巴塞尔银行董事会和管理层监督.docx
《巴塞尔银行董事会和管理层监督.docx》由会员分享,可在线阅读,更多相关《巴塞尔银行董事会和管理层监督.docx(14页珍藏版)》请在冰豆网上搜索。
巴塞尔银行董事会和管理层监督
c:
\iknow\docshare\data\cur_work\.....\
⏹更多资料请访问.(.....)
c:
\iknow\docshare\data\cur_work\.....\
更多企业学院:
...../Shop/
《中小企业管理全能版》
183套讲座+89700份资料
...../Shop/40.shtml
《总经理、高层管理》
49套讲座+16388份资料
...../Shop/38.shtml
《中层管理学院》
46套讲座+6020份资料
...../Shop/39.shtml
《国学智慧、易经》
46套讲座
...../Shop/41.shtml
《人力资源学院》
56套讲座+27123份资料
...../Shop/44.shtml
《各阶段员工培训学院》
77套讲座+324份资料
...../Shop/49.shtml
《员工管理企业学院》
67套讲座+8720份资料
...../Shop/42.shtml
《工厂生产管理学院》
52套讲座+13920份资料
...../Shop/43.shtml
《财务管理学院》
53套讲座+17945份资料
...../Shop/45.shtml
《销售经理学院》
56套讲座+14350份资料
...../Shop/46.shtml
《销售人员培训学院》
72套讲座+4879份资料
...../Shop/47.shtml
⏹更多资料请访问.(.....)
更多企业学院:
...../Shop/
《中小企业管理全能版》
183套讲座+89700份资料
...../Shop/40.shtml
《总经理、高层管理》
49套讲座+16388份资料
...../Shop/38.shtml
《中层管理学院》
46套讲座+6020份资料
...../Shop/39.shtml
《国学智慧、易经》
46套讲座
...../Shop/41.shtml
《人力资源学院》
56套讲座+27123份资料
...../Shop/44.shtml
《各阶段员工培训学院》
77套讲座+324份资料
...../Shop/49.shtml
《员工管理企业学院》
67套讲座+8720份资料
...../Shop/42.shtml
《工厂生产管理学院》
52套讲座+13920份资料
...../Shop/43.shtml
《财务管理学院》
53套讲座+17945份资料
...../Shop/45.shtml
《销售经理学院》
56套讲座+14350份资料
...../Shop/46.shtml
《销售人员培训学院》
72套讲座+4879份资料
...../Shop/47.shtml
巴塞尔银行监管委员会2003年7月
董事会和管理层监督
董事会和高级管理层负责制定银行的业务战略。
在开始提供电子银行交易服务之前,应该对是否希望银行提供此类服务作出明确的战略决策。
特别要提出,董事会应该确保电子银行计划与公司战略目标明确地结合起来,并对拟开展的电子银行业务进行风险分析,对已识别的风险建立适当的风险缓释和监控程序,以及按照银行的业务计划和目标,不断检查评估电子银行业务的成果。
此外,董事会和高级管理层还应该适当考虑和解决银行在电子银行业务战略中的操作和安全风险问题。
通过互联网提供金融服务,可以大大改变甚至增加传统银行业务风险(例如:
战略风险、声誉风险、操作风险、信用风险和流动性风险),因此,银行应该采取一些措施,确保现行的风险管理程序、安全控制程序、对业务外包的尽职调查和监督程序能够针对电子银行服务的发展作出适当评估和相应修改。
原则1:
董事会和高级管理层应该对与电子银行业务有关的风险进行有效的管理监督,包括建立具体的责任制度、策略和控制措施来管理这些风险。
管理层的高度监督对完善电子银行业务的内部控制是非常重要的。
除了互联网传送渠道的具体特征,电子银行的以下方面也可能对传统的风险管理程序造成相当大的挑战:
·银行不能直接控制传送渠道(互联网和相关技术)的主要方面。
·互联网促进了银行跨境提供服务,而其中有些银行服务并不是由在当地开设的实体分支机构来提供。
·电子银行业务比较复杂,包含一些较高难度的技术术语和概念,在很多情况下,董事会和高级管理层缺乏有关经验。
考虑到电子银行的独特特征,对银行的风险状况和战略有重大影响的新的电子银行项目,董事会和高级管理层应该予以检查,并做适当的战略和成本/回报分析。
如果不进行足够的前期战略审查和连续的计划评估,银行就可能低估成本,高估电子银行业务的回报。
此外,董事会和高级管理层应该在开展新的电子银行业务或采用新技术以前,确认银行拥有必要的专业知识来进行有效的风险管理监督。
管理层和员工的专业知识应该足以应付电子银行业务的技术特征和复杂性以及相应技术。
不管银行的电子银行系统和服务是由自己管理还是外包给第三方,银行自己必须拥有足够的专业知识。
高级管理层应该进行动态的监督,以便有效地干预和纠正任何可能发生的重大电子银行系统问题或安全事故。
由于电子银行业务的声誉风险日益增加,银行有必要密切监控系统的可操作性和客户的满意程度,此外,还需要建立向董事会和高级管理层适当报告突发事件的机制。
最后,银行对电子银行业务的风险管理程序,应该与银行的全面风险管理相统一。
董事会和高级管理层应该对银行的现行风险管理政策和程序进行评估,以确保这些政策和程序的完善性,使其可以解决当前或计划之中的电子银行业务带来的新风险。
在风险管理监督方面,董事会和高级管理层还应该承担以下工作:
·明确银行在电子银行业务方面的风险偏好。
·建立关键的授权和报告机制,包括对影响银行安全、稳健或声誉的各种突发事件,建立必要的逐级上报程序。
·要处理好一切与电子银行产品和服务的安全性、完整性和可用性相关的独特风险因素。
对于那些承包关键系统或业务的第三方,也应该要求其采取相似的措施。
·在银行进行跨境电子银行业务之前,须确保进行了适当的尽职调查和风险分析。
互联网极大地提升了银行提供产品和服务的能力,使其可以在事实上不受包括过境在内的地理区域的限制(包括跨越国境)。
此类跨境电子银行业务,特别是银行在"东道国"没有设立实体分行的情况下,可能给银行带来新的法律风险、监管风险和国家风险,原因是在银行发照、监管和客户保护方面,各国规定可能存在很大差异。
因为需要避免不意违反国外的各种法律或条例,以及对有关的国家风险因素进行管理,所有打算开展跨境电子银行业务的银行,事先应该充分研究这些风险,并且有效管理这些风险。
各银行的风险管理方案的范围和结构应根据其电子银行业务范围和复杂程度的不同而不尽相同。
管理电子银行服务所需要的资源应该足以适应交易的功能性和系统的重要性、以及适应网络的弱点和传递信息的敏感度。
原则2:
董事会和高级管理层应该检查和审批银行安全控制程序的主要方面。
董事会和高级管理层应该检查安全控制基础设施的开发和持续维护中与保护电子银行系统和数据免受内部和外部威胁相关的部分。
这些基础设施包括建立适当的授权等级制度,逻辑和物理进入控制,以及足以维持适当的内部和外部用户活动的基础设施安全措施。
保护银行资产是董事会的受托责任之一,也是高级管理层的一项基本职责。
但是,在电子银行迅速发展的环境中,保护银行资产是一项艰巨的任务,因为通过公用互联网开展业务和使用新技术时,安全风险问题会变得非常复杂。
为了确保对电子银行业务进行适当的安全控制,董事会和高级管理层需要确定银行是否拥有包括策略和步骤在内的全面的安全程序,以处理可能的内部和外部安全威胁,及对突发事件进行防范和作出回应。
有效的电子银行安全程序的主要内容包括:
·明确管理层/员工在检查公司安全政策的制订和维护方面的责任。
·充足的物理控制以防止非授权的物理进入计算机环境。
·充足的逻辑控制和监控程序,以防止非授权的内部和外部用户进入电子银行的应用系统和数据库。
·安全措施和控制措施的定期检查和测试,包括对当前业界安全发展情况持续跟踪,软件的适当升级,以及服务打包和其他必要的措施的采用。
原则3:
董事会和高级管理层应该建立全面和持续的尽职调查制度和监管程序,来管理银行在电子银行业务方面的业务外包和其他对第三方的依赖。
由于银行日益依赖合伙方和第三方提供服务来履行关键的电子银行职能,银行管理层的直接控制能力有所下降了。
因此,为了管理业务外包和其他对第三方的依赖所带来的风险,银行必须制定全面的管理程序。
此程序应该涵盖合伙人和服务供应商的第三方的业务,其中包括可能对银行产生重大影响的外包业务的分包合同。
在过去,业务外包往往局限于某一家服务供应商,内容也仅局限于某项具体职能。
但是,近几年来,银行的业务外包不仅规模在扩大,而且复杂程度也提高了,其直接原因在于信息技术的进步和电子银行业务的出现。
使问题变得更为复杂的是,电子银行服务的业务外包还可能被分包给其他服务供应商或在国外进行。
而且,由于电子银行业务和服务在技术上日益先进,在战略上日渐重要,某些电子银行职能领域越来越集中依赖于少数几家专业的第三方公司和服务供应商。
这些情况可能导致风险日益集中,因此需要引起每家银行以及整个银行业的注意。
总之,以上这些因素突出了对业务外包和其他对外部的依赖进行全面和持续评估的重要性,其中包括对可能影响银行的风险状况和风险管理能力的部分进行评估。
董事会和高级管理层监控业务外包和对第三方的依赖,应该特别注意确保:
·充分了解对其电子银行系统或业务进行业务外包或签订合伙协议会带来哪些风险。
·在签订任何电子银行服务合同之前,必须对第三方服务供应商或合伙人的业务能力和财务状况进行适当的尽职调查。
·在业务外包或合伙关系中,所有合同各方的责任必须非常明确。
例如,应该明确规定向服务供应商提供信息的责任和向服务供应商收集信息的责任。
·银行所有业务外包的电子银行系统和业务应该符合银行自己制定的风险管理、安全和隐私权保护政策的标准。
·对业务外包进行定期独立的内部和/或外部审计,审计的范围至少要等于该业务由本行自己处理的情况下的范围。
·制订电子银行业务外包的适当应急计划。
安全控制
虽然董事会有责任确保制定适宜的电子银行安全控制程序,但是这些程序的内容还需要引起管理层的特别注意,因为电子银行业务造成的安全问题的难度在日益增大。
下列问题尤其显著:
身份认证、不可否认性、数据和交易的完整性、职责的分解、授权控制、审计跟踪的维持、对关键银行信息的保密。
原则4:
对于与银行通过互联网发生业务往来的客户,银行应该采取适当的措施,对其身份和授权情况进行认证。
银行必须能够确认某一特定通讯、交易或进入请求是否合法,相应地,银行应该使用可靠的方法来审核新客户的身份和授权情况,同时也要审核寻求开展电子交易的老客户的身份和授权情况。
在账户开立时对客户身份进行审核可以减少诸如盗用身份、欺诈账户和洗钱等方面的风险。
如果银行不能对客户的身份作适当认证,就可能导致XX的人员进入电子银行账户,出现欺诈、秘密信息泄露或无意卷入犯罪活动,并且最终给银行造成经济损失和声誉损害。
在一个完全开放的电子网络环境中,确认和认证进入银行系统的人员的身份和授权情况,可能是一项非常艰巨的任务。
网络黑客可能通过许多技术盗用合法用户的授权,还可以通过使用"嗅探器",来占用合法授权人员的线路,进行有害或犯罪性质的业务。
此外,黑客可以通过修改身份认证数据库绕过认证控制程序。
因此,银行必须拥有正式的政策和程序,使用各种适当的方法,确保银行能够正确地对个人、代理人或系统的身份和授权情况进行认证,使用的方法既要独特又要尽量切实可行,并且能够阻止非授权的个人和系统的进入。
银行可以用来进行认证的方法有很多种,其中包括个人身份号码、密码、智能卡、生物测量技术和数字证书。
这些方法可以单独使用或合并使用。
一般来说,多种认证方法同时使用会更安全。
银行管理层必须对整个电子银行系统或其某些组成部分所带来的风险进行评估分析,在此基础上决定采用何种身份认证方法。
风险分析应该包括评估电子银行系统(如资金转移、账单支付、贷款发放、账户汇总等)的交易能力、所储存的电子银行数据的敏感度和价值以及客户使用认证方法的难易程度。
在跨境电子银行业务中,完善的客户认证和授权程序非常重要。
因为在与国外客户进行电子交易时,可能会出现许多其他方面的难题,包括身份模仿的风险,对潜在客户的资信状况进行有效审查的难度则更大。
在认证方法的不断发展的同时,应该鼓励银行跟踪和采用该领域中的业界稳健做法,以确保:
·审查进入电子银行顾客账户或敏感系统的身份认证数据库不被篡改和毁损。
任何篡改都可以被及时发现,并且对这些篡改企图进行审计跟踪。
·对个人、代理或系统的身份认证数据库所进行的增加、删除或修改都需要事先经认证资源适当授权。
·应该采取适当措施,控制电子银行系统连接,例如,防止未知的第三方取代已有的客户。
·在整个通讯期间,经过认证的电子银行通讯线路一直保持安全状态。
如果因安全原因而中断通讯线路,再次进入时应该要求重新认证。
原则5:
银行应该使用促进交易不可否认性和明确电子银行交易责任的认证方法。
不可否认性包含产生原始凭证或传送电子信息以保护传送人免受数据接收人的虚假否认,或者保护接收人免受数据传送人的虚假否认。
在诸如信用卡或证券交易等传统交易中,否认交易的风险已经比较严重。
电子银行业务中的此项风险变得更加突出,因为电子银行业务中对交易各方的身份和授权情况进行有效认证的难度大,并且存在可能出现修改或劫持电子交易的潜在可能,另外电子银行用户还可能宣称有关交易被欺诈性地修改过。
为了解决这些突出问题,银行需要按照电子银行交易的重要性和类型作出合理的努力,以确保:
·电子银行系统在设计时,尽量减少授权用户进行意外交易的可能性,也不应要求客户完全了解他们所进行的交易的相关风险。
·所有交易各方都经过有效认证,并维持对认证渠道的控制。
·财务交易数据不能被随便修改,并且任何修改可以被发现。
银行已经开始使用各种技术来帮助建立不可否认性机制,以确保电子银行交易的保密性和完整性。
这些技术包括使用公钥加密体系的数字证书。
银行可以向客户或交易对象发放数字证书,以保证其独特的身份识别和认证,减少交易否认的风险。
虽然有些国家的客户有权按照特定法律条款否认某些交易,但是有些国家已经进行立法,认可数字签字的法律效力。
随着相关技术的不断发展,越来越多的国家可能在法律上认可数字签字技术。
原则6:
在电子银行系统、数据库和应用程序中银行应该采取适当的措施,以保证有效地分解职责。
内部控制的基本措施之一就是职责分解,这样做可以减少操作程序和系统中的欺诈风险,确保有关交易和银行资产得到正当授权、记录和保护。
职责分解可以确保数据的准确性和完整性,也可以用于防止个人欺诈行为。
如果对职责已经做了充分的分解,那么欺诈只有通过共谋才能实现。
因为通过电子系统进行交易时,交易对象的身份很容易被掩饰或伪造,因此在提供电子银行服务时,有必要对现行的职责分解方法进行修改。
此外,在电子银行业务中,许多操作交易职能已经被压缩得越来越一体化了。
因此,需要对传统的职责分解控制措施作重新检查和修改,确保其维持合适的控制水平。
因为通过内部或外部网络,进入安全措施不严的数据库变得更加容易,有必要作进一步严格的授权和识别步骤、安全和稳健的直通程序结构,以及充足的审计跟踪强化。
在电子银行业务环境中,建立和维护职责分解的通常做法包括如下:
·交易程序和系统在设计时,要防止单个雇员或业务外包的服务供应商单独进入、授权和完成一笔交易。
·录入初始静态数据(包括网页内容)的人员和负责复核完整性的人员之间职责分明。
·应该对电子银行系统进行测试,以确保职责分解不会被省略。
·电子银行系统的开发人员和管理人员之间,职责要分明。
原则7:
银行应确保对电子银行系统、数据库和应用程序拥有适当的授权控制和进入特权制度。
为了保证职责分解,银行需要严格控制授权和进入特权。
如果不能进行足够的授权控制,某些个人就可能会修改他们的权限,规避职责分解和进入未经特许授权的电子银行系统、数据库或应用程序。
在电子银行系统中,银行内的授权和进入权力的认定,可以采取集中的方式,也可以采取分散的方式。
为了进行有效的授权控制,有必要对这些数据库加以保护,避免被篡改或毁损。
原则8:
银行应该确保拥有保护电子银行交易、记录和信息等数据的完整性的适当措施。
数据的完整性是指,确保传递或储存的信息,在没有授权的情况下不能被修改。
如果不能维持交易、记录和信息等数据的完整性,银行就可能蒙受经济损失或承受重大法律和声誉风险。
电子银行直通程序的固有特征,可能使得计算机编程出现错误并导致欺诈行为难以在早期阶段被发现。
因此,银行在实施直通处理程序时,很有必要确保安全、稳健和数据完整性。
由于电子银行的交易是通过公共网络进行的,所以这些交易容易出现数据毁损、欺诈和记录篡改等问题。
因此,银行应该确保拥有适当的措施,保证通过互联网传输的、储存于银行内部数据库或通过代表银行提供服务的第三方传输/储存的电子银行交易、记录和信息等数据的准确性、完整性和可靠性。
在电子银行环境中,确保数据完整性的共同做法包括:
·电子银行业务在交易的整个过程中,要确保数据被篡改的可能性极小。
·电子银行业务记录的储存、进入和修改,要确保数据被篡改的可能性极小。
·电子银行交易和记录程序在设计时,应该杜绝XX的修改逃避监控。
·应该拥有包括监控和修改步骤在内的足够修改控制政策,以避免电子银行系统受到任何可能损害其控制措施或数据可靠性的有意或无意的修改。
·通过交易处理、监控和记录职能,可以发现对电子银行交易或记录的任何篡改。
原则9:
银行确保对所有电子银行交易进行明确的审计跟踪。
通过互联网提供金融服务,如果内部控制措施不能适应电子银行环境,那么银行执行内控和进行明确的审计跟踪就会变得愈发困难。
银行不仅必须确保在高度自动化的环境中进行有效内部控制,而且必须确认这些控制措施受到独立审计,特别是对于所有关键的电子银行事件和各种应用系统。
如果银行对其电子银行业务不能进行明确的审计跟踪,那么银行的内部控制环境就可能被弱化,是因为有关电子银行业务交易的全部至少是多数记录和证据采用了电子化的形式。
在确定哪些方面需要进行明确的审计跟踪时,应该考虑以下电子银行交易的类型:
·客户账户的开立、修改或注销。
·与财务结果相关的一切交易。
·对客户超过某一限度的一切授权。
·任何对于系统进入权力或特权的授予、修改或撤消。
原则10:
银行应该采取适当的措施,对关键的电子银行业务信息进行保密。
保密措施应该与传输和/或数据库中所储存信息的敏感性相适应。
保密就是要保证银行对关键信息的独占性,其他XX者无法查看或使用这些关键信息。
误用或XX而公开披露这些信息可能给银行带来声誉和法律方面的风险。
电子银行的出现,使得银行的安全问题更加突出,因为通过公共网络传输的信息或是数据库中存储的信息,可能被XX者或不当的人获取,或者信息被使用的方式违反了客户提供信息时的意愿,这些都会增加银行的风险。
此外,银行越来越多的使用服务供应商,也增加了银行关键数据泄密的可能性。
为了做好对电子银行关键信息的保密工作,银行需要确保:
·银行的保密数据和记录,只有经过适当授权和身份认证的个人、代理或系统才能获取。
·银行的保密数据,在通过公共、私人或内部网络传输过程中,应确保其安全,避免被XX者偷看或修改。
·因业务外包而获得银行数据的第三方,也应当遵守银行数据使用和保护的有关标准和控制措施。
·对所有获取保密数据的行为都须记入日志,并且尽力确保这些日志不被篡改。
法律和声誉风险管理
各国对客户及其隐私保护的具体条例和法律不尽相同。
但是,在信息披露、保护客户数据和保证业务持续可用性方面,银行通常都有明确的责任,使得客户在进行电子银行业务时达到与传统银行业务中相似的满意程度。
原则11:
银行应该确保,其网站提供了足够的信息,可以使潜在客户在进行电子银行业务交易之前,清楚了解银行的身份和银行的监管状况。
为了尽量减少国内外电子银行业务所带来的法律和声誉风险,银行必须在其网站上提供充足的信息,允许客户在进行电子银行业务交易之前,清楚了解银行的身份和监管状况。
银行在其网站上应该提供的信息包括:
·银行的名称和总行(和当地分支机构)的地点。
·负责监管银行总行的主要银行监管当局的名称。
·涉及服务问题、投诉、怀疑账户误用等情况时,客户联系银行的客户服务中心的方式。
·客户如何进入和使用有关的消费者投诉方案或客户投诉受理系统。
·诸如客户应该如何获取对于相关的国家补偿或存款保险涵盖范围以及所能提供的保护程度等信息,或者如何链接到提供此类信息的网站。
·其他有关的或各国要求提供的信息。
原则12:
银行应该采取适当的措施,确保遵守所在国银行提供电子银行产品和服务方面的有关客户隐私权的规定。
对客户信息保密是银行的重要责任。
误用或XX公开披露应该保密的客户数据,会给银行带来法律和声誉风险。
为了较好地解决对客户信息的保密问题,银行应该作出合理努力,确保:
·银行的客户隐私政策和标准考虑并且符合所在国银行提供电子银行产品和服务的一切有关隐私权方面的条例和法律。
·让客户了解银行的隐私权政策,以及使用电子银行产品和服务相关的隐私权问题。
·客户可以拒绝允许银行与第三方共享用于交叉营销目的的任何信息,包括客户的个人需要、兴趣、财务状况或银行业务活动。
·客户数据的使用,不能超越客户允许的范围,也不能超越客户已作出的授权范围。
·第三方因业务外包而获得客户数据时,应该符合出包银行有关客户数据使用的各种标准。
原则13:
银行应该拥有有效的能力、业务连续性和应急计划程序,以确保电子银行系统和服务的连续可用性。
为了防范业务、法律和声誉风险,银行必须按照客户意愿连续及时地为客户提供电子银行服务。
为了实现这一目标,银行必须有能力从主源(即内部银行系统和应用系统)或次源(即服务供应商的系统或应用系统)为终端用户提供电子银行服务。
确保体系的正常运转也取决于应急支持系统缓释拒绝服务的攻击(或其他可能造成业务中断的事件)的能力。
确保电子银行系统及其应用程序的正常运转的挑战是相当大的,因为交易需求可能会很高,在高峰时期情况更是如此。
另外,客户对于缩短交易处理周期时间和维持连续可用性有较高的期望,(每周7天,每天24小时),这种期望也增加了稳健能力、业务连续性和应急计划的重要性。
为了向客户提供他们期望的连续的电子银行服务,银行需要确保:
·根据电子商务的总体市场动力和对客户接受电子银行产品和服务的预测比率,对当前的电子银行系统能力和未来的可扩展性进行分析。
·对电子银行业务交易处理能力要进行评估、压力测试以及定期检查。
·对关键的电子银行处理和传送系统,要制定适当的业务连续和应急计划,并且定期进行测试。
原则14:
银行应该制定适当的突发事件反应计划,以管理、控制和尽量减少意外事件造成的各种难题。
意外事件是指阻碍电子银行业务系统运作以及阻碍提供服务的事件,包括内部和外部攻击。
有效的突发事件反应机制非常重要,它可以最大限度地减少意外事件造成的操作风险、法律风险和声誉风险。
意外事件是指影响电子银行业务系统运作和提供服务的事件,包括内部和外部攻击。
银行应该制定适当的突发事件反应计划,包括通讯战略,确保业务连续,控制声誉风险,限定电子银行服务中断所造成的责任,这种中断包括因业务外包系统和操作造成的服务中断。
为了确保对不能预见的突发事件作出有效反应,银行应该制定:
·突发事件反应计划,处理各种情况下各个业务和各个地方的电子银行系统和服务的恢复工作。
情形分析应该考虑风险发生的可能性及其对银行的影响。
外
升级会员 