电子银行风险管理指引电子银行风险管理指引电子银行风...

1/22傳閱文件傳閱文件傳閱文件傳閱文件003/B/2008003/B/2008003/B/2008003/B/2008----DSB/AMCMDSB/AMCMDSB/AMCMDSB/AMCM((((日期日期日期日期::::二零零八二零零八二零零八二零零八年年年年一一一一月七日月七日月七日月七日))))電子銀行風險管理指引電子銀行風險管理指引電子銀行風險管理指引電子銀行風險管理指引澳門金融管理局（AMCM）根據三月十一日第14/96/M號法令第九條和七月五日第32/93/M號法令核准之《金融體系法律制度》第六條所賦予的權限，制定本指引。1.1.1.1.背景背景背景背景1.1資訊科技的發展和創新正在改變信用機構的運作方式，也使其能通過電子及互動通訊渠道爲客戶提供銀行服務和産品（下稱“電子銀行”）。利用電子銀行，客戶既可以通過私人或公共的網路，包括互聯網，獲得某信用機構提供産品和服務的資訊，又可從網上申請新産品及服務，查看存貸款賬戶及交易餘額，以及在賬戶之間劃撥資金或進行其他的交易1。1.2電子銀行帶來效益但也伴隨著風險。因此，信用機構應根據風險的種類、複雜性、允許的交易金額及其使用的電子渠道進行風險管理控制。1.3本指引提出了對電子銀行的風險管理主要原則。它適用於在本地註冊的信用機構，也適用於外地信用機構在澳門開設的分行。所有正在或準備開展電子銀行業務的信用機構應運用這些原則建立健全、有效的風險管理程序；強化系統運行的可用性、安全和恢復能力；及實施嚴1包括用電子方式在儲值卡上儲錢、用儲值卡採購商品和服務、使用自動櫃員機及使用信用機構發行或推廣的付款卡在特約商戶消費等。2/22格的保密制度和重要的管理守則以保護客戶資料。在適用的情況下，本指引也適用於已使用或將使用電子通訊渠道提供服務的其他機構2：(a)根據第15/83/M號法令獲許可經營的財務公司；及(b)根據《金融體系法律制度》獲許可經營的金融中介機構和其他金融機構。1.4電子銀行給獲許可機構帶來風險管理的挑戰。相關風險管理過程及進行獨立評估的核心監管要求在下文各段列出，惟本指引所列舉的建議並非終局性的。獲許可機構應隨著科技的不斷快速發展，適當參照其他相關的行業標準和做法，以保證電子銀行的風險管理程序適時和適用。1.5AMCM認同巴塞爾銀行監察委員會（下稱“巴塞爾委員會”）2003年7月頒佈的文件《電子銀行風險管理原則》(http:/)和《跨境電子銀行活動管理和監管》(http:/)列舉的風險管理原則和良好的做法，並鼓勵獲許可機構閱讀和理解這些文件定出的主要原則。2.電子銀行面臨的風險管理挑戰和其所具有的風險電子銀行面臨的風險管理挑戰和其所具有的風險電子銀行面臨的風險管理挑戰和其所具有的風險電子銀行面臨的風險管理挑戰和其所具有的風險2.1巴塞爾委員會認爲，電子銀行的基本特性對銀行機構構成了很多風險管理挑戰：(1)科技和客戶服務創新的快速變化，對機構要在很短的時間內推出新的業務作業軟件産生了競爭壓力。競爭也增強了在運行新電子銀行作業軟件前進行適當的策略評估、風險分析及安全檢查的必要性。2信用機構及本處所指的其他金融機構，以下簡稱為“獲許可機構”。3/22(2)交易性電子銀行網頁、零售及批發業務軟件與舊電腦系統的整合，使機構更加依賴於系統設計和結構的安全，以及系統的互通能力和運作的規模效應。(3)隨著對資訊技術依賴程度的提高，與不受監管的第三方建立夥伴聯盟和簽訂外判協議的趨勢越來越明顯。(4)公開電子網路的普遍性和全球性使得安全控制、客戶確認、資料保護、審計軌迹和客戶私隱等都變得更加重要。2.2儘管電子銀行的風險種類不是新的，但其産生方式、重要性和可能後果都出現了新的形式。爲監管之目的，AMCM著重列出以下幾種常見的電子銀行風險，要求獲許可機構充份熟悉這些風險，以便對其進行更好的識別、計量、監測和控制：(a)策略風險。這是指因爲逆向業務決策、執行決策不當或對行業變化缺乏反應而産生的對現時及未來的盈利和資本的影響。管理層在決定開發某種特定的電子銀行産品前，應瞭解與電子銀行相關的風險；同時也應考慮此産品和科技與獲許可機構的策略計劃是否相吻合，有否配置適當的專業人員和資源以識別、監測和控制這些風險。(b)操作風險。這是指錯誤或欺詐風險，或系統未能對交易或狀況進行適當記錄、監測和記賬的風險。如果業務的計劃、執行和監測不周詳，更高層次的操作風險就會發生。獲許可機構提供電子銀行産品既要滿足客戶要求，也要保證自身有適當的産品組合和提供準確、準時和可靠服務的能力。使用電子渠道進行業務的客戶通常都不能容忍錯誤和遺漏的出現，獲許可機構的電腦和網路系統受到攻擊或入侵是操作風險主要關注之一，獲4/22許可機構應建立有效的預防和偵查控制手段，防止其電子銀行系統遭受不當利用。此外，獲許可機構應有必要的應急方案和業務恢復計劃，以確保在非常情況下能夠繼續提供不間斷的電子銀行産品和服務。(c)法律風險。這是指違反或不遵守法律、條規、法規或職業道德標準而産生的對盈利和資本的風險。法律風險將使獲許可機構受到處罰、賠償損失、合約無效、信譽受損、業務機會及擴展潛力受限等。大部份電子銀行客戶會繼續使用非電子（如紙張）及電子銀行傳輸渠道，獲許可機構應向客戶保證使用這些渠道傳輸的資訊是一致和準確的，以及符合法律和法規的要求。(d)信譽風險。這是指由於負面的公眾意見而産生的對現時或將來的盈利和資本的影響。獲許可機構的信譽可能由於電子銀行服務不佳而受損，損失客戶，開罪公衆。通過精心設計的營銷，包括資訊披露，獲許可機構可以教育潛在客戶，也可幫助減少信譽風險。獲許可機構須保證其客戶真正了解相關的産品或服務以及使用相關系統可能産生的效益和風險，同時，在營銷過程中，對産品的宣傳要公正和準確。3.3.3.3.風險管理風險管理風險管理風險管理的的的的原則原則原則原則3.1本指引所制定的風險管理原則分爲五大類，分別是董事會和管理層監督、安全控制、外判管理、法律和信譽風險管理及跨境活動管理。以下是關於這五大原則的概述，有關具體要求請參見第4-8段所述。3.2董事會和高級管理層主要負責制定獲許可機構的業務策略並建立有效的風險管理監督制度。董事會和高級管理層須就是否和如何提供電子銀行服務提出明確、有根據及由文件證明的策略決定，同時還須就風5/22險處理的具體責任、政策和控制措施、審查和批准重要安全控制程序、以及與外判和其他第三方服務相關的風險管理程序等作出決策。3.3獲許可機構的安全控制程序內容應包括：建立適當的授權許可和確認措施、邏輯和有形進入控制；對內部和外部使用者行爲、交易、記錄和資料數據真實性等保持合適界限和限制的設施安全；保留所有電子銀行交易的審計軌迹；因應資料的敏感性而採取適當的資料保密措施。獲許可機構應時刻警惕系統可能受到攻擊，對職員進行科技控制和相關規則的培訓，同時注重對所有使用者包括客戶的安全意識培訓。3.4獲許可機構可能需要依賴同一集團（如總行）的另一部門或其他服務提供者爲其電子銀行服務提供系統和業務處理的運作或維護。對夥伴方和第三方服務提供者的依賴越多，獲許可機構對電子銀行功能的直接控制就越少。隨著電子銀行應用和服務科技的日趨先進以及策略重要性的提高，獲許可機構的風險可能會集中在少數專業第三方和服務提供者。在這種情況下，獲許可機構須對外判關係和其他外部依賴進行全面和持續的評估，採取措施以保證對外判關係的現行風險管理程序、安全控制程序、盡職調查和監督程序進行適當的評審和修正，以滿足電子銀行服務的要求。3.5在資料披露、資料保護和業務提供等方面，獲許可機構有責任令到客戶放心。爲盡量減少及防止因提供電子銀行業務而帶來的法律和信譽風險，獲許可機構應在其網站上適當披露資訊，採取適當措施保證嚴守客戶秘密，並根據客戶對持續、快速和大量交易的需求，及時和連續地提供電子銀行服務。同時，獲許可機構應有在任何情況下爲所有的最終使用者提供電子銀行服務的能力，對那些可能影響電子銀行系統和提供電子銀行服務的不可預測事件包括內外部攻擊等，應建立有效的事故反應機制，具備足夠的能力及有效的業務持續和應急計劃，以減少操作、法律和信譽風險。同時，獲許可機構也應制定適當的事6/22故反應計劃，包括通訊策略等，以保證業務的連續性、控制信譽風險及限制因電子銀行服務的中斷而須承擔的責任。3.6互聯網極大地提高了獲許可機構在無地理邊界的情況下銷售産品和服務的能力。獲許可機構如向另一地區的居民即“東道國/地區”提供跨境交易性電子銀行服務時，如果沒有在該地區獲許可而開設機構，將面臨由於兩地在發牌、監管和客戶保護要求的差異而産生的更多的法律、監管和國別風險。爲避免這種無意不遵守外地法規的情況及更好地管理有關的國別風險，有意從事跨境電子銀行業務的獲許可機構須在開展相關業務前，全面認識及有效管理這些風險。4.4.4.4.董事會和管理層董事會和管理層董事會和管理層董事會和管理層的的的的監督監督監督監督4.1董事會和高級管理層有責任和義務管理及控制與電子銀行相關的風險。董事會和高級管理層要充分認識電子銀行的基本特徵以及由此而帶來的挑戰，建立穩健的電子銀行風險管理機制，同時也應具有管理獲許可機構使用電子銀行科技和産品的知識和技能，從而可以適時修改已有的風險控制系統，以保證其能充分識別、評定、監測和控制電子銀行的風險。爲此，董事會和高級管理層應：(a)在下列事項決策前，通過成本、效益和風險分析，進行適當的策略評估：•將電子銀行納入公司策略目標的決定；•獲許可機構風險取向的確定；及•電子銀行服務種類3的選擇（如資訊類、簡單交易類或高級交易類）。3一般情況下，電子銀行服務可大致分爲三類：（i）資訊類，指只提供獲許可機構産品和服務的營銷性資訊；（ii）簡單交易類，指允許在獲許可機構系統和客戶間進行互動，但限於賬戶查詢、貸款申請、靜態檔案更新和客戶資訊提交，不允許進行賬戶劃轉；（iii）高級交易類，指允許客戶從其賬戶上通過電子渠道劃出/入資金、付賬和進行其他在線交易等。7/22(b)評價業務計劃的可行性，並確定獲許可機構具有開展電子銀行業務所需的財務、人力、技術資源、專業能力（包括內部和外部的）、適當的風險管理及內部控制程序；(c)制定特別的政策和程序對電子銀行風險進行及時的評價、監測和控制，這包括：•建立主要的授權和報告機制，包括對影響獲許可機構安全、穩健或信譽的事件的升級處理程序；•根據相關監管指引（如AMCM《金融機構反洗錢及反恐怖融資指引》），在適用情況下，爲非面對面的客戶制定措施以保證符合有關客戶盡職調查的要求；及•就因保證電子銀行産品和服務完整及可用而產生的特別風險，制定其他必要措施。(d)建立强健的安全控制系統，以管理和盡量減少由於潛在的內/外部安全威脅而帶來的安全風險（參見第5段）。(e)對外判關係及其他第三方服務的管理，建立全面及持續的盡職調查和監控程序（參見第6段）；(f)在獲許可機構各部門建立有效的法律和信譽風險管理控制程序，包括客戶保護與教育、資訊披露及可行的業務恢復和持續計劃，以保證電子銀行服務的持續提供及管理不可預測事件，包括會妨礙電子銀行服務的內/外部攻擊（參見第7段）；及(g)對跨境電子銀行服務(如適用)，建立有效的管理控制措施（參見第8段）。8/224.2電子銀行的環境不斷變化，董事會和高級管理層應定期對相關的政策和程序進行檢討，確定其能適時、適當地適應電子銀行業務的性質和範圍，同時還要評估電子銀行服務在推行和持續維護時的財務影響，並考慮對獲許可機構客戶基礎、貸款質量和組成、存款及其波動性、流動資金來源、交易量的潛在影響及因採用新的銷售渠道而對其他相關方面的影響。所有這些，都必須進行持續的監測和分析，以保證因開展電子銀行服務而對獲許可機構財務狀況的影響能得到適當的管理和控制。4.3董事會和高級管理層可通過審查客戶使用量、投訴、故障時間、未平交易及系統使用率等定期報告監測電子銀行業務。另外，適當、獨立的審計也是監測電子銀行的重要組成部分。審計的範圍