商業銀行信用卡業務的審計思路

[摘要]" 隨著商業銀行內外部環境的不斷變化，信用卡業務面臨著網絡移動支付沖擊、監管部門跨區域經營管控以及消費者投訴增多等新的挑戰。針對商業銀行信用卡業務發展所面臨的交易監控不嚴、第三方合作約束管理不足、異地開卡管控不嚴、消費者權益保護不到位等主要審計風險點，要采取健全資金管控監測機制、強化第三方合作管理、嚴格執行監管部門屬地經營要求、加大對消費者權益的保護力度、全面風險管理實現分類標準統一等應對策略，以確保商業銀行信用卡業務健康持續發展。

[關鍵詞]" 財會監督；商業銀行；信用卡業務；審計實踐

[作者單位]" 九江銀行股份有限公司

隨著我國年輕一代個人經濟主體地位的持續提升和信用卡透支消費意識的逐漸養成，信用卡憑借客戶準入門檻低、使用場景多、透支額度便捷等優勢成了商業銀行提升客群規模、增強用戶黏性、推進消費金融數字化轉型的重要手段。中國人民銀行發布的《2024年第二季度支付體系運行總體情況》報告指出，截至2024年6月末，我國信用卡和借貸合一卡發卡數量共計7.49億張，授信總額22.74億元，卡均授信額度3.04萬元，授信使用率37.50%。

但與此同時，商業銀行信用卡業務高速發展的同時，也面臨交易監控不嚴、第三方合作約束管理不足、異地開卡管控不嚴、消費者權益保護不到位等風險問題，需要加強內部審計，以有效防范和化解信用卡業務帶來的風險。

商業銀行信用卡業務發展面臨的新形勢

信用卡使用場景受網絡支付沖擊。中國互聯網信息中心發布的第54次《中國互聯網絡發展狀況統計報告》顯示，截至2024年6月，我國網民近11億人，網絡支付用戶達9.69億人，較2023年12月增加1498萬人，占網民整體的88.1%。以支付寶、微信、銀聯云閃付為代表的網絡支付方式，在零售交易、生活繳費、政務服務等場景中以方便快捷的優勢沖擊著傳統的信用卡支付使用場景。

信用卡異地營銷發卡受到限制。為加強金融監管，防范系統性金融風險，銀行業監管部門近幾年密集出臺監管政策，持續加強監管力度，清理異地非持牌機構。監管部門要求城市商業銀行審慎開展跨注冊地轄區業務，并對于異地經營活動開展排查，對違規問題進行整改。這意味著商業銀行到異地進行信用卡的營銷發卡受到限制，同時，異地辦理的信用卡面臨著賬戶凍結、銷戶、提前結清歸還等風險。

第三方外包業務量逐年上升。根據中國人民銀行發布的《2024年第二季度支付體系運行總體情況》報告，截至 2024年6月末，信用卡逾期半年未償信貸總額1053.29億元，占信用卡應償信貸余額的 1.24%。發卡銀行催收力度加大，以及對不良貸款進行針對性處理措施，一定程度上遏制信用卡應償信貸風險。但隨著信用卡業務規模的不斷擴大，以催收為代表的第三方外包業務規模也隨之不斷提升。

業務投訴量呈上升趨勢。國家金融監督管理總局發布《關于2023年第一季度銀行業消費投訴情況的通報》指出，監管部門2023年第一季度共接收并轉送銀行業消費投訴104909件，涉及信用卡業務投訴 32142起，占投訴總量的30.6%。隨著消費者維權意識的不斷增強，信用卡業務的投訴隨之不斷上升，商業銀行信用卡業務的監督檢查工作成為監管部門關注的重點。

信用卡業務的主要審計風險點

信用卡交易監控不嚴。根據監管要求，信用卡資金不得流向房地產、證券等限制性領域。商業銀行通過關閉信用卡交易對手MCC碼為1520（住宅與商業樓）、7013（房地產經紀）的方式，防止資金流向房地產。但由于微信、支付寶等線上收款方式的商戶使用統一的MCC碼，導致銀行信用卡部門無法通過關閉交易MCC碼的方式禁止不合格的交易對象。同時，對此類交易可能存在缺乏事后的追蹤監測、處理機制，在持卡人通過支付寶、微信支付或不合規POS刷卡等方式將信用卡資金流入限制性領域后，未能及時采取不合規用卡告知、要求客戶提前還款、降低額度或鎖卡等風險處置措施。

第三方合作約束管理不足。由于信用卡客戶數量多及管理部門自身資源不足，多數商業銀行將信用卡逾期催收外包給第三方專業公司。但在實際操作時，可能存在委托催收協議中未對基本催收流程進行約定，如需身份聲明、告知/出示催收委托書；未對第三方催收內容進行管理，可能存在不合規催收的風險。

信用卡異地開卡管控不嚴。根據監管部門要求，商業銀行需在持牌區域經營，不得跨區域開展信貸業務。商業銀行辦理信用卡業務時，也應當按照申請業務歸屬地原則實行“落地”辦理，接受當地監管部門管理監督。特別是城市商業銀行經營地范圍有限，存在著信用卡發行經營地為機構所在地的限制。但在實際工作中，可能存在由于客戶生活在兩省邊界，離省外城市比前往自身所在地城市地理位置更近，客戶家庭消費、儲蓄均在跨省城市，但未在跨省城市買房居住或工作，存在著兩省邊界居民跨省到相鄰城市購物消費而辦理信用卡業務的情況。同時，兩省邊界居民到相鄰省份的城市買車辦理汽車分期業務（基于信用卡）而辦理了信用卡業務。

消費者權益保護不到位。金融機構在提供金融服務時，應尊重消費者的知情權和自主選擇權，履行告知義務。但在實務中，可能存在著信用卡業務消費者權益保護不到位而導致的投訴時有發生。如周末、節假日促銷活動中，由于信用卡活動名額展示渠道不統一，客戶不能有效獲取剩余名額，在最終支付環節才顯示活動名額用完，因此投訴誘導消費，活動信息的知情權未得到有效保障。

同時，信用卡風控中心按日對客戶的風險情況進行大數據分析，對于出現異常交易行為或征信資質下降的客戶采取降額、止付或鎖卡等風控措施，而未能及時通知客戶，未能保證持卡人的知情權及申訴權。對于逾期客戶的第三方催收投訴，主要涉及個人信息安全和暴力催收等風險問題。

信用風險分類不準確。在商業銀行授信資產風險分類實施辦法中，對信用卡風險資產分類是按照“逾期1—30天、逾期31—60天、逾期61—90天、逾期91—120天、逾期121—180天、逾期181—270天、逾期271—360天、逾期361天以上”標準進行管理。在信用卡業務逾期管理實務中，是按照信用卡賬單日M1、M2、M3、M4、M5、M6等標準進行風險分類。根據信用卡的賬單及計息規則，賬單日存在不是標準的30天的情況，導致信用風險分類不準確。

同時，對于同一客戶名下不同信用卡賬戶，存在著某張信用卡逾期或多張信用卡逾期天數不同，風險分類不一致情況；信用卡系統未與信貸系統、網貸系統等進行關聯，同一客戶信用卡業務與其他貸款風險分類不一致的情況。

基于審計風險點的應對策略

健全資金管控監測機制。通過建立有效的風險管控和監測機制，采取必要措施履行資金用途管控、監督職責，控制信用卡資金流向，提升合規風險應對能力。技術層面上，通過鎖定MCC碼、管控交易對手等措施，防范資金流入股市、房市等限制性領域。監測層面上，完善監測模型，提升系統識別和自動控制的有效性。

采取必要的監控措施加大對信用卡消費、存取款等大額可疑資金交易活動的監測，增加對資金用途、客戶行為、征信變動等方面的數據監測力度。對于發現的資金用途不合規、客戶行為異常、征信劣變較大等情況，及時采取督促還款、降低額度、鎖定卡片等措施，提前防范存在的合規及信用風險，提升風險管理及時性、準確性和科學性。

強化第三方合作管理。針對委托外部機構催收及保證人代償等存在第三方介入的信用卡業務，通過事前與第三方做好行為約束規范、事中做好跟蹤監督、事后做好跟蹤評價等，以防范因第三方管理不善給銀行造成聲譽風險。

要明確規定委托外部催收機構的基本準入條件、明確準入審批流程及準入方式，與第三方合作機構簽訂涉及消費者信息的服務協議、信息交換記錄協議。要在委托催收協議中對基本催收流程、違約事件進行約定，如需身份聲明、出示催收委托書、不合規及暴力催收界定和處罰等。同時在日常管理中對第三方催收進行跟蹤評價，評估投訴中涉及的不合規催收及暴力催收，嚴格執行委托外部催收合同中的相關違約條款，強化第三方合作管理能力。

嚴格執行監管部門屬地經營要求。2018年，原中國銀保監會在全國范圍內規范銀行業金融機構異地非持牌機構經營情況，要求異地非持牌金融機構不能開展跨區域信用卡營銷。2020年，原中國銀保監會針對商業銀行異地經營活動開展排查，對違規問題進行整改。商業銀行由于牌照經營地的限制，信用卡異地發卡行為也是排查整改的重點內容。

在信用卡審批系統風控模型中，要嚴格識別主卡申請人居住地或工作地須在商業銀行經營機構所在城市及其管轄地區。對于無法通過有效申請材料獲取客戶常住地址及工作單位的，可參照人行征信報告中的歷史居住地址、公積金繳納單位名稱、身份證號碼歸屬地、手機號碼歸屬地等信息識別是否屬于異地客戶申請信用卡業務。針對跨省交界客戶群體真實的信用卡業務消費需求，商業銀行應提前向監管部門報備，征得監管部門對跨省交界客戶提供金融服務的指導意見。

加大對消費者權益的保護力度。商業銀行要切實尊重消費者的知情權和自主選擇權，履行告知義務，了解消費者的風險偏好和風險承受能力，提供相應的產品和服務。同時，需要商業銀行切實尊重消費者的個人金融信息安全權，采取有效措施加強對個人金融信息的保護，不得違法使用消費者個人金融信息，不得在未經消費者授權或同意的情況下向第三方提供個人金融信息。

針對信用卡投訴方面的排查結果，商業銀行需重視對消費者知情權的機制、渠道、執行方面等建設力度，通過電話、短信、網站、公眾號等渠道增強銀行信用卡業務管理的主動告知行為，提升在辦卡、持卡、用卡環節的信息透明度。在客戶授權或同意的前提下合理使用個人金融信息，讓客戶的消費知情權、自主選擇權、信息安全權得到切實的保障。

全面風險管理實現分類標準統一。針對同一客戶名下不同信用卡賬戶風險分類不一致、同一客戶信用卡與其他信貸業務風險分類不一致的情況，需要風險管理部門、科技部門、網貸部門和信用卡管理部門共同配合，搭建客戶全面風險管理系統。對于同一客戶任何一筆貸款出現不良信用記錄、還款能力下降等風險事件，要及時取消額度或不新增授信額度，統一調整風險分類。通過客戶全面風險管理，實現用戶的卡與卡之間、信用卡與各信貸產品之間的風險分類標準統一。

針對實際操作中資產分類執行標準與制度不符的情況，要通過修訂、統一相關風險分類辦法或調整工作實踐中信用卡逾期天數與賬單日的標準，實現風險資產管理制度與風險分類實際操作相統一。