电子银行风险管理原则

本文件的最终版本于 2003 年 7 月发布。 http: / / www. bis. org / publ / bcbs98. htm巴塞尔委员会关于 Ba nking Supe rvis ionRis k 管理Ele c tronic 的 Princ iple sBa nkingMay 2001 本文件的最终版本于 2003 年 7 月发布。 http: / / www. bis. org / publ / bcbs98. htm 本文件的最终版本于 2003 年 7 月发布。 http: / / www. bis. org / publ / bcbs98. htm目录执行摘要 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1I.导言 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 5A.B.风险管理挑战 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 6风险管理原则 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 7II.电子银行风险管理原则 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 8A.B.C.董事会和管理层监督 （ 原则 1 至 3 ） ... ... ... ... ... ... ... ... ... ... ... ... 9安全控制 (原则 4 至 10) ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13法律和声誉风险管理 （ 原则 11 至 14 ） ... ... ... ... ... ... ... ... 19附录一 ： 电子银行的健全安全控制实践 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 23附录二 ： 管理外包电子银行系统和服务 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 24附录三 ： 电子银行应用的合理授权做法 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 27附录四 ： 电子银行系统的健全审计跟踪实践。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 28附录五 ： 帮助维护客户隐私的合理做法电子银行信息。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 29附录六 ： 健全的能力、业务连续性和应急计划实践电子银行。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 30 本文件的最终版本于 2003 年 7 月发布。 http: / / www. bis. org / publ / bcbs98. htm 本文件的最终版本于 2003 年 7 月发布。 http: / / www. bis. org / publ / bcbs98. htm电子银行风险管理原则执行摘要持续的技术创新和现有银行组织之间的竞争新进入者已经允许更广泛的银行产品和服务变得可访问 ， 并通过电子交付给零售和批发客户分销渠道统称为电子银行。然而 ， 快速发展的电子银行能力既有风险也有收益。巴塞尔银行监管委员会预计此类风险将得到认可 ，由银行机构以审慎的方式处理和管理电子银行服务的基本特征和挑战。这些特征包括与技术和客户服务相关的前所未有的变化速度创新、开放电子网络的无处不在和全球性、电子具有传统计算机系统的银行应用程序以及对银行的日益依赖on third parties that provide the necessary information technology. While not creating固有的新风险 ， 委员会指出 ， 这些特征增加和修改与银行活动相关的一些传统风险 ， 特别是战略风险 ，操作、法律和声誉风险 ， 从而影响银行。根据这些结论 ， 委员会认为 ， 虽然现有的风险管理原则仍然适用于电子银行活动 ， 这些原则必须是量身定制的、适应的在某些情况下 ， 还扩展到解决所产生的特定风险管理挑战根据电子银行活动的特点。为此 ， 委员会认为董事会和银行高级管理层有责任采取措施确保其机构已审查并在必要时修改其现有风险管理政策和流程 ， 以涵盖其当前或计划中的电子银行活动。委员会还认为 ， 将电子银行应用程序与系统意味着对所有银行活动的综合风险管理方法银行机构。为了促进这些发展 ， 委员会确定了十四个风险管理电子银行帮助银行机构扩大现有风险的原则监督政策和程序 ， 以涵盖其电子银行活动。这些风险管理原则不是作为绝对要求提出的 ， 甚至不是 “最好的 ”做法。 “。委员会认为 ， 在电子银行领域可能会适得其反 ， 如果只是因为这些可能会由于与技术和技术相关的变化速度而迅速过时客户服务创新。因此 ， 委员会倾向于明确监管以风险管理原则的形式提出期望和指导 ， 以促进电子银行活动的安全性和稳健性 ， 同时保持必要的灵活性实现 ， 部分源自此区域的变化速度。此外 ，委员会认识到 ， 每家银行的风险状况都不同 ， 需要量身定制的风险适合电子银行业务规模的缓解方法 ， 重要性the risks present, and the willness and ability of the institution to manage these risks. This这意味着对电子银行风险管理问题采取 “一刀切 ” 的方法可能不会appropriate.1 本文件的最终版本于 2003 年 7 月发布。 http: / / www. bis. org / publ / bcbs98. htm出于类似的原因 ， 委员会发布的风险管理原则没有尝试制定与电子银行相关的具体技术解决方案或标准。技术解决方案将由机构和标准制定机构作为技术来解决evolves. However, this Report contains appendices that list some examples current and电子银行领域广泛的风险缓解措施 ， 支持风险管理原则。因此 ， 本报告中确定的风险管理原则和良好做法预计将被国家监管机构用作工具 ， 并通过改编实施to reflect specific national requirements and individual risk profiles where necessary. In some领域 ， 委员会或国家监督员在以前的银行监管指导。然而 ， 一些问题 ， 如管理外包关系、安全控制以及法律和声誉风险管理 ，由于独特的互联网分销渠道的特点和影响。风险管理原则分为三大类 ， 通常是重叠的分组以提供清晰度的问题 ： 董事会和管理监督 ； 安全控制 ； 以及法律和声誉风险管理。董事会和管理层监督因为董事会和高级管理层负责制定机构的经营战略 ， 建立有效的风险管理监督 ，他们应该做出明确、知情和有文件记录的战略决策 ， 以便银行是否以及如何提供电子银行服务。最初的决定应该是包括应对风险的具体责任、政策和控制 ， 包括在跨境背景下产生的。预计有效的管理监督将包括审查和批准银行安全控制流程的关键方面 ， 例如安全控制基础设施的开发和维护保护电子银行系统和数据免受内部和外部威胁。它还应包括管理与增加的风险相关的全面流程外包关系和第三方的复杂性和日益增长的依赖性依赖关系来执行关键的电子银行功能。安全控制虽然董事会有责任确保适当的安全电子银行的控制流程已经到位 ， 这些流程的实质需要由于电子安全带来的安全挑战加剧 ， 管理层特别关注banking. This should include establishing appropriate authorisation privileges and身份验证措施、逻辑和物理访问控制、适当的基础架构在内部和外部保持适当的边界和限制的安全用户活动以及事务、记录和信息的数据完整性。此外 ，应确保所有电子银行交易都有明确的审计线索 ， 并采取措施为保护关键电子银行信息的机密性 ， 应与这些信息的敏感性。尽管客户保护和隐私法规因司法管辖区而异 ，银行通常有明确的责任为客户提供一定程度的舒适2 本文件的最终版本于 2003 年 7 月发布。 http: / / www. bis. org / publ / bcbs98. htm关于信息披露、保护客户数据和业务可用性接近他