王平萍 赵聘聘
[摘要] 2020年新冠肺炎疫情发生后,商业银行信用卡违约率上升,信用卡业务风险问题和防控路径受到了更多关注。信用卡中心是商业银行信用卡业务的管理机构。本文从信用卡中心的业务实际出发,针对内部审计等检查发现的问题,梳理商业银行信用卡业务管理的主要风险点,分析信用卡中心风险防控存在的问题,提出提升信用卡中心风险管理水平的两条防控路径,即在信用卡中心内部建立风险管理有效性量化评价体系,以及总行内部审计部门针对信用卡中心风险管理的重点领域开展专项审计。
[关键词]信用卡中心 风险防控 商业银行
一、引言
信用卡作为现代流行的一种非现金交易付款方式,在促进社会消费及帮助商业银行积累优质客户、提升收益方面起到重要的作用。近年来,信用卡业务快速发展,截至2021年末,国有大型银行及股份制银行累计发卡量分别达到7亿张和4.85亿张,全国信用卡年交易金额超过40万亿元,交易笔数超过1500亿笔。
2020年上半年,受新冠肺炎疫情影响,各商业银行的信用卡不良率增幅明显,虽然加大了风险治理和催收力度,但目前仍处于历史较高水平。因此,各商业银行加大了对信用卡中心业务风险防控的关注程度和审计检查力度。
国内学者已对信用卡的业务风险、风险管理、内部控制和审计监督开展了研究。张诚斌(2021)研究了信用卡风险管理存在的问题并提出了完善建議。莫小红(2018)提出信用卡业务高速发展的同时,很多信用风险逐渐显现,必须强化信用卡业务内部审计管理,加强业务风险管控,提升风险预判能力,才能促进信用卡业务良性发展。王晓燕(2021)提出商业银行需要主动适应新形势、新要求,以监管制度为主线,聚焦业务发展和经营管理重点领域、风险易发多发薄弱环节,加强内部控制相关工作。田雷(2021)提出以内控评价为引领,将内控评价充分融入计划编制、审计实施、评价与报告等审计监督全过程,形成通过审计监督评价内部控制、通过内控评价引领审计监督方向的内部审计闭环体系。
整体来看,当前对商业银行信用卡中心业务风险及防控路径的研究仍然较少。本文从商业银行信用卡中心的组织架构和业务流程入手,按照“发现业务风险—识别风险防控问题—探索风险防控路径—提升风险防控水平”的思路,分析信用卡中心的业务风险和风险防控存在的问题,并针对存在的问题提出了开展风险管理有效性量化评价和重点领域专项审计两条建议,以切实提升信用卡中心的业务风险管理水平。
二、信用卡中心的管理架构
信用卡自20世纪90年代开始引入中国,三十多年来,我国商业银行信用卡运营管理模式,先后经历了隶属于银行个人金融业务的职能部门、信用卡事业部制、信用卡专营机构三个主要阶段。近年来,中信银行和民生银行等少数股份制商业银行探索信用卡子公司运营模式,但尚未获得银保监会批准。目前商业银行仍主要将信用卡中心作为信用卡业务的专营机构。
(一)信用卡中心与总行条线部门间的关系
信用卡中心属于商业银行的专营机构,在产品研发、营销获客、授信审批、用卡监督、催收管理、清算作业、客户服务、一般员工招聘、工资分配等方面均独立于总行其他部门,自主运营。总行负责信用卡中心的高管层任命、工资总额核定等事项。虽然信用卡中心内部普遍设立了专门的风险管理部门牵头负责信用卡业务风险管理,但没有设立内部审计部门,而是由总行内部审计部门对信用卡中心开展内部审计监督。
在商业银行的整体业务框架中,信用卡中心与零售业务部、私人银行部、普惠金融事业部、数字金融部等同属于个人融资业务的零售条线部门(见图1)。商业银行普遍尝试对零售客户提供多种金融服务的交叉营销,信用卡中心也需要建立与其他零售业务部门的协同效应。
(二)信用卡中心部门间的协调与制衡
信用卡中心主要负责商业银行信用卡业务的管理工作。从业务管理角度,一般分为前、中、后台(见图2)。前台部门包括客户拓展、客户经营、产品研发等部门,主要负责信用卡营收产品的研发管理以及客户营销和维护的管理等工作;中台部门包括信用审批、风险管理及催收管理等部门,主要负责业务信用卡审查审批及政策制定、交易风险监控,以及欠款催收管理工作;后台部门一般包括人力资源、财务会计、法律合规等部门,负责人事、财务和合规内控等综合管理工作。
(三)信用卡中心与分行的职责划分
商业银行的信用卡中心已经实现了从发卡到后期交易过程的全流程管理,分行仅负责前期获客营销、后期协助信用卡中心进行交易核实以及逾期催收等工作。因此,信用卡中心对分行参与信用卡业务的风险防控重点集中在与客户直接相关的消费者权益保护风险、案件防控风险等方面。
三、信用卡中心业务管理风险和风险防控存在的问题
(一)信用卡中心业务管理风险
商业银行信用卡中心在业务管理过程中存在一些风险,根据商业银行内部审计等内外部检查情况,主要集中在信用风险和合规风险。其中,信用风险是客户丧失还款能力或不履行还款责任,影响信用卡中心经营业绩的风险;合规风险防范主要是违反外部监管部门制度的不合规行为风险。
1.信用风险点。信用风险是信用卡不良损失形成的直接原因,主要包括以下风险点:一是客户信息采集过程存在的风险,如采集到的客户申请信用卡填写的个人收入信息、个人贷款信息、实际控制公司的债务信息不准确或不完整。二是客户还款能力评估过程存在的风险,如客户收入波动大,还款能力评估难度高;部分客户额度使用比例持续偏高,还款安全边际小;信用卡与网络贷、现金贷存在“共债风险”,网络贷、现金贷风险集中爆发可能导致客户失去还款能力。
2.合规风险点。合规风险是保护消费者权益、防范案件发生的重要一环。合规风险主要来自于不合规操作,可能衍生欺诈风险、套现风险等多种信用卡风险。一是分行和外包服务机构在信用卡业务办理过程中操作不合规,如持卡人为多人违规办理附属卡,办理信用卡的手机号登记不准确,客户填报信息短时间内不合理变更,签约商户平台违规篡改信用卡申请页面等。二是信用卡使用不合规,如套现养卡、偿还房贷或用于股市投资等。三是营销不合规,营销人员未明确告知客户相关服务价格的细节,收费提示模糊。四是委托催收不合规,如催收机构选用流程不合规,催收机构恐吓催收,催收记录未合规移交等。
除了业务管理部门外,信用卡中心的职能部门在外包服务机构采购和管理、系统开发和使用管理、财务管理、薪酬管理等方面也存在合规风险。比如,选择采购供应商时发生采购评审人员不符合资质,违规使用单一来源采购,未充分排查供应商之间的关联关系等;催收时对制卡外包公司、委外催收公司的监管不严,客户信息的保存和传输未加密等;系统开发使用时,开发测试网段与生产网段未严格隔离,用户权限控制未严格执行规定,已离职员工未按规定注销应用系统账号等;资金费用使用时,将专项资金违规用于非业务活动等。
(二)信用卡中心业务风险防控存在的问题
“检查—分析—评价—提升”的理念和做法,是当前促进机构发现风险防控问题、提升风险防控水平的重要方法。从信用卡业务管理风险分析信用卡中心风险防控存在的问题,对于提升信用卡中心风险防控能力具有积极意义。根据内外部审计检查中暴露的信用卡业务管理风险,分析出信用卡中心在业务风险防控存在以下四个方面问题。
1.业务风险的识别、评估和应对方面。风险识别和评估方面的缺陷是信用卡中心风险防控缺陷的主要方面。一是没有充分评估关键风险点,导致对客户资质、资产质量、互联网金融共债等风险事件识别不到位;二是对风险评估方法的检查检验和跟踪评价不及时、不到位,风险评估计量模型更新速度慢、参数不完整,影响了评估准确性;三是沒有建立风险预警和应急处理机制,系统性风险发生时缺乏快速处理方案。
2.业务风险防控的措施方面。信用卡中心的合规风险的问题主要暴露了信用卡中心风险防控措施不完善。虽然大部分商业银行的信用卡中心都按照外部监管制度要求建立了内部风险管理制度,但实际措施方面仍然存在一些不足。一是客户信息校验措施不够,系统校验功能尚不全面,缺乏必要的校验和审批环节;二是没有配备监督人员和监控设备,获客营销等业务环节没有设计或执行双人监督原则,客户办理业务的一些重要环节没有使用录音录像等监控设备记录;三是对分行客户经理违规操作、外包机构采购和服务违规操作缺乏有效的监督和应对措施。
3.业务风险防控的监督方面。内部审计是对风险防控有效性的重要监督方式,但目前大部分商业银行的信用卡中心没有单独设立内部审计部门,缺乏对风险防控有效性的监督和评价,导致各部门对风险防控的重视程度较低,员工参与风险防控的意愿不足。
4.业务风险防控的支持方面。风险防控支持方面的问题主要体现在内外部资源对风险防控支持不足。一是风险管理的考核引导不够,很多商业银行对信用卡中心的考核仍以经营指标为主,造成信用卡中心对风险防控的重视程度有限,对风险问题的问责存在敷衍的情况;二是信息系统的建设相对滞后,系统资源不能充分支持风险防控措施的执行;三是信用卡中心与总行间的信息交流和共享机制不完善,没有充分收集和共享客户融资情况等信息;四是客户投诉的处理机制不完善,对消费者权益保护和投诉客户沟通的重视程度不够,存在淡化处理投诉现象,没有将客户投诉作为发现风险防控问题的重要途径;五是信用卡中心参与业务风险防控的人力不足,大量使用外包机构开展业务,但是在外包机构使用过程中审核、监督、管理不到位,导致外包机构人员业务熟练程度不够、信息安全等风险防控意识不强。
四、提升信用卡中心业务风险防控能力的路径建议
(一)开展信用卡中心业务风险管理有效性量化评价
目前,较少有商业银行信用卡中心开展风险管理有效性的量化评价,风险管理有效性的量化评价有利于更加准确地展现和比较各部门的风险管理水平,分析存在的风险防控问题的严重程度,是提升信用卡中心风险防控能力的有效路径。
1.业务风险管理有效性量化评价的设计原则。风险管理是将经营主体的风险可能造成的不良影响减至最低的管理过程。信用卡中心的业务风险管理与信用卡中心的经营目标和合规目标高度相关。在开展业务风险管理有效性评价时,首先将总体评价与部门评价相结合、业务部门与职能部门相结合,形成覆盖整个信用卡中心的业务风险管理有效性评价体系;其次将外部监管要求与自身经营管理需要相结合,评价指标设计既满足相关部门的监管要求,也充分考虑信用卡中心经营中的重点风险防控领域;最后对重点风险领域和内外部审计检查发现的问题在量化赋分时有所侧重,提高各部门重视程度,防止“屡查屡犯”问题发生。
2.业务风险管理有效性量化评价的主要指标设计。业务风险管理有效性量化评价体系设计,既要反映信用卡中心机构部门和业务架构,也要反映业务风险管理的流程环节。使用矩阵式模型有助于更好地匹配信用卡中心各部门与风险管理环节之间的关系,形成信用卡中心业务风险管理有效性量化评价表(以下简称“量化评价表”)。
矩阵式打分表的各列为信用卡中心机构部门,包括信用卡中心整体、获客营销、审批授信、交易监控和催收等业务管理流程,还包括运营管理、财务管理等职能部门。信用卡中心应尽可能将所有业务管理相关的职能部门均纳入评价范围,职能部门具体名称可根据各商业银行实际情况自行调整。
矩阵式打分表的各行基于八要素中与业务风险管理相关的流程环节。考虑到八个要素之间的相近关系,将内部环境和目标设定作为一个方面,将事件识别、风险评估、风险对策合并为一个方面,将八个要素简化为五个方面。其中,内部环境和目标设定方面主要包括组织架构、人力资源、企业文化和考核导向对业务风险管理目标的支持效果。事件识别、风险评估与风险对策方面主要包括策略、制度、流程、模型等风险管理体系建设和风险识别、监测、评估、应对各环节的执行效果。控制活动方面主要包括各部门归口业务的日常控制活动和反洗钱、外包管理、关联交易等专项控制活动,重点评价其制度要求、流程设计、系统控制、关键岗位设置、授权管理和权责分离、过程监督、复核分析等环节的有效性。信息与交流方面主要包括信息系统建设、数据治理、信息安全控制、内外部信息交流以及消费者权益保护与投诉处理。监控主要是业务风险管理有效性的监督评价、安保案防以及反舞弊和廉洁自律检查情况。
3.信用卡中心业务风险管理有效性量化评价的赋分和评分。根据量化评价的主要指标和赋分设计方法,编制了量化评价表的示意表(见表1),对信用卡中心业务风险管理的五个方面分别给定初始化赋分值。事件识别、风险评估与风险对策,控制活动,信息与沟通三个方面是信用卡业务风险管理的主要内容,每个方面分值为25分。此外,由于信用卡中心自主运营程度较高,监控主要依赖治理层和外部检查,因此在内部环境和监控两个方面,建议内部环境赋分略高于监控,如内部环境15分,监控10分。
对于五个方面中每个环节的赋分,内部环境、信息与沟通和监控3个方面建议采用平均分配。而对事件识别、风险评估、风险对策方面建议稍向风险识别、监测、评估、应对的具体流程环节倾斜。控制活动方面,建议将分值重点分配给归口业务控制(如20分)。另外,在监控方面的指标中设置了一项内外部检查审计指标,对于内外部检查审计发现的问题可以根据问题数量、整改情况,是否存在屡查屡犯等情况进行倒扣分。
在实际应用中,各机构部门和内控要点相交的单元格可以进一步细化列示赋分值,并可根据部门和业务的实际内控需要提出一些具体的评分标准,不同业务、不同部门的同一内控环节赋分值可以不同。比如,前台部门以产品设计开发为主,重点在产品风险识别应对、客户信息采集共享、产品制度和流程设计等方面;中台部门以风险控制为主,重点在风险管理体系、风险评估预警等方面。
4.信用卡中心业务风险管理有效性量化评价的执行与结果运用。信用卡中心业务风险管理有效性的量化评价可采用部门自评与风险管理牵头部门评价相结合的方式。由主管部门和风险管理牵头部门分别对部门的业务风险管理进行打分。量化评价也并非一劳永逸,需要定期开展、循环往复,形成“评估—改进—再评估—再改进”的循环机制。比如,在年中对部分评价方面开展专项评估,在年末开展全面评估;或者引入年度动态调整机制,对于上一年度自评得分较高但下一年度检查审计发现问题的加大扣分力度。
评估结果建议从评价范围、评价方法、评价得分、主要薄弱环节、提升措施等方面反映在评价报告中,并以此为基础,督办相关部门开展风险防控提升工作,改进存在的问题,并通过上级复核评价、审计跟踪等方式检验提升成效。
(二)强化业务风险管理重点领域的专项内部审计
信用卡中心的经营风险和合规风险是商业银行内部审计关注的重点,内部审计有助于促进信用卡中心完善风险防控措施,是提升风险防控的有效路径。
信用卡业务呈现客户量大和业务数据量大两大特点。信用卡中心在业务管理过程中,将授信审批和信用卡使用监督作为业务风险防控的重点,但受限于员工人数,其业务管理对信息系统、分行和外包机构的人员依赖度均较高。
针对以上特点,总行内部审计部门可以结合监管部门对商业银行信用卡业务的监管要求,对信用卡中心业务风险管理的一些重点领域开展专项内部审计。
1.信用风险防控。信用卡业务面临最重要的风险是信用风险。商业银行信用卡中心通常都针对信用风险建立了较为完整的风险防控体系,但常常在风险识别、评估方面存在风险防控隐患,需要持续加强审计监督。审计重点可以放在信用风险防控中的风险模型设计和使用情况上,将其与个人信贷业务的风险模型进行横向比较,分析模型指标设计等方面是否存在局限性,分析业务实际开展过程中是否严格执行了防控流程等业务风险防控要求,以保障信用风险防控落实到位。
2.数据质量控制与信息系统建设。由于信用卡业务客户基数大、客户信息和交易数据多,数据质量风险较为突出,是一项重要的合规风险,需要重点加强防控。因此,应当将信用卡中心的数据治理作为内部审计监督的一个重点。
信用卡中心的数据管理主要依赖信息化系统。信息系统的设置要求、校验比对能力,是数据质量的重要保障。同时,信用卡业务的授信审批、资金交易环节的控制,信息数据获取都依赖信息系统完成。信息系统的功能缺陷会严重影响数据质量风险的防控水平。信息系统建设专项审计是数据治理审计的重要组成部分。在审计过程中,可以重点审计系统的设计、开发、建设和使用是否符合监管制度规定和风险防控要求,内外部系统之间的交互是否顺畅,信息交互是否充分、有效,迭代开发和执行是否满足日常业务操作需要等方面。
信息系統审计过程中,可以使用远程审计的方式减轻内部审计部门的人员和工作压力。比如,开展远程开展穿行测试系统功能和数据筛查比对,利用大数据技术开展分析性程序,将筛查数据与公开数据和同业数据比对,分析客户和业务数据的合理性,并使用统计学分析方法发现具有统计学显著性的变化趋势和异常因素,揭示发现信用卡业务操作和管理中存在的问题和风险防控漏洞,并以此评估数据质量风险防控策略的合理性。
3.消费者权益保护。消费者权益保护是商业银行个人业务的重点关注对象。客户投诉处理是信用卡中心消费者权益保护的关键环节。客户投诉背后往往隐藏着信用卡业务中的制度漏洞、执行不严和不合规操作。近年来各商业银行信用卡业务客户投诉量呈上升趋势,加强消费者权益保护审计有助于发现和解决信用卡中心业务流程和风险防控存在的问题。针对投诉集中领域开展专项审计,并向分行和外包机构开展延伸审计,深入挖掘消费者权益保护问题,避免信用卡中心将投诉和审计检查问题当作个案淡化处理,这样有助于督促信用卡中心深入挖掘业务不合规操作,改进相应的风险防控措施。
4.外包服务机构管理。信用卡中心聘请的外包服务机构主要负责制卡、催收和技术外包等业务。加强对外包服务机构管理的审计监督,能够促进信用卡中心提升外包服务机构风险防控,降低合规风险和信用风险。内部审计可重点监控外包业务管理机制、供应商审查、外包商的准入调查及日常监管,并将信用卡中心客户信息保护作为重点,向部分外包机构开展延伸审计,降低信息泄露风险,保障信息安全。
5.反洗钱、员工行为排查、安全保卫等。信用卡中心的专项审计还应关注反洗钱、员工行为和安全保卫等与业务合规风险和信息安全有着密切关系的重点环节。审计过程中,可以通过覆盖全部产品业务的大数据排查等方式分析可疑行为,发现并帮助修复风险防控措施的设计和执行方面的问题,降低反洗钱、员工行为和安全保卫等方面的合规风险。
(作者单位:中信银行股份有限公司 中国光大银行
股份有限公司信用卡中心,邮政编码:100040,电子邮箱:zhao_pp@foxmail.com)
主要参考文献
[1]崔素芳.刍议银行信用卡业务的内部审计[J].中国信用卡, 2017(6):43-45
[2]黄志宁.信用卡业务在商业银行经营中的作用及发展思路[J].中国产经, 2021(10):88-89
[3]莫小红.银行信用卡业务内部审计探讨[J].时代经贸, 2018(28):6-7
[4]田雷,石乔生.推进商业银行内控评价与内部审计深度融合[J].中国银行业, 2021(8):58-61
[5]王晓燕.商业银行内部控制评价及其优化路径研究[J].企业改革与管理, 2020(20):90-91
[6]张诚斌.新形式下信用卡业务的风险管理研究[J].中国集体经济, 2021(33):89-90