中行X分行信用卡操作风险管理

中行 X分行信用卡操作风险管理 第三章中行 X分行信用卡操作风险管理现状 3.1中行 X分行业务简介 1986年中行发行了中国第一张信用卡一“长城卡”， 1999年发行了全国第一 张真正意义的信用卡一长城消费信用卡，随后按市场细分，相继推出了长城国际 卡、中银双币信用卡、中银奥运信用卡、长城友谊联名卡、港澳自由行卡等 ;1994 年率先在全国推出了“外汇宝” (个人实盘外汇买卖业务 )，并相继推出电话银行 外汇宝、网上外汇宝，拓宽交易渠道，在此基础上于 2007年再推新产品“保证 金外汇宝” ;因应个人理财需求，还相继推出 了“债券宝”、“期权宝”、“两得宝”、 “汇聚宝”、“黄金宝”、中银 QDn理财系列、中银平稳增值理财系列、中银新股 增值理财系列等产品 ;1998年在同业中率先全面推出个人住房贷款、汽车消费 贷款、学生教育贷款等“理想之家”系列消费贷款品种，又相继推出了保单质押贷 款、小企业法人贷款等业务品种 ;通过网上银行先后推出了服务个人客户的网上 个人理财、网上个人贷款、网上基金、网上信用卡申请、在线支付等产品，针对 公司客户的对公账户查询、汇划即时通、报关即时通、集团理财、银企对接、代 发工资 (代理报销 )等产品 ;在办理 传统国际结算业务的基础上，率先开展外汇 保理、福费廷、远期结售汇等业务，并相继推出了进口汇利达、进口保付达、出 口全益达、融信达、融付达、融易达等创新产品。其中信用卡业务产品见表 3一 1。 中行 X分行位于中国经济发达的广东省，该行秉承中国银行“以客户为中 心、以市场为导向、强化公司治理、追求卓越效益、创建国际一流大银行”的宗 旨，结合当地的实际经济情况和金融生态环境，确立各时期的经营指导思想和工 作重点。 2010年，该行经营管理取得丰硕成果，全年绩效考核排名第二，并荣 获省行“跑赢大市”先进单位称号。其中 信用卡发卡量比 2009年新增 25326张， 全年任务完成率 106.34%，全省排名第一，信用卡消费额比 2009年增加 161563 万元，全年任务完成率 103.99%，全省排名第五，银行卡中间业务净收入比 2009 年增加 5518万元，全年任务完成率 94.70%，全省排名第五。 中行 X分行是我国发卡最早、系统规模最大、特色业务最多的分行之一， 截至目前，总发卡量已经达到 30万张，其中本地平台长城卡 20万张，消费额全 年累计超过 100亿，各种联名卡多达 19种。截至 2010年 12月 10日，两卡 (长 城卡 +中银卡 )合 计透支总应收为 78， 091万元，不良余额 1， 827万元，不良比 例 2.34%。部分数据见表 3一 2。 3.2中行 X分行信用卡操作风险管理现状 3.2.1信用卡操作风险管理的原则 在操作风险控制方面，省行为了指导和规范二级行内控与操作风险管理工 作，进一步提升基层自我管控能力，促进“不想为、不能为、不敢为”的内控防 案长效机制建设，有效支撑上级行卓越银行战略目标的推进，根据企业内部控 制基本规范、商业银行内部控制指引、中国银行股份有限公司内部控制与操 作风险管理手册 (2008版 )及有关内控及操作 风险管理制度，制定二级行内控 与操作风险管理工作指引，提供一个符合我行实际的基本框架，理清各项管理机 制和措施的内在联系，明确管理的基本标准，从而进一步夯实内控基础建设，提 升操作风险管理能力，促进全行比较统一、规范、完善的二级行内控管理体系的 形成。表现在 : 1、坚持以防案为中心。提高防案意识和敏感性，保持案防高压态势，把内 控防案由柜面向非柜面、由前台向中后台、由操作风险向道德风险纵深推进，坚 决遏制重大违规和案件。 2、坚持以党风廉政建设带动内控防案工作。抓住各级班子党风廉政建设和 领导干部作风建设这 个龙头，充分发挥各级班子的表率作用和领导干部的榜样作 用，达到“以班子促中层、以中层带员工”的良好效果。 3、坚持省行、二级行齐抓共管。省行要积极统筹全辖内控防案工作，在内 控体系、制度、措施等方面不断完善标准，强化条线精细化管理，加强各项业务 的指导和监督 ;二级行要结合省行的管理要求，针对本行实际情况采取有效措施， 加强对业务、机构、人员的管控力度，从而形成条块结合，纵横交错的控制架构。 4、坚持“三个同步、三个同责”。即布置研究业务发展方案要和布置研究内 控工作方案同步，检查业务指标完成情况要和检查内控 工作存在问题同步，评价 业务业绩情况要和评价业务内控状况同步 ;前台人员与中后台人员同责，上级管 理人员与下级经办人员同责，检查人员与被检查人员同责。 5、坚持监督服务相结合。内控工作最根本的出发点必须是围绕党委中心工 作，服务全行发展大局，促进各项业务健康、良险、可持续发展，实现“省内卓 越银行”的战略目标。 6、坚持把创新作为内控防案工作的灵魂。要紧跟发展需要，不断进行思路 创新、制度创新、手段创新，积极把科技运用于内控防案工作中，提升技防水平。 在信用卡业务管理方面，中行 X分行坚持“风险把关迁移，严把新 发卡质量 关”的方针，制定出信用卡业务网点操作规程、银行卡业务专用印章管理 细则、银行卡个人征信异议处理操作规程、客户服务中心服务准则等 操作指引，在加大力度进行全面催收，做到“两手抓”，一抓关注类的催收提醒， 减少关注类向次级的转移，二抓不良余额压降，压缩与新增不良的距离。 3.2.2信用卡的审批流程 中行 X分行信用卡的审批流程包括以下步骤 : 1、收到信用卡申请。 顾客按要求填写申请表后递交到银行营业网点，银行业务人员检查申请表中 必须填写的内容检查，看是否有遗留，但对于银行的大客户、信用 良好的客户、 属于各银行竞争的目标客户填写的内容就简单一些，而信用较差、风险较高的客 户需要填写的内容就会多一些。然后银行业务人员要求客户当场出示有效身份证 件，经办人员将原件与复印件进行核对，将证件照片与客户本人进行对比，经检 查无可疑后，将申请表内容输入到信用卡管理系统并将申请表扫描到系统中，并 将申请表交到分行信用卡部。 2、信用卡申请的审核。 分行信用卡部业务人员收到申请表后，根据表中的内容进行核实，对于银行 现有客户，可以通过内部的相关信息来更快、更准确地评估申请者的风险 ;对于 新客户，一般是通过 电话联系申请者核实资料，然后要经过征信核查、资信核查 以及授信决策环节。 (1)征信核查，是根据客户的申请信息和申请卡种判断客户 提供的申请证明文件是否提供齐全完整，如通过检查发现申请手续或申请资料提 供不全，将退回经办机构或联系申请人补全手续和申请资料后再审，然后对每个 申请人进行身份联网核查，核对申请人的公民身份资料，通过检查后再进行个人 信用状况检查，包括在银行内部不良信息库、银联风险信息共享系统和人行征信 系统中检查申请人的个人信用状况。 (2)资信检查，是对申请人所提供的信息资 料和证明文件进行分析、 判断，检查关联资料间有无存在自相矛盾、不合理、涉 嫌虚假的情况，并通过电话、信函、上门或其他有效方式对申请人的资料、办卡 意愿以及在逻辑检查环节发现的可疑情况进行核实，在确认或推断所核实内容真 实的前提下方可进行办卡和授信决策。 (3)授信决策，在综合申请人的情况下， 根据信用评分结果，对可以在总行“信用卡申请系统”上审批处理的中银卡申请 件，需在系统上进行审批，审批人员可以直接应用“信用卡申请系统”的联网核 查、灰名单检测、人行个人征信检查结果进行审批，将审批结果录入“信用卡申 请系统”内 ;对于纸文本流转审 批的长城人民币卡和国际卡、部分中银卡申请件， 需在“省行信用卡在线审批系统”内进行审批。 信用卡审批策略的目标就是尽可能地把坏账风险过高的申请者拒之门外，同 时尽可能地批准那些风险可以接受、有一定收益潜力的申请者，在有效控制风险 的前提下尽可能地扩大信用卡的批准量和发行量。于是，对于一些优质客户，在 审批、申请资料提供方面作灵活变通处理，并可取消担保和年费减免优惠，而对 于高风险行业族群则要提供担保。 3、授信决策。 信用卡授信审批必须分别由两个或以上不同人员进行操作，根据信用卡的信 用额度由不同级别的审批 人员审批，审批人员在审批权限内负责所在行的信用卡 审批工作，除中银白金卡和国际白金卡直接由人工审批外，其他卡种将根据客户 特征，按信用评分结果并结合审批经验进行灵活授信决策。 3.2.3信用卡账户的管理 中行 X分行通过信用卡系统对账户进行自动化的日常管理，定期为客户提 供每个月的消费、现金提取清单、余额、欠款金额、利息、积分和最低还款额等 详细信息的对账单，并通过对信用卡账户的有效监控为管理决策提供依据，包括 交易授权、信用额度调整、透支催收以及和客户沟通等，通过跟踪和分析排除高 风险或低收益的账户，掌握账 户的表现和行为特征并作为调整其信用额度的根 据，从而提高信用卡账户的质量。 3.2.4信用卡的透支追收管理 催收管理是对违约拖欠甚至呆账的账户采取适当的催收措施，它对于保持信 用卡风险资产质量、改善资产结构，减少应收账款的逾期、降低呆账比例都有重 要作用，主要催收方式有人工电话催收、信函催收、人工上门催收和法务催收。 中行 X分行按照传统的催收策略，对逾期拖欠事件越长的账户，催收力度就越 大，只要客户透支达到 30一 40天，该行不论金额大小，都会及时地给予提醒， 对持卡人透支达到 40 一 60天则要重点地多次提醒。 采取的方式是电话提醒、信 函提醒、短信提醒、当面提醒。对客户透支达到 60一 90天期限的，则区别情况， 采用电话、短信、信函的方式进行催收，并委婉地讲明超期透支的不利情况。对 客户透支达到 90一 180天期限的，则上门催收，对多次上门催收无果，而期限又 超过了 180天，特别是有明显的恶意透支倾向的客户，则起诉于人民法院，通过 司法途径追收。 3.2.5信用卡的风险评估 中行 X分行信用卡部门为构建完善的银行卡内部控制体系，加强风险管理， 完善本产品条线内控建设，同时为督促和确保对本产品线发现问题的整改落实， 及对 辖内各行实施有效的激励约束，特制定银行卡业务条线内控评估办法，评估 条款包括 : 1、从事银行卡人员安排是否合理，是否存在不兼容岗位交叉现象，是否定 期、不定期进行卡业务的培训和转培训。 2、有无发生内部人员利用掌握的内部资料作案，或超出权限处理业务外部 人员利用管理漏洞作案。 3、通过检查发现业务差错的情况。 4、外部监管部门、审计部门提出的整改意见。 5、每季度上交的督查报告能否及时发现问题，是否提出切实可行的意见建 议。 6、督查员是否按时保质保量完成卡部安排的工作任务 同时，指定专人担任专职信控员，信 控员每天查看透支清单，监督各信用卡 账户的交易，分析用卡规律，尤其对投掷户要进行风险分析，提出防范措施，拟 定计划，实施追索，并遵守下列风险控制指标 :一是同一卡账户单笔消费透支发 生额个人卡不得超过 2万元，单位卡不得超过 5万元。二是 180天以上的月透支 余额不得超过月均总透支余额的巧 %。 另外，对透支超过 5000元 (普通卡 )或 10000元 (金卡 )且在 30天以上者， 信控员将建立专项透支档案，档案内容包括透支原因、透支金额、透支时间、催 收情况、处理意见等。信用卡系统对透支期限超过 90天、 120天的准贷记卡和 脱期三期、四期的贷记卡采取冻结、转非应计和授信减半、止付处理，信控人员 密切关注透支户的还款情况，对已经还款的透支户区别情况，分别采取终止支付、 解冻换卡、取消信用额度、销户等处理。 第四章中行 X分行信用卡存在的操作风险及其原因 由于信用卡业务发展较快，中行 X分行对于信用卡风险管理的步伐也在进 一步加大，然而，从各项业务定期和不定期内控检查报表中仍可看出，该行对于 信用卡操作风险的管理仍存在一些问题。 4.1中行 X分行信用卡存在的操作风险 信用卡操作风险既有可能发生在银行内部，也有可能发生在银行外部， 中行 X分行信用卡存在的操作风险表现形式主要有 : 1、内部欺诈风险。主要表现为银行员工为完成开卡任务而降低信用卡的发 卡审批标准，容易导致恶意透支、套现等情况发生。例如 :持卡人与特约商户工 作人员互相串通，以假消费等方式套取银行资金 ;持卡人利用某些特约商户唯利 是图的弱点，通过安装在商户的 POS机实施无真正商品交易的刷卡假消费，当 银行与商户进行清算，划款到商户帐上时，商户再提出现金，与持卡人瓜分款项 ; 持卡人与银行员工内外勾结利用信用卡透支，由申请人利用假身份证、假地址、 电话等虚假资料向银行申请开立信用 卡，银行内部的审查人员故意让其通过，信 用卡成功开立后被用于大量透支，追收时查无此人，形成呆帐等。 2、外部欺诈风险。主要表现为欺诈性申请和账户信息被窃取、伪造、卡丢 失或被盗、卡邮寄被盗、卡不在场欺诈等。例如 :犯罪团伙利用特约商户 Pos 机刷卡、网上银行交易、在 Al， M机安装读卡、摄像装置、在自助银行门禁系统 安装盗码器等一系列手段，盗取客户银行卡磁条信息和密码等资料，再使用磁条 信息和密码伪造银行卡，通过 ATM机盗取客户资金。 2010年在 X分行下属某支 行已发现两起在 ATM机安装读卡装置来盗取客户银行卡 磁条信息和密码的案 件。 3、业务人员执行流程管理风险。主要表现为没有严格按规章制度处理业务， 或业务一记账错误、未经客户允许的交易等原因造成的损失等。例如 :持卡人在银 行柜台交易时，业务人员记账出现差错 ;未经客户允许，擅自提高客户的信用额 度 ;犯罪嫌疑人伪造资料申请开卡，业务人员进行资料审核时审核不严，流于形 式，没有认真核实申请人信息，导致犯罪嫌疑人骗领银行卡并恶意透支，对银行 造成较大资金损失。 2009年 4月某日， X分行下属某支行接到客户梁 XX投诉， 怀疑其个人资料被他人盗用后开立长城卡进行消费透支， 经查，原 XX保险公司 员工陈 XX冒用客户卢 XX、何 XX、梁 XX身份证等资料在该支行虚假申办信 用卡三张，涉嫌透支本息 33214.47元，虚假申办中银卡三张，涉嫌透支本息 24058.81元，经分行有关部门调查核定何责任认定，该支行客户经理欧阳 XX 作 为接受客户递交资料的受理人，在未认真核对客户的身份证复印件和原件是否一 致及是否客户本人签名的情况下，违规接受陈 XX提交的客户卢 XX、何 XX、 梁 XX的长城贷记卡、中银卡申请表进件，而该行副行长在接受欧阳 XX转交的 申请表后，能按银行卡业务管理要求联系客户，对申 请人住址、联系人等情况进 行核实，但没有对客户的身份证复印件和原件是否一致进行核实的情况下受理了 开卡申请，并加盖了“与原件相符”章，导致案件的发生。类似的案件在近几年 已出现多次。 4.2中行 X分行信用卡操作风险发生的原因 从表面上看，造成中行 X分行信用卡操作风险发生的原因是防范意识松懈、 检查监督不到位、措施欠缺、执行不力，但从更深层面上分析，主要有以下凡个 方面 : 4.2.1风险管理意识淡薄 随着信用卡产品的不断增多，为完成上级行下达的任务指标，该行一直加 大开卡营销力度，只着重追求发卡数量，忽视发卡 质量，导致部分基层员工对信 用卡操作风险认识存在偏差，主要体现在以下几个方面 : 1、对操作风险概念理解比较狭义。认为操作风险就是业务人员操作上失误 而引起的风险，即所谓的操作性风险，导致管理上亦存在偏差，只注重日常操作 以及违规操作的控制和管理。 2、对信用卡操作风险没有采取有效的预防措施。没有按照完整的信用卡操 作风险管理流程去控制和管理风险，当风险发生了才想办法去补救，并没有采取 有效的预防措施，没有将风险前移，从风险的源头防范。 3、对信用卡操作风险事件产生的原因了解得不够深入。只看到事件的表面， 而没有看到事件的本质。例如一个员工录入客户资料时不小心张冠李戴，导致操 作有误，只是认为是员工一时的疏忽大意，属于人为因素造成的，简单地作出扣 分惩罚而已，而没有长期观察记录并分析造成这种事件的风险概率分布，没有找 出各个事件的深层原因和相互关系，只是作为一个简单的、孤立的突发事件去处 理，没有系统、科学地管理和预防。 4、没有真正理解人本原理的管理理念。 人是管理活动的主体，激发人的工作热情是管理的首要问题，对任何一个组 织的管理，都要贯彻人本管理，而贯彻这一原理的首要问题是调动人的积极性、 主动性。但是 中行 X分行在管理的过程中仍存在着传统的管理理念，简单的强 调对业务人员的操作监督，强调对业务人员的操作责任处理，而忽略了业务人员 的权力，大大抑制了业务人员积极性的发挥，也抑制了业务人员防范操作风险的 主观能动性，也就是说，业务人员防范操作风险是在被动中进行，而不是主动地 去防范。 4.2.2管理架构不完善 一个健全、高效的组织结构要充分考虑银行内部各业务职能部门的设置及其 相互之间的关系的协调的基础上，保证部门之间的权责划分明确、清晰，保证部 门之间的信息沟通方便、高效，部门之间或部门内部也应建立一个良好 的监督机 制。从中行 X分行当前操作风险管理的组织结构来看，和其他银行业务相比， 信用卡操作风险管理相对滞后，还存在一些缺陷，主要表现在 : 1、管理职责分散。 操作风险产生于日常的操作与工作流程，几乎覆盖了银行的所有业务，与银 行所有职能部门和业务部门都有关。由于中行 X分行没有设立专门的信用卡操 作风险管理部门，而不同业务的操作风险由相对应的业务部门负责，管理职责分 散，没有形成一个完整的、科学的管理体系，这就导致各个业务部门各自为政， 造成出现某些业务职责界定不清析，管理目标不统一，步调不一致的情况，内控 管理存在一些盲点和死角。 2、缺乏科学的风险管理模式。 科学的风险管理模式是指对业务的各个环节、各种风险的通盘管理，是一个 科学的、规范的风险管理体系。风险存在于银行经营的每一项业务、每一个环节 和每一个时刻，而这些风险影响着银行组织内不同的部门。科学的管理制度的主 要作用就是通过系统化的、科学的管理流程和流程监控，保证银行风险在组织内 的不同部门、不同分支机构都能被统一的程序和判断标准、应对程序进行有效管 理，并对管理的流程和环节进行监控。 目前中行 X分行的信用卡操作风险管理由于缺乏“以人为本”的管理理念 ， 管理存在一定的片面性和随意性，信用卡部门没有一个严密的流程管理和内控制 度，导致管理流于形式，没有真正落实到位，对于操作风险案件只是作为个案处 理，没有对其作出全面的分析，找出深层的原因，只重视管理业务人员而忽视了 对管理者的管理，根本谈不上全面的风险管理。 3、缺乏专业的风险管理人才。 从操作风险的定义可以看出，银行的员工构成于素质是操作风险管理的关 键。中行 X分行部门人员流动性比较大，风险管理部门的人员大多是从不同的 部门流动过来的，而且很少经过专业的风险管理学习和培训，业务水平参差不齐。 信用卡业 务涉及到网点柜台人员、营销人员、特约商户、制卡人员、征信人员、 授信人员、催收人员等，操作风险比较分散、多样，容易发生，多头管理，难以 控制，更需要高质素的风险管理人员，这是中行 X分行比较缺乏的。 另外，中行 X分行信用卡业务相对于银行的其他业务的学习和培训不够重 视，导致业务人员素质普遍不高，许多业务人员比较缺乏信用卡业务的知识，特 别是信用卡新产品和新的业务流程操作，只是一味地片面加大营销宣传力度，给 信用卡操作风险留下了很大的隐患。 4:23风险管理方式有漏洞 1、内控制度不健全，执行不力。随着金融体制 改革的深入和金融机构经营 管理的转型，在资源有限的情况下，金融市场瓜分蛋糕的战争越来越激烈。一些 金融机构迫于发展的压力，往往忙于抓业务指标，而对内控认识不足，疏于道德 风险防范，思想政治工作、依法合规经营教育很少开展或没有开展，“一手硬一 手软”现象普遍存在。由于当前机构改革与业务流程整合持续进行，内控制度与 实际工作存在着某种程度的不同步现象，时效模糊造成有的规章制度难以准确执 行或得不到执行。与其他行业相比，金融系统的规章制度算是健全的，但是有些 机构在落实过程中却出现了形同虚设，有章不循，对制度执行 缺乏有效监督，对 一些关键岗位和风险环节疏于管理，放任自流。 2、内部监督缺乏针对性和时效性。“三多三少”问题突出，即表面监督多、 实际监督少，事后监督多、事前事中监督少，被动监督多、主动监督少。存在某 些机构上级疏于监督，同级没有监督，下级不敢监督，监督流于形式等问题。 3、内控机制不完善，内控管理混乱。由于信用卡新产品不断开发，一些新 业务和办理各项业务的手段都发生了很大变化，一些新业务还没有制定出完善的 操作程序和相应的制度，基层行在实际操作中探索着前进，存在着无章可循的空 档。整合优化形成的控制过度 和不当也影响了控制的效果。在发生失控的情况下， 往往只处理作案当事人，那些负有相应管理责任和监督责任的部门和人员一般不 会受到处罚，从而造成内控体系的有效性长期得不到提高。 4.2.4缺乏先进的风险防范手段和技术 手段是贯彻目标的重要保证，目前中行 X分行的操作风险管理仍缺乏先进 的管理手段和技术。例如，过分依靠内部审计而忽略外部审计，同时，内部审计 部门一般属于省行管理，在向总行或银行监管部门汇报审计结果时往往有所保 留，不能全面真实地暴露风险。有关信用卡管理制度建设滞后，更新不及时，不 能适应业务地发展。 电子化管理手段缺乏，操作风险地识别还不够全面和准确， 风险评估、计量地手段有限，忽视风险缓释工具的利用。 4.2.5信息管理系统不完善 当今社会已经步入信息社会，信息己经成为管理活动不可或缺的内容，信用 卡操作风险管理也应该有一个完善的管理系统。中行 X分行信用卡业务管理系 统涵盖了整个信用卡业务，对信用卡业务活动有效地起到了重要的支持作用，但 在数据采集方面还比较薄弱、风险监控方式落后、风险数据管理缺失，只一记录了 已发生操作风险事件中的很少一部分，这使得关于操作风险管理信息流主要载荷 严重不足，功能缺少并 各自独立，不能有效联系在一起，阻碍了对信用卡操作风 险的有效管理。 4.2.6低效的操作风险管理流程 目前，中行 X分行在操作风险管理上仍主要依靠各级风险管理人员的经验 和直觉，依靠员工的自律。由于业务风险管理流程方面落后，操作风险管理方式 基本还停留在行政管理和手工操作上。在操作风险的识别、评估和控制等各个环 节上还不能做到定量分析，对操作风险的大小和危害只是定性估计和主观感觉。 对操作风险的管理大多是事后补救为主的方式，缺乏有效的事前防范和事中控 制。对容易发生操作风险的环节、岗位缺乏有效的防范措施，发生 操作风险事件 后往往只是突击检查、查找漏洞、进行整改、处理有关责任人等。在通常情况下， 整改的结果就是加强防范，加人加环节，再出问题就再加一道防线，如此反复， 导致管理制度既交叉重叠又漏洞百出，使人难以适从。这种管理流程方式不仅效 率低下甚至无效，成本较高，而且只治标不治本，导致同样的操作风险事件依然 屡屡发生并且惊人相似。 第五章中行 X分行信用卡操作风险管理改进方案 5.1中行 X分行信用卡操作风险的识别与评估 风险识别是风险管理的第一步，也是非常重要的一步，通过风险识别的结果 可以看到各项业务或部门对 应的风险状况和风险程度，为以后的风险计量、风险 监测和风险控制确定了方向和范围，是整个风险管理的基础。因此，为了更好地 防范操作风险，使风险得到事前控制，扼制大案要案的关口前移，省行制定了内 控与操作风险工作指引，其中风险识别与评估工作的具体做法如下 : 1、定期 RACA评估。 省行按照总行年度评估计划，每年针对业务领域或业务流程进行 RACA定 期评估，确保评估覆盖本行面临的主要操作风险。 X分行要在省行的统一部署下 积极参与省行的评估项目，报送评估流程相关的风险及控制等信息，组织业务专 家参与省行组织的 RACA工作。 2、触发式 RACA评估。 (1)评估范围。 二级行条线管理部门在下述情形发生后，要对相应业务流程环节、业务流程 或业务领域开展触发式 RACA评估 : 辖内发生案件，涉案金额 1叨万元以上 (含 100万元 ); 地方监管机构、管理层或上级行要求发起。 (2)职责分工。 二级行条线管理部门要在触发情形发生后二个月内启动触发式评估，并确定 需进行触发式评估的业务流程环节、业务流程或业务领域，并在评估开始之日起 二个月内进行报告。 触发情形涉及多个职能部门的，由相关部门协商确定触发式评估的牵头部 ;协 商不成的，由本行内控牵头部门予以协调 ;经协调仍不能确定的，由本行 内部控制委员会指定牵头部门进行触发式评估。 (3)评估流程。 评估流程包括准备阶段、评估阶段和报告阶段。二级行要按照下述工作流程 实施评估工作 :准备阶段 :包括确认评估对象、绘制流程图、收集整理操作风 险信息三个步骤。评估阶段 :包括识别和评估固有风险、识别和评估现有控制、 评估剩余风险、提出优化方案四个步骤。报告阶段 :包括整合评估成果和提交 26 报告两个步骤。 评估工作涉及风险概率评级、影响评级、严重度评级以及分类时，要使用总 行的操作 风险分类办法规定的分类、评级标准。 (4)评估方式。 RACA评估可采取讨论组会议、当面访谈、电话访谈或问卷调查等方式，但 初次评估时要采取讨论组会议方式。 采取讨论组会议时，要选派有业务经验、有主持讨论会能力、有一定资历的 人员主持会议 ;每个业务流程要至少选派 2名熟悉该业务流程、控制的专家参与 讨论组，并可视需要选派合规、保卫、人力资源、信息科技等其他领域的专家参 与讨论。 3、其他评估工作。 二级行要加强对自身特色业务流程的梳理和评估，有效识别风险，积极向上 级行进行反馈或开展整改，可借鉴运用 RACA的 方法。评估工作至少每年开展 一次，对于自行开发的新业务 /产品、原有特色业务流程发生重大变化的，要在 新流程运作二个月内启动。二级行在省行对业务流程征求意见时，要结合自身实 际，认真评估，在可操作性和风险等方面提出建议。要结合自身的实际情况，不 定期对重要风险环节的控制措施的有效性进行评估，发现风险及时向上级行反映 并提出改进的建议。 5.2中行 X分行信用卡操作风险控制与缓释 5.2.1操作风险关键环节的防控措施 为逐步塑造和形成“全员共同参与内控、以强化内控促效益、业务发展坚持 内控先行”为主旋律的内控文化 ，针对中行 X分行信用卡整个业务流程和特点， 应着重针对各个关键环节，制定和落实有效的防控措施，做到岗位之间互相牵制， 人员前后复核，向管理精细化转型。 1、营销环节。营销是信用卡业务开展的起点，也是信用卡操作风险发生的 源头，制定严格的营销制度，加强营销环节的管理是关系到整个信用卡业务的风 险和银行的盈利水平、信誉，是操作风险的第一道防线。基层营销人员在加强营 销的同时更要落实执行各项制度、措施，对存在如表 5一 1所示情况之一应作拒绝 处理。 另外，还要加强对办卡申请人资信的审查。首先核实申请人提供的各项 资料 的真实性，并根据申请人不同的资信情况，确定是否需要担保，是否需要收取保 证金，然后严格执行初审、复审两级申批制度，严格按照长城人民币信用卡透 支授信管理暂行办法对办卡申请人进行资信等级评估，并核定卡户的透支授信 额度，可建立个人资信综合评分表系统，系统根据申办客户个人 10项综合资信 情况进行标准化评分，根据评分结果自动显示信用等级与透支信用额度，以规范 实施个人资信标准化综合评分，严格审批流程和内控制度。到期换卡的，应对持 卡人的资信状况重新申核，确定是否需要调整卡户的透支授信额度。每半年应对 持 卡人的资信情况进行一次复查。对于担保人提前退出担保地位的，应及时书面 通知持卡人补办担保手续，如持卡人超过 5个工作日仍未补办担保手续，应立即 止付该卡。 2、柜台业务操作环节。信用卡柜台包括填表、开户、存取款、管理卡和密 信、销户、特殊业务、代发工资等业务，内容多、复杂、容易出差错，也是防范 操作风险的重要环节。柜台业务操作风险防控措施如表 5一 2所示。 3、制卡环节。制卡是银行信用卡业务的一项最基本的作业流程，也是一项 保密管理要求最为严格的工作。中行 X分行为提高制卡业务专业化、集约化水 平，节省运营管 理成本，从 2006年 12月开始按上级行要求实行制卡外包制度， 统一集中制卡。虽然制卡是由省行负责信用卡外包合作单位的选定、外包合同的 签定，并由省行每个工作日将需要制卡的信用卡数据通过数据专线传送到外包合 作单位，但二级分行仍负有对信用卡外包合作单位的监督和后评价以及本行信用 卡制卡业务的管理、监督与本行信用卡成品卡、密码信分发的职能，因此要建立 与外包合作单位的管理、监督和后评价制度，每年根据合作单位上一年的表现进 行一次后评价，并安排专人 (双人 )负责接收，负责接收信用卡的人员必须相对 固定，并负责核对成 品卡数量，并与合作单位提供的制卡清单逐张勾对。核对无 误后，在送卡签收单上加盖业务公章和经办员双人私章，并注明签收的日期和时 间。银行卡部应在规定的时间内把密码信清单及密码信下发到各支行，各支行要 派专人 (双人 )接收，认真核对密码信数量，并与密码信清单逐张勾对。 4、领卡环节。由于代领、邮寄等领卡方式存在被冒领风险，信用卡部门一 方面应加强这方面的管理，可以采取卡和密信分开不同时间和不同邮寄公司送 出，并电话联系客户核实接受情况，柜台领卡的如本人申领，要求证件和人相符、 要求本人签名、本人领卡，代领的需出示委托书且经核对预留签名方可代领，过 后需电话核实并确认信用卡送达申请人手中才能开通。另一方面要提高信用卡系 统中激活功能的技术含量，提高安全性，并设置和提供多种激活方式方便客户。 领卡环节操作风险防控措施如表 5一 3所示。 5、异常交易监控。异常交易监控是对持卡人在使用信用卡的过程中的异常 交易进行监控，可以防止和减少信用卡的欺诈行为。信用卡部门应专门设立异常 交易监控岗位，根据持卡人的交易流水，分析异常交易行为，一方面可以发现审 批环节的不足，另一方面可以为催收或止付 提供有力的决策依据，使风险得到事 中控制。 6、信用额度管理。通常情况下，客户在使用信用卡过程中，由于信用良好 可以申请提高信用卡的信用额度，而随着信用卡的信用额度的提升，银行要承担 的风险也会同时提升。因此，信用卡部门应根据客户异常交易监控的情况，及时 30 了解持卡人使用信用卡的动向，分辨持卡人提升信用额度的目的，不能一概而论。 一旦发现持卡人的不良动机，应及时降低信用额度甚至对信用卡进行止付或停 用，充分利用信用卡的信用额度调整策略来控制信用卡操作风险。 7、控制类交易管理。客户在用卡过程中，信用卡部 门应对客户的信用状况 进行定期或不定期跟踪和管理，对有争议的款项以及由此引起的账务调整、错账、 信用卡消费积分调整以及存贷款利息或积数的调整、持卡人信用额度的调整等都 属于控制类交易，都属于高风险业务，因此更要严格按制度管理。一是将控制类 交易设定为需要填写调整说明并作为调整时凭证的附件，调整说明上必须有两人 以上的签章 ;二是将控制类交易设定为需要授权交易 ;三是对控制类交易按发生 的日期建立清单，管理人员可随时查阅 ;四是建立检查监督机制，由专门人员进 行事后监督或由内控人员不定期检查，有效防止擅自调整或违规 调整的行为。另 外，还要对每笔交易建立翔实的档案，逐笔分析交易的真实性，对有异常交易嫌 疑的形成相关分析报告，对符合异常交易行为的客户视情况进行口头提醒、止付、 冻结等处理。 8、透支催收管理。信用卡催收管理是银行信用卡部门的核心竞争力之一， 应该从信用卡的催收管理流程、催收策略的制定和执行等方面加强管理。信用卡 透支是一项正常的业务，对持卡人来说可以解决一时的资金困难 ;对发卡银行来 说可以带来较高的利息收入。既然有信用卡就不可避免出现透支，关键在于如何 控制这种风险，使其转化为发卡银行的效益，并达到风险最 小化，利润最大化。 发卡银行应设立专门的部门，负责对信用卡透支的管理。在持卡人出现透支时， 掌握持卡人的信誉状况，以及经济收入、经济活动和资金动向等方面的综合情况， 以便准确地判断和预测可能发生的透支行为、透支数额、透支期限等风险，并在 日常管理中作好透支的检查和监督工作。对透支行为的控制，具体操作如下 : (l)及时通知。当持卡人出现透支时，为了及时提示其已经透支，尽快补 足存款，发卡银行应在透支后立即发出透支通知书，或以电话等方式告知持卡人， 要求其一定期眼内弥补透支。 (2)透支监控。发卡银行应实行对持 卡人透支的监控管理，及时掌握持卡 人的透支情况和动向，当出现风险事项时，便于及早防范。 (3)透支催收。对于透支时间较长或透支金额较大的持卡人，应安排人员 上门催收。催收无果或查找无下落的，不管是否达到规定的止付期限，都应立即 止付，防止形成新的风险。 9、信用卡的核销。信用卡账户一般在持续拖欠 180天后即成为呆账，信用 卡不良资产不能及时、集中核销，一定程度上会影响信用卡业务的健康发展，为 减轻经营财物包袱和降低经营风险，在核销时要严格执行财政部印发的金融企 31 业呆账核销管理办法。对于一般的呆账， 需要提供完整的资料，在当年计提的 呆账准备额度内进行核销，对于因管理不善或由于导向性错误等原因引起的风 险，所有千元以上的核销都应该有内部审计部门的审计结论，若审计结论认定存 在前期经办人员不尽职或管理不善等问题，应根据不同环节追究相关人员责任。 同时执行账销案存的原则，通过计算机联机交易系统并设计表内、表外一记多讫 的交易模式，自动在黑名单中记录已核销户，并及时为客户注销代扣费关系，以 防仍在 45天的销户期内卡账户内继续有交易发生而产生新的风险。 10、特约商户管理。对特约商户的严格管理，能有效地防止欺诈 风险的发生。 (l)严格执行特约商户准入制度。必须选择信誉良好的商户，严格审核其 经营的真实性和合法性，充分利用联网核查身份信息系统、人民银行征信系统、 中国银联银行卡风险信息共享系统等核查方式，核实商户法定代表人或负责人、 授权经办人的个人身份，了解商户的经营背景、营业场所、经营范围、财务状况、 资信等，特别要关注批发、咨询、中介、公益类等低扣率、零扣率商户的审查， 并根据商户的经营范围、性质、规模、管理水平和发展潜力制定相应的风险控制 参数并开立结算账户和缴存一定比例的保证金。 (2)加强特约商户人员的 管理和不定期培训。双发合作前要先对特约商户 人员作岗前培训，使其熟悉 POS器具的使用和保养，具有能识别真卡和假卡的 能力，定期表彰工作认真、负责任的商户人员。 (3)实时监控商户交易。通过计算机系统对 POS机交易的监控，对重复金 额、连续交易、交易金额较大、超额未授权等可疑交易进行跟踪，必要时采取有 效措施进行纠正，不定期对特约商户的明查暗访，防止恶意透支、套现等欺诈行 为的发生。 (4)清理不合格商户。加强对商户的日常巡检，并结合收单系统中商户日 常交易活动、授权活动等信息，核查商户实际经营内容是否发生变 化，商户是否 出现违规操作，排查是否存在套现和其他欺诈交易。为保护客户的利益，通过对 特约商户的监控，及时发现异常交易，对违规的商户进行警告和追究责任，并及 时清理出不合格的商户并进行解约。 5.2.2建立全面的操作风险管理文化 操作风险管理是银行全面风险管理的重要组成部分，因而，作为操作风险管 理环境有机构成的操作风险管理文化，当然也是银行风险管理文化的组成部分， 理应得到足够的重视。操作风险管理的有效进行离不开员工的积极参与，而员工 参与效果的好坏又依赖于员工的整体素质，素质的提高要靠文化培养。 1、强 化对操作风险认识的文化导向，使员工具有强烈的风险意识。 要使银行所有员工都清楚认识到，在现代银行业，高效的风险管理与递增的 规模效益是银行利润的主要来源，对操作风险的有效管理应该被看成是为产生利 润而承担的业务活动风险中不可分割的一部分，是为实现经营目标所必须承担的 义务 ;使员工意识到银行实施风险控制行为，能直接使他们自身受益，而不至于 会从总体上增大银行经营成本、影响工作效率。必须赋予操作风险控制以明确的 价值取向，使员工明确操作风险与银行成本、收益以及股东价值之间的关系，从 意识上理解加强操作风险管理的 必要性。 2、引导对操作风险防范的文化认同，使员工增强主动性和积极性。 应在银行全辖范围强化对操作风险认识的基础上，激发员工树立防范操作风 险的意识，增强对操作风险控制的主动性和积极性。要使员工明确 :一个强大的 银行使实现银行全体员工个人利益的前提条件和根本保证，而操作风险的有效控 制使银行核心竞争力的本质体现，是银行持续健康发展的重要基石，符合银行和 员工的共同价值观 ;操作风险自始至终内在于业务活动中，分布于银行所有的工 作岗位，每一个业务点都是风险点，每一名员工都是防范操作风险的第一责任人。 最终使员工 做到认识一致、思想积极、行为主动，以求达到有效管理的目标。 3、使员工从小处着手、防微杜渐。 操作风险在银行业务的活动中是难以避免会发生的，员工的敬业精神和专业 态度重要体现之一就是从细节上着眼，小处着手。操作风险的防范就是要树立和 强化“违规就是风险”的思想观念，养成扎实的工作作风，从点点滴滴做起，管 理不留死角。 只有将风险管理文化作为高标准的理念和思维嵌入各级管理者行为中，操作 风险的管理才会积极主动。 5.2.3建立高效的风险管理组织 中行 X分行应在原有管理组织基础上，建立在本行内部控制委员会领导下 ， 纵横双向、条块结合的矩阵式内控组织架构，确保全行内控管理有效运作。纵向 主要是自上而下的层级管理职能，对辖属机构进行日常管理、指导、监督与评价 ; 横向以内控牵头部门为枢纽，牵头各条线履行内控职责，负责全行的内控建设、 管理与督导等工作。在基层层面上，基层组织是全行服务客户、经办具体业务的 主战场，是全行最重要的具体业务操作环节，也是最容易引起操作风险的机构层 面，为了保持操作风险管理的有效性，应考虑在基层分支机构设置专职的操作风 险经理，负责总行操作风险管理政策在基层的贯彻执行，防范操作风险案件事故 的 发生，发挥事中监督的作用，并在相应的业务部门设置兼职的操作风险管理人 员，在专职操作风险经理的指导下协助进行日常的操作风险管理。 5.2.4健全内部控制管理制度 巴塞尔委员会早期的文件中指出 :“最重要的操作风险涉及内部控制和公司 治理的失败。”明确了操作风险产生的体制上的根源，这说明内部控制的失效会 导致操作风险的产生，因此，加强内部控制，通过系统化的、科学的管理流程和 流程监控，可以从源头上规避一部分操作风险。由于内部控制体制不够完善，执 行监督不够严格，中行 X分行信用卡业务存在着不少诱发操作风险的因素， 这 就需要加强和完善内控管理，根据信用卡业务环节多，风险点广的特点，采取一 系列有效措施，建设一个职责清晰、运作顺畅、强健有力的内控环境。 1、制定、完善、细化内控制度。 所谓制度设计就是在可接受风险、控制成本、预期收益之间选择一个最佳的 结合点。因而，积极清理整顿现有的内控制度，对各项内控控制制度和业务规章、 机构和岗位设置、决策和管理议事规则及操作程序进行一次全面排查，找出问题 和漏洞。制度的制定不能过于复杂和烦琐，以致难于执行，也不能过于粗糙和简 单，缺乏严密性和制约性，要具有明确的目标，衔接的体系和 预期要达到的目的。 此外，还应制定出防止系统失控的管理控制措施，使制度涵盖信用卡业务的所有 环节，从而形成一套环环相扣、科学严密的内部控制体系。 由于信用卡业务分布广，存在于银行经营日常业务中，各个业务部门都要对 操作风险进行全面、细化的管理。对信用卡的开户、审批、授信、账户管理、透 支追收等环节分工、职责要明确，实行适当的职责分离，落实岗位牵制，相互制 约要求。发行信用卡，应当在统一的授信管理原则下，建立客户信用评价标准和 方法，对申请人相关资料的合法性、真实性和有效性进行严格审查，确定申请人 的信用额度 ，并严格按照授权进行审批，对持卡人的透支行为建立有效的监控机 制。 2、加强内部控制制度的监督，建立科学的考核机制。 为了能使制定的内控制度能有效实行，应结合信用卡业务流程、操作模式、 管理制度等因素的变化，每年对全辖机构授权和岗位授权的管理执行情况进行监 督和评价 ;要结合日常开展的各种检查对授权操作进行监控，防止超越操作权限、 操作范围或逃避授权办理业务的情况出现。强化监督，确保岗位制约有效落实， 对信用卡部门的岗位牵制落实情况进行检查，保证不出现混岗、兼岗现象，并要 建立 : (l)内控评价机制，强化对辖 内网点的检查、监督，评估，查找控制薄弱 环节，及时发现内控风险隐患并及时督促整改。 (2)岗位目标考核机制，将信用卡业务风险的各个指标，包括透支余额、 不良率、差错率、呆账率、透支追收率等进行细分，根据不同的岗位制定详细的 岗位目标考核奖励制度进行考核，并与员工绩效挂钩，使岗位责任明确，遵循“谁 的问题谁整改、谁负责”原则，每项问题的整改工作均要落实到具体的机构、部 门和责任人，做到客观全面，奖惩并重，既要按照问题性质的轻重处罚发生问题 个人或机构，也要对先进单位或个人给予考核加分或奖励，鼓励辖属机构和条线 自查、自纠，充分发挥内控绩效正向激励的作用。 5.2.5建立完善的信用卡操作风险损失数据库 操作风险损失数据收集 (LDC)，是指操作风险损失数据的识别、收集、汇总、 分析和报告工作，其中单个损失事件的识别和填报是损失数据收集的基础。损失 数据库是操作风险管理的核心工具，只有建立有效的损失数据库，才能对防范操 作风险作出正确的决策。为进一步对中行 X分行信用卡操作风险进行测量、量 化，建立和完善信用卡操作风险损失数据的收集是非常重要的。 1、损失数据收集目标 (l)从发生的损失事件中吸取经验教训，优化风险控制 措施，降低同类损 失事件再次发生的可能性或影响