部分所带来的风险进行分析评 估的？
18.在跨境电子银行业务中，银行是如何完善客户认证 和授权程序的？
19.
(1)审查进入电子银行顾客账户或敏感系统的身份认证 数据库不被篡改和毁损。任何篡改都可以被及时发现，并 且对这些篡改进行审计跟踪。
(3)财务交易数据不能被随便修改，并且任何修改可以 被发现。
第12章电子银行业务的风险管理指引
21.为确保电子银行交易的保密性和完整性，银行使用 何种技术和措施来建立不可否认性机制？
【原则6】在电子银行系统的数据库和应用程序中银行 应该采取适当的措施，以保证有效地分解职责。
22.内部控制的基本措施之一就是职责分解，以确保维 持合适的控制水平。在电子银行业务环境中银行是如何建 立和维护职责分解的？
第12章电子银行业务的风险管理指引
23.
(1)交易程序和系统在设计时，要防止单个雇员或业务 外包的服务供应商单独进入、授权和完成一笔交易。
7.对于承包电子银行系统或业务的第三方，是如何保证 其电子银行产品和服务的安全性、完整性和可用性？
8.在开办跨境电子银行业务之前，进行了哪些调查和风 险分析？
9.银行是如何配置电子银行服务所需要的资源以满足交 易的功能性和系统的重要性?
第12章电子银行业务的风险管理指引
【原则2】董事会和高级管理层应该检查和审批银行 安全控制程序。
第12章电子银行业务的风险管理指引 2.管理层和员工的专业知识应该能够适应电子银行业务
复杂的技术特征。在开展新的电子银行业务或采用新的技术 以前，是如何保证相关人员具备必要的专业知识来进行有效 的风险管理监督的？
3.为了有效地防止和纠正任何可能或已经发生的重大电 子银行系统问题或安全事故，管理层是如何进行动态监督的？
10.是否建立了授权等级制度，采取了何种逻辑和物 理方法控制内、外部用户的活动？管理层是否定期检查这 些安全控制措施？
11.为了确保对电子银行业务进行适当的安全控制， 是否建立了以下电子银行安全程序：
第12章电子银行业务的风险管理指引 (1)明确管理层/员工在检查公司安全政策的制定和维护
方面的责任。
【原则4】对于与银行互联网发生业务往来的客户，银 行应该采取适当的措施，对其身份和授权情况进行认证。
14.如何确认某一特定通讯、交易或进入请求是否合法？ 15.使用哪些方法来审核客户的身份和授权情况？ 16.为确保银行能够正确地对个人、代理人或系统的身 份和授权情况进行认证，银行拥有哪些正式的政策和程序， 使用了什么样的方法？
第12章电子银行业务的风险管理指引
(2)对个人、代理或系统的身份认证数据库所进行的增 加、删除或修改都需要实现经认证资源适当授权。
(3)应该采用适当措施，控制电子银行系统联接，例如， 防止未知的第三方取代已有的客户。
(4)在整个通讯期间，经过认证的电子银行通讯线路一 直保持安全状态。如果因安全原因而中断通讯线路，再次 进入时应该要求重新认证。