《银行卡业务风险控制与安全管理指引》由会员分享,可在线阅读,更多相关《银行卡业务风险控制与安全管理指引(54页珍藏版)》请在金锄头文库上搜索。
1、 - 2 - 银行卡业务风险控制与安全管理指引 第一章第一章 总则总则 第一条第一条 为保护持卡人、商户以及成员单位的合法权益,维 护银行卡市场秩序,规范银行卡业务风险控制与安全管理,加强 银行卡业务自律管理,根据中国人民银行法 、 中华人民共和 国商业银行法 、 银行卡收单业务管理办法 等法律法规、 规章, 制定本指引。 第二条第二条 成员单位从事银行卡发卡、 收单及转接清算等银行 卡业务,应遵循本指引。 第二章第二章 基本要求基本要求 第三条第三条 成员单位应制定明确的银行卡业务发展战略和风 险管理规划,建立健全银行卡业务内部控制、授权管理和风险管 理体系、组织、制度、流程和岗位,明确分工
2、和相关职责,严格 实行授权管理,有效识别、评估、监测和控制业务风险。 第四条第四条 成员单位应遵守反洗钱法律法规要求, 履行反洗钱 和反恐怖融资义务。 客户身份资料在业务关系结束后、 客户交易信息在交易结束 后,应当至少保存五年。 第五条第五条 成员单位经营银行卡业务, 应依法保护客户合法权 益和相关信息安全。未经客户授权,不得将相关信息用于本单位 - 3 - 银行卡业务以外的其他用途。 第六条第六条 成员单位可以基于自愿和保密原则, 对银行卡业务 中出现不良行为的营销人员、持卡人、特约商户、服务机构等有 关风险信息进行共享,加强在风险管理方面的合作。 第七条第七条 成员单位应建立健全银行卡业
3、务操作风险的防控 制度和应急预案,有效防范操作风险。 第八条第八条 成员单位经营银行卡业务, 应充分向持卡人披露相 关信息,揭示业务风险,建立健全相应的投诉处理机制。 第九条第九条 成员单位应建立银行卡业务重大安全事故和风险 事件报告制度,与监管部门保持经常性沟通。出现重大安全事故 和风险事件后应在 24 小时内向监管部门报告,并随时关注事态 发展,及时报送后续情况。 第十条第十条 成员单位因机构解散、依法被撤销、被宣告破产, 或经监管部门批准终止部分或全部银行卡业务的,应自解散、被 撤销、被宣告破产或被批准终止业务之日起,在大众媒体、营业 场所及其网站显著位臵就终止原因、终止时间、客户债权债
4、务清 算事项以及监管部门要求公告的其他事项,公告至少 90 天。 第三章第三章 银行卡业务风险管理体系银行卡业务风险管理体系 第十一条第十一条 成员单位应建立与本机构银行卡业务性质、 规模 相匹配的风险管理组织架构,以有效识别、评估、监测、控制业 务风险。 第十二条第十二条 成员单位的风险管理组织架构至少应涵盖董事 - 4 - 会、高级管理层、风险管理部门、其他相关部门及各层级对应职 责。 第十三条第十三条 成员单位的董事会对本单位风险管理承担最终 责任。 董事会应当根据本单位风险状况、发展规模和速度,建立全 面的风险管理战略、政策和程序,判断本单位面临的主要风险, 确定适当的风险容忍度和风险
5、偏好, 督促高级管理层有效地识别、 计量、监测、控制并及时处理本单位面临的各种风险。 第第十四条十四条 高级管理层在风险日常管理方面, 对董事会负责, 负责执行董事会批准的风险管理政策。高级管理人员,主要包括 总经理、副总经理、财务负责人、技术负责人或实际履行上述职 责的人员。主要职责包括: (一)负责制定、定期审查和监督执行风险管理的政策、程 序和操作规程,定期向董事会提交总体风险情况的报告; (二)审阅风险管理职能部门提交的风险管理报告,充分了 解机构风险管理的总体情况, 重大风险事件处理机制及日常风险 监控、评价的有效性; (三)界定各部门风险管理职责及风险管理报告的渠道、频 率、内容,
6、督促各部门切实履行风险管理职责,保障风险管理体 系正常运行; (四)为风险管理措施的落实提供资源,包括但不限于配备 足够的人力、物力和恰当的组织结构、管理信息系统以及技术水 - 5 - 平,以有效识别、计量、监测和控制各项业务风险; (五)及时对风险管理体系进行检查和修订,以便有效地应 对因内部程序、人员、产品、业务活动、业务处理系统及外部事 件和其他因素发生变化造成的风险损失事件。 第十五条第十五条 成员单位应设立或指定专门部门负责银行卡业 务风险管理体系的建立和实施,以及风控措施的审批和执行。专 职部门直接对高级管理层负责并与其他部门保持独立, 应具有独 立的报告路线,以保证风险管理的有效
7、性。主要职责包括: (一)具体指导和协调本机构的风险管理工作; (二)拟定本机构风险管理制度、程序和操作规程,提交高 级管理层审批; (三)建立风险识别、评估、监测、控制方法及报告程序, 并组织实施; (四)建立跨部门联合工作机制,协调、解决风险管理工作 中的重大问题, 组织跨部门的应急联动机制和应急预案的演练工 作; (五)定期检查、分析相关部门风险管理情况,确保风险管 理制度和措施得到有效落实; (六)定期向高级管理层提交风险管理报告; (七)为各相关部门提供风险管理培训和日常工作支持,协 助其履行风险管理职责、提高风险管理水平。 第十六条第十六条 风险管理其他相关部门包括但不限于: 业务
8、部门、 - 6 - 运营部门、信息科技部门、内审部门、合规部门、客服部门。各 部门根据职责分工对所负责的风险管理工作负直接责任。 主要职 责包括: (一)具体执行风险管理的政策、程序和操作规程; (二)依据本机构风险管理和内部控制的要求,制定本部门 的业务制度、流程和应急预案,确保与风险管理总体政策的一致 性; (三)监测重点风险,定期向风险管理职能部门通报本部门 风险管理的总体状况,并及时报告风险事件。 第十七条第十七条 内审部门定期审计本机构的风险管理体系运作 情况,监督检查风险管理政策的执行情况,对新制定的风险管理 政策、程序和具体的操作规程进行独立评估,并向董事会和高级 管理层报告风险
9、管理体系运行效果的审计报告,跟踪、督导审计 发现问题的整改工作。 第十八条第十八条 成员单位应依据国家相关法律法规, 按照审慎经 营的原则,建立健全风险管理制度和内部控制机制。 第十九条第十九条 成员单位风险管理制度应满足全面性、 有效性原 则,包括但不限于以下方面:业务管理、用户管理、商户管理、 资金安全管理、系统信息安全管理、反洗钱和反恐怖融资管理、 风险事件及应急管理。 第二十条第二十条 内部控制应体现全面、 审慎、 有效、 独立的原则, 主要内容包括: - 7 - (一)内部控制应以防范风险、审慎经营为出发点,本机构 业务经营管理中应体现“内控优先”的要求; (二) 内部控制应贯穿本机
10、构银行卡业务全过程和全部操作 环节,覆盖所有的部门和岗位,并由全体人员参与,所有决策或 操作均应备案可查; (三)内部控制应具有高度的权威性,任何人不得拥有不受 内部控制约束的权力, 内部控制方面存在的问题应能够得到及时 反馈和纠正; (四) 内部控制的监督、 评价部门应独立于内部控制的建设、 执行部门, 并有直接向董事会、 监事会和高级管理层报告的渠道。 第二十一条第二十一条 成员单位内部控制机制应包括以下要素: (一)内部控制环境; (二)风险识别与评估; (三)内部控制措施; (四)信息交流与反馈; (五)监督评价与纠正。 第二十二条第二十二条 成员单位应按照风险的类型和特点采用有效 的
11、、具有针对性的方法对风险进行监测、分析、评估和处臵,对 风险事件进行分析、评估和报告。包括:制定有效的风险防范措 施,监测关键风险指标,测试和审查内部控制有效性,开展风险 评估,进行风险报告,聘请外部中介机构对风险管理体系进行审 计和评价等。成员单位应建立风险预警机制,以降低风险事件的 - 8 - 发生频率;及时采取有效控制措施,减少风险事件损失;制定适 当的程序报告风险状况和重大风险事件, 重大风险事件应及时向 董事会和高级管理层报告。 第二十三条第二十三条 成员单位应建立完善风险管理系统, 以有效识 别、评估、监测、控制和报告风险。该系统应记录和存储与风险 损失相关的数据和风险事件信息,支
12、持风险防范和控制措施,监 测关键风险指标,并可提供风险报告的有关内容。具备条件的成 员单位应建立实时监测系统, 用以控制交易风险。 业务类型复杂、 经营规模较大的成员单位, 应建立功能更加全面的风险管理系统, 针对各项业务的风险特点实施有效管理。 第二十四条第二十四条 成员单位应制定与其业务规模、 复杂程度相适 应的应急预案,建立恢复服务和业务连续运行保障机制,并进行 定期检查,确保有效性。 第二十五条第二十五条 应急预案应涵盖不同人员、岗位,应贯穿整个 业务处理流程,在制度层面要针对相关岗位建立自控监控措施, 在操作层面建立内控监测平台、非现场监测等管理管理措施。 (一)在统一的应急管理框架
13、下制定不同事件的应急预案, 应急预案框架应包括启动应急预案的条件、应急处理流程、系统 恢复流程、事后教育和培训等内容; (二)从人力、设备、技术和财务等方面确保应急预案的执 行有足够的资源保障; (三)对相关人员进行应急预案培训; - 9 - (四) 定期对应急预案进行演练, 并根据实际情况进行修订。 第四章第四章 发卡业务风险控制与安全管理发卡业务风险控制与安全管理 第二十六条第二十六条 发卡银行应建立银行卡卡片管理制度, 明确各 业务环节的管理职责和操作规程,防范重大风险事故的发生。 发卡银行,是指经监管部门批准开办银行卡发卡业务,并承 担发卡业务风险管理相关责任的商业银行。 第二十七条第
14、二十七条 发卡银行发放的银行卡卡片应符合国家、 金融 行业技术标准和相关信息安全管理要求。 发卡银行应按照业务监管部门部署开展本行金融 IC 卡的发 行工作。 第二十八条第二十八条 发卡银行应在银行卡卡面充分披露银行卡基 本信息。其中信用卡卡面应包含以下基本信息:发卡银行法人名 称、品牌标识及防伪标志、卡片种类(信用卡、贷记卡、准贷记 卡等) 、卡号、持卡人姓名拼音(外文姓名) 、有效期、持卡人签 名条、安全校验码、注意事项、客户服务电话、银行网站地址。 借记卡卡面应包含以下基本信息: 发卡银行法人名称、 品牌标识、 卡号、注意事项、客户服务电话、持卡人签名条。受外观形态、 工艺等因素影响而无
15、法印制相关要素的卡片除外。 第二十九条第二十九条 发卡银行的银行卡申请材料文本应包含申请 人信息、合同信息、费用信息等,并根据银行卡的借贷记类别在 申请材料中以醒目方式列示以下重要提示内容: 申请银行卡的基 本条件、所需基本申请资料、计结息规则、年费/滞纳金/超限费 - 10 - 收取方式、阅读领用合同(协议)并签字的提示、申请人信息的 安全保密提示、 非法使用银行卡行为相关的法律责任和处理措施 的提示、其他对申请人信用和权利义务有重大影响的内容。 第三十条第三十条 发卡银行应根据总体风险管理要求确定银行卡 申请材料的必(选)填要素,公开、明确告知申请人需提交的申 请材料和基本要求,提示银行卡
16、申请人完整、准确、真实地填写 申请材料,并审核个人有效身份证件(原件)和必要的证明材料 (原件) 。 第三十一条第三十一条 发卡银行应建立信用卡业务申请材料管理系 统,由总行(总公司、外资法人银行)对信用卡申请材料统一编 号,并对申请材料信息录入、使用、销毁等实施登记制度。 第三十二条第三十二条 发卡银行不得将信用卡发卡营销业务委托给 其他法人机构,发卡银行全资或附属子公司、控股公司,以及与 发卡银行合作发行认同卡、 联名卡并向自身客户营销认同卡或联 名卡的合作机构除外。 发卡银行应严格禁止营销人员从事本发卡 银行以外的信用卡营销活动。 第三十三条第三十三条 发卡银行在发行信用卡时要谨慎发展无稳定 工作和收入的客户群体。 对信用状况不易辨别而确有用卡需求的 部分客户群体,要采取抵押、担保和质押等方式发卡。 申请人所填收入或资产无法核实部分可不作为测算授信额 度的依据。 第三十四条第三十四条 信用卡申请材料必须由申请人本人亲自签名。 - 11 - 发卡银行受理的信用卡附属卡申请材料必须由主卡持卡人以亲 自签名、客户服务电话
