一、全面風險管理在銀行經營中的重要性

　　《資本計量和資本標準的國際協議：修訂框架》（簡稱“巴塞爾新資本協議”），標志著現代商業銀行的風險管理出現了一個顯著變化，由以前單純的信貸風險管理模式轉向全面風險管理模式。

　　實施全面風險管理的關鍵在于構筑商業銀行內部控制系統。中國銀監會界定的商業銀行內部控制的要素主要有五點：1.內部控制環境，2.風險識別與評估，3.內部控制措施，4.監督評價與糾正，5.信息交流與反饋。

　　二、我國網上銀行發展現況

　　據《2009年中國網上銀行調查報告》顯示，城鎮人口中，個人網上銀行用戶的比例為20.9%，交易用戶（一年內使用過網上銀行交易功能）比例為70.3%，人均月使用網銀5.6次。我國網上銀行存在問題為：1.發展環境欠完善。2.網上銀行安全影響業務健康發展。釣魚網站、盜取客戶信息等多種形態的信息安全問題成為制約網上銀行業務健康發展的重要因素。此外，身份認證作為確保網上銀行安全的重要基礎和環節，我國對其尚無統一的管理規定。3.雖然《網絡銀行業務治理暫行辦法》已出臺，網銀市場準入的要求也開始規范化但監管服務有待進一步加強。

　　三、我國網上銀行主要面臨的風險及相關規定

　　網上銀行業務的雙方，客戶與銀行之間，甚至涉及到提供身份認證服務的第三方，都存在著包括信用風險、市場風險、操作風險等在內的多方面的風險暴露，提出了對于銀行加強內部控制、提高全面風險管理能力的全新要求。舊巴塞爾協議側重對操作風險監管的要求，《巴塞爾協議III》的內容加入了：強調核心一級資本的作用以抑制通過金融創新規避資本監管，同時引入杠桿比率以阻止過度杠桿化。體現了對國際銀行業內部控制的一個更為嚴格的監管要求。

　　四、我國網上銀行風險暴露中關于身份認證的風險類型

　　大部分銀行使用的是國外頒發的服務器證書，不具備我國的合法資質；一些銀行使用自薦金融認證證書，證書的管理有待進一步加以規范；第三方認證機構提供的身份認證服務正逐步被商業銀行所接受，但也缺乏相應的管理規定。法律法規的不健全導致了網上銀行用戶面臨身份認證的風險：（一）盜取動態口令密碼：客戶經理在填寫客戶資料時填入經理本人手機號碼，通過發送至手機的動態口令激活客戶的網上銀行并進行網上銀行轉帳操作。（二）掛靠同一網銀下的兩張銀行卡間操作：部分銀行掛靠在同一網銀下的銀行卡之間的轉帳操作僅需提供網上銀行登陸密碼而無需提供支付密碼，不法分子利用詐騙手段（提供貸款等）讓受害者根據其要求開立一張沒有存款的銀行卡，掛靠在受害者已有的網上銀行帳戶下，并按其要求設定銀行卡密碼。不法分子利用卡內沒有存款的情況去降低受害者警惕，并在獲知登陸密碼的情況下，從受害者網上銀行賬戶下的其他銀行卡內轉出并提取現金。

　　五、警示

　　誠然，一些市場份額較小的商業銀行如浦東發展銀行、招商銀行所提供的網上銀行個人操作業務啟用了更嚴密的安全體系：需要網上銀行客戶同時提供登錄密碼以及操作密碼（即銀行卡密碼）才可進行個人業務操作；諸如建設銀行、工商銀行等大型商業銀行，可能出于管理上的需要或者系統更換的成本考慮，仍然采取只需登陸密碼即可完成操作的安全設定。由于網上銀行面臨多方面的風險暴露：系統和設備自身的設計和運行的不完善而引發的技術層面的風險，即在客戶身份認證時只依靠網上銀行登錄密碼檢驗而不需要銀行卡的支付密碼即可通過網上銀行實行轉賬；銀行內部的管理控制機制的不完善引發的風險，即銀行內控制度中相應的制度、方法、措施、程序等不健全所帶來的風險；以及網上銀行客戶對風險的疏忽而增大的風險發生的頻率。

　　對于網上銀行業務的提供方銀行，應該做到從商業銀行內部控制的五要素出發，即：加強內部控制環境，加強風險識別與評估環節，完善內部控制措施，監督評價與糾正的應用，及時進行信息交流與反饋。

　　此外，盡管《刑法》中界定了“非法侵入計算機信息系統犯罪”和對“破壞計算機信息系統罪”的處罰規定，但法律對計算機犯罪的界定是較粗略，讓網絡銀行犯罪有隙可乘，同時讓受害者在依法維權的過程中帶來了一定的困難。網上銀行的個人用戶，應該提高自身的防范意識。