互联网三方支付风险管理办法

风险管理办法第一章 总则第一条 为了防范支付业务中存在的风险，依据反洗钱法、非金融机构支付业务管理办法、机构网络支付业务管理办法建立的事前防范、事中控制、事后监督和纠正的工作机制，制定并实施识别、计量、监测和管理风险的制度、程序和办法。第二章 组织领导第二条 合规与风险管理委员会（以下简称“委员会”）：根据公司发展战略，审核和修订风险战略、风险管理政策、风险管理架构、合规管理政策、内部控制流程、反洗钱制度，并对实施情况和效果进行监督和评价，向董事会进行汇报和建议，保证公司经营依法合规、风险可控。第三条 合规与风险管理委员会成员由总经理、分管副总、各部门负责人组成。第四条 合规风控部为合规与风险管理委员会秘书处，负责合规与风险管理的具体实施工作。第三章 基本原则第五条 风险管理应遵循以下基本原则：1、稳健经营原则2、风险可控原则3、防控结合原则4、追溯评价原则第四章 风险管理要求第六条 风险管理日常工作要求1、根据提供支付服务的范围、性质和时限，主动及时对各项营运风险进行识别，并评估风险的后果、概率和风险级别。2、建立涵盖支付业务的风险管理系统，适当运用风险量化评估的方法和模型，对合规、信用风险、操作风险等各类风险进行持续的监控。3、开办新的业务，须事先制定有关的业务制度和操作办法，对合规性潜在的风险进行计量和评估，并提出风险防范措施。4、采取定期考核自查和不定时内部独立审计两种方式，组织对各部门风险管理现状进行监督评价。5、日常业务风险管理遵循日常监控、逐级上报、登记备案、资料保存、信息保密的要求执行。第五章 风险管理措施第七条 事前防范在业务正式上线前，须经合规风控部进行风险评审。经评审通过后，在系统平台配置相应参数及规则后方可上线。合规风控部重点检测业务管理参数阀值的限制以及可疑交易规则设定。第八条 事中控制对已上线业务，合规风控部重点动态监测风控系统已配置的风险控制参数阀值以及可疑交易规则的变动情况。如触发风控阀值，在系统进行对应控制的同时，合规风控部重点排查原因，提出相应措施。第九条 事后监督1、在交易发生之后，使用准实时的方式尽快使用风险审核规则进行交易风险的判定，将可疑的交易报送人工处置。2、根据事后的清算数据，使用风险审核规则进行定期的扫描，扫描的可疑交易的报送人工处理。 第六章 风险控制规则管理措施 第十条 合规风控部负责牵头会同相关业务部门共同制订客户风险等级划分规则、风险交易识别规则等风险控制规则。 第十一条 各项风险控制规则定稿前应经过规则模型验证测试。由研发部根据规则草案在风控系统中设置测试模型，并使用至少最近30天的真实业务数据对预设规则模型进行测试。规则模型测试应符合以下标准方可确认定稿：1、 规则模型运行有效，能准确实现预设的规则；2、 经过规则筛选识别出的可疑客户或可疑交易，经人工复核误报率小于10%，或平均每日误报笔数小于10笔。3、 经人工复核评估，并由相关业务部门确认，发生的规则造成的误报不会引发严重的客户争议事件或造成直接经济损失。4、 规则执行对业务系统造成系统负载不超过运维部门制定的系统日常运行负荷标准，对客户操作或业务操作造成的处理延迟小于1秒。 第十二条 风险控制规则及规则模型测试结果经各参与编制部门确认，并提交合规与风险管理委员会审核后，风险控制规则正式生效。 第十三条 经审核生效的风险控制规则应通过风险控制系统实现自动管控。风险控制系统中的规则由合规风控部负责维护，规则及参数的设置、修改由相关主管岗位配置，部门经理审核，系统设置需经过审核操作后方可生效。 第十四条 合规风控部应定期发起或按照监管部门要求发起对各项风险等级划分规则、风险交易识别规则等进行修订与完善。规则修订后由行政部依照公司制度管理规定存档。第七章 风险控制中的人工审核事项 第十五条 为有效控制操作性风险，避免单一岗位因主观或客观原因造成系统操作或配置错误造成风险事件，对以下事项应建立人工审核/复核机制：1、 业务参与方的基本信息及相关业务参数配置，包括：银行渠道及商户接入的基本信息、系统对接参数、费率等配置项；2、 业务系统运行规则参数配置，包括：支付通道选择规则配置，清结算日切时点配置等配置项；3、 涉及客户准入审核、交易审核的规则及操作，包括：商户准入及功能权限配置，客户及商户黑名单配置等配置项；4、 交易限制、业务操作限制性规则的配置，包括：单笔交易限额规则、累计交易限额规则、交易笔数限制规则等配置项；5、 涉及资金确认及资金划付的操作事项，包括：资金清算结果确认，商户资金结算确认，商户退款（通过商户运营后台发起）确认等操作事项。 第十六条 涉及人工审核操作，属于系统参数配置的，操作岗为相关部门对应业务的主管岗位