关注网上银行业务安全(精选六篇)
关注网上银行业务安全 篇1
网上银行拓宽了金融服务领域, 并为网上银行的发展创造了市场需求条件和技术基础。目前在我国金融领域特别是银行业, 出现了以新型化、自由化、多样化为特征的金融创新, 这种创新迅速抢占市场, 并扩大规模, 形成了要求放松管制的强大压力, 而且也改变了金融总量和结构。
自1996年世界上第一家网上银行——美国安全第一网络银行诞生以来, 网上银行在世界范围内迅速发展。近年来, 国内多家商业银行, 如招商银行、中国银行、中国工商银行、交通银行、农村商业银行等也纷纷推出网上银行服务。发展网上银行业务已成为当前商业银行竞争的新热点。
尽管我国的网上银行业务已经取得长足的发展, 但在发展网上银行业务的同时, 也不能忽视新的风险。这些新风险主要包括法律法规的规范风险、交易安全风险、资金风险等, 其中最主要的就是支付信息的安全性问题。
一、法律风险及其防范
由于有关法律法规不健全, 立法滞后, 容易造成新的法律风险。为此, 应针对目前网上银行业务的发展, 尽快完善、补充和制定相关法律法规以及网上银行有关的规章制度。
(一) 应加快推进立法工作
我国涉及计算机和网络领域的立法工作滞后, 相关金融法规较少。现已立法的《商业银行法》、《中国人民银行法》、《中国银行业监督管理法》涉及网上银行业务管理有关内容都比较少, 有的甚至还没有作出规定。这样的局面致使银行在与客户的纠纷中处于无法律依据的尴尬地位。而且法律法规的缺乏, 也使金融监管机构监管无法可依。强化网上银行业务的监管需要加快全面的立法工作, 确定银行职责、数字签名、电子数据及证书、电子证据、电子合同的法律效力。这些电子数据既可作为法律依据, 也有利于监管部门、审计部门和其他执法机构的必要检查。考虑到电子技术的快速发展, 立法应当具有一定的前瞻性, 避免频繁改动, 造成被动。金融机构 (包括其分支机构) 开办网上银行业务, 应严格按照《网上银行业务管理暂行办法》的规定, 进行必要的安全评估, 尽量降低技术风险。
(二) 应努力完善、制定可行的技术规范和实施标准, 统一规划
对于网上银行业务的核心技术, 传输数据包括格式、用户接口 (如IC卡) 标准等关系行际互联的技术参数, 都应制定相应的国家统一标准。目前各金融机构各行其是, 互不兼容, 需要严格按照网上银行业务管理贯穿其业务全过程和各个操作环节, 覆盖所有使用网上银行的金融机构内、外部机构 (单位) 和个人。并针对网上银行业务专门制定或加强对相应环节的管理和控制, 尽量降低技术风险。相关部门也应尽快制定涵盖网上银行业务各个环节的技术标准和行业规范。
二、系统性风险及其防范
由于网上互联网具有充分的开发性、无国界、不设防护的特点, 近几年, 许多金融机构如各地的转制银行, 已陆续开展了此项业务。其中大部分是将银行业务移植到互联网上, 但伴随而来的网络不完善、计算机病毒、网上黑客等问题, 必然成为网络银行安全的新障碍。系统风险主要表现在以下几方面。
(一) 网络故障风险
也就是计算机停机、磁盘破坏等不确定因素, 形成网上银行系统风险。不仅给银行带来直接经济损失, 甚至影响银行的企业形象和客户对银行的信任水平。
(二) 黑客攻击风险
黑客攻击进入系统内, 窃取银行和客户信息, 删除或修改程序, 或盗取客户资金及非法转移资金。因此应经常加强程序运行检测, 定期对网上账户进行核对, 经常对网上银行业务中的大额交易、可疑交易等进行非现场监督并及时进行现场检查;对程序异常运行情况, 及时进行调查, 了解情况, 适时地进行绝对控制。由于黑客攻击造成的客户信息外泄风险也不容忽视。数据通信安全是目前威胁网上银行安全的重要因素之一, 国内外都曾出现过网络黑客截获客户通信数据, 复制和盗取客户的标志和密码, 转移客户在银行的资金, 造成客户和银行资金损失的案例。
(三) 技术更新快, 系统设备投资风险
由于网络技术更新换代速度快, 原巨额投入的设备被淘汰, 变得低级且不安全。
(四) 交易安全风险
首先, 商业银行自身对网上银行的信息及交易安全管理措施跟不上, 管理制度有待进一步完善。目前, 我国各家商业银行在现场检查中发现其网上银行出现密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。其次, 应培养客户使用网上银行的安全意识, 这也是造成资金被盗取和骗取的主要风险点。
银行保函业务在实务操作中的关注点 篇2
随着银行保函在国际国内各社会领域的广泛应用,根据实际需要,保函的格式、内容和担保责任也越来越复杂,这给银行保函操作带来了许多实际困难,加大了银行监控风险的难度,也提高了对银行保函从业人员处理业务能力的技术要求。其中,存在着的一些需要关注的地方值得银行人员进行研究和探讨。
随着社会经济的发展,由银行出具的保函(担保书)在企业运作业务和资金融通中有了日益广阔的发展空间,保函涵盖的担保范围非常广,商品贸易、服务贸易、工程建设、资金融通、交通运输、法律纠纷等等不一而足。以往企业对保函业务的认知较少,银行对此项产品的宣传力度也不够,随着银行金融产品的多样化发展和企业自身发展业务的需要,保函的应用空间就越来越大,传统的投标保函、履约保函、预付款保函已日益发展为形式多样,功能强大的各种类型的保函:资金融通需要融资类保函,如授信额度保函、支持企业“走出去”的内保外贷项下的保函、证券保付保函、借款保函、融资租赁保函(如飞机租赁保函)等;非融资类保函更是各式各样,可以以银行信用介入需要担保的行为:如工程项下的投标保函、履约保函、预付款保函;商品贸易项下涉及的付款保函、关税保函,服务贸易项下如旅游业中需要的替代保证金的保函等,还有法律事务中涉及的诉讼保函、海事纠纷中需要的海事保函等等。银行保函可以以银行信用替代有关行为当事人彼此的不信任而需投入的大笔保证金,解除各方顾虑,加速资
金的周转和流通乃至融通。但银行保函在实务操作中存在以下关注点:
一、保函业务没有一个遵从的国际惯例(备用信用证除外)
与国际跟单信用证操作遵从国际商会第600号出版物《跟单信用证统一惯例》不同,国际保函在争议讨论多年以来,尚没有形成一个国际上大家统一遵从的惯例,虽然对于保函业务,国际商会曾经出版过第325号出版物《合约保函统一规则》、第458号出版物《见索即付保函统一规则》,联合国贸易法委员会也拟定了《联合国独立担保和备用信用证公约》,尤其是国际商会的第458号出版物《见索即付保函统一规则》(URDG)相对来说在国际上被相当一部分国家接受和应用(这一规则较能满足利益冲突各方的需要,较能平衡各方利益,同时独立性较强,国际商会也推荐使用),但这些规则都没有成为各国普遍认知和认可的在处理保函业务时可以凭借的统一惯例,甚至在欧洲,对URDG的认可度也相当低。
因此,在实践操作中,可以发现,一些国际保函中要求遵守URDG,而一些国际保函中又未列明遵守何种国际惯例,一些国家接受URDG,而一些国家又不接受URDG,这就给保函发生作用和争议时采用何种标准来加以裁定带来困难,也给保函从业人员带来困惑,而一些国家法院在进行司法裁决时,又可能偏向于依据URDG,这就给未列明遵从URDG的保函带来了操作性风险。也正是因为如此和一些国家的法律冲突问题,备用信用证(standby l/c)这一具有保函功用,又有可遵循的国际统一惯例的产品才被更积极地使用(备
用信用证可遵循ISP98—国际商会第590号出版物《国际备用证惯例》或可遵循UCP600—国际商会第600号出版物《跟单信用证统一惯例》)。
二、必须遵从《中华人民共和国担保法》给保函业务失效判定增加难度
根据《中华人民共和国担保法》规定,人民币保函不是一个独立的担保合同,而是从属于主合同的从合同,主合同失效,则担保合同无效(担保合同另有约定的,按照约定)。因此,银行保函从业人员应熟悉《中华人民共和国担保法》及其有关司法解释,在处理人民币保函业务尤其是没有明确失效日而只能凭事实判定保函是否失效时,要充分了解其主合同的执行情况,主债务的到期日等,要从保函被担保人处切实获得证据证明主合同履行完毕,谨慎处理保函撤销,银行责任解除的有关工作。
三、保函适用法律问题
在一些条款严谨的国际保函中,常常可见到遵循某国法律的条款,而一些保函中,又未列明适用哪国法律。一般而言,保函适用担保人所在国法律,但在实际操作中,存在保函有关当事人存在不同意见的情况,如保函担保人和被担保人(或申请人)愿意采用其所在国法律,但保函受益人不愿意接受,而要求采用其所在国法律,尤其在反担保中,若涉及需要受益人所在国银行根据被担保人所在国银行(担保人)出具反但保来出具正式保函给受益人的情况,常会出现反担保函和正式保函之间所适用法律的冲突,如出具反担保的银行要求
适用其所在国法律,而出具正式保函的银行又要求适用其所在国法律的冲突。
四、由于银行保函业务涉及的领域十分广泛,带来银行监控风险的难度
为便于国际国内业务操作的便利,尽量做到对保函业务各方当事人的公平,大多数银行保函为见索即付保函,而保函本身现在运用到商品交易、工程建设、借款融资、飞机租赁、大型基建项目、旅游、税务、法律诉讼等方方面面。这就要求银行从业人员对于每一个保函后面的业务背景、履约情况有一个动态的跟踪和掌握,如果等到一纸索赔书交到银行柜台,银行必须赔付才发现其后隐藏的业务早就存在问题,如无法履行合同条款、工程无法按期完工、质量瑕疵乃至诈骗等,这就会给银行带来巨大损失,乃至造成银行坏账。
许多保函的金额巨大,背后涉及的业务更往往是大型项目,因此,需要银行的风险控制人员、业务操作人员及时沟通,密切跟踪被担保人(或申请人)业务开展情况,将风险控制前移,避免事故的发生。
五、需对保函项下的资金流向进行监控
保函背后一般都有项目,项目运做必有资金,银行作为承担担保责任的一方,有权利要求项目项下的资金流转处于银行监控之下,以便于跟踪业务进展,化解保函风险。如一个工程项目前期施工方要求业主给予先期资金投入,而业主就需要施工方通过银行出具预付款保函,以保证预付资金是用于工程建设的,这时,银行就可要求保函出具后,预付款须汇入施工方在出具保函的银行所开立的账户以便于银
行监控资金的使用情况,甚至可要求此笔资金作为保函的保证金。以预付款保函为例,一般在保函条款中会列明该保函须在款项汇入时方才开始生效,以起到一个制约保函被担保人(施工方)和受益人(业主)的作用。
六、关注内保外贷业务
为真正切实有效地支持国内企业“走出去”,内保外贷是一个重要的途径,尤其是国内企业在海外成立分支机构在当地运作业务时,光靠其分支机构的实力,十分难以获得当地银行的融资支持,这就需要倚重其国内总公司的大力扶持,转化到实际的操作方式就是内保外贷:
利用总公司在国内银行充足的融资实力,以国内银行提供融资担保的方式向国外银行开出融资保函,国外银行凭此融资给“走出去”企业的海外机构,发展海外业务。当前我国大力提倡和支持国内企业“走出去”,但就现状来看,我国经济发展是“引进来”的多,“走出去”的少或者说虽然“走出去了”,但整体实力都比较薄弱,尤其许多“走出去”企业的海外机构良莠不齐,因此在内保外贷业务中,要格外关注“走出去”企业的整体风险和把握其海外业务拓展情况,避免造成对外债务,给银行带来损失。
七、反担保函涉及当事银行过多的问题
以开往中东某国的保函为例根据该国法律,保函必须由当地银行直接出具,由于国内某家银行与中东该国的银行之间没有代理行之间的信用关系(有授信额度),但与欧洲某家银行之间有代理行之间的信用关系(有授信额度),而欧洲某银行又与中东该国的某银行有代理行之间的信用关系(有授信额度),因此,一笔保函业务的运做流程就成为国内某家银行出具反担保给欧洲某银行,欧洲某银行又出具反担保给中东某国某银行,请其出具正式保函给当地的受益人。一笔保函中,牵扯了三家银行和三地法律,从风险把握上来说,难度是比较大的,而且付出的银行成本也是比较高的,这样,也给保函业务的申请人带来了较高的财务成本。
八、对《见索即付保函统一规则》(URDG)的认知问题
与每一个跟单信用证从业人员都应熟知《跟单信用证统一惯例》(UCP600国际商会第600号出版物)不同,并不是每一个保函从业人员都知道URDG,假设我国出具的保函中列明了适用URDG,但可能保函受益人和受益人的银行就根本不了解URDG,甚至在我国,由于针对URDG的培训较少,相当多的保函实务人员也不了解URDG。目前针对URDG的修订已经完成,国际商会即将出具新版本的URDG(国际商会第758号出版物),但是,URDG能否成为国际统一惯例才是一个关键问题。
九、保函项下的欺诈问题
关注网上银行业务安全 篇3
一、当前银行理财业务发展中存在五大异化问题
2009年以来,我国银行理财业务出现了爆发式的增长态势。如至2012年9月末,全国银行业理财产品余额已达6.73万亿元,比2011年末的4.59万亿元增加2.14万亿元,增长近47%。银行理财业务的快速发展,推动了金融市场的繁荣和发展,拓宽了老百姓的投资渠道,提升了我国金融业的国际化接轨速度。但由于管理相对滞后与不足,理财业务在资金归集、期限设计、运作模式上所出现的“异化”问题值得高度关注。
(一)资产池理财因资金运作混乱而潜在资金错配和收益计算失实风险。资产池理财是指以债券、回购、依托融资计划、存款等多元化的集合性资产包作为统一资金运用,通过滚动发售不同期限的理财产品持续筹集资金,以动态管理模式保持理财资金来源和理财资金运用平衡,并从中获取收益的一种理财产品运作模式。由于资产池理财产品滚动发行,长期占用,池内理财资金与自营资金隔离不清,运作不透明,无法与项目一一对应,给一些银行借机互持次级债、违规自买自卖等带来机会,潜在严重的资金错配风险。同时,还由于部分资产池理财资金未进行实际投资,产品募集后即留存于托管专户,预期收益率也基本参照市场及同业竞争对手的定价情况确定,产品到期后直接按预期收益率兑付收益,也使每期理财产品的成本和收益无法准确计量。如2009年至2012年6月末,某银行金融市场部向社会发行“非保本”、“保本、“天天开放式”等五类资产池理财产品,募集资金91589亿元,每期理财产品在设计时未明确具体投向,预期收益率不是依据具体投向及比例、成本和收益等测算得出的,而是参照市场及同业竞争对手的定价情况确定,理财收效计算失实。
(二)结构性理财因模式设计异化而成应对监管指标考核推手。结构性理财是指通过某种约定,在客户普通存款基础上,将理财收益与国际、国内金融市场利率、债券、一揽子股票、基金、指数等各类参数挂钩,使投资结构性理财产品到期保本的同时,有机会获得比传统存款更高收益的一种理财业务。由于结构性存款理财产品的本金部分可纳入存贷比中存款的计算口径,所以部分银行为缓解存贷比压力,便以结构性存款理财之名发行未设计收益挂钩模型的理财产品,其目的就是增加存款规模以应对监管部门的存贷比考核。2011年7月短期和超短期理财限发令后,结构性存款成为银行理财市场的“明星”就是一个例证。而实际上,目前市场上发行的大多数结构性存款理财产品,名义上收益部分和外汇期权等挂钩,操作模式也与理财产品无异,但实大都与外汇期权等没有直接关系,到期后却按照与客户约定的利率进行返还,这已经完全不是原来意义上的结构性存款,而是打着结构性存款旗号涉嫌高息揽存的理财工具。如某银行青岛市分行就曾经利用该类产品兼具理财与存款的特性,向公司客户发行不含收益挂钩模型的结构性存款理财产品,再为其办理理财质押贷款,以达到虚增业务规模,并满足销售理财、营销存款及贷款等多项考核要求。
(三)非保本理财因规预期收益率兑付而使其会计核算失真。理财业务是指商业银行为客户提供财务分析、财务规划、投资顾问、资产管理等专业化服务活动。按照管理运作方式不同,可分为理财顾问服务和综合理财服务。我们一般说的银行理财产品,是指其中的综合理财服务,也就是商业银行在对潜在目标客户群进行分析研究基础上,针对特定目标客户群开发设计并销售的资金投资和管理计划。基性质一般分为保证收益理财和非保证收益理财两种。非保证收益理财产品的风险一般由购买客户自行承担,所以一般都在银行表外核算,而保证收益理财产品的投资收益与风险由客户与银行按约定的方式承担,所以一般都在银行表内核算。但调查发现,由于多数非保证收益理财产品纳入了银行资产池管理,具有资金与投向不能对应,每期收益不可计算,并多按预期收益率兑付收益等特征,已具各保证收益理财产品特质,应全部纳入银行表内核算而未纳入表内核算,导致会计核算失真。如某行由于营运管理部和托管业务部没有核算其非保本收益资产池内理财产品的负债、资产净值以及应付客户收益状况,截止2012年6月末,该银行共有4502亿元非保本、非保本一对一和滚动开放式理财产品未纳入银行资产负债表内核算,严重违反了监管部门关于理财产品发行“三不准”原则。
(四)利用理财产品绕道发放贷款变相突破信贷规模控制。银监会《关于进一步规范银行业金融机构信贷资产转让业务的通知》和《关于进一步规范银信合作有关事项的通知》规定:“银行业金融机构应当遵守信贷资产和银信理财合作业务的各项规定,不得使用理财资金(即银行销售理财产品汇集的资金)直接购买信贷资产”。“银信合作理财产品不得投资理财产品发行银行自身的信贷资产或票据资产”。但由于受存贷比及信贷规模控制,某些银行基于效益考虑便利用投资于信托受益权(如股权、企业应收账款)的理财产品变相向企业融资,从形式上看,这种信托收益权(含股权收益权转让)转让方式业务,具有明显的理财产品特征,但实质却是银行贷款,却没有在银行贷款科目中统计,相当于变相突破了监管部门的信贷规模控制。如2009年至2012年6月,某银行金融市场部和公司业务部通过理财业务累计向企业融资3801亿元。其中,保证收益类相关业务在银行资产负债表“自营单位理财投资成本”和“自营个人理财投资成本”科目中核算,却未在贷款科目内反映。而非保证收益类相关业务即未纳入银行资产负债表内反映,业未纳入银行资产负债表外反映。且这些变相融资业务,银行买断收益权日期多在信托计划成立的当天,有的甚至先将资金支付转让人,再通过虚构信托受益权转让方式为客户融资,变相规避信贷规模控制意图十分明显。如,某银行于2011年5月以其年金理事会名义与铁道部签订委托贷款合同,同日即将该委托贷款的收益权转让给金融市场部,并以企业年金理事会名义、用理财资金池中的资金委托总行营业部向铁道部发放委托贷款100亿元,融资业务在委托贷款中核算,却没有体现在银行信贷规模中。
(五)理财业务托管职能异化导致自己托管自己现象发生。关于理财业务托管问题,银监会在《进一步规范商业银行个人理财业务投资管理有关问题的通知》规定中明确,“商业银行发售理财产品,应委托具有证券投资基金托管业务资格的商业银行托管理财资金及其所投资的资产”。由于相关制度没有对托管行应履行职责的具体规定,也没有禁止具有基金托管资格的银行不得为自身理财业务实施托管的限制性条款,一些银行便出于“肥水不流外人田”和管理上便利的考虑,对理财业务托管实行了“自己托管自己”的管理模式,由于这种托管方式的权威性和独立性受到限制,致使托管职责形同虚设,流于形式等现象不断发生。以某银行为例,由于其具备托管行资质,故其大部分理财资产均采用行内“自己托管自己”的管理运作模式,比照基金托管业务要求的投资监督、信息披露等职责履行存在差距,使理财业务的合规风险不断扩大。
二、银行理财业务发展异化问题所产生的风险倾向
(一)利用理财业务“曲线”发放贷款,弱化了国家宏观调控效果。目前,各银行除了将理财产品募集资金为同业存款外,很大一部分还将理财产品募集资金用于购买银行间市场企、公司债。企业债、公司债,进而转化为实质上的银行贷款。这些贷款由于管理不规范而投向了监管禁止的政府融资平台、“两高一剩”等限制性行业,形成了事实上的“影子信贷”。而银行通过“理财”捷径,在不占自身信贷规模的情况下进行表外融资,既满足了大客户融资需求,又赚取期间利差,并将银行或有的表内资产“表外化”,绕过监管部门对信贷规模的调控,客观上减弱了国家宏观调控、抑制通胀的政策效果。
(二)银行记账方式不科学不审慎,影响了部分监管指标的真实性。由于多数非保本型机构理财产品被赋予了保本性质,却要按非保本型理财进行会计核算,不计或少计风险资产;由于“自己托管自己”模式在会计核算、托管监督、托管核算等方面都存在较大差距使;由于结构性存款理财产品的本金部分可纳入存贷比中存款的计算口径,虚增存款规模;由于各银行均不将授信类机构理财产品计入信贷资产,在拨备覆盖率指标的计算中未将其合并入分母,银行风险资产总量计算不足,会计核算失真和失实,导致监管考核指标被人为调整,进而影响了部分监管指标的真实性。
(三)理财产品风险承担主体错位,加大了理财业务的风险管理难度。对占绝对比重的非保本浮动收益型机构理财产品而言,根据买卖签订的理财合同,购买方应承担产品到期兑付风险,发行方主要承担声誉风险。但如果通过签订“隐性契约”或“阴阳合同”,使理财产品正式合同成为名义合同,甚至在附加合同中注明该基础资产到期时以银行发放的流动资金贷款作为还款来源等情况。一旦产品到期无法兑现本金和收益,银行必须按照隐性条款或合同保证兑付,使银行成为融资方违约风险的实际承担者。同时,银行在配置资产池管理模式下的理财产品资产时,有时需要通过自营账户进行购置,然后再过渡给理财产品销售部门,导致理财业务所持有的资产与自营业务持有的资产缺乏物理性的防火墙,给银行机构利用理财业务资产和自营业务资产之间转移风险或收益提供了方便,导致理财业务的管理难度被加大。
三、强化理财业务管理的工作建议
(一)强化资产池理财业务管控力度。要明确开办资产池理财业务的基础条件要求,包括风险管理体系、内部控制制度、业务运作流程、专业人员储备以及其它审慎性准入条件等,督促各商业银行按照“内控先行”的原则,建立科学的资产池理财业务的业务操作流程和风险控制机制。要严格资产池理财产品的发行,确保资金资产的匹配,防止风险在池内蔓延,严防银行利用隐性保证条款实施监管套利。要规范资产池理财产品的管理行为,防止银行通过滚动发行理财和复杂理财交易变相自买自卖和资产不对应情况,防范资产捆绑运作产生的道德风险。要统一资产池产品会计记账,统一资产池产品核算标准和会计科目,防止各银行各自为政,乱入科目,规范商业银行机构理财产品的会计核算。可允许投资结构相同、产品性质相同、品种相同的理财产品实行“资产池”组合管理,但必须做到每期理财产品的收益率可计算,否则坚决禁止。
(二)校正银行理财业务经营导向。商业银行绕开监管开发理财产品,拓展理财业务,实施冲时点、稳存款的行为,其深层次原因在于,管理部门虽然要求商业银行改进存贷比考核方法、每日报送存贷比指标,但实际上仍以月末、季末指标考核为主。为此需彻底改进存贷比指标考核办法,监管部门要以每日存贷比替代期末存贷比指标,以强有力的监管指标引导商业银行校正经营导向,规范业务行为,并辅以及时必要的风险提示和监管意见,制止商业银行的违规行为,宣示监管部门的政策意图,督促商业银行树立正确的合规意识,明确理财业务的发展方向。
(三)完善理财业务市场管理环境。各监管部门要针对商业银行理财业务在中间业务和负债业务之间的不同发展方向,制定相应的理财业务投资管理指引,尽快出台相应的理财业务会计核算办法,引导、规范银行理财业务和理财产品的创新行为,使其或者成为规范的、以资产管理为特征的商业银行中间业务,或者成为商业银行新型的存款类业务或负债类业务。同时还要建立健全理财与资金信托统计监测信息系统,通过对全国商业银行理财数据逐产品进行统计,一方面,发现问题就要及时叫停违规业务,避免风险取积,另一方面,要加大对非现场监管和现场检查中发现违法违规行为的查处力度,通过严格执法,依法惩戒,达到有效监管的预期效果。在此基础上,适时运用监管、行业自律和内部监管结合的措施,引导和规范银行理财业务的发展。
关注网上银行业务安全 篇4
一、认识贸易背景真实性的重要意义
银行承兑汇票业务是指商业银行接受承兑申请人的付款委托, 承诺在汇票到期日对收款人或持票人无条件支付汇票金额的票据行为。贸易背景真实性是办理银行承兑汇票业务的基本要求, 是合规经营的基础。银行承兑汇票业务的贸易背景不真实会导致银行信贷规模虚增, 尤其是当企业资金链断裂时, 银行方面的风险敞口增加, 随着风险的不断暴露, 处理不当会带给商业银行巨大经济损失。加强贸易背景真实性审查, 让银行承兑汇票业务建立在真实贸易背景基础上, 既是内外部监管政策的要求, 也是防范票据风险的重要措施。
二、贸易背景真实性不足的主要表现
企业承兑总量与其经营规模不匹配;前后手之间的交易不合理;购销合同或增值税发票虚假、购销合同或增值税重复使用多次开票;合同、发票、汇票的日期、金额和双方名称的逻辑关系不合理;承兑保证金、汇票到期解付资金不是承兑申请人自有资金;贴现资金回流出票人;利用关联交易开具符合银行合规性要求的“真”合同和“真”发票, 但实际为利用虚假贸易背景办理银行承兑汇票套取银行资金。
三、贸易背景真实性不足的原因及风险
银行承兑汇票业务贸易背景真实性不足的主要原因:一是银行自身业务发展压力逐年加大, 经办机构在业务考核压力下, 对一些产品的营销未考虑客户的需求, 而是从完成存款和中间业务收入等经营考核指标出发向客户搭售, 导致放松对贸易背景真实性的审查, 也为少数客户套取银行信贷资金提供可乘之机;二是经办人员工作不细致, 没有认真审核贸易背景资料的合规性、完整性, 进而影响对贸易背景真实性的确认;三是当前经济下行, 部分客户资金流动性减弱、抗风险能力下降、违约概率增大, 急需周转资金, 个别客户利用银行信息不对称, 单纯将银行承兑汇票作为融资工具套取银行信用。
为贸易背景真实性不足的客户办理银行承兑汇票业务, 可能导致银行资金脱离客户的实际经营。同时, 因客户第一还款来源不足, 可能导致信贷资金不能按时收回。
四、判别贸易背景真实性的几种方法
(一) 从客户的银承业务总量与经营规模的匹配程度判断贸易背景的真实性。
需要分析客户承兑总量是否与其基本需求一致, 从银行承兑汇票签发总量与客户经营规模的匹配度上整体考量贸易背景的真实性。一方面通过查询人行征信系统, 统计客户在各家商业银行累计办理的银行承兑汇票业务量;分析客户的财务报表, 根据其主营业务成本、存货和增值税率, 判断客户实际的采购支出金额, 结合客户其他信贷业务分析其银行承兑汇票签发总量是否与采用银承结算方式支付的货款金额相匹配;另一方面分析客户办理的银行承兑汇票总量是否超过其当年或同期经税务认证的进项增值税发票含税金额。
(二) 通过审核交易合同和发票识别贸易背景的真实性。
审核交易合同, 要关注客户所签购销合同是否符合其经营能力和经营规律, 需要注意合同标的物是否属于该客户的营业范围, 标的物价格是否在市场合理范围内, 交易双方是否形成产业链上下游关系, 是否具有交易该类合同标的物的合理性。查询发票真伪, 可以实地走访开票税务机构或拨打“12366”纳税热线电话, 需要核实发票是否银行承兑汇票收款人购买, 所提供发票或开票金额与税务机关采集信息是否一致, 是否存在增值税发票先开立后作废的现象。
通过比对多份购销合同买方和卖方印章加盖位置是否相同, “发票专用章”加盖位置和发票各主要栏次金额、发票号码、密码区、价税合计金额等是否有涂改痕迹, 判断是否存在变造、套印交易合同和发票的行为。注意甄别每笔业务的合同和发票是否重复, 审核交易合同约定的货物型号与发票的销货型号是否一致, 交易合同是否约定结算方式、交货时间、有效期间等关键要素。应重点审查合同、发票及汇票的时间、金额是否符合逻辑, 一般“合同签订日期≤汇票承兑日期≤发票开票日期”, 且发票日期应在合同有效期内;申请人提交的合同和发票记载金额应大于或等于承兑汇票金额。
(三) 根据客户经济行为的合理性印证贸易背景的真实性。
浅析网上银行业务的安全与防范 篇5
1 网上银行系统方面的安全
网上银行安全系统造成的风险主要包括两个方面:一是由于安全认证系统出现故障而形成风险。因为网络的虚拟性,交易双方都无法确保对方的身份的真实性,尤其是当当事人仅仅通过互联网交流时。在这种情况下,要建立交易双方的信用感和安全感非常困难。于是,人们在实践中发展出一种切实有效的方法来解决这个问题,电子认证应运而生。简而言之,电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。在电子认证过程中,有一个把电子签名和特定的人或者实体加以联系的管理机构,即认证机构(CA)。如果安全认证系统出现故障,商业银行将与提供认证服务的一方一起承担风险后果。因为银行负有维护网络安全的义务。二是黑客、病毒的侵袭而造成的风险。电脑黑客也是网上银行的一大危害。据统计,全球的黑客入侵事件有40%针对金融系统,所以这对金融安全的潜在风险是极大的。
2 网上银行技术方面的风险
银行最大的特点和优点在于虚拟性,它无须考虑银行的营业网点设置,只需设置虚拟的互联网站点,突破了时间和地域的限制。但是,这种虚拟性的达成依赖于自动化程度较高的技术和设备,而这些复杂的技术和设备又肯定面临。因此,和传统的银行相比较,技术风险成为网上银行所面临的最大、最特殊的风险,在具体的网上银行业务中,还常常会转化为风险。具体包括:(1)网上银行硬件系统出现问题,如果银行由于硬件系统出现技术故障而可能对客户的利益造成损失,这就要求商业银行在采购硬件系统时应对硬件系统的质量给予充分的注意;(2)因网上银行的技术软件原因出现问题,如果网络技术能力不足以支持网上银行的运作,导致支付、结算等业务出现过错而给客户造成损失或到服务质量的;(3)因客户操作上的失误产生风险,如果商业银行未向客户详细说明有关软件、硬件的操作,或者客户操作上失误并带来损失,将影响到网上银行的信誉和客户的信心。
3 网上银行经营管理方面的风险
网上银行是传统银行与高新技术结合的产物,面对复杂的网络技术,网上银行存在着对复杂技术、复杂系统的管理风险,商业银行在机系统的日常维护管理及客户商业资料的保密方面应尽到认真和谨慎义务,此外还存在着网上银行管理人员和操作人员的道德风险,对银行业务人员和技术人员的管理和约束也提出更高的要求。
基于以上的网上银行我安全风险因素,网上银行的安全是相对的,而存在的风险才是绝对的,关键是如何认识网上银行的安全与风险。第一不能一味地拒绝和回避网上银行,拒绝网上银行势必造成客户和商业银行资金运营成本的提高,降低效率,甚至错失良机。如商业银行网点营业时间有限,没有网上银行跨越时空的优势、也没有客户瞬间操作的便利,更缺少个性化的网络产品服务。第二又不能麻痹大意,认为网上银行是绝对安全没有风险,放松警惕,不论何种场合都使用网上银行进行交易,认为只要使用证书就能保护用户的安全,这种想法是错误的。不注意保管证书,使用网上银行很容易被人复制和截获。第三树立安全意识,正确提供和使用网上银行服务,是明智之举。银行提升网络系统的硬件系统安全级别和完善应用的系统结构,规范各类规章制度,加强风险控制和管理是必不可少的;网上银行的使用者选择安全的使用环境,申请设置适当必要的网上银行服务;涉及交易服务尤其是对外的付款等功能,最好使用证书作为安全的保护神,对网上银行保驾护航也是安全的选择。另外,经常更新密码,避免使用生日、门牌号、电话号码等明显容易被人获知猜到的信息。
高校财务网上银行业务的安全性分析 篇6
如何通过开通网上银行业务以提高服务能力得到了越来越多高校的关注, 并且很多高校已经开始使用了网上银行。以缴纳学费为例, 对部分教育部直属高校进行调研, 已有将近30所学校开通了网上缴纳学费业务。日常核算中的转账、电汇业务也可通过网银进行支付, 且在高校中开展的更加广泛。通过电话问询的方式对61所教育部直属高校进行了咨询, 其中已有42所高校开通了此项业务 (其中部分高校使用的是更加高效、快捷的银校直连业务) , 占总数的68.85%。此外, 部分未开通网银业务的高校已有意向开通此项业务。
另外, 根据第三方支付平台支付宝在2014年发布的统计数据显示, 全国已有132所高校可以通过其完成学费缴纳、考试报名、重修费缴纳、一卡通充值等业务。随着互联网技术的进一步发展, 将会有更多的高校选择开通网上银行业务。随着高校内涵式发展的不断推进, 必然对财务的管理水平和服务能力提出更高的要求, 而网上银行业务的开通无疑将会对这两方面能力的提升起到十分积极的作用。
二、网上银行业务服务的优势
网上银行作为传统银行业务与信息化技术结合的产物, 对高校财务而言, 除具备传统金融服务的基本特性外, 还具有实体银行无法比拟的优势。
(一) 服务方便、快捷, 不受时间、空间限制
银行通过Internet向用户提供转账汇款、账户查询、银行对账、工资发放等服务, 高校财务人员可以足不出户的完成相关工作, 与实体银行不同, 不存在办公时间等因素的限制, 增加了财务工作的灵活性, 提升了财务的整体服务能力。例如, 在传统模式下, 在进行教职工工资和学生奖助学金的发放工作时, 需将发放数据送至银行进行代发, 如遇数据格式错误、人员信息不符等问题时, 要将信息修正后再送至银行发放, 推迟了发放的时间。而通过使用网上银行的代发业务, 在出现上述问题时, 财务人员能够在第一时间获得反馈信息并及时进行后续处理, 从而不影响工资、奖助学金的发放。
(二) 实现了无纸化交易, 提高工作效率
在开通网上银行业务后, 传统的转账、汇款等业务将不必单独打印票据, 只需统一打印对应的明细单, 进而减少了财务人员的工作量。因无需打印票据, 还可节省购买相关票据的费用。另外, 使用网上银行业务后, 当汇款单位信息有误而导致转账、汇款业务未能完成时, 财务人员能够及时、快捷的从系统中查询到相关信息并通知汇款人。在传统的模式下, 这些工作需在银行交换单据后方可进行, 费时费力。
(三) 简单易用, 便于科学化管理
网上银行能够为客户提供更加方便、专业的服务, 财务人员只需简单的操作即可完成如资金划转、查询、薪金代发、电子对账等业务。另外, 其强大的账单查询功能方便用户实时掌握高校资金使用情况;其角色和权限机制可进一步加强财务内部监控。
三、高校财务推行网上银行存在的风险分析
网上银行具有许多传统实体银行所不具备的优势, 加上各个银行的大力推广, 近些年来在我国发展十分迅猛。据中国银行业协会发布的《2014年度中国银行业服务改进情况报告》显示, 截止到2014年年末, 网上银行个人客户数达到9.09亿户, 交易笔数达608.46亿笔, 可见在我国网上银行用户数量已经达到了一定的规模。据CNNIC (中国互联网络信息中心) 的相关调查报告显示, 在不选择使用网上银行的客户中, 有八成人是出于对网银安全性的担心。
网银安全事故主要发生在交易环节, 按数据交互的流程可将网银交易分为三个部分, 即客户端、银行服务器端和数据传送部分。
在数据传送部分, 客户与银行服务器通讯采用基于SSL的安全传输协议, 因其采用128位数据加密, 可确保数据在通过Internet传输过程中不会被他人截取及窃听, 因此在数据传送部分能够确保网上银行交易的安全。截止目前, 尚未有该部分被骇客破解的报道。
在服务器端, 银行在物理容灾备份、网络防火墙使用、路由访问控制、系统防黑加固、应用层安全控制等方面都建立了比较完善的保障措施, 在理论上已经风险控制到了最低, 因此是比较安全的。
对网银安全事故进行分析可知, 大多数问题均发生在客户端部分。这是因为网银用户数量众多、分布广泛, 并且个体网络安全防护意识、计算机使用水平、计算机系统安全防护措施等方面差异较大, 目前尚无法建立一套适用性强、操作简单、成本低廉的网银客户端防护体系, 因此骇客主要针对部分未采取防护措施或不足的网银用户进行攻击, 造成一定的财产损失。
(一) 网站密码暴力破解
暴力破解是在获取到用户账号的情况下, 通过软件不断地将破解词典中的字符按照一定的规则排列组合后进行尝试, 直至找到正确的登录密码。该方法虽然在理论上可以破解任何密码, 但是由于现在的大部分网站已采取密码多次输入错误后禁止登录或者登录需输入验证码等方式, 该办法已很少使用。
(二) 键盘敲击记录
该方法通过向系统植入木马程序, 当用户登录网银时, 记录用户所有的键盘敲击内容, 从而获得用户的账号名、密码等相关信息, 造成财产损失。现在很多网站均采用虚拟键盘技术, 即在用户输入密码的过程中, 只需点击鼠标即可录入密码, 从而防范了风险。
(三) 屏幕快照
该方法与键盘敲击记录相似, 只是增加了屏幕录像功能。因此, 当用户登录带有虚拟键盘的银行网站时, 骇客依然可以通过记录鼠标的点击顺序, 获得客户的账户名及密码。
(四) 获取系统控制权
骇客通过流光、superscan等软件对计算机系统进行扫描, 在发现漏洞后, 远程进行攻击并获得电脑控制权。在获得电脑控制权后, 骇客很容易就可以获取用户的用户名、数字证书等相关信息。
(五) 钓鱼网站
钓鱼网站是犯罪分子建立的与银行官网十分相似的网站, 其一般包含恶意的代码。当用户误登录到此网站时, 因警惕性不高而按网站提示将重要的个人信息透露给了犯罪分子, 从而造成财产损失。
除了上述的风险外, 财务人员的人为风险也是需要引起我们关注的, 如存在工资发放金额填写错误、转账单位填选有误等情况。同传统的银行业务相比, 网上银行业务具有非常好的实时性, 即在高校财务人员提交业务申请后, 银行系统能够马上对此申请进行处理。虽然其良好的实时性能够提高工作效率, 但同时也加大了处理人为误操作的难度, 可能会造成一定的经济损失, 存在一定的财务风险。
四、防范高校财务网上银行业务风险采取措施
网上银行风险防范措施旨在保证用户信息不被篡改、泄露, 提供高效、便利、安全的网银服务, 其主要可分为技术保障和管理制度两部分。虽然网上银行业务存在一定的风险, 但只要做好相关的防范措施, 便可将风险降至最低, 确保资金使用的安全。
(一) 利用技术手段, 降低网银使用风险
1. 多方式进行身份识别, 保证交易安全
确保网银业务安全的核心工作是对进行交易的人员进行身份的核实, 以保证网银业务的真实、准确、合法。在第二部分介绍的屏幕快照、钓鱼网站等攻击手段便是通过获取用户的账户名、密码等相关信息, 进而通过银行系统的身份验证, 获得被盗用户的网银权限, 将资金转移到其账户, 造成财产损失。
为了防范骇客攻击所带来的风险, 近些年银行采取新的技术手段对网银用户的身份进行验证, 以保证网银资金的使用安全。
(1) 数字证书
数字证书是由第三方权威机构CA证书授权中心 (Certificate Authority) 签发的文件, 它主要包含公开密钥等信息, 是在网银交易中识别对方身份的一种标识。通过使用数字证书, 能够建立起一套严密的身份认证系统, 使银行能够确认客户的身份, 并且保证信息在双方传送过程中不被其它人窃取和篡改, 确保信息的安全。
(2) USB Key (U盾)
USB Key也称为U盾, 是一种具有USB接口的硬件设备, 外形与U盘十分相似, 内置微型智能卡处理器, 从外部无法读取内部保存的证书私钥数据, 从而保证了网上交易的安全性。USB Key的安全性极高, 但是使用也相对复杂, 在使用前, 需在系统中安装对应的驱动程序, 在使用时需将其插在电脑上方可进行某些特定的网银操作。另外, 第二代U盾均带有液晶显示屏, 可将网银的交易信息显示在屏幕上, 在确认交易金额、收款单位等信息无误后, 点击U盾的确认键方可完成交易, 这样的操作方式无疑将进一步加强资金的使用安全。
(3) 短信息动态口令
短信息动态口令是用户在进行网银交易时, 银行将验证信息以短信的方式发送用户预留的手机中, 只有正确的填写验证信息后, 才能完成交易。使用此方式进行验证十分简单、方便, 用户只需携带手机便可完成验证, 而不需购买或使用其他设备。另外, 通过短信息可传递更多的附加信息, 例如告知用户此条短信是对哪项操作进行验证, 从而降低安全风险。
对高校财务而言, 通过上述3种技术的混合使用, 可以大大加强网银业务的风险防范能力, 即使骇客攻占了系统, 获得了财务账户名和密码, 因无法使用U盾和短信息动态口令进行身份验证, 依旧无法进行网银交易, 从而保证了高校资金的安全。以转账业务为例, 当财务人员进行该项业务时, 首先需要登录网上银行系统进行第一步身份验证, 通过后方可进行后续操作。在登录成功后, 即使财务人员已确认转账金额与收款单位等信息无误, 亦不能将款项进行划转, 必须插上U盾, 再次对相关信息进行核对, 核实无误后, 点击U盾上的确认键, 方可完成第二步验证。如果没有采用短信动态口令的方式, 通过第二步验证后即可将款项划转至收款单位;如采用了短信动态口令的方式, 还需填入短信验证码, 验证无误后方可完成转账业务。在验证短信息中, 包含转账金额及单位信息以便财务人员对转账业务进行核对。通过以上几步验证, 使财务人员多次对转账业务的相关信息进行核对, 确保了发生业务的真实性和准确性。骇客即使盗取了财务人员的网银用户名和密码, 亦不能通过U盾和短信息动态验证码的检测, 因此多重验证身份机制确保了资金的安全。
2. 构建专用网络, 防范网络攻击
为了防范来自网络的攻击, 可以使用银行前置机通过DDN网 (Digital Data Network, 利用数字信道传输数据信号的数据传输网, 也是平时常说的专线上网方式) 将高校业务数据与银行进行交互, 使骇客很难通过网络对系统进行攻击, 从而降低了网上银行的使用风险。
3. 定制个性化服务, 降低财务风险
通过对高校日常业务进行分析, 归纳出使用网上银行业务可能存在的安全隐患, 针对这些不足, 通过技术手段进行防范, 进而降低财务风险。如在办理薪金代发业务过程中, 连续多次向同一人员发放酬金, 网银系统需能向财务人员发送提醒, 检查代发业务的真实与准确, 杜绝误操作的发生。
(二) 加强制度建设, 杜绝安全隐患
软件运行的本质是按照用户的设定完成一系列固定的操作, 将人从繁杂、重复的劳动中解放出来, 以提高用户的工作效率和单位管理水平。因此即使设计再完美的软件, 如果用户使用不当, 一样会出现问题, 网上银行系统也是如此, 只有建立明晰的工作流程和制度规范, 才能从根本上防范风险。
为了确保网银资金使用的安全, 高校财务应从以下几方面规范工作流程和完善制度建设。
1. 建立资金支付多级审核制度
除了前面介绍的骇客攻击风险外, 操作人员的误操作也是一个潜在的风险点, 如将汇款转入错误的收款单位, 当然这在传统的实体银行业务中也是存在的。通过建立多级审核制度, 可以很大程度上避免这种情况的发生, 即业务流程的下一级对上一流程的操作进行检查, 确认无误后方可通过进入下一环节。如在日常工作中, 制单人员填写相关转账信息后, 复合人员需对这部分信息进行检查、审核, 审核通过后凭证到达出纳的环节, 出纳员会再对这部分信息进行核查, 确认无误进行转账。在使用网银转账业务的过程中, 还需增加一岗位对出纳人员的操作进行审核, 已确保发生业务的真实和准确。
同时, 该制度的实施也可有效的防范骇客攻击带来的风险, 当骇客攻破整个流程中的某一个环节时, 其无法通过后续环节的检测, 也就无法影响财务资金的使用, 从而保证了高校资金的安全。
另外, 对于大额的资金的使用, 可以采取更多级别的审核, 从而进一步保障资金安全。
2. 规范流程, 明确职责, 加强监督
网银业务的开通, 必然对原有的工作流程产生一定的影响, 高校财务应针对这一变化, 修订和完善各岗位职责, 修改工作流程, 加强监督机制, 防止内部高科技犯罪的发生, 确保资金使用的安全。
3. 提高风险意识, 确保系统安全
网上银行的使用除了要求财务人员具备财务专业技能外, 还要具备一定的计算机操作能力, 更重要的是要树立风险防范意识, 以确保计算机系统的安全、稳定。在日常工作中, 每台计算机均应安装防火墙及杀毒软件, 并定期升级;应定期更新系统的补丁, 避免骇客通过漏洞对计算机进行攻击;操作人员不得随意浏览无关网站, 打开陌生链接及电子邮件;不要随意接入移动设备, 如需使用, 在接入前应进行病毒扫描等。这些措施的使用, 将可以有效的阻止骇客对网银客户端的攻击, 从而确保资金的安全。
五、结语
网上银行系统操作简单、服务快捷的优势是不言而喻的, 近些年逐步得到了大家的普遍认同, 在高校中也得到了广泛的应用。尽管网上银行业务存在一定的交易风险, 但高校只需从技术和管理两方面入手, 提高安全等级、做好应急预案、规范财务管理, 便能够将风险降到可控范围内。在高校推进内涵式发展、提升核心竞争力的大趋势下, 财务需要不断提升自身的服务能力和管理水平, 因此网银业务的开通和使用将势在必行。
摘要:随着信息化建设的快速发展, 网上银行业务 (简称网银业务) 的应用越来越普及, 一定程度上改变了人民的生活方式。网上银行业务具有方便、快捷、操作简单等诸多优点, 对提升高校财务管理水平、提高服务质量具有十分积极的意义。因此越来越多的高校财务开通了网上银行业务, 但网上银行存在的虚拟化特性, 使部分高校不愿使用网上银行。文章对高校财务开通网银业务可能面临的风险进行了分析, 并提出了防范风险所采取的措施。
关键词:网上银行,安全性,高校财务
参考文献
[1]王峥, 王国政, 李德品.“3A银行”的乡间体验——山东省农村信用社电子银行业务亮点频呈[J].中国农村金融, 2012 (19) .
[2]秦文劭.浦发银行网上银行安全体系的构建[D].复旦大学, 2012.
[3]王峰.银行网银系统网络安全建设方案的分析与设计[D].华南理工大学, 2014.