自1996年世界上第一家網上銀行棗美國安全第一網絡銀行誕生以來，網上銀行在世界范圍內迅速發(fā)展。近年來，國內多家商業(yè)銀行，如招商銀行、中國銀行、中國工商銀行、交通銀行等也紛紛推出網上銀行服務。發(fā)展網上銀行業(yè)務已成為當前商業(yè)銀行競爭的新熱點。

　　但是，網上銀行業(yè)務屬于新生事物，商業(yè)銀行在網上銀行風險管理方面尚缺乏必要的經驗，在運作過程中面臨著多種風險：一是法律規(guī)范問題；二是交易的安全問題；三是資金的安全問題。因此，建立、改進和完善網上銀行業(yè)務的內部控制管理體系、防范網上銀行潛在風險是商業(yè)銀行的一個重要課題。

　　2001年中國人民銀行下發(fā)了《網上銀行業(yè)務管理暫行辦法》，對規(guī)范我國網上銀行業(yè)務發(fā)展起到了指導作用。據此，國內各商業(yè)銀行必須對網上銀行業(yè)務采取一系列內控管理措施，以防范網上銀行業(yè)務經營風險。根據內控管理有關全面性、謹慎性、有效性、獨立性等原則，商業(yè)銀行對網上銀行業(yè)務的管理應貫穿其業(yè)務全過程和各個操作環(huán)節(jié)，覆蓋所有使用網上銀行的銀行內、外部機構(單位)和個人。因此，網上銀行的內部管理可分為三個層次：第一層次是銀行內部使用網上銀行的管理; 第二層次是銀行對網上銀行客戶的管理; 第三層次是客戶內部使用網上銀行的管理。

　　一、銀行內部使用網上銀行的管理

　　銀行內部使用網上銀行的管理是指對銀行內部操作網上銀行系統(tǒng)、辦理網上銀行業(yè)務的機構和人員建立逐級管理和分級授權的制度。主要有以下方面：

　　(一)建立開辦網上銀行業(yè)務的準入機制

　　如同中央銀行對商業(yè)銀行開辦網上銀行業(yè)務必須進行審核一樣，商業(yè)銀行總行或管轄分行對下屬開辦網上銀行業(yè)務的營業(yè)機構也需具有相應的報批和驗收手續(xù)，進行業(yè)務、技術方面的可行性分析和安全評估。只有滿足規(guī)定技術條件和具有良好風險防范措施的營業(yè)機構，才能取得受理客戶使用網上銀行申請、處理客戶通過網上銀行發(fā)起的各種交易的資格。開辦網上銀行業(yè)務的營業(yè)機構一般應具有運行良好的計算機網絡和電子化基礎設施，使用防火墻、電子認證等安全技術手段，訂立嚴密的規(guī)章制度，配備合格的管理、技術和操作人員，遵守支付結算和資金匯劃紀律，備有切實有效的應急措施。

　　(二)對管理網上銀行客戶的內部人員的管理

　　在網上銀行管理體系中，網上銀行客戶信息和權限的維護、客戶用于身份認證的數字證書的發(fā)放等一般由指定的銀行內部操作人員進行操作。因此，對操作網上銀行客戶管理系統(tǒng)的內部人員也需建立橫向制約和相互監(jiān)督的管理機制。比如，客戶信息管理人員與系統(tǒng)開發(fā)人員、后臺業(yè)務人員不能相互兼任; 建立多級的柜員管理體系，總行實施對分行的監(jiān)督，分行實施對網點的監(jiān)督；對于增加、修改、凍結、解凍網上銀行客戶，以及重置密碼等重要操作必須堅持換人授權制度；發(fā)放客戶數字證書下載密碼的人員必須與管理空白證書IC卡的人員實行分離；柜員的操作應由網上銀行總中心進行監(jiān)控并寫入操作日志中，進行事后檢查。

　　(三)對處理網上銀行業(yè)務的內部人員的管理

　　雖然網上銀行的各種交易由客戶通過網絡發(fā)起，但進入銀行內部網和業(yè)務主機系統(tǒng)后，一般仍需由銀行內部業(yè)務人員進行相關的后續(xù)處理，如打印網上銀行的交易憑證，然后通過同城交換或電子聯(lián)行等資金匯劃渠道將付款人的指令發(fā)送收款人。對于網上銀行業(yè)務，銀行內部人員應做到及時、準確處理客戶提交的交易，嚴禁對網上交易指令進行抹賬或篡改；定期與客戶核對交易信息，避免網上交易重復入賬等問題。

　　二、銀行對網上銀行客戶的管理

　　銀行對網上銀行客戶的管理是指銀行對哪些客戶可以使用網上銀行，客戶可以使用哪些網上銀行服務，以及客戶操作網上銀行的過程和結果進行管理。對客戶的管理是網上銀行管理最為重要的環(huán)節(jié)，主要包括以下方面：

　　(一)對申請使用網上銀行的客戶資格條件的審查

　　鑒于網上銀行業(yè)務的風險性，商業(yè)銀行應對申請使用網上銀行的客戶規(guī)定嚴格的申請和審批手續(xù)。申請網上銀行的客戶分為單位和個人兩大類。單位客戶又可分為一般客戶和集團客戶(如總公司或母公司)。一般客戶只能查詢、劃轉本單位賬戶的信息或資金。集團客戶根據協(xié)議，有權通過網上銀行，管理集團內部各單位的賬戶資金。由于賬戶管理和結算制度方面的要求不同，銀行一般對單位的資格審查嚴于個人，對集團客戶嚴于一般客戶。

　　銀行對申請網上銀行客戶的審查內容包括客戶是否在本銀行開立結算賬戶或信用卡賬戶，是否一貫遵守支付結算紀律，是否發(fā)生過惡意透支等不良信用記錄等，對于集團客戶還需審查集團客戶內部各單位之間是否訂立授權書。只有符合條件、信譽良好的客戶，銀行才為其提供網上銀行服務。另外，銀行還需依據《合同法》等法規(guī)，制定規(guī)范、嚴密的網上銀行業(yè)務服務協(xié)議文本，根據平等、自愿、公平的原則，明確銀行與客戶在網上銀行交易中的權利、義務和法律責任。

　　(二)對網上銀行客戶身份驗證的管理

　　辦理網上銀行業(yè)務，客戶與銀行并非直接面對面進行交易，因此銀行如何鑒別客戶的身份，以及保證客戶交易信息的可靠性、完整性、保密性，是網上銀行安全管理的重要環(huán)節(jié)。目前，商業(yè)銀行一般采用以數字證書為基礎的安全認證體系。

　　數字證書是一個記錄用戶身份和公開密鑰的文件，在網上銀行業(yè)務中用于證實客戶的身份和對網絡資源訪問的權限，是網上銀行身份認證、數據加密、數字簽名的基礎。客戶必須使用客戶證書才能登錄網上銀行交易系統(tǒng)。凡使用客戶證書進行的操作，均視做持有證書的客戶所為。為保證證書的可靠性、權威性、通用性，國內商業(yè)銀行一般采用中國金融認證中心簽發(fā)的數字證書。

　　銀行對客戶數字證書的管理包括給客戶發(fā)放唯一的證書文件，提供統(tǒng)一的證書載體如IC卡，受理客戶證書凍結、掛失、注銷申請等。銀行應告知客戶妥善保管數字證書，以免被他人盜用。

　　(三)對網上銀行客戶業(yè)務操作權限的管理

　　不同客戶對網上銀行服務有不同要求，如有的客戶只需進行信息查詢，有的客戶需要進行集團資金管理，也有的客戶需要網上買賣外匯等。同樣，銀行對不同客戶也需要區(qū)別對待，提供個性化、差別化的服務。因此，銀行需根據客戶的需求，結合內部管理的需要，對網上銀行客戶業(yè)務操作權限進行管理。

　　銀行對客戶業(yè)務操作權限的管理大致可分為業(yè)務功能權限管理、賬戶操作權限管理和提交金額上限管理。業(yè)務功能權限管理是指客戶可以使用網上銀行哪些服務，如查詢、支付、集團資金管理、代發(fā)工資、外匯買賣、銀證轉賬、購買債券等。賬戶操作權限管理是指客戶在網上銀行可以使用哪些賬戶，以及對每個賬戶的操作權限是什么，如結算存款賬戶可以轉賬支付，但定期存款、貸款賬戶只能查詢。提交金額上限管理是指客戶通過網上銀行提交的交易，每次或每日累計的金額最高額度是多少。另外，銀行還需對單位客戶分配具體使用網上銀行的用戶數量和用戶級別。

　　(四)對網上銀行客戶交易過程的監(jiān)督

　　為了確保網上銀行系統(tǒng)正常運行，準確、及時接收和處理網上銀行業(yè)務，防范網上銀行異常交易的發(fā)生，銀行應對客戶在網上銀行發(fā)起的各類交易進行實時、全過程的監(jiān)控和管理。多數商業(yè)銀行的網上銀行系統(tǒng)采用總行統(tǒng)一接入，然后分發(fā)各分支行處理的模式?？蛻魪木W上發(fā)出交易指令起，一直到銀行后臺業(yè)務系統(tǒng)主機進行賬務信息處理，需經過外部網、內部網以及多個應用系統(tǒng)和網關。因此，銀行需對總行網關、分(支)行網關、后臺業(yè)務系統(tǒng)等多個環(huán)節(jié)進行監(jiān)控。

　　銀行對客戶網上銀行交易監(jiān)督的重點，一是對原始交易信息完整性、真實性的登記，銀行系統(tǒng)應詳細記錄網上銀行交易明細及日志，包括交易數據、交易發(fā)起人、交易要素、交易結果、數字簽名等，以備核查；二是監(jiān)控客戶交易資金的流向，以便及時調撥銀行資金頭寸，以及發(fā)現和追蹤網上異常的資金劃轉; 三是發(fā)現和應對由于網絡、系統(tǒng)引起的交易滯緩，以及非法用戶入侵等異常情況，必要時啟用應急措施；四是每日核對總行網關、分(支)行網關與后臺業(yè)務系統(tǒng)網上銀行交易數據，避免發(fā)生信息丟失或不一致的問題。

　　三、客戶內部使用網上銀行的管理

　　客戶內部使用網上銀行的管理是指客戶根據自身特點和要求，通過建立特定的網上銀行業(yè)務授權模式、分配用戶操作級別和業(yè)務權限等方式，使客戶在網上銀行的操作過程處于一個安全體系控制之下。網上銀行作為一種電子銀行接入渠道，為客戶提供了自助服務的平臺，客戶可以隨時隨地使用各種網上金融產品。同時，因為使用網上銀行的是分散的每個操作人員，網上銀行也加大了客戶特別是單位客戶的操作風險。傳統(tǒng)手工條件下，單位一般制定有憑證和印章分管、主管逐級審批等內控會計規(guī)范，但在網上銀行業(yè)務中就無法簡單套用。如果對客戶端網上銀行用戶不作限制和分工，就可能引起操作混亂，造成資金損失或違反結算紀律等問題。因此，銀行必須提供并幫助客戶建立客戶端相應的網上銀行內控機制。單位客戶內部使用網上銀行的管理可采用用戶權限管理和業(yè)務授權模式管理相結合的方式。

　　(一)網上銀行客戶端用戶權限的管理

　　網上銀行客戶端用戶權限管理包括對用戶操作級別和業(yè)務權限的管理。根據授權分責的內部控制原則，網上銀行客戶端的用戶可分為特權用戶、業(yè)務錄入員、一級授權員、二級授權員、三級授權員等不同用戶操作級別。特權用戶由銀行管理，其他用戶由特權用戶管理。特權用戶負責維護該單位網上銀行業(yè)務授權模式和一般用戶的操作級別和業(yè)務權限、監(jiān)督和核對所有用戶的操作日志，但不能直接處理網上銀行業(yè)務。業(yè)務錄入員負責錄入網上銀行交易數據，然后由授權員根據相應的業(yè)務權限和授權模式負責復核確認并正式提交銀行進行處理。用戶的業(yè)務權限的管理是指單位特權用戶，為每個一般用戶分配可操作的業(yè)務可能、可操作的賬戶，以及對賬戶提交金額上限等。

　　網上用戶的操作級別和業(yè)務權限管理可與單位實際的崗位、職務設置相結合，如客戶的會計記賬員為網上銀行錄入員，會計復核員為一級授權員，會計主管為二級授權員，總會計為三級授權員。單位客戶可以根據實際需要，隨時設置或調整每個用戶在網上銀行的操作權限。

　　(二)網上銀行客戶端業(yè)務授權模式的管理

　　網上銀行業(yè)務授權模式管理，是指對客戶處理網上銀行轉賬支付、集團資金管理等各類重要業(yè)務時，在不同金額范圍內設定不同的授權組合。授權組合包括授權人數和授權級別。設置業(yè)務授權模式的目的，是防止單個個人操作業(yè)務全過程，以及對重要業(yè)務和一般業(yè)務、大額交易和小額交易區(qū)別管理，實行不同級別的授權控制方式。比如，某一客戶通過網上銀行進行對外支付時，1萬元以下的交易只需一個一級授權員確認即可：1萬至5萬元，必須由一個一級授權員和一個二級授權員確認；5萬元以上，還需三級授權員確認。

　　業(yè)務授權模式一般由單位特權用戶根據日常的內部會計控制規(guī)范和資金管理模式設置，可以因事因人而異。業(yè)務授權模式與用戶權限管理相結合，為網上銀行客戶提供了嚴密、有效、靈活的管理機制，確保客戶網上銀行交易的安全性。