新场景下商业银行信用卡套现审计思路与方法
2021-01-13 10:30:18   来源：澎湃新闻   评论：0 点击：

与传统的信用卡套现相比，近年来，伴随着手机支付、扫码支付等新场景业务的井喷式发展，信用卡套现呈现出新特点。内部审计部门作为商业银行风险防控的第三道防线，如何克服科技金融给信用卡审计带来的新难点，多措并举对信用卡套现行为进行精准监测审计，实现内部审计对信用卡业务的监督和服务职能，具有很强的现实意义。新场景下商业银行信用卡套现的新特点

信用卡套现与信用卡欺诈风险中的申请、交易和商户欺诈紧密关联。与传统的信用卡套现风险相比，伴随着第三方支付机构以及IPOS、二维码收款等新型收单业务的兴起，新场景下信用卡套现呈现如下新特点 ：

（一）套现渠道的多样化和智能化为个人套现提供便利

传统的信用卡套现中，商户需要提 供营业执照等资料才能办理POS机，为“一机一商户”。因此，套现机构需要注册众多不同类型的企业，以便申购大量不同行业、不同费率的POS机，以减少套现被发现的可能，方便为众多个人提供套现服务，所以套现成本 和前期投入较多。不同于传统 POS 机，IPOS、收 款二维码等的兴起，个人不再需要提供营业执照，只需几十元的硬件成本甚至一个收款二维码就可以进行套现，且没有时间地点限制，这往往成为个人套现养卡的重灾区。商业银行作为发卡行，虽然收取手续费并承担信用风险，却不掌握第三方支付机构准入的相关商户信息。

（二）套现方式的规模化和隐蔽性加大了监测难度

随着信用卡套现规模的扩大和套现中间机构反侦察能力的提升，部分信用卡套现中间机构已经实现为资金需求者提供申办信用卡、刷卡套现与快速提升授信额度、代为偿还信用卡欠款等一条龙服务，套现的同时还增加持卡人的消费积分。

通过掌握的大量商户信息，依据刷卡人常驻地、交易区域、交易时间、交易金额等特征指标，运用不封顶刷卡、刷卡金额有零有整、使用不同商户类 别码刷卡等方法，总结出一套避免因套现被发卡行封卡的方法。特别是部分第三方支付机构“套码”的操作，通过运用智能算法模拟正常人生活消费习惯刷卡，将交易记录通过预设的风险规避规则，选择合适的商户与之匹配，最终将选择后的记录报送银联和商业银行，加大了发卡行对异常交易监测的难度。

（三）信息不对称导致信用卡发卡行对“共债”人群的信用卡套现风险不完全掌握

微观层面，信用卡套现资金的实际用途和规模水平决定了信用卡套现资金的违约风险。伴随着现金贷、P2P、互联网消费贷的兴起，虽然支付宝借呗和花呗以及全国 200 多家网贷机构的三方支付数据已接入央行征信系统，但上述信用数据并未完全覆盖信用卡申请个人信用记录。

“ 共债 ”人群与套现人群的高度重叠，特别是在多家银行同时申请信用卡的持卡人、 申请多家信用卡后又通过其他方式短期内大量举债的个人，会导致“共债”群体持卡人的违约风险伴随着杠杆率的上升而加大，且难以通过事前监测预防。

（四）信用卡套现风险与其他风险错综交织

信用卡套现在危害信用卡业务长期健康发展的同时，存在一些其他风险。一是信用卡套现风险往往是赌博、诈骗、非法集资、“套路贷”等刑事案件的前端犯罪，若银行对与套现相关的大额可疑交易和风险识别不到位，将因反洗钱履职不到位而面临洗钱风险、声誉风险和重大财务损失。二是若个人套现的资金流入股市、楼市等禁止流入的投资领域，将与信用卡资金应用于消费的目的相背离，违反国家宏观政策，可能面临监管处罚的合规风险。三是若银行内部员工参与套现，则可能与员工行为管理、案件风险防控等风险交织，诱发其他违法违规活动。

新场景下商业银行信用卡套现审计难点

当前，发卡行的审计手段方法更新赶不上套现手段的创新变化，加之信用卡套现治理短期可能影响到相关业务发展，银行内部审计部门面临进退两难的境地。

（一）数据孤井的客观存在制约了数据挖掘分析的广度和深度

一是面对海量的信用卡交易数据，信用卡套现可疑交易数据的提取必然要依托大数据分析技术，通过审计模型方法批量提取疑点线索。实践中，信用卡套现个人通过在多家银行进行套现资金的转移，或通过网上商户进行交易以提高核实交易真实性的难度，又或通过存取现金人为切断资金线索，导致模型方法提取线索的完整性和准确性大打折扣。

二是面对激烈的市场竞争，除了银联、支付宝、微信等头部第三方支付机构，其他众多支付机构只能通过参与“套现”获取客户，或者变造商户进行“套码”获取较高刷卡费率，而发卡行对于第三方支付机构内部变造商户交易的情况并不掌握，制约了模型方法的精准度。

（二）套现方法手段不断更新，导致部分监测模型方法和现场核实手段易于失效

早年间通过分析持卡人身份和行为并走访商户现场核实的方法，因套现手段更新已经失效。如随着个人 POS、第三方支付机构“商户池”的出现和“套码”的客观存在，运用行为人身份特征“同一工作单位”“预留同一手机号”“预留相同联系人”等方法，以及行为特征“同一商户资金转入多名信用卡持卡人借记卡账户”“同一持卡人在同一商户多次套现”“持卡人刷卡时间与商户类型明显异常”等方法模型，现场核实特约商户的精准度已大幅下降。

（三）消费者权益保护背景下获取数据资源的难度加大

伴随着人民银行对金融消费者权益保护规章制度的修订完善，商业银行和支付机构在收集与业务相关的消费者金融信息时，需要取得消费者的明示同意，不得采取不正当和变相强制方式，这将增加发卡后由于信息不对称对“共债”人群信用卡套现风险进行监测的成本。

（四）对审计发现问题的整改方式考验内部审计部门水平

信用卡套现的现象在各家商业银行几乎都存在，特别是部分疏于风控的股份制商业银行占比会更高。现实情况是发卡行打压套现的力度与信用卡交易量成反向变动，如果对套现交易持卡人简单地进行降额、封卡等操作，审计部门很容易被扣上阻碍业务发展的帽子。

商业银行业务部门与审计部门对信用卡套现的最大分歧往往在于对套现客户的问题处置。由于这部分客户长期控制套现规模，总体来说风险是可控的。如个体工商户通过套现资金满足生产经营流动资金需求，或者个人套现以满足短暂的消费需要，为达到长期套现的目的，这部分客户还款意愿强烈。目前信用卡分期的年化手续费率大约是 10%，远高于套现手续费率，如果发现套现就采取降额或强制要求客户转为信用卡分期业务，这类持卡人大多并不愿意，会造成客户的大规模流失。

因此，面对信用卡套现，部分业务部门认为只要没有涉及赌博、非法集资、诈骗等，对于此类“灰色”业务可以“睁只眼闭只眼”。由此可见，如何平衡好业务发展与风险控制，查找问题的同时提供具有可行性的整改方案，是真正考验审计部门水平的“试金石”。

新场景下商业银行信用卡套现审计方法探索

（一）信用卡套现审计原则

风险为本，促进信用卡业务稳健合规经营。2020 年以来，由于外部经营环境的变化，多家商业银行的信用卡违约风险均有小幅上升。因此，信用卡套现审计中应树立风险为本的理念，首先应关注由于套现而产生的欺诈风险、监管风险和员工行为风险。通过内部审计及时查找产品与场景设计，信用卡申请、交易与不良催收，商户准入及维护中存在的漏洞，避免因大面积违约而导致的系统性风险。

全局视角，助力信用卡业务持续健康发展。目前，各家发卡行信用卡免息期 为50-56天不等，标准类、民生类和公益类刷卡费率分别是0.6%、0.38%-0.48% 以及零费率。若按照 0.6% 的刷卡费率和 50 天的免息期计算，信用卡持卡人累计循环套现的年化费率约 5%，与目前各家商业银行推出的具有消费场景的消费贷利率水平基本持平，远低于商业银行推出的信用卡分期业务手续费、各家互联网公司推出的“消费贷”和“现金贷”利率水平，且经过一段时间的“套现 - 养卡 - 提额”，对于灵活就业的从业人员和持有多家商业银行信用卡循环套现的个人而言，信用卡套现额度也会远高于“消费贷”或“现金贷”授信额度。只要信用卡刷卡费率不变，套利空间的存在会使信用卡套现长期存在。对信用卡套现的监测审计只是一个手段，不能采用“一刀切”的方法杜绝未来业务可持续发展的可能性。

因此，对信用卡套现的审计，在控制业务风险的同时应服务于信用卡业务的健康发展，通过综合利用风险审计和绩效管理审计方法，结合套现人员身份、套现资金用途等综合施策，为业务部门提供一个切合实际的整改方案，“三道防线”共同努力，实现风险防控和业务发展两手抓、两手硬。

（二）商业银行信用卡套现审计方法探索

一是以非现场审计提取疑点线索为突破口，提升信用卡套现审计的精准性和效率性。运用大数据分析挖掘技术，从宏观和微观层面，及时掌握一定区域内信用卡业务整体风险状况和套现规模。宏观层面，从行业、区域、客户群、产品等维度，持续、动态捕捉信用卡信用风险信息及关键指标的异常变动 ；微观层面，从授信、交易、偿债能力等多个维度，通过数据模型方法批量提取异常记录，提高对套现交易识别和风险动态管控的精准性。在相关数据经过严格授权审批的前提下，以“最小且够用”原则调用数据，不断更新调整模型监测方法，以克服伴随着套现渠道多样化和智能化、方式规模化和隐蔽性等新特点带来的模型精度下降甚至失效的问题。善于从“正常”的交易中捕捉不符合特定时间、地点和同类客户刷卡特点的特征，如在今年疫情背景下，从持卡人端捕捉其特定时间段仍然在餐饮、旅游、酒店业等频繁线下交易，或频繁跨区域的线下交易行为，则易于发现 异常交易记录。

二是透过套现现象，重点关注关键流程和岗位人员履职情况。新场景下的信用卡套现，在银行端很难掌握第三方支付“商户池”信息的前提下，审计部门只能从发卡端入手，透过套现交易表象，从业务流程、岗位人员和责任落实情况，评价一定区域内信用卡业务的整体风险状况。

首先，透过套现交易，重点关注关键业务流程环节。关注授信准入环节，是否严格执行亲见本人、亲见身份证、亲见签字的“三亲见”制度，是否严格执行统一授信和资信审查制度。关注日常管理环节，是否建立了宏观和微观层面的风险监控程序，能否及时捕捉并据此采取有效措施，及时控制和化解相关风险 ；针对套现交易相关的外部欺诈风险，“一二道防线”能否有效识别，并根据套 现规模和风险程度采取警示教育、额度调降、账户止付、提前催收等措施 ；对于未能及时识别的查找原因并予以改善。关注风险应对环节，对相关套现并形成不良交易的，是否采取合理尽职催收等处置措施。

其次，透过套现交易，重点关注重要岗位人员和责任落实情况。关注信用卡产品创新和场景创新中，风险控制机制是否健全、风险管理责任是否明晰，产品创新是否在风险可控的前提下稳健发展 ；信用卡受理调查、审查审批、用信管理等环节人员岗位履职是否到位，是否严格执行不相容岗位相分离规定；涉及员工套现和员工为套现信用卡客户还款的，是否存在员工虚假消费套现或私购POS套现，并核实套现资金的真实用途，是否存在员工参与经商办企、 民间借贷、 非法集资和黄赌毒等违法违规行为。

三是审计整改分类施策，防控风险的同时实现审计价值增值。首先，根据信用卡套现的资金用途“一用一策”进行风险化解。在风险为本前提下，应结合套现资金用途进行差异化的信用卡套现行为纠正和风险化解。套现资金与跨境赌博、电信诈骗、传销、套路贷等违法犯罪相关的，应坚决取缔或止付，并按照反洗钱和制裁合规的要求及时向监管部门报送疑点线索 ；流入股市、楼市等投资领域的，严格 执行国家宏观调控政策，及时与持卡人进行沟通并获得承诺，必要时采取降额等风险管控举措 ；涉及多头举债，短期内向多家银行申请信用卡、与小贷公司存在资金往来、存在不良信用记录和多笔“现金 贷”的“共债”人群，提前退出该类客户，防止套现资金空转和违规套利 ；对于长期套现且主动控制用信规模的“小小微”企业主等有生产资金需求的客户，匹配与其合理融资需求一致的普惠金融业务产品，使其成本费用趋近于信用卡套现费用成本，在合理让利的前提下实现客户与银 行的双赢。

其次，运用绩效管理审计方法，助力提升信用卡业务良性发展。实现全行信用卡业务发展的经济性、效率性和效果性，可能会涉及人财物、信息、技术等资源的再分配，涉及信用卡及相关信贷新产品、新场景，从计划、决策，到指挥、控制及协调等主要活动。审计部门应从绩效审计的视角，通过对上述活动进行审计评价，兼顾短期和长期目标、部门和全行整体利益，提出切实可行的建议，实现价值增值。

四是加强与外部监管机构和银行同业的沟通联系，提升审计前瞻性。加强与监管机构的沟通联系，及时了解信用卡业务的有关监管要求，降低相关法律合规风险，时机成熟时与监管机构探讨信用卡利率市场化的可能性，从根源上杜绝套现。加强与公安机关、经侦部门和行内反洗钱中心的联系，及时获取涉及跨境赌博、电信诈骗、传销等可能与信用卡套现相关的下游犯罪名单，及时获取公开披露的新支付场景涉及的套现方法和途径，为编写新的模型方法提供思路，以加大对套现行为和相关风险的审计监测力度。加强对同业信用卡政策的关注，分析其在本行的可行性和必要性，为今后防控信用卡套现风险提供新 的方法途径。如2020 年6 月，民生银行公告称将调整信用卡积分累计规则，明确 19 家涉及第三方支付机构受理的信用卡交易不再累计积分，这是国内首家商业银 行对套现交易占笔较高的第三方支付机构采取措施，其方法思路值得借鉴。