储值卡公司运营风险控制.doc

总会协会10年全国一等奖预储值卡运营公司运营风险控制设计 作 者：张翔 尹航 刘世俊 冀鸿举 工作单位：北京市政交通一卡通有限公司 通讯地址：北京市西城区金融街33号通泰大厦B座17层 邮政编码：100140 电 话Email ：预储值卡运营公司运营风险控制设计摘 要在社会经济快速发展的今天，建立与完善企业内部控制规范已成为当前理论界和实务界最为关注的话题之一。研究我国已颇具规模的新兴行业-预储值卡运营公司的内部控制设计，对于其稳健运营和可持续发展，具有重要现实意义。本文运用归纳分析、演绎分析、案例分析等研究方法，对预储值卡运营公司运营风险的规避和降低进行了深入研究。全文共分为六部分。第一部分主要阐述运营风险控制的背景和必要性。第二部分从部门及员工职责分工的角度介绍如何利用不相容职责分离规避运营风险。第三部分从数据保护、资金保护、实物保护三个方面论述如何进行财产保护控制。第四部分通过建立规范、严谨的会计系统规避日常运营中的会计风险。第五部分讲述利用各类运营报告监控经营中产生的问题和缺陷，及时发现和解决问题。第六部分为本文对上述内容研究得出的结论。关键词：预储值卡，运营风险，内部控制设计目 录第一部分 绪论4第二部分 部门及岗位职责分工、分离设计8一、部门间职能划分8二、部门内各岗位设计原则10三、关键业务设计实例11第三部分、财产保护控制14一、保护控制的对象14二、控制措施15第四部分 会计系统控制设计19一、目标及设计原则19二、会计系统控制设计20第五部分 内部报告控制26一、定义26二、原则26三、内部报告控制设计27第六部分 结束语30参考文献31第一部分 绪论近年来，随着社会经济的快速发展，特别是经济全球化、国际化程度的加深，新兴行业及产业的崛起，使得企业经营环境复杂多变，相应的风险也大大增加，内部管理面临的挑战更加严峻。为此，有必要加深对企业，特别是新兴行业中企业风险的研究及应对措施的探讨，为其稳健运营，持续发展提供可借鉴的思路和手段。风险在各种组织和企业中的定义不尽相同，风险概念最早出现在保险业，定义为一件事件造成破坏或伤害的可能性或概率；普华永道把风险定义为任何可能影响某一组织实现其目标的事项；COSO把风险定义为某个时间将出现并严重影响目标实现的可能性。目前普遍被大家认识到的风险包括战略风险、市场风险、运营风险、信用风险、法律风险等。其中，运营风险是在企业开展日常经营中面对的主要风险，这种风险企业可以主动干预，从而予以规避、降低和转移。对企业来说了解及控制运营风险具有很强的现实意义。本文选取了一个新兴的行业预储值卡运营行业，从实践操作角度对运营风险的应用设计和具体措施落实予以探讨。之所以选择这个行业一方面因为其作为非金融清算组织具备一定的金融企业性质，但实践中又作为工商企业来运作，运营中有很多跨领域、个性的东西；更主要是作为近几年发展迅猛的新兴行业，对此领域运营风险防范和内控体系建设的研究相对薄弱，没有成熟的经验和案例，导致企业在日常运营实践中面临很大的困惑和困难。本文作者自2008年以来曾与数十家预储值卡运营公司就内控问题进行过深入的交流、探讨，并为其中三家设计了运营风险控制方案，对此行业的特性有了较深的了解。本文通过提取和归纳上述预储值卡运营公司运营风险控制方面的共性，从实践的角度，提出了四部分控制措施及具体操作的方法，希望能为相关公司的内控建设、风险防范提供一些借鉴和引导。目前中国的支付服务市场呈现出产业化、市场化、多样化的发展态势，越来越多的非金融性质的机构进入到非现金支付清算服务领域且市场份额逐步扩大，与商业银行形成激烈的竞争。这种竞争促进了非现金支付工具的应用和普及，加速了支付创新、降低了交易成本，同时提高了支付服务效率，是市场经济发展的必然趋势。其中预储值卡运营公司就是其中重要的组成部分。本文探讨的跨领域专业性的预储值卡运营公司从业务性质角度看可分为商业领域的预储值卡运营公司和市政交通领域的预储值卡运营公司。前者在全国有上千家公司，仅北京地区在人民银行备案的就有近六十家，主要参与者有北京资和信商通卡（管理客户沉淀资金约15-20亿元）、裕福实业投资有限公司福卡等；后者几乎国内每个大中型城市都有一个市政交通领域的一卡通公司，典型的有北京市政交通一卡通有限公司（日均交易约1400万笔，交易量为全球最大）、上海东方卡有限公司、广州羊城通有限公司等。注：上述资料来源于网络、报刊、杂志等公开资料。这类公司可定义为依托自有的清分结算平台，发行多用途消费储值卡,并在其签约商户范围内提供电子支付指令交换和计算的非金融清算组织，其兼具卡发行使用管理（电子货币管理）、客户资金（流量和存量资金）管理，交易数据清分三大职能。主要业务流程见下图：从职能特点及业务流程上可看出，其业务内涵的复杂性和风险度要高于一般的工商企业，主要体现在电子货币交易数据管理和客户资金管理两个业务领域。风险防范内容主要包括舞弊、技术缺陷、差错、操作失误、效率低下等。它们贯穿在交易数据产生、传输、清分、统计、对账和资金的归集、转移、支付、托管、对账等各业务环节中。一个完整的内部控制体系应包含内部环境、风险评估、控制活动、信息与沟通、内部监督五个部分，本文限于篇幅，仅就预储值卡运营公司的控制活动对运营风险的规避和降低展开探讨。从控制活动角度看，作者认为预储值卡运营公司要形成可靠的内部控制体系，以有效降低、规避相应的运营风险，“部门及岗位职责分工、分离”、“财产保护控制”、“会计系统控制”、“内部报告控制”四个方面是应予以充分重视的。本文从实际操作层面论述如何设计及落实这四方面的内容。在方案的设计中充分考虑和顾及了以下因素：v 核心业务和高风险领域；v 部门及关键岗位间的相互制衡；v 以适当的成本实现有效控制；v 措施是否适应企业，并能在业务操作层面得到顺畅的执行。本论文的基本结构如图：绪论部门及岗位职责分工财产保护控制会计系统控制内部报告控制结束语第二部分 部门及岗位职责分工、分离设计 确定运营风险的原因对运营风险管理是很重要的，本文论及的运营风险由预储值卡运营公司涉及的四个方面构成：人员、技术、流程、外部因素。从内控角度出发，企业可通过梳理工作流程, 建立岗位责任制突出重点岗位, 实施重点监控，实行职责分离控制加以防范。其中有效的职责划分是防范运营风险发生的第一步。具体到预储值卡运营公司，其具有鲜明的特点。数据流（各项交易产生的电子数据）、资金流和卡片的物流三个业务纬度的运行是相互关联和交织进行的。在设计中要特别关注这三个关键业务流程内所涉及的职能部门和工作岗位，通过不相容职责和岗位相应的分离，形成各司其职、各负其责、相互制约，便于考核的工作机制。 一、部门间职能划分预储值卡运营公司具备卡发行使用管理（电子货币管理）、客户资金（流量和存量资金）管理，交易数据清分三大职能。对应的关键业务包括卡片的制作、发行（含初始化和充值）；电子货币交易数据的产生、传输和管理；企业自有资金和客户资金的归集和使用。储值卡公司在进行部门间职责划分应考虑相互制衡，在核心业务分管的基础上，有效设置互控防线，通过职责分工和作业程序的适当安排，使各项重要业务活动在处理过程中或事后能自动的被其他部门查证核对。在实务中，与主业相关的部门一般设计四个：技术部（含卡发行中心）：v 负责中央清算系统的开发；v IT系统运行维护及故障处理；v 卡片制作及初始化。在所有业务处理过程中不得接触非测试类的任何交易数据。清算部：v 所有交易数据的清分、统计、调整、备份、对账；v 客户资金的归集、调拨、对账；v 各项收支业务手续费用的计算。客户资金的使用、管理权在清算部，但清算部只是向财务部发出指令，实际收支动作由财务部完成。财务部：v 企业自有资金的管理；v 客户资金的保管。财务部无权动用客户资金，但拥有清算部发出的客户资金收支指令是否合规的审查权及收付动作的操作权。销售部：v 负责储值卡片的激活启用；v 储值卡片内电子货币的充值、回收、销毁；v 发卡充值网点的管理。这里需要重点解释的是为何设计清算部和财务部两个部门来完成资金的管理工作。有别于工商企业，储值卡公司内控关键点之一就是对客户资金和自有资金的分离管理。如此安排主要是基于如下原因：v 预储值卡运营公司清算体系的系统性风险；v 增强客户对预储值卡运营公司的信任度；v 人民银行对客户资金与自有资金的分离要求；v 客户资金的高流动性；v 巨量沉淀资金的安全性。二、部门内各岗位设计原则预储值卡运营公司应按照自控防线这一内控原则对部门内岗位进行设置。数据调整、资金支付等重要岗位要实行双职、双责，单人单岗处理业务的，在部门内要设计相应的后督岗位。各业务部门应根据防范本部门所辖业务范围内各类经营风险的需要，设计定期和不定期的业务执行结果和内控制度执行情况的检查、监督和控制，并对结果承担责任。具体的有以下几点需要注意： v 各项交易业务的授权审批与具体经办岗位分离；v 业务核算与其后督岗位分离；v 业务承接与业务处理岗位分离；v 电子数据处理系统的维护管理与数据调整岗位分离；v 清分岗位与收付指令发出岗位分离。三、关键业务设计实例预储值卡运营公司的关键业务主要包括：数据清分、异常数据调整、充值资金归集、消费资金支付、电子货币的退回及销毁等。限于篇幅，本文仅以消费资金支付业务为例，通过某企业的实际案例展示如何从部门角度和岗位角度设计内部控制。(一)以岗位及关键动作控制为出发点设计的流程： 岗位职责：1. 制表岗依据清分系统数据打印划账所需报表，按照报表金额填制划账审核申请单；对每日划账报表进行打印归档。此岗位由清算会计执行。2. 复核岗利用清分数据对划账审核申请单上的商户、划账日期、划账金额进行复核，确保正确无误。此岗位由清算主管执行。 3. 审批岗负责审核每日划拨运营款金额、日期等各要素。此岗位由清算总监或总经理执行。4. 核对岗核对划账总金额与明细是否一致、明细与技术部提供数据是否一致、核对划拨商户的划账周期与合同是否一致。由财务主管执行。5. 划拨岗负责划拨消费款。由清算出纳执行。 (二)以部门之间的制衡关系及业务流向为出发点设计的电子审批流程：第三部分、财产保护控制 财产保护控制指限制未经授权的人员对财产直接接触和处置，采取财产记账、实物保管、定期清查盘点、账实核对、财产保险等措施确保财产的安全完整。企业内部控制基本规范第三十二条规定：财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。在此仅就预储值卡运营公司个性的部分展开论述。数据流（各项交易产生的电子数据）、资金流和卡片的物流三个业务纬度是预储值卡运营公司的业务主线，也就决定了其财产保护控制的对象主要是数据、资金和卡片实物。一、 保护控制的对象(一)数据 预储值卡运营公司清分清算的依据是交易系统产生的各项数据。企业需对电子货币在整个IT系统中的各种状态进行处理和监控。其关键点包括但不限于：充值交易数据的产生及传输、消费数据的产生及传输、冲正数据的产生及传输、进入清分中心数据的计算、统计、查询及安全存储。(二)资金 资金的流入、流出过程的管理及其安全保管是预储值卡运营公司最重要的工作内容。其关键点包括但不限于，发卡充值资金及时准确流入公司、消费资金及时准确支付、沉淀资金的保管及运作。 (三)实物 卡片实物及其内所储电子货币的安全也是预储值卡运营公司工作的重要内容。其关键点包括但不限于，卡片的采购、卡片实地的保管、数量上的账实一致及卡内储值资金的准确、安全。二、 控制措施(一)数据的安全性保护1. 数据的载体和保护重点以基于卡基支付业务为主的计算机系统是所有交易数据的载体。大致可分为四个层面：第一层为中央清算系统，设在储值卡公司总部，包括发卡中心、 结算中心、安全中心、客服中心等几部分；第二层为分系统结算中心（行业分中心）；第三层为充值、消费终端机具，主要功能是对卡片发行、充值消费，并形成原始交易数据；第四层为消费媒介，即各种预储值卡。 在计算机系统的总体架构中，中央清算系统处于核心的地位，是数据安全保护的重点。2. 保护手段(1)系统保护实现系统信息安全的重要手段包括但不限于：v 在总结算中心利用网络密码机在系统的关键节点间实现VPN，防止交易数据的非法截取和访问；v 在中央清算中心和行业分中心的通信链路出入口设置防火墙系统，保护内部网络不受攻击；v 在核心交换机上配置入侵检测系统防止安全漏洞和来自内部的攻击；v 配置安全漏洞扫描系统以不定期扫描核心服务器和节点交换路由设备；v 采用“多级防范、集中管理、以防为主、防治结合”的动态防毒策略保障系统的安全运行。(2)建立异地灾备系统人员、技术、流程、外部因素等任何一部分出现问题，都可能导致运营风险的爆发，当风险危及到总中心系统且无法靠系统本体保护规避时，将造成灾难性后果。因此，有必要建立异地灾备系统进行防范。异地灾备系统须具备总中心系统维持清算运营活动的基本功能，并定期与正常系统进行切换使用，以保证其在特殊时刻正常运行。（二）资金的安全性保护1. 资金的定义和保护重点预储值卡运营公司的资金分自有资金和客户资金。本文所论述的资金安全性保护，仅针对客户资金。持卡人预存在卡内的资金在消费前会形成沉淀，卡内沉淀资金在所有权上不属于预储值卡运营公司，但是在经营期内，沉淀资金可供其使用，如何将其与公司自有资金分离并加以妥善保管，是资金安全保护的重点。2. 资金的保护手段(1)专户存款预储值卡运营公司应为流转及沉淀的客户资金开立专用银行账户，无论何种销售渠道和销售方式形成的客户资金都必须先归集到专用账户，再按公司的相关规定使用。充值资金直接抵支消费资金的，须在董事会的客户资金使用报告中专题说明。(2)专款专用公司自有资金与客户资金严格分离，客户资金只能用于与持卡人消费相关的用途，不得用于企业自身的日常运行支出。限定于：v 持卡人在特约商户处消费后支付消费款；v 特约商户的风险抵押金；v 持卡人账户逾期产生账户管理费的支付。(3)依据授权使用客户资金用于持卡人消费款划拨、特约商户的风险抵押金和支付逾期账户管理费等常规性用途需得到股东会的统一授权，公司管理层在授权框架内执行逐级审批制度。其他临时性用途需得到股东会的专项授权。(4)资金托管不具备保管条件的企业应与银行类金融机构建立托管关系，将客户资金托管在银行类金融机构中，由其对资金的流向进行监控，以确保客户资金的安全。（三）卡片实物（含其内存储的电子货币）的安全保护卡片实物保护控制主要包括限制未经授权的人员对其直接接触、处置、保管、定期盘点、账实核对等措施。具体包括：1. 限制直接接触。除库房及销售部人员可以接触卡片及其内存储的电子货币外，其他部门或人员不可接触。2. 卡片及其内存储的电子货币的处置。应当严格按照审核、审批控制要求办理手续，由实物保管部门经办，清算部和财务部门审核，并经主要领导审批后，方能处置。3. 卡片及其内存储的电子货币保管。原则上由仓库负责管理，但不排除为销售需要销售部门保管三天销量内的卡片，所有卡片都应当办理入库后，再按照审核、审批控制要求办理出库手续。4. 定期盘点。盘点应当根据实际需要定期和不定期举行，应当建立盘点制度和盘点流程，明确责任人，确保卡片及其内存储的电子货币安全。第四部分 会计系统控制设计 一、目标及设计原则会计系统控制的目标是合理保证企业会计活动符合国家颁布的会计法和会计制度，确保资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。预储值卡运营公司从提供清算结算服务及受托管理客户资金的角度看,会计系统应采用金融企业的会计规范,但出于成本及专业人员缺乏的考虑,业务实践中众多预储值卡运营公司采用工商企业的会计系统.在此前提下,为将风险降至可接受的程度,会计系统就需要做出特别的安排。将客户业务及资金的处理与企业自身损益类业务及自有资金的处理分离,清分业务纳入会计系统.由此带来内容更宽泛的会计内涵,不同于工商企业的账务处理方式，更复杂和严谨的后监督机制。设计中应遵循以下原则。 (一)预防控制结合事后监督建立内部会计控制主要是为了防止清算、财务、会计错弊行为和无效率的发生。预防控制作为事前和事中控制，是非常有效的措施,例如在岗位控制、授权批准控制、文件记录控制中制定和实施的各种政策、规定、程序等都属于预防性控制。同时处于成本及严谨考虑事后的交叉核查、多角度报告及评估也是非常重要的。(二)相互制衡这部分内容在上文中已有论述,具体应用在会计系统中一些更细节性的内容需要被关注。通过清算部与财务部的职责分工和作业程序内岗位的适当安排，使各项清算、账务处理、资金收支活动能自动的被其他作业人员查证核对。(三)关键点控制对于预储值卡运营公司管理人员来说，关注所有业务活动的每一个环节，通常是不现实也没有必要的；同时，内部控制的效率性，也决定了管理者应当也只能将注意力集中于业务过程中发挥作用较大、影响范围较广、对保证整个业务活动的控制目标至关重要的关键控制点上。因此，有效的会计控制在很大程度上取决于选择和鉴别关键控制点的能力。(四)日清月结日清指每工作日业务结束后,清算部的当日发卡充值、消费数据,销售部门的销售表,财务部门的资金收付报表核对一致后结束当日工作。月结指当月“清算部的交易数据=账务系统的发生额及余额=银行资金”平衡关系的调整与核对。二、会计系统控制设计会计系统控制设计包括部门及岗位设置与职责划分、会计账务设置、勾稽核对机制三个部分。会计系统的部门设置应分为清算部与财务部，财务部负责公司自身运作、损益相关等会计处理及对应资金的管理；清算部负责与客户资金相关的会计处理及对应资金的管理。最终通过勾稽核对机制的建立来保证会计处理最终结果的准确性及资金的安全性。(一)部门、岗位设置与职责划分总经理财务总监清算总监财务部清算部交易数据调整岗位清算会计岗位审核对账岗位运营报表管理岗位自有资金出纳岗位卡片核算会计岗位往来会计岗位总账报表会计岗位客户资金出纳岗位费用成本会计岗位清算部职责：监控各项交易数据,并调整其异常部分;依据清分系统结果，与各代理商、合作商户完成各项交易数据的对账；建立运营数据电子管理系统，反映发卡、充值、运营款、应收、应付手续费及各种未达账款；向财务部发出资金收付的指令；记录与客户资金相关的账务。财务部职责：负责处理与企业自有资金相关的账务、除主营业务收支外所有损益相关事项、税务事项、自有资金和客户资金的收付动作执行；资金成本核算，调配；确保资金存储的安全。 (二)会计账务设置会计处理上，公司启用一个账套，其中预收账款、应收账款、主营业务收入等科目专供清算部的清算会计使用，记录清分结算等与客户相关的业务，其他科目供财务部使用管理；资金的实物管理纳入财务部，但企业自有资金和客户资金存入不同的银行账户，由各自的出纳分别管理。两块业务须由不同的总监负责，分别向总经理汇报。下面介绍清算部的账务设置及清算部与财务部的勾稽核对措施。1清算会计账务设置清算会计部分设置预收账款、应收账款、其他应收款、其他应付款、应付账款、主营业务收入这六个主要科目，其中预收账款用来核算客户资金的收支，应付账款用来核算已经发生消费但未向商户支付的消费款，系统清算消费数据后应次日计入应付账款科目，待实际支付后冲抵。主营业务收入包括账户管理费、手续费、工本费三个明细科目。银行账户设置为基本存款账户和预收客户款专用账户，做到预收账款专款专用，与自有账户资金严格区分。为方便清算部和财务内部往来资金核算，特设置内部结算单，等同于现金使用，一式两联，联号登记，月底按项目汇总当月内部结算单，填列内部资金结算表，统一核算后客户资金户和基本户进行一次转账。该单据适用于内部销售、现金支付运营款、股东借款等用途。2清算会计主要账务处理(1)发卡充值环节收到客户资金时记入预收账款贷方，同时增加银行存款客户资金户的金额。(2)发卡充值手续费记入主营业务成本。(3)发生消费业务时记入应付账款，实际按照账期支付消费款时冲抵。预付商户消费款时记入应付账款借方，不设置预付科目。(4)消费手续费记入主营业务收入。月底需将预收账款运营专用账户里的相应手续费收入金额转入基本账户。(5)每月依据协议将逾期未消费的预收账款按约定比率收取账户管理费，计入主营业务收入-账户管理费，月底需将预收账款运营专用账户里的相应账户管理费金额转入基本账户。3财务勾稽核对机制财务勾稽核对机制主要是保证在某一时间节点，客户资金、账务系统的发生额及余额、系统交易数据的三方平衡。每月利用客户资金流入/流出核对表、银行对账单、会计账务记录、企业询证函(包括数据与资金)、内部结算单、内部资金结算表核对系统数据、会计记录、客户资金。遵循系统充值数据、客户资金借方与预收账款贷方一致；系统消费数据、客户资金贷方与应付账款贷方发生额一致的原则，保证三方的平衡。此外预储值卡实物的流入、流出也对上述的三方平衡起到支持和佐证的作用。4关键业务设计实例从实践中看，会计业务处理中最困难的是全面业务平衡关系的设计和内部结算单的核对。下面通过两张表格揭示设计方法。(1) 月结平衡表月结平衡表系统数据会计记录银行账户余额卡片实物难点在于前三项须两两平衡，第四项作为前三项平衡的支持和佐证。(2) 内部资金结算表内部资金结算表是清算部与财务部内部调整结算的重要报表，必须每月结账前完成，运营专户里当月确认的收入需一次性转入基本账户，格式见下表：33内部资金结算表（月报）项目财务部清算部数据出具依据应付未付应收未收应付未付应收未收主营业务收入（工本费）10001000贷方发生额主营业务收入（手续费费）2020贷方发生额预收账款（管理费）00借方发生额财务费用（利息收入运营）00贷方发生额销售费用（售卡提成）10001000内部结算单-售卡提成现金支付运营款内部结算单-支付运营款合计1000102010201000运营财务部应付金额20第五部分 内部报告控制一、定义内部报告控制，是指预储值卡运营公司对各业务部门或者关键的岗位，建立的一种定期、不定期报告运营情况的制度。报告形式分为常规分析报告、异常风险监控报告。建立内部报告制度，目的就是使高层领导及时得到指令执行的信息，及时发现运营中的问题和缺陷，及时解决问题，防止风险发生。二、原则(一)真实性原则编制内部报告应当以真实的交易和事项以及完整、准确的交易记录等资料为依据。(二)全面性原则编制内部报告应当依据范围完整、核对无误的交易数据、会计账簿记录和其他有关资料编制，不得漏报或者任意缩减口径。(三)重要性原则内部报告应当在全面控制的基础上，重点关注重要业务事项和高风险领域。(四)及时性原则内部报告控制中定期的部分应按时间要求出具，反映突发、异常的不定期报告应尽快出具，并缩短报告流程。三、内部报告控制设计预储值卡运营公司的内部报告控制主要涉及促进信息沟通、常规分析报告、异常业务监控报告、对内控系统的评价和完善四个部分。(一)促进信息沟通企业信息沟通是内部控制的重要条件，在控制过程中发挥着重要的作用，直接影响着内部控制系统的运行效率。1.缩短管理链条 预储值卡运营公司一般人员在一百名以内，宜采用扁平管理，短流程、高授权、强监督的方式。甚至报告制度设计有负责客户资金的出纳定期向总经理出具资金存量报告。2.丰富沟通渠道 公司的沟通渠道一般有两种方式：正式和非正式。储值卡公司考虑自身的行业特点和人员心理结构，采用规范正式渠道沟通。同时，重视非正式渠道对非常规信息进行有效沟通，如建立面向基层清算和出纳岗位的总经理直报通道。3.改善会议制度会议是一种重要的沟通方式，它把组织结合在一起，让信息全方位地顺畅流动。预储值卡运营公司每日巨量的资金流动及IT系统须实时响应的要求决定了，常规性会议外应特