近年来,随着信息科技与支付应用的深度融合,我国网络支付业务呈现高速发展的态势,以支付宝、财付通等为代表第三方支付业务的市场占有率迅速攀升。
然而,由于第三方支付交易具有隐蔽性、虚拟性、复杂性等特点,部分交易游离于监管体系之外,使得第三方支付平台成为资金非法转移、洗钱、诈骗、偷税漏税等各种犯罪行为滋生的“重灾区”,给商业银行网络支付风险防控提出了新挑战。
内部审计作为商业银行风险管理的第三道防线,应积极履行审计治理职能,采取行之有效的审计思路和方法,揭示商业银行与第三方支付机构合作管理中存在的问题,综合研判潜在风险隐患,立促问题整改,助力商业银行新兴业务健康有序发展。
一、商业银行第三方支付合作业务介绍
现阶段,商业银行与第三方支付机构开展了多维度业务合作,通过开放接口,实现在第三方支付平台完成客户银行资金扣划。相关合作业务主要涉及网银支付、快捷支付、聚合支付、第三方代扣和第三方POS收单等。
(一)网银支付业务。
网银支付主要借助支付网关实现交易跳转,而支付网关位于Internet网和银行专网之间,发挥隔离和保护银行专网的作用。第三方支付平台对接银行网银接口后,第三方支付平台实际上发挥着支付网关的功能。
用户在商户平台确认订单后,跳转至支付平台选择某一银行进行付款,支付平台此时作为一个支付网关将买方的支付指令通过网银接口传递给银行端,银行校验账户信息成功后,便从客户银行账户中扣款支付(见图1)。
图1 网银支付模式
(二)快捷支付业务。
快捷支付是指用户无需开通网银(不调用银行支付网关),在第三方支付平台便可完成扣款交易的快速支付模式。快捷支付可实现“一次绑卡,多次支付”,显着提升了支付效率和用户体验。
其具体流程为:用户在第三方支付平台注册成为会员,输入姓名、身份证、卡号、银行预留手机等四要素信息,经银行校验成功后完成绑卡操作,完成“一次绑卡”;后续用户只需在支付界面输入第三方支付密码或“支付密码+手机动态口令”,便可直接进行支付,实现“多次支付”。
快捷支付业务的典型代表是支付宝快捷支付模式,用户在支付宝开通快捷支付并绑定某银行卡后,在淘宝、天猫等电商平台进行消费结算时,可使用该快捷支付方式并选择某张银行卡进行快捷支付。上述支付过程在支付宝通道内完成,无需跳转至银行支付网关进行二次输入或验证。
(三)聚合支付业务。
聚合支付是指商业银行为满足商户收款需求而设计的一款“包容性”支付产品,融合了支付宝、微信、银联和银行等多种支付接口,通过生成静态或动态二维码,为商户提供“一码聚合,统收统付”和一站式资金结算、对账等服务。常见的支付方式有静态扫码付、动态扫码付、收款被扫和线上聚合1等。
对于消费者而言,其无论选择支付宝、微信或者其他支付工具均可完成支付,省时省力;而对于商户而言,其既不必担忧消费者的支付工具与自身收银工具相冲突,又可以即时了解每一笔支付业务的资金入账情况,简单便捷。
(四)第三方代扣业务。
第三方代扣是指第三方支付机构对接银行代扣接口开展扣费业务,用户一次签约后,第三方支付机构即可定期从用户签约的银行账户中扣划资金。
该项代扣业务一般需要用户、第三方支付机构和银行三方签约,且对第三方支付机构具有较高的资质要求,并常用于公共事业规费、学杂费、物业费、信用卡还款等缴费项目,如支付宝水电气自动缴费、支付宝花呗自动还款、滴滴打车自动扣款、财付通信用卡还款等。
(五)第三方POS收单业务。
第三方支付机构在获得央行颁发的银行卡收单牌照后,可向签约的商户发放、布设POS设备,开展第三方POS收单业务,并向商户收取一定的手续费。第三方支付机构一般需要与商业银行开展合作,对接商业银行POS收单接口,在商业银行(收单银行)开立备付金存管账户用于收单资金清结算。
第三方POS机收单业务的结算流程(见图2),一般涉及持卡人、发卡银行、签约商户、第三方收单机构、收单银行和清算中心等主体。
图2 第三方POS收单业务流程
二、商业银行第三方支付业务风险分析
随着第三方支付业务的快速发展,商业银行与第三方支付机构之间的合作也日渐深入和多元化,在给商业银行带来新的发展机遇的同时,也使商业银行面临着各类风险:
(一)第三方支付机构主体风险。
根据我国央行相关规定,非金融机构提供第三方支付服务应取得“支付业务许可证”(也称“第三方支付牌照”),并按照“支付业务许可证”载明的业务范围开展经营活动。截至2020年1月末,经我国央行核准持有支付牌照的第三方支付机构仅237家,仍有大量第三方支付机构未取得支付牌照,第三方支付机构的主体资质存在着良莠不齐的情况。
但部分商业银行为完成内部考核指标,在遴选合作机构时,往往更倾向于能够给自身带来更多经营收益的机构,而对于机构的主体资质和业务经营范围等方面的准入审核不够审慎;加之部分商业银行对第三方支付合作机构缺乏动态监管,一旦第三方支付合作机构出现风险,相关外部风险易传导至合作银行,从而引发银行声誉风险。
(二)客户资金安全风险。
第三方支付机构与商业银行实现接口对接,打破了长期以来交易双方“点对点”资金结算的线性模式,交易双方转而通过第三方支付平台访问银行接口的方式完成资金扣划。
在此交易模式下,第三方支付机构掌握了大量的交易信息、巨额的交易资金沉淀于支付平台。但相较于商业银行,第三方支付机构在安全防范意识方面还较淡薄,存在着一定的网络安全、资金安全和信息安全等风险隐患。在开放的互联网环境中,容易因系统漏洞或是网络钓鱼、木马病毒植入、黑客入侵等原因导致交易信息泄露,侵害用户的财产安全。
此外,也有部分第三方支付平台对接银行支付接口后用于非法经营,提供境内外博彩、P2P网贷等产品和服务,部分平台出现ICP备案失效或经营异常等状况,导致客户资金受损。
(三)洗钱交易风险。
在第三方支付模式下,不法分子仅需利用一张信用卡和一个第三方支付账号,通过虚构交易,便可轻易进行信用卡套现,商业银行只能被动接受付款指令,却难以掌握全流程的交易信息进而判断交易的真实性。
同时,客户在第三方支付平台开立虚拟账户时,由于部分第三方支付平台对客户身份的真实性核查存在不足,平台内匿名账户和虚假账户大量滋生。不法分子通过这些账户进行资金归集和流转,隐蔽性较强,也进一步增加了商业银行反洗钱工作的难度。
(四)银行声誉风险。
对消费者而言,在其自有资金蒙受损失时,通常将商业银行视为维护其资金安全的第一责任人,在资金无法追偿时,会寻求多种手段向银行发起索赔,在这一惯性思维的驱使下,商业银行极易涉及诉讼纠纷,倘若处置不当,将会引发严重的银行声誉风险。
三、商业银行内部审计思路和重点
为确保商业银行与第三方支付平台的业务合作健康、有序开展,商业银行内部审计应切实履行风险防范和监督职能,结合内外部环境变化以及合作过程中商业银行面临的相关风险,明确审计查证思路和重点,帮助商业银行改进内部管理,严把风险防范关口。
(一)机构管理。
鉴于第三方支付机构的主体资质良莠不齐,商业银行在遴选第三方支付合作机构时应秉承审慎原则,强化支付机构的准入、维护和退出等全生命周期管理。而商业银行内部审计则应围绕业务合作的各个环节,定期从以下方面做好“体检”工作:
一是资质审核和分类评估的执行情况。要重点关注第三方支付合作机构的主体资质是否依法合规,准入审核是否实行分级审批制,以及商业银行是否定期对已签约支付合作机构进行分类评估。
二是支付机构经营范围的审查。要关注与支付机构开展的业务合作是否超出该机构所持“支付业务许可证”载明的经营范围。
三是相关风险监测情况。要核查合作过程中第三方支付机构是否出现业务外包、转让、出租或出借许可证等行为,若有商业银行是否及时发现并终止业务合作。
四是合作协议的明确性和可操作性。要核查商业银行与第三方支付机构签订的合作协议,是否就客户资金被盗等风险事件厘清赔付责任和赔付流程,以及是否具有可操作性。
(二)资金安全。
由于保护客户资金安全是第一要务,商业银行支付安全相关审计应重点关注:
一是身份认证控制的建立。要关注银行账户与第三方支付机构首次建立业务关联时,是否经过双重认证,即客户在第三方支付机构进行身份认证时,是否经过商业银行的客户身份鉴别。
二是即时通知功能的开通。要关注商业银行是否为签约第三方支付业务的本行账户开通账户变动即时通知提醒的功能。
三是接口安全控制情况。要关注商业银行对于接口连接的安全控制是否进行了必要的技术准入审核,是否构建安全的网络通道(如专线连接、VPN通道等),是否指定安全边界(如部署防火墙、DMZ隔离区等)以防止第三方支付机构越界访问,从而确保客户信息安全。
(三)交易监测和控制。
可将第三方支付业务交易监测和控制情况纳入商业银行反洗钱相关审计查证内容,并重点关注:
一是纳入监测业务的全面性。要关注商业银行与第三方支付机构所涉及的合作业务是否已被全部纳入商业银行的风险监测体系。
二是风险监测的完备性。要关注商业银行是否对客户通过第三方支付平台进行套现、大额交易、反洗钱、资金转移等潜在风险事件都进行监控和预警。
三是风险防控体系的有效性。要关注商业银行内部是否建立有效的风险防控体系,部门间能否协同做好第三方支付风险的监测与应急预案。
四是交易限额设置的合理性。要关注商业银行是否设定与客户、技术等层面的风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额等。
(四)消费者权益保护。
消费者在商业银行开立账户后,尽管有第三方支付机构介入其中,但消费者与商业银行之间的基础合同关系并未发生变化,商业银行依然承担着维护客户资金安全的职责。为此,商业银行应依托内部审计定期实施自检和排查,并将下列事项纳入消费者权益保护的相关审计内容:
一是关注商业银行与第三方支付机构开展合作过程中,是否妥善保护客户隐私和交易信息。二是关注消费者资金安全是否得以有效保护。三是关注商业银行否建立与第三方支付合作业务相配套的消费者权益保护规章制度。四是关注消费者在与开户银行发生纠纷时的投诉渠道和应急维权流程是否畅通。
