2013年6月17日,阿里巴巴旗下支付宝携手天弘基金联合宣布——“余额宝”上线。用户将资金转入余额宝内,既能像支付宝余额一样随时用于消费、转账等支出,还能享受基金公司提供的货币基金(天弘增利宝)投资收益,获得增值。这产品推出之后,吸纳的资金规模及用户数量不断创出新高。截至2014年1月15日,余额宝规模已超过2500亿元,客户数超过4900万户。
日前,关于“手机丢了支付宝就完了”的网帖引发广泛关注。该帖子中模拟手机丢失后的场景,称任何人都可能凭借手机接收到的校验码盗走支付宝账户。对此支付宝官方进行辟谣,并称帖子中所模拟的“被盗”过程是无效的。目前支付宝钱包用户数已经超过1亿,又关联余额宝,用户产生担心,手机丢失是否同时意味着余额宝也会面临风险。当余额宝规模迅速扩张,电子银行账户安全问题也越来越被用户关注。
电子银行业务具备操作简便、速度快捷、不受时间和空间限制、成本较低等特点,有效减少了银行前台网点、柜员的营业压力,已成为银行交易的主渠道,是商业银行展示银行经营形象和竞争实力的重要窗口。由于其特定的运作方式和网络环境,电子银行在带来极大便利的同时,也具有一定的风险。如何在大力发展电子银行业务的同时,加强风险防范和控制值得探讨。所以建议从以下几个方面着手:
一、加强银行内部控制,提高电子银行风险管理能力
要有效防范电子银行业务风险,首先,要有健全的内部管理制度来规范电子银行业务的运行。如制订并完善电子银行管理制度和办法,规范业务操作流程,使业务操作有据可依、有章可循。其次,要不断完善内部控制机制,明确界定电子银行业务各环节的责、权、利,构建电子银行业务流程与权限之间的制约体系。再次,将电子银行业务风险纳入银行风险管理的总体框架,强化对电子银行业务所面临的内部控制风险、客户操作风险、网络安全风险、法律风险和声誉风险的管理,明确管理职能,有效识别、评估、监测和控制各种风险,切实提高电子银行业务风险管理能力。
二、增强银行员工风险防范意识,规范业务操作行为
电子银行业务的开放性、无边界性削弱了交易的可控性,因此,在大力发展电子银行业务的同时,银行内部员工应进一步增强风险防范意识,按制度和流程办理业务,防范和控制操作风险。
(一)加强系统业务参数的管理。系统业务参数是十分重要的业务数据,对于经常变动的电子银行相关业务参数,坚持系统自动操作设置为主、人工操作设置为辅的原则。对于重要的业务参数,尽可能让系统自动设置,甚至保证人工操作无法改变,加固参数的安全性;对于需要人工操作设置的,特别是涉及客户资金交易的重要的业务参数,须经业务主管部门负责人审批;涉及重大版本上线、计费调整的业务参数,电子银行、信息技术、营运管理等相关部门应充分沟通、认真审核后设置,并进行必要的验证测试,以防范参数设置不正确引发的重大风险事件。
(二)严格要害岗位人员和权限管理。建立和补充完善要害岗位人员管理制度,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,加强岗位制约。同时,加强操作人员权限管理,科学分配、合理控制操作用户访问数据库的权限,实现权限等级管理,严禁越权操作,防止别有用心的员工非法使用系统资源,损坏软件系统或业务数据。
(三)严格产品签约和客户证书管理,防范操作风险和道德风险。员工应正确处理业务发展、指标考核与规范操作的关系,防范电子银行业务操作中的风险,特别加强客户签约、证书领用等关键环节的风险控制。在客户意愿真实、申请资料齐全的基础上,才与客户签约电子产品;同时,应规范成品证书载体与客户的交接手续,杜绝员工代客户领取或保管成品证书,防止员工利用工作或职务之便,转移或挪用客户资金。
三、积极宣传电子银行安全知识,引导客户做好安全防范工作
通过网站告示、短信提示及现场讲解等多种渠道向客户宣传电子银行相关知识,提高客户的应用及操作处理能力,避免客户操作失误引发资金风险。同时,引导客户增强自我保护意识,严格保护自身的银行账号及密码,妥善保管和正确使用银行提供的安全工具,警惕互联网上中奖、网络购物等各种形式的诈骗,确保资金安全。
四、加强网络设施建设,建立网络安全防护体系
电子银行业务能否健康发展,能否减少业务纠纷,很大程度上取决于安全管理工作是否到位。银行应加强网络建设和管理,为客户提供安全的电子产品使用环境,确保客户资金安全。首先,应采用新的安全技术确保电子支付的信息流通和操作安全,如:及时更新、升级防病毒软件和防火墙,提高计算机系统抵御外部网络攻击和抗病毒侵扰的能力。第二,加大电子银行安全技术投入,包括采用更强的加密技术、网络使用记录检查评定技术、人体特征识别技术等,使正确的信息及时准确地在客户和银行之间传递,同时又防止非授权用户如黑客对电子支付所存储的信息的非法访问和干扰。第三,制定有效的容量规划,确保电子银行系统的有效性和持续可用性。为了提高市场竞争力,避免由于系统损耗引起的风险,银行应建立科学有效的评估机制,定期对网络资源、电子银行交易量和技术支持等方面进行评估,对系统存在的缺陷和不足制定应对措施,确保有足够的弹性和网络资源满足电子银行业务持续发展的需要。
五、规范银行与当事人之间的相关协议,分摊电子银行业务风险
电子银行业务涉及银行、客户、网络服务商、软硬件设备供应商等当事人,对于电子银行业务出现的风险,银行可通过与各当事人之间的契约性文件将其分摊出去。一是规范银行与用户之间的协议,尽可能详尽地规定双方具体的权利和义务,合同条款应重视银行与客户之间有关责任分担的规定;二是规范银行与网络服务商之间的协议,明确约定对于由网络服务系统的故障引发的有关损失的处理;三是规范银行与硬件、软件供应商之间的协议,对因硬件、软件原因引发的事故,对客户或银行造成损失的责任问题进行约定。
六、加强法制建设,提高法律风险防范能力
我国应加快立法进程,尽快构筑完善的电子银行法律体系,为电子银行业务发展提供充分的法律保护。我国司法部门应适应形势变化,加大对金融犯罪的打击力度,提高对高科技犯罪的侦破能力;相关部门也要密切配合,提供相关的侦察证据,共同加大对电子银行诈骗案件的查处力度,不断改善和优化电子银行业务的外部环境。另外,银行员工应根据反洗钱法,对通过电子银行渠道发生的可疑交易进行监控,及时上报数据,防范对电子银行大额、异常交易监控不落实而引发的监管处罚风险。