文/吴博(交通银行股份有限公司风险管理部);禹路(上汽集团财务公司乘用车业务部);邱思骏(平安银行股份有限公司资产托管部)网络支付机构又称第三方支付平台,是连接网络交易买卖双方、电子商务平台和银行业金融机构的中介和桥梁。网络支付机构在支付指令的传递、交换、处理以及资金清结算中扮演着“中转站”的角色,在提升网络支付活动的安全与效率方面具有重要作用。相较于传统企业,网络支付企业在经营环境、经营性质和外部监管等方面具有自身独特性。当前,如何根据自身情况建立有效的风险管理架构,是网络支付机构面临的一个重要问题。 一.中国网络支付机构风险管理的内外部环境对于网络支付机构而言,内部管理和外部监督环境都是决定其风险管理实施的重要因素。无论是内部的公司治理,还是外部的政府监管、行业自律或社会舆论,都影响和关系到网络支付机构的经营管理行为。 1.公司治理(1)公司治理结构及目标 在公司治理结构方面,人民银行颁布的《非金融机构支付服务管理办法》第八条规定《支付业务许可证》的申请人应当是在中国境内依法设立的有限责任公司或股份制有限公司。因此,对所有的网络支付机构而言,其狭义的公司治理结构都应当遵守《公司法》的规定,而在广义公司治理结构的考量与最终选择上,则要根据公司所处的环境等因素决定。当然,对所有的网络支付机构而言,无论是狭义还是广义的公司治理结构都是围绕着公司治理的基本目标展开的,风险管理自然是“题中应有之义”。 公司治理结构要解决涉及公司经营成败的两个基本问题。一是如何保障投资者(股东)的投资回报,即协调股东与企业的利益关系。就网络支付机构的治理目标来看,行业内各公司规模大小、管理人员素质以及风险管理水平参差不齐,一些企业处于创业阶段,公司治理还不健全,需要参考金融机构股权结构加以完善。除股权债权结构合理之外,还要在更高的层次上确保安全运营,涉及的风险点通常有:信用卡套现风险、银行卡盗用风险、大额支付风控、商户风险与反洗钱等。网络支付机构在公司治理上需要着重考虑这些方面。二是企业内各利益集团的关系协调,包括对员工的激励和对高层管理者的制约。在协调企业内各利益集团的关系及监管方面,网络支付机构的特殊之处是,需要建立专门的支付风险监管部门,例如瑞宝支付在董事会下设支付风险管理委员会,专门对公司的信用风险、市场风险和运营风险进行管理。 (2)网络支付机构的公司治理结构模式 以安全和效率为经营管理行为核心要求的网络支付机构,其公司治理模式的选择必须考虑以下因素:①网络支付机构的服务内容,包括支付指令的信息交换和货币资金转移;②网络支付机构的技术基础(依托互联网、移动网络)或者对特定渠道的依赖性;③与复杂多变的市场环境相适应的安全与效率选择或兼顾战略。 因此,对网络支付机构而言,其组织体制和管理机构的设置不仅需要满足公司法的一般要求,更要满足以下三方面的需要:一是要根据货币资金转移的服务内容,参照商业银行管理支付风险、履行反洗钱义务的经验,设立专门的负责清算/结算资金管理、操作风险管理、反洗钱合规要求的内控机构。二是要结合其依托互联网技术的实际情况,设立技术产品创新、运行维护支撑、信息安全管理等内设部门。三是要根据确定的安全与效率选择战略,通过高规格的风险和效率管理委员会,促进安全与效率选择或兼顾战略的落实,努力实现网络支付服务安全与效率的共赢。 此外,也有一些特殊情况需要特殊考虑。有些中小型支付机构的法人和实际经营者是同一个人。这些机构都管理着大量用户用于网络消费的备付金,一旦机构经营者出现盗窃备付金或者挪用备付金进行投资的行为,机构内部根本就没有相应的机制进行阻止或拉响警报,因此需要设立专门的清结算资金管理部门与支付风险管理部门。还有一些处于创业阶段、公司治理很不健全的网络支付机构,内部约束往往难以有效实施,只能依靠外部监督。 2.政府监督继《中华人民共和国电子签名法》颁布后,中国人民银行根据金融监管领域的《中华人民共和国银行法》和网络安全领域的《中华人民共和国电子签名法》,颁布了《电子支付指引(第一号)》和非金融机构支付服务管理办法( 2号令)。2 号令颁布实施以来,随着网络支付机构的快速发展,政府监管政策进一步完善。目前,2号令实施细则、《支付机构反洗钱和反恐怖融资管理办法》、《支付机构预付卡业务管理办法》、《支付机构客户备付金存管办法》已经正式出台,并且在借鉴国际经验的基础上完善了《中华人民共和国反洗钱法》以及相应的《金融机构用户身份识别和资料及交易记录保存管理办法》。中国人民银行准备出台的其他相关政策法规还包括:《支付机构客户备付金存管暂行办法》、《支付机构互联网支付业务管理办法》及《银行卡收单业务管理办法》等。这一系列管理办法尽管法律层级较低,但已经初步构建了对整个网络支付业务监管的政策基础框架。网络支付机构的监管政策体系与参考关系如图1所示。
目前,中国人民银行对网络支付的监管主要集中在“准入要求”和“业务监管”两个方面。鉴于银行业在我国金融体系中的重要位置,同时参考国际先进经验,我国对网络支付的监管主要着力于网络支付的交易过程而非交易机构,同时将网络支付平台定位为货币转账企业或是货币服务企业。在这方面,中国人民银行作为支付行业的主管部门,在日常业务监管方面拥有丰富经验,在弥补监管空白方面发挥了巨大作用。今后,中国人民银行的监管重点将逐步转向日常业务监管。如搭建对网络支付机构的现场与非现场检查系统、数据信息报送系统;在部分网络支付机构集中的地区建立备付金监测、重大事项报告、联合维稳、投诉处理、应急处置、舆情监测等配套工作机制。 3.行业自律对网络支付机构而言,行业自律至少包括两个方面的内容:一是依法合规、诚实守信;二是面对行业,树立形象,用行规制约自己的行为。目前,我国网络支付机构的行业协会为中国支付清算协会,其制定的行业规则成为我国网络支付机构步入规范化发展阶段的制度依据。 4.舆论监督互联网时代,舆论作用不断强化,以网络支持交易的网络支付机构更是处于风口浪尖。舆论监督的导向有时比公司实际的运营效益、内控机制更能塑造网络支付机构在用户心中的安全定位,而安全定位是用户是否支持该网络支付机构的关键。 二.网络支付机构的内控机制1.基本概念内部控制机制特指企业为实现自己的经营目标、提高经营绩效,在经营活动的开展、财务报告的编制和法律法规的遵守等方面进行的一系列自律性或他律性机制建设。对网络支付机构而言,其内部控制系统指,为防范网络支付的各类风险,围绕风险管理策略目标,针对公司各项业务管理及业务流程,制定并执行规章制度、程序和措施的过程。主要包含两层含义:广义上指网络支付机构的各级管理部门为了保护受托资产的安全完整,协调经济活动,利用企业内部因分工而产生的相互制约、相互联系的关系,形成的一系列具有控制职能的方法、措施和程序,并予以规范化、系统化,使之成为一个严密的、较为完整的体系;狭义上指网络支付机构为使公司的经营风险可控,在企业内部对各部门流程运作设定控制点、做好业务流程内部控制的管理制度。 2.网络支付机构的内控架构网络支付机构由于自身不经营存贷款业务,其内控体系主要针对备付金安全、互联网风险、合规风险以及技术风险等环节设置管理架构,可以参考商业银行较为成熟的内控架构,建立网络支付机构的准金融级别内部控制架构。具体而言,网络支付机构的内控架构既有类似银行结算业务的内控环节,也同时具有网络支付所特有的网络技术、信息传媒特征。主要应包括以下部门:独立的资金管理部、风险管理部、合规与法律部、内部审计部、系统安全部以及公关与用户服务部等。 (1)独立的备付金管理部 与商业银行资金业务的组织结构类似,网络支付机构的资金管理部门也应当体现权限等级和职责分离的原则,做到自有资金与备付金分隔、前台交易与后台结算分离、业务操作与风险监控分离,建立岗位之间的监督制约机制。中国人民银行2013年6月发布的《支付机构客户备付金存管办法》要求网络支付机构要对用户资金与自有资金分离管理,所有客户备付金必须存放至银行开立的专门的备付金账户,并由备付金存管银行托管管理。支付机构存放在备付金存管银行的客户备付金不得低于其接受的客户备付金日均余额的50%。 (2)风险管理部 与商业银行类似,网络支付机构也应设立负责风险管理的专职部门,主要负责对网络支付业务开展过程中的风险进行识别、计量、监测、控制以及报告等。与商业银行不同的是,网络支付机构的风险管理部要对网络支付业务操作风险中的互联网外部欺诈(如账户信息泄露、交易欺诈)、违规违禁交易和洗钱套现等风险进行监控、识别(风险建模)、处置和赔付。 风险管理部门是网络支付风险管理的核心。由于互联网上的交易都是以非面对面或非接触的方式进行的,风险管理部门必须通过交易监控、行为分析、数据挖掘等风险管理工具和技术手段进行风险识别,通过风险建模捕捉异常交易及相关账户。在此基础上,风险管理部门要对所有交易进行全程集中监控,通过规则比对捕捉风险嫌疑交易,对相关账户进行处理,并辅助以人工核查。如果出现资金损失情况,要能对风险过程进行记录,划清责任并进行相应赔付。 (3)法律合规部 法律合规部门是识别、评估、监控并报告网络支付活动中有关法律和合规风险的一个独立的职能部门。其职责是防止网络支付机构因未遵循相关法律条款、监管规定、行业规则、自律性组织的有关要求,以及适用于网络支付业务活动的行为准则等,而可能遭遇的法律制裁、监管处罚、重大财务损失或声誉损失的风险。 (4)内部审计部 为了对各部门履职情况和风险管理现状进行监督、评价和提示,网络支付机构要设立专门的内部审计部门,负责制定内部审计计划,实施内部审计制度和流程,定期(如每年)对整个业务和管理部门的运作情况和潜在风险等进行审计。 (5)系统安全部 网络支付业务是在网络环境下依赖网络技术开展的,现代信息技术在带来便捷支付的同时,也存在因各种技术漏洞而导致的支付风险。网络支付的技术特征决定了其必须有专门的系统安全部门为风险管理提供技术支持,以保障网络支付系统的身份验证系统、交易系统、安全控件系统以及数据存储、加密、传输系统的正常运营,并具备必要的数据和系统的灾难备份和应急处置能力。长期来看,包括软硬件设备报废、清理在内的各类信息安全管理事务也属于系统安全部门的职责。 (6)公共关系与用户服务部 公共关系与用户服务部是处理网络支付机构“声誉风险”的核心部门。网络支付机构发生声誉风险时,公共关系部门负责协同各个业务、技术部门制定策略,并寻找媒体渠道及代言人渠道发布信息,引导公众客观看待风险事件,寻求社会公众的认知与理解,以达到维护和树立企业良好形象的目的。 目前国内主要的网络支付机构大多设立了内控和风险管理委员会或类似的职能管理组织,如支付宝在业内率先建立了完善的风险治理架构,董事会下设风险管理委员会,全面负责风险管理工作,下辖合规部、风险管理部与内控部;瑞宝支付的内控和风险管理部由公司的执行董事、各部门主管和部分业内专家组成,主要对公司信用风险、市场风险和运营风险等进行管理。 3.网络支付机构风险管理机制的运作模式有效的网络支付机构风险管理和内控机制,主要通过基于前中后台的“四道防线”协同运作保障网络支付的信息安全、交易安全和数据安全。其运作模式的关键因素包括以下几方面。 (1)基于“四道防线”的信息科技风险立体防范体系 2009年6月中国银监会公布的《商业银行信息科技风险管理指引》,要求商业银行要构建信息科技风险管理的“三道防线”,即由信息科技管理、信息科技风险管理、内部审计等部门共同管理信息科技风险。根据网络支付机构自身的业务运行和风险管理需求,建议增加资金管理部门作为第一道防线,从而形成由资金管理、系统安全管理、风险管理和内部审计等部门构成的网络支付机构风险管理的“四道防线”。各道防线分别在网络支付业务的前台、中台和后台等不同层面各司其职,形成对网络支付业务风险的多层次管理和立体防范体系。 备付金管理部门可作为第一道防线,负责网络支付用户的资金安全,是网络支付业务风险管理的前提和最前端。第二道防线是系统安全管理部门,负责网络支付业务开展过程中的技术安全。系统安全管理部门要应用各种安全技术,保护用户在网络支付过程中的资金安全、信息安全等。第三道防线是风险管理部门,负责机构整体的风险管理,从全面风险管理角度,运用各种风险管理的方法工具,对网络支付风险的识别、计量、监测、控制、报告等全流程进行管理,并逐步建立适应于网络支付机构的全面风险管理体系。第四道防线是内部审计部门,负责事后对业务开展和风险管理的情况进行评估和审计。 (2)在网络支付机构内部建立业务风险责任制 对于单个网络支付机构而言,其风险管理架构主要包括三个层面:一是来自董事会和外部对管理层的监督机制;二是对业务部门的安全管理架构;三是对业务线风险的监控措施和工具。要建立由上到下的有效的风险管理架构,就要明确规定各个部门、岗位的风险责任,而且要以部门负责人为风险管理责任人,这是内控机制得以有效运作和发挥作用的基础。 (3)提高部门之间的快速反应和高效协同能力 在各个业务部门各司其职的基础上,网络支付机构应建立纵向沟通、高效协同、快速反应的管理机制,做到出现问题第一时间高管能及时了解情况,处理问题时各个部门能够积极协同配合,将风险隐患消灭在萌芽阶段;对已发生的风险做到积极、妥善处理,防范风险扩大。 通过各部门的风险管理联系人的紧密协作,及时、妥善处理各类风险事件,尽可能将事件带来的负面影响降至最低。同时记录风险事件处理过程以及结果,定期分析总结,不断完善内部控制措施、优化协调程序,以降低风险事件重复发生的可能性、提高风险事件的处置效率。 三.安全技术在网络支付风险控制中的作用网络支付不同于传统支付方式,它是基于互联网的一种实时支付结算活动。互联网开放式的信息交换方式使其网络安全具有很大的脆弱性。为了保护用户在网络支付过程中的资金安全、信息安全,各种安全技术的研究和运用非常重要。在网络支付风险控制架构中,安全技术主要在第二道防线即系统安全管理中发挥作用,负责保护网络支付业务开展过程中的技术安全。目前常用的与安全相关的技术包括加密技术、认证技术、安全电子交易协议、黑客防范技术、虚拟专用网技术、反病毒技术、实时监控技术、大数据应用技术及其他相关的网络安全技术。 1.加密技术加密技术是网络支付活动中采取的主要安全技术手段,以确保信息的保密性、完整性、可用性。加密技术不仅可以在潜在不安全的环境中保障通信及数据存储的安全,还可以有效地应用于报文认证、数字签名等环节,对保护账户和网络支付过程的安全起着重要作用。同时,加密技术是认证技术及其他很多安全技术的基础,也是信息安全的核心技术。 2.认证技术认证技术可以直接满足身份认证,数据保密,信息完整、不可抵赖等多项网络支付的安全需求,有效化解网络支付面临的假冒、篡改、抵赖、伪造等风险威胁。目前比较常用的认证技术有身份认证、报文认证、数字证书、IP 识别、二次校验与人工核查、数字签名、数字摘要、数字时间戳、PKI 安全体系,以及其他一些身份认证技术和报文认证技术。 3.智能实时防控系统智能实时防控系统指由计算机完成的通过相应规则对交易进行实时筛查的监控系统。具体来说,就是网络支付机构能够通过数据分析、数据挖掘等技术进行案件学习并与一般用户正常行为特征进行比对,建立一整套规则体系来捕捉异常的或者有风险操作的账户。一旦发现异常的或有风险的操作行为,则根据风险级别不同进行不同的处理。 以智能防控系统为核心的实时监控技术能够将网络支付机构风险事件的响应速度从事后提前到事中,从而大大提高对网络欺诈、盗窃、作弊、洗钱、套现等风险的防控效率。对网络支付机构而言,一个具备动态规则或风险模型调整能力的智能实时防控系统将极大地提高风险交易的监控效率。 4.大数据应用技术大数据应用技术指,通过手机或个人电脑将个人(或企业)的大量行为状态(不仅仅是交易行为)记录并存储到云端,通过对人的行为进行综合分析来识别身份。在网络支付中应用这一技术,可有效应对用户身份识别风险。 5.其他安全防范措施除了以上列举的安全技术外,网络支付安全防范措施还包括黑客防范技术、虚拟专用网技术、反病毒技术以及安全电子交易协议等。此外,针对网络支付事前和事后阶段可能存在的风险也有相应的安全防范措施,比如建立信息管理机制控制机构信息风险、进行商户审核控制商户风险等。 网络支付是互联网渠道和货币资金转移服务相结合的产物,归根结底是先进技术与传统产业的结合。因此网络支付风险是复合型的风险,需要复合型安全防范手段,其风险防范、安全管理都要围绕技术、产业两个角度或维度进行。在产业管理即支付结算行业规范相对成熟的情况下,安全管理的重心也应放在技术环节。因此展望未来网络支付风险防控的发展趋势,安全技术的创新至关重要。 综上所述,当前我国的网络支付行业还处于成长期,在公司治理、政府监管、法律制度等方面还需要进一步探索和完善。网络支付机构应根据自身特点制定适合的风险管理架构。首先在公司内部环境上,要在深入考虑自身特点以及充分满足自身经营需要的情况下参考金融机构的内部控制条例制定公司治理结构模式。同时进一步完善和发挥外部的政府监督、行业自律以及舆论监督对网络支付机构内部治理的补充作用。其次在内控机制的设计上,网络支付机构应该参考商业银行较为成熟的内控架构,建立网络支付机构的准金融级别内部控制架构。主要由独立的资金管理部、风险管理部、合规与法律部、内部审计部、系统安全部以及公关与用户服务部等部门组成。最后,网络支付机构的有效的风险管理和内控机制需要通过基于前中后台的“四道防线”协同运作来保障网络支付的信息安全、交易安全和数据安全。(完) 文章来源:《中国金融电脑》2013年第10期(本文仅代表作者观点) 本篇编辑:何雅婷 关注巴曙松研究员“百度百家”专栏(网址:http://bashusong.baijia.baidu.com),请点击底部“阅读原文”链接。
|
|
|
