对电子银行安全与风险防范的思考
电子银行操作风险与防范
一、内部控制风险
风险点1。操作人员岗位配备没有落实到位。
主要表现:一是网银内管系统录入员、审核员与实际操作人员不符,岗位变动后没有及时更新系统操作员信息,仍使用原岗位人员用户名;二是营业网点人员变动未及时办理交接登记手续
风险提示。没有按照岗位设臵要求配备操作人员,或操作人员配备流于形式,导致内部制约环节难以落实到位,存在着内部管理风险隐患。
防控措施:
1.各级会计管理部门应设臵会计录入岗、会计审核岗,负责业务参数设臵、机构管理、柜员管理等工作;
2.各级电子银行业务管理部门应设臵业务管理岗、业务审核岗,负责留言管理、公告管理、业务统计等工作;
3.各营业网点应设臵业务录入岗、业务审核岗,负责签约、数字证书管理等业务操作。(企业网银)
风险点2。非客户本人签约电子银行业务。
风险提示:如果网点柜员对客户(个人和企业)身份审核和验证不严格,一旦有不法分子恶意使用他人身份证件(或企业资料)签约电子银行业务,掌握客户银行账户账号和密码,就有可
1能发生盗取客户资金案件。
严格把好客户签约注册关防控措施:
1.签约个人网银、手机银行、网上支付、电话银行、短信通,需遵循“本人办理、本人签字、本人签收”原则,由客户本人携带银行卡及有效身份证件到柜面签约。柜员在办理签约业务时,须核实开户人本人及所持身份证件与公民身份联网核查系统中公安部门原录入身份证照片是否一致,验证身份证件是否真实有效,以确保客户本人签约。
2.签约企业网银,应重点审核客户提交的营业执照副本等证件是否真实有效;通过公民身份联网核查系统验证法定代表人、授权代理人的身份证件是否真实有效,对有疑点的客户及时电话联系企业负责人,核实经办人员身份;通过折角验印等方式核对客户预留印鉴,确保各项资料审核无误。
风险点3。代客户保管usbkey、手机银行贴膜芯片、动态令牌等。
风险提示。如果员工持有客户usbkey、手机银行贴膜芯片、动态令牌等,存在员工违规划拨客户资金的风险。
按重要空白凭证的要求规范化管理防控措施:
1.加强usbkey、手机银行贴膜芯片、动态令牌等重要空白
2凭证的管理,规范其领用、出库、入库、调拨和日常使用管理。每日营业终了,营业网点要按照会计部门关于重要空白凭证管理的要求进行账实核对。
2.严格落实内部控制制约机制,要求员工及时将usbkey、贴膜芯片、动态令牌等发放到客户手中,禁止代客户保管。
风险点4。客户资料审核环节把关不严。
风险提示。如果柜员办理签约、变更、注销等业务时,没有认真审核客户资料的完整性和真实性,一旦发生经济纠纷和案件,就无法对相应操作免责,将会给农村信用社带来法律风险。
严格按照操作规程办理防控措施:
1.柜员应认真审核客户提供资料的完整性、授权委托书的规范性(使用财务会计部确定的格式凭证),以及填写的各项要素是否完整、各类签章是否齐全,。
2.在办理个人网银业务时,应核对客户提供的账户信息与系统登记的客户身份信息是否相符,银行卡状态是否正常。
3.在办理企业网银业务时,应审核客户提供的单位活期存款账户是否符合签约企业网银的条件,核对客户提供的企业相关信息与核心业务系统登记信息是否相符。
4.办理企业网银签约业务要坚持双人操作,严格执行业务审核制度,避免擅自为企业客户开通网银的行为,以免造成客户资
3金风险。
风险点5。开通网上银行、手机银行(wap)没有按照操作规程要求进行操作。
风险提示。没有按照流程操作,浪费操作时间,影响其他客户办理业务,甚至导致客户不满或投诉。
主要表现。先出售usbkey或动态令牌,导致已签约客户无法进行签约,这时必须对出售的usbkey或动态令牌进行冲正,并将工本费返还给客户。
规范操作可以有效避免此类问题的发生
防控措施。客户申请开通网上银行或手机银行(wap)时,柜员须按照“先签约,后出售usbkey或动态令牌,最后绑定客户数字证书或动态令牌”的流程办理,严禁在未签约状态下出售usbkey或动态令牌给客户。
风险点6:没有在客户签约电子银行时进行必要的安全提示。风险提示:在办理开通电子银行业务时,应重点提醒客户防范欺诈风险,防止在不知情的情况下,被犯罪分子欺骗签约电子银行,进而造成客户资金损失。
主动提示尽职免责
防控措施。对主动要求签约电子银行的客户,柜员首先询问客户开通电子银行的用途,判断客户是否有被诈骗的可能。对有
4被诈骗嫌疑且经提醒,客户仍执意办理电子银行业务的,柜员应向客户进行风险提示,履行风险告知义务,提醒客户切勿按照陌生人提示签约电子银行或通过电子银行办理相关业务,对接收到的陌生邮件及短信提高警惕,不要轻易相信各种套取客户资料的信息,以防上当受骗。
风险点7。客户安全操作提示不到位。
风险提示。如果客户操作提示不到位,不仅影响客户正常使用,而且有可能给客户带来经济损失。
防控措施:
1.提示客户通过正确网址登陆,防范各种欺诈。应提示客户直接登录山东省联社官方网址(www.xiexiebang.com或www.xiexiebang.com)或手机银行(wap)网址(https://wap.sdrcu.com),切勿通过其他网站链接方式登录。
2.提示客户在登录网银或手机银行(wap)系统后,及时核对自己设定的“预留信息”,切实防范“钓鱼网站”等欺诈。
3.提示客户设臵安全性较高的密码,不要采用生日、电话号码、身份证号码中的连续几位以及简单规则排列的数字等作为网银或手机银行(wap)的登录密码。
4.提示客户修改usbkey初始密码,具备条件的营业网点应由大堂经理指导客户完成初始密码修改工作。
5.提醒客户妥善保管身份证件、银行卡、usbkey及动态令
5牌等重要物品;勿将账户信息、证件号码及密码信息等透漏、告知包括自称银行工作人员在内的任何人。
6.提醒客户不要在网吧等公共场所使用网上银行。
7.提醒客户使用usbkey完成业务操作后,退出网银系统并拔下usbkey,不要在本人离开的情况下,长时间将usbkey插在计算机上。
风险点8。新签约电子银行客户,没有引导其通过网银体验机进行首次使用操作。
风险提示。客户没有对我们的电子银行首次登录或初始密码修改等进行操作,加大了客户操作失败的次数,客户体验较差。
防控措施:
1.营业网点要明确网银体验机的日常维护和管理职责,定期对网银体验机进行巡检,确保机具正常使用。
2.安装指定的杀毒软件,防止使用人员非法安装木马程序,采取技术措施限制客户只能登陆网银系统相关页面,并定期进行系统升级。
3.营业网点要安排相关人员通过网银体验机,教会客户首次登录网银进行相关密码变更、使用网银、安全退出等操作,有效防范资金风险。
风险点9。营业网点在客户提供的电子回单上加盖印章。
6风险提示。客户提供的电子回单,不符合操作规范,不作为客户的入账依据。
防控措施。按照相关操作规程要求,通过网银或手机银行内管系统查询出客户交易信息后,为其打印客户回单并加盖业务公章。
风险点10。企业年服务费扣缴,没有按照企业操作员领用的usbkey分别扣缴。
风险提示。企业客户到柜台主动缴纳年服务费时,柜员没有对该企业全部操作员领用的usbkey分别扣缴年服务费,导致其中一个操作员不能操作,或者其中一个usbkey扣缴了两年的年服务费,容易造成纠纷。
防控措施。按照相关操作规程要求,对于存在一个以上操作员的企业用户要分别扣缴每个usbkey的年服务费。
风险点11。网银注销时没有按照操作流程直接做注销操作,而是先对usbkey解绑后再进行网银解约。
风险提示。网银解约流程不符合操作规范,导致客户数字证书没有进行吊销,存在一定的风险隐患。
严格按照操作规程办理防控措施:
1.按照电子银行注销操作流程规范操作。
72.做好对电子银行客户注销时提供资料的审核。
3.客户电子银行注销后,提示客户及时销毁usbkey或动态令牌。
二、客户操作风险
风险点12:客户电子银行业务自助注册风险
风险提示。网银、手机银行、电话银行等电子银行业务有其便利性,同时也伴随着风险性,客户自助注册电子支付前要具备一定的电子支付和计算机操作技能,具备一定的风险防范意识,并主动实施。
防控措施:
1.认真阅读电子银行签约协议和风险提示,对于不明链接或短信提示要提高警惕;
2.对于人行“超级网银”业务中“跨行收款”、“跨行账户信息查询”和“第三方贷记”业务功能,不要轻易授权他人使用。
3.网上有风险,操作需谨慎。
风险点13。客户账号及密码资料被盗。
风险提示。客户将存款账户账号、密码存入电脑,有可能被木马病毒侵害,泄露账号及密码。
此处内容需要权限查看
会员免费查看3.对交易确属可疑的,要及时向省联社报告,并详细说明事件情况,主要包括:客户姓名、账号、事件经过、是否报案、采
16取的措施等内容。
4.安全事件较为严重或有继续发展趋势的,需向公安机关报案的,要及时向公安机关报案并提供线索,配合公安部门侦破案件。