单位文秘网 2021-10-10 08:12:59 点击: 次
11.6“虚幻”现金提取
这个主题与普通的银行卡欺诈不同,它之所以被详细描述,与其说统计结果重要,不如说反映了公众的忧虑。自动柜员机发生的所谓虚幻现金提取,是指持卡人仍然持有银行卡,但却取不出现金。如果交易需要输入卡自身(或复制品)外加持卡人的个人识别码(即PIN,由持卡人选定,但并不记人卡内),这时欺诈者将不得不面对两个“兼顾点”,发卡行不会承认这两个“兼顾点”的失密来自它们内部的安全系统,而认为这更可能来自于持卡人的家里或工作场所。换句话说,欺诈者(如果有的话)可能是家庭成员或者是亲戚。
在一個案例中,一个天才的欺诈者通过在公共场所安装“虚幻取款机”确实成功做到了双重兼顾。当持卡人使用这个伪造机器而对无法成功获得银行服务感到厌烦时,他们的卡号和PIN信息都被复制,而后被盗用。持卡人和银行对此都需要提高警惕。
11.7一般性欺诈
1995年,英国银行协会报告的一般欺诈(即非银行卡欺诈)案例中包括了大约3.16亿英镑的潜在损失和最终纪录的2600万英镑的实际损失,其主要欺诈手段与以前的伎俩很相似,尽管现代技术为他们提供了新的方式。
伪造支票:这种形式是偷取真正的支票,完全伪造签名。
假冒支票:复制真正的支票和支票形式。
冒名支票:涂改收款人姓名或收款数量。
伪造授权:包括利用信件、传真、电话、数字电报、支付工具等银行形式传递的信息。以货币在险价值度量,这是目前最大同时也是变化最多的一项。然而,只有很少的罪犯侥幸成功,其中部分原因是这些工具与柜台和结算所里所处理的支票相比是分批到达和处理。兑换/伪造背书:支票和支付工具被小偷盗用,储蓄和变现。
利用未注销效应取款前,用它们支付和取款。
其他:包括伪造货币账户上盗用公款等等。在没有价值的支票被注销之假意借款,银行职员在中止
与通常的认识相反,银行职员品行不端、进行电脑犯罪(如电脑黑客)在这些统计中并不显著。通过冒充、伪造、盗用和顶替,大部分的银行;欺诈等于外部偷窃。对银行来说,第一道和最重要的防:御线是对下列行为的识别:新客户开账户,那些客户随后要求的权利,持有人要求的支付等等。开账户的识别过程已经变得非常严格,至少对于反洗钱即是如此(见以下的11.8节)。申请人的识别是通过护照、身份证:或者驾照等证件来确认的。申请人的住址可以通过投票人名单或者最近的公共事业账单被查到。另外,开展对信用担保人调查,确保没有不利的财务记录存在也是通常的做法。
这些预防措施有助于银行与:真诚的、口碑好的客户交易,而不是与那些冒名顶替者发生业务关系。并且,这些措施对随后的误操作(疏忽了:支票的应收款或者金融工具给错了人)提供了法律保护。它们也提供了一个对比模板,防止随后再有人试图通过伪造提款单、授权或者支付工具等方法操纵账户。如果借款处在调查之中,欺诈伪造的发生可能性就会大大减少。
另一道防御线是详细审查提;云承兑的支票,审查在柜台或结算所完成。它们按照数量可能服从于一系列的检验。从对签名和其他细节的基本检验开始,用紫外线和污迹检验来区分真实支票和伪造支票(紫外线可以被用来检测伪造的塑料卡)。如果数量巨大或者情况可疑,就联系客户来确认支票。
在收到指令(客户在国外通常是这种情况)时,银行家需要用他们的全部直觉和对客户业务的了解来做出判断,签名是否完好?指令是否表现出典型特征?在这种情况下,通常可以建议建立一套密码系统,确认客户的身份时,即使邮件被截获也无法被读出。传真信件特别容易被滥用,传送端的欺诈者(可能就是客户的雇员)可以在伪造的信息上粘贴真正的签名,从而不怕接收端的检查:如果传真成为通讯的媒介,就应该免除银行的责任,而由客户承担赔偿责任。
支付工具以银行自己的格式进行提交也是基于相似的考虑,例如对于标准订单、电信转账和内陆付款。支付工具是否以通常的方式传送(通过代理、邮件等)?支付是否满足客户的业务模式或者生活方式?公司账户是付给个人受益人还是社会公益账户,或是给住宅互助协会账户?后一种账户一般是赠品,尤其当公司不是在进行正常工资支付时。
通常银行在检查部门或内部审计部门设有防欺诈机构。这个机构负责调查实际案件,向高一层经理递交合并报表,维护数字银行,在防欺诈方面与业内机构、警察、合作银行保持联络。
通常,我们认为在营业日结束时客户是银行最好的审计员。但是为了银行的声誉,银行对欺诈行为会防患于未然,而不是依靠客户的抱怨(这会使银行成为最终的输家)进行防范。
11.8 洗钱
“洗钱”是指试图将黑钱洗干净,从而使这笔钱可以光明正大地使用。“黑钱”是犯罪得到的利润,尤其是指从偷窃、欺诈、毒品交易或恐怖活动得来的钱。国内和国际的银行经常被用来“洗钱”。首先,“黑钱”可能会用假名存在多家银行的账户上,接下来就是我们所熟悉的“搅动”和“分层”,包括一系列复杂的操纵活动,把钱分解若干部分,并将其在银行系统的各个账户之间进行转移,将“黑钱”与干净的钱混在一起以掩盖其原来面目,掩盖痕迹的过程中重新合并账户,这个循环的结束就是钱已经“干净”,犯罪集团可将“干净钱”投资新的合法的和不合法的活动。
许多年来,政府部门(如欧盟国家)一致认为应该坚决制止“洗钱”活动。否则会引起歹徒和恐怖分子进一步的反社会的犯罪行为。各个国家的银行家有法律义务通知相关当局,报告有“洗钱”嫌疑的不正常交易。
在英国,根据刑事司法1993年法案和洗钱的补充规定(在欧洲指令的框架内),金融机构应保持特殊的警力和程序以防止其业务和金融系统有洗钱行为。法规特别强调客户身份的识别、记录的跟踪、内部报告和控制(与每个银行的洗钱汇报官员合作)、对员工的教育和培训。对违反者的刑罚包括关押和罚款,导致刑罚的行为有:没有遵守相关法规的规定(不管是否发生洗钱行为)、有意帮助洗钱者、向洗钱者泄露他已被监控调查的消息、没有汇报有嫌疑的消息。
除了有本国法令的相关规定外,管理当局(使用“最好实践”,这个原则最早由巴塞尔委员会在1988年发布的关于银行法规和监管实践中提出)也会对洗钱行为进行严格的监管,在极端情况下,可能会撤回银行的营业许可证。这样,银行自满的成本就太大,同时也存在同行业的压力,没有银行愿意沾上因同业其他银行的仓促行为所造成的洗钱嫌疑。
11.9 关注信息处理中心的风险
信息处理中心主要处理价值高、交易量大的交易,可能还包括与各种官员打交道,进行国内、国际支付(在英国使用CHAPS,美国是CHIPS,国际使用SWIFT),银行之间的协调,现金管理服务,支票兑现,客户贷款,信
用卡业务,分支机构账户往来。商业银行的新的处理中心集中了各种风险,而这些风险以前(在一定程度上它们是存在的)是分散在各个支行的。信息行业危造了新的互相依赖的网络中心和在线交流,而这对于提高效率和服务的连续性,进而提高银行的声誉都是至关重要的。
这些信息处理中心处于内部“经营风险”和表11.1所描述的子集的震源位置。交易风险的范围——处理过程中所出现的各类错误——也是很庞大的。错误的人账、复制和遗漏可能会引起客户的不安,并发生货币成本。未履行合同可以败坏银行在金融市场上的声誉,或者引起诉讼案件。所以,应高度重视并尽可能减小错误的发生。
首先,对于经营控制风险,这些信息中心也同样面临欺诈和洗钱问题。他们必须防范制造假钞的工具和机构,监视有嫌疑的交易,处理暂记账户,与其他银行、部门合作揭露犯罪行为。计算机中心对于黑客的破坏行为的防范力很差,计算机病毒也会导致巨大的破坏,所以病毒检查程序也是很重要的。
其次,物理上的安全也同样重要。个人计算机硬盘和相关设备应有一个现成的市场,并且应该防止偷窃的发生。银行记录和交易秘密应该严格保管,在某些情况下应该在其他位置留有备份。应该树立保护观念和有弹性的政策观点,记住:不方便和灾难可能会发生,但绝对不允许其盛行。偶然事故计划中应考虑各种可能:火灾、水灾、怠工、爆炸,以及谚语所说的像大型喷气机落在计算机中心楼顶上等不可预测的灾难。在考虑商业连续性问题时,应该考虑上面所谈到的问题。
第三,作为主要系统使用者,信息处理中心也面临系统风险。系统出现问题可以使银行业务终止一个小时或者一天。信息处理中心一般会与上游供应商签定服务级协议,并且会与银行的下游客户签定协议,规定可以得到的服务以及未满足承诺时的惩罚措施。一般来说,谁能得到更强有力的承诺保证,谁就有更好的理由提出赔偿要求。在一定程度上,服务的违约不可能全部避免,但应该对内部和外部作出保证,这也算是商业成本。
系统设计和程序错误所造成的危害与数据处理过程中出现错误的效果是一样的,但前者的代价更高:破坏将一直延续到错误原因被诊断并纠正过来,而这很耗费时间。第二章引用了一个很有名的交易灾难,该灾难使得纽约银行在1985年的一段日子里不能正常经营。研究开发新的产品和系统也需要建立保护措施防止黑客人侵以及“电子恐怖分子”(那些专事威吓和敲诈的人)、有怨言的怠工者的破坏。
逻辑上的脆弱性是电子数据处理中一个不可避免的危害。大的系统一般包括上千个程序,这些程序有不同的创作日期和创作者,并且交互执行。计算机硬件或软件上某一个区域的一点变化可能会引起其他部分不可预期的必然变化;而且系统可能会突然停止。这种杠杆作用可能会与短视行为混淆:蝴蝶自以为它在太平洋煽动翅膀会引起大西洋的飓风,而不认为这是天气使然。我们到处可以看到这种短视的程序,像2000年来临所面对的“千年虫”。
前面所谈到的只是不断扩张变化的银行业运用规模生产所面临的一些问题和体会。
11.10 交易厅
上面说到的许多内容也同样适用于交易厅前厅和后厅的管理者。交易厅里也有高价值或大批量的交易处理需求。内部规则和对交易商的交易限制问题在第10章讨论过,主要是着重于价格风险(10.8部分和附录)和考虑实际运用的方便,尽管纯粹主义者可能会认为这应属于经营控制风险。
11.11 商业连续性计划
这个表达可以与“灾难恢复”和“商业恢复计划”互换。任何认真考虑经营风险的银行都会尽量使其由于经营过程或支持系统失败造成的损失最小化。在这个世界中,不管你做出何种努力,灾难都是不可避免的。最好的例子是1997年IRA爆炸,毁坏了伦敦很多建筑,使西奈特塔倒塌。每一个商业或支持单元都需要制定可行的计划以度过这些灾难,并尽可能快的恢复正常业务,最理想的当然是一直保持经营不间断。表11.1所描述的经营风险(内部)和商业事件风险(外部)的区别并不是实质性的。灾难可以是内部的,也可以是外部的。
制定商业连续性计划,首先应确定计划的范围:经营所覆盖的范围、是否自己承担风险、是否与毗邻的计划有共同利益、是否与银行其他的计划一致。解决这些问题之后,下一步是进行商业冲击分析。这要看每一个计划所覆盖的商业职能,估计在不同的时间段上,比如一天、一周、一周以上冲击的影响。潜在冲击包括成本和收入损失、法律法规问题、银行声誉损失、失去员工和公众信任损失。使用加权记分汇总表,计划制定者可以排出哪些职能是至关重要的(灾难发生24小时之内必须恢复),哪些是必要的(一周以内必须恢复),哪些是优先性差一些的(灾难后尽可能快恢复正常)。前两个等级应该是“生存”,第三个应是“恢复”。在有些情况下,商业冲击分析可用于裁决不同商业单元争夺有限资源的竞争(预算、计算机时间分配等)。
职能的等级排序之后,计划者需识别不同的资源(基建物资、设备、服务、员工)以满足计划的需要,尤其是要识别那些处于“关键”和“必要”阶段的资源。在这个阶段,他们也可以修改选择:方案和成本。对于交易厅和其他信息中心,可考虑下面的因素:
热站(hot site):这是一个由钼:行拥有的银行建筑物和设备的完全备份场所,需要的时候随时可以全面启用。
温站(warm site):与热站功能相似,但它需要收到通知几个小时后才能建立起來。温站可以由外部供应商拥有。外部供应商提供恢复性服务,并拥有很多分散在不同的地理区域、属于不同的商业类型的客户,这样这些客户就不会同时出现紧急情况并争夺同样的空间和设施。
冷站(cold slte):便宜的办公空间或简单的基础设施,可以很快安装完成预先制造好的配件建筑。这样的场站需一个星期就可使用。
选择了使用何种恢复选项并得到预算成本支持后,商业经营单位就可以起草正式的商业连续性计划和发生灾难后的任务、责任、以及程序的细节。任命危机经理是非常必要的,这样可以经常温习、复查计划,并且可以确保危机发生时及时采取必要的措施并执行计划。如果计划的执行需要外部供应商,则有必要与他们具体协商签定正式合同或服务级协议。
商业连续性计划应定期检验,确保正常工作、更新并被相关人员所了解。大的信息处理中心可以一年内在热站或暖站进行几次现场实验,其他的运行应该至少一年检验一次。应该记录并汇报检验结果,如有必要,及时调整计划。
图11.3的流程图描述了制定计划的几个步骤。现在,有灾难恢复软件可以进行多种分析并提供合适的计划。
11.12 关键人物风险
关键人物是那些具有高商业价值、履行管理职能、对银行成功起关键作用的人物。商业连续性要求这些人员留在原有位置上。所谓关键人物风险是指这些人可能
会去寻找其他的雇主,可能会得慢性病或死亡。这些可能的负面影响可以通过适当的服务条款、报酬或工作满意度得以解决,也可以通过个人健康计划或定期体检来防止风险。即使这样,关键人物也需要在商务旅行、商务会议时得到很好的休息,他们必须有假期娱乐。
顺便说一句,在防止内部欺诈时,应注意定期的休假和轮换履行职务。在现代专业化时期,没有人能够很长时间占有一个位置并且不休息。实际上,即使能胜任,他也不会那样做。再好的明星也会有失当的时候,像我们一样。在银行界,如果有人滥用他的职权,没有人会给他第二次机会的。
银行机构应该在关键职位上做标记,确保关键人物缺乏时有合格的后备力量。这样,连续性计划就应该有兩层含义:为候选人找一个候选人,允许第一次被自己部门提名的人被其他部门雇用。互换要求员工应该是多面手,这也是员工职务轮换时的一个判断标准。
当然,只有很少一些高层管理人员位置是无法调换的,这主要是由他们的特殊才能决定的。有些人可以在短时期内守住他们的位置,但对于长期的替换,银行应该在合同终止时找猎头公司。
关键人物计划可以作为银行连续性计划的一部分,但它与续任的计划有很多的共同点。
11.13 协同努力
银行风险管理的责任最终由董事会和管理者承担。现在,风险意识被提得很高,他们无疑会使用结构性方法来管理经营风险,以行业内的最好实践为基础,以提高和保护股东的价值为目标,同时,也要满足法律法规 的要求。这样,一个计划应该包括清晰的会计责任、风险范围、控制措施。银行系统内需要一致的风险事件汇报方式,以及理性的方法测量预期与未预期的损失。最后,董事会和管理者应确保构思良好的灾难恢复/商业一致性计划在整个机构内部有适当的位置。
银行内不同的商业单元如何管理经营风险是他们自己的事情,除非他们需要向上级汇报工作。同时,在贯彻董事会决定时,资源中心扮演了催化剂、服务商、咨询者和协调人的角色。它也成为下一级商业单元和董事会及行政管理者之间交流经营风险的渠道。他们也可以召集会议或参加该领域相关利益方的会议;向董事会或风险管理委员会、执行官汇报他们的成就。最后,它作为行政管理秘书处,就经营风险问题与制定银行法规的人进行对话。
11.14 总结
经营风险的定义有很多种,但最基本的含义是指经营过程中的失误和支持系统的故障。引起风险的原因是非金融的,可以是内部风险(进一步细分后的“经营风险”),也可以是外部风险(“商业事件风险”)。主要的后果是造成财务损失和对银行声誉的破坏。在银行界,信心就是一切。
银行界发生的变化使得经营风险的重要性进一步得到提高,并寻找更好的办法将风险量化,并管理风险。
不管经营风险分散化类型有哪些,银行家都可以从中得到风险不相关的好处。分散化可以将低水平的波动平滑到只剩下“背景噪音”的水平,并且可用来估计预期损失的大小。然而很少有银行因风险而被击垮的现象。一些银行寻找办法分散风险资本,尽可能减少未预期到的损失。其他银行认为,将风险资本变得可靠,中间有太多的变数。应该在成本效益范围内,为各类风险寻找预防性的控制方法。
外部的保险在经营风险管理中只能发挥有限的作用。保险只能满足某些特殊的需要并减缓大量的损失,但它对预期到的损失并没有提供特定的经济价值,对那些严重影响到利润和偿债能力的大灾难,也不能提供保护并避免其发生。
在发生的许多发卡银行的欺诈案中,信用卡欺诈是最大的欺诈类型。在某些情况下,这种损失占平均经营损失的大部分。11.5部分描述了主要的欺诈活动类型(伪造是增长最快的欺诈活动),主要的反欺诈武器(其中,汇总系统提供了一种重要方法)。应该建立一个强有力的反欺诈部门。
11.7部分研究了大部分的欺诈类型(如无卡欺诈)。其中伪造、复制、更改支票和其他支付工具占了统计的大部分份额。银行防卫措施从新开立账户、现存账户持有者(有嫌疑的)、收款人、其他收益人的识别程序开始。要求支付的支票要经受一系列检查,包括一连串的科学检测,这取决于要求支付的数量和当时的情况。也应对其他要求支付的指令(信函、传真或银行表格)进行检查,尤其是那些国际转移或公司向个人转移的支付。
应设立一个防欺诈单位,履行检查和内部审计的职能,配合欺诈侦察工作,与其他银行交流防欺诈的方针、原则和比较欺诈数据。该单元是调查并汇报洗钱行为的重点部门。
信息处理中心和交易厅主要用于价值较高、规模较大的交易,那里集中了大量的内部经营风险、交易风险、经营控制风险和系统风险。这些风险管理的意义在11.9部分进行了讨论。
不管如何预防,灾难都有可能在任何时间袭击银行的正常经营。所有的商业和支持单位也应制定一个商业连续性计划,以保障在遭受灾难后尽快恢复正常。灾难冲击分析可以确定哪一个职能对银行的健康最重要,哪一个部门就应首先被恢复(比如,尽可能快的转移到另一个装备好的地址)。商业连续性计划应至少一年检测一次,看其是否能有效运转。
银行和它的组成单元应在它们的关键职位上做标记,并确保有合格的备选人,以防关键人物空缺。
中心应该协调和指导经营风险的管理工作,虽然每日经营细节属于每个商业单元自己的事情。智囊团应在风险测量方法和商业连续性计划中扮演咨询者的角色,同时,其作为董事会和执行官的代理者,应确保经营风险管理在专业技巧上与其他领域的风险相匹配,这方面还有许多东西需要研究,因为这还是一门不成熟的学科。
(责任编辑:单位文秘网) )地址:https://www.kgf8887.com/show-178-95250-1.html
上一篇:多媒体通信关键技术及应用
下一篇:有线传输技术特点及其发展初探
版权声明:
本站由单位文秘网原创策划制作,欢迎订阅或转载,但请注明出处。违者必究。单位文秘网独家运营 版权所有 未经许可不得转载使用