摘 要:本文主要运用理论集合实践的研究方法,重点从业务角度出发,对我国商业银行支付结算的几种典型风险进行了分析和研究,并且介绍了应对措施。本文主要分为三部分,第一部分对商业银行电子支付业务中几个常见的典型的风险进行枚举和概述,第二部分主要对商业银行的支付结算风险进行详细介绍,包括概念界定,度量方法和表现形式等,第三部分主要论述了支付结算风险的应对措施,从制度、业务、技术、管理等多角度,将完善制度流程建设,风控管理流程设计,信息系统优化升级,加强风险管理意识,培养支付人才等电子支付业务应对措施逐一论述。

正文:

支付之家网(ZFZJ.CN)美东时间2020年1月15日,中美双方在美国华盛顿签署《中华人民共和国政府和美利坚合众国政府经济贸易协议》(以下简称《协议》)。 

银行电子支付业务中的典型风险研究与对策分析电子支付领域对外开放全面提速(图1)

一、绪论


据了解,此次金融服务章节共24条,涉及银行服务,信用评级服务,电子支付服务,金融资产管理服务,保险服务,以及证券、基金管理及期货服务六个方面。 协议有三个特点:一是双方义务基本对等。在每个单独的领域,双方均就具体问题做出了承诺。二是中方承诺基本上都是近年来我根据自身需要、已经主动推出的开放措施,协议是这些措施的反映和细化。三是美方对解决我中资机构近年来赴美展业遇到的实际难题也做出了承诺,体现双方对等的权利和义务。

银行电子支付业务中的典型风险研究与对策分析电子支付领域对外开放全面提速(图2)

与传统支付风险比较,电子支付业务的风险波及范围更广泛,传播更迅速,且极易通过网络迅速在整个金融体系中产生连锁反应。本文借鉴同行业实践经验和相关专业素材,将电子支付业务开展过程中的一些典型、常见且对业务开展有广泛影响的风险进行列举并提出应对方法,希望对从事电子支付的银行业务管理人员、银行分支机构业务拓展人员以及银行管理决策人员或支付圈同业人士,起到理论指导和借鉴作用。

二、电子支付业务风险概述

 在电子支付服务方面的“第4.4条电子支付服务”显示: 一、中国在美国电子支付服务提供者,包括寻求以外商独资实体身份开展经营的提供者,提交筹建银行卡清算机构的任何相关申请后5个工作日内应予以受理,并可在这5个工作日内,一次性提出修改或补充信息的要求。在此情况下,中国在申请人对此要求作出回应后5个工作日内应受理申请。中国在受理后90个工作日内应就该申请做出决定,包括对不利决定给予解释。 二、中国在美国服务提供者报告其已完成筹备工作后不迟于1个月内,应受理此服务提供者的牌照申请,包括万事达、维萨或美国运通的任何牌照申请,并应就该申请做出决定,包括对不利决定给予解释。 三、美国确认给予中国电子支付服务提供者(包括银联)非歧视待遇。



银行电子支付业务中的典型风险研究与对策分析电子支付领域对外开放全面提速(图3)根据艾瑞咨询数据显示,2018年第三方移动支付交易规模达到190.5万亿元,而2019年第三方移动支付交易达226.2万亿元,同比增速18.7%。电子支付业务已经迈入稳步增长期,电子支付业务收入也成为银行中间业务收入的重要贡献力量,为银行业带来新的机遇和挑战。同时,业务风险也伴随而来,银行能否有效防范电子支付过程中的风险是决定其电子支付业务能否健康发展的关键。

电子支付业务属于结算类业务,归属于银行中间业务范畴。中间业务在银行发展的相当一段时间内都曾被认为是零风险业务,但实际上电子支付业务和传统银行业务一样,按照银行的风险定义,也具备包括政策风险、市场风险、技术风险、业务风险、法律风险、操作风险、声誉风险等几类风险的特征表现;和其它中间业务不同的是,电子支付业务风险具有传播速度快,波及范围广的特点,因此需针对特点做出及时有效的应对策略。

三、电子支付中的典型风险

下文结合银行开展支付业务的实践经验,主要从业务角度出发,对制度风险、交易背景风险、结算付款和流程设计风险等几种典型风险详细列举:

(一)制度风险

制度风险是银行业面临的首要风险,具体表现为:制度不完善、理解不到位、落实不到位。

首先是制度制定不完善。由于电子支付业务发展的十分迅速,监管部门在制定政策和制度时不可能绝对同步,行内制度也没有紧跟监管政策思路发布实施,再加上电子支付创新业务层出不穷,发展过程往往是经历了业务先行开展、暴露问题、监管办法出台、业务合规有序开展的轨迹。

其次是制度理解不到位。根据历年来人民银行及银保监会公布的违规处罚案例来看,主要表现为部分各级主管单位没有深入理解监管要求和制度制定意图就开始布置工作,导致业务盲目开展后停业整改,不但丧失客户信任感,还挫伤员工积极性。

最后是制度落实不到位。客观上银行已经建立了一套内部管理制度,但由于支付业务涉及范围较广泛,关联部门较多,合作机构较广,且行内管理部门可能存在多头管理的混乱情况,因此在实际的操作过程中,管理制度落实非常困难,并没有真正落实到位。例如,人员配备不到位使得规章制度形同虚设;上级对下级,监督岗对操作岗,主管对基层工作人员的各项检查并没有认真严肃的进行;监督检查流于形式。另外,部分银行的内部控制手段相对落后,对违规行为的处罚力度不够,也在一定程度上造成了此种结果。

(二)交易背景风险

交易背景风险是指,银行不清楚每笔交易背后的交易消费场景。支付交易与转账类交易最明显的区别在于,每一笔支付的背后都应该有真实的交易背景,都体现为订单即商品或服务的某种供求关系,与转账交易的简单债权债务关系不同。然而作为银行端,实际上很难真正核实每一笔支付交易真实背景,尤其是在和支付机构合作中,都是由机构发展商户,银行不能够直接接触到商户,也不清楚商户的经营范围,若支付机构不报送每笔交易的详情,银行更无从知道。常见的交易背景风险表现为信用卡套现风险、虚假购买、订单欺诈风险、“二清”等情况。

信用卡套现:客户通过信用卡购买某商品后,商品并未实际发货,商家将购买的款项打回给客户套现,类似的情况还有退货套现,通过信用卡来购买商品,然后退货,将退款返回借记卡或其他可提现账户;自买自卖,商户通过信用卡购买自己的商品,将款项打入自己账户。

订单欺诈:交易订单不符合真实交易背景,还包括商户故意捏造的订单欺诈行为,比如报送的是某商城购物,而实际很可能是一笔赌博违规交易。

“二清”行为风险:是指以平台对接后,私自留存商户结算资金,并自行开展子商户资金清算,是违规的重灾地带。

(三)付款结算风险

付款结算风险是指银行在为合作商户处理代付交易或结算交易时所产生的风险。在付款类业务中,商业银行往往是先实时或准实时为持卡人入账资金,待日终结算时一笔从商户公司账户扣除,或从待结算资金中钆差扣除,然而一些商户的协议对公存款账户预留的资金不够划拨或日结算资金不足以钆差扣除,导致银行出现资金垫资风险,虽然可以通过利息或罚息进行弥补,后续催账再扣划,但挂账期限不确定且后续有资损可能性,若遇年终结算时可能会存在跨年风险。“断直连”后,由于支付机构备付金已经完全集中存管,银行对于机构类的清算风险已经消失,消除了主要的结算风险隐患,但银行自有直连商户的结算风险依然存在。

同样有着较高风险的还有退款业务,退款类业务虽然发生的笔数、金额和频率相对不高,但风险系数较高,一旦出现错误,容易引起客户投诉或者银行资损以及声誉形象破坏。退款交易可分为部分退款和全部退款,若退款交易没有对原交易订单号、交易日期、金额,原交易状态等要素进行核验,或部分退款没有对累计退款金额不超过原交易订单金额的校验规则,会导致业务规则漏洞和资损;此外,退款不原路返回还可能引发信用卡套现风险。

(四)流程设计风险

在支付系统的设计中,支付流程设计是重点,尤其要考虑交易异常处理机制的设计,这是发生支付风险之源头。因电子支付业务具有对返回应答的要求极高,对客户体验要求极为苛刻等特点,如果未考虑超时异常处理,或者未考虑周全所有异常情景和触发条件,一旦银行出现系统超时异常响应,尤其遇上如“双十一”、“元旦”、“春节”等高并发时点时期,系统处理缓慢甚至服务暂停的情况,就会出现大量客户投诉。在发生这类处理缓慢场景时,后续补救措施跟不上,还会导致大量的差错交易,最终引起结算风险和后续的复杂的差错处理。因此,异常情况的设计和差错处理环节设计是电子支付业务系统设计的重点。

(五)其它风险

数据/网络安全风险。该风险主要表现为敏感支付信息没有进行脱敏,二维码生成包含敏感信息,交易报文不经过加密,用户身份认证方式较简单,认证要素不足,用户使用密码安全性差,用户访问控制级别较混乱等很多情况都属于此类。

银行声誉风险。声誉风险是指由商业银行经营、管理及其他行为或外部事件导致利益相关方的负面评价。因信息传递更快更直接,舆情范围来源广大,人们由过去的被动参与者变成主动发出者、评论者,使得银行声誉风险受到前所未有的挑战,支付风险事件的发生,使得银行声誉风险管理压力增大。

人员流动风险。支付系统对专业性要求高,因人员流动尤其骨干开发技术人员流动后,新员工对系统不够熟悉,查找问题无从下手,定位原因时间长处理慢。

四、支付风险应对

电子支付风险应对措施不仅仅只局限于单个业务或技术方法的实施,能够有效应对的风险措施一定是一系列风控措施的总和。下文结合银行开展支付业务的实践经验,针对以上提到的几个典型风险应对方法陈述如下:

(一)风险管理机制的建立

作为国家重要金融基础设施,银行尤其是国有商业银行需要依照监管思路,完善顶层设计,引领支付行业发展变革,要力求提升支付服务法规制度层级和科学监管水平,解决支付清算结算领域的关键重点问题,首当其冲的是需要建立一套行之有效的风险管理机制。

电子支付的风险管理机制首先要在遵循中国人民银行、银保监会颁布的令及各项规定的前提下,结合银行已形成的风险事件管理制度和应急管理办法规定建立。电子风险管理按过程分为风险规划、识别风险,分析风险,定性定量评估风险,风险应对和监控风险 。识别风险是最基本的步骤,识别之后需要评估,评估要做到根据模型量化评估,让银行管理层了解本行面临的风险大小,影响范围、影响的概率,能否接受。管理和监控风险主要指投入各种人员、设备、系统相继采用之后,设备对风险的报警或人员发现的风险,或外部稽核发现的风险是否有效,是否能采取以回避、转移、减轻、被动或主动接受的策略和相关实施方案,甚至在某种情况下将风险转化为机会。

(二)典型风险应对措施

1.加强支付制度建设

银行支付相关制度包括业务管理制度、应急管理制度、内部控制制度、风险管理制度等。在处理客户和银行的纠纷关系时,法律更倾向于保护客户,而对银行提出了更严格的要求,因此银行在加强制度建设过程中要重点关注细节,理清职责边界。制度内容要包含在风险识别、计量、预警、防范、处置方面的原则和措施,可根据监管要求的各项重要文件,并结合行内情况制定出电子支付业务服务产品管理差别化的实施细则,将限额控制、行业准入、费率控制、流量控制、个人金融信息保护等策略明确作为风险控制的合理手段。

2.加强交易背景审核和监控

加强支付交易背景审核,分为两类情况,一是在间联业务模式中,银行可以通过与银联/网联这类转接清算组织的接入,掌握由支付机构上传的交易订单信息详情,间接掌控支付交易背景,但是如何界定此交易背景的真实性,需要银行后续对交易进行抽查核实。二是在直连业务模式中,银行通过事前、事中、事后三个阶段,采取不同的方式加强交易背景审核。事前审核是依据制度中对商户资质范围准入的严格要求,由分支机构落地执行,采用现场调查,尽职调查方式审批商户经营范围和真实性后才可接入合作。事中审核主要是在商户经营时采取现场、非现场方式检查其经营情况,在支付交易中要求商户报送交易详细信息以掌握交易背景。事后审核是通过抽查交易、大数据分析、商户评级的方式进行核实、评价和处罚。

对交易进行监控,是指银行通过建立支付风控模型,对客户支付异常行为进行风险监控,当支付行为满足风险触发条件后,及时做出提醒甚至直接拒绝交易,保护客户利益不受损失。在大数据分析过程中,银行还可以结合客户在本行办理的其它业务,通过交易地点、金额和频率等要素“推断”某些支付交易的真实场景,辅助验证商户报送交易详情的真实性,识别商户欺诈违规行为。

3.持续优化系统设计缺陷

电子支付设计缺陷可以通过持续功能优化来改善,是一个持续不断迭代过程。电子支付业务本身具有业务复杂度高,对专业性要求强等特点,这就要求银行的设计人员要深入理解业务,抽象业务需求,这样才能结合专业知识更好的对整体架构进行设计。从功能架构设计上,设计人员可分类整合和提炼功能,结合技术架构的优化将业务功能模块低耦关联,将系统拆分为交易处理、对账与差错、清结算、商户管理等模块。支付异常设计时重点要对支付状态进行详细设计,加入幂等校验,异常交易重发机制等控制,使异常自动冲正,同时监测预测异常发生量,以便安排足够的资源处理差错。上文提出的结算和付款风险,最根本的解决办法也是将控制流程融入银行管理内控体系,通过系统流程和权限设计来控制风险,杜绝隐患。

4.加强需求变更风险管理

任何一次需求变更导致的系统升级优化都是风险事件的高发场景,不容小觑,变更风险也是电子支付风险的典型风险。控制此类风险,主要通过需求变更管理流程,对需求变更风险进行有效控制,结合行内流程,参照项目管理思路,通过配置控制管理委员会,使用高效配置管理系统工具,进行配置管理和变更管理。在变更申请前充分做好变更分析和影响分析,变更后充分做好功能审核和物理配置审核,确保评审模块列表确定符合已批准的变更申请,审核用户手册、操作手册的格式和完整,以及与系统功能描述的符合性。

5.防范银行声誉风险

当出现声誉风险时,作为银行首先要从原来传统角色中跳跃出来,以平等合作包容的心态来接受问题,分析原因,依据舆情管理制度流程,明确责任,报告处理。对舆情要加强监控,第一时间发现舆情后,迅速处理,防止舆情风险扩大。

6.重视电子支付人员队伍建设和培养

由于电子支付是技术产物,银行内部员工不仅需要业务水平,还需具备相应技术能力,因此,加强电子支付人员队伍建设极为紧迫,尤其对于银行总部和一级分行员工来说,急需培养既懂金融业务又会计算机技术的电子支付高层次人才,银行可通过同行业招聘,社会招聘,内部培养,岗位轮换等方式多角度全方位广纳人才。

加强支付人员素质培养,一是要提高电子支付系统人员的风险防范意识,使其从根本上认识到支付风险管理的重要性;二是加大电子支付培训力度,可通过聘请外部专家、建立支付工作小组等方式,打通支付条线部门限制,请技术人员和业务人员相互进行系统培训和产品培训,彼此了解整个支付链条的上下游关系;三是可通过工作轮换方式,在预定时期内变换员工工作内容,使其获得不同岗位的工作经验;四是多鼓励员工参加清算组织、支付机构、同行业、支付清算协会等机构组织的交流活动,及时了解行业动态。

五、结论

电子支付业务的业务风险较多不能全数列举,应对措施也不局限于文中提到的几个方面,风险管理本身就是一个大范畴,是业务、技术措施和管理措施相融合而形成的一系列措施的总和。银行开展支付业务时,采用的风控措施需要同行内原有内控制度相结合,同传统业务的风控手段相融合,与合作伙伴开放共享,相互汲取经验,如此方能打造防范支付风险的坚固“长城”。

本文原文发表于《河北金融》2020年5月,本文略有修改。

作者简介:史海梅,就职于中国邮政储蓄银行网络金融部。本文仅代表作者观点,不代表所在机构意见。银行电子支付业务中的典型风险研究与对策分析电子支付领域对外开放全面提速(图4)