[摘要]  随着商业银行内外部环境的不断变化，信用卡业务面临着网络移动支付冲击、监管部门跨区域经营管控以及消费者投诉增多等新的挑战。针对商业银行信用卡业务发展所面临的交易监控不严、第三方合作约束管理不足、异地开卡管控不严、消费者权益保护不到位等主要审计风险点，要采取健全资金管控监测机制、强化第三方合作管理、严格执行监管部门属地经营要求、加大对消费者权益的保护力度、全面风险管理实现分类标准统一等应对策略，以确保商业银行信用卡业务健康持续发展。

[关键词]  财会监督；商业银行；信用卡业务；审计实践

[作者单位]  九江银行股份有限公司

随着我国年轻一代个人经济主体地位的持续提升和信用卡透支消费意识的逐渐养成，信用卡凭借客户准入门槛低、使用场景多、透支额度便捷等优势成了商业银行提升客群规模、增强用户黏性、推进消费金融数字化转型的重要手段。中国人民银行发布的《2024年第二季度支付体系运行总体情况》报告指出，截至2024年6月末，我国信用卡和借贷合一卡发卡数量共计7.49亿张，授信总额22.74亿元，卡均授信额度3.04万元，授信使用率37.50%。

但与此同时，商业银行信用卡业务高速发展的同时，也面临交易监控不严、第三方合作约束管理不足、异地开卡管控不严、消费者权益保护不到位等风险问题，需要加强内部审计，以有效防范和化解信用卡业务带来的风险。

商业银行信用卡

业务发展面临的新形势

信用卡使用场景受网络支付冲击。中国互联网信息中心发布的第54次《中国互联网络发展状况统计报告》显示，截至2024年6月，我国网民近11亿人，网络支付用户达9.69亿人，较2023年12月增加1498万人，占网民整体的88.1%。以支付宝、微信、银联云闪付为代表的网络支付方式，在零售交易、生活缴费、政务服务等场景中以方便快捷的优势冲击着传统的信用卡支付使用场景。

信用卡异地营销发卡受到限制。为加强金融监管，防范系统性金融风险，银行业监管部门近几年密集出台监管政策，持续加强监管力度，清理异地非持牌机构。监管部门要求城市商业银行审慎开展跨注册地辖区业务，并对于异地经营活动开展排查，对违规问题进行整改。这意味着商业银行到异地进行信用卡的营销发卡受到限制，同时，异地办理的信用卡面临着账户冻结、销户、提前结清归还等风险。

第三方外包业务量逐年上升。根据中国人民银行发布的《2024年第二季度支付体系运行总体情况》报告，截至 2024年6月末，信用卡逾期半年未偿信贷总额1053.29亿元，占信用卡应偿信贷余额的 1.24%。发卡银行催收力度加大，以及对不良贷款进行针对性处理措施，一定程度上遏制信用卡应偿信贷风险。但随着信用卡业务规模的不断扩大，以催收为代表的第三方外包业务规模也随之不断提升。

业务投诉量呈上升趋势。国家金融监督管理总局发布《关于2023年第一季度银行业消费投诉情况的通报》指出，监管部门2023年第一季度共接收并转送银行业消费投诉104909件，涉及信用卡业务投诉 32142起，占投诉总量的30.6%。随着消费者维权意识的不断增强，信用卡业务的投诉随之不断上升，商业银行信用卡业务的监督检查工作成为监管部门关注的重点。

信用卡业务的主要审计风险点

信用卡交易监控不严。根据监管要求，信用卡资金不得流向房地产、证券等限制性领域。商业银行通过关闭信用卡交易对手MCC码为1520（住宅与商业楼）、7013（房地产经纪）的方式，防止资金流向房地产。但由于微信、支付宝等线上收款方式的商户使用统一的MCC码，导致银行信用卡部门无法通过关闭交易MCC码的方式禁止不合格的交易对象。同时，对此类交易可能存在缺乏事后的追踪监测、处理机制，在持卡人通过支付宝、微信支付或不合规POS刷卡等方式将信用卡资金流入限制性领域后，未能及时采取不合规用卡告知、要求客户提前还款、降低额度或锁卡等风险处置措施。

第三方合作约束管理不足。由于信用卡客户数量多及管理部门自身资源不足，多数商业银行将信用卡逾期催收外包给第三方专业公司。但在实际操作时，可能存在委托催收协议中未对基本催收流程进行约定，如需身份声明、告知/出示催收委托书；未对第三方催收内容进行管理，可能存在不合规催收的风险。

信用卡异地开卡管控不严。根据监管部门要求，商业银行需在持牌区域经营，不得跨区域开展信贷业务。商业银行办理信用卡业务时，也应当按照申请业务归属地原则实行“落地”办理，接受当地监管部门管理监督。特别是城市商业银行经营地范围有限，存在着信用卡发行经营地为机构所在地的限制。但在实际工作中，可能存在由于客户生活在两省边界，离省外城市比前往自身所在地城市地理位置更近，客户家庭消费、储蓄均在跨省城市，但未在跨省城市买房居住或工作，存在着两省边界居民跨省到相邻城市购物消费而办理信用卡业务的情况。同时，两省边界居民到相邻省份的城市买车办理汽车分期业务（基于信用卡）而办理了信用卡业务。

消费者权益保护不到位。金融机构在提供金融服务时，应尊重消费者的知情权和自主选择权，履行告知义务。但在实务中，可能存在着信用卡业务消费者权益保护不到位而导致的投诉时有发生。如周末、节假日促销活动中，由于信用卡活动名额展示渠道不统一，客户不能有效获取剩余名额，在最终支付环节才显示活动名额用完，因此投诉诱导消费，活动信息的知情权未得到有效保障。

同时，信用卡风控中心按日对客户的风险情况进行大数据分析，对于出现异常交易行为或征信资质下降的客户采取降额、止付或锁卡等风控措施，而未能及时通知客户，未能保证持卡人的知情权及申诉权。对于逾期客户的第三方催收投诉，主要涉及个人信息安全和暴力催收等风险问题。

信用风险分类不准确。在商业银行授信资产风险分类实施办法中，对信用卡风险资产分类是按照“逾期1—30天、逾期31—60天、逾期61—90天、逾期91—120天、逾期121—180天、逾期181—270天、逾期271—360天、逾期361天以上”标准进行管理。在信用卡业务逾期管理实务中，是按照信用卡账单日M1、M2、M3、M4、M5、M6等标准进行风险分类。根据信用卡的账单及计息规则，账单日存在不是标准的30天的情况，导致信用风险分类不准确。

同时，对于同一客户名下不同信用卡账户，存在着某张信用卡逾期或多张信用卡逾期天数不同，风险分类不一致情况；信用卡系统未与信贷系统、网贷系统等进行关联，同一客户信用卡业务与其他贷款风险分类不一致的情况。

基于审计风险点的应对策略

健全资金管控监测机制。通过建立有效的风险管控和监测机制，采取必要措施履行资金用途管控、监督职责，控制信用卡资金流向，提升合规风险应对能力。技术层面上，通过锁定MCC码、管控交易对手等措施，防范资金流入股市、房市等限制性领域。监测层面上，完善监测模型，提升系统识别和自动控制的有效性。

采取必要的监控措施加大对信用卡消费、存取款等大额可疑资金交易活动的监测，增加对资金用途、客户行为、征信变动等方面的数据监测力度。对于发现的资金用途不合规、客户行为异常、征信劣变较大等情况，及时采取督促还款、降低额度、锁定卡片等措施，提前防范存在的合规及信用风险，提升风险管理及时性、准确性和科学性。

强化第三方合作管理。针对委托外部机构催收及保证人代偿等存在第三方介入的信用卡业务，通过事前与第三方做好行为约束规范、事中做好跟踪监督、事后做好跟踪评价等，以防范因第三方管理不善给银行造成声誉风险。

要明确规定委托外部催收机构的基本准入条件、明确准入审批流程及准入方式，与第三方合作机构签订涉及消费者信息的服务协议、信息交换记录协议。要在委托催收协议中对基本催收流程、违约事件进行约定，如需身份声明、出示催收委托书、不合规及暴力催收界定和处罚等。同时在日常管理中对第三方催收进行跟踪评价，评估投诉中涉及的不合规催收及暴力催收，严格执行委托外部催收合同中的相关违约条款，强化第三方合作管理能力。

严格执行监管部门属地经营要求。2018年，原中国银保监会在全国范围内规范银行业金融机构异地非持牌机构经营情况，要求异地非持牌金融机构不能开展跨区域信用卡营销。2020年，原中国银保监会针对商业银行异地经营活动开展排查，对违规问题进行整改。商业银行由于牌照经营地的限制，信用卡异地发卡行为也是排查整改的重点内容。

在信用卡审批系统风控模型中，要严格识别主卡申请人居住地或工作地须在商业银行经营机构所在城市及其管辖地区。对于无法通过有效申请材料获取客户常住地址及工作单位的，可参照人行征信报告中的历史居住地址、公积金缴纳单位名称、身份证号码归属地、手机号码归属地等信息识别是否属于异地客户申请信用卡业务。针对跨省交界客户群体真实的信用卡业务消费需求，商业银行应提前向监管部门报备，征得监管部门对跨省交界客户提供金融服务的指导意见。

加大对消费者权益的保护力度。商业银行要切实尊重消费者的知情权和自主选择权，履行告知义务，了解消费者的风险偏好和风险承受能力，提供相应的产品和服务。同时，需要商业银行切实尊重消费者的个人金融信息安全权，采取有效措施加强对个人金融信息的保护，不得违法使用消费者个人金融信息，不得在未经消费者授权或同意的情况下向第三方提供个人金融信息。

针对信用卡投诉方面的排查结果，商业银行需重视对消费者知情权的机制、渠道、执行方面等建设力度，通过电话、短信、网站、公众号等渠道增强银行信用卡业务管理的主动告知行为，提升在办卡、持卡、用卡环节的信息透明度。在客户授权或同意的前提下合理使用个人金融信息，让客户的消费知情权、自主选择权、信息安全权得到切实的保障。

全面风险管理实现分类标准统一。针对同一客户名下不同信用卡账户风险分类不一致、同一客户信用卡与其他信贷业务风险分类不一致的情况，需要风险管理部门、科技部门、网贷部门和信用卡管理部门共同配合，搭建客户全面风险管理系统。对于同一客户任何一笔贷款出现不良信用记录、还款能力下降等风险事件，要及时取消额度或不新增授信额度，统一调整风险分类。通过客户全面风险管理，实现用户的卡与卡之间、信用卡与各信贷产品之间的风险分类标准统一。

针对实际操作中资产分类执行标准与制度不符的情况，要通过修订、统一相关风险分类办法或调整工作实践中信用卡逾期天数与账单日的标准，实现风险资产管理制度与风险分类实际操作相统一。