二、网上银行的风险管理和控制如上文所分析，由于网上银行面临的主要风险又不同于传统银行，所以就应对电子银行的业务运营风险管理有不同于传统银行的要求。下文将从风险管理的原则及网上银行风险管理的措施二个方面来提出自己的几点看法。（一）风险管理的原则依照巴塞尔委员会的《有效银行监管的核心原则》的要求，采取适度审慎和持续监控（ongoing）的管理原则，同时强调管理上的综合性考虑（即要求管理者要将对技术性风险的管理和对消费者隐私权的保护和系统安全性控制结合在一起考虑）。在具体的风险管理实践中，强调保持措施的灵活性，以适应电子银行领域多变的特点。（二）风险管理措施1、实施安全政策和措施银行应保证系统的保证系统不受外来的恶意入侵、数据的完整性、系统的可使用性，采取包括加密技术、口令、防火墙、病毒控制等安全措施，防止外部的非法入侵。2、对董事会和经理层的管理根据巴塞尔委员会2001年5月发布的《网上银行风险管理原则》和参考美国以及新加坡的《网上银行管理指南》，认为对于董事会和经理层的管理应包括以下二个方面：其一，鉴于电子银行对技术结合紧密的特点，应对管理人员的资格要求方面增加额外的要求。即要求电子银行的中级管理人员必须熟悉电子银行的运作所需要的技术要求，同时要求电子银行必须专门雇佣一名专业技术总监，负责管理和监控电子银行运作所需要的信息技术系统，并及时更新银行运营所必须的信息技术。其二，明确董事会和经理层的主管人员负有建立有效且完善的风险管理机制的义务。所以董事会和经理层必须制定相关的风险监管计划和活动准则以指导银行的日常运作，同时持续关注银行运作的环境，以确保其风险管理框架与银行的规模和开展的相关业务活动相适应。而技术多变性会改变银行在提供电子银行服务时所面临的风险的范围、复杂性和风险的大小。所以银行必须在制定风险监管计划时应保持有一定的弹性以保证银行能及时有效的将对现有风险的监管措施调整至适应对新风险的监管要求的水平上来。另董事会必须定期审查银行的安全报告和业务执行报告，监督银行的事故恢复系统的运作，制定银行策略性运作指南。其三，明确董事会和经理层在管理银行事务时应尽到合理的注意义务。虽然银行的董事会并不担保银行的运作成功，但是其必须确保银行日常的经营活动符合相关法律的规定并且是以安全审慎的方式进行运作的。3、对内部操作人员的管理网上银行的系统安全最终是依赖于受过专门训练的操作人员的合规操作。因此加强对内部人员的管理，明确安全操作规则对于保证系统安全、防范操作风险是十分重要的。对此认为应要求内部操作人员遵循以下三种安全操作规则：其一，禁止单人操作原则（neveraloneprinciple）。网上银行中一些系统功能和程序基于其敏感性和重要性的特质必须由一人以上进行操作才能保证其功能运作的安全性。这些功能包括系统初始化、网络安全评估、准入系统的安装、防火墙的操作、创设密码等。其二，职责分离原则（segregationofdutiesprinciple）。职责分离原则是指不同的操作人员在进行系统操作或是系统设计、hr的管理、安全监控、备份数据的管理时必须明确其各个操作人员的义务和责任。其三，准入控制原则（accesscontrolprinciple）。准入的特权必须是基于工作人员的职责所享有的。任何人不能凭借其职位和地位而取得特权而获取机密数据、系统资源或进入其它可利用设施。任何一个职员出于合法目的要获取机密数据或是使用系统资源均要通过身份认证。4、对客户的管理由于网上银行无法传统银行一样采用面对面的方式向客户提供服务，所以客户的身份认证就成为保证银行安全运营的首要问题。对此，认为：一是要求网上银行应对仅通过网络开立帐户的客户设置严格的开立标准并且及时通报客户的可疑活动。当客户通过网络开立新帐户时，网上银行应当负有必要的谨慎和必要的注意义务，对客户的身份进行认证。同时，网上银行应严格遵守“了解你的顾客”（knowyourcustomerKYC）的政策，以防止银行有意或无意地被罪犯利用，防止欺诈的产生。二是要求网上银行应进行消费者教育。由于网上银行操作上的复杂性，所以有可能会出现因客户的错误操作或是疏忽而导致错误的情况。对此的解决办法就是进行消费者教育。认为，这可以由管理者或是立法者提供相关帮助。如，银行的管理可以在网站上提供相关链接允许客户查证在线银行的执照和存款保险，或是对网上银行的业务流程进行演示。这样可以使消费者了解网上银行业务的运作流程和操作，有关费用、权利和义务，争端解决程序。5、对外部资源的管理如上文所述，在网上银行中，银行需要的依赖于外部资源，这些外部资源有利于银行利用高科技方便快捷的提供服务，但同时也相应增加了银行的风险。所以对此银行要采取严格的风险监控措施控制相应的风险，以确保银行业务的正常安全地营运。参考美国的《金融服务业中外部资源的管理指南》以及新加坡的《网上银行技术性风险管理条例》认为，网上银行可以采取以下几种措施监控外部资源风险：⑴选择适格的服务提供商，要求金融机构必须审查以下几个方面：服务提供商的财政状况；服务提供商的声誉；服务提供商的独立的审计报告和安全评估报告；服务提供商的安全监控系统；服务提供商的备份、应急、业务持续性计划。⑵通过订立书面合同明确银行与第三方服务提供商之间的权利义务分配。合同中应明确规定：服务提供商提供服务的范围、所必须达到的水平、各方的责任分担、银行有权检测服务提供商的操作状况和财务状况和管理机构可以基于银行法的规定对服务提供商的系统、操作流程、设施、职责有管理和检查的权利。另因为服务提供商在提供服务时必然会有大量的客户数据或是银行的商业数据保留在服务提供商的信息系统中，所以明确这些相关数据的所有权和使用权是至关重要的。合同中必须明确，在提供服务过程中产生的数据的所有权、数据的使用权、客户信息的披露权限、对于通信认证及通告的责任分配、测试数据的要求、商业方法的知识产权。⑶金融机构应定期对服务提供商的业务活动、安全系统进行稽核，以保证服务提供商同样以安全和审慎的方式提供服务。6、设立事故恢复计划和业务持续性计划事故恢复计划和业务持续性计划对于网上银行的风险管理框架而言是至关重要的。因为其有助于在发生意外事故后及时恢复和继续一些重要的商业交易，以维持银行的声誉。可以说没有任何一个系统是绝对可靠或是对灾难免疫的，所以有效的及时的事后恢复措施就是至关重要的。银行应根据不同类型的突发事故的性质来设计事故恢复计划。三、结语我国的网上银行还刚刚起步，所以网上银行的风险管理还仍多套用于传统银行的风险管理措施，这不利于我国网上银行业务的健康稳步发展。本文也仅是从银行的角度提出完善风险管理措施的建议，而真正要完善网上银行的风险管理，仍需多个部门的协作和其它相关配套制度的建立。更新：2003年11月10日次数:277