解读第三方支付机构的内控机制设计与风险管理组织架构
2014/7/29 8:57:10

  第三方支付平台,是连接网络交易买卖双方、电子商务平台和银行业金融机构的中介和桥梁。支付机构在支付指令的传递、交换、处理以及资金清结算中扮演着“中转站”的角色,可以大大提升网络支付活动的安全与效率。相对于传统企业,网络支付企业在经营环境、经营性质以及外部监管等方面都有自己独特的特点。如何根据自身情况建立有效的风险管理架构是众多年轻的网络支付机构面临的一个重要问题。

  一、中国网络支付机构风险管理的内外部环境

  (一)公司治理

  在公司治理结构方面,要解决涉及公司成败的两个基本问题:一是如何保证投资者(股东)的投资回报,即协调股东与企业的利益关系。二是企业内各利益集团的关系协调。这包括对经理层与其他员工的激励,以及对高层管理者的制约。在公司治理模式方面,以安全与效率为经营管理行为核心要求的网络支付机构的模式选择必须考虑以下因素:(1)网络支付机构的服务内容,包括支付指令的信息交换和货币资金转移;(2)网络支付机构的技术基础(依托互联网、移动网络)或者对特定渠道的依赖性;(3)与复杂多变的市场环境相适应的安全与效率选择或兼顾战略。

  因此,对网络支付机构而言,其组织体制和管理机构的设置不仅需要满足公司法的一般要求,更为重要的是满足三方面的需要:

  第一方面是需要根据货币资金转移的服务内容,参照商业银行管理支付风险、履行反洗钱义务的经验,设立专门的负责清算、结算资金管理、操作风险管理、反洗钱合规要求的内控机构。

  第二方面则需要结合其依托互联网技术的实际情况,设立技术产品创新、运行维护支撑、信息安全管理等内设部门。

  第三方面则是需要根据确定的安全与效率选择战略,通过高规格的风险和效率管理委员会,促进安全与效率选择或兼顾战略的落实,努力实现网络支付服务安全与效率的共赢。

  此外,也有一些特殊情况需要特殊考虑。有些中小型支付机构的法人和实际经营者是同一个人。这些机构都管理着大量用户用于网络消费的备付金,一旦机构经营者出现盗窃备付金或者挪用备付金进行投资的行为,则机构内部根本就没有相应的机制进行阻止或拉响警报,因此需要设立专门的清结算资金管理部门与支付风险管理部门。还有一些处于创业企业阶段、公司治理很不健全的网络支付机构,内部约束往往难以有效实施,只能依靠各种外部监督。

  (二)政府监督

  目前,中国人民银行对网络支付的监管主要集中在“准入要求”和“业务监管”两个方面。鉴于银行业在我国金融中的重要位置,同时参考国际先进经验,我国对网络支付的监管主要着力于网络支付的交易过程而非交易机构,同时将网络支付平台定位为货币转账企业或是货币服务企业。在这方面,中国人民银行作为支付行业主管部门,在日常业务监管方面拥有丰富地经验,在弥补监管空白方面有巨大的作用。在立法日益完善之后,目前中国人民银行的监管重点将逐步转向日常业务监管。

  (三)行业自律

  对网络支付机构而言,行业自律至少包括两个方面:一方面是依法合规、诚实守信;另一方面则是面对行业,树立形象,用行规行约制约自己的行为。这两方面都包含对行业内成员的监督和保护的机能。目前,我国网络支付机构的行业协会为中国支付清算协会,其制定的行业规则成为我国网络支付机构步入规范发展阶段的重点;同时,该协会承担着加强网络支付行业内部联系的职责,也为各个企业维护自身形象建立基础。

  (四)舆论监督

  如何应对舆论,对于网络支付机构而言仍然有待考虑。参照现代的用户体验管理理论,可以提议网络支付机构在应对舆论时参考用户体验中的重要增值点:主动服务。这本身是针对公司客服而提出的,客服工作者在受理用户的咨询投诉单之外,还要具备针对受理用户资讯投诉的问题进行敏捷分析和业务情景体验的能力,并推动前端产品的优化。主动服务的精神可以在客服中心下设网络舆论监管的专门部门来实现,运用关键词搜索等技术,对于公共社交平台上的网络舆论进行主动服务,发挥舆论监督的积极作用,及时修正以规避其消极作用。

  二、网络支付机构的内控机制设计

  (一)网络支付机构的内控架构

  网络支付机构由于本身不经营存贷款业务,其内控体系主要针对备付金安全、互联网风险、合规风险以及技术风险等环节设置管理架构,因而可以参考商业银行较为成熟的内控架构,建立网络支付机构的准金融级别内部控制架构。具体而言,网络支付机构的内控架构既有类似银行结算业务的内控环节,也同时具有网络支付所特有的网络技术、信息传媒特征。主要应包括以下部门:独立的资金管理部、风险管理部、合规与法律部、内部审计部、系统安全部以及公关与用户服务部等。

  与商业银行资金业务的组织结构相类似,网络支付机构的资金管理部门也应当体现权限等级和职责分离的原则,做到自有资金与备付金分隔、前台交易与后台结算分离、业务操作与风险监控分离,建立岗位之间的监督制约机制。区别于商业银行的是,网络支付机构的风险管理部要对网络支付业务操作风险中的互联网外部欺诈(如账户信息泄露、交易欺诈)、违规违禁交易和洗钱套现等风险进行监控、识别(风险建模)、处置和赔付。

  (二)网络支付机构风险管理机制的运作模式

  有效的网络支付机构风险管理和内控机制,主要通过基于前中后台的“四道防线”协同运作来保障网络支付的信息安全、交易安全和数据安全。其运作模式的关键因子包括:

  第一,基于“四道防线”的信息科技风险立体防范体系。

  备付金管理部门可作为第一道防线,负责网络支付用户的资金安全。这是网络支付业务风险管理的前提基础和最前端。第二道防线是系统安全管理部门,负责网络支付业务开展过程中的技术安全。第三道防线是风险管理部门,负责机构整体的风险管理。要从全面风险管理角度,运用各种风险管理的方法工具,对网络支付风险的识别、计量、监测、控制、报告等全流程进行管理,并逐步建立适应于网络支付机构的全面风险管理体系。第四道防线是内部审计部门,负责事后对业务开展和风险管理的情况进行评估和审计。

  第二,在网络支付机构内部应当建立业务的风险责任制。

  对于单个网络支付机构而言,其风险管理架构主要包括三个层面内容:其一是来自董事会和外部对管理层的监督机制,其二是对业务部门的安全管理架构,其三是对业务线风险的监控措施和工具。要建立由上到下有效的风险管理架构,就要明确规定各个部门、岗位的风险责任,而且要以部门负责人为风险管理责任人。这是内控机制得以有效运作和发挥作用的基础。如前台资金交易岗位应当承担越权交易和虚假交易的责任,并对未执行止损规定形成的损失负责。而中台监控人员应当承担对资金交易员越权交易报告的责任,并对风险报告失准和监控不力负责。后台的结算人员应当对结算的操作性风险负责。同时,机构的高级管理层应当对资金交易出现的重大损失承担相应的责任。

  第三,提高部门之间的快速反应和高效协同能力。

  在各个业务部门各司其职的基础上,网络支付机构应建立纵向沟通、高效协同、快速反应的管理机制,做到出现问题的第一时间高管能及时了解情况,处理问题时各个部门能够积极协同配合,将风险隐患消弭在萌芽阶段;对已经发生的风险也能做到积极、妥善地处理,防范风险扩大。通过各部门的风险管理联系人的紧密协作,及时、妥善处理各类风险事件,尽可能将事件带来的负面影响降至最低。同时记录风险事件处理过程以及结果,进行定期分析总结,不断完善内部控制措施、优化协调程序,以降低风险事件重复发生的可能性、提高风险事件的处置效率。

  三、高度重视安全技术在网络支付风险控制中的作用

  网络支付不同于传统支付方式,它是基于互联网的一种实时支付结算活动。互联网开放式的信息交换方式使其网络安全具有很大的脆弱性。为了保护用户在网络支付过程中的资金安全、信息安全,各种安全技术的研究和运用非常重要。在网络支付风险控制架构中,安全技术主要在第二道防线即系统安全管理中使用,负责保护网络支付业务开展过程中的技术安全。

  目前常用的与安全相关的技术主要包括加密技术、认证技术、安全电子交易协议、黑客防范技术、虚拟专用网技术、反病毒技术、实时监控技术、大数据应用技术及其他相关的网络安全技术。加密技术是认证技术及其他许多安全技术的基础,也是信息安全的核心技术。采用认证技术可以直接满足身份认证、数据的机密性、信息的完整性、不可抵赖性等多项网络支付的安全需求,较好地避免了网络支付面临的假冒、篡改、抵赖、伪造等种种风险的威胁。以智能防控系统为核心的实时监控技术能够将网络支付机构风险事件的响应速度从事后提前到事中,从而大大提高对网络欺诈、盗窃、作弊、洗钱、套现等风险的防控效率。

  网络支付是互联网渠道和货币资金转移服务相结合的产物,归根结底是先进技术与传统产业的结合。因此网络支付风险是复合型的风险,需要复合型安全防范手段,其风险防范、安全管理都要围绕技术、产业两个角度或维度进行。在产业管理即支付结算行业规范相对成熟的情况下,安全管理的重心自然需要放在技术环节。因此展望未来网络支付风险防控的发展趋势,安全技术的创新对于有效的防范和控制网络支付风险的作用将越来越明显。文/吴博,禹路,邱思骏(中国网络支付安全课题组成员)

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消