于是,在某日临晨4点,支付宝系统收到来自银行发来的前一会计日对账文件。根据数据格式解析正确后和前日支付宝的所有交易数据进行匹配,理想情况是一一匹配成功无误,然后将这些交易的对账状态勾对为“已对账”。
Tips:此时,对账完成的交易,会将该笔资金从“应收账款”或者“待清算账款”科目中移动到“银行存款”科目中,以示该交易真正资金到账。
以上太理想了,都那么理想就不要对账了。所以通常都会出一些差错,那么我总结了一下常见的差错情况:
1.支付时提交到银行后没有反馈,但对账时该交易状态为支付成功
这种情况很正常,因为我们在信息传输过程中,难免会出现掉包和信息不通畅。消费者在银行端完成了支付行为,银行的通知信息却被堵塞了,如此支付公司也不知道结果,商户也不知道结果。如果信息一直没法通知到支付公司这边,那么这条支付结果就只能在日终对账文件中体现了。这时支付公司系统需要对这笔交易进行补单操作,将交易置为成功并完成记账规则,有必要还要通知到商户。
此时的小明:估计急的跳起来了……付了钱怎么不给说支付成功呢!坑爹!
TIPS:通常银行系统会开放一个支付结果查询接口。支付公司会对提交到银行但没有回复结果的交易进行间隔查询,以确保支付结果信息的实时传达。所以以上情况出现的概率已经很少了。 2.我方支付系统记录银行反馈支付成功,金额为100,银行对账金额不为100
这种情况已经不太常见了,差错不管是长款和短款都不是我们想要的结果。通常双方系统通讯都是可作为纠纷凭证的,如果银行在支付结果返回时确认是100元,对账时金额不一致,可以要求银行进行协调处理。而这笔账在支付系统中通常也会做对应的挂账处理,直到纠纷解决。 3.我方支付系统记录银行反馈支付成功,但对账文件中压根不存在
这种情况也经常见到,因为跨交易会计日的系统时间不同,所以会出现我们认为交易是23点59分完成的,银行认为是第二天凌晨0点1分完成。对于这种情况我们通常会继续挂账,直到再下一日的对账文件送达后进行对账匹配。
如果这笔交易一直没有找到,那么就和第二种情况一样,是一种短款,需要和银行追究。 以上情况针对的是一家银行资金渠道所作的流程,实际情况中,支付公司会在不同银行开立不同银行账户,用以收单结算(成本会降低),所以真实情况极有可能是: 临晨1点,工行对账文件丢过来(支行A) 临晨1点01分,工行又丢一个文件过来(支行B) 临晨1点15分,农行对账文件丢过来
31 / 41
。 。 。
临晨5点,兴业银行文件丢过来 。。。
不管什么时候,中国银行都必须通过我方业务员下载对账文件再上传的方式进行对账,所以系统接收到中行文件一般都是早上9点05分……
对系统来说,每天都要处理大量并发的对账数据,如果在交易高峰时段进行,会引起客户交互的延迟和交易的失败,这是万万行不得的
所以通常支付公司不会用那么傻的方式处理数据,而是在一个会计日结束后,通常也是临晨时段,将前一日交易增量备份到专用对账服务器中,在物理隔绝环境下进行统一的对账行为,杜绝硬件资源的抢占。
以上是银行资金渠道入款的对账,出款基本原理一致。 谈完了资金渠道的对账,我们再来看看对客户帐。
前面提到了,由于资金落在银行,所以对支付公司来说,对银行帐非常重要。那么同理,由于资金落在支付公司,所以对商户来说,对支付公司账也一样重要。能否提供高品质甚至定制化的服务,是目前支付公司走差异化路线的一个主要竞争点。
曾经在某游戏公司(后文统称A公司)做过支付渠道的拓展和维护、对账工作,现就我知道和了解的说几点哈。
1.对账周期:A公司对玩家开放了包括支付宝、财付通在内的十余种电子支付渠道,大部分都是按月对账的,即当月1-10号(视渠道有差异)进行对账,然后11号开始打款/转账。部分渠道可能是本月对上上个月的账,即3月对1月的账,如短信渠道(还分本地和外地)。还有的可能是周结算,如中腾神州行。
2.各渠道成交额: 快钱、易宝等开通了网关支付+账户余额支付的渠道成交量最大,最高的时候可以达到千万级别,最低也是小百万的级别,其次是支付宝和财付通等,最小的是中腾神州行等,每周仅有几千元而已。
3.为何要对账:由于双方都有计费系统,谁都不愿少收钱/多付钱,所以就需要对账后完成打款/转账等流程。而由于网络/渠道的差异性等总会存在双方订单不一致的现象,2者一致的很少很少。不一致的情况有这几种可能:支付渠道扣款成功了但商户这显示订单未完成(玩家会随时反馈给A公司,然后A公司及时的核对该笔订单并给玩家补偿对应金额的游戏货币),支付渠道未扣款成功但商户显示支付成功了,在我经历3个月对账工作中,主要还是前者居多。 不一致的订单总金额如果占当月的交易额度在一定范围内,基本双方都懒得查了(数万甚至数十万笔订单查起来很恼火),然后就是走财务流程打转/转账了。
32 / 41
4.怎么来对账:支付宝、财付通、易宝和快钱等支付渠道给接入商户开放了对账后台的权限,商户可以随时查看月流水,而系统会在月初生成上个月的所有订单列表,这个订单列表可能有成千上万行(支付渠道订单号、商户订单号、订单金额、下单时间、完成时间等),而A公司本身的充值系统也可以导出订单列表,好了,根据订单号来匹配,筛选出不一致的订单,然后逐个的去查吧。
5.对账要多久: 对账这个事情真的好恼火啊,2个Excel表格一共成千上万的订单,开始是通过Excel透视表/筛选等各种方式弄,后来找程序员同事写个了工具,但比对完了还是有数十甚至上百个不一致的订单,然后这些只能从2个后台挨个逐笔的对,一共10多个渠道啊,现在想起来都觉得不堪回首。不过也有例外,A公司通过程序实现了QQ币每日对账,如果前一天双方订单不一致,系统则会将不一致的订单号邮件发给相关人员,然后针对这几笔订单操作即可。一致的话就不会发,总得算来,QQ币每月不一致的维持在30笔以内。
6.谁来对账:支付宝、财付通等支付渠道跟商户联系的人分3类:销售、技术和商务(姑且这么叫吧)。一般销售会负责前期支付渠道的谈判和接入,技术则负责具体的接口调试和实施以及日常运维,商务则负责商户的日常维护和渠道的监控以及对账事宜,如支付渠道需要维护或调整,商务会提前知会给各大商户,然后商户这边出公告、临时关闭该渠道入口。部分公司销售和商务的职能分的不是太细,都是1个人完成的。如果商户的月成交额达到千万级别以上,支付渠道这边就会对你格外的重视,貌似我了解的几个支付渠道是销售人员在直接跟商户打交道,然后商户该月的流水决定了销售人员的奖金和提成。
7.争议比例范围: 相对于一个支付渠道每月几百万的流水,几百甚至上千元的争议订单就显得微不足道了(我接触的那段时间,基本最多的也就在千元左右),商户需要及时的从支付渠道那儿收回资金以支付广告费和公司的运作,不可能也没必要为了几百甚至上千的金额拖几天,先把无争议双方认可的金额走完流程再说,剩下的部分慢慢再对账。 再者支付渠道方面1个人可能负责数十家商户,天天被这些订单恶心着。麦当劳肯德基还有0.1%的损耗,工厂还有次品率呢,更无须说商户和支付渠道的这些争议订单了。
8.商户如何风控:支付渠道上线前肯定是需要在各个浏览器、操作系统下进行调试的,调试无误后才会上线。而网银类一般都有支付上限,各个商户也在充值页面限定了单笔支付的上限,而对于数据负载这块,商户这边单个渠道每天的订单笔数能有5000笔就不错了,差不多也就每分钟4笔的请求量,这个相对于游戏开服时登陆/加载的数据量来说不算大吧。而客服人员也会24小时关注玩家反馈的充值问题,有了问题商户能解决的就商户搞定了,搞不定的也会临时关闭渠道入口并通知支付渠道来一起搞定吧,所以更大的风险应该是来自于支付渠道本身吧。
33 / 41
之前说过,银行与支付公司之间的通讯都是可以作为纠纷凭证的。原理是对支付报文的关键信息进行密钥加签+md5处理,以确保往来报文“不可篡改,不可抵赖”。
同理,支付公司和商户之间也会有类似机制保证报文的可追溯性,由此我们可以知道,一旦我方支付系统通知商户支付结果,那么我们就要为此承担责任。由此我们再推断一个结论: 即便某支付订单银行方面出错导致资金未能到账,一旦我们支付系统通知商户该笔交易成功,那么根据协议该结算的资金还是要结算给这个商户。自然,我们回去追究银行的问题,把账款追回。
一、对支付系统而言,最基本的对账功能是供商户在其后台查询下载某一时间段内的支付数据文件,以供商户自己进行对账。这个功能应该是个支付公司就有,如果没有就别混了。 二、对大多数支付系统而言,目前已经可以做到对账文件的主动投送功能。
这个功能方便了商户系统和支付系统的对接,商户的结算人员无须登录支付平台后台下载文件进行对账,省去了人工操作的麻烦和风险。
对大型支付系统而言,商户如果跨时间区域很大,反复查询该区域内的数据并下载,会对服务器造成比较大的压力。各位看官别笑,觉得查个数据怎么就有压力了。实际上为了这个查询,我最早就职的一家支付公司重新优化了所有SQL语句,并且因为查询压力过大服务器瘫痪过好几次。 现在比较主流的做法是把商户短期内查询过、或者经常要查询的数据做缓存。实在不行就干脆实时备份,两分钟同步一次数据到专用数据库供商户查询,以避免硬件资源占用。甚至……大多数支付公司都会对查询范围跨度和历史事件进行限制,比如最多只能查一个月跨度内,不超过24个月前的数据……以避免服务嗝屁。
对账这块大致就这样了,再往细的说就说不完了。
-----------------------------------------------风控的分割线------------------------------------------- 风险控制,在各行各业都尤其重要。 金融即风险,控制好风险,才有利润。
虽然第三方支付严格意义上说并非属于金融行业,但由于涉及资金的清分和结算,业务主体又是资金的收付,所以风险控制一样非常重要。
对支付公司来说,风控主要分为合规政策风控以及交易风控两种。
前者主要针对特定业务开展,特定产品形态进行法规层面的风险规避,通常由公司法务和风控部门一起合作进行。例如,一家公司要开展第三方支付业务,现在要获得由人民银行颁发的“支付业务许可证”。遵守中国对于金融管制的所有条规,帮助人行监控洗钱行为……这些法规合规风险,虽然条条框框,甚至显得文绉绉,但如果没人解读没人公关,业务都会无法开展。 当然,这块也不是本题所关注的重点,提问者关注的,应当是业务进行过程中的交易风控环节。
34 / 41
现在随着各支付公司风险控制意识的加强,风控系统渐渐被重视起来。除了上述提到的合规风控相关功能,风控系统最讲技术含量,最讲业务水平,最考究数据分析的业务就是交易风控环节。 对一笔支付交易而言,在它发生之前、发生过程中及发生过程后,都会被风控系统严密监控,以确保支付及客户资产安全。而所有的所有秘密,都归结到一个词头上:规则。风控系统是一系列规则的集合,任何再智能的风控方案,都绕不开规则二字。 我们先看看,哪些情况是交易风控需要监控处理的: 1.钓鱼网站 什么是钓鱼呢?
用我的说法,就是利用技术手段蒙蔽消费者,当消费者想付款给A的时候,替换掉A的支付页面,将钱付给B,以达成非法占用资金的目的。
还有更低级的,直接就是发小广告,里面带一个类似tiaobao.com的网址,打开后和淘宝页面
http://
一摸一样,上当客户直接付款给假冒网站主。
第一种情况风控系统是可以通过规则进行简单判定的,虽然有误杀,但不会多。
通常使用的规则是判断提交订单的IP地址和银行实际支付完成的IP地址是否一致,如果不一致,则判断为钓鱼网站风险交易,进入待确认订单。
但第二种情况,亲爹亲娘了,支付公司真的没办法。当然遇到客户投诉后可能会事后补救,但交易是无法阻止了。
2.盗卡组织利用盗卡进行交易
大家都知道,信用卡信息是不能随便公布给别人的,国内大多信用卡虽然都设置了密码,但银行仍然会开放无磁无密支付接口给到商户进行快速支付之用。
所谓无磁无密,就是不需要磁道信息,不需要密码就可以进行支付的通道。只需要获取到客户的CVV,有效期,卡号三个核心信息,而这三个信息是在卡上直接有的,所以大家不要随便把卡交给别人哦~
碰到类似的这种交易,风控系统就不会像钓鱼网站这样简单判断了。
过去我们所有的历史交易,都会存库,不仅会存支付相关信息,更会利用网页上的控件(对,恶心的activex或者目前用的比较多的flash控件)抓取支付者的硬件信息,存储在数据库中。 当一笔交易信息带着能够搜集到的硬件信息一同提交给风控系统时,风控系统会进行多种规则判定。
例如:当天该卡是否交易超过3次 当天该IP是否交易超过3次
该主机CPU的序列号是否在黑名单之列
35 / 41