电子银行技术风险管理过程

（一）电子银行技术风险管理过程

电子银行的技术风险管理过程包括三个基本要素：风险评估、风险管理和控制、风险监控，这和传统风险管理是一致的。银行技术风险管理机制必须置于董事会和高级管理层的适当监管之下。在开展电子银行业务或推出新产品之前，必须报经董事会和高级管理层进行综合审查，以使高级管理层确保风险管理机制足以评估、控制和监测拟开展的新业务中出现的风险。

1.风险评估

风险评估是一个持续的过程，一般包括三个步骤。首先，银行可通过一个严格的分析过程来识别风险，并在可能的情况下使之量化。如果无法将风险量化，管理者仍可以确定潜在风险是如何产生的，以及应对和限制风险的措施。银行管理者应当做出可行的合理判断，确定风险对银行的影响程度（包括最大限度的潜在影响），以及此类事件发生的可能性。评估风险的第二步是，董事会或高级管理层在评估某一具体问题发生时银行所能承受的损失基础上，确定银行的总体风险承受力。最后，管理者可以比较银行的风险承受力与评估出的风险严重性程度，以确定银行面临的风险是否在其承受范围内。

2.风险管理和风险控制

在对电子银行风险和风险承受力做出评估后，银行管理者应采取措施管理和控制风险。风险管理过程阶段的活动包括：贯彻安全政策和措施、协调内部的交流、测试并升级产品和服务、采取措施控制和管理外包风险、进行信息披露并提供客户培训、制定应急计划等。银行高级管理层应确保负责实施风险控制措施的员工权限独立于负责电子银行业务的部门。通过将政策和程序以书面文件的形式确定下来，并使有关的员工都能够利用这些文件，以提高银行控制和管理各种业务活动固有风险的能力。

（1）安全政策和措施。安全性是用以保证数据和操作过程的完整性、真实性、可靠性的系统及应用程序和内部控制措施的有机组合。真正的安全性依赖于是否针对银行的内部运行、银行与外部的交流制定并实施了有效的安全政策和安全措施。安全政策和措施可以防范电子银行系统受到内部和外部攻击的风险，控制由于安全性破坏所引起的声誉风险。

安全政策要阐明管理者保证信息安全的意图，并说明银行的安全体制。安全政策也确立了用来确定银行风险承受能力的指导方针。它明确规定了设计、贯彻和执行信息安全措施的职责，并建立程序以评估政策的遵守情况、实施惩罚措施以及报告违反安全政策的事件等。安全策略的有效性在很大程度上依赖于银行工作人员和销售商对它们的熟悉程度。银行应该定期检查安全策略的履行情况，以便在问题变得严重之前及时发现并加以纠正。要将安全策略以书面形式给出，并经常与执行情况进行对比，这样做可以明确地进行职责分工，使得银行职员可以有效地、始终如一地协调完成其任务，同时也有助于培训新职员。

安全措施是硬件、软件工具和人事管理的结合，有助于建立可靠的系统并保障正常的运营。高级管理层应当意识到，安全是一个系统工程，其中越薄弱的环节安全措施应该越强。在安全措施中应该包括明确的、可度量的性能标准;针对关键项目而实施的、职责明确的分工;风险度量和降低风险的独立机制。应当尽可能地保护电子银行系统，防范与欺诈、疏忽、银行财产的物理毁坏等相关风险。风险的控制点应该包括设备、数据、系统控制、网络控制、银行职员、安全策略、销售商、外包商等。银行可以在各种安全措施中做出选择，预防或缓解来自内部和外部的攻击，减少对电子银行系统的滥用。这些措施包括加密、口令、防火墙、病毒控制和员工筛选等。随着技术的不断发展和系统的不断升级改造，银行管理部门应根据实际情况定期对安全措施进行评估和修正。

（2）内部沟通。如果高级管理层让核心员工认识到电子银行对支持银行整体目标的重要性，那么操作风险、信用风险、法律风险和其他方面的风险是可以管理和控制的。同时，技术人员应向高级管理层说明系统是如何设计和运行的，以及系统的优点与缺陷。这些做法可以减少由于系统设计不完善导致的操作风险（如银行组织内部不同系统之间的冲突、数据完整性问题）、由于系统不正常运行而令客户不满意所导致的声誉风险，以及信用风险和流动性风险。

为确保充分的内部交流，所有的政策和程序必须以书面形式规定下来。此外，高级管理层应当制定有关继续教育和技能与知识更新的内部政策，适应技术创新的快速发展，减少由于专业技术人员匮乏和管理经验不足导致的操作风险。

（3）评估和升级。银行管理层应该在全面推广电子银行之前对产品和服务进行评估，这样有利于控制操作风险和信用风险。系统建设完成之后，通过测试可确认设备和系统是否正常运作，是否产生了预期的结果。系统运行中，定期测试现有硬件和软件的性能可以减少系统滞缓或者中断的风险。对系统的测试可以由银行自己完成，也可以委托第三方进行测试。作为测试过程的一部分，管理部门应该验证新的技术系统能否有效地与已有的技术系统一起运行。

（4）外包管理。尽管信息技术外包有助于降低成本，实现规模经济效益，但利用外部资源并未解除银行的最终责任，它们依然要负责控制那些影响其运作的风险。因此，银行应该采取措施，以减少由于依赖外部服务提供商所引起的风险。管理部门应该确保外包商具备必要的专门知识、经验和财力，从而能够履行其义务。例如，银行管理者应监控其服务提供商的经营活动和财务状况，确保双方之间的合同关系与各自的预期目标和义务得到准确无误的理解，并以可强制执行的书面形式确定下来，如有必要，随时准备在紧急情况下迅速更换服务提供商。

电子银行完善实施的关键在于银行是否依赖内部职员、外包商或其组合来开发和实施项目。如果没有建立必要的控制措施，将会导致安全受损、服务水平低于标准、设备不兼容、系统失效、成本失控以及客户隐私信息的泄露等。如果银行打算与其他银行或公司组成联盟，管理部门必须进行充分的思考，确保合作伙伴具备合法资格，并且具备履行义务的财力。

银行机密信息的安全至关重要。外包可能意味着银行与服务提供商共享机密信息。银行管理者应该审查服务提供商保护机密信息的政策和程序，从而评估服务提供商是否能够提供如同在内部进行业务活动一样的安全保障。

（5）应急计划。在提供电子银行服务的过程中，银行通过制定应急计划来建立对服务中断事件的处理方法，从而可以最大限度地避免数据损坏、内部处理中断、服务或产品传送中断等操作风险。除了解决操作风险问题外，应急计划也有助于降低声誉风险。

建立突发事件响应队伍和制定出完备的应对计划，使银行能够对出现的问题迅速作出反应。应急计划包括数据恢复、替代数据处理能力、紧急备用人员和客户服务支持。其目标就是确定一批银行管理人员和职员，他们是关键部门和系统的代表，具有迅速和果断地对突发事件作出反应所必需的各项技能。响应队伍的组成和就绪的程度应取决于电子银行业务的级别和复杂程度，也取决于银行可使用的资源。

组成响应队伍或制定完备应对计划的决定来自于管理层的判断。为了确认可能受问题影响的主要部门、资源、业务活动和顾客，银行应该估计每一个系统可能引起的各种风险。响应队伍中的每一个人都应被正式任命和授权，明确自己的责任和义务，以便在突发事件到来时迅速作出反应。银行应该定期维护和测试应急系统，以保证其持续有效性。银行应该保证应急操作如同常规操作一样安全。另外，应急计划中严格包括公共关系的内容，说明当严重影响客户信任的事件发生后，银行如何应对客户和媒体的反应;当应用相同或类似技术的竞争对手发生了严重影响客户信任的事件后，银行也应该制定相应的计划，以便作出恰当的反应。

由数据损坏、处理中断、服务或产品传送中断所产生的风险可能来自银行本身的行为，也可能来自外部的服务提供商。银行管理部门应当评估这些服务提供商所具备的支持能力。在服务提供商服务能力受到损害的情况下，银行管理部门要考虑所能采取的补救措施。相应的计划中包括与其他提供商的短期合同、银行处理与服务中断相关的客户损失的政策。银行也应当考虑保留在必要时及时更换服务提供商的权利。

（6）信息披露与客户培训。信息披露和客户培训有助于减少银行的法律风险和信用风险。关于如何使用新产品和服务、产品的价格和服务费用、问题和差错的解决方案等的信息披露制度和客户培训制度，有助于银行遵守消费者保护法和隐私权法。披露并解释银行与链接网站的关系有利于减少银行由于相链接网站的产品和服务出现问题而面临的法律风险。

客户培训有助于客户能够以恰当、合理的方式使用电子银行系统。银行应该配置足够的资源来培训职员，减少因缺乏技术人才或管理人才而带来的操作风险，当关键职员离开银行时，确保存在恰当的人才后备措施。银行也应制定计划，以确保外包商具备专门的知识和技能来履行必要的职责，并保证他们得到了正确的培训。

3.风险监控

对风险管理来说，持续的监控是非常重要的。银行管理部门应该监控和度量与技术相关的产品、服务、传送渠道和过程的性能，以避免潜在的运行失效，并减少这种失效发生时所造成的损失。电子银行技术风险的监控尤为重要，这是因为许多电子银行业务直接依赖于开放的Internet网络。风险监控的两大要素是系统监测和审计。

（1）系统监测。在系统运行过程中，银行需要利用一定的监测工具来识别系统的脆弱性，以降低风险。监测包括监视和检测两种形式。

电子银行系统可以利用相应的软件和审计应用程序跟踪某项被监视的活动。监视主要集中在监控常规操作、调查反常事件，通过检查遵守安全策略的情况而不断对安全系统的有效性做出判断，并帮助消除主要的系统问题，防止中断和受到攻击。

可以通过实时检测系统来发现异常的活动情况，避免出现严重的系统故障、服务中断以及来自外部或内部的入侵。检测主要集中在监控非常规的事件，目的是对安全机制设计以及实施中存在的缺陷进行识别、确认和隔离。

（2）审计。审计（包括内部审计和外部审计）为发现系统缺陷和风险最小化提供了一种重要的、独立的控制机制。审计人员的职责是保证银行建立并始终遵守适当的标准、政策和程序。同时，审计人员应该有资格去评估源于特定技术应用的特定风险。为进行准确的检查，审计人员应当具备充分的专业技能。内部审计人员应该独立于风险管理的决策人员。电子银行管理部门应该向审计人员提供充分的信息，即有关标准、策略、程序、应用和系统的信息。在技术的计划过程中，审计人员应该与银行管理部门进行协商，确保以节约的方式彻底地对技术相关系统进行审计。为了加强内部审计，银行管理部门可以请具备资格的外部审计人员（比如计算机安全顾问、具备相关知识的专家）来进行独立的审计。