加强内控合规管理 防范信用卡操作风险

1、加强内控合规管理防范信用卡操作风险 信用卡业务的风险涵盖发卡业务和收单业务，主要涉及市场风险、违规风险、信用风险、操作风险、欺诈风险等。因为操作风险无时不在、无处不在，表现形式也各有不同，所以它是内控合规管理工作的重点。工商银行为适应现代化商业银行的管理需要，根据巴塞尔银行机构内部控制体系框架和中国银行业监督管理委员会的监管要求，大力加强内控制度建设，制定了一系列加强内控合规管理的强制性文件。其中，在信用卡业务风险控制方面，突出了对操作风险的防控与防控体系建设，并参照国际通行做法，制定出识别、计量、防范、控制及管理等一整套标准和措施，在推动全行信用卡专业的内部控制制度建设、监督和促进发卡机构依

2、法合规经营、加强防范各种操作风险等方面起到了积极的推动作用。一、目标管理定位准确风险要从源头控制“以市场为导向，以客户为中心，以效益为目标，以风险控制为原则”的经营理念是信用卡业务健康有序发展的指导思想。根据信用卡产品的业务特点，其生命周期内包含若干个风险点和控制环节，应针对不同风险制定不同的防范措施。1.找准风险点，制定针对性措施(1)信用卡业务风险防范第一关资信审查。申请人递交申请后，发卡机构对申请人的相关资料进行身份审核、资质审查，并通过人民银行的征信系统查询申请人是否有不良记录。通过受理、审查、调查、审批四个环节对申请人提供的资料进行核查。上述四个环节均对业务过程留有清楚的文字记录；由

3、享有独立审批人权利的岗位人员决定对客户的发卡种类以及批准账户的初始信用额度。如果审查、调查、审批这三个环节的工作人员认真履职，完全可以在资信审查过程中及时发现并防止欺诈的申请行为，从源头上控制欺诈风险。(2)信用卡业务风险防范第二关制卡环节。自2004年8月，我行已在全行投产并陆续推广以一级分行为单位的集中制卡外围管理系统及管理办法，通过系统刚性约束控制制卡环节的风险。集中制卡管理系统可以实现对卡片的订购、领用、制卡、入库、发放、回收等环节的安全控制管理，整个制卡流程前后关联，相互制约；实现制卡数据集中管理，加密点对点传输，制卡后制卡数据自动删除；保证岗位合理、职责清晰，明确岗位分工和岗位职责

4、，对关键岗位建立岗位分离制度。(3)信用卡业务风险防范第三关领卡环节。对邮寄、代领、自领卡片等制定了明确的管理规定；为防范代领、邮寄和传递过程中的风险，在系统内设置了卡片启用（激活）环节。同时，为方便客户启用（激活）卡片，我行又提供了营业网点临柜、电话银行及电子银行在线启用等卡片启用（激活）方式，既方便了客户，也加大了风险防范的力度；对密码信封和卡片通过邮寄方式发放的，通过不同邮寄公司或不同时间邮寄的方式，并对其中部分客户以抽查的方式进行回访，以确认卡片是否发放到申请人本人手中，以降低或杜绝风险。(4)信用卡业务风险防范第四关异常交易监控。申请人领卡后即成为持卡人，其在使用银行授信额度的过程中

5、可能会产生风险。发卡机构对其使用过程进行跟踪和监控，设立异常交易监控岗，对持卡人用卡环节进行管理。发卡行通过异常交易监控过程，可以及时发现事前未能控制的风险。例如，资信审查不尽职或未被发现的欺诈申请。如果异常交易监控岗位人员与持卡人联系时，发现持卡人工作单位及地址不符，或查无此人，或工作单位电话及住宅电话均不符或为空号等，则证明资信审查人员未按岗位要求进行认真调查。异常交易监控岗位人员工作尽职，可以起到帮助发卡机构及时修订和完善资信审查操作流程、加强管理的作用。通过异常交易监控，发卡行可对风险进行事中控制，将资金损失控制在适当的范围内。发卡行根据对持卡人用卡记录和用卡行为的分析，确定其是否存在

6、信用风险、欺诈风险并决定是否降低其信用额度或取消用卡资格等，对持卡人进行有效管理。发卡行通过典型案例，可帮助风险管理部门总结申请环节存在的瑕疵、完善资信审查制度；发卡行通过对持卡人用卡记录的分析，为决策层调整发卡营销策略、重新确定目标客户提供依据，这也是风险控制和管理较为关键的一环。异常交易监控在发卡机构的工作链中起着承上启下的关键作用，既可发现上游（审批环节）存在的不足，又可为下游（止付及催收等）决策提供依据。(5)信用卡业务风险防范第五关信用额度管理。一般情况下，客户会在自己可支配额度或财务规划范围内用卡，在信用积累到一定程度后获得信用额度的提升。但具有欺诈倾向或信用劣变的申请人则希望得到

7、较高的信用额度，以达到融资或占用银行资金后不予偿还的目的。因此，发卡机构在异常交易监控过程中发现持卡人具有欺诈倾向，或出于不良动机、最大化使用信用额度时，应及时采取必要措施，降低其信用额度或止付账户及卡片，利用信用额度的调整策略和手段控制风险。此环节与异常交易监控相互配合，可在一定程度上将风险控制在事中。(6)信用卡业务风险防范第六关控制类交易管理。发卡机构对持卡人在用卡过程中的信用状况进行跟踪管理，对争议款项及由争议引发的账务调整、消费积分调整、错账以及存贷款利息或积数的调整、对账户以及卡片信用额度的调整等，均属于由后台人员处理的高风险业务控制类交易的业务范畴，需作为风险控制类交易进行严格管

8、理。一是将控制类交易设定为需要填写调整说明并作为调整时凭证的附件，调整说明上必须有两人以上的签章；二是将控制类交易设定为需要交易授权；三是对控制类交易按发生的日期建立清单，管理人员可随时查阅；四是建立监督检查机制，由专门人员进行事后监督或由内控人员不定期检查及抽查，有效防止擅自调整或违规调整的行为。(7)信用卡业务风险防范第七关透支催收。正常情况下，透支催收环节是，持卡人在用卡过程中因信用不足而导致偿还能力下降，需要发卡机构提醒或采取必要措施强制还款的环节。如前所述，异常交易监控岗岗位尽职，则透支催收工作成本较低，催收人员可以直接联系到持卡人，要求其履行还款承诺等；若异常交易监控岗形同虚设、岗

9、位人员不尽职，未发现资信审查过程中的瑕疵，即便透支催收付出极高的成本仍可能无法收回，而如果涉嫌欺诈就需要司法介入，操作的难度大、成本高，客户的欠款不易收回。透支催收应按照透支金额、期限等建立台账，按照透支金额的大小、时间的长短，进行有效催收，并且在催收过程中留下清晰的书面记录，以方便此项工作的连续性管理以及后续处理。(8)信用卡业务风险防范第八关核销。核销是化解经营风险、降低和减轻财务包袱的重要手段。在核销的过程中应严格把关，对呆账的认定依据、适用政策、认定范围等均按照财政部印发的金融企业呆账核销管理办法文件执行。为防范各发卡机构因在前期工作中玩忽职守、滥用职权或存在导向性错误而导致的风险，所

10、有千元以上的核销均应有内部审计部门的审计结论，对于确无导向性错误、管理不善等原因形成的呆账，在提供完整的资料后，在当年计提的呆账准备额度内进行核销；若内部审计部门的审计结论认定发卡机构存在因前期管理不善、风险管理各环节未认真履职等错误，则逐一追究各环节经办人员的责任；对情节特别严重、给银行带来重大损失且确认存在不尽职的，按照有关规定解除责任人的劳动合同。(9)信用卡业务风险防范第九关账销案存，即核销业务的后续管理。为严格核销业务管理，我行已将核销业务通过系统联机交易实现，并设计成表内、表外一记多讫的交易模式（具体处理核销业务时，按照申报的核销金额，在一个交易内完成表内科目处理并登记账销案存表外

11、账）；自动将已核销户登记“黑名单”（ 失信户）系统，防止再次申请形成新的风险。催收部门对已核销户继续追收，收回的款项冲减呆账准备。关于对“黑名单”（失信户）的管理和使用，系统设计为：所有交易发生时先访问“黑名单”及止付名单库，若交易人已被列入“黑名单”及止付名单库，则马上拒绝交易；在客户新开户时，系统自动访问“黑名单”库，杜绝失信户再次申请办卡。另外，为加强对发卡机构风险控制的管理，拟建立将损失与各岗位业绩挂钩的考评机制即建立核销业务的管理台账，对核销户的审查、调查、审批、异常交易监控、额度调整、催收等各环节的工作同时登记，追溯、考核核销前所有岗位人员的工作质量，促进工作人员提高工作责任心，减

12、少和降低风险损失。(10)信用卡业务风险防范第十关监督检查和审计。加强规章制度执行情况的检查或专项审计是信用卡业务的最后一道防线。信用卡专业管理部门每年要组织安排全辖规章制度执行情况的检查，并将对核销工作的检查作为其中的主要内容，以防范核销工作中的弄虚作假等道德风险或违规行为。通过对规章制度执行情况的检查或专项审计，可以发现前9个环节中存在的不足并及时揭示，督促和帮助发卡机构管理者加强内控管理，防范各种风险。如果上述各环节能够环环相扣，全部或基本达到内控管理要求，则可实现全辖信用卡业务的依法合规经营和利润增长，并获得可持续的发展。近期，媒体披露了多起商业银行内外勾结与职务犯罪的案件，如工作人员

13、利用职务之便贪污、收受贿赂、挪用银行资金导致的巨额资金损失,以及产生恶劣影响的商业贿赂等，均因发案银行未建立行之有效的内控机制，或内控制度建设不健全，甚至内控管理严重缺失造成。这些案件严重影响了商业银行的信誉和发展。因此，加强监督检查和提高内部审计覆盖率是商业银行健康发展不可或缺的重要环节。2.强化内控管理，防范操作风险信用卡业务的操作风险存在于日常工作中。例如，调查人员不尽职，导致欺诈申请得到通过，可能会产生客户恶意透支而不还款的现象；空白卡管理员因疏忽而丢失空白卡片，可能会引起伪冒卡风险；未经严格审核的代领卡行为有可能产生被冒用的风险；记账员的操作失误导致出现“张冠李戴”的现象，或者将存款

14、记成取款，使客户因无法用卡而投诉，使发卡行面临信誉风险；由于异常交易监控岗的不作为、未能发现持卡人的异常交易以及虚假消费套取现金，未对不守信客户采取必要的控制措施，导致出现足额透支，使银行的不良资产居高不下；未经有权人审批或评估即擅自调高信用额度，持卡人大额透支后无力偿还，导致呆坏账的产生；催收人员未按要求对透支户进行催收，致使超过追索时效、透支转为呆账等。这些操作风险的典型表现表明，强化内控管理、防范操作风险必须持之以恒。为此，中国工商银行率先在行内制定了适用于信用卡业务的牡丹信用卡业务操作风险监测指标（简称监测指标）、牡丹信用卡风险管理手册、牡丹信用卡发卡机构内控评价实施细则以及与之配套的

15、牡丹卡业务内控评价评定标准等有关文件，拟于年内印发实行。其中，监测指标将信用卡业务所有操作环节中涉及的指标全部量化处理，并涵盖了业务的整个生命周期。而牡丹卡发卡机构内控评价实施细则及牡丹卡业务内控评价评定标准则在银监会商业银行内部控制评价试行办法及中国工商银行内部控制规定的基础上丰富和细化了具体内容。结合信用卡业务的特点，在监管部门及总行确定的评价内容基础上，充实了评价依据，通过对各级分行信用卡业务内控管理工作的评价，帮助决策层调整经营策略目标，完善考核机制。这几个内控管理办法的出台和执行，将在完善信用卡业务的操作风险控制和提升内控管理水平方面，起到积极的促进作用。3.加强思想教育，提高员工自

16、我保护意识根据对以往各典型案例成因的分析，各类风险的产生固然与管理不善、规章制度存在缺陷等有直接或必然的关系，但员工自我保护意识不强、违规操作等仍是案件发生的主要或者是直接的原因。因此，我行注重在员工中进行三道防线建设的教育，即自控、互控及监控。通过加强内控文化建设，提高员工自我保护意识。(1)形成良好的学习氛围，对于新业务、新制度，要求内控管理人员首先学好、弄懂，再组织员工学习，不断提高员工的整体业务素质和水平，并要求对所有管理环节做好认真的书面记录备查。将内控管理纳入全体员工工作业绩考评中，通过各种评比、考核、奖惩，不断丰富和完善内控制度管理，以此促进和推动全体员工工作水平、业务能力的提高

17、。通过每个员工自身风险防范意识的提高，杜绝违规违章现象，纠正有章不循的错误行为，使遵章守纪成为员工的自觉要求。(2)利用各种培训机会宣传执行内控制度的重要性，通过业务操作中遵章守纪的典范，正向引导员工理解内控制度。同时，结合反面典型案例警示员工，以此规范和约束工作人员的日常行为，以便取得良好的效果。常规工作中，检查辅导员应辅导在先、检查在后，运用丰富的业务知识和检查技巧，协助管理层对各操作环节进行检查并纠正错误，防范和杜绝各种可能出现的操作风险，做到培训、辅导检查，再培训、辅导再检查，形成一个良性循环机制。实践证明，业务检查和业务辅导二者相辅相成，缺一不可。通过经常性、规范化的业务辅导，使员工

18、在思想上重视，提高防范意识；在业务操作上，提高安全意识，减少违规操作。(3)完善监督检查机制，加强事中环节控制。工商银行在辖内实行了总会计制、营业经理制等现场办公的管理模式，还建立了会计检查员持证检查制；而在信用卡业务上则建立了包括全辖一级（直属）分行以及二级分行所有发卡机构的检查辅导制度。总行建立了对全辖检查辅导员每年至少一次的集中面对面培训的长效机制。通过培训强化，提高检查辅导员对内控管理、培训和辅导工作重要性的认识，从而带动提高辖内信用卡从业人员对防范操作风险的认知度，提高风险防范能力和风险控制水平。实践证明，通过加强队伍建设，各级检查辅导员在保障全辖业务的健康发展中，发挥了保驾护航的积

19、极作用。 二、完善系统建设 刚性控制风险1.加大科技投入，提高系统控制能力为控制业务操作环节可能发生的风险，我行不断加大科技投入，对系统进行前瞻性的开发建设，通过系统刚性控制操作风险。(1)科学合理的交易设计。为避免操作员在办理取现、转账及消费过程中人工索授权可能出现的操作失误，在系统中将索授权交易与取现、转账及消费交易进行捆绑，当发生上述交易时，系统会自动授权，自动识别账户或卡片状态，并对处于异常状态的卡片发出拒绝交易的指令。(2)保留运行日志。对业务发生的所有交易均在运行日志上留下记录并妥善保存，包括外围的POS消费、ATM取现等交易；确保在高度自动化的环境中进行有效的内部控制，特别是对于

20、关键的应用系统，应保证有效的控制。(3)强化系统功能。投产新版本和开发新业务前，均经过深入的市场调查和充分的风险论证；按规定对系统及全部流程和交易进行压力测试，确保投产后系统有足够的扩展性和处理能力。2.风险可控，岗位分离(1)在计算机系统管理和控制方面，我行制定了一系列管理办法，使不相容岗位间不出现混岗现象。例如，为保证测试程序与生产环境不混用，制定了对测试程序及设备的管理措施；制定了开发人员与应用人员不得混岗等具体岗位要求。对测试人员的管理以及生产检测卡的使用制定了明确的管理办法，有效杜绝了测试环境与生产环境混用而产生风险情况的可能性。(2)在操作层面，针对信用卡业务确定了风险防范的10项

21、原则和操作环节的122个岗位，规定设置岗位权限时重要岗位不得混岗，对122个岗位之间、前后台之间的不相容岗位不得混岗也做出了明确、具体的规定。在系统中设定了严格的权限卡使用范围及管理办法，按照事权划分的原则，对交易、额度、业务范围、信息修改等做了严格的限定。根据所办理的业务范围及工作性质，将权限卡设置为：查询执行权；维护权；授权权；执行权、授权权；维护权、授权权等事权范围，对所有业务环节进行控制。柜员在终端的任何操作均在日终进入系统日志，且交易数据在端机侧不能被修改；业务终了，通过事后监督系统的最后一道防线对重点业务、高风险操作环节进行监督和控制。(3)对操作岗位实行摄像监控并保留录像，内控管

22、理人员可同步抽查操作人员的现场操作或事后调阅保存的录像，发现操作员违规操作及时纠正，对不胜任岗位工作的人员提出调离的建议。(4)对重要岗位按期轮岗。无法轮岗的，强制要求休假，由内控管理人员进行离岗审计，填补对重要业务、重要岗位控制的缺失，防止在这些环节出现漏洞。3.优化业务流程在制定规章制度、业务流程时，充分、通盘考虑业务链条之间的衔接、管理和控制关系，以及上游对下游的影响、下游对上游的反作用等因素，使规章制度的要求和业务流程的设计更加适用、科学与合理。根据业务发展、系统升级的需要，随时更新业务流程及管理办法，使规章制度、业务流程相辅相成，相互作用。为便于各岗位的操作员能够尽快地熟练掌握业务操作，我行对业务操作的设计借鉴物流管理理念，以最直接、简单和有效的方法，根据业务的流程设计，对重点环节以流程图的形式标明，使各岗位操作员可以最快的速度掌握和使用。例如，为使电子银行客户服务坐席代表与后台支持人员能够以同一标准为客户提供服务，我行制定了牡丹信用卡客户服务作业规程，对客户服务工作进行了统一的规范。三、建立制度的后评价机制规章制度的制定是否科学、适用、合理，要在执行过程中检验。为此，工商银行建立了规章制度的后评价制度，并通过若干渠道实现