[美国《网络银行环境审核指引》的修订及内容]再融资审核指引

　　摘要：美国联邦金融机构审查委员会（FFIEC）修订了2005年指引，旨在在网络环境风险不断增加情势下，强化2005年指引的风险管理框架，强化FFIEC成员对与消费者审核相关的监督权，建立多重安全保障及风险管理措施。
　　关键词：网络银行 环境审核 风险管理
　　
　　 一、主要内容
　　2011年《网络银行环境审核指引》（以下简称2011年指引）强调网络银行风险评估的重要性，提出减轻认证风险的有效策略，要求金融机构致力提高消费者风险意识，并将于2012年1月生效。2011年指引主要内容包括重申2005年指引原则要求，建立多重安全体系，确立金融机构对消费者风险警示和教育义务。
　　
　　 二、监管要求
　　（一）加强风险评估
　　要求金融机构在开展新的电子金融服务之前或者至少每过12个月，根据可获取的新信息复核并升级其现有风险评估措施，调整消费者审核管理以确保足以应对与消费者在线账户有关的新威胁。评估因素有：金融机构内部和外部风险环境变化；使用电子银行的消费者群体变化；电子银行向消费者提供的功能变化；金融机构或金融业遭受的欺诈、识别码失窃、安全漏洞等事故。
　　（二）高风险交易消费者审核
　　在线零售银行业务通常包括获取账户信息、账单支付、银行间资金转移以及电汇。此类交易的频繁度和金额通常低于商业交易，其风险相对较低。金融机构应当采取多重安全体系，覆盖消费者交易的全部风险。在线商业交易通常包括票据自动化交易（ACH）原始文件和银行间频繁的电汇。此类交易的频繁度、金额、账户余额都通常高于零售银行业务，对金融机构和消费者而言风险相对较高。金融机构应当采取多重安全体系，以及覆盖商业交易全部风险管理措施；并应当对企业消费者提供多重审核。
　　（三）多重安全体系
　　其主要内容包括欺诈检测和监控系统，考虑消费者历史记录、行为、及时且有效的金融机构反应等；通过不同设备对消费者进行多重共审核；对交易进行带外验证；使用“有效支付”、透支验证、以及其他技术对账户交易进行必要的限制；加强对账户行为的管理，如交易价值限额、付款接受人、每日交易限额、支付窗口限制；通过IP技术防止欺诈或涉嫌欺诈的可以链接到银行服务；确定易被欺诈的高风险消费者人群，并为消费者提供防欺诈识别设备；加强对消费者账户变动的全面管理，包括在线或其他服务途径实施的变动；加强消费者教育，提高消费者防欺诈意识和有效的技能，以减少风险。建立可疑行为发现和应对机制，具体包括：进入金融机构电子银行系统的消费者初始登录和审核提问；转账等电子交易的提问；企业/商业账户系统管理人的管理等。
　　（四）其他有效审核技术
　　2011年指引下的复杂认证手段包括摒弃简单认证手段，利用“一次一密码”服务器技术，产生更为复杂的数字“指纹”进行认证，包括个人电脑核对、互联网协议地址、局域地址以及其他个性化要素。金融机构设置提问及正确答案，用于原始登录审核，以及登录后确认具体交易时的消费者再次审核。与认证手段相似，提问可以通过多种方式进行，从而成为一种有效的审核工具。在提问基础上，金融机构可以在消费者首次登记在线银行系统时提供的一系列问题中，选择一个或多个进行核证。2011年指引下实施精密提问：增加问题难度，并实施多重提问。
　　（五）消费者意识和教育
　　2011年指引要求：提供与电子转账相关的保护措施解释；阐明在非消费者主动告知情况下，金融机构可能联系消费者并要求其提供电子银行证书的情形和具体方式；建议商业网络账户消费者进行定期的相关风险评估和管理评价；向消费者提供一系列可供选择的风险控制机制，或者告知获取上述措施的方式；告知消费者金融机构联系方式（这些联系方式应是畅通无限制的）。
　　
　　 三、常见网络银行风险及应对
　　（一）常见风险
　　常见风险包括：其一，键盘记录恶意软件。在安装了该程序的个人电脑上，记录键盘轨迹，窃取金融机构登录ID、密码、提问答案，登录消费者账户并转移资金，通常通过电汇或ACH交易实现。其二，网路浏览器（MIM）或网路密码装置（MIB）攻击。在线会话拦截消费者发提交的审核认证证书、改变交易内容、增加非消费者授权的额外交易、将资金转入诈骗犯控制的账户或诱导消费者链接诈骗犯设置的网址。
　　（二）应对
　　常见网络银行风险及应对措施主要有：一是反恶意软件。用于防止、检测、组织、卸载恶意、间谍软件等，如“一次一密码”（OTP）识别码技术，识别码自产生后有效期限只有30-60秒，不易破解安全性较高。二是交易监测/异常检测软件。在线银行对可疑资金转移进行监测，可在交易完成前停止可疑ACH/电汇资金转移，可疑交易可被进一步审查甚至取消。三是带外审核。在交易启动（如网络）的同时，通过另外独立传输渠道（如电话）进行再次审查或验证，以确保交易能够完成。四是USB设备。防止恶意软件入侵，强化电脑安全。USB设备的“只读”设置，可以防止消费者或个人电脑中恶意软件的更改。五是其他措施。如限制资金转移接受人，建立收款人“黑白”名单；建立、实施、定期复核制度，分别针对企业消费者整体和登记的个体消费者设置企业消费者交易价值限额或参数；针对异常账户行为，建立个人交易和整体账户限制等。
　　
　　参考文献：
　　[1]刘海平.美国网上银行业务风险控制概要[J].国际金融研究,2000,(08)
　　[2]熊志强.加强网上银行风险监管的思考[J].武汉金融,2005,(06)
　　[3]黄栋.浅谈美国网络银行的发展策略及对我国的启示[J].海南金融, 2006,(10)
　　[4]李天懋.网上银行非法交易监管难点及建议[J].中国金融,2009,(22)