第一部分 总则 1.1编写目的
为引导成员单位提高互联网支付业务风险防范意识,有效识别、防范互联网支付业务风险,保护成员单位及消费者的合法权益,促进互联网支付业务的健康发展,根据国家法律法规及相关规定,制定本指引。 1.2适用范围
支付机构互联网支付业务经营活动中的风险识别、防范及处置,应遵循本指引。支付机构是指根据中国人民银行《非金融机构支付服务管理办法》规定,取得《支付业务许可证》,获准办理互联网支付业务的非金融机构。互联网支付业务是指客户通过计算机等设备,依托互联网发起支付指令,实现货币资金转移的行为。 1.3基本要求
支付机构开展互联网支付业务活动时,应遵循平等竞争、诚实守信、安全可靠、风险可控的原则。
支付机构应建立与本机构支付业务规模、模式相适应的风险防范管理体系。在业务开展过程中,应根据风险状况不断完善防范措施,有效防范用户端与商户端风险。同时应依照有关法律、法规和监管部门规章、规范性文件的规定加强对资金和客户信息安全的管理,严格履行反洗钱、反恐怖融资义务,规范外包业务管理,实现行业内风险信息共享,确保有效识别、评估、监测、控制和处置互联网支付业务风险。 第二部分 风险管理体系 2.1组织架构
支付机构应建立与本机构支付业务性质、规模和复杂程度相适应的风险管理组织架构,以有效识别、评估、监测、控制风险。风险管理组织架构至少应包括以下基本要素: a.董事会及其职责; b.高级管理层及其职责; c.风险管理部门及其职责; d.其它相关部门职责等。 2.1.1董事会职责
董事会对本机构互联网支付业务风险的管理负最终责任,主要职责包括: a.制定与本机构战略目标相一致且适用于本机构的风险管理战略和总体政策; b.通过审批及检查高级管理层的风险管理职责、权限及报告制度,确保本机构风险管理决策体系的有效性,尽可能确保将本机构各项业务面临的风险控制在可以承受的范围内; c.定期审阅高级管理层提交的风险报告,充分了解本机构风险管理的总体情况、高级管理层处理重大风险事件的有效性以及监控和评价日常风险管理的有效性; d.确保高级管理层采取必要的措施有效地识别、评估、监测和控制风险;
e.批准内部审计部门提交的风险管理体系运行效果的审计报告,确保本机构风险管理体系接受内审部门的有效审查与监督;
f.制定适当的奖惩制度,有效推动本机构风险管理体系的建立完善。 g.风险管理其他重大事项。
未设董事会的支付机构由执行董事或高级管理层履行相关职责。 2.1.2高级管理层职责
高级管理层负责执行董事会批准的风险管理战略及政策。主要职责包括: a.在风险的日常管理方面,对董事会负责;
b.负责制定、定期审查和监督执行风险管理的政策、程序和操作规程,并定期向董事会提交风险总体情况的报告;
c.审阅风险管理职能部门提交的风险管理报告,充分了解机构风险管理的总体情况,重大风险事件处理机制及日常风险监控、评价的有效性;
d.界定各部门风险管理职责及风险管理报告的路径、频率、内容,督促各部门切实履行风险管理职责,以确保风险管理体系的正常运行;
e.为风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、开展风险管理培训等;
f.及时对风险管理体系进行检查和修订,以便有效地应对因内部程序、产品、业务活动、信息技术系统、员工及外部事件和其他因素发生变化造成的风险损失事件。
高级管理人员,包括总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员。
2.1.3风险管理部门职责
支付机构应设立或指定专门部门负责风险管理体系的建立和实施,及风控措施的审批和执行。专职部门应直接对高级管理层负责并与其他部门保持相对独立,以保证风险管理的一致性和有效性。主要职责包括:
a.具体指导和协调本机构的风险管理工作;
b.拟定本机构风险管理制度、程序和操作规程,提交高级管理层审批; c.建立风险识别、评估、监测、控制方法及报告程序,并组织实施;
d.建立跨部门联合工作机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练工作;
e.定期检查、分析相关部门风险管理情况,确保风险管理制度和措施得到有效落实; f.定期向高级管理层提交风险管理报告;
g.为各相关部门提供风险管理培训,协助其履行风险管理职责、提高风险管理水平。 2.1.4其他相关部门职责
风险管理相关部门包括:业务部门、信息科技部门、内审部门、合规部门、客服部门等。 上述部门根据职责分工对所负责的风险管理工作负直接责任。主要职责包括: a.执行风险管理的政策、程序和操作规程;
b.依据本机构风险管理和内部控制的要求,制定本部门的业务制度、流程和应急预案,确保与风险管理总体政策的一致性;
c.监测重点风险,定期向风险管理职能部门通报本部门风险管理的总体状况,并及时报告风险事件。
内审部门不直接负责或参与其他部门的风险管理,但应定期审计本机构的风险管理体系运作情况,监督检查风险管理政策的执行情况,对新出台的风险管理政策、程序和具体的操
作规程进行独立评估,并向董事会和高级管理层报告风险管理体系运行效果的审计报告,跟踪、督导审计发现问题的整改工作。 2.2风险管理制度与内部控制
支付机构应依据国家相关法律法规,按照审慎经营的原则,建立健全风险管理制度和内部控制机制。
2.2.1风险管理制度
支付机构风险管理制度应满足全面性、有效性原则,包括但不限于以下方面: a.业务管理; b.用户管理; c.商户管理; d.资金安全管理; e.系统信息安全管理; f.反洗钱和反恐怖融资管理; g.风险事件及应急管理。 2.2.2内部控制
2.2.2.1内部控制应当体现全面、审慎、有效、独立的原则,主要内容包括: a.内部控制应当贯穿本机构互联网支付业务全过程和全部操作环节,覆盖所有的部门和岗位,并由全体人员参与,所有决策或操作均应有案可查。
b.内部控制应以防范风险、审慎经营为出发点,本机构业务经营管理中应体现“内控优先”的要求。
c.内部控制应具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应能够得到及时反馈和纠正。
d.内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
2.2.2.2支付机构内部控制应当包括以下要素: a.内部控制环境。 b.风险识别与评估。 c.内部控制措施。 d.信息交流与反馈。 e.监督评价与纠正。 2.3风险管理方法
支付机构应按照风险的类型和特点采用有效的、具有针对性的方法对风险进行监测、分析、评估和处置,对风险事件进行分析、评估和报告。包括:制定有效的风险防范措施,监测关键风险指标,测试和审查内部控制有效性,开展风险评估,进行风险报告,聘请外部中介机构对风险管理体系进行审计和评价等。
支付机构应建立风险预警机制,以降低风险事件的发生频率;及时采取有效控制措施,减少风险事件损失;制定适当的程序报告风险状况和重大风险事件,重大风险事件应及时向董事会和高级管理层报告。 2.4风险管理系统
支付机构应当建立完善风险管理系统,以有效识别、评估、监测、控制和报告风险。该系统应记录和存储与风险损失相关的数据和风险事件信息,支持风险防范和控制措施,监测关键风险指标,并可提供风险报告的有关内容。
具备条件的支付机构应建立实时监测系统,用以控制交易风险。
业务类型复杂、经营规模较大的支付机构,应建立功能更加全面的风险管理系统,针对各项业务的风险特点实施有效管理。 第三部分 用户风险及防范 3.1用户注册审查 3.1.1实名制要求
支付机构应根据审慎原则,实名开立用户支付账户,对用户身份信息的真实性负责,不得为用户开立匿名、假名支付账户。