浅谈智能柜台业务风险防范措施

王补荣

（中国银行大同分行财务运营部,山西 大同 037008）

智能柜台办理业务的便捷性给客户带来良好的体验和较高的满意度，同时也给不法分子提供了可乘之机，不法分子利用银行智能柜台目前内控制度的疏漏，通过智能柜台非法办理银行卡业务，用银行卡洗钱、诈骗、收贿受贿、骗贷、逃税漏税。网上公开售卖明码标价的银行卡。据悉近期江门某国有银行某客户丢失的身份证被不法分子盗用开户，并实施诈骗，客户被通缉，客户质疑银行未尽到尽职审查义务，一纸诉状将银行告上法庭。江苏某国有银行发生服务专员通过违规操作智能柜台，窃取客户密码，挪用客户资金的案件。

鉴于以上情况，基于商业银行高风险特性，我行对智能柜台业务中存在的风险进行分析、识别，并采取积极的风险防范措施，以便最大限度的保证客户和银行利益，维护资金市场安全。

一、金融风险防范对银行业的重要性

金融风险是指在货币经营和信用活动中，由于各种因素随机变化的影响，使金融机构或投资者的实际收益与预期收益发生背离的不确定性及其资产蒙受损失的可能性。

银行面临的金融风险大体上可分为信用风险、市场风险、流动性风险、操作风险、国家风险、利率风险、声誉风险、战略风险、信息科技风险以及其他风险。商业银行是经营风险、管控风险，并承担风险损失、获取风险收益的特殊企业。好银行的评判标准不是机构多少、规模大小，也不是一时一刻获取利润的多少，而是风险管理能力的强弱、风险管理质量的好坏、风险管理效益的高低。风险管理的目标就是在考虑成本效益的前提下，最大限度地防止和减少损失，最终保障经营活动的正常和顺利进行。具体来讲包括两个方面的内容：一是风险信号出现之前，进行有效的风险控制，防患于未然；二是在风险出现造成一定的不良影响后，尽快采取补救措施，避免损失的发生和进一步扩大。商业银行基于成本效益原则的考虑，为了实现其稳健经营的目标，应将内部控制的重点放在风险防范上。

风险防范是有目的、有意识地通过计划、组织、控制和检查等活动来阻止风险损失的发生，削弱损失发生的影响程度，以获取最大利益。银行通过强化风险防范意识，加强风险防范措施，提高风险管理水平，不断完善内部控制，并有效执行，从而保证银行实现其目标，增强在行业中的竞争力，为金融业、稳定、安全、有序发展提供保障，进而促进国家经济和社会稳定发展。

二、智能柜台办理业务存在的风险隐患

智能柜台的风险控制措施目前主要依赖证件的联网核查和服务专员的现场确认，与传统柜面业务客户身份确认方式基本一致，但由于柜面业务办理中，柜员是一对一、面对面地服务客户，专注度更高、交易场景的监控措施更完备，而智能柜台服务专员往往一对多、特别是服务专员兼职较多，实际业务处理中并不能持续保持对单一客户的关注。

智能柜台办理业务中风险的主要控制点应该包括银行职员、服务场所、设备、网络系统控制、业务流程中的数据信息展示。

（一）银行职员存在的风险隐患

智能柜台服务专员通常由原有释放的柜员转岗实现，正常情况都至少需要两个服务专员。我行因人员限制等原因，服务专员由销售开柜、大堂经理、新入职人员等兼职实现，且实际业务处理中很难持续保持对单一客户的关注，部分服务专员有可能由于工作疏忽或自身能力限制，识别不出持他人身份证件开户的非法用户。在个人客户身份识环节存在风险隐患，易被不法分子突破。

（二）服务场所存在的风险隐患

我行智能柜台基本采用若干台智能柜台设备一字排开的靠墙方式摆放，客户在智能柜台前办理业务，服务专员手持PAD在客户身后进行现场人工身份核验。设备摆放较为密集，设备与设备之间的隔板较低，业务办理模式从“面对面”转变为“背对背”，客户在智能柜台办理业务，一方面担心其他客户偷窥自己的用户密码，另一方面担心接收不到银行服务人员的提示，为此，在办理过程中，经常需要转动身体，咨询问题或者接收银行人员的提示、核验，客户体验不好，此外，有心的客户能够在近距离查看我行的现场身份核验内容，长期来讲对我行风险控制不利。

目前智能柜台服务场所尚未安装专门的摄像头（只是利用厅堂原有的摄像装置），未对服务场所进行非现场视频监控，无法对客户的异常行为进行捕捉及留存，也无法对审核人员是否按章操作进行查看。

（三）设备端存在的风险隐患

PAD端目前采用密码登陆方式，存在密码泄露而被他人冒名登陆完成审核的风险。PAD端管理要求是初级、高级审核员1人配备1台PAD，要求初级、高级审核员妥善保管，随身携带，但当人手不足或风险意识不强时情况下，难以避免1人操作多台PAD的违规行为，导致初级审核、异人复核、业务核准为一人操作的情况，使异人身份复核及高级审核的风险控制机制失效，诱发风险。

PAD损坏及设备故障由外包公司维修过程中，可能存在信息泄露及部分核心安全机制被破译的风险。

（四）IT系统存在的风险隐患

智能柜台对客户身份识别功能通过调用总行影像平台的数据实现，影像平台所使用的Oracle数据库搭建在Windows平台上，是现有系统中唯一一个搭建在Windows平台上的系统，其他系统的Oracle数据库均搭建在AIX或Linux上，其系统健壮性无可借鉴案例。

智能柜台所涉及到的Windows登陆均使用OMR域用户登陆，因此，智能柜台上线后，对OMR域的保障级别相对提升，用户安全级别已经由办公终端安全级别提升到生产系统用户安全级别，办公网域的健壮性是否足以支撑保障智能柜台的正常运作还需进一步验证。

智能柜台PAD通过柜员登陆OMR域用户，系统对域用户、对应唯一的身份证书进行双重验证，验证通过后PAD才能正常通过内网WLAN接入行内局域网。在OMR域控制系统健壮性未得到进一步提升前，一旦内网WLAN或终端入网准入控制系统异常，将导致PAD网络连接不通，无法使用。

（五）业务流程中存在的风险隐患

客户通过二代身份证认证和服务专员确认后，可通过“我的”、“打印流水（身份证）”、“改手机号”、“我的余额”等四个产品便捷的查询到其在我行的资产负债明细、修改网银关联及账户短信通知手机号。若服务专员未认真履职，存在较大的客户信息泄露风险、甚至外部欺诈风险。

三、智能柜台办理业务中的风险防范措施

（一）建立完善的人员选用、培训、激励制度

服务专员必须经过严格甄选，挑选经验丰富，业务熟练，具有较强的风险意识，能够了解关注客户真实意愿，能够应对突发情况，具备专业胜任能力的专职人员负责智能柜台业务。

建立专员和柜面人员及大堂经理之间的专属沟通渠道和专门用语，遇到风险隐患时，便于及时取得联系，联动处理突发情况。

建立奖惩制度，激发专员的工作积极性，在工作中最大限度的发挥其在风险管理中的主动性，创造性

（二）改善服务场所布局、增设摄像头

改变服务场所智能柜台设备的摆放方式，由一字排开的靠墙摆放方式，改为岛型摆放，提高设备与设备之间挡板的高度，审核人员在岛心区域办公，专员站住客户对面而不是背对客户，能够让银行人员与客户面对面，无论解答问题还是进行身份审核，都能够给予客户良好的感觉，并能够提升客户安全感和营业场所的秩序感。

智能柜台服务场所增设摄像头，实施视频监控，并按照安保及监控管理要求保留录像数据。

（三）改进和加强设备端管理

改进PAD端设备，采用定制方式及指纹登陆方式，或将现场授权模式改为在现场设备（C端）进行指纹登陆授权。

加强PAD设备外包风险的管理，在选择外包服务提供商时，必须对其技术水平与专业人员的业务能力、安全和保密措施与保险覆盖范围、相关法律法规和专业知识的了解程度、业务处理的操作和控制能力、财务状况与声誉等进行全面评估，选择业务能力强、声誉好的服务提供商。与服务提供商之间签订的正式合同中，需要明确对客户信息的保密和控制措施、赔偿责任和争端解决机制等内容。

（四）进一步完善IT信息系统

重新对影像平台原有的系统架构、保障级别、应急机制等进行评估，并根据实际需要提升完善；对智能柜台进行业务影响分析风险评估，制定应急预案。

进一步评估OMR域控系统，加强OMR域的用户管理。进一步提升内网WLAN及终端入网准入控制系统健壮性建议相关部门对内网WLAN、终端入网准入控制系统的保障应急机制进一步验证，并根据评估结果对内网WLAN、终端入网准入控制系统的安全级别进行提升。

（五）改进和优化业务流程设计信息展示控制和校验措施

表1 信息展示控制和校验措施建议表

建议在现有流程中增加一定信息展示控制和校验措施。部分风险防范措施落实后，我行智能柜台专员就成功防止了四起异常开卡业务，并将相关信息及时通知兄弟行，成功避免非法办理银行卡带来的风险。

综上所述，智能柜台业务风险防范措施，要建立完善的人员选用、培训、激励制度，要做好服务场所的合理布局和安排，要改进和加强设备端的管理，要做好IT系统的安全工作，改进优化业务流程设计的展示控制和校验措施。银行业只有不断提高风险管理水平，对风险进行有效的识别和相应的防范，才能有效的保护客户和银行的利益，维护金融市场的稳定，才能在在日益激烈的竞争中发展壮大。