继续上篇的话题，今天重点记录一下一篇英文的监管资料《Risk Management of E-banking》，即将从事银行行业或者需要了解HKMA（银行业的廉政公署）的小伙伴们，可以看看本篇文章，大大节省研究资料的时间。

马上切入重点，仍然按照先后顺序，逐步编写（有些简单的单词就直接放上来了，大家这点英文水平应该都有吧）：

1、风险类别：Operational risk，声誉与法律风险，与基础金融服务相关的风险（主要指在网上进行转账等业务引起的风险）；

2、风险治理：

Board and senior management oversight

三道防线(1相关业务线和支持功能,2风险合规功能,3内部审计职能)

Independent assessment and penetration tests(针对新增电子渠道，如人工智能方面的评估)

3、Customer security(之前没有考虑过的一种安全，里面其实描述了与客户相关的安全问题)

Notifications sent to customers

Security advice for customers(客户安全之前考虑的比较少)

Customer protection(这个说起来容易，做起来很难)；

4、网上银行系统与网络安全，这里主要是描述对于基础设施和系统安全的描述，相信大部分IT从业人员对之都有所了解，这里就不赘述了。不过，对于闭路电视的监控是规定比较仔细的，好在一般机房都具备这些功能，在向机房提要求的时候，都可以提出来。

5、其他相关控制，必须对小额转账的额度进行控制，并要求客户进行确认，有意思的是，对于大额的向其他银行的转账，要求银行要保证不能影响本银行的流动性，这个也是做IT的考虑不到的地方。里面竟然还提到的了账户聚合（个人认为是单点登录）的监管。并要求向客户说明聚合业务的安全风险。而且提到了与其他账户系统分担风险造成的损失，这一点，不做这个行业，还真想不到。

6、关于特定电子银行渠道的安全控制，主要是关于手机渠道的安全，如OTP和2FA。并且要考虑海外交易的司法问题。还有卡片的交易，这一点我没有太明白，既然是虚拟银行，我认为是不应该有实体卡片的，不知道是不是为了方便ATM使用的，毕竟支付宝这类东西，在国外似乎还不是很流行。一旦用到了实体卡片，就会涉及到伪钞的问题。同时在海外存取款的额度都要有控制。同时如何防范伪卡的措施，也是要监管的。对自助银行也提出了要求，比如钞箱的管理和监控。同时对电话银行也做出了监管规定，感觉电话银行系统都是比较成熟的了，这里也不做赘述。

7、舞弊与事件管理：这里特别指出了专业人士负责监管的要求，看来开一家银行的确不容易，稍不留神就会被贼惦记上。这里又提到了周期性的演练等事情。也提出了一旦发生诈骗等，必须第一时间保证受影响的客户的利益，同时保留法庭证据。

8、系统可用性与业务连续性管理：这里主要就是备份和恢复的问题，作为IT从业者，这些事情不得不考虑。简单的说，就是多备份、多演练、多冗余。为什么银行IT的投入都比较大，也是这个道理。没有这么多投入，想有一个稳定可靠的系统，简直是空谈。

总结一下，这份全英文的资料，反而感觉是监管规定最细致的，不知道是什么原因。难道英文资料就相对比较认真吗？不过对个人而言，通过学习这篇资料，至少对银行监管的一些规定有了初步认识。“没吃过猪肉，还没有见过猪跑吗”？另外学习了不少英文的专有名词，今后翻译类似的资料，可以有经验了。

（贴个小膏药：大家如果有需要翻译的英文资料可以找我）

附专有名词解释：

1、2FA(twofactor authentication)：

twofactor authentication refers to the use of two out of the three types of factors (i.e. (i) something a customer knows; (ii) something a customer has; and (iii) something a customer is)).

2、Customer security：向未经登记的第三方汇款，向未经登记的商户付款，直接向已登记的外部客户转账或转移积分

3、crowdfunding：众筹

4、OTP(one-time password)： 动态密码