友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
入世带来的……-第8部分
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!
(2)各职能部门具有相对独立『性』。这种独立『性』表现在:一是各职能部门之阐是平级关系,而非上下级从属关系;二是各职能部门的工作有明确分工,不存在现任共同负担的关系。这样不仅可以预防诈骗的产生,而且诈骗一旦发生时还可以避免损失的进一步扩大。
(3)人员素质控制。良好的思想品德和职业道德是防范诈骗的前提。对人员的选择、使用和培训采取一定的措施和办法,以控制职员的素质。
(4)建立职员的职务定期轮换制度。这样可以增加某项职务的全面复核。实践证明,有关职务的定期轮换不仅能使某项业务的执行人员发生的错误在短时间内被发现,而且还能促使工作人员兢兢业业地工作,打消诈骗的念头。
(5)对『操』作员处理的业务建立定期或不定期得查核对控制。记录与实物以及记录与记录之间的复查核对,能进一步保证记录的真实、正确。特别是不定期复核,更能对犯罪分子产生威摄作用。
二、加强银行技术风险管理
从目前银行业的趋势来看,风险管理已经成为国际银行管理和监管的比较通行的做法。面临计算机和网络的迅速发展和应用,银行已经逐渐电子化、网络化,银行在这方面也发展出一套电子银行的风险识别和管理做法,在此基础上,各个监管机构也推行自己的风险监管的办法。这些措施总的来讲是一致的,只是侧重点不一样。下面的两部分我们主要介绍西方国家目前采用的银行技术风险管理和监管的一些做法。
1电子银行的风险识别。银行在防范计算机和网络犯罪时,最根本的措施是首先对所面临的风险进行识别。根据目前国际通用的风险管理分类标准,银行面临的风险包括『操』作风险、声誉风险、法律风险、信用风险、流动『性』风险利率风险和市场风险。就计算机和网络方面来讲,最重要的是前3种。不过,不是所有的风险都同犯罪有关,我们下面就结合计算机和网络犯罪的情况,对西方国家银行目前采取的针对计算机和网络犯罪所进行的风险识别。
(1)『操』作风险(operational risk)。就计算机和网络技术来讲,银行所面临的『操』作风险主要是系统缺陷所造成的损失。美国通货管制局(ocom)的报告提出的交易风险(transaction risk)同巴塞尔委员会提出的『操』作风险基本是类似的。巴塞尔委员会的报告将『操』作风险又进一步划分为安全风险、系统风险、实施和维护风险,和消费者错误使用金融产品带来的风险三种类别。安全风险是最为常见,也最为人们理解的风险,我们在上一部分中已经比较详细地阐述针对安全风险所采取的技术和管理控制措施。巴塞尔委员会把『操』作风险分成三种:第一,银行的计算机系统遭到非法入侵,比如黑客进入银行的内部系统,银行和客户在传递信息的过程中信息被第三方截获,银行的系统和有关资料遭到破坏等等,结果是资料遗失,被损害,银行内部系统可能遭到破坏,由此花费资金进行维修。第二,内部雇员对银行进行的欺诈,比如雇员篡改资料,从银行帐户中划拨资金到自己名下,银行职员盗窃电子货币(智能卡)。第三,电子货币被伪造,犯罪分子直接变造成伪造电子货币,作为电子货币发行人的银行遭受损失。系统设计实施和维护风险主要来源系统本身的缺陷,银行无论自己开发,还是使用外部技术厂商开发金融技术产品,都可能造成系统的缺陷,比如银行的内部网络和外部网络不兼容,两个银行合并以后,各自的系统相互存在不兼容的『毛』病,同时,银行对外部厂商没有进行有效的监督,更使风险加大;另一方面是银行内部人员不了解技术的迅速发展和变革,即便技术是先进的,但由于人员的素质使得先进技术不能发挥作用。消费者错误使用金融技术产品所带来的危害可能是,由于其使用程序没有遵守安全规定,犯罪分子可以进入消费者的帐户盗取有关的信息或者资金。
(2)声誉风险。声誉风险同其他风险是密切相连的,其他风险转变为现实可能时,通常也会造成银行声誉的下降,比如,系统本身存在重大缺陷,不能满足客户的要求,甚至造成对客户隐私权和资金的损害,黑客入侵,病毒感染,以及重大的诉讼事件都可能影响银行的声誉,严重的可能造成整个银行系统的连锁反应。
(3)法律风险。美国通货管制局(ocom)的报告提出的纪律风险(compliance risk)风法律风险的含义大致类似,都是指没有遵守法律、法规、行业习惯做法,或者由于法律的不完善造成当事人之间义务权利的不明确给银行带来的风险。就防止计算机和网络犯罪而言,主要的法律风险来自于犯罪分子利用银行的网络和产品进行洗钱活动,对于从事认证证书发放的银行来讲,可能有犯罪分子伪造证书以银行的名义发放等。
其他风险也是银行在利用计算机和网络技术开展业务过程中可能遇到的风险,但就防止犯罪来讲,这些风险关系不是太密切。值得提出的是,美国通货管制局(ocom)在报告中还提出一种风险,称为战略风险(strategic risk),主要指银行的管理层在从事金融技术业务时,没有很好的进行计划、管理和检测这些金融产品的运作,比如管理层不了解、不支持某一项对银行至痒重要的技术的使用,或者错误的依靠一项并不可靠的技术等等。这同巴塞尔委员会在阐述『操』作风险时,指出银行职员不了解技术引起所引起的风险有类似之处,但美国通货管制局(ocom)更强调管理层的作用。
2对电子银行风险的控制
对风险进行识别之后,应该对风险进行有效的评估。对风险的评估主要侧重于在可能的情况下,对风险进行量化,然后进行一定的成本和效益分析,将潜在的风险和本机构所能承受的风险进行比较,确定本机构的风险管理策略。
巴塞尔的报告将对风险的管理分为5个方面:
(1)安全策略和措施。这部分内容同美国联邦储备委员会的内容是一致的,主要侧重技术层面,以及同技术相关的管理措施。
(2)内部联络。内部联格强调银行的高级管理层应该把电子银行于银行总体目标的作用向下层职员传达、下层职员应该把涉及电子银行运作的所有技术、安全等问题及时向上层反映,作到上情下达,下情上达。同时,高级管理层应该重视对职员的持续培训。了解技术的发展和市场的最新动向。
(3)外部资源的管理。银行的许多技术设备和软件是由外部厂商提供的,应该采取措施减少外部资源引起的风险,其措施包括监测外部厂商的财务和经营情况,明确双方权利义务,建立紧急情况下,撤换外部厂商的应急措施。
(4)对客户的教育。教育客户如何使用新产品,出现问题如何解决,潜在的风险如何等等。
(5)建立应急计划。
对风险的监测包括监测、监视系统,以及追踪业务活动两个方面。
因该说,巴塞尔委员会的报告从宏观上对电子银行的风险管理提供了一个整体框架。美国联邦储备委员会的安全管理实际上是将这个框架进行了具体化,更加侧重技术层面。
3采取安全防范措施。德国联邦数据保护法规定,使用电子计算机必须休取10条队范措施,其中主要的有:
〃进口处检查〃一使无关人员不得接近电子计算机和数据处理设备。
〃出口处检查〃一防备数据存储器被窃。
〃对存储装置进行检查〃一目的是监视数据输入,防止改变和消除数据。
〃对使用者进行检查〃一阻止无关人员利用数据传输分接到的电子计算机上。
美国最大的计算机制造公司一国际商用机器公司,对计算机的安全制订了200条要则。其中包括:〃窗子要有栏杆〃,〃进入电子计算机中心的门要安装一种设备一可以马上发现随身携带磁带的探测器〃,〃对所有接触数据处理的职员进行审查〃,等等。
三、对开展电子业务银行的监管
因为在计算机网络上,资金的划拨方向靠用户的网址和账户来识别,而当网上其他人通过其它方式获取网址、账户号吗及命令等信息后,完全可以伪装成接收用户的网上账户,接收划拟过来的资金,然后再非法占有。
而这时,如果划拨方只是发出指令,指示银行向另一方付款,而银行只作为命令的银行作用,则由于是直接划拨而未由银行介入,接收方未收到资金话,划拨方仍有义务再次支付款项,也就是说,这种直接划拨,划拨方要负责接收方接收到资金而不简单是划出资金。而我们也不能排除接收方欺诈划拨方,在收到的情况下,制造假象要求划拨方再划拨的可能。
所以,对电子银行的监管也是建立在风险监管的基础之上的。对电子银行的风险进行了有效识别和监管,实际上也就达到了监管机构的要求。目前,一些国家已经开始制定对电子银行业务的监管措施,其中,比较全面的是美国联邦存款保险公司(美国银行业的监管机构之一)1998年6月出台的《电子银行……安全和健全检查程序》。这个报告把银行参与的电子业务分成三个层次,然后在风险管理的基础上,具体对检查的范围和标准作出了要求。
1银行网络业务的三个层次
银行的网络可以分为内联网、外联网和互联网。不同的网络对象并不相同。互联网实际上是一个信息系统,通过这个系统可以公布、传送信息,也可以将所有业务在信息系统中开展。因此,不同的银行,利用互联网开展业务是不同的,有不同的层次的差别。《程序》将银行开展电子业务分成三个层次,对不同层次采取不同的检查标准和措施。
(1)第一层次:信息公开展示系统(information-only system)。在第一层次中,银行利用互联网只限于在互联网上刊登广告,介绍银行业务的有关信息,比如介召本银行的业务种类。有的时候,也可以通过电子邮件传递一些公开的信息。
(2)第二层次:电子信息传递系统(electronic information transfer system)。在第一层次中,银行同客户通过电子邮件的形式传递一些秘密的信息,或者,银行允许客户下载一些资料或文件。比如银行的网址上允许进行在线的货款和存款申请,下载一些需要客户填充的表格,以及通过电子邮件的形式传送这些数据和表格(里面可能含有一些需要保密的数据,比如客户的帐号等)。
(3)第三层次:全面的交易信息系统(fully transactional information system)这是最为高级的一个层次。银行可以完全通过网络开展自己的业务,比如帐户查询、转移资金,网上支付以及其他传统的银行业务。这一层次的银行需要全面的网上电子支付作为支持,也就是说金钱、资金可以完全变成数字化的形式通过网络传送和转移。
不同的银行,开展网络业务的层次不一样,有的只处于第一层次,有的可能不仅可以从事第一和第二层次的业务,还可以从事第三层次的业务;同时,一些银行可能是全面的参与和从事网上业务,比如自己设计开发整个系统,不需要外界技术力量的参与和其他银行的合作,而一些银行可能只是参与其部分的工作,比如只是作为交易的中介,从事授权、清算等工作等等。不同层次的银行风险不同。不同作用的银行风险也不同。
2检查的范围和标准
检查的范围包括六个方面:计划和实施方面;『操』作规程方面;稽核方面;法律和监管方面;管理方面;外部资源管理方面。每个方面由于银行开展网络业务的层次不同而采取不同的标准,但是,一般高级层次的银行同时也会开展低层次的业务,因此,检查时,也必须同时对低层次的业务进行检查。
(1)计划和实施
第一,对于第一层次的银行而言,主要看三个方面:首先,查看所有的网络是否得到有效的测试,要查看系统的容量、内容,评估其可行『性』;其次,查看银行是否对有关人员进行了培训。银行管理层对所有受到电子银行业务影响的人员都必须进行有效的培训,这些人员涉及各个业务部门和层级,包括负责产品开发、系统维护、稽核、纪律和法律部门的所有职员,同时,培训应该是长期的、不断更新的。再次,查看银行是否进行了充分的保险,或者是全面的保险,或者是责任保险、意外保险等等,总之,要使保险的范围涵
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!