繼續上篇的話題，今天重點記錄一下一篇英文的監管資料《Risk Management of E-banking》，即將從事銀行行業或者需要了解HKMA（銀行業的廉政公署）的小夥伴們，可以看看本篇文章，大大節省研究資料的時間。

馬上切入重點，仍然按照先後順序，逐步編寫（有些簡單的單詞就直接放上來了，大家這點英文水平應該都有吧）：

1、風險類別：Operational risk，聲譽與法律風險，與基礎金融服務相關的風險（主要指在網上進行轉賬等業務引起的風險）；

2、風險治理：

Board and senior management oversight

三道防線(1相關業務線和支援功能,2風險合規功能,3內部審計職能)

Independent assessment and penetration tests(針對新增電子渠道，如人工智慧方面的評估)

3、Customer security(之前沒有考慮過的一種安全，裡面其實描述了與客戶相關的安全問題)

Notifications sent to customers

Security advice for customers(客戶安全之前考慮的比較少)

Customer

4、網上銀行系統與網路安全，這裡主要是描述對於基礎設施和系統安全的描述，相信大部分IT從業人員對之都有所瞭解，這裡就不贅述了。不過，對於閉路電視的監控是規定比較仔細的，好在一般機房都具備這些功能，在向機房提要求的時候，都可以提出來。

5、其他相關控制，必須對小額轉賬的額度進行控制，並要求客戶進行確認，有意思的是，對於大額的向其他銀行的轉賬，要求銀行要保證不能影響本銀行的流動性，這個也是做IT的考慮不到的地方。裡面竟然還提到的了賬戶聚合（個人認為是單點登入）的監管。並要求向客戶說明聚合業務的安全風險。而且提到了與其他賬戶系統分擔風險造成的損失，這一點，不做這個行業，還真想不到。

6、關於特定電子銀行渠道的安全控制，主要是關於手機渠道的安全，如OTP和2FA。並且要考慮海外交易的司法問題。還有卡片的交易，這一點我沒有太明白，既然是虛擬銀行，我認為是不應該有實體卡片的，不知道是不是為了方便ATM使用的，畢竟支付寶這類東西，在國外似乎還不是很流行。一旦用到了實體卡片，就會涉及到偽鈔的問題。同時在海外存取款的額度都要有控制。同時如何防範偽卡的措施，也是要監管的。對自助銀行也提出了要求，比如鈔箱的管理和監控。同時對電話銀行也做出了監管規定，感覺電話銀行系統都是比較成熟的了，這裡也不做贅述。

7、舞弊與事件管理：這裡特別指出了專業人士負責監管的要求，看來開一家銀行的確不容易，稍不留神就會被賊惦記上。這裡又提到了週期性的演練等事情。也提出了一旦發生詐騙等，必須第一時間保證受影響的客戶的利益，同時保留法庭證據。

8、系統可用性與業務連續性管理：這裡主要就是備份和恢復的問題，作為IT從業者，這些事情不得不考慮。簡單的說，就是多備份、多演練、多冗餘。為什麼銀行IT的投入都比較大，也是這個道理。沒有這麼多投入，想有一個穩定可靠的系統，簡直是空談。

總結一下，這份全英文的資料，反而感覺是監管規定最細緻的，不知道是什麼原因。難道英文資料就相對比較認真嗎？不過對個人而言，通過學習這篇資料，至少對銀行監管的一些規定有了初步認識。“沒吃過豬肉，還沒有見過豬跑嗎”？另外學習了不少英文的專有名詞，今後翻譯類似的資料，可以有經驗了。

（貼個小膏藥：大家如果有需要翻譯的英文資料可以找我）

附專有名詞解釋：

1、2FA(twofactor authentication)：

twofactor authentication refers to the use of two out of the three types of factors (i.e. (i) something a customer knows; (ii) something a customer has; and (iii) something a customer is)).

2、Customer security：向未經登記的第三方匯款，向未經登記的商戶付款，直接向已登記的外部客戶轉賬或轉移積分

3、crowdfunding：眾籌

4、OTP(one-time password)： 動態密碼