美国对银行技术风险的监管

（一）美国对银行技术风险的监管

美国是世界上电子银行最发达的国家之一，也是最早开展电子银行技术风险监管研究和实施具体监管措施，对银行技术风险监管最细致、最全面的国家。既制定了对所有银行信息系统都适用的通用监管手册，也有针对某一具体技术应用可能引发的风险而发布的特定监管建议。

1.监管主体

美国银行监管当局主要由美国联邦储备银行（FRB）、财政部货币监理署（OCC）、联邦存款保险公司（Federal Deposit Insurance Corporation，FDIC）、财政部储蓄机构管理局（Office of Thrift Supervision，OTS）、全国信用管理局（National Credit Union Administration，NCUA）等组成。为了保持对金融机构检查和管理的一致性，根据1978年《金融机构管理和利率控制法》 ，美国在1979年成立了由联邦储备理事会、联邦存款保险公司、货币监理署、全国信用管理局、储蓄机构管理局五大联邦监管机构组成的联邦金融机构检查委员会（FFIEC）。以便为金融机构的监管制定统一的原则、标准以及报告形式，协助维护、鉴别经营管理不善机构标准的一致性和涉及国家利益贷款的分类与相关机构分担的大额信用贷款分类的一致性。

2.监管形式

美国各银行监管机构对电子银行技术风险的监管主要采取指引（Guidance）、规则（Rule）、建议（Proposal、Advise）、手册（Handbook、Manual）、报告（Report）、警告（Warning）、公告（Bulletin）、信函、备忘录等非强制形式。美国各银行监管当局认为，电子银行有益于金融机构降低成本、改善服务创新，有助于为银行间产品和服务的资源共享提供渠道，不应过分干预其发展。因而对电子银行的监管采取了审慎宽松的政策。基本上是通过补充新的法律、法规，使原有的监管规则继续适用于电子银行环境。因而，在监管政策、监管措施、监管过程、执照申请、消费者保护等方面，电子银行与传统银行的要求十分相似。

3.通用监管手册

早在1994年，FFIEC就发表了系统而全面的有关信息技术风险的监管手册—— 《FFIEC Information Systems Examination Handbook，信息系统检查手册》。1996年根据计算机和网络技术的进步，特别是电子银行发展对技术风险监管提出的挑战，FFIEC对整个手册进行了修改，公布了1996年版信息系统检查手册。该手册提供了所有银行监管机构对银行各类信息系统（包括电子银行系统）进行现场检查的通用原则、监管的一般过程和方法，也是对各银行信息系统人员和检查人员进行培训的内容之一。整个手册包括两卷，四大部分。该手册同时被美国各银行监管机构如OCC、FDIC、OTC、FRB、NCUA等采纳，是联邦各银行监管机构对电子银行进行监管的共同指南。

2003年FFIEC将《信息系统检查手册》修改为新的检查手册—— 《IT检查手册》。《IT检查手册》将原《信息系统检查手册》中的内容，根据监管对象的特征分别发布了12个小册子（Booklet），从2003年1月到2004年8月陆续发表。每本小册子的内容包括三部分：风险说明、风险管理以及检查程序。

（1）《信息安全小册子》（Information Security Booklet）发表于2003年1月，信息安全小册子帮助金融机构和监管机构识别信息安全风险，指导金融机构如何保护信息系统和设备的安全，要求其安全计划应和系统运行的复杂程度相对应。

（2）《业务连续性计划小册子》（Business Continuity Planning Booklet）发表于2003年5月，业务连续性计划小册子要求金融机构和服务提供商必须保证诸如自然灾害、技术失败、人员失误等事件发生后，具有足够的风险管理程序以迅速恢复相应的信息系统运行和客户服务，使客户服务中断最小化。这本小册子主要为金融机构和服务商提供此类风险管理的指南，为监管者提供相应的监管程序。

（3）《技术服务提供商监管小册子》（Supervision of Technology Service Providers Booklet）发表于2003年5月，技术服务提供商小册子主要是对金融机构的技术服务提供商的监管和检查，内容包括风险监管原则的应用、监管程序以及风险评级系统。

（4）《电子银行小册子》（E-Banking Booklet），发表于2003年9月，电子银行小册子提供电子银行活动的风险识别和风险管理指南，以及检查人员对金融机构或技术服务提供商的风险管理质量进行检查的程序。

（5）《审计小册子》（Audit Booklet）发表于2003年9月，审计小册子为金融机构和技术服务提供商提供了以风险为基础的IT审计指南，以及监管机构对审计机构的检查程序。

（6）《电子资金转账小册子》（FedLine Booklet）发表于2003年9月，电子资金转账小册子为应用美联储的电子资金转账系统的金融机构提供了合理的风险控制指南及检查程序。

（7）《零售支付系统小册子》（Retail Payment Systems Booklet）发表于2004年3月，零售支付系统小册子为金融机构提供与零售支付系统相关的风险识别和风险管理指南，包括支票支付、电子卡支付、自动清算所等其他电子化支付方式。同时为监管者提供监管程序和指南。

（8）《开发和获取小册子》（Development and Acquisition Booklet）发表于2004年5月，开发和获取小册子为金融机构开发、收购以及维护系统项目，项目风险管理及其管理工具等提供了指南。强调应用标准化程序、详细的文档以及结构化项目管理工具。

（9）《管理小册子》（Management Booklet）发表于2004年7月，管理小册子为金融机构提供了适当的信息技术活动管理指南。

（10）《外包小册子》（Outsourcing Booklet）发表于2004年7月，外包小册子为金融机构提供信息技术外包管理指南（包括服务商的选择，合同制定以及外包关系的持续监管）以及监管者的监管程序和标准。该小册子还包括跨境外包的风险及其管理。

（11）《操作小册子》（Operations Booklet）发表于2004年8月，操作小册子为金融机构的技术操作提供了风险管理指南和检查程序。

（12）《批发支付系统小册子》（Wholesale Payment Systems Booklet）发表于2004年8月，批发支付系统小册子为金融机构提供了批发支付系统业务的风险识别和管理指南，包括行间支付和行内支付、证券清算系统等。此外，还包括监管者的检查程序。

4.监管过程

（1）美国对网络银行市场准入的监管。尽管如第二章所述，电子银行的主要方式和渠道包括网络银行、电话银行、POS系统、ATM系统、自助银行系统等，但由于Internet广泛应用于公共网络，因此，美国对电子银行的监管主要还是针对基于Internet的服务，即网络银行。^[2]因此，在美国，除了网络银行外，并没有专门针对电子银行的市场准入规则，下面的内容都是针对网络银行而言的。网络银行的市场准入有两层含义：一是网络银行业务的准入，即现有银行从事网络银行业务活动的市场准入;二是网络银行机构的市场准入，即设立网络银行机构的市场准入。

①网络银行业务的市场准入。OCC于2001年1月制定了《国民银行网络银行注册审批手册》 ，规定了国民银行设立网络银行的审批标准和审批程序。根据OCC的要求，申请人首先提交有关的申请材料，由一个专家小组进行审查，其中重点审查分支机构的安排、资本金数额及其扩充方案、流动性、盈利性、管理层能力、业务连续性计划以及危机解决方案等。在计划开业前两个星期进行一次“开业前全面检查” ，检查合格即允许正式开业。对网络银行业务的市场准入，OCC不要求银行将逐项业务报批，如果开办的业务是在OCC联邦监管条例上规定的范围之内，则不需要提前审批，若在其范围之外，则要求进行个案审批（Case by Case）。

②网络银行机构的准入。根据OCC 《国民银行网络银行注册审批手册》的规定，经济组织、个人投资者和银行都可以申请设立网络银行。网络银行的模式有三种：一是纯网络银行（即虚拟银行）;二是拟设立的机构以因特网为主（Predominantly over the Internet），同时也通过有限的分支机构或自助银行设施（如ATM等）开展业务;三是拟设立的机构仍通过传统分支网络经营，但大量交易类业务经由网络渠道开展。OCC将这三种模式都定义为网络银行。只要OCC认为拟成立的国民银行能够利用网络渠道安全稳健地经营，就会批准其成立。

网络银行机构设立的准入程序一般分为四个阶段：非正式的申请前准备阶段、正式审批阶段、组建阶段和开业阶段。

①非正式的申请前准备阶段。根据OCC的要求，申请人在提交有关申请材料之前应与审批人员取得联系。OCC会安排一个小组负责对网络银行市场准入进行审批。该小组一般由来自监管、法规、经济、政策等各部门的人员组成。申请人准备材料时，可以在OCC对外公布的网站上寻找有用的信息，包括具体的准入程序，以往的审批做法，有关法律解释等。通过阅读OCC披露的过往审批档案，申请人可以事先熟悉整个审批过程。当申请人准备好书面材料后，OCC审批人员会安排双方会谈，讨论内容涵盖拟设立的银行性质、董事会和管理层的组成、业务计划等。其中业务计划应包括业务经营连续性计划、信息系统的技术架构、对技术外包的管理、合法合规性问题，等等。必要时美国联邦存款保险公司（FDIC）也会派员参加与存款保险有关的讨论。

②正式审批阶段。在这一阶段，发起人上报正式申请材料，审批部门发给组建网络银行的初步许可。在审批设立网络银行时要考虑许多问题，特别是对于纯网络银行而言，对其分支机构安排、资本金数额及其补充方案、流动性、盈利性、管理层能力、业务连续性计划、应急方案等都是必不可少的审批内容。而且，由于网络银行涉及因特网，诸如安全、认证、保险、保密、风险提示、网络连接、跨境服务等一系列问题更是审批的重点。为了能得到客观公正的评价，OCC要求申请人随申请材料提供由独立第三方出具的可行性分析报告。

③组建阶段。前两个阶段通过后，OCC将发出有条件的初步许可，同意发起人的申请，但要求发起人在开业前满足一些条件。如提交最终确定的信息系统、操作流程以及相关控制计划;与控股公司签订的流动性支持协议;增加额外的资本金;开业的前三年保持一级资本占资产比例不低于8%等。

发起人满足要求后，OCC就会发放有条件的最终许可，这些条件包括：银行在开业的前三年内改变申请书中的业务经营计划必须事先报经OCC许可，同时抄送一份给FDIC。银行必须在与外包商签订的书面协议中规定OCC有检查外包商的权力。

审批的最后一步是计划开业之前两星期进行“开业前检查” ，了解银行识别、监测、控制风险的计划，并与银行董事会和管理层交换意见。之后，网络银行便可开业。

④开业阶段。许多网络银行在收到OCC和FDIC的批准书后都会在2～4周内选择“内部预开业（Soft Open）”方式——既不先进行市场推广，也不向公众公开网站，而是让内部人开设少量账户，目的是带资金测试系统的稳定性和安全程度。通过少量交易，可以检测与信息服务提供商、电子支票支付提供商、ATM交换中心、美联储清算系统的连接情况。发现问题后，在征得OCC 和FDIC同意的前提下，银行可以离线一段时间进行整改。这种“内部预开业”的做法有利于网络银行在对公众推出前发现并解决问题。当管理层满怀信心，认为一切准备就绪时，网络银行就可以向公众宣布网址了。

（2）美国对电子银行技术风险的现场检查。美国各银行监管机构，已基本将银行技术风险监管纳入到其对银行的常规现场检查之中，检查的程序和标准仍然适用于传统银行的现场检查框架。但考虑到电子银行对技术和安全的特殊性要求，美国各银行监管当局也根据电子银行的特点对检查内容和程序做出了重点要求。主要体现在日常监管在遵循信息系统检查手册基本规定的同时，还根据银行信息化的发展与各种银行创新产品的技术特点，不断推出新的针对各种服务渠道的技术监管要求。特别是全球第一家网络银行安全第一网络银行（SFNB）于1995年10月在美国诞生以来，电子银行在全球范围内迅速发展。美国各银行监管机构，先后针对家庭银行、企业银行、ATM、POS、电话银行、网络银行等电子银行的出现，发表了一系列监管手册、法律法规，并根据信息技术在银行应用的普及状况，不断颁布更新版本，以防范由于信息技术应用而产生的新的银行技术风险。

关于电子银行技术风险监管最主要的法规和制度是FFIEC于2003年1月到2004年8月之间发布的《IT检查手册》（包括12个小册子）、FDIC在1998 年6月颁布的《电子银行安全性与可靠性审查程序》和OCC于1999年10月发布的《OCC电子银行检查手册》。除此以外，还有OCC于1998年2月发布的《技术风险监管》公告。

①现场检查的过程。FFIEC在2003年8月颁布的《IT检查手册——电子银行小册子》中，将电子银行的现场检查分为七个检查目标和五个检查过程（包括确定检查范围、董事会和管理层的监管、信息安全处理、法律及其遵从、检查总结）。一是确定检查范围（也叫一般程序）;二是评估董事会和管理层的监督;三是评估信息安全程序;四是评估对法律的遵从情况;五是做出检查结论。

②现场检查的一般程序——确定检查范围。

目标1：确定与金融机构的业务复杂性和性质相一致的电子银行检查范围。其程序包括如下10个步骤：

第一，审查前期的检查报告、监管策略、后续活动，对以前检查的研究文章、交流信函等文档，以识别以前记录的电子银行范围的相关风险问题。

第二，确定金融机构提供和支持的电子银行产品和服务，或提供的自动链接（如零售、批发、投资、电子商务支持等）。

第三，根据交易量、客户基础、收入和技术复杂性评估这些产品和服务的复杂性。

第四，确定第三方服务提供商提供的处理或可支持服务的性质和范围。

第五，与管理层讨论，或通过审查MIS或其他监督报告确定金融机构最近发生的以下问题的经验和趋势：入侵（包括试图入侵和成功入侵）、由客户报告的欺诈交易、解决客户投诉的数量和平均时间、服务中断的间隔和持续时间。

第六，审查由审计人员和专家出具的报告、管理层的响应和问题跟踪系统，以确定后续检查的可能问题。包括：审查服务提供商的内部和外部审计报告及标准财务报告70（SAS 70）、来自内部或外部顾问的安全性评审报告、来自GLBA的安全和控制测试及给董事会的年度GLBA报告。

第七，审查网络图，以确定电子银行的主要部分的分布。将系统主要组成部分的位置及其负责开发、运行和支持的每个实体予以记录。

第八，检查金融机构的电子银行网站，获得对电子银行活动的范围和站点的组织、结构和有效性的一般了解。

第九，与管理层讨论以下内容的变化情况：提供的产品和服务;营销和定价策略;网络结构;风险管理过程（包括监测技术）;入侵响应或业务连续性计划策略、过程、人员或控制;服务提供商或技术提供商;独立检查，或分别检查或全部实施检查的范围。

第十，在完成以上检查步骤的基础上，与监管人员讨论决定本次电子银行的检查范围。在认为有更彻底（深入）的检查必要时，检查员应该选择IT检查手册中其他小册子的检查过程（如《信息安全小册子》、《零售支付系统小册子》等）。对于更复杂的电子银行环境，检查员也许需要将IT检查范围与业务范围进行综合考虑。在这种情况下，检查员应该咨询其他方面的专家，并考虑包括其他检查机构的扩展过程。

（3）董事会和管理层的监督

目标2：确定董事会和管理层对电子银行活动在战略、计划、管理报告和审计方面的充分性。包括以下5个步骤：

第一，评估金融机构电子银行产品和服务的短期和中长期战略。在评估被检查机构的规划过程时，应该考虑电子银行服务的范围和类型是否与银行的战略目标、业务规划和风险承受能力相一致;银行的管理信息系统是否足以反映建立在明确定义的组织目标基础上的电子银行战略是否成功;管理层具有足够的对行业标准的理解力，以确保电子银行与遗产（以前）系统的兼容性;管理层对安全风险、威胁和脆弱性的评估是否真实，并与银行机构的风险组合相一致;管理层是否具有足够的有关电子银行的联邦和州法律及规章;是否对银行已有的电子银行过程定期进行评估。

第二，确定电子银行的指引和风险因素是否已经体现到银行的经营战略中，并与金融机构的规模和电子银行活动的性质与范围相适应。考虑金融机构的政策和实践是否：在金融机构识别、度量、监测和控制风险的过程和责任中包括电子银行观点;以产品或服务类型、客户限制（本地/国内/国外），或地域贷款边界定义的电子银行风险;包括市场营销、信息披露和BSA/OFAC问题的电子银行法规遵从问题责任的逐日落实;对电子商务支付的维护策略和过程;建立电子商务支持服务策略;在金融机构的隐私政策中考虑电子银行;要求董事会定期检查和批准更新与电子银行相关的政策和过程。

第三，评估董事会和管理层的监督水平，以保证对电子银行产品和服务固有的风险有充足和健全的计划与监测。

第四，评价监测电子银行活动风险的管理信息系统报告的充足性。

第五，确定审计所覆盖的电子银行活动的服务类型及风险水平是否适当。考虑对电子银行的审计周期、与电子银行活动复杂性相关的审计技能的充足性以及外部审计的功能范围。审计的范围包括测试/验证安全控制、认证技术、访问级别等;评审安全监控过程，包括网络风险分析和脆弱性评估;检查业务控制，包括职责的平衡与分离，验证关键的管理信息系统和风险管理报告的准确性。

目标3：确定金融机构对外包技术服务风险管理的质量。包括以下3个步骤：

第一，评估管理层在选择服务提供商之前各种准备活动的充足性。

第二，确定金融机构是否已经对服务提供商合同进行审查，以确保各方的责任得到适当的确认。

第三，评估对服务提供商持续监督的充足性。

（4）信息安全处理

目标4：确定金融机构的信息安全计划是否完全包括了电子银行风险。包括以下8个步骤：

第一，确定金融机构GLBA指引要求的关于客户信息安全的书面计划是否包括了电子银行产品和服务。

第二，与管理层讨论金融机构电子银行环境。以这个讨论为基础，评估检查范围是否应该扩展到选择信息技术检查手册的《信息安全小册子》中的第二程序。

第三，确定安全策略是否包括对系统和业务的监测，以及是否适当考虑识别和纠正与安全策略不一致的例外情况。

第四，确定金融机构对与系统或业务的敏感性信息相关的多因素认证方法和需要的充足性。

第五，确定如果金融机构使用密码对客户进行认证，密码的管理是否充足。

第六，评估雇员访问控制的有效性。

第七，评估事故响应计划的有效性。

第八，评估信息安全计划是否包括与电子银行活动的复杂性和类型相适应的独立安全测试。

目标5：确定金融机构是否已经实施了适当的管理控制，以保证支持电子银行服务处理的可用性和完整性。包括以下5个步骤：

第一，确定雇员的授权级别与分配给他们职责的访问权限是否相当。

第二，确定是否对电子银行应用过程进行了有效的控制。

第三，确定确认交易来源的电子银行活动的审计跟踪是否充足。

第四，评估电子银行设备、媒介和通信线路的物理安全性。

第五，确定业务连续性计划是否适应电子银行产品和服务。

（5）法律及遵从问题

目标6：评估金融机构对电子银行活动相关法律的理解、管理及遵从问题。包括以下7个步骤：

第一，确定金融机构怎样获得与电子银行相关法律和规章制度的进展，从而确保电子银行活动遵从适当的消费者法规。应该考虑：跟踪可能影响金融机构电子银行活动现有诉讼和规章的过程;指派人员负责跟踪电子银行立法和规章的要求或变化;在金融机构法规管理计划中电子银行活动和网站所包括的内容。

第二，如果给存款提供保险，检查网站内容中是否包括了联邦存款保险公司的标志。

第三，检查包括下面考虑避免客户混淆和与客户沟通信息的网站内容：披露法人身份和用商标表示的总部及分支机构位置;披露充分的管制信息，如机构主要管理者的身份及怎样与管理者进行联系或投诉的信息;不适用于FDIC/NCUA保险的与实际产品供应商、特定的投资和保险产品提供商相关的潜在风险的明显提示;安全政策和客户使用责任披露（包括安全披露和网络银行协议）;票据支付或现金管理用户的在线资金传输协议;隐私政策——鼓励但不强求金融机构在其网站上披露其隐私政策，包括：在网站上以必须遵守的隐私规章的方式“明显”披露隐私政策和怎样共享信息的选择权（如果金融机构与第三方共享信息）。

第四，如果金融机构以电子方式向消费者披露要求以书面形式披露的信息，则检查金融机构遵从《电子签名法》（E-Sign Act）的情况。

第五，确定电子银行支持服务是否方便。包括通过帮助桌面对客户的有效支持和验证与维护电子签名的适当过程。

第六，确定金融机构是否已经考虑电子银行活动的各种法律和规章对其电子银行的适用性。包括：银行保密法要求的与电子银行相关的洗钱活动;非正常或非授权的电子银行活动或计算机安全入侵要求的可疑活动报告;联机申请审查和外国资产控制办公室禁止的法人和国家的审查;与《银行保密法》要求一致的对新电子银行用户识别技术的验证。

第七，如果在检查中找出金融机构在遵守法律方面有弱点和问题，可考虑将检查范围扩展而进行更为详细的遵从法律的检查。

（6）检查总结

目标7：得出检查结论、沟通结果、对违反行为的初步纠正行动和其他检查结论。包括以下8个步骤：

第一，评估检查结果对金融机构的CAMELS和URSIT的潜在影响。

第二，识别金融机构风险管理过程中的薄弱环节，以降低电子银行活动风险水平。可考虑交易/操作风险、信用风险、流动性风险、市场风险、法律风险、声誉风险等。

第三，准备总结备忘录，细化电子银行检查结果。包括：指出的不足，建议的关于策略、过程、实践或其他关注事项的整改行动;适当的和应坚持的战略和业务计划;安全控制和风险管理的充分性;对法规的遵守程度;内部控制的充分性;审计的范围和安全测试独立性的充分程度;其他重要事项;将来检查范围的建议。

第四，与主检查官讨论检查结果和结论。准备起草包括检查结论的报告草稿。报告应该指出：重要的控制弱点或风险（注意不足的根本原因、不采取行动的后果或采取行动的好处、管理层的纠正做法、纠正的时间框架以及负责纠正行动的人员）;与安全和合理原则的偏离（如果不提出可能会导致财务或业务的恶化）;违反的法律或法规。

第五，配合主检查官，与金融机构管理层讨论评级和风险检查结论。如果有必要，要求其承诺更正。

第六，修改电子银行评价草稿，以反映与管理层的讨论意见，并确定最终的检查报告。

第七，根据检查机构的要求或指示，写出书面评价，特别要说明检查人员将来应该怎样有效地监管该机构的电子银行业务。包括监管目标、时间框架、人员和工作量等。

第八，更新被检查机构的信息系统和适当的检查计划报告或表格。

（7）美国对电子银行技术风险的非现场监管要求。美国银行监管当局并未强制要求银行对其电子银行提交专门报表，有关业务数据也没有专门开辟统计渠道。因此，对电子银行的非现场监管是与传统业务混在一起的。但考虑到电子银行技术风险问题对银行体系稳定的重要性，根据美国《银行保密法》的要求，OCC规定了银行对重大事项（可疑行为）的报告制度，并设计了统一的报告格式，要求提供电子银行服务的商业银行在发现可疑行为或安全事故时及时向监管当局报告。例如，内部人员作案时，不分金额大小必须填报可疑活动报告（Suspicious Activity Report，SAR）;当怀疑损失或洗钱超过5000美元时必须及时报告;发现计算机系统遭受入侵后须于30日内报告等。