谢飞/文
一、概述
　　传统上，财务公司为集团提供服务有三大法宝，即亲情纽带、上门服务和综合业务优势，这也是财务公司与商业银行相比具有优势的重要原因。但在网络经济快速发展的今天，这三大法宝已无法满足企业集团资金结算的要求，服务手段现代化和服务方式标准化已成为现代金融服务的基本标准，因此积极发展网上银行对财务公司更好地为集团提供服务具有重大的战略意义。目前，我国商业银行以网上银行服务为新的竞争手段，展开了新一轮的金融服务竞争，例如中国工商银行的95588在线银行服务、招商银行的一网通和B2B服务、光大银行的全国一柜通服务等等，无不是利用网上银行这一强大的基础服务优势，为客户提供优质服务从而扩大自身在金融服务市场的份额。如果财务公司不能够抓住时机迎头赶上，而是局限于传统服务手段，其结果必然是在新一轮的金融服务竞争中被击败。
　　财务公司在性质上属于非银行金融机构，所提供的网上银行服务与商业银行的网上银行存在较大区别，它利用网站的网络和Web的开发技术，与传统银行合作实现网上银行的功能，网站得到集团用户的需求信息，通过加密的传输通道传入相应的银行网关，进入内部的金融网，在银行内部经过银行服务器的处理后再返回网站，网站向用户反馈相应的处理信息。银行网关是网站的信息进入银行内部网的入口，是为了保证银行内部网不受到入侵而设置的。利用这一先进技术，集团就可以实现资金结算网络化、自动化的目的，提高资金的运转效率。武钢财务公司从2002年正式推出网上银行服务以来，就一直进行着相关调研工作，以下是关于业务流程和风险控制方面的几点总结。

二、调研总结
　　（一）执行流程设计
　　非银行系统网站中的网上银行业务，主要是面向企业或个人的用户群体，为了使用户可以方便、安全地完成在线理财，可以按下列步骤进行网上银行执行流程的设计：
　　第一步，使用者选择网上银行网页，接受它所提供的网上方便快捷的服务；
　　第二步，通过认证中心发给用户的电子证书来认证用户的身份，防止抵赖性，保证电子交易的安全性；
　　第三步，用户选择所需要的服务项目，例如账户查询、个人账户信息修改、网上直接缴费等服务；
　　第四步，用户可以根据自己的消费习惯来选择付费或资金转入的方式，目前许多银行正在实行联网，因此可以实现各种卡通用；
　　最后，当一切准备和认证结束之后，用户就可以在网上交易了。
　　（二）安全解决方案
　　从非银行系统网上银行提供的功能和用户的执行流程可以看出，安全问题是此项业务能否真正实现的关键，财务公司从网络安全的需求出发，提出以下能够安全实现的整体解决方案：
　　1．网络运行平台的安全需求
　　非银行系统网站的网上银行运行的网络平台一方面要与局域网内的终端用户交互信息，同时又可以通过宽带网络设备连接到Internet上，因此可能遇到如下的安全问题:
　　（１）局域网LAN 内部的安全问题，包括网段的划分以及VLAN的实现；
　　（２）在连接Internet时，如何在网络层实现安全性；
　　（３）应用系统如何保证安全性，如何防止黑客对网络、主机、服务器等的入侵；
　　（４）如何实现广域网信息传输的安全保密性；
　　（５）加密系统如何布置，包括建立证书管理、应用系统集成加密等；
　　（６）如何评价网络系统的整体安全性。
　　2．网络运行平台各层次的安全
　　网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信息网络的安全性首先应该考虑把被保护的网络从开放的、无边界的网络环境中独立出来，成为可管理、控制的安全的内部网络。为了更好地保证网上银行运行平台的安全实现，把网络安全层次分为链路安全、网络安全，如表1所示：
　　3．网站中网上银行安全运行平台的总构架
　　针对企业集团财务公司网上银行的运行规律，根据对网络安全的需求、网络的安全层次以及相应的安全措施的分析，综合利用相应的安全技术和防范手段，提出如图1所示的网络平台安全运行的解决方案。各类服务器和Internet之间以防火墙相隔，一旦发现黑客入侵，立刻终止连接，从而保证客户资金安全；同时，防病毒控制中心24小时对服务器进行监控，一旦探测引擎发现可疑信号，立刻向控制中心的系统管理员发送E-mail进行报警。
　　 4．网站网上银行交易的信息安全
　　在网上银行交易的过程中，交易的信息要能够满足实现信息安全的基本要求，即保证信息不被泄露、不被篡改、交易双方可以进行身份识别以及防止信息被破坏。目前存在两种普遍的安全传输协议——SSL和 SET。SSL协议内部使用的是RSA公司所授权的公开金钥加密法，SSL 是定位于网络层之上的应用协议，因此它可以保证TCP/IP、HTTP、FTP、SMTP等的安全；SET 协议是由VISA和Master两大信用卡公司联合推出的，主要解决用户、商家和银行之间的支付信息的机密、支付过程的完整、商户及持卡人的合法身份，SET协议采用了两种加密系统：密钥加密系统和公钥加密系统。如图2所示：
　　 从图2中可以看出浏览器和Web服务器之间传输的信息使用的是SSL协议，在信息的传递之间建立起了安全的传输通道。在浏览器端可以实现对网上银行交易中用户提交的重要的数据进行加密、签名；对从网络上来的加密数据进行解密，对数字签名进行检验；自动更正数字证书。在服务器端可以保护WWW服务器，与应用结合区分用户对重要页面的访问权限；对Web Server输出的重要数据进行加密、签名。因此可以保证网站中网上银行的交易信息的安全，实现信息的安全传输，交易双方通过数字证书进行身份认证以及使用数字签名技术保证信息的防抵赖性。
　　（四）风险控制
　　根据调研，经过全面衡量和分析其建立网上银行服务后所带来的风险及机遇，财务公司在肯定自身可以承受的风险程度的前提下，制定相应的有效的风险管理机制。
　　1．内部管理方面
　　在网上银行的风险管理中，人是最为复杂的因素，也是最为能动的因素，因而也是风险管理中首要考虑的因素。所以，加强网上银行的风险管理，首先要做的就是建立起一套严格的风险管理制度，主要包括：
　　（1）建立科学合理的内部控制组织结构，加强网上银行内部管理制度的建设，加强基础管理工作，完善管理体系，如网上银行操作员分工授权制度、网上银行业务操作流程及规范制度、网上银行客户操作指引等制度，只有规范了操作制度，才能从内部控制人为风险；
　　（2）建立起定期或不定期的对员工进行技术培训的制度，提高员工的技术素质；
　　（3）制定出网上银行内部的安全工作规范和标准，制定严格的日常安全管理制度，明确员工之间的权限、制约关系和责任；
　　（4）建立对网上银行系统安全性进行定期或不定期稽查与监督的制度，包括详细的安全工作奖惩制度；
　　（5）协调与网上银行业务中第三方(如电信公司、ISP/IT厂商、支付网关拥有者、CA、金融信用评估机构等合作伙伴)的关系，并与之签订较为完备的合作契约；
　　（6）建立严格的网上银行系统技术解决方案购买、开发或升级换代中的项目评估或论证制度；
　　（7）加强网上银行硬件和软件系统的建设，确保内部安全系统万无一失，并能抵御计算机病毒和黑客攻击；
　　（8）切实做好网上银行业务宣传和信息发布，网上银行营销的根本宗旨是实事求是地反映财务公司经营动态，不得超前夸大，一旦客户享受不到财务公司许诺的服务，财务公司的信誉将会大打折扣，以至失去原有的客户基础。
　　2．技术方面
　　网上银行系统是一个技术密集型的复杂系统，先进的技术水平是有效开展网上银行业务并进行风险管理的基础。为保障网上银行系统的有效运行，应充分利用当前最为先进和成熟的技术手段，建立高效的事前检测与预防体系以及先进的事后控制与恢复体系。主要策略包括：
　　（1）利用技术手段，如防火墙技术、安全操作系统技术、实时病毒检测技术、硬盘和服务器的双工技术等，建立能够对整个网上银行系统实现实时安全监测和事故预防的系统，并积极采用成熟的网上安全交易技术和支付技术，如S-HTTP、SSL和SET等。
　　（2）利用技术手段，建立系统故障和破坏后的自动报告和恢复系统，从而降低安全性风险。
　　（3）密钥加密技术
通过对传输的信息进行加密来保护信息，只有信息所有者才能阅读已加密的信息。
　　（4）数字签名
　　将信息用发送者的私钥加密，与原文一起传送给接收者，接收者只有用发送者的公钥才能解密被加密的摘要。在网上银行中，数字签名具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。
　　（5）数字时间戳
　　可以用来证明信息的收发时间。在财务公司柜台交易中，交易原始凭证中打印的时间与签名一样具有防止交易被伪造和篡改的作用。在网上银行业务中，同样需要对交易文件的日期和时间信息采取安全措施，而数字时间戳能有效地为交易产生时间提供佐证。
　　（6）CA认证及数字证书
　　在网上银行的转账和支付中，需要一个具有权威性和公正性的第三方机构来受理数字凭证的申请。签发及对数字凭证的管理，客户向CA认证中心申请的证书包括客户的名字和公钥，在从事具体交易时，客户向财务公司提交由CA签发的证书便能使财务公司相信自己的身份，保证下一步业务的进行。
　　需要注意的是，网上银行的风险管理是一项复杂的系统工程，而且还应当是一个动态的系统，以便能够适应现实情况的变化和发展。只有对它不断地在管理和技术方面进行升级，才能有效地防范网上银行经营中的各种风险。

三、思考和结论
　　从系统的角度看，网上银行是一个生存在复杂社会环境中的系统。前述从管理和技术方面来防范和控制网上银行的各种风险只是从系统内部下功夫，而从系统外部努力降低网上银行的各种风险，即为网上银行的发展创造一个良好的外部环境，同样是不可或缺的。随着企业集团的发展及其对资金管理的要求日益提高，资金集中、预算管理等必将成为企业集团日常管理的基本手段，企业集团必将要求其财务公司借助先进、高效、方便、快捷的资金管理工具实现资金使用的优化，同时企业集团还需利用规范的结算环境来维护正常的结算秩序。如何强化财务公司结算中心的地位，构建适应集团发展的资金管理平台、积极创新结算业务品种以满足集团不断涌现的金融需求，已成为我国财务公司发展战略亟待解决的新问题。
　　（一）尽快制定适应金融电子化发展的法律法规。
　　金融业一直是公认的高风险行业。在金融电子化的深入下，通过现代化的技术手段和金融工具，大笔资金可以在转瞬之间在全球各个国家各个市场之间转移，这一方面为各国提供了无数的发展机遇，同时也潜藏着危机。金融资金的高度流动性蕴藏着金融危机的突然爆发性和极大的破坏性，网络业务的逐渐深入，也产生了越来越多的纠纷，这对于监管机构和金融机构来说，都是一个全新的问题。纠纷的妥善解决关系到金融电子化的顺利进程，所以，法律必须对此进行必要的管制。
　　为了跟上网上银行的发展潮流，我国必须根据具体情况尽快制定相应的法律法规，利用法律法规的权威性和强制性来规范人们在互联网上的行为，防范和控制网上银行的各种风险。目前，我国已经出台了许多有关计算机和互联网安全方面的法规，（如《中华人民共和国计算机信息系统安全保护条例》等），以及与网上交易直接相关的《合同法》，但是相对于网上银行的发展还存在许多盲点。比如，网上个人隐私保护的问题，电子合同中数字签名的法律效力问题等。这些盲点使得法律法规很难起到降低网上银行各种经营风险的作用。所以，我国金融界、法律界和公众应呼吁政府尽快加强相关的立法工作，以扫除这些盲点，促进网上银行的发展。
　　（二）争取集团的大力支持和广大客户的积极配合
　　武钢自1999年开始实行全面资金集中管理以来，根据整体战略部署，以财务公司为载体建立资金结算中心成为实现内部控制的主要措施。财务公司通过引入银行的结算、信贷和调控等职能，强调“一个漏斗”进出的完整价格体系和内部结算体系。这个强大系统可帮助职能部门资金结算、融资、资金报表等一体化管理，完成集团资金的整体管理和调配，实现资金的事前计划、事中控制和事后分析的信息化管理流程，全面提升集团的核心竞争力。预算是企业配置投入资源的最佳手段，是企业目标的控制场，同时也是内部管理控制的切入点。因此，根据《武汉钢铁（集团）公司资金集中管理办法》（钢政发［2006］59号），财务公司是集团公司资金集中管理平台，负责监督各子公司按照集团公司审批的月度计划进行支付；同时，财务公司负责向集团公司计财部提供各子公司的资金收支及节余信息。2006年公司上线运行预算管理系统。集团的发展为财务公司创造了更为广阔的发展空间，财务公司必须紧跟集团前进的步伐，坚定“稳健经营不保守，务实创新不冒进”的理念，充分利用政策的有利因素，开拓金融创新的思路，加大网上银行的开发力度，提高资金运转效率，实现结算业务自动化，更好地为集团的整体战略规划服务，为集团提供“度身定做”的个性化金融产品，真正成为集团公司的“金融专家”和“理财顾问”。
　　（三）目前武钢财务公司网上银行所存在的若干问题
　　1．结算品种结构有待进一步优化，活期人民币存款占存款总量的比重居高不下；
　　2．电子结算功能有待进一步扩大功能范围，资源共享的优势需要更深层次地发掘；
　　3．资金监控模块有待进一步更新，为集团提供更加及时完整的信息。
　　在未来的1～3年里，武钢财务公司将本着“立足武钢，服务集团”的宗旨，进一步加大产品创新力度，全面推动金融服务的信息化、电子化，力争树立起武汉钢铁集团公司“金融专家”的品牌形象。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　作者单位：武钢财务公司