1、收单业务风险管理办法第一章 总 则第一条 为促进收单业务的健康发展,规范(下称本行)收单业务操作,防范业务风险,维护各方合法权益,根据银行卡业务管理办法、银行卡风险管理办法及中国银联业务规则等相关规定,制定本办法。第二条 收单业务风险是指在收单业务开展过程中,由于各种原因导致各方合法权益受到损害的可能性。第三条 收单业务风险分为内部风险和外部风险。内部风险包括商户拓展风险、审查审批风险、签约风险、账务处理风险和机具管理风险等;外部风险包括特约商户欺诈风险等。第四条 收单业务风险管理是指在收单业务开展过程中,对各种风险进行识别、分析的基础上,采取有效手段防范、控制与处理风险的行为.收单业务风险管
2、理应贯穿商户发展、账务处理和机具管理的全过程,并严格遵循“事前防范、事中控制、事后监督”的原则。第五条 本行作为收单业务主体,根据中国银联“谁收单、谁受益、谁承担风险”的原则,自主承担收单业务风险.第二章 风险管理岗位设置与职责第六条 收单业务部为收单业务管理部门,内设收单业务风险管理岗位,其职责为:(一)负责跟踪研究收单业务风险案例,完善收单风险防范制度;(二)负责制定收单风险防范管理制度;(三)负责组织收单业务风险管理研讨和培训;(四)根据银行业监督管理部门各类收单业务安全指引及中国银联安全管理要求,协助有关部门对收单业务系统进行安全评估;(五)负责撰写收单业务安全状况分析报告; (六)负
3、责接收并及时向上级部门上报收单业务风险案件工作以及内部通报工作;(七)负责建立风险指标考核体系,制定风险控制方案及紧急情况下的处理预案.第七条 各支行为收单业务的拓展部门,应设立特约商户管理岗位,其职责为:(一) 特约商户管理员负责特约商户的日常管理工作,包括业务咨询、POS机具的维护、日常对账工作,传递入账单据、错账核对调整等,确保特约商户受卡工作的顺利进行和POS机具的正常使用。(二)特约商户管理员采用定期与非定期、现场与非现场等多种方式对特约商户进行检查与监督,及时对异常现象进行跟踪、监测。检查的内容包括:1、POS机具的使用和管理;2、商户的经营内容、状况和方式是否发生变化;3、交易数
4、据和单据的保存是否符合规定;4、收银员、所有人和负责人是否发生变化;5、交易异常情况的监控、分析和调查;6、其他可能引起风险的情况.(三)特约商户管理员应做好银行卡业务的宣传工作,对特约商户提出的问题要及时加以解决,并与特约商户建立联系电话。第三章 风险防范第八条 建立健全收单业务各项制度,从制度上保证收单业务安全经营,规避制度风险。第九条 商户拓展和审查在开展收单业务时,应按照银联业务规则严禁发展禁入类商户,对谨慎发展类商户采取更加严格的调查措施和审批程序。(一)禁入商户类型1、非法设立的经营组织;2、 特殊行业商户:包括本国法律禁止的赌博及博彩类、色情服务类、出售违禁药品、毒品、黄色出版物
5、、军火弹药等其他与本国法律、法规相抵触的商户;3、 可疑商户:商户或商户负责人(或法人代表)已被列入中国银联的不良信息系统;4、注册地及经营场所不在收单机构所在国的商户;5、其他不符合规定的商户类型.(二)谨慎发展商户类型1、易成为伪冒卡使用目标的商户类型:机票代售点或手机专卖店、珠宝、工艺品、名牌服饰专卖店、各类娱乐场所如夜总会、卡拉OK、酒吧、桑拿按摩服务等;2、易发生套现的商户类型:提供中介、咨询服务的商户、小型经贸公司、各类传销机构、批发类商户等;3、易发生虚假交易的商户类型:电话营销及信函营销、音像制品出租等;4、易恶意倒闭的商户类型:在跳蚤市场、二手市场和街头的个体商铺、预付款类商
6、户,如旅行社、短期培训班、各种俱乐部等;5、主动上门要求装机的小型商户:欺诈嫌疑较一般商户要大.(三)高度重视商户的现场调查各支行应在目标商户正常营业时间内实施现场调查,如实填写特约商户信息调查表,并拍摄经营场所的内部和外部照片,以验证其经营的合法性和实现预期销售额的能力.详细的现场调查包括以下关键要素:1、商户的基本信息,包括商户名称、商户性质、营业文件、负责人基本信息、商户经营范围、商户交易类型和经营规模等;2、商户经营信息,包括营业时间、相关财务数据指标、经营方式、经营内容和对交易数据、单据的保存情况等;3、商户的收单经验,包括商户之前是否有过收单经验、收银员的收单操作技能;4、其他业务
7、.要求商户提供它所拥有或经营的任何其他业务的相关信息。(四)对商户的资信状况进行调查,调查内容包括以下几项:1、核实商户或其负责人是否有过破产记录,以及现在或过去是否有其他信贷困难或财务危机;2、商户与银行的往来记录;3、商户是否有卷入法律诉讼;4、商户是否有被工商、税务、环保等执法部门的处罚记录;5、负责人是否被列入中国银联或其他卡组织的不良持卡人名单,是否有逾期负债等。第十条 商户的审批应严格按照收单业务管理办法执行。第十一条 商户的日常操作管理(一)加强对本行收单业务管理人员的风险培训,使其充分认识收单业务风险,增强自觉遵章守法的观念,提高其自身风险防范意识,减少或避免出现道德风险。(二
8、)在正式开展收单业务前,应确保对商户进行至少一次业务风险培训;开展业务后,收单机构应根据商户业务发展和风险控制要求,对商户进行定期或不定期的业务和风险培训,原则上一年内不得少于两次,使其熟练掌握POS刷卡业务各环节的操作规程,减少或避免出现操作风险。培训情况应及时登记,以备查核。(三)收银人员应掌握有效卡的识别要点,检查凸印卡号与平面印刷号码是否一致,受理银联卡是否在有效期内,卡片是否完好,刷卡时POS上显示的卡号是否与卡面卡号是否一致,卡背签名栏和签名是否一致。(四)当商户提供信息发生变更时,至少应自变更之日起5个工作日内书面通知本行,并提供相关资料。当商户变更交易资金结算账户信息,应至少提
9、前5个工作日以书面方式加盖公章或财务专用章后通知本行,并提供相关资料。如因商户未及时履行上述责任而造成的损失,由商户自行承担。(五)建立商户风险综合评分体系,根据评分结果对商户进行风险分级,对于不同的风险等级实行不同的管理措施。第十二条 机具管理机具布放时,应充分考虑商户类型、商户地理位置、预期单笔交易金额、预期销售额等相关因素,落实以下措施:(一)首先签署商户协议书,并确认在银联网络主机系统内进行商户注册后,再布放相关机具;(二)“店中店”商户,应根据其经营的独立性,分别布放机具,严禁不同商户合用同一台机具终端;(三)对于每台终端,应进行统一编码,并于程序下载后,将终端编码与机具序列编码建立
10、对应关系,以便于机具管理;(四)程序下载和装机过程中,应加强监控和复核,避免出现装错机情况;(五)装机时,需认真填写特约商户机具管理登记表;(六)机具应符合银联检测标准:能够读取并传送磁条卡的磁道信息,但不显示完全磁道数据(例如CVN);(七)机具若出现无法打印凭条等异常情况时,应及时按相关规定解决,如需生产商进行维修时,收单业务部POS机具管理员应到现场全程陪同监督;(八)POS机具管理员应加强自助设备安全防范的检查,建立巡查制度,安全检查工作主要检查终端上是否安装侧录仪器,确保机具设备正常有效地工作.第十三条 特约商户的账务管理(一)严格按照会计制度正确处理特约商户账务,及时核对资金,对账
11、务差错和资金不符的情况要及时查明原因并按中国银联相关规定调整,切实保障商户的账务正确和资金安全;(二)严格控制对账户信息和交易数据的访问权限,根据业务需要的原则,必须通过身份验证、权限管理、密码管理等手段,严格控制访问、使用账户信息及交易数据,防止擅自对数据进行查看、篡改和破坏;(三)严格保护商户账务信息及交易数据,不得将账户信息及交易数据提供给第三方,不得将涉及持卡人安全的账户信息及交易数据用于软件开发和模拟测试;(四)账户信息及交易数据必须在具有安全保护措施的系统中存储、传输。第四章 风险种类特征及控制措施第十四条 商户欺诈类型主要有以下几种:恶意倒闭、套现、洗单、侧录、伪冒交易合谋、卡号
12、测试、手输卡号测试、虚假商户、信函电话网络营销欺诈等。第十五条 不同的欺诈类型具有不同的表现特征.(一)易出现恶意倒闭、套现、洗单、手输卡号欺诈风险的商户往往具有以下特征:1、预付款交易较多;2、销售规模较小,无金融和信贷历史;3、从业人员少,经营不规范;4、扣率较低,按笔或月交纳刷卡手续费;5、要求用个人账户充当银行卡结算账户;6、签单多为手工单据或者压印了其他商户的名字;7、单笔交易金额或日均交易额突然增大。(二)具有侧录、伪冒交易合谋、卡号测试风险的商户具有以下特征:1、一定期限内交易量突增,与其经营规模和经营业务不匹配;2、大量出现同一序列的卡号或相同BIN号的交易;3、在非正常营业时
13、间,出现多笔大额交易;4、被调单、退单的笔数和金额急剧增加;5、商户的授权交易与清算交易差异很大,提交授权的数量很多,但是没有或很少有相对应的交易提交清算;6、授权被拒绝的比例异常高.第十六条 应采取的控制措施:1、加强检查监督管理,加强对收单业务规章制度执行情况的检查与监督,发现违章违纪情况,严肃查处;2、加强日常监控和现场巡查,以尽早识别风险迹象;3、进行有针对性的风险培训,提高商户员工的防欺诈技能;4、如有可能,与商户以前的收单机构联系,详细了解商户之前的收单表现和终止协议的原因;5、在商户不知情的情况下再次进行秘密的现场调查,密切关注商户状况是否与上一次的现场调查结果相符、商户经营是否
14、正常等;6、以客户身份与商户联系,技巧性地询问商户关于所售商品或服务的相关问题,以了解商户经营的真实意图和真实产品;7、在证实商户所有权时,确保收集的信息包括税务登记证及商户结算账户的设立机构和账号.所有的信息变动都应通过正式文件书面证实,并有指定的被授权人员的签字;8、当收到商户的相关信息变更通知时(如账户信息等重要信息),收单机构必须与商户负责人或被授权人员进行验证确认;9、对于商户提出的POS维护要求,如增加、替换或更新POS,也必须与商户进行确认;10、当商户地址变动或增加新装机地址时,实施现场审查;11、加强商户交易监控,关注以上欺诈特征。第五章 风险处理第十七条 建立风险报告制度(
15、一)收单业务部应建立风险报告制度,指定专人负责收单业务风险案件的收集、分析、上报、通报工作.各营业网点确定风险事件联系人,并上报收单业务部。对于收单业务开展时发现的风险遗漏点,发生的恶性案件、商户欺诈事件,发现商户出现以上欺诈迹象以及其他有可能构成严重风险的情况,要及时上报,并提交风险报告。(二)风险报告内容应详尽具体,主要应包含:1、商户的基本信息; 2、基本案情、调查过程相关细节、损失情况;3、已采取和拟进一步采取的措施;4、风险产生的原因及应采取的防范措施;5、联系人的姓名、电话。第十八条 建立收单业务风险事件应急制度。对于有关收单业务开展过程中出现的紧急风险案件,应按照应急方案,妥善、
16、快速处理事件,防止损失的扩大。对有关的收单业务违法犯罪信息,应注意保密,不得随意扩散。第十九条 风险责任划分(一)收单业务部收单业务部为收单业务管理部门,凡属下列情况造成风险的,应负主要责任:1、因对申请所报商户资料的审核及复查不严,致使不符合规定的商户成为本行特约商户;2、监督、检查中未发现存在的问题或对存在的问题不及时处理;3、泄露商户交易数据的;4、未能及时处理有关商户的投诉。(二)会计结算部会计结算部为银行卡资金清算部门,凡属于在收单业务资金清算中未按本行相关制度进行操作造成风险的、泄露商户交易数据的,会计结算部应负主要责任。(三)各支行责任各支行负责特约商户的拓展工作,也是收单业务风
17、险控制的第一道防线。凡属下列情况的,支行应负主要责任:1、虚报商户信息;2、未能及时向本行特约商户提供账单、核对账务的;3、未按照收单业务规章制度对商户进行审查和资信调查;4、对商户资料未能严格保管,泄漏客户资料信息;5、其他应由支行承担的责任。(四)商户责任商户由于以下原因造成的风险,由其自行承担:1、利用POS终端从事损害第三方利益或其它公共利益活动的;2、涂改签购单、分单操作;3、资料及账户变更未及时通知本行;4、POS终端挪为他用;5、未及时提供交易单据而被发卡机构退单;6、其它未正确遵循收单业务章程协议规定造成的损失.第二十条 具体风险处理(一)内部风险处理1、内部风险(1)操作风险
18、由于特约商户管理人员业务有章不循、违规操作而引起的风险.主要包括以下几个方面: 商户审批时没有履行严格审查手续,为不符合发展条件的商户办理收单业务; 对商户资料未能严格保管,泄漏商户资料信息; 对商户出现的欺诈迹象不按规定报告、报批; 未按规定记账而出现账账、账实、账表不符; 发卡行要求调单而未按规定及时回复造成退单损失; 违反规定对商户进行巡查,不及时维护POS终端设备等; 其他操作风险造成的资金损失.(2)道德风险由于特约商户管理人员风险防范意识淡漠,管理松懈,道德品质败坏而造成的风险。主要包括以下几个方面: 未按规定私自为商户进行账务处理; 与不法分子内外勾结进行收单欺诈; 其他道德风险
19、造成的资金损失.由于人员在重要岗位上存在混岗操作现象,造成泄漏机密、串通作案而造成的风险。主要包括以下几个方面: 商户信息资料的录入和变更、密钥下载不是专人负责,造成信息泄露和密钥管理混乱; 账务处理中没有经过复核; 其他重点岗位风险造成的资金损失。2、内部风险处理对于出现的上述内部风险,按员工违规行为处罚办法及相关法律、法规等对相关责任人予以处罚。(二)外部风险处理1、对于特约商户的不规范操作风险,由特约商户自身承担;2、对于特约商户收银员与犯罪分子合谋套取现金的欺诈行为,应积极配合中国银联进行风险协查,并对特约商户采取警告、暂停交易、解除协议等措施;3、对于不法分子的欺诈风险,应立即移交司法机关进行处理;4、本行可通过诉讼程序追偿或通过当地公安机关追索诈骗款项。第六章 附 则第二十条 本办法由负责制定、解释和修订。第二十一条 本办法自下发之日起执行。 - 14 -