银行收单业务风险管理办法.docx

1、银行收单业务风险管理办法第一章 总 则第一条 为促进银行收单业务的健康发展，规范收单业务操作，防范业务风险，维护本行、发卡行、持卡人、特约商户和中国银联等其它当事人的合法权益，根据市商业银行都市借记卡管理办法、市商业银行银行卡业务操作规程（借记卡部分）及中国银联业务规则等相关规定，制定本办法。第二条 收单业务风险是指在收单业务开展过程中，由于各种原因导致我行、持卡人、发卡行、特约商户、中国银联或其它当事人的合法权益受到损害的可能性。第三条 收单业务风险分为内部风险和外部风险。内部风险包括商户拓展风险、审查审批风险、签约风险、账务处理风险和机具管理风险等；外部风险包括特约商户欺诈风险等。第四条

2、收单业务风险管理是指我行在收单业务开展过程中，对各种风险进行识别、分析的基础上，采取有效手段防范、控制与处理风险的行为。收单业务风险管理贯穿商户的发展、账务处理和机具管理过程中，严格遵循“事前防范、事中控制、事后监督”的原则。第五条 我行作为收单业务主体，根据中国银联“谁收单、谁受益、谁承担风险”的原则，自主承担收单业务中的风险。第二章 风险管理岗位设置与职责第六条 个人金融业务部是我行收单业务综合管理部门，内设收单业务风险管理岗位，其职责为：(一) 负责跟踪研究国内外收单业务风险案例，完善收单风险防范制度；(二) 负责制定收单风险防范管理制度；(三) 负责组织收单业务风险管理研讨和培训；(四

3、) 根据银行业监督管理部门各类收单业务安全指引及中国银联安全管理要求，协助有关部门对收单业务系统进行安全评估；(五) 负责撰写收单业务安全状况分析报告； (六) 负责接收并及时向上级部门上报收单业务风险案件工作以及内部通报工作；(七) 负责建立风险指标考核体系，制定风险控制方案及紧急情况下的处理预案；(八) 负责POS机程序、密钥的安装；(九) 在接收到电子银行部通知调单后负责调单处理；(十) 采用定期与非定期、现场与非现场等多种方式对特约商户进行检查与监督，及时对异常征兆进行跟踪、监测。检查的内容包括：1 POS机具的使用和管理；2 商户的经营内容、状况和方式是否发生变化；3 交易数据和单据

4、的保存是否符合规定；4 收银员、所有人和负责人是否发生变化；5 交易异常情况的监控、分析和调查；6 其他可能引起风险的情况。第七条 电子银行部是我行收单业务清算数据接收、账务查询及差错处理管理部门，其职责为：1 严格按照相关规定操作特约商户的账务接收工作，及时核对清算资金，对账务差错和资金不符的情况要及时查明原因并按中国银联相关规定调整，切实保障商户的账务正确和资金安全；2 严格控制对账户信息和交易数据的访问权限，根据业务需要的原则，必须通过身份验证、密码管理等手段，严格控制访问、使用账户信息及交易数据，防止擅自对数据进行查看、篡改和破坏；3 严格保护商户账务信息及交易数据，不得将账户信息及交

5、易数据提供给第三方，不得将涉及持卡人安全的账户信息及交易数据用于软件开发和模拟测试；4 账户信息及交易数据必须在具有安全保护措施的系统中存储、传输。第八条 运营管理部是我行收单业务清算资金的管理部门，其职责：确保全行收单业务的清算往来资金准确无误。第三章 风险防范第九条 建立健全收单业务各项制度，包括收单业务管理办法、收单业务风险管理办法、商户账务清算、差错处理流程等，从制度上保证收单业务安全经营，规避制度风险。第十条 商户拓展和审查我行在开展收单业务时，按照银联业务规则严禁发展禁止类商户，对谨慎发展类商户采取更加严格的调查措施和审批程序。（一）禁入商户类型1 非法设立的经营组织；2 特殊行业

6、商户：包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物、军火弹药等其他与本国法律、法规相抵触的商户；3可疑商户：商户或商户负责人（或法人代表）已被列入中国银联的不良信息系统；4 注册地及经营场所不在收单机构所在国的商户；5 其他不符合规定的商户类型。（二）谨慎发展商户类型1 易成为伪冒卡使用目标的商户类型：机票代售点或手机专卖店、珠宝、工艺品、名牌服饰专卖店、各类娱乐场所如夜总会、卡拉OK、酒吧、桑拿按摩服务等；2 易发生套现的商户类型：提供中介、咨询服务的商户、小型经贸公司、各类传销机构、批发类商户等；3 易发生虚假交易的商户类型：电话营销及信函营销、音像制品出租等

7、；4 易恶意倒闭的商户类型：在跳蚤市场、二手市场和街头的个体商铺、预付款类商户，如旅行社、短期培训班、各种俱乐部等；5 主动上门要求装机的小型商户：欺诈嫌疑较一般商户要大。（三）要求现场调查调查人员应在目标商户正常营业时间内实施现场调查，如实填写商户信息调查表（见银行收单业务管理办法附件2），并拍摄经营场所的内部和外部照片，以验证其经营的合法性和实现预期销售额的能力。详细的现场调查包括以下关键要素：1 商户的基本信息，包括商户名称、商户性质、营业文件、负责人基本信息、商户经营范围、商户交易类型和经营规模等；2 商户经营信息，包括营业时间、相关财务数据指标、经营方式、经营内容和对交易数据、单据的

8、保存情况等；3 商户的收单经验，包括商户之前是否有过收单经验、收银员的收单操作技能4 其他业务。要求商户提供它所拥有或经营的任何其他业务的相关信息。（四）对商户的资信状况进行调查，调查内容包括以下几项：1 核实商户或其负责人是否有过破产记录，以及现在或过去是否有其他信贷困难或财务危机；2 商户与银行的往来记录；3 商户是否有卷入法律诉讼；4 商户是否有被工商、税务、环保等执法部门的处罚记录；5 负责人是否被列入中国银联或其他卡组织的不良持卡人名单，是否有逾期负债或曾卷入法律诉讼等；第十一条 商户的审批（一）对于符合我行拓展条件和通过审查的商户，各支行应提交以下真实完整的申请资料：1 商户申请表

9、2 商户营业执照和税务登记证等证件的复印件3 负责人或法人代表身份证复印件等相关资料以上资料缺失的，需等资料补齐后再进行审批。（二）设立多级审批制度，对于不同风险等级的商户由不同级别的领导进行审批：1 对于资信状况良好且完全符合审批条件的商户，由个人金融业务部负责人审批；2 对于应谨慎发展的商户，应在以上审批的基础上，再提交个人金融业务部主管行长审批。（三）建立规范严格的申请受理审批程序，严格审核申请材料，确保其真实有效性，对商户提交的申请材料要定期装订、妥善保管，严格保密，防止泄露商户资料信息。商户审批完成后，我行与商户签署银行特约商户受理银联卡协议书。第十二条 商户的日常操作管理（一）加强

10、对我行收单业务管理人员的风险培训，使其充分认识收单业务风险，增强自觉遵章守法的观念，提高其自身风险防范意识，减少或避免出现道德问题。（二）在正式开展收单业务前，应确保对商户进行至少一次业务风险培训；开展业务后，收单机构应根据商户业务发展和风险控制要求，对商户进行定期或不定期的业务和风险培训，原则上一年内不得少于两次，使其熟练掌握POS刷卡业务各环节的操作规程，减少或避免出现操作风险。我行应保留每次的培训记录，以备查核。（三）收银人员应掌握有效卡的识别要点，检查凸印卡号与平面印刷号码是否一致，受理银联卡是否在有效期内，卡片是否完好，刷卡时POS上显示的卡号是否与卡面卡号是否一致，卡背签名栏和签名

11、是否一致（四）当商户提供信息发生变更时，至少应自变更之日起5个工作日内书面通知我行，并提供相关资料。当商户变更交易资金结算账户信息，应至少提前5个工作日以书面方式加盖公章或财务专用章后通知我行，并提供相关资料。如因商户未及时履行上述责任而造成的损失，由商户自行承担。（五）建立商户风险综合评分体系，根据评分结果对商户进行风险分级，对于不同的风险等级实行不同的管理措施；第十三条 机具的管理机具布放时，应充分考虑商户类型、商户地理位置、预期单笔交易金额、预期销售额等相关因素，落实以下措施：1 首先签署商户协议书，并确认在银联网络主机系统内进行商户注册后，再布放相关机具；2 “店中店”商户，应根据其经

12、营的独立性，分别布放机具，严禁不同商户合用同一台机具终端；3 对于每台终端，应进行统一编码，并于程序下载后，将终端编码与机具序列编码建立对应关系，以便于机具管理；4 程序下载和装机过程中，应加强监控和复核，避免出现装错机情况；5 装机时，需认真填写特约商户机具管理登记表（详见银行收单业务管理办法试行附件11）；6 机具应符合银联检测标准：能够读取并传送磁条卡的磁道信息，但不显示完全磁道数据(例如CVN)；7 机具若出现无法打印凭条等异常情况时，应及时按相关规定解决，如需生产商进行维修时，个人金融业务部设备管理员应到现场全程陪同监督；8 自助设备管理员应加强自助设备安全防范的检查，建立巡查制度，

13、安全检查工作主要检查终端上是否安装侧录仪器，确保机具设备正常有效地工作。 第四章 风险种类特征及控制措施第十四条 商户欺诈类型主要有以下几种：恶意倒闭、套现、洗单、侧录、伪冒交易合谋、卡号测试、手输卡号测试、虚假商户、信函电话网络营销欺诈等。第十五条 不同的欺诈类型具有不同的表现特征。一、易出现恶意倒闭、套现、洗单、手输卡号欺诈风险的商户往往具有以下特征：1 预付款交易较多；2 销售规模较小，无金融和信贷历史；3 从业人员少，经营不规范；4 扣率较低，按笔或月交纳刷卡手续费；5 要求用个人账户充当银行卡结算账户；6 签单多为手工单据或者压印了其他商户的名字；7 单笔交易金额或日均交易额突然增大

14、。二、具有侧录、伪冒交易合谋、卡号测试风险的商户具有以下特征：1 一定期限内交易量突增，与其经营规模和经营业务不匹配；2 大量出现同一序列的卡号或相同BIN号的交易；3 在非正常营业时间，出现多笔大额交易4 被调单、退单的笔数和金额急剧增加；5 商户的授权交易与清算交易差异很大，提交授权的数量很多，但是没有或很少有相对应的交易提交清算；6 授权被拒绝的比例异常高。第十六条 我行应采取以下几种控制措施：1 加强检查监督管理，加强对收单业务规章制度执行情况的检查与监督，发现违章违纪情况，严肃查处；2 加强日常监控和现场巡查，以尽早识别风险迹象；3 进行有针对性的风险培训，提高商户员工的防欺诈技能；

15、4 如有可能，与商户以前的收单机构联系，详细了解商户之前的收单表现和终止协议的原因；5 在商户不知情的情况下再次进行秘密的现场调查，密切关注商户状况是否与上一次的现场调查结果相符、商户经营是否正常等；6 以客户身份与商户联系，技巧性地询问商户关于所售商品或服务的相关问题，以了解商户经营的真实意图和真实产品。7 在证实商户所有权时，确保收集的信息包括税务许可证及商户结算账户的设立机构和账号。所有的信息变动都应通过正式文件书面证实，并有指定的被授权人员的签字；8 当收到商户的相关信息变更通知时（如账户信息等重要信息），收单机构必须与商户负责人或被授权人员进行验证确认；9 对于商户提出的POS维护要

16、求，如增加、替换或更新POS，也必须与商户进行确认；10 当商户地址变动或增加新装机地址时，实施现场审查；11 加强商户交易监控，关注以上欺诈特征。第五章 风险处理第十七条 建立风险报告制度（一）个人金融业务部要建立风险报告制度，指定专人负责收单业务风险案件的收集、分析、上报、通报工作。各营业网点确定风险事件联系人，由营业网点营业部主任或会计主管担任，并上报个人金融业务部。对于收单业务开展时发现的风险遗漏点，发生的恶性案件、商户欺诈事件，发现商户出现以上欺诈迹象以及其他有可能构成严重风险的情况，要及时上报，并提交风险报告。（二）风险报告内容应详尽具体，主要应包含：1 商户的基本信息； 2 基本

17、案情、调查过程相关细节、损失情况；3 已采取和拟进一步采取的措施；4 风险产生的原因及应采取的防范措施；5 联系人的姓名、电话。第十八条 建立收单业务风险事件应急制度。个人金融业务部对于有关收单业务开展过程中出现的紧急风险案件，应制定应急方案，妥善、快速处理事件，防止损失的扩大。对有关的收单业务违法犯罪信息，应注意保密，不得随意扩散。第十九条 风险责任划分（一）电子银行部电子银行部是我行收单业务清算数据接收、账务查询及差错处理管理部门，要制定我行收单业务差错处理流程，凡属下列情况造成风险的，电子银行部应负主要责任：1 对特约商户的清算资金未及时下载并对清算资金没有进行日常监控工作；2 账务接收

18、中未发现存在的问题或对存在的问题不及时处理；3 泄露商户交易数据；4商户账务查询和账务差错工作未及时与中国银联协调处理;5 在接收到调单申请时，未及时通知个人金融业务部；6 未及时处理相关差错、手工退货、手工预授权类交易。（二）运营管理部运营管理部是我行收单业务资金清算部门，要制定我行收单业务会计核算操作流程，凡属于会计核算办法有漏洞或错误造成风险的及在收单业务资金清算中未按我行相关制度进行操作造成风险的，运营管理部应负主要责任。（三）各行责任各行是特约商户拓展的主力军，也是我行收单业务风险控制的第一道防线。凡属下列情况的，各行应负主要责任：1 虚报商户信息；2 未能及时向我行特约商户提供账单

19、；3 未按照收单业务规章制度对商户进行审查和资信调查；4 对商户资料未能严格保管，泄漏客户资料信息；5 其他应由支行承担的责任。（四）商户责任商户由于以下原因造成的风险，由其自行承担：1 利用POS终端从事损害第三方利益或其它公共利益活动的；2 涂改签购单、分单操作；3 资料及账户变更未及时通知银行；4 POS终端挪为他用；5 未及时提供交易单据而被发卡机构退单；6 其它未正确遵循收单业务章程协议规定造成的损失。第二十条 具体风险处理（一）内部风险处理1 内部风险（1）操作风险由于商户管理人员业务有章不循、违规操作而引起的风险。主要包括以下几个方面：商户审批时没有履行严格审查手续，为不符合发展

20、条件的商户办理收单业务；对商户资料未能严格保管，泄漏商户资料信息；对商户出现的欺诈迹象不按规定报告、报批；未按规定记账而出现账账、账实、账表不符；发卡行要求调单而未按规定及时回复造成退单损失；违反规定对商户进行巡查，不及时维护POS终端设备等；其他操作风险造成的资金损失。（2）道德风险由于商户管理人员风险防范意识淡漠，管理松懈，道德品质败坏而造成的风险。主要包括以下几个方面：未按规定私自为商户进行账务处理；与不法分子内外勾结进行收单欺诈；其他道德风险造成的资金损失。由于人员在重要岗位上存在混岗操作现象，造成泄漏机密、串通作案而造成的风险。主要包括以下几个方面： 商户信息资料的录入和变更、密钥下

21、载不是专人负责，造成信息泄露和密钥管理混乱;账务处理中没有经过复核；其他重点岗位风险造成的资金损失。2 内部风险处理对于出现的上述内部风险，按银行员工违规行为处罚办法及我国相关法律、法规等对相关责任人予以处罚。（二）外部风险处理1 对于特约商户的不规范操作风险，由特约商户自身承担；2对于特约商户收银员与犯罪分子合谋套取现金的欺诈行为，应积极配合中国银联进行风险协查，并对特约商户采取警告、暂停交易、解除协议等措施。3 对于不法分子的欺诈风险，应立即移交司法机关进行处理。银行可通过诉讼程序追偿或通过当地公安机关追索诈骗款项。第六章 附 则第二十一条 本办法由银行个人金融业务部负责制定、解释和修订。第二十二条 本办法自下发之日起执行。