商業銀行信用卡中心業務風險現狀與防控路徑探索

王平萍 趙聘聘

[摘要] 2020年新冠肺炎疫情發生后，商業銀行信用卡違約率上升，信用卡業務風險問題和防控路徑受到了更多關注。信用卡中心是商業銀行信用卡業務的管理機構。本文從信用卡中心的業務實際出發，針對內部審計等檢查發現的問題，梳理商業銀行信用卡業務管理的主要風險點，分析信用卡中心風險防控存在的問題，提出提升信用卡中心風險管理水平的兩條防控路徑，即在信用卡中心內部建立風險管理有效性量化評價體系，以及總行內部審計部門針對信用卡中心風險管理的重點領域開展專項審計。

[關鍵詞]信用卡中心? 風險防控? 商業銀行

一、引言

信用卡作為現代流行的一種非現金交易付款方式，在促進社會消費及幫助商業銀行積累優質客戶、提升收益方面起到重要的作用。近年來，信用卡業務快速發展，截至2021年末，國有大型銀行及股份制銀行累計發卡量分別達到7億張和4.85億張，全國信用卡年交易金額超過40萬億元，交易筆數超過1500億筆。

2020年上半年，受新冠肺炎疫情影響，各商業銀行的信用卡不良率增幅明顯，雖然加大了風險治理和催收力度，但目前仍處于歷史較高水平。因此，各商業銀行加大了對信用卡中心業務風險防控的關注程度和審計檢查力度。

國內學者已對信用卡的業務風險、風險管理、內部控制和審計監督開展了研究。張誠斌（2021）研究了信用卡風險管理存在的問題并提出了完善建議。莫小紅（2018）提出信用卡業務高速發展的同時，很多信用風險逐漸顯現，必須強化信用卡業務內部審計管理，加強業務風險管控，提升風險預判能力，才能促進信用卡業務良性發展。王曉燕（2021）提出商業銀行需要主動適應新形勢、新要求，以監管制度為主線，聚焦業務發展和經營管理重點領域、風險易發多發薄弱環節，加強內部控制相關工作。田雷（2021）提出以內控評價為引領，將內控評價充分融入計劃編制、審計實施、評價與報告等審計監督全過程，形成通過審計監督評價內部控制、通過內控評價引領審計監督方向的內部審計閉環體系。

整體來看，當前對商業銀行信用卡中心業務風險及防控路徑的研究仍然較少。本文從商業銀行信用卡中心的組織架構和業務流程入手，按照“發現業務風險—識別風險防控問題—探索風險防控路徑—提升風險防控水平”的思路，分析信用卡中心的業務風險和風險防控存在的問題，并針對存在的問題提出了開展風險管理有效性量化評價和重點領域專項審計兩條建議，以切實提升信用卡中心的業務風險管理水平。

二、信用卡中心的管理架構

信用卡自20世紀90年代開始引入中國，三十多年來，我國商業銀行信用卡運營管理模式，先后經歷了隸屬于銀行個人金融業務的職能部門、信用卡事業部制、信用卡專營機構三個主要階段。近年來，中信銀行和民生銀行等少數股份制商業銀行探索信用卡子公司運營模式，但尚未獲得銀保監會批準。目前商業銀行仍主要將信用卡中心作為信用卡業務的專營機構。

（一）信用卡中心與總行條線部門間的關系

信用卡中心屬于商業銀行的專營機構，在產品研發、營銷獲客、授信審批、用卡監督、催收管理、清算作業、客戶服務、一般員工招聘、工資分配等方面均獨立于總行其他部門，自主運營。總行負責信用卡中心的高管層任命、工資總額核定等事項。雖然信用卡中心內部普遍設立了專門的風險管理部門牽頭負責信用卡業務風險管理，但沒有設立內部審計部門，而是由總行內部審計部門對信用卡中心開展內部審計監督。

在商業銀行的整體業務框架中，信用卡中心與零售業務部、私人銀行部、普惠金融事業部、數字金融部等同屬于個人融資業務的零售條線部門（見圖1）。商業銀行普遍嘗試對零售客戶提供多種金融服務的交叉營銷，信用卡中心也需要建立與其他零售業務部門的協同效應。

（二）信用卡中心部門間的協調與制衡

信用卡中心主要負責商業銀行信用卡業務的管理工作。從業務管理角度，一般分為前、中、后臺（見圖2）。前臺部門包括客戶拓展、客戶經營、產品研發等部門，主要負責信用卡營收產品的研發管理以及客戶營銷和維護的管理等工作;中臺部門包括信用審批、風險管理及催收管理等部門，主要負責業務信用卡審查審批及政策制定、交易風險監控，以及欠款催收管理工作;后臺部門一般包括人力資源、財務會計、法律合規等部門，負責人事、財務和合規內控等綜合管理工作。

（三）信用卡中心與分行的職責劃分

商業銀行的信用卡中心已經實現了從發卡到后期交易過程的全流程管理，分行僅負責前期獲客營銷、后期協助信用卡中心進行交易核實以及逾期催收等工作。因此，信用卡中心對分行參與信用卡業務的風險防控重點集中在與客戶直接相關的消費者權益保護風險、案件防控風險等方面。

三、信用卡中心業務管理風險和風險防控存在的問題

（一）信用卡中心業務管理風險

商業銀行信用卡中心在業務管理過程中存在一些風險，根據商業銀行內部審計等內外部檢查情況，主要集中在信用風險和合規風險。其中，信用風險是客戶喪失還款能力或不履行還款責任，影響信用卡中心經營業績的風險;合規風險防范主要是違反外部監管部門制度的不合規行為風險。

1.信用風險點。信用風險是信用卡不良損失形成的直接原因，主要包括以下風險點：一是客戶信息采集過程存在的風險，如采集到的客戶申請信用卡填寫的個人收入信息、個人貸款信息、實際控制公司的債務信息不準確或不完整。二是客戶還款能力評估過程存在的風險，如客戶收入波動大，還款能力評估難度高;部分客戶額度使用比例持續偏高，還款安全邊際小;信用卡與網絡貸、現金貸存在“共債風險”，網絡貸、現金貸風險集中爆發可能導致客戶失去還款能力。

2.合規風險點。合規風險是保護消費者權益、防范案件發生的重要一環。合規風險主要來自于不合規操作，可能衍生欺詐風險、套現風險等多種信用卡風險。一是分行和外包服務機構在信用卡業務辦理過程中操作不合規，如持卡人為多人違規辦理附屬卡，辦理信用卡的手機號登記不準確，客戶填報信息短時間內不合理變更，簽約商戶平臺違規篡改信用卡申請頁面等。二是信用卡使用不合規，如套現養卡、償還房貸或用于股市投資等。三是營銷不合規，營銷人員未明確告知客戶相關服務價格的細節，收費提示模糊。四是委托催收不合規，如催收機構選用流程不合規，催收機構恐嚇催收，催收記錄未合規移交等。

除了業務管理部門外，信用卡中心的職能部門在外包服務機構采購和管理、系統開發和使用管理、財務管理、薪酬管理等方面也存在合規風險。比如，選擇采購供應商時發生采購評審人員不符合資質，違規使用單一來源采購，未充分排查供應商之間的關聯關系等;催收時對制卡外包公司、委外催收公司的監管不嚴，客戶信息的保存和傳輸未加密等;系統開發使用時，開發測試網段與生產網段未嚴格隔離，用戶權限控制未嚴格執行規定，已離職員工未按規定注銷應用系統賬號等;資金費用使用時，將專項資金違規用于非業務活動等。

（二）信用卡中心業務風險防控存在的問題

“檢查—分析—評價—提升”的理念和做法，是當前促進機構發現風險防控問題、提升風險防控水平的重要方法。從信用卡業務管理風險分析信用卡中心風險防控存在的問題，對于提升信用卡中心風險防控能力具有積極意義。根據內外部審計檢查中暴露的信用卡業務管理風險，分析出信用卡中心在業務風險防控存在以下四個方面問題。

1.業務風險的識別、評估和應對方面。風險識別和評估方面的缺陷是信用卡中心風險防控缺陷的主要方面。一是沒有充分評估關鍵風險點，導致對客戶資質、資產質量、互聯網金融共債等風險事件識別不到位;二是對風險評估方法的檢查檢驗和跟蹤評價不及時、不到位，風險評估計量模型更新速度慢、參數不完整，影響了評估準確性;三是沒有建立風險預警和應急處理機制，系統性風險發生時缺乏快速處理方案。

2.業務風險防控的措施方面。信用卡中心的合規風險的問題主要暴露了信用卡中心風險防控措施不完善。雖然大部分商業銀行的信用卡中心都按照外部監管制度要求建立了內部風險管理制度，但實際措施方面仍然存在一些不足。一是客戶信息校驗措施不夠，系統校驗功能尚不全面，缺乏必要的校驗和審批環節;二是沒有配備監督人員和監控設備，獲客營銷等業務環節沒有設計或執行雙人監督原則，客戶辦理業務的一些重要環節沒有使用錄音錄像等監控設備記錄;三是對分行客戶經理違規操作、外包機構采購和服務違規操作缺乏有效的監督和應對措施。

3.業務風險防控的監督方面。內部審計是對風險防控有效性的重要監督方式，但目前大部分商業銀行的信用卡中心沒有單獨設立內部審計部門，缺乏對風險防控有效性的監督和評價，導致各部門對風險防控的重視程度較低，員工參與風險防控的意愿不足。

4.業務風險防控的支持方面。風險防控支持方面的問題主要體現在內外部資源對風險防控支持不足。一是風險管理的考核引導不夠，很多商業銀行對信用卡中心的考核仍以經營指標為主，造成信用卡中心對風險防控的重視程度有限，對風險問題的問責存在敷衍的情況;二是信息系統的建設相對滯后，系統資源不能充分支持風險防控措施的執行;三是信用卡中心與總行間的信息交流和共享機制不完善，沒有充分收集和共享客戶融資情況等信息;四是客戶投訴的處理機制不完善，對消費者權益保護和投訴客戶溝通的重視程度不夠，存在淡化處理投訴現象，沒有將客戶投訴作為發現風險防控問題的重要途徑;五是信用卡中心參與業務風險防控的人力不足，大量使用外包機構開展業務，但是在外包機構使用過程中審核、監督、管理不到位，導致外包機構人員業務熟練程度不夠、信息安全等風險防控意識不強。

四、提升信用卡中心業務風險防控能力的路徑建議

（一）開展信用卡中心業務風險管理有效性量化評價

目前，較少有商業銀行信用卡中心開展風險管理有效性的量化評價，風險管理有效性的量化評價有利于更加準確地展現和比較各部門的風險管理水平，分析存在的風險防控問題的嚴重程度，是提升信用卡中心風險防控能力的有效路徑。

1.業務風險管理有效性量化評價的設計原則。風險管理是將經營主體的風險可能造成的不良影響減至最低的管理過程。信用卡中心的業務風險管理與信用卡中心的經營目標和合規目標高度相關。在開展業務風險管理有效性評價時，首先將總體評價與部門評價相結合、業務部門與職能部門相結合，形成覆蓋整個信用卡中心的業務風險管理有效性評價體系;其次將外部監管要求與自身經營管理需要相結合，評價指標設計既滿足相關部門的監管要求，也充分考慮信用卡中心經營中的重點風險防控領域;最后對重點風險領域和內外部審計檢查發現的問題在量化賦分時有所側重，提高各部門重視程度，防止“屢查屢犯”問題發生。

2.業務風險管理有效性量化評價的主要指標設計。業務風險管理有效性量化評價體系設計，既要反映信用卡中心機構部門和業務架構，也要反映業務風險管理的流程環節。使用矩陣式模型有助于更好地匹配信用卡中心各部門與風險管理環節之間的關系，形成信用卡中心業務風險管理有效性量化評價表（以下簡稱“量化評價表”）。

矩陣式打分表的各列為信用卡中心機構部門，包括信用卡中心整體、獲客營銷、審批授信、交易監控和催收等業務管理流程，還包括運營管理、財務管理等職能部門。信用卡中心應盡可能將所有業務管理相關的職能部門均納入評價范圍，職能部門具體名稱可根據各商業銀行實際情況自行調整。

矩陣式打分表的各行基于八要素中與業務風險管理相關的流程環節。考慮到八個要素之間的相近關系，將內部環境和目標設定作為一個方面，將事件識別、風險評估、風險對策合并為一個方面，將八個要素簡化為五個方面。其中，內部環境和目標設定方面主要包括組織架構、人力資源、企業文化和考核導向對業務風險管理目標的支持效果。事件識別、風險評估與風險對策方面主要包括策略、制度、流程、模型等風險管理體系建設和風險識別、監測、評估、應對各環節的執行效果。控制活動方面主要包括各部門歸口業務的日常控制活動和反洗錢、外包管理、關聯交易等專項控制活動，重點評價其制度要求、流程設計、系統控制、關鍵崗位設置、授權管理和權責分離、過程監督、復核分析等環節的有效性。信息與交流方面主要包括信息系統建設、數據治理、信息安全控制、內外部信息交流以及消費者權益保護與投訴處理。監控主要是業務風險管理有效性的監督評價、安保案防以及反舞弊和廉潔自律檢查情況。

3.信用卡中心業務風險管理有效性量化評價的賦分和評分。根據量化評價的主要指標和賦分設計方法，編制了量化評價表的示意表（見表1），對信用卡中心業務風險管理的五個方面分別給定初始化賦分值。事件識別、風險評估與風險對策，控制活動，信息與溝通三個方面是信用卡業務風險管理的主要內容，每個方面分值為25分。此外，由于信用卡中心自主運營程度較高，監控主要依賴治理層和外部檢查，因此在內部環境和監控兩個方面，建議內部環境賦分略高于監控，如內部環境15分，監控10分。

對于五個方面中每個環節的賦分，內部環境、信息與溝通和監控3個方面建議采用平均分配。而對事件識別、風險評估、風險對策方面建議稍向風險識別、監測、評估、應對的具體流程環節傾斜。控制活動方面，建議將分值重點分配給歸口業務控制（如20分）。另外，在監控方面的指標中設置了一項內外部檢查審計指標，對于內外部檢查審計發現的問題可以根據問題數量、整改情況，是否存在屢查屢犯等情況進行倒扣分。

在實際應用中，各機構部門和內控要點相交的單元格可以進一步細化列示賦分值，并可根據部門和業務的實際內控需要提出一些具體的評分標準，不同業務、不同部門的同一內控環節賦分值可以不同。比如，前臺部門以產品設計開發為主，重點在產品風險識別應對、客戶信息采集共享、產品制度和流程設計等方面;中臺部門以風險控制為主，重點在風險管理體系、風險評估預警等方面。

4.信用卡中心業務風險管理有效性量化評價的執行與結果運用。信用卡中心業務風險管理有效性的量化評價可采用部門自評與風險管理牽頭部門評價相結合的方式。由主管部門和風險管理牽頭部門分別對部門的業務風險管理進行打分。量化評價也并非一勞永逸，需要定期開展、循環往復，形成“評估—改進—再評估—再改進”的循環機制。比如，在年中對部分評價方面開展專項評估，在年末開展全面評估;或者引入年度動態調整機制，對于上一年度自評得分較高但下一年度檢查審計發現問題的加大扣分力度。

評估結果建議從評價范圍、評價方法、評價得分、主要薄弱環節、提升措施等方面反映在評價報告中，并以此為基礎，督辦相關部門開展風險防控提升工作，改進存在的問題，并通過上級復核評價、審計跟蹤等方式檢驗提升成效。

（二）強化業務風險管理重點領域的專項內部審計

信用卡中心的經營風險和合規風險是商業銀行內部審計關注的重點，內部審計有助于促進信用卡中心完善風險防控措施，是提升風險防控的有效路徑。

信用卡業務呈現客戶量大和業務數據量大兩大特點。信用卡中心在業務管理過程中，將授信審批和信用卡使用監督作為業務風險防控的重點，但受限于員工人數，其業務管理對信息系統、分行和外包機構的人員依賴度均較高。

針對以上特點，總行內部審計部門可以結合監管部門對商業銀行信用卡業務的監管要求，對信用卡中心業務風險管理的一些重點領域開展專項內部審計。

1.信用風險防控。信用卡業務面臨最重要的風險是信用風險。商業銀行信用卡中心通常都針對信用風險建立了較為完整的風險防控體系，但常常在風險識別、評估方面存在風險防控隱患，需要持續加強審計監督。審計重點可以放在信用風險防控中的風險模型設計和使用情況上，將其與個人信貸業務的風險模型進行橫向比較，分析模型指標設計等方面是否存在局限性，分析業務實際開展過程中是否嚴格執行了防控流程等業務風險防控要求，以保障信用風險防控落實到位。

2.數據質量控制與信息系統建設。由于信用卡業務客戶基數大、客戶信息和交易數據多，數據質量風險較為突出，是一項重要的合規風險，需要重點加強防控。因此，應當將信用卡中心的數據治理作為內部審計監督的一個重點。

信用卡中心的數據管理主要依賴信息化系統。信息系統的設置要求、校驗比對能力，是數據質量的重要保障。同時，信用卡業務的授信審批、資金交易環節的控制，信息數據獲取都依賴信息系統完成。信息系統的功能缺陷會嚴重影響數據質量風險的防控水平。信息系統建設專項審計是數據治理審計的重要組成部分。在審計過程中，可以重點審計系統的設計、開發、建設和使用是否符合監管制度規定和風險防控要求，內外部系統之間的交互是否順暢，信息交互是否充分、有效，迭代開發和執行是否滿足日常業務操作需要等方面。

信息系統審計過程中，可以使用遠程審計的方式減輕內部審計部門的人員和工作壓力。比如，開展遠程開展穿行測試系統功能和數據篩查比對，利用大數據技術開展分析性程序，將篩查數據與公開數據和同業數據比對，分析客戶和業務數據的合理性，并使用統計學分析方法發現具有統計學顯著性的變化趨勢和異常因素，揭示發現信用卡業務操作和管理中存在的問題和風險防控漏洞，并以此評估數據質量風險防控策略的合理性。

3.消費者權益保護。消費者權益保護是商業銀行個人業務的重點關注對象。客戶投訴處理是信用卡中心消費者權益保護的關鍵環節。客戶投訴背后往往隱藏著信用卡業務中的制度漏洞、執行不嚴和不合規操作。近年來各商業銀行信用卡業務客戶投訴量呈上升趨勢，加強消費者權益保護審計有助于發現和解決信用卡中心業務流程和風險防控存在的問題。針對投訴集中領域開展專項審計，并向分行和外包機構開展延伸審計，深入挖掘消費者權益保護問題，避免信用卡中心將投訴和審計檢查問題當作個案淡化處理，這樣有助于督促信用卡中心深入挖掘業務不合規操作，改進相應的風險防控措施。

4.外包服務機構管理。信用卡中心聘請的外包服務機構主要負責制卡、催收和技術外包等業務。加強對外包服務機構管理的審計監督，能夠促進信用卡中心提升外包服務機構風險防控，降低合規風險和信用風險。內部審計可重點監控外包業務管理機制、供應商審查、外包商的準入調查及日常監管，并將信用卡中心客戶信息保護作為重點，向部分外包機構開展延伸審計，降低信息泄露風險，保障信息安全。

5.反洗錢、員工行為排查、安全保衛等。信用卡中心的專項審計還應關注反洗錢、員工行為和安全保衛等與業務合規風險和信息安全有著密切關系的重點環節。審計過程中，可以通過覆蓋全部產品業務的大數據排查等方式分析可疑行為，發現并幫助修復風險防控措施的設計和執行方面的問題，降低反洗錢、員工行為和安全保衛等方面的合規風險。

（作者單位：中信銀行股份有限公司? 中國光大銀行

股份有限公司信用卡中心，郵政編碼：100040，電子郵箱：zhao_pp@foxmail.com）

主要參考文獻

[1]崔素芳.芻議銀行信用卡業務的內部審計[J].中國信用卡， 2017（6）：43-45

[2]黃志寧.信用卡業務在商業銀行經營中的作用及發展思路[J].中國產經， 2021（10）：88-89

[3]莫小紅.銀行信用卡業務內部審計探討[J].時代經貿， 2018（28）：6-7

[4]田雷，石喬生.推進商業銀行內控評價與內部審計深度融合[J].中國銀行業， 2021（8）：58-61

[5]王曉燕.商業銀行內部控制評價及其優化路徑研究[J].企業改革與管理， 2020（20）：90-91

[6]張誠斌.新形式下信用卡業務的風險管理研究[J].中國集體經濟， 2021（33）：89-90