中国支付清算协会关于印发《银行卡业务风险控制与安全管理指引》的通知
文章属性
【制定机关】中国支付清算协会
【公布日期】2014.09.26
【文 号】中支协发[2014]39号
【施行日期】2014.09.26
【效力等级】行业规定
【时效性】现行有效
【主题分类】银行业监督管理
正文
中国支付清算协会关于印发《银行卡业务风险控制与安全管理指引》的通知
(中支协发[2014]39号)
  各会员单位:
  为保护会员单位以及有关市场参与主体的合法权益,维护银行卡市场秩序,规范银行卡业务风险控制与安全管理,中国支付清算协会银行卡基支付工作委员会联合网络支付应用工作委员会、移动支付工作委员会制定了《银行卡业务风险控制与安全管理指引》,并经银行卡基支付工作委员会第二届常委会第二次会议、网络支付应用工作委员会第二届常委会第二次会议、移动支付工作委员会第一届常委会第三次会议分别审议通过,现予以发布。请各会员单位遵照执行。
  特此通知。
  2014年9月26日
银行卡业务风险控制与安全管理指引
第一章 总则
  第一条 为保护持卡人、商户以及成员单位的合法权益,维护银行卡市场秩序,规范银行卡业务风险控制与安全管理,加强银行卡业务自律管理,根据《中国人民银行法》、《中华人民共和国商业银行法》、《银行卡收单业务管理办法》等法律法规、规章,制定本指引。
  第二条 成员单位从事银行卡发卡、收单及转接清算等银行卡业务,应遵循本指引。
第二章 基本要求
  第三条 成员单位应制定明确的银行卡业务发展战略和风险管理规划,建立健全银行卡业务内部控制、授权管理和风险管理体系、组织、制度、流程和岗位,明确分工和相关职责,严格实行授权管理,有效识别、评估、监测和控制业务风险。
  第四条建设银行卡种类 成员单位应遵守反法律法规要求,履行反和反恐怖融资义务。
  客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。
  第五条 成员单位经营银行卡业务,应依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本单位银行卡业务以外的其他用途。
  第六条 成员单位可以基于自愿和保密原则,对银行卡业务中出现不良行为的营销人员、持卡人、特约商户、服务机构等有关风险信息进行共享,加强在风险管理方面的合作。
  第七条 成员单位应建立健全银行卡业务操作风险的防控制度和应急预案,有效防范操作风险。
  第八条 成员单位经营银行卡业务,应充分向持卡人披露相关信息,揭示业务风险,建立健全相应的投诉处理机制。
  第九条 成员单位应建立银行卡业务重大安全事故和风险事件报告制度,与监管部门保持经常性沟通。出现重大安全事故和风险事件后应在24小时内向监管部门报告,并随时关注事态发展,及时报送后续情况。
  第十条 成员单位因机构解散、依法被撤销、被宣告破产,或经监管部门批准终止部分或全部银行卡业务的,应自解散、被撤销、被宣告破产或被批准终止业务之日起,在大众媒体、营业场所及其网站显著位臵就终止原因、终止时间、客户债权债务清算事项以及监管部门要求公告的其他事项,公告至少90天。
第三章 银行卡业务风险管理体系
  第十一条 成员单位应建立与本机构银行卡业务性质、规模相匹配的风险管理组织架构,以有效识别、评估、监测、控制业务风险。
  第十二条 成员单位的风险管理组织架构至少应涵盖董事会、高级管理层、风险管理部门、其他相关部门及各层级对应职责。
  第十三条 成员单位的董事会对本单位风险管理承担最终责任。
  董事会应当根据本单位风险状况、发展规模和速度,建立全面的风险管理战略、政策和程序,判断本单位面临的主要风险,确定适当的风险容忍度和风险偏好,督促高级管理层有效地识别、计量、监测、控制并及时处理本单位面临的各种风险。
  第十四条 高级管理层在风险日常管理方面,对董事会负责,负责执行董事会批准的风险管理政策。高级管理人员,主要包括总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员。主要职责包括:
  (一)负责制定、定期审查和监督执行风险管理的政策、程序和操作规程,定期向董事会提交总体风险情况的报告;
  (二)审阅风险管理职能部门提交的风险管理报告,充分了解机构风险管理的总体情况,重大风险事件处理机制及日常风险监控、评价的有效性;
  (三)界定各部门风险管理职责及风险管理报告的渠道、频率、内容,督促各部门切实履行风险管理职责,保障风险管理体系正常运行;
  (四)为风险管理措施的落实提供资源,包括但不限于配备足够的人力、物力和恰当的组织结构、管理信息系统以及技术水平,以有效识别、计量、监测和控制各项业务风险;
  (五)及时对风险管理体系进行检查和修订,以便有效地应对因内部程序、人员、产品、业务活动、业务处理系统及外部事件和其他因素发生变化造成的风险损失事件。
  第十五条 成员单位应设立或指定专门部门负责银行卡业务风险管理体系的建立和实施,以及风控措施的审批和执行。专职部门直接对高级管理层负责并与其他部门保持独立,应具有独立的报告路线,以保证风险管理的有效性。主要职责包括:
  (一)具体指导和协调本机构的风险管理工作;
  (二)拟定本机构风险管理制度、程序和操作规程,提交高级管理层审批;
  (三)建立风险识别、评估、监测、控制方法及报告程序,并组织实施;
  (四)建立跨部门联合工作机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练工作;
  (五)定期检查、分析相关部门风险管理情况,确保风险管理制度和措施得到有效落实;
  (六)定期向高级管理层提交风险管理报告;
  (七)为各相关部门提供风险管理培训和日常工作支持,协助其履行风险管理职责、提高风险管理水平。
  第十六条 风险管理其他相关部门包括但不限于:业务部门、运营部门、信息科技部门、内审部门、合规部门、客服部门。各部门根据职责分工对所负责的风险管理工作负直接责任。主要职责包括:
  (一)具体执行风险管理的政策、程序和操作规程;
  (二)依据本机构风险管理和内部控制的要求,制定本部门的业务制度、流程和应急预案,确保与风险管理总体政策的一致性;
  (三)监测重点风险,定期向风险管理职能部门通报本部门风险管理的总体状况,并及时报告风险事件。
  第十七条 内审部门定期审计本机构的风险管理体系运作情况,监督检查风险管理政策的执行情况,对新制定的风险管理政策、程序和具体的操作规程进行独立评估,并向董事会和高级管理层报告风险管理体系运行效果的审计报告,跟踪、督导审计发现问题的整改工作。
  第十八条 成员单位应依据国家相关法律法规,按照审慎经营的原则,建立健全风险管理制度和内部控制机制。
  第十九条 成员单位风险管理制度应满足全面性、有效性原则,包括但不限于以下方面:业务管理、用户管理、商户管理、资金安全管理、系统信息安全管理、反和反恐怖融资管理、风险事件及应急管理。
  第二十条 内部控制应体现全面、审慎、有效、独立的原则,主要内容包括:
  (一)内部控制应以防范风险、审慎经营为出发点,本机构业务经营管理中应体现“内控优先”的要求;
  (二)内部控制应贯穿本机构银行卡业务全过程和全部操作环节,覆盖所有的部门和岗位,并由全体人员参与,所有决策或操作均应备案可查;
  (三)内部控制应具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制方面存在的问题应能够得到及时反馈和纠正;
  (四)内部控制的监督、评价部门应独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
  第二十一条 成员单位内部控制机制应包括以下要素:
  (一)内部控制环境;
  (二)风险识别与评估;
  (三)内部控制措施;
  (四)信息交流与反馈;
  (五)监督评价与纠正。
  第二十二条 成员单位应按照风险的类型和特点采用有效的、具有针对性的方法对风险进行监测、分析、评估和处臵,对风险事件进行分析、评估和报告。包括:制定有效的风险防范措施,监测关键风险指标,测试和审查内部控制有效性,开展风险评估,进行风险报告,聘请外部中介机构对风险管理体系进行审计和评价等。成员单位应建立风险预警机制,以降低风险事件的发生频率;及时采取有效控制措施,减少风险事件损失;制定适当的程序报告风险状况和重大风险事件,重大风险事件应及时向董事会和高级管理层报告。