網絡攻擊是移動互聯網時代商業(yè)銀行面臨的外部風險之一，在商業(yè)銀行內部控制以及合規(guī)風險管理中應當受到高度重視。2018年10月1日，英國金融行為管理局（Financial Conduct Authority）對英國最大超市樂購集團（Tesco PLC）全資控股的樂購銀行（Tesco Bank）處以罰款1640萬英鎊，折合人民幣1.48億元。罰款是針對該銀行在2016年11月發(fā)生的網絡攻擊事件中未能夠勤勉、盡職保護客戶免受可預見的損失而施加的處罰。當前，國際銀行業(yè)面臨的網絡黑客攻擊形勢嚴峻，英國金融行為管理局對樂購銀行處罰案例為全球商業(yè)銀行的網絡安全管理敲響了警鐘。下面對該案例進行分析，并以案為鑒，提出對我國銀行業(yè)網絡風險管理的若干啟示及對策建議。

一、樂購銀行基本情況

（一）樂購銀行的背景及業(yè)務

樂購集團（Tesco）與沃爾瑪、家樂福并稱為全球三大零售商，樂購銀行是樂購集團旗下的網絡銀行。樂購銀行前身為樂購金融服務公司，是樂購集團與蘇格蘭皇家銀行的合資公司。2008年12月19日，樂購集團收購了蘇格蘭皇家銀行的股份，全資擁有樂購金融服務公司并更名為樂購銀行。樂購銀行可以為客戶提供一系列的金融產品及服務，包括儲蓄、現金、信用卡、抵押、貸款、保險和借記卡服務等。

在樂購銀行成立之前，樂購集團和國民西敏寺銀行（NatWest）聯合提供被稱為樂購俱樂部卡的儲蓄卡，該卡與客戶的儲蓄賬戶相關聯，客戶能夠通過該卡片進行購物和ATM取款。該卡在樂購銀行成立之后成為樂購銀行的產品。2010年，樂購銀行決定給客戶提供個人現金賬戶的借記卡，并以樂購集團存量客戶為基礎，通過忠誠度獎勵計劃將樂購俱樂部卡融合進來。截至2016年11月末，樂購銀行員工總數約為4000人，擁有760萬個客戶賬戶，13.6萬個現金賬戶。

（二）樂購銀行卡設計的缺陷

2016年12月13日之前，樂購銀行在發(fā)行借記卡時是從一批連續(xù)的5萬個數字當中以隨機的方式進行編碼，直到該批數字用完才會使用下一批數字。這導致樂購銀行借記卡出現了有依據的可被計算的按次序卡號，使網絡攻擊者容易推測出真實的借記卡卡號。在網絡攻擊發(fā)生后，樂購銀行修改了這種卡號編碼方式。

樂購銀行使用授權系統(tǒng)和欺詐交易監(jiān)測系統(tǒng)對交易進行監(jiān)控，通過授權系統(tǒng)提供基礎授權服務，通過欺詐交易監(jiān)測系統(tǒng)進行反欺詐分析和監(jiān)測。一旦出現欺詐交易，欺詐交易監(jiān)測系統(tǒng)將下達指令阻止相關交易。但樂購銀行的欺詐交易監(jiān)測系統(tǒng)在身份驗證上是針對現金賬戶而不是借記卡，缺乏雙重驗證功能，這導致即使該系統(tǒng)監(jiān)測到網絡攻擊者發(fā)起欺詐交易，且銀行已經對借記卡掛失，但網絡攻擊者仍然可以使用賬戶上的資金余額，只要該賬戶綁定了另外一張真實的借記卡。

二、樂購銀行遭受網絡攻擊事件回顧

（一）網絡攻擊發(fā)生前的風險警示

2015年11月4日，維薩國際組織（VISA）向其成員（含樂購銀行）發(fā)出銀行欺詐交易的網絡攻擊風險警示，指出美國和巴西有犯罪分子通過網絡攻擊進行“PoS91”類型交易的欺詐活動。“PoS91”是一種行業(yè)代碼，指顧客使用銀行卡通過PoS機進行交易，PoS機終端根據與借記卡相關聯的芯片非接觸或者客戶通過移動設備完成支付。收到警示信息后，樂購銀行內設的金融犯罪控制團隊立即停止了所有樂購銀行信用卡的“PoS91”類型交易，但是對借記卡的該類型交易沒有停止。2016年9月30日萬事達國際組織（Master Card）也對其成員（含樂購銀行）發(fā)出了“PoS91”類型交易欺詐警示郵件。郵件中提到，“PoS91”類型借記卡無接觸式欺詐交易通常表現為，犯罪分子偽裝成巴西賣家在美國小商品網站上進行低價值商品交易。樂購銀行金融犯罪反欺詐戰(zhàn)略團隊收到了該郵件，但并沒有采取進一步的措施。

（二）網絡攻擊的發(fā)生和樂購銀行的應對

2016年11月5日凌晨2:00，黑客對樂購銀行賬戶發(fā)起網絡攻擊，利用樂購銀行卡的編碼缺陷，計算出真實的樂購銀行借記卡卡號，再利用這些卡號生成虛擬銀行卡進行數千筆未授權的借記卡交易。凌晨4:00，樂購銀行的欺詐交易監(jiān)測系統(tǒng)給賬戶持有人發(fā)送信息，提醒客戶其賬戶發(fā)生可疑交易活動。賬戶持有人隨即與樂購銀行客戶服務人員進行電話聯系。樂購銀行的金融犯罪控制團隊這才了解到可疑交易活動的發(fā)生，但對于是否應將這些可疑交易活動判斷為網絡攻擊，還需要進一步鑒別。

在網絡攻擊發(fā)生時，樂購銀行的金融犯罪控制團隊通過郵件試圖聯系金融犯罪反欺詐戰(zhàn)略團隊，而不是按照規(guī)定通過電話方式聯系，這導致金融犯罪控制團隊直到11月5日晚上23:00才與對方取得聯系。金融犯罪反欺詐戰(zhàn)略團隊從2016年11月6日凌晨1:48開始編制指令試圖阻止可疑交易，但指令的實施效果不明顯，這是因為其錯誤地使用歐洲貨幣代碼替代巴西國家代碼。雖然金融犯罪反欺詐戰(zhàn)略團隊很快發(fā)現了錯誤，重新編制交易阻止指令，但是還是有一些“PoS91”類型交易避開了樂購銀行的授權和欺詐交易監(jiān)測系統(tǒng)的監(jiān)測。

金融犯罪反欺詐戰(zhàn)略團隊隨后尋求外部專家支援以解決問題。直到2016年11月7日00:59，外部專家才找到問題產生的原因，原來是在最初編制交易阻止指令時引入了錯誤的編碼。11月7日03:35在線交易阻止指令才開始全面生效。11月8日，樂購銀行開始恢復正常的銀行客戶活動，期間部分客戶使用ATM機還需要進行身份驗證。11月9日8:00，樂購銀行撤銷所有針對網絡攻擊的相關措施，全面恢復正常營業(yè)。

（三）樂購銀行應對網絡攻擊事件暴露出來的問題

一是管理人員未及時采取適當措施阻止網絡攻擊。當未能與金融犯罪反欺詐戰(zhàn)略團隊取得聯系時，樂購銀行沒有采取任何措施阻止攻擊的發(fā)生，導致由網絡攻擊產生的欺詐交易不斷進行，截至交易阻止指令發(fā)出時，已產生46000個欺詐交易，可見樂購銀行未有盡到勤勉責任、保護客戶免受網絡攻擊。

二是應對網絡攻擊時出現操作性失誤。金融犯罪反欺詐戰(zhàn)略團隊編制指令以阻止源自于網絡攻擊形成的欺詐交易時，使用了錯誤的國家代碼，使得阻止指令無法及時生效。此外，由于在編制阻止指令時引入錯誤的編碼，致使部分欺詐交易避開監(jiān)測，阻止指令未能全面生效，導致客戶的權益持續(xù)受到損害。

三是信息系統(tǒng)設計存在嚴重缺陷。在第二次編制交易阻止指令時，在外部專家協助下發(fā)現，樂購銀行的欺詐交易監(jiān)測系統(tǒng)將監(jiān)測對象設置為個人賬戶而不是借記卡，這意味與交易相關聯的借記卡即使被盜或丟失，與該卡相關聯的可疑交易也不會被欺詐交易監(jiān)測系統(tǒng)所發(fā)覺。

（四）網絡攻擊事件對樂購銀行的影響

一是客戶資產受到較大損失。盡管樂購銀行及時阻止了約80%的未授權欺詐交易，但仍有8261個賬戶受到影響，資金損失達到226萬英鎊。據事后統(tǒng)計，在網絡攻擊過程中，客戶個人賬戶受到損失的程度并不相同：約7000位客戶損失在500英鎊以下；超過600位客戶的個人賬戶損失500～1000英鎊；超過600位客戶損失1000～5000英鎊；23位客戶損失5000～10000英鎊；損失最為嚴重的客戶的賬戶發(fā)生22次欺詐交易，總計損失65000英鎊。此外，由于欺詐交易的發(fā)生，樂購銀行客戶的賬戶出現余額扣除現象，導致668筆沒有支付的交易直接計入客戶的賬戶，樂購銀行不得不花費約9000英鎊用以支付全部受到攻擊的客戶賬戶因欺詐交易產生的利息和費用①。

二是客戶體驗受到較大的負面影響。部分客戶在網絡攻擊發(fā)生后的數日內無法正常使用銀行卡，給生活和工作帶來了諸多不便。超過5000位客戶的賬戶發(fā)生0元酒店預訂的授權批準，而實際交易被店家或賣家撤銷、并沒有發(fā)生。部分客戶在接到樂購銀行發(fā)出的可疑交易監(jiān)測短信后，試圖通過電話聯系銀行客戶服務中心，卻無法從電話咨詢中獲得任何幫助。據統(tǒng)計，在11月6日當天，樂購銀行的電話服務熱線接到來自客戶的3887個電話，但94.4%的電話由于等待時間太長而未有接聽。

（五）樂購銀行的事后救濟措施

一是啟動消費者補償方案。在發(fā)生網絡攻擊之后，樂購銀行立即啟動消費者補償方案以彌補客戶的損失。樂購銀行將因欺詐交易而擬計入客戶賬戶的金額取消，同時立即退還相關客戶賬戶費用及利息，并根據個案的情況補償部分客戶的直接損失和精神損失。

二是對內部控制問題進行反省并配合監(jiān)管部門開展整改。在網絡攻擊發(fā)生后，樂購銀行委托獨立第三方對網絡攻擊事件進行審查。經外部專家證實，在網絡攻擊過程中沒有發(fā)生個人數據泄漏，該結論得到英國金融行為管理局的認可。此外，樂購銀行對網絡攻擊發(fā)生的原因與本行應對工作進行評估，完善了欺詐交易監(jiān)測的流程及程序設計。

三、英國金融行為管理局對樂購銀行處罰要點及分析

（一）英國金融行為管理局的處罰認定

英國金融行為管理局認為，犯罪分子利用樂購銀行借記卡設計缺陷和金融犯罪控制團隊工作的疏忽開展網絡攻擊，在此過程中，樂購銀行違反了《2000年金融服務與市場法》，違背了消費者保護、保護與加強金融市場完整性的兩大要旨。此外，根據英國金融行為管理局發(fā)布的《決定程序和懲罰手冊》（Decision Procedure and Penalties Manual）規(guī)定，商業(yè)銀行必須以盡職、謹慎和勤勉的態(tài)度來開展業(yè)務，保護其客戶免受金融犯罪的侵害。據此，英國金融行為管理局對樂購銀行作出罰款的處罰。

（二）罰款金額的計算與確定

英國金融行為管理局根據《決定程序和懲罰手冊》，通過違法利益收繳、違法嚴重性評估、引入減輕和加重因素三個步驟，計算和決定罰單金額的適當水平。

第一步，違法利益收繳。監(jiān)管當局首先要收繳金融機構從直接違反相關規(guī)定的行為中獲得的收益。在該步驟的評估中，樂購銀行獲益的金額為零。

第二步，違法嚴重性的評估。英國金融行為管理局指出，違法嚴重性是根據金融機構在違規(guī)行為期間相關的業(yè)務或產品對消費者帶來的損害以及風險進行衡量。英國金融行為管理局認為，樂購銀行案中的違法嚴重性應按照網絡攻擊期間平均每個現金賬戶承受的風險金額進行計算，具體時間從2014年6月1日（樂購銀行開始發(fā)行借記卡）到2016年11月9日（樂購銀行開始恢復正常操作）。通過分時期、分階段進行計算，處罰金額總計3356萬英鎊。

第三步，引入減輕和加重因素。英國金融行為管理局認為，不存在要加重處罰的因素，并將以下因素列為減輕處罰的因素：一是樂購銀行積極配合監(jiān)管調查；二是在網絡攻擊發(fā)生之后，立即啟動對本行管理的第三方評估，并根據評估情況進行了整改；三是對金融犯罪控制團隊加大資源投入，擴充隊伍并開展培訓；四是啟動實施消費者補償方案；五是樂購銀行應對網絡攻擊的措施阻止了80%欺詐交易的發(fā)生。綜上，可以對樂購銀行減輕處罰，處罰金額降低至2343萬英鎊。鑒于樂購銀行配合英國金融行為管理局的監(jiān)管調查并盡快提出了解決方案，可以進一步降低處罰，最終英國金融行為管理局對樂購銀行因違反《決定程序和懲罰手冊》而課以處罰的總金額為1640萬英鎊。

（三）英國金融行為管理局對樂購銀行處罰案中體現的監(jiān)管要旨

1.強調金融消費者保護。英國金融行為管理局從成立之初，就一直強調“消費者是監(jiān)管核心”的理念，在所有的監(jiān)管環(huán)節(jié)中始終將金融消費者保護置于最重要的位置。在樂購銀行遭受網絡攻擊后，英國金融行為管理局經過歷時兩年的調查，作出了相關的處罰決定，樂購銀行不僅要繳納相應的罰金，還要補償消費者226萬英鎊，這一處罰體現了英國金融行為管理局堅持金融消費者權益至上的理念。

2.加大對違規(guī)行為本身的處罰。在整個網絡攻擊事件中，樂購銀行內部控制與合規(guī)風險管理暴露出較多的問題。英國金融行為管理局對樂購銀行的處罰主要基于以下幾點：金融產品設計存在缺陷，對消費者利益保護不足，忽視對網絡攻擊的預警，應對攻擊事件不當。這反映了在涉及到風險管理方面，英國金融行為管理局更注重對商業(yè)銀行違規(guī)行為的處罰，而不是僅僅考慮攻擊事件的最終結果以及金融消費者是否得到了合理的補償。

3.重視商業(yè)銀行內部控制機制建設及執(zhí)行。英國金融行為管理局對樂購集團的風險管理框架、董事會對金融犯罪的防控、銀行合規(guī)風險管理三道防線的運行進行審查，認為樂購銀行的金融犯罪治理框架是清晰的，每一項機制在框架內都有獨特的職責，為降低樂購銀行所面臨的金融犯罪風險發(fā)揮了有效作用。但是，樂購銀行在應對網絡攻擊過程中，有關的負責人和管理人員未能以專業(yè)、謹慎和勤勉的方式履行職責，沒有采取適當的措施緩釋正在發(fā)生的網絡犯罪風險、確保網絡犯罪帶來的影響得到較好的控制。英國金融行為管理局指出，樂購銀行雖然內部控制機制架構健全，但是在機制運行方面卻存在較為嚴重的問題，這也是英國金融行為管理局對樂購銀行進行處罰的主要原由所在。

四、商業(yè)銀行網絡安全合規(guī)風險管理的提升路徑：英國金融行為管理局對樂購銀行處罰案帶來的啟示

（一）在防范網絡攻擊上，商業(yè)銀行要加強對合規(guī)風險的識別與評估

金融與互聯網的深度融合使得網絡攻擊可能發(fā)生在任何場景之中。若商業(yè)銀行采用的互聯網技術未能與業(yè)務發(fā)展需要相匹配，犯罪分子便可能會利用銀行的管理漏洞從事違法犯罪行為。在英國樂購銀行網絡攻擊案件中，犯罪分子發(fā)現樂購銀行借記卡的編號漏洞，于是利用云計算模式展開網絡攻擊，通過偽造欺詐交易以圖獲利。這一網絡攻擊事件凸顯了樂購銀行在合規(guī)風險識別和評估上的缺陷。

合規(guī)風險的識別與評估是合規(guī)風險管理的前提和基礎。英國金融行為管理局指出，樂購銀行合規(guī)風險管理的失職之處主要在于，收到國際銀行卡組織發(fā)出的警報后，并未采取及時、有效的行動防范可能的網絡攻擊。如果樂購銀行積極開展合規(guī)風險的識別與評估，就會對網絡環(huán)境和自身狀況有更加清晰、明確的認識，及時采取措施加強風險管理、避免網絡攻擊的發(fā)生。

綜上所述，小學階段是學生思維能力過渡發(fā)展的重要階段，所以在小學教學中，教師應該把抽象復雜的教學知識具體形象化，隨著社會信息化進程的不斷加快，現代信息技術已經滲透到各個行業(yè)，在此時代背景下，小學教學也應該與時俱進，積極改革教學技術，以充分滿足小學教學的實際需要，而信息化教學資源為廣大師生提供了豐富的教學資源，不僅充分體現了新課改的教學理念，還確保了課堂教學活動的豐富性和趣味性，顯著提升了小學教學水平，增強了學生的綜合素養(yǎng)。

（二）在應對網絡攻擊上，商業(yè)銀行要強化對合規(guī)風險的監(jiān)測和檢查

（三）在風險事件發(fā)生后，商業(yè)銀行應當努力維護金融消費者權益，加強與監(jiān)管部門的溝通

外部風險沖擊事件往往致使商業(yè)銀行遭受聲譽損失以及來自監(jiān)管部門的懲罰。為逃避責任，有的商業(yè)銀行管理層會對風險事件加以掩蓋。樂購銀行在網絡攻擊發(fā)生之后，立即聘請第三方開展內部控制評估、進行內部整改，及時停止異常交易，防止消費者損失進一步擴大。對已造成的損失，樂購銀行在清查之后對消費者進行了全面的補償。此外，樂購銀行始終保持與監(jiān)管當局的良好溝通，最終與英國金融行為管理局達成和解協議，英國金融行為管理局減輕了對該行的處罰力度。盡職維護金融消費者權益，加強與監(jiān)管當局的溝通，積極配合監(jiān)管當局開展整改，是商業(yè)銀行合規(guī)風險管理的必要舉措。

（四）在維護網絡安全上，商業(yè)銀行應當加強內部控制體系建設并保障體系有效運行

應對網絡安全風險，必須在公司治理層面建立統(tǒng)一的網絡安全合規(guī)風險管理框架，對每個業(yè)務部門的職責加以明確劃分、配置適當的資源以確保各個條線、部門、崗位盡職履行合規(guī)風險管理職責。英國金融行為管理局經評估指出，樂購銀行的網絡安全治理框架是合適的，但合規(guī)風險管理的具體執(zhí)行過程中出現了較為嚴重的問題，內部管理缺失，相關工作人員既缺乏專業(yè)化知識應對網絡風險事件，也沒有以謹慎和勤勉的態(tài)度履行職責，這是導致網絡攻擊事件發(fā)生的根源。由此可見，維護網絡安全，商業(yè)銀行必須加強內部控制體系建設并保障其合理、順暢運行，方能切實發(fā)揮網絡安全合規(guī)風險管理框架的作用、實現風險防控的目標。

五、對我國商業(yè)銀行加強網絡安全合規(guī)風險管理的若干建議

從國內情況看，當前互聯網信息科技與銀行業(yè)務高度融合，網絡運營、管理和服務成為商業(yè)銀行打造核心競爭力的關鍵環(huán)節(jié)，維護網絡安全也成為銀行合規(guī)風險管理的重要目標。2017年6月1日生效實施的《中華人民共和國網絡安全法》對商業(yè)銀行網絡安全管理提出了更高要求。商業(yè)銀行應當根據國家法律法規(guī)對網絡安全管理的最新要求，加強對網絡安全形勢的分析與研判，進一步提高網絡安全的合規(guī)風險管理能力。

（一）建立健全網絡安全合規(guī)風險管理框架，明確公司治理層面和各部門職責分工

網絡安全屬于信息科技風險管理范疇，是操作風險管理的重要內容。商業(yè)銀行在構建合規(guī)風險管理框架時，有必要將網絡安全作為信息科技風險治理的重要目標納入其中，明確董事會、監(jiān)事會、高級管理層和相關部門的職責分工，建立多層次、相互銜接的運行機制，確保網絡安全合規(guī)風險管理體制機制的有效運行以及監(jiān)督機制作用的發(fā)揮。在公司治理層面，可以考慮成立網絡安全風險治理委員會，專門負責網絡安全、防范網絡攻擊。各業(yè)務部門承擔與本部門相關的網絡安全合規(guī)風險管理職責，由合規(guī)部門對業(yè)務部門履職進行監(jiān)督及檢查，由審計部門對業(yè)務部門、合規(guī)部門進行審計監(jiān)督，并且做好對影響銀行正常運營的網絡安全事故的跟蹤調查與審計。

（二）加大網絡安全的合規(guī)風險管理的資源投入，加強對員工的專業(yè)化培訓

在當前網絡安全形勢嚴峻的背景下，商業(yè)銀行有必要加大對網絡安全合規(guī)風險管理的資源投入，做到資源投入與網絡風險、業(yè)務規(guī)模、管理需要等相適應。一是要配置有關網絡安全防護的軟件和硬件設施，維護網絡及系統(tǒng)順暢運行，防范潛在的網絡攻擊；二是加大人力資源投入，配置專業(yè)化水平較高的網絡安全管理人員，妥善地管理網絡安全合規(guī)風險、及時預警并發(fā)現可能的網絡攻擊事件；三是定期對在崗人員進行專業(yè)化培訓，使從業(yè)人員對商業(yè)銀行面臨的網絡風險具有充分的認識，能夠根據不同的情況及時采取有效的應對措施。

（三）加強網絡安全合規(guī)風險的識別與評估，提前做好風險防范

一是建立網絡安全合規(guī)風險定期評估制度。定期對網絡系統(tǒng)的信息風險進行評估，及時更新硬件設備及操作流程以糾正信息系統(tǒng)、業(yè)務流程與內部控制措施的偏離。盡管大部分商業(yè)銀行對網絡安全的重視程度不斷提高，但有的商業(yè)銀行仍然缺乏有效應對網絡安全漏洞的管理與修復機制，這便給網絡攻擊者提供了可乘之機。合規(guī)風險管理部門在開展網絡安全合規(guī)風險評估的過程中，要著重關注網絡安全漏洞的修復與管理，盡早將可能的風險隱患識別出來。二是根據風險評估情況開展定期的周期性滲透測試和漏洞評估。通過系統(tǒng)掃描結果和風險評估結果，對網絡安全漏洞逐一進行辨認和排查，做好信息系統(tǒng)的合規(guī)風險審查。三是建立網絡安全突發(fā)事件應對機制。當網絡安全事件影響信息系統(tǒng)的保密性、完整性以及金融機構的正常運營時，立即進行響應并快速評估信息系統(tǒng)的受損情況，進而對系統(tǒng)加以修復和完善。合規(guī)風險管理部門要從風險評估機制、控制措施及安全事件的應對機制等方面開展監(jiān)督和檢查，督促業(yè)務部門加強和完善網絡安全合規(guī)風險管理。

（四）加強網絡安全事件監(jiān)測和檢查，盡早排查風險因子

一是加強對網絡安全事件的監(jiān)測和檢查，建立健全監(jiān)察制度并安排專人負責該項任務。二是完善網絡安全管理制度，制定訪問權限、應用程序安全審查、特定情形的復合因素認證要求、數據保存等網絡安全控制程序，增加保密和認證環(huán)節(jié)，提高網絡系統(tǒng)的保密性和安全性。三是對已識別或者監(jiān)測到的網絡安全事件進行快速回應，第一時間采取有效措施控制風險因子，隔絕風險源，緩釋風險點帶來的損害，降低網絡安全事件帶來的不良影響程度。

（五）確保責任機制有效落實，提高合規(guī)風險管理水平

一是落實金融消費者保護機制。當網絡攻擊事件發(fā)生后，商業(yè)銀行要重視金融消費者權益保護，盡快清查消費者遭受的損失并進行合理賠償。這既是商業(yè)銀行合規(guī)風險管理的必然要求，也是商業(yè)銀行承擔社會責任的重要內容。但從實際情形來看，有的商業(yè)銀行并沒有積極落實金融消費者保護機制，在網絡安全事件發(fā)生時，對金融消費者權益的保護有所忽視，致使消費者蒙受損失。二是落實整改責任機制。通過排查、整改內部控制中存在的問題，提高風險管理水平，能夠避免合規(guī)風險事件的再次發(fā)生。商業(yè)銀行應當對存在網絡安全合規(guī)風險的業(yè)務流程及制度缺陷進行及時的改造，彌補管理上的漏洞，切實發(fā)揮合規(guī)管理機制的風險防控功能。