如何建立网上银行业务内控制度.doc

精选资料为强化电子银行风险监管，继电子签名法、电子支付指引之后，银监会最近颁布了电子银行业务管理办法。为此，工商银行主要采取如下措施：加强制度和系统的建设与检查，将电子银行业务风险纳入风险管理的总体框架中；建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系；设立相应的管理机构，明确管理职能，完善授权机制建设；以可靠的信息技术提高系统设计开发水平和相关设施保障能力；保证电子交易数据的安全性、保密性、完整性、真实性和不可否认性；保证所有的电子银行交易都有清晰的跟踪记录；采取有效措施识别客户真实身份，明确客户的权利义务；聘请具有相当资质的外部专业化机构对电子银行实施安全评估，进一步确保电子银行运行的安全性和风险可控性。 目前，针对网上银行的特殊风险，防范措施主要表现在以下三方面：其一，交易网络的安全性与可靠性。客户信任程度的大小决定网上银行的成败。交易网络的安全性、可靠性是提高客户信任度的关键。防火墙通常被用来保护网上银行的电子信息安全，将预防、侦测和纠正控制功能有效地结合在一起，防止未经授权者或黑客侵入银行的网络系统。网上银行通常使用私码与公码双重加密系统来保护客户信息和核实真伪。电子审计跟踪系统也被用来保护交易网络的安全性和可靠性。其二，消费者权益保护。网上银行账户的信息可能被金融机构的其他部门滥用，造成对消费者权益的侵害。相应的防范措施有电子审计跟踪系统，监管机构要求网上银行增加信息披露与透明度，制定更好的保密性和安全性监管标准，优化网上银行软件系统，提供帮助消费者识别、防范欺骗与盗窃的知识等等。此外，许多机构提供代理人帮助消费者寻找或比较相关产品以降低搜索成本。国际上，网上交易的信用风险由数字签名、提前锁定待支付金额来防范。其三，监管的国际合作。网上银行不需要有形设施便可以提供跨境国际业务，这对各国监管的有效性提出了挑战。跨境的电子银行业务产生了一些特殊的风险因素。比如，跨境履约问题、数据库共享问题；从事跨境网上银行业务及其相关联的非银行业务，可能出现不受任何国家金融管理机构监管的“真空地带”；各国监管者对本国居民进入其他司法管辖区的电子银行网址的业务活动进行监控存在困难等。因此，监管的国际合作日显重要。目前，网上银行风险管理的重要进展是巴塞尔银行监督委员会（BCBS）的电子银行工作组（EBG，1999年建立）的工作报告，制定了网上银行风险管理的14条指导性原则：管理监督；外部资源和第三方的管理；体制、数据库和运营上实行职责分离；在网上银行业务体制、数据库和运营上有经过授权的合适措施和控制系统；对所有电子交易明确的审计跟踪系统；客户身份和数据的真实有效性的证实；电子交易的不可撤销性；高级的安全控制；保证交易、档案、信息的真实完整性；合适的信息披露；保护顾客信息的私密性；保证体制与服务的连续可用性；高效的针对意外事件的应急反应系统；监管者对网上银行业务的管理结构、运营、内部控制和应急计划的外部监管评估。这些原则供各国银行和监管者在制定网上银行风险管理政策和程序时参考。我国网上银行业务管理暂行办法基本上与之相协调，但对于网上银行业务的利益冲突问题、消费者隐私保护等方面缺乏相应法规，有待进一步完善。随着金融领域开放步伐的加快，监管机构还应加强对网上银行监管的信息沟通和国际合作。如何建立网上银行业务内控制度自1996年世界上第一家网上银行美国安全第一网络银行诞生以来网上银行在世界范围内迅速发展近年来国内多家商业银行如招商银行、中国银行、中国工商银行、交通银行等也纷纷推出网上银行服务发展网上银行业务已成为当前商业银行竞争的新热点但是网上银行业务属于新生事物商业银行在网上银行风险管理方面尚缺乏必要的经验在运作过程中面临着多种风险一是法律规范问题；二是交易的安全问题；三是资金的安全问题因此建立、改进和完善网上银行业务的内部控制管理体系、防范网上银行潜在风险是商业银行的一个重要课题2001年中国人民银行下发了网上银行业务管理暂行办法对规范我国网上银行业务发展起到了指导作用据此国内各商业银行必须对网上银行业务采取一系列内控管理措施以防范网上银行业务经营风险根据内控管理有关全面性、谨慎性、有效性、独立性等原则商业银行对网上银行业务的管理应贯穿其业务全过程和各个操作环节覆盖所有使用网上银行的银行内、外部机构(单位)和个人因此网上银行的内部管理可分为三个层次第一层次是银行内部使用网上银行的管理;第二层次是银行对网上银行客户的管理;第三层次是客户内部使用网上银行的管理一、银行内部使用网上银行的管理银行内部使用网上银行的管理是指对银行内部操作网上银行系统、办理网上银行业务的机构和人员建立逐级管理和分级授权的制度主要有以下方面(一)建立开办网上银行业务的准入机制如同中央银行对商业银行开办网上银行业务必须进行审核一样商业银行总行或管辖分行对下属开办网上银行业务的营业机构也需具有相应的报批和验收手续进行业务、技术方面的可行性分析和安全评估只有满足规定技术条件和具有良好风险防范措施的营业机构才能取得受理客户使用网上银行申请、处理客户通过网上银行发起的各种交易的资格开办网上银行业务的营业机构一般应具有运行良好的计算机网络和电子化基础设施使用防火墙、电子认证等安全技术手段订立严密的规章制度配备合格的管理、技术和操作人员遵守支付结算和资金汇划纪律备有切实有效的应急措施(二)对管理网上银行客户的内部人员的管理在网上银行管理体系中网上银行客户信息和权限的维护、客户用于身份认证的数字证书的发放等一般由指定的银行内部操作人员进行操作因此对操作网上银行客户管理系统的内部人员也需建立横向制约和相互监督的管理机制比如客户信息管理人员与系统开发人员、后台业务人员不能相互兼任;建立多级的柜员管理体系总行实施对分行的监督分行实施对网点的监督；对于增加、修改、冻结、解冻网上银行客户以及重置密码等重要操作必须坚持换人授权制度；发放客户数字证书下载密码的人员必须与管理空白证书IC卡的人员实行分离；柜员的操作应由网上银行总中心进行监控并写入操作日志中进行事后检查(三)对处理网上银行业务的内部人员的管理虽然网上银行的各种交易由客户通过网络发起但进入银行内部网和业务主机系统后一般仍需由银行内部业务人员进行相关的后续处理如打印网上银行的交易凭证然后通过同城交换或电子联行等资金汇划渠道将付款人的指令发送收款人对于网上银行业务银行内部人员应做到及时、准确处理客户提交的交易严禁对网上交易指令进行抹账或篡改；定期与客户核对交易信息避免网上交易重复入账等问题二、银行对网上银行客户的管理银行对网上银行客户的管理是指银行对哪些客户可以使用网上银行客户可以使用哪些网上银行服务以及客户操作网上银行的过程和结果进行管理对客户的管理是网上银行管理最为重要的环节主要包括以下方面(一)对申请使用网上银行的客户资格条件的审查鉴于网上银行业务的风险性商业银行应对申请使用网上银行的客户规定严格的申请和审批手续申请网上银行的客户分为单位和个人两大类单位客户又可分为一般客户和集团客户(如总公司或母公司)一般客户只能查询、划转本单位账户的信息或资金集团客户根据协议有权通过网上银行管理集团内部各单位的账户资金由于账户管理和结算制度方面的要求不同银行一般对单位的资格审查严于个人对集团客户严于一般客户银行对申请网上银行客户的审查内容包括客户是否在本银行开立结算账户或信用卡账户是否一贯遵守支付结算纪律是否发生过恶意透支等不良信用记录等对于集团客户还需审查集团客户内部各单位之间是否订立授权书只有符合条件、信誉良好的客户银行才为其提供网上银行服务另外银行还需依据合同法等法规制定规范、严密的网上银行业务服务协议文本根据平等、自愿、公平的原则明确银行与客户在网上银行交易中的权利、义务和法律责任(二)对网上银行客户身份验证的管理办理网上银行业务客户与银行并非直接面对面进行交易因此银行如何鉴别客户的身份以及保证客户交易信息的可靠性、完整性、保密性是网上银行安全管理的重要环节目前商业银行一般采用以数字证书为基础的安全认证体系数字证书是一个记录用户身份和公开密钥的文件在网上银行业务中用于证实客户的身份和对网络资源访问的权限是网上银行身份认证、数据加密、数字签名的基础客户必须使用客户证书才能登录网上银行交易系统凡使用客户证书进行的操作均视做持有证书的客户所为为保证证书的可靠性、权威性、通用性国内商业银行一般采用中国金融认证中心签发的数字证书银行对客户数字证书的管理包括给客户发放唯一的证书文件提供统一的证书载体如IC卡受理客户证书冻结、挂失、注销申请等银行应告知客户妥善保管数字证书以免被他人盗用(三)对网上银行客户业务操作权限的管理不同客户对网上银行服务有不同要求如有的客户只需进行信息查询有的客户需要进行集团资金管理也有的客户需要网上买卖外汇等同样银行对不同客户也需要区别对待提供个性化、差别化的服务因此银行需根据客户的需求结合内部管理的需要对网上银行客户业务操作权限进行管理银行对客户业务操作权限的管理大致可分为业务功能权限管理、账户操作权限管理和提交金额上限管理业务功能权限管理是指客户可以使用网上银行哪些服务如查询、支付、集团资金管理、代发工资、外汇买卖、银证转账、购买债券等账户操作权限管理是指客户在网上银行可以使用哪些账户以及对每个账户的操作权限是什么如结算存款账户可以转账支付但定期存款、贷款账户只能查询提交金额上限管理是指客户通过网上银行提交的交易每次或每日累计的金额最高额度是多少另外银行还需对单位客户分配具体使用网上银行的用户数量和用户级别(四)对网上银行客户交易过程的监督为了确保网上银行系统正常运行准确、及时接收和处理网上银行业务防范网上银行异常交易的发生银行应对客户在网上银行发起的各类交易进行实时、全过程的监控和管理多数商业银行的网上银行系统采用总行统一接入然后分发各分支行处理的模式客户从网上发出交易指令起一直到银行后台业务系统主机进行账务信息处理需经过外部网、内部网以及多个应用系统和网关因此银行需对总行网关、分(支)行网关、后台业务系统等多个环节进行监控银行对客户网上银行交易监督的重点一是对原始交易信息完整性、真实性的登记银行系统应详细记录网上银行交易明细及日志包括交易数据、交易发起人、交易要素、交易结果、数字签名等以备核查；二是监控客户交易资金的流向以便及时调拨银行资金头寸以及发现和追踪网上异常的资金划转;三是发现和应对由于网络、系统引起的交易滞缓以及非法用户入侵等异常情况必要时启用应急措施；四是每日核对总行网关、分(支)行网关与后台业务系统网上银行交易数据避免发生信息丢失或不一致的问题三、客户内部使用网上银行的管理客户内部使用网上银行的管理是指客户根据自身特点和要求通过建立特定的网上银行业务授权模式、分配用户操作级别和业务权限等方式使客户在网上银行的操作过程处于一个安全体系控制之下网上银行作为一种电子银行接入渠道为客户提供了自助服务的平台客户可以随时随地使用各种网上金融产品同时因为使用网上银行的是分散的每个操作人员网上银行也加大了客户特别是单位客户的操作风险传统手工条件下单位一般制定有凭证和印章分管、主管逐级审批等内控会计规范但在网上银行业务中就无法简单套用如果对客户端网上银行用户不作限制和分工就可能引起操作混乱造成资金损失或违反结算纪律等问题因此银行必须提供并帮助客户建立客户端相应的网上银行内控机制单位客户内部使用网上银行的管理可采用用户权限管理和业务授权模式管理相结合的方式(一)网上银行客户端用户权限的管理网上银行客户端用户权限管理包括对用户操作级别和业务权限的管理根据授权分责的内部控制原则网上银行客户端的用户可分为特权用户、业务录入员、一级授权员、二级授权员、三级授权员等不同用户操作级别特权用户由银行管理其他用户由特权用户管理特权用户负责维护该单位网上银行业务授权模式和一般用户的操作级别和业务权限、监督和核对所有用户的操作日志但不能直接处理网上银行业务业务录入员负责录入网上银行交易数据然后由授权员根据相应的业务权限和授权模式负责复核确认并正式提交银行进行处理用户的业务权限的管理是指单位特权用户为每个一般用户分配可操作的业务可能、可操作的账户以及对账户提交金额上限等网上用户的操作级别和业务权限管理可与单位实际的岗位、职务设置相结合如客户的会计记账员为网上银行录入员会计复核员为一级授权员会计主管为二级授权员总会计为三级授权员单位客户可以根据实际需要随时设置或调整每个用户在网上银行的操作权限(二)网上银行客户端业务授权模式的管理网上银行业务授权模式管理是指对客户处理网上银行转账支付、集团资金管理等各类重要业务时在不同金额范围内设定不同的授权组合授权组合包括授权人数和授权级别设置业务授权模式的目的是防止单个个人操作业务全过程以及对重