线下场景中第三方支付的资金风险分析与应对建议

2020-12-31刘娜

石油库与加油站 2020年5期

刘娜

〔中国石化北京石油分公司北京 100022〕

随着我国经济的快速发展和人民生活水平的不断提高，我国线下消费的整体规模快速增长。面对这一商机，从2017年上半年开始，财务通及支付宝等第三方支付机构大力布局线下支付场景。伴随着用户移动支付习惯的建立和应用场景覆盖率的提高，第三方支付线下扫码交易额迅速增长。尤其在餐饮、零售便利店等领域，第三方支付的应用比例高达70%以上。对于商家而言，第三方支付是一种替代POS收单和现金等传统收款方式的新型模式，且这种模式的交易规模迅速扩大。如何规避资金风险，保证商家自身第三方账户资金安全是商家面临的一个必须解决的问题。

1 第三方支付概述

第三方支付的概念是阿里巴巴创始人马云在2005年达沃斯论坛上提出的。主要指非银行的独立机构，以中介的形式，实现消费者、商家和银行之间的货币转移、资金清算等功能。

根据应用场景的不同，第三方支付可分为线上场景应用和线下场景应用。第三方支付在线下场景的应用，主要指支付宝、财付通等拥有资质的非银行机构在线下，如便利店、加油站等消费场景中作为收单机构进行资金收付业务。在线下场景中，利用第三方支付完成资金收付主要有“动态付”及“静态付”两种模式。“动态付”是指商家通过扫描客户出示的动态付款码，或者客户扫描商家的动态二维收款码完成支付。“动态付”模式下，不管商家主动扫码，还是被扫码，金额都是由关联的订单生成的，不需要用户手工输入，因此金额的准确性更有保障。“静态付”是指用户扫描商家的静态二维收款码，手工输入金额后完成支付。静态码是固定的静态二维码，存在被替换的可能，容易产生资金风险问题，并且交易金额人为手工输入，存在错误的可能。目前大型连锁机构主流应用的是“动态付”模式。

2 第三方支付资金扣划流程

在线下应用第三方支付进行收付的场景中，消费者选购商品后，商家通过扫描客户的第三方支付二维码(或者客户扫描商家的二维码)进行收款操作，相应的订单信息将传送至支付网关，支付网关会根据订单信息，匹配商家收款账户信息，并将订单信息进行加密处理，传送至第三方支付平台，第三方平台对加密信息进行解析、验证后，处理扣款交易请求，完成资金从客户的第三方支付账户至商家第三方支付账户的划转，并将是否成功的处理结果(交易成功、失败、被取消等)加密，同步给商家，反馈结果经支付网关解析、验证后，达到商家客户端，商家根据反馈的扣款结果进行后续提供商品、停止交易或重新发起扣款申请等操作。商家收到消费者的款项后，资金将留存在商家的第三方支付账户内，商家可以自主选择账户内资金去向。第三方支付平台为商家提供了不同的资金转移功能。主要包括：提现、转账及退款。

3 资金风险分析及应对建议

3.1 网络安全风险分析及应对建议

在应用第三方支付的收付款过程中，网络安全与否至关重要。商家与第三方支付进行信息交互，主要通过支付网关，运用加密和数字签名的手段进行风险控制。在这个过程中，必须保证资金流数据的保密性，保证数据信息不被恶意篡改，也就是完整性，同时保证信息发送者身份的正确性。如果支付网关遭到攻击或者恶意篡改，企业资金安全将难以保证。例如支付网关会根据订单信息，匹配商家收款账户信息，如果商家收款账户信息遭到恶意篡改，商家账户将无法收到客户货款；如果客户支付失败的反馈信息遭到篡改，商家很可能面临钱货两空的局面。

针对这一情况，商家一要重视网络信息系统安全管理，对信息系统及时升级维护，注重账户信息匹配关系等重要信息的更新与校验检查，由专业部门定期进行模拟网络攻击，查找系统漏洞。二要加强内控监督管理，预防企业内部信息人员、顾问等相关岗位利用职权进行违规篡改。

3.2 账户资金风险分析及应对建议

消费者的资金划转到商家的第三方支付账户后，会留存在账户中，此时商家账户资金面临着被滞留、被恶意转账支付和被恶意退款的风险。在第三方支付账户中，资金流出有三个渠道，分别是提现、转账及退款。控制好这三个渠道，是资金风险控制的关键。

3.2.1 提现风险分析及应对措施

提现是指将商家第三方支付账户的可用余额提取到和第三方支付账户认证名一致且已绑定的商家银行账户。提现风险防控面临两个层面的问题，首先是资金能否提现到企业银行账户，另外是提现金额是否足额准确。以支付宝为例，在支付宝账户后台，商家提现有两种方式，一种是系统自动提现，商家可以与支付宝签订委托提现协议，每一天提现一次，将前一日的营业款自动提现至商家银行账户。另一种提现方式是手工提现，商家操作人员可以手动将账户内余额提现至商家同名银行账户。为保证能够提现，商家应该准确维护银行信息并及时与支付宝签订提现相关协议，或者安排专人定期进行手工提现。为了检查营业资金经过第三方账户后是否及时、准确到达商家银行账户，商家应该做到及时、精准对账。将前端销售业务形成的应收账款，与支付宝账户的交易明细以及提现至银行的资金进行三方匹配核对。将销售应收款与支付宝交易明细做比对，验证商家营业资金是否准确计入支付宝账户，用支付宝账户资金明细与银行到账资金进行比对，验证提现至银行账户的金额是否准确。在这个过程中，商家可能面临一些时间性差异的对账问题。例如，在便利店场景下，有的便利店以早八点至次日八点作为结算周期，形成当日应收账款。然而支付宝以零点到24点作为结算周期，将账户资金提现至商家银行账户。由于这种时间性差异的存在，三方数据无法匹配，商家难以精准对账，在长期滚动的结算差异中，极易裹藏其他资金风险事件。为应对这一问题，建议将便利店的结算时间变更到与支付宝提现周期同步，以此规避时间性差异。如果不能变更便利店的结算周期，可以将支付宝平台的交易明细进行不同周期的分割，一种以早八点至次日八点为周期，与便利店应收账款进行比对，一种以零点到24点为周期，与银行到账资金进行比对。这种分割对于商家财务处理及信息处理的要求较高。

3.2.2 转账风险分析及应对措施

转账是指将商家第三方支付账户的可用余额转移至其他企业或者个人的第三方支付账户或者银行账户内。在转账环节，商家主要面临自身第三方账户内资金被违规、违法转移的风险。

第三方支付的转账功能是默认开启的，如果商家无需运用第三方支付作为对外转账付款的手段，可以向第三方支付机构发起书面申请，关闭转账支付功能，以此杜绝账户资金转移风险。如果商家希望利用转账支付功能进行业务处理，建议从流程设置、权限管理以及安全产品应用三个维度进行风险管控。

针对流程管理：以支付宝为例，在支付宝商家的企业版后台中，商家可以针对转账功能进行审批流程的设置。同一性质的转账可以根据金额大小，设置不同的审批流程及审批级别。如果不设置审批流程，则默认该转账支付业务无需审批。企业应该按照内控管理规定，设定审批流程，避免无审批支付的情况。

针对权限管理：以支付宝为例，支付宝平台支持由商家账户的系统管理员为商家账户管理建立不同的角色，并赋予角色不同的权限。商家的具体操作人员可以被设置成为某个角色，从而获得相应权限。商家应该建立有效的角色分配方案，确定各角色应该被赋予哪些权限；应建立商家操作人员关于角色、权限等相关申请、变更、冻结及撤销的审批制度。另外，商家账户的系统管理员拥有对该账户操作的所有权限，管理员违规操作，甚至非法转移资金，也会给商家第三方账户资金带来极大风险。商家应该建立健全系统管理员操作规范制度，要求管理员登记操作日志，记录赋权、问题处理等操作信息，以备核对检查。管理员进行系统操作时，需要两个基本要件，一个是系统登录密码，另一个就是系统操作密码或支付盾。建议两个基本要件由不同人分别掌握，在管理员进行系统操作时，另一个人进行授权，起到相互制约、监督的效果。建议监督部门定期对用户权限进行抽查、复核。

针对安全产品应用：为保证商家在利用第三方支付平台进行操作时相关资金和账户的网络信息安全，第三方支付机构为商家提供有安全产品。如支付宝提供了两种安全产品，分别是数字证书和支付盾。数字证书是一个电子文件，用户需安装在进行第三方账户管理的电脑中；支付盾是一种有实体的硬件安全工具，将商家的数字证书保存在USBkey中，是具有电子签名和数字认证功能的工具。企业应及时启用安全工具，保证资金支付或其他权限设置操作的安全有效性。

3.2.3 退款风险分析及应对建议

退款是指商家根据系统销售订单，将通过第三支付账户收取的客户款项，原路退回给客户的业务。商家操作人员可以在第三方支付账户的后台销售明细中，选中某笔待退款明细，输入操作密码确认后，即可实现资金原路退回。如果操作人违规退款，或者误操作退款，商家将面临损失。与商家应对转账风险类似，商家可以从流程设置、权限管理以及安全产品应用三个维度进行管控。另外，建议商家避免直接从后台退款，因为商家销售前台与后台管理往往不在一个地点，前台退还商品管理与后台退款管理如果出现脱节，有可能给企业带来风险损失。第三方支付提供接口功能，能够实现前台退款，前台销售人员在保证退货无误后，只需在前台销售界面进行确认，无需登录第三方支付账户的后台，即可完成退款。

3.3 开户风险分析及应对建议

一家企业，在同一第三方支付机构可以开立多个第三方支付账户，每一个账户配有一个系统管理员，且账户之间是相互独立的。如果企业人员私自开通企业第三方支付账户，那么私自开通的企业第三方账户将完全不受该企业管控，并且难以被企业发现。如果将私自开通的企业第三方支付账户应用到收款业务中，企业必将面临资金损失的风险。为应对这种潜在风险问题，首先，企业应该严格电子证照管理，避免违规开户。另外，在维护支付网关数据库时，要确认公司每一个第三方账户的正规性，严格不相容岗位制度以及数据交接确认管理，避免私自开通的企业第三方账户投入正常应用中。最后，及时精准对账，及时发现资金风险事件。

3.4 违约风险分析及应对建议

第三方支付行业在我国还处在尚待完善的发展阶段，面临着政策监管、同业竞争以及技术变革等众多潜在风险。例如2018年6月人民银行发布了《关于支付机构客户备付金全部集中交存有关事宜的通知》，要求按月逐步提高客户备付金集中交存比例，最终在2019年1月14日前实现备付金全额集中交存至央行账户。自此，第三方支付机构备付金利息收入及金融投资收入消失，支付机构通道成本升高，原有收入模式难以继续。第三方支付机构如果不能找到新的盈利模式，将会出现经营危机甚至面临破产清算。在这种情况下，对于商家而言，极有可能面临第三方机构的违约，相关的资金安全也就很难被保障。