登录
                
|
经济金融纵横 您当前的位置:首页 > 经济金融纵横 > 理论研究
收单业务专项审计方法探析

作者:江阴银行稽核审计部 花丹  发布时间:2020年03月02日

近年来,随着支付技术的突破和创新,扫码支付、NFC支付等应用兴起,收单场景日益丰富,收单服务也呈现智能化、多元化、线上线下融合发展趋势,收单业务成为各家银行吸收储蓄、增加中间业务收入、增强客户黏度的重要手段。但与此同时,针对收单业务相伴而生的风险如剑在悬,商户套现、虚假商户、伪卡欺诈、商户恶意倒闭等问题频发,在收单业务方面银行面临着越来越大的合规风险、操作风险、信用风险、声誉风险。本文以某农商行为例,结合工作实践,从收单业务的发展现状,存在风险与不足,对开展收单业务专项审计的思路与方法进行探索。  

一、收单业务的发展现状

1、业务发展速度快但竞争激烈。本行全网收单业务产品--收银宝,是一款集刷卡支付、闪付、扫码支付、线上支付为一体的聚合支付产品。依托产品和流程创新,收银宝业务取得快速发展,近两年交易笔数及交易金额成倍增长,且与财付通、支付宝等第三方支付公司深度合作,开展“周三特惠”、“智慧菜场”等系列营销拓展活动,丰富应用场景,提升客户体验,为商户提供集智能收银、微信营销、商户联盟等全方位服务,实现了以商户服务为基础的消费生态圈。        

但不得不看到,在移动支付的发展大潮下,各大机构都虎视眈眈,在这场没有硝烟的竞争中,不断创新和完善收单策略、模式及场景,延伸服务触角,抢夺市场占有率。

2、内控制度已建立但仍需完善。根据《银行卡收单业务管理办法》、《中国银联银联卡业务运作规章》等相关监管规定的要求,建立了收单业务管理办法及流程,内容涵盖商户注册、变更、退出的全流程处理,商户档案、机具秘钥的管理,商户分级、交易监控及巡查培训等。

但从监管角度看,近年重拳出击整治银行卡收单市场秩序,陆续细化对银行卡收单的监管办法,2019年发布85号文,紧接着银联也发布相关通知,间接反映监管不断升级。本行相关制度的修订完善工作也需要与时俱进,进一步细化的同时提高可操作性。

3、组织架构合理但需优化。本行零售金融部门主管收单业务,负责制订全行收单业务发展计划,商户准入及退出,以及业务交易监测、差错处理、数据统计、监督检查工作;基层分支行负责具体商户的营销、巡查和维护,资料的收集存档。岗位、权限设置基本做到了权责分明、相互制衡。

但由于信息不对称,在营销、服务等方面还需加强上下联动、公私联动,形成闭环管理。进一步细分行业,优化产品,贴合客户需求,精准施策。

二、收单业务存在的风险与不足

1、商户管理不严。一是商户交易过程中风险,利用信用卡非法套现、洗单等欺诈行为;二是商户操作风险,未掌握标准步骤操作、未辨认出卡片真伪、刷卡人盗用他人卡片消费等情形。

2、POS机具实物管理不到位。一是库存机具摆放杂乱,未能按类统计;二是采购不合理,未做到按需采购,合理控制成本,造成某些型号机具闲置浪费;三是未规范机具领用、回收登记手续。

3、入账管理不规范。比如有部分企业商户以个人卡号作为入账账号,部分POS收单个体工商户的入账账户非负责人的银行卡号,对入账结算账号已关闭的商户未及时进行停用处理。

4、数据存在风险隐患。扫码支付目前通过第三方技术平台接入微信和支付宝,商户账号、商户名称、交易明细等敏感客户信息需传输至第三方技术平台,存在信息安全隐患,同时因无法掌握数据,给对账带来不便,无法实现交易自主可控。

5、风险预警能力欠缺。收单管理平台对套现、洗钱、电信诈骗等重点风险领域的预警功能需进一步完善,系统不能根据风险预警信息、风险事件及时调整商户风险评级。

6、档案管理存在资料不完整、法律文书填写不规范、保管不当现象。未建立终端交接登记簿,岗位调整未进行移交登记。销户资料与其他资料未分开存档等。

三、收单业务审计思路与方法的探索

有别于传统审计项目,收单业务专项审计没有现成的审计方案模板可供参考实施,审计小组通过审前分析调研,创新审计思路,把握重点,确立要点,从监管制度出发,遵循《银行卡收单业务管理办法》中国人民银行〔2013〕第9号“收单机构拓展特约商户,应当遵循了解你的客户原则,确保所拓展特约商户是依法设立、从事合法经营活动的商户,并承担特约商户收单业务管理责任”的规定,紧紧围绕“了解你的客户“这一原则,从商户准入、机具管理、商户培训、商户回访、档案管理、风险预警、商户分级7个方面进行穿行测试。审计人员通过询问方式对商户准入审批流程、押金收取流程、优惠商户申请审批流程、机具秘钥处理流程等多个流程精细梳理,确定其有效性;抽取若干笔业务从发起到结束进行验证检查,以判断内控客观性、真实性及执行的有效性,同时识别流程中存在的“真空”和“盲点”。审计过程中,检查人员综合运用以下6种方法全方位、多角度让收单业务审清楚、查透彻。

1、审查核对法。关注三个点:一是数量,二是质量,三是手续。调阅收单业务相关档案资料,看是否指定专人负责商户档案的管理,各类登记簿、台账是否按年限、种类保管妥善,是否存在缺漏损毁现象;与商户所签协议是否填写完整规范,业务存续期间是否持续对商户资料的有效性进行核查,资料过期或变更是否及时进行收集并更新;机具或二维码牌安装后是否填写《商户终端设备安装确认书》、《商户业务培训确认书》。检查办理手续合规性,《商户信息调查表》是否客户经理双人签字,商户在办理业务时存在委托代理关系的,是否留存代理人的身份信息等。核对商户行业代码(MCC码),是否存在套用低费率的情况。

2、实地盘点法。通过查看现场,看机具实物管理是否规范,机具放置是否整齐,有无按机具类型摆放,是否存在积压库存的现象;通过机具保管员盘点,审计人员监盘,看账面数量与实物数量是否一致,是否存在机具领用未使用领用单、收回机具未登记出入库登记簿而重新使用现象。

3、外部信息交叉验证法。一是利用启信宝、企查查等APP查询准入商户是否存在被诉、被执行、失信等信息,工商登记是否为注销状态;二是根据实名制要求,利用公安联网核查系统身份查询,对商户资质再审核,要求提供商户法人代表(负责人)征信报告,是否存在逾期欠息等不良记录;三是通过中国银联查询商户是否被列入中国银联不良信息系统。综合考虑特约商户的区域和行业特征、经营规模、财务和资信状况等因素,判断对商户风险评级是否准确,从而分析对不同风险等级的商户采取的风险管理措施是否有效。

4、系统建模分析法。一方面通过收银宝数据分析系统,对提示商户风险交易进行核查,情节较轻的商户予以警告或对其做限额控制,情节较重的商户立即终止其终端业务。另一方面借助审计系统,运用数据挖掘分析技术,将收单业务交易数据及商户明细数据导入审计系统内,通过业务处理逻辑或数据关联关系建立模型,将系统跑出数据进一步分析,发现商户异常行为及收单业务中可能存在的其他风险。

模型思路1:疑似有套现行为的,在同一个商户POS机上一张或多张贷记卡频繁且有规律的发生大额、整额交易。

模型思路2:存在深夜交易行为的,商户POS机交易明细中有贷记卡在深夜(包括非营业时间段)频繁发生整额的刷卡记录。

模型思路3:疑似有洗钱行为的,商户POS机交易量及金额明显超过其经营业务量,或与商户经营范围不符。

模型思路4:商户准入资质审查不到位的,收单商户在本行有存量贷款或贷记卡且出现逾期、欠息等不良记录,甚至存在贷款核销的,仍作为准入商户为其办理收单业务的。

模型思路5:存在超时交易或失败交易记录的,发生频率是否较高,是否为同一持卡人、同一商户POS机。

5、数据流跟踪法。通过对商户收单业务后台资金链清算的逐层查询和追溯,检查是否在传输过程中存在数据外泄的风险,是否自主掌握具体交易数据和资金流向,有无安全隐患,数据流与资金流是否相匹配。

6、走访核实法。通过对特约商户实地走访,可以核对商户经营范围是否与工商营业执照内容范围相符,商户地址是否与工商营业执照地址相符合,商户经营情况是否正常,是否为没有实际二维码消费场景的制造类企业,是否已转让。同时还能发现商户有无私自移机现象,是否存在一家商户多个终端,是否存在零交易未及时清退现象,查看POS机的密码器是否违规摆放在经营场所监控摄像头的摄像范围内,有无盗录持卡人刷卡磁条信息现象。通过现场向商户询问,了解客户经理是否严格执行业务及反洗钱知识培训、定期不定期的回访及巡查制度。现场摸排商户交易的真实性,是否将其他未签约商户的交易在本商户的POS机上刷卡,假冒本店交易进行清算,或者将交易数据信息泄露给不法分子使用,以及侧录刷卡人银行卡信息等其他异常情况。通过询问调查商户对收单产品的体验,了解是否需要提升收单服务水平或技术来进一步满足客户的使用需求。