如何建立网上银行业务内控制度
来源: 金融会计·孙磊
2002-11-20
普通
自1996年世界上第一家网上银行棗美国安全第一网络银行诞生以来,网上银行在世界范围内迅速发展。近年来,国内多家商业银行,如招商银行、中国银行、中国工商银行、交通银行等也纷纷推出网上银行服务。发展网上银行业务已成为当前商业银行竞争的新热点。
但是,网上银行业务属于新生事物,商业银行在网上银行风险管理方面尚缺乏必要的经验,在运作过程中面临着多种风险:一是法律规范问题;二是交易的安全问题;三是资金的安全问题。因此,建立、改进和完善网上银行业务的内部控制管理体系、防范网上银行潜在风险是商业银行的一个重要课题。
2001年中国人民银行下发了《网上银行业务管理暂行办法》,对规范我国网上银行业务发展起到了指导作用。据此,国内各商业银行必须对网上银行业务采取一系列内控管理措施,以防范网上银行业务经营风险。根据内控管理有关全面性、谨慎性、有效性、独立性等原则,商业银行对网上银行业务的管理应贯穿其业务全过程和各个操作环节,覆盖所有使用网上银行的银行内、外部机构(单位)和个人。因此,网上银行的内部管理可分为三个层次:第一层次是银行内部使用网上银行的管理; 第二层次是银行对网上银行客户的管理; 第三层次是客户内部使用网上银行的管理。
一、银行内部使用网上银行的管理
银行内部使用网上银行的管理是指对银行内部操作网上银行系统、办理网上银行业务的机构和人员建立逐级管理和分级授权的制度。主要有以下方面:
(一)建立开办网上银行业务的准入机制
如同中央银行对商业银行开办网上银行业务必须进行审核一样,商业银行总行或管辖分行对下属开办网上银行业务的营业机构也需具有相应的报批和验收手续,进行业务、技术方面的可行性分析和安全评估。只有满足规定技术条件和具有良好风险防范措施的营业机构,才能取得受理客户使用网上银行申请、处理客户通过网上银行发起的各种交易的资格。开办网上银行业务的营业机构一般应具有运行良好的计算机网络和电子化基础设施,使用防火墙、电子认证等安全技术手段,订立严密的规章制度,配备合格的管理、技术和操作人员,遵守支付结算和资金汇划纪律,备有切实有效的应急措施。
(二)对管理网上银行客户的内部人员的管理
在网上银行管理体系中,网上银行客户信息和权限的维护、客户用于身份认证的数字证书的发放等一般由指定的银行内部操作人员进行操作。因此,对操作网上银行客户管理系统的内部人员也需建立横向制约和相互监督的管理机制。比如,客户信息管理人员与系统开发人员、后台业务人员不能相互兼任; 建立多级的柜员管理体系,总行实施对分行的监督,分行实施对网点的监督;对于增加、修改、冻结、解冻网上银行客户,以及重置密码等重要操作必须坚持换人授权制度;发放客户数字证书下载密码的人员必须与管理空白证书IC卡的人员实行分离;柜员的操作应由网上银行总中心进行监控并写入操作日志中,进行事后检查。
(三)对处理网上银行业务的内部人员的管理
虽然网上银行的各种交易由客户通过网络发起,但进入银行内部网和业务主机系统后,一般仍需由银行内部业务人员进行相关的后续处理,如打印网上银行的交易凭证,然后通过同城交换或电子联行等资金汇划渠道将付款人的指令发送收款人。对于网上银行业务,银行内部人员应做到及时、准确处理客户提交的交易,严禁对网上交易指令进行抹账或篡改;定期与客户核对交易信息,避免网上交易重复入账等问题。
二、银行对网上银行客户的管理
银行对网上银行客户的管理是指银行对哪些客户可以使用网上银行,客户可以使用哪些网上银行服务,以及客户操作网上银行的过程和结果进行管理。对客户的管理是网上银行管理最为重要的环节,主要包括以下方面:
(一)对申请使用网上银行的客户资格条件的审查
鉴于网上银行业务的风险性,商业银行应对申请使用网上银行的客户规定严格的申请和审批手续。申请网上银行的客户分为单位和个人两大类。单位客户又可分为一般客户和集团客户(如总公司或母公司)。一般客户只能查询、划转本单位账户的信息或资金。集团客户根据协议,有权通过网上银行,管理集团内部各单位的账户资金。由于账户管理和结算制度方面的要求不同,银行一般对单位的资格审查严于个人,对集团客户严于一般客户。
银行对申请网上银行客户的审查内容包括客户是否在本银行开立结算账户或信用卡账户,是否一贯遵守支付结算纪律,是否发生过恶意透支等不良信用记录等,对于集团客户还需审查集团客户内部各单位之间是否订立授权书。只有符合条件、信誉良好的客户,银行才为其提供网上银行服务。另外,银行还需依据《合同法》等法规,制定规范、严密的网上银行业务服务协议文本,根据平等、自愿、公平的原则,明确银行与客户在网上银行交易中的权利、义务和法律责任。
(二)对网上银行客户身份验证的管理
办理网上银行业务,客户与银行并非直接面对面进行交易,因此银行如何鉴别客户的身份,以及保证客户交易信息的可靠性、完整性、保密性,是网上银行安全管理的重要环节。目前,商业银行一般采用以数字证书为基础的安全认证体系。
数字证书是一个记录用户身份和公开密钥的文件,在网上银行业务中用于证实客户的身份和对网络资源访问的权限,是网上银行身份认证、数据加密、数字签名的基础。客户必须使用客户证书才能登录网上银行交易系统。凡使用客户证书进行的操作,均视做持有证书的客户所为。为保证证书的可靠性、权威性、通用性,国内商业银行一般采用中国金融认证中心签发的数字证书。
银行对客户数字证书的管理包括给客户发放唯一的证书文件,提供统一的证书载体如IC卡,受理客户证书冻结、挂失、注销申请等。银行应告知客户妥善保管数字证书,以免被他人盗用。
(三)对网上银行客户业务操作权限的管理
不同客户对网上银行服务有不同要求,如有的客户只需进行信息查询,有的客户需要进行集团资金管理,也有的客户需要网上买卖外汇等。同样,银行对不同客户也需要区别对待,提供个性化、差别化的服务。因此,银行需根据客户的需求,结合内部管理的需要,对网上银行客户业务操作权限进行管理。
银行对客户业务操作权限的管理大致可分为业务功能权限管理、账户操作权限管理和提交金额上限管理。业务功能权限管理是指客户可以使用网上银行哪些服务,如查询、支付、集团资金管理、代发工资、外汇买卖、银证转账、购买债券等。账户操作权限管理是指客户在网上银行可以使用哪些账户,以及对每个账户的操作权限是什么,如结算存款账户可以转账支付,但定期存款、贷款账户只能查询。提交金额上限管理是指客户通过网上银行提交的交易,每次或每日累计的金额最高额度是多少。另外,银行还需对单位客户分配具体使用网上银行的用户数量和用户级别。
(四)对网上银行客户交易过程的监督
为了确保网上银行系统正常运行,准确、及时接收和处理网上银行业务,防范网上银行异常交易的发生,银行应对客户在网上银行发起的各类交易进行实时、全过程的监控和管理。多数商业银行的网上银行系统采用总行统一接入,然后分发各分支行处理的模式。客户从网上发出交易指令起,一直到银行后台业务系统主机进行账务信息处理,需经过外部网、内部网以及多个应用系统和网关。因此,银行需对总行网关、分(支)行网关、后台业务系统等多个环节进行监控。
银行对客户网上银行交易监督的重点,一是对原始交易信息完整性、真实性的登记,银行系统应详细记录网上银行交易明细及日志,包括交易数据、交易发起人、交易要素、交易结果、数字签名等,以备核查;二是监控客户交易资金的流向,以便及时调拨银行资金头寸,以及发现和追踪网上异常的资金划转; 三是发现和应对由于网络、系统引起的交易滞缓,以及非法用户入侵等异常情况,必要时启用应急措施;四是每日核对总行网关、分(支)行网关与后台业务系统网上银行交易数据,避免发生信息丢失或不一致的问题。
三、客户内部使用网上银行的管理
客户内部使用网上银行的管理是指客户根据自身特点和要求,通过建立特定的网上银行业务授权模式、分配用户操作级别和业务权限等方式,使客户在网上银行的操作过程处于一个安全体系控制之下。网上银行作为一种电子银行接入渠道,为客户提供了自助服务的平台,客户可以随时随地使用各种网上金融产品。同时,因为使用网上银行的是分散的每个操作人员,网上银行也加大了客户特别是单位客户的操作风险。传统手工条件下,单位一般制定有凭证和印章分管、主管逐级审批等内控会计规范,但在网上银行业务中就无法简单套用。如果对客户端网上银行用户不作限制和分工,就可能引起操作混乱,造成资金损失或违反结算纪律等问题。因此,银行必须提供并帮助客户建立客户端相应的网上银行内控机制。单位客户内部使用网上银行的管理可采用用户权限管理和业务授权模式管理相结合的方式。
(一)网上银行客户端用户权限的管理
网上银行客户端用户权限管理包括对用户操作级别和业务权限的管理。根据授权分责的内部控制原则,网上银行客户端的用户可分为特权用户、业务录入员、一级授权员、二级授权员、三级授权员等不同用户操作级别。特权用户由银行管理,其他用户由特权用户管理。特权用户负责维护该单位网上银行业务授权模式和一般用户的操作级别和业务权限、监督和核对所有用户的操作日志,但不能直接处理网上银行业务。业务录入员负责录入网上银行交易数据,然后由授权员根据相应的业务权限和授权模式负责复核确认并正式提交银行进行处理。用户的业务权限的管理是指单位特权用户,为每个一般用户分配可操作的业务可能、可操作的账户,以及对账户提交金额上限等。
网上用户的操作级别和业务权限管理可与单位实际的岗位、职务设置相结合,如客户的会计记账员为网上银行录入员,会计复核员为一级授权员,会计主管为二级授权员,总会计为三级授权员。单位客户可以根据实际需要,随时设置或调整每个用户在网上银行的操作权限。
(二)网上银行客户端业务授权模式的管理
网上银行业务授权模式管理,是指对客户处理网上银行转账支付、集团资金管理等各类重要业务时,在不同金额范围内设定不同的授权组合。授权组合包括授权人数和授权级别。设置业务授权模式的目的,是防止单个个人操作业务全过程,以及对重要业务和一般业务、大额交易和小额交易区别管理,实行不同级别的授权控制方式。比如,某一客户通过网上银行进行对外支付时,1万元以下的交易只需一个一级授权员确认即可:1万至5万元,必须由一个一级授权员和一个二级授权员确认;5万元以上,还需三级授权员确认。
业务授权模式一般由单位特权用户根据日常的内部会计控制规范和资金管理模式设置,可以因事因人而异。业务授权模式与用户权限管理相结合,为网上银行客户提供了严密、有效、灵活的管理机制,确保客户网上银行交易的安全性。
但是,网上银行业务属于新生事物,商业银行在网上银行风险管理方面尚缺乏必要的经验,在运作过程中面临着多种风险:一是法律规范问题;二是交易的安全问题;三是资金的安全问题。因此,建立、改进和完善网上银行业务的内部控制管理体系、防范网上银行潜在风险是商业银行的一个重要课题。
2001年中国人民银行下发了《网上银行业务管理暂行办法》,对规范我国网上银行业务发展起到了指导作用。据此,国内各商业银行必须对网上银行业务采取一系列内控管理措施,以防范网上银行业务经营风险。根据内控管理有关全面性、谨慎性、有效性、独立性等原则,商业银行对网上银行业务的管理应贯穿其业务全过程和各个操作环节,覆盖所有使用网上银行的银行内、外部机构(单位)和个人。因此,网上银行的内部管理可分为三个层次:第一层次是银行内部使用网上银行的管理; 第二层次是银行对网上银行客户的管理; 第三层次是客户内部使用网上银行的管理。
一、银行内部使用网上银行的管理
银行内部使用网上银行的管理是指对银行内部操作网上银行系统、办理网上银行业务的机构和人员建立逐级管理和分级授权的制度。主要有以下方面:
(一)建立开办网上银行业务的准入机制
如同中央银行对商业银行开办网上银行业务必须进行审核一样,商业银行总行或管辖分行对下属开办网上银行业务的营业机构也需具有相应的报批和验收手续,进行业务、技术方面的可行性分析和安全评估。只有满足规定技术条件和具有良好风险防范措施的营业机构,才能取得受理客户使用网上银行申请、处理客户通过网上银行发起的各种交易的资格。开办网上银行业务的营业机构一般应具有运行良好的计算机网络和电子化基础设施,使用防火墙、电子认证等安全技术手段,订立严密的规章制度,配备合格的管理、技术和操作人员,遵守支付结算和资金汇划纪律,备有切实有效的应急措施。
(二)对管理网上银行客户的内部人员的管理
在网上银行管理体系中,网上银行客户信息和权限的维护、客户用于身份认证的数字证书的发放等一般由指定的银行内部操作人员进行操作。因此,对操作网上银行客户管理系统的内部人员也需建立横向制约和相互监督的管理机制。比如,客户信息管理人员与系统开发人员、后台业务人员不能相互兼任; 建立多级的柜员管理体系,总行实施对分行的监督,分行实施对网点的监督;对于增加、修改、冻结、解冻网上银行客户,以及重置密码等重要操作必须坚持换人授权制度;发放客户数字证书下载密码的人员必须与管理空白证书IC卡的人员实行分离;柜员的操作应由网上银行总中心进行监控并写入操作日志中,进行事后检查。
(三)对处理网上银行业务的内部人员的管理
虽然网上银行的各种交易由客户通过网络发起,但进入银行内部网和业务主机系统后,一般仍需由银行内部业务人员进行相关的后续处理,如打印网上银行的交易凭证,然后通过同城交换或电子联行等资金汇划渠道将付款人的指令发送收款人。对于网上银行业务,银行内部人员应做到及时、准确处理客户提交的交易,严禁对网上交易指令进行抹账或篡改;定期与客户核对交易信息,避免网上交易重复入账等问题。
二、银行对网上银行客户的管理
银行对网上银行客户的管理是指银行对哪些客户可以使用网上银行,客户可以使用哪些网上银行服务,以及客户操作网上银行的过程和结果进行管理。对客户的管理是网上银行管理最为重要的环节,主要包括以下方面:
(一)对申请使用网上银行的客户资格条件的审查
鉴于网上银行业务的风险性,商业银行应对申请使用网上银行的客户规定严格的申请和审批手续。申请网上银行的客户分为单位和个人两大类。单位客户又可分为一般客户和集团客户(如总公司或母公司)。一般客户只能查询、划转本单位账户的信息或资金。集团客户根据协议,有权通过网上银行,管理集团内部各单位的账户资金。由于账户管理和结算制度方面的要求不同,银行一般对单位的资格审查严于个人,对集团客户严于一般客户。
银行对申请网上银行客户的审查内容包括客户是否在本银行开立结算账户或信用卡账户,是否一贯遵守支付结算纪律,是否发生过恶意透支等不良信用记录等,对于集团客户还需审查集团客户内部各单位之间是否订立授权书。只有符合条件、信誉良好的客户,银行才为其提供网上银行服务。另外,银行还需依据《合同法》等法规,制定规范、严密的网上银行业务服务协议文本,根据平等、自愿、公平的原则,明确银行与客户在网上银行交易中的权利、义务和法律责任。
(二)对网上银行客户身份验证的管理
办理网上银行业务,客户与银行并非直接面对面进行交易,因此银行如何鉴别客户的身份,以及保证客户交易信息的可靠性、完整性、保密性,是网上银行安全管理的重要环节。目前,商业银行一般采用以数字证书为基础的安全认证体系。
数字证书是一个记录用户身份和公开密钥的文件,在网上银行业务中用于证实客户的身份和对网络资源访问的权限,是网上银行身份认证、数据加密、数字签名的基础。客户必须使用客户证书才能登录网上银行交易系统。凡使用客户证书进行的操作,均视做持有证书的客户所为。为保证证书的可靠性、权威性、通用性,国内商业银行一般采用中国金融认证中心签发的数字证书。
银行对客户数字证书的管理包括给客户发放唯一的证书文件,提供统一的证书载体如IC卡,受理客户证书冻结、挂失、注销申请等。银行应告知客户妥善保管数字证书,以免被他人盗用。
(三)对网上银行客户业务操作权限的管理
不同客户对网上银行服务有不同要求,如有的客户只需进行信息查询,有的客户需要进行集团资金管理,也有的客户需要网上买卖外汇等。同样,银行对不同客户也需要区别对待,提供个性化、差别化的服务。因此,银行需根据客户的需求,结合内部管理的需要,对网上银行客户业务操作权限进行管理。
银行对客户业务操作权限的管理大致可分为业务功能权限管理、账户操作权限管理和提交金额上限管理。业务功能权限管理是指客户可以使用网上银行哪些服务,如查询、支付、集团资金管理、代发工资、外汇买卖、银证转账、购买债券等。账户操作权限管理是指客户在网上银行可以使用哪些账户,以及对每个账户的操作权限是什么,如结算存款账户可以转账支付,但定期存款、贷款账户只能查询。提交金额上限管理是指客户通过网上银行提交的交易,每次或每日累计的金额最高额度是多少。另外,银行还需对单位客户分配具体使用网上银行的用户数量和用户级别。
(四)对网上银行客户交易过程的监督
为了确保网上银行系统正常运行,准确、及时接收和处理网上银行业务,防范网上银行异常交易的发生,银行应对客户在网上银行发起的各类交易进行实时、全过程的监控和管理。多数商业银行的网上银行系统采用总行统一接入,然后分发各分支行处理的模式。客户从网上发出交易指令起,一直到银行后台业务系统主机进行账务信息处理,需经过外部网、内部网以及多个应用系统和网关。因此,银行需对总行网关、分(支)行网关、后台业务系统等多个环节进行监控。
银行对客户网上银行交易监督的重点,一是对原始交易信息完整性、真实性的登记,银行系统应详细记录网上银行交易明细及日志,包括交易数据、交易发起人、交易要素、交易结果、数字签名等,以备核查;二是监控客户交易资金的流向,以便及时调拨银行资金头寸,以及发现和追踪网上异常的资金划转; 三是发现和应对由于网络、系统引起的交易滞缓,以及非法用户入侵等异常情况,必要时启用应急措施;四是每日核对总行网关、分(支)行网关与后台业务系统网上银行交易数据,避免发生信息丢失或不一致的问题。
三、客户内部使用网上银行的管理
客户内部使用网上银行的管理是指客户根据自身特点和要求,通过建立特定的网上银行业务授权模式、分配用户操作级别和业务权限等方式,使客户在网上银行的操作过程处于一个安全体系控制之下。网上银行作为一种电子银行接入渠道,为客户提供了自助服务的平台,客户可以随时随地使用各种网上金融产品。同时,因为使用网上银行的是分散的每个操作人员,网上银行也加大了客户特别是单位客户的操作风险。传统手工条件下,单位一般制定有凭证和印章分管、主管逐级审批等内控会计规范,但在网上银行业务中就无法简单套用。如果对客户端网上银行用户不作限制和分工,就可能引起操作混乱,造成资金损失或违反结算纪律等问题。因此,银行必须提供并帮助客户建立客户端相应的网上银行内控机制。单位客户内部使用网上银行的管理可采用用户权限管理和业务授权模式管理相结合的方式。
(一)网上银行客户端用户权限的管理
网上银行客户端用户权限管理包括对用户操作级别和业务权限的管理。根据授权分责的内部控制原则,网上银行客户端的用户可分为特权用户、业务录入员、一级授权员、二级授权员、三级授权员等不同用户操作级别。特权用户由银行管理,其他用户由特权用户管理。特权用户负责维护该单位网上银行业务授权模式和一般用户的操作级别和业务权限、监督和核对所有用户的操作日志,但不能直接处理网上银行业务。业务录入员负责录入网上银行交易数据,然后由授权员根据相应的业务权限和授权模式负责复核确认并正式提交银行进行处理。用户的业务权限的管理是指单位特权用户,为每个一般用户分配可操作的业务可能、可操作的账户,以及对账户提交金额上限等。
网上用户的操作级别和业务权限管理可与单位实际的岗位、职务设置相结合,如客户的会计记账员为网上银行录入员,会计复核员为一级授权员,会计主管为二级授权员,总会计为三级授权员。单位客户可以根据实际需要,随时设置或调整每个用户在网上银行的操作权限。
(二)网上银行客户端业务授权模式的管理
网上银行业务授权模式管理,是指对客户处理网上银行转账支付、集团资金管理等各类重要业务时,在不同金额范围内设定不同的授权组合。授权组合包括授权人数和授权级别。设置业务授权模式的目的,是防止单个个人操作业务全过程,以及对重要业务和一般业务、大额交易和小额交易区别管理,实行不同级别的授权控制方式。比如,某一客户通过网上银行进行对外支付时,1万元以下的交易只需一个一级授权员确认即可:1万至5万元,必须由一个一级授权员和一个二级授权员确认;5万元以上,还需三级授权员确认。
业务授权模式一般由单位特权用户根据日常的内部会计控制规范和资金管理模式设置,可以因事因人而异。业务授权模式与用户权限管理相结合,为网上银行客户提供了严密、有效、灵活的管理机制,确保客户网上银行交易的安全性。