电子银行业务的风险管理原则(巴塞尔)

电子银行业务的风险管理原则

巴塞尔银行监管委员会 2003年7月

董事会和管理层监督

董事会和高级管理层负责制定银行的业务战略。在开始提供电子银行交易服务之前，应该对是否希望银行提供此类服务作出明确的战略决策。特别要提出，董事会应该确保电子银行计划与公司战略目标明确地结合起来，并对拟开展的电子银行业务进行风险分析，对已识别的风险建立适当的风险缓释和监控程序，以及按照银行的业务计划和目标，不断检查评估电子银行业务的成果。

此外，董事会和高级管理层还应该适当考虑和解决银行在电子银行业务战略中的操作和安全风险问题。通过互联网提供金融服务，可以大大改变甚至增加传统银行业务风险（例如：战略风险、声誉风险、操作风险、信用风险和流动性风险），因此，银行应该采取一些措施，确保现行的风险管理程序、安全控制程序、对业务外包的尽职调查和监督程序能够针对电子银行服务的发展作出适当评估和相应修改。

原则1：董事会和高级管理层应该对与电子银行业务有关的风险进行有效的管理监督，包括建立具体的责任制度、策略和控制措施来管理这些风险。

管理层的高度监督对完善电子银行业务的内部控制是非常重要的。除了互联网传送渠道的具体特征，电子银行的以下方面也可能对传统的风险管理程序造成相当大的挑战：

·银行不能直接控制传送渠道（互联网和相关技术）的主要方面。

·互联网促进了银行跨境提供服务，而其中有些银行服务并不是由在当地开设的实体分支机构来提供。

·电子银行业务比较复杂，包含一些较高难度的技术术语和概念，在很多情况下，董事会和高级管理层缺乏有关经验。

考虑到电子银行的独特特征，对银行的风险状况和战略有重大影响的新的电子银行项目，董事会和高级管理层应该予以检查，并做适当的战略和成本/回报分析。如果不进行足够的前期战略审查和连续的计划评估，银行就可能低估成本，高估电子银行业务的回报。

此外，董事会和高级管理层应该在开展新的电子银行业务或采用新技术以前，确认银行拥有必要的专业知识来进行有效的风险管理监督。管理层和员工的专业知识应该足以应付电子银行业务的技术特征和复杂性以及相应技术。不管银

行的电子银行系统和服务是由自己管理还是外包给第三方，银行自己必须拥有足够的专业知识。高级管理层应该进行动态的监督，以便有效地干预和纠正任何可能发生的重大电子银行系统问题或安全事故。由于电子银行业务的声誉风险日益增加，银行有必要密切监控系统的可操作性和客户的满意程度，此外，还需要建立向董事会和高级管理层适当报告突发事件的机制。

最后，银行对电子银行业务的风险管理程序，应该与银行的全面风险管理相统一。董事会和高级管理层应该对银行的现行风险管理政策和程序进行评估，以确保这些政策和程序的完善性，使其可以解决当前或计划之中的电子银行业务带来的新风险。在风险管理监督方面，董事会和高级管理层还应该承担以下工作：

·明确银行在电子银行业务方面的风险偏好。

·建立关键的授权和报告机制，包括对影响银行安全、稳健或声誉的各种突发事件，建立必要的逐级上报程序。

·要处理好一切与电子银行产品和服务的安全性、完整性和可用性相关的独特风险因素。对于那些承包关键系统或业务的第三方，也应该要求其采取相似的措施。

·在银行进行跨境电子银行业务之前，须确保进行了适当的尽职调查和风险分析。

互联网极大地提升了银行提供产品和服务的能力，使其可以在事实上不受包括过境在内的地理区域的限制（包括跨越国境）。此类跨境电子银行业务，特别是银行在"东道国"没有设立实体分行的情况下，可能给银行带来新的法律风险、监管风险和国家风险，原因是在银行发照、监管和客户保护方面，各国规定可能存在很大差异。因为需要避免不意违反国外的各种法律或条例，以及对有关的国家风险因素进行管理，所有打算开展跨境电子银行业务的银行，事先应该充分研究这些风险，并且有效管理这些风险。

各银行的风险管理方案的范围和结构应根据其电子银行业务范围和复杂程度的不同而不尽相同。管理电子银行服务所需要的资源应该足以适应交易的功能性和系统的重要性、以及适应网络的弱点和传递信息的敏感度。

原则2：董事会和高级管理层应该检查和审批银行安全控制程序的主要方面。

董事会和高级管理层应该检查安全控制基础设施的开发和持续维护中与保护电子银行系统和数据免受内部和外部威胁相关的部分。这些基础设施包括建立适当的授权等级制度，逻辑和物理进入控制，以及足以维持适当的内部和外部用户活动的基础设施安全措施。

保护银行资产是董事会的受托责任之一，也是高级管理层的一项基本职责。但是，在电子银行迅速发展的环境中，保护银行资产是一项艰巨的任务，因为通过公用互联网开展业务和使用新技术时，安全风险问题会变得非常复杂。

为了确保对电子银行业务进行适当的安全控制，董事会和高级管理层需要确定银行是否拥有包括策略和步骤在内的全面的安全程序，以处理可能的内部和外部安全威胁，及对突发事件进行防范和作出回应。有效的电子银行安全程序的主要内容包括：

·明确管理层/员工在检查公司安全政策的制订和维护方面的责任。

·充足的物理控制以防止非授权的物理进入计算机环境。

·充足的逻辑控制和监控程序，以防止非授权的内部和外部用户进入电子银行的应用系统和数据库。

·安全措施和控制措施的定期检查和测试，包括对当前业界安全发展情况持续跟踪，软件的适当升级，以及服务打包和其他必要的措施的采用。

原则3：董事会和高级管理层应该建立全面和持续的尽职调查制度和监管程序，来管理银行在电子银行业务方面的业务外包和其他对第三方的依赖。

由于银行日益依赖合伙方和第三方提供服务来履行关键的电子银行职能，银行管理层的直接控制能力有所下降了。因此，为了管理业务外包和其他对第三方的依赖所??序应该涵盖合伙人和服务供应商的第三方的业务，其中包括可能对银行产生重大影响的外包业务的分包合同。

在过去，业务外包往往局限于某一家服务供应商，内容也仅局限于某项具体职能。但是，近几年来，银行的业务外包不仅规模在扩大，而且复杂程度也提高了，其直接原因在于信息技术的进步和电子银行业务的出现。使问题变得更为复杂的是，电子银行服务的业务外包还可能被分包给其他服务供应商或在国外进行。而且，由于电子银行业务和服务在技术上日益先进，在战略上日渐重要，某些电子银行职能领域越来越集中依赖于少数几家专业的第三方公司和服务供应商。这些情况可能导致风险日益集中，因此需要引起每家银行以及整个银行业的注意。

总之，以上这些因素突出了对业务外包和其他对外部的依赖进行全面和持续评估的重要性，其中包括对可能影响银行的风险状况和风险管理能力的部分进行评估。董事会和高级管理层监控业务外包和对第三方的依赖，应该特别注意确保：

·充分了解对其电子银行系统或业务进行业务外包或签订合伙协议会带来哪些风险。

·在签订任何电子银行服务合同之前，必须对第三方服务供应商或合伙人的业务能力和财务状况进行适当的尽职调查。