网络银行业务风险管理原则

2001年巴塞尔银行监管委员会（BCBS）的电子银行工作组（EBG）工作报告中制定了电子银行业务风险管理的14项指导性原则，这些原则供各国银行和监管者在制定网络银行风险管理政策和程序时参考。2003年7月巴塞尔银行监管委员会（BCBS）又发布了新的《电子银行业务的风险管理原则》，对网络银行风险管理制定了以下三方面共14项原则。

（一）董事会和管理层监控

董事会和高级管理层负责制定银行的业务战略。在开始提供电子银行交易服务之前，应该对是否希望银行提供此类服务做出明确的战略决策。特别要提出，董事会应该确保电子银行计划与公司战略目标明确地结合起来，并对拟开展的电子银行业务进行风险分析，对已识别的风险建立适当的风险缓释和监控程序，以及按照银行的业务计划和目标，不断检查评估电子银行业务的成果。

此外，董事会和高级管理层还应该适当考虑和解决银行在电子银行业务战略中的操作和安全风险问题。通过互联网提供金融服务，可以大大改变甚至增加传统银行业务风险（例如战略风险、声誉风险、操作风险、信用风险和流动性风险），因此银行应该采取一些措施，确保现行的风险管理程序、安全控制程序、对业务外包的尽职调查和监督程序能够针对电子银行服务的发展做出适当评估和相应修改。该大类包括以下三项具体原则。

原则1：董事会和高级管理层应该对与电子银行业务有关的风险进行有效的管理监督，包括建立具体的责任制度、策略和控制措施来管理这些风险。

原则2：董事会和高级管理层应该检查和审批银行安全控制程序的主要方面。

原则3：董事会和高级管理层应该建立全面和持续的尽职调查制度和监管程序，来管理银行在电子银行业务方面的业务外包和其他对第三方的依赖。

（二）安全控制

虽然董事会有责任确保制定适宜的电子银行安全控制程序，但是这些程序的内容还需要引起管理层的特别注意，因为电子银行业务造成的安全问题的难度在日益增大。下列问题尤其显著：身份认证、不可否认性、数据交易的完整性、职责的分解、授权控制、审计跟踪的维持、对关键银行信息的保密。该大类包括以下七项具体原则。

原则4：对于与银行通过互联网发生业务往来的客户，银行应该采取适当的措施，对其身份和授权情况进行认证。

原则5：银行应该使用促进交易不可否认性和明确电子银行交易责任的认证方法。

原则6：在电子银行系统、数据库和应用程序中银行应该采取适当的措施，以保证有效地分解职责。(www.xing528.com)

原则7：银行应确保对电子银行系统、数据库和应用程序拥有适当的授权控制和进入特权制度。

原则8：银行应该确保拥有保护电子银行交易、记录和信息等数据的完整性的适当措施。

原则9：银行确保对所有电子银行交易进行明确的审计跟踪。

原则10：银行应该采取适当的措施，对关键的电子银行业务信息进行保密。保密措施应该与传输数据库中所储存信息的敏感性相适应。

（三）法律和声誉风险管理

各国对客户及其隐私保护的具体条例和法律不尽相同。但是，在信息披露、保护客户数据和保证业务持续可用性方面，银行通常都有明确的责任，使得客户在进行电子银行业务时达到与传统银行业务中相似的满意程度。该大类包括以下四项具体原则。

原则11：银行应该确保其网站提供了足够的信息，可以使潜在客户在进行电子银行业务交易之前，清楚了解银行的身份和银行的监管状况。

原则12：银行应该采取适当的措施，确保遵守所在国银行提供电子银行产品和服务方面的有关客户隐私权的规定。

原则13：银行应该拥有有效的能力、业务连续性应急计划程序，以确保电子银行系统和服务的连续可用性。

原则14：银行应该制订适当的突发事件反应计划，以管理、控制和尽量减少意外事件引起的各种难题。意外事件是指阻碍电子银行业务系统运作以及阻碍提供服务的事件，包括内部和外部攻击。