网银时代资金风险与控制初探

张浩

网银时代资金风险与控制初探

张浩

随着信息化与传统银行业的完美融合，网络银行业务发展突飞猛进，网银交易规模迅速增长、用户规模不断扩大、网银替代率显著增加。国家财政预算管理体制改革不断推进，国库集中支付与网络银行成功对接，实现了支付电子化管理，进一步推动了网络银行在行政事业单位的普及。

网络银行在以其快捷和高效给单位带来方便的同时，也产生了一系列的问题，给单位的资金安全带来一定的风险。

一、网络银行使用现状

据统计，使用财政资金的单位针对国库集中支付代理银行已经全部开通了网银业务，网银使用率为100%；针对自有资金的银行账户也绝大部分开通了网银业务，网银使用率应该在95%以上。只有极少部分单位因办公或外部通讯条件限制、账户使用率不高等特殊原因没有开通网银业务。

除零星支出的现金业务及社保缴费等有特殊要求的业务外，网银业务几乎全部替代了传统支付手段。网银系统的省时、高效为用户资金支付和管理提供了极大的便利，提高了工作效率，降低了运行成本。网银业务已经成为单位运行不可缺少的重要环节。

网银业务虽然得到了普遍的推广和应用，但各单位对网银业务的管理和控制重视程度普遍不足，风险意识不强。没有制定专门的办法及内控制度，对网银业务进行管理和规范。同时，对网银支撑系统的硬件投入也严重不足，绝大多数单位没有配备网银业务专用电脑。

二、网络银行使用的风险分析

（一）没有制订网银业务岗位责任制度，分工及权限划分不明确

存在业务交叉、混岗，甚至出现一人处理网银全部业务流程的情况。

（二）处理网银业务的电脑系统运行环境及安全防范状况恶劣

因受条件限制，多数网银客户端电脑没有进行物理隔离，日常工作电脑和网银客户端电脑无法分开，部分网银操作员电脑上装有聊天软件、购物软件、游戏软件、影视软件、下载软件等非工作性软件。部分客户端电脑安装了盗版的操作系统或应用软件，造成网银客户端运行环境恶劣，随时面临病毒、木马及黑客侵入风险。绝大部分操作系统只安装了免费的杀毒软件，没有能力防范针对网银的网络攻击和病毒入侵，安全状况堪忧。

（三）密码的设置和使用不规范

密码设置过于简单，没有定期更换密码制度或制度没有得到严格落实，密码更换没有现场监督及登记，致使密码更换流于形式。密码使用不规范，甚至在一定范围内公开，工作人员以多种身份进入系统操作。会造成责任无法区分，给营私舞弊留下可乘之机。

（四）密钥、口令盘、U盾等移动加密介质管理不严格

没有实现专人专用，使用人不能妥善保管相关加密介质，存在混用、交叉使用，甚至长期插在网银客户端电脑上失去监管。移动加密介质对网银系统的保护作用形同虚设，存在极大的安全隐患。

（五）网银支付凭证取得和管理不规范

以从网银系统自行打印的电子回单完全替代传统银行支付回单，加之回单由支付人员打印、会计凭证无法与支付人员完全隔离等因素，存在伪造、替换支付凭证及虚假支出等风险。

（六）银行对账不规范

银行对账岗位设置不合理，对账不及时。对账单从网银系统自行打印，且由出纳人员打印并核对，存在伪造对账单及资金损失风险。

三、网络银行风险控制措施

（一）关于网银操作岗位的设置及分工

1.注册开通网上银行服务的单位至少需配备两名网上银行操作人员方能进行相关操作。

2.网银操作人员权限应进行分级管理，依据操作人员权限分为不同级别，出纳人员权限级别最低，财务主管人员权限级别最高。

3.支付申请、复核及支付审批权限应分别授予不同岗位。支付电子回单打印、银行对账及电子对账单打印权限不得授予出纳人员。

（二）关于网银客户端操作环境维护

1.有条件的单位应尽量安排网银客户端专用电脑，保证网银操作系统安全。

2.装有网银客户端的电脑必须设置开机口令，严禁无关人员操作使用。

3.严禁在网银客户端电脑上安装与公务活动无关的应用程序及游戏软件。

4.使用正版操作系统，尽量安装功能完善的付费杀毒软件，并及时升级杀毒软件和防火墙，保证电脑的杀毒软件保持在最新状态。建议杀毒软件设定为自动升级，每天都要对电脑进行杀毒，尤其在进行网上银行操作之前，必须开启杀毒软件的实时监控，并启用个人防火墙。

5.网银操作人员离开岗位时必须退出网上银行系统，并将密钥从计算机上拔出，以防数字证书等机密资料落入他人之手。

6.不得在网银客户端专用电脑及单位财务内部电脑以外其他任何电脑下载网银证书、使用单位网银办理业务。

7.网银客户端电脑发生系统崩溃、黑客入侵及硬件毁损等情况时，须报告部门及单位领导，统一查明原因，采取更换或维修等必要措施，不得隐瞒不报，不得私自处理，严禁引入外部单位或人员参与网银系统的数据维护及维修。

（三）关于密码设置及使用

1.无论在什么时候都要保管好自己的密码，绝对不可以告诉第三方，遇有岗位轮换时应立即更换密码。

2.切不要把自己的出生日期、房间号、电话号码以及身份证号码等作为密码，建议选择有代表性的数字和字母混合的方式设置密码，以提高密码破解的难度；不同的客户端登录密码、用户PIN码、支付密码采用不同设置方案，严禁与邮箱、论坛、购物网站等私人密码相同；严禁长期使用网银客户端启用时的原始密码。

3.密码要定期修改，最长不得超过两个月，不得采用几组固定密码轮换方式。密码更换要有登记并由专人进行监督检查，基本程序为：监督人现场监督用旧密码进入系统，监督人回避，密码更换人启用新密码，监督人验证旧密码无法进入，密码更换人及监督人在登记表上签字完成密码更换。

4.不要使用自动登录功能让电脑记忆密码，尤其是在非网银专用电脑上，如果有软键盘要尽量用软键盘登陆方式输入密码。

5.严禁将网银密码以文本形式存储在电脑硬盘、U盘、电子邮箱及手机中，以免泄露；记载密码的密码纸或口令本应存放于密码使用人保险柜中且与对应的密钥、口令盘、U盾等移动加密介质分开保管，严禁将二者存放在一起。

6.密钥、口令盘、U盾等移动加密介质必须由使用人妥善保管，不得混用、交叉使用，使用完毕应立即收回，妥善保管，严禁长期插在网银客户端电脑上失去监管。

7.密钥、口令盘、U盾及密码发生遗失、泄露时，应立即报告部门及单位领导，采取必要的补救措施。

（四）关于网银支付凭证及对账单

1.网络银行支付回单不能以自行打印的电子回单代替。可在支付完毕后先将电子回单附凭证后入账，单位应定期到开户银行取回加盖银行业务公章的正式回单入账。

2.网银支付电子回单打印应由网银业务复核或审批人员完成，不得由出纳人员操作。

3.单位不得以网银系统打印的电子对账单代替正式对账单，应定期到开户银行取回加盖银行业务公章的正式对账单，并由财务主管人员核对及编制银行余额调节表

（作者单位：淮委沂沭泗水利管理局221018）