- Платежные технологии – просто о сложном. Часть 1
- Часть 1: Проведение и подтверждение платежа
- Описание процесса проведения и подтверждения платежа
- CHECK – проведение платежа
- PAY – подтверждение платежа
- Внутренний аудит банка: регламентация и другие аспекты деятельности службы. Часть 6.5
- 6.5. Аудит расчетов с использованием платежных карт.
Платежные технологии – просто о сложном. Часть 1
Давайте поговорим о платежных технологиях и что происходит, когда клиент хочет оплатить услугу на сайте или в интернет-Банке, сделать перевод или нам просто необходимо настроить интеграцию с агрегатором, магазином или платежной системой в целях вывода их услуг в своих дистанционных каналах обслуживания.
Здесь будет представлена серия статей, которая поможет начинающим специалистам в ИТ, занимающихся платежными технологиями, ответить на вопрос: «как писать исходящий шлюз с платежной системой или агрегатором», «как решить вопрос с расхождениями при сверках», как реализовать интеграцию с международной платежной системой.
Устраивайтесь поудобнее, будет интересно.
Часть 1: Проведение и подтверждение платежа
Клиент для оплаты услуг как правило авторизуется в интернет-Банке, выпустившим его карту: Банку-Эмитенту его карты.
Далее в интернет-Банке, выбирает услугу для оплаты: пополнение мобильного телефона, оплаты интернета или услуг ЖКУ.
В базе поставщика услуги, например оператора сотовой связи, у клиента есть свой уникальный идентификатор – номер телефона.
Чтобы оплатить услугу клиент вводит свой идентификатор и сумму пополнения, нажимает кнопку «подтвердить платеж».
А дальше ему отображается пред чек с идентификатором пополнения и суммой пополнения. Он подтверждает оплату и далее интернет-Банк отображает ему чек. Клиент радостный уходит. Деньги «моментально» поступают на его номер телефона.
Это для клиента так. А давайте посмотрим, как это выглядит внутри систем.
Наш онлайн обмен сообщениями, будет состоять из нескольких участников:
Витрина – в данном случае, интернет-Банк клиента;
Банк клиента – он же оператор по переводу денежных средств, он же Банк-Эмитент, выпустивший карту клиента, и он же расчетный Банк по переводам средств клиента Сервис-Провайдеру;
Сервис-Провайдер – юридическое лицо, оказывающее услуги зачисления средств Поставщику, его часто называют «Мерчант». Сервис-Провайдер имеет прямые договора со многими поставщиками услуг, и чтобы Банку не настраивать интеграцию с каждым из них, на рынке есть компании-посредники: Сервис- Провайдеры, еще их называют агрегаторами, платежными системами. Они уже настроили интеграцию с Поставщиками услуг и предоставляют большое количество сервисов за определенный процент;
Наш оператор сотовой связи – Поставщик услуг;
И у Сервис-Провайдера и у Поставщика услуг есть свои расчетные Банки. В итоге, Банк Сервис-Провайдера в офлайне перечислит денежные средства на счет Поставщика услуг в целях зачисления на счет клиента. Но об этом в следующих статьях.
Я буду использовать сущности: Банк, Мерчант и Витрина для описания онлайн взаимодействия внутри систем.
Центральной фигурой в нашем взаимодействии является Банк клиента.
У Банка задача не только проверить наличие денежных средств у клиента, но и доставить их Сервис-Провайдеру. Для выполнения этого условия Банк, как правило, пишет два шлюза либо использует текущие:
Входящий: от Витрины к Банку;
Исходящий: от Банка к Мерчанту;
Оба эти шлюза могут работать как по тождественному протоколу, так и по разным.
Мы рассмотрим самый простой вариант: витрина Банка, Банк и Мерчант работают по одному сквозному протоколу, представленному всего двумя методами: check и pay.
Описание процесса проведения и подтверждения платежа в этом случае выглядит следующим образом:
Сиквенс проведения и подтверждения платежа
Описание процесса проведения и подтверждения платежа
Клиент выбирает услугу;
Витрина Банка проверяет наличие услуги у себя в Базе данных;
2.1 Если услуга найдена, формирует запрос в Банк на холдирование денежных средств в Процессинге. Далее формирует запрос на возможность совершение платежа check:
2.2 Если услуга не найдена, завершает процесс ошибкой, клиент уходит;
Витрина инициирует check;
В Банк поступает запрос check. Далее Банк маршрутизирует запрос Мерчанту;
Мерчант принимает запрос, выполняет проверку совершения платежа;
5.1 Если зачисление возможно, отправляет успех, клиенту отображается пречек. Система Банка ожидает подтверждение платежа;
5.2 Если зачисление невозможно, Банк отправляет код ошибки, витрина завершает процесс, проведение невозможно, клиент уходит;
Клиент знакомится с пречеком, нажимает кнопку «подтвердить платеж». Витрина инициирует pay;
Банк присваивает идентификатор транзакции и сразу отправляет ответ на витрину;
Зачисление денежных средств у Мерчанта уже выполняется в офлайне. Банк инициирует pay и, если зачисление возможно, Мерчант присваивает свой идентификатор транзакции и отправляет в Банк успешный ответ. А если зачисление невозможно – спросите Вы? Тогда Мерчант отправляет ответ в Банк с кодом ошибки, и Банк выполняет возврат денежных средств клиенту в автоматическом режиме в тот же день.
Теперь рассмотрит рассмотрим формат запроса и ответа для каждого из методов, за что они отвечают и для чего они нужны
CHECK – проведение платежа
Метод отвечает за возможность совершения платежа. На этом шаге выполняется проверка доступности услуги на витрине, в Банке и у Мерчанта. Мерчант в свою очередь, в онлайне, может сходить к Поставщику и проверить валидность идентификатора пополнения у Поставщика, и, если, он не найден или ошибка, отклонить платеж.
Очень часто на этом шаге закладывают минимальные требования к времени отклика ответа на запрос от Мерчанта, т.к. клиент не будет ждать, пока Витрина Банка, сам Банк и Мерчант проверят доступность услуги.
Отличительной особенностью этого шага является так же расчет комиссии. Комиссии бывают:
Верхняя, или горячая – это комиссия с клиента сверх тела платежа (суммы зачисления);
Нижняя или холодная, это комиссия, которую платит Банку Мерчант;
Смешанная – в этой рубрике мы не будем о них говорить;
В нашем примере на check рассчитывается только комиссия с клиента, нижняя и смешанная комиссии рассчитываются в отдельно. Об этом с следующих статьях.
Структура запроса check/XML, шлюз контура Витрина – Банк:
Time – дата платежа;
type – тип источника списания;
type_number – маскированный PAN карты (примечание: PAN — номер карты) по PCI DSS;
code – код валюты перевода, в примере рубли;
amount – сумма зачисления или, по-другому, тело платежа
commission_amount – сумма с учетом верхней комиссии;
service – цифровой идентификатор услуги, который проверяет есть ли вообще такая услуга в Банке и на витрине;
account – контейнер с идентификатором пополнения, в нашем случае – номер телефона;
Когда клиент на витрине нажимает иконку с оплачиваемой услугой, первое, что выполняет система, это проверяет доступность услуги и если она доступна, то дальше обращается в процессинг для проверки источника списания (поля Type и type_number)
Далее если денежные средства есть, проверяет возможность зачисления денежных средств на номер телефона (phone_number в значении 86248541234)
Подождите, секундочку – спросите вы. Что-то здесь не сходится. Как по маскированному PAN в поле type_number можно проверить наличие денежных средств на карте клиента?
Все верно, внимательные читатели обратили внимание, что по маскированному PAN это сделать нельзя.
Авторизация в процессинге выполняется перед check и это отдельный метод и отдельный процесс, посмотрите выше на диаграмму процесса. На проведении платежа мы уже работаем с маскированным PAN, т.к. на этом шаге мы проверяем возможность проведения платежа, а не наличие денежных средств на карте клиента.
Далее мы формируем запрос Мерчанту.
Мы не указываем ни PAN, ни тип источника списания, нас интересует только возможность совершения платежа для конкретного сервиса.
Структура запроса check/XML, шлюз контура Банк – Мерчант:
В ответе Мерчант возвращает все те же самые поля, но появляется дополнительный контейнер со статусом обработки операции, а также идентификатор транзакции в поле id
Структура ответа check/XML, шлюз контура Мерчант – Банк:
Такой ответ будет означать, что Мерчант готов к подтверждению платежа клиентом.
В ответе мы у нас будет временный id транзакции у Мерчанта, а так же статус обработки платежа: status_id == Success (успех) и код ошибки равный 0 (успех) в поле errorCode
Не всегда к нам приходят успешные статусы транзакций и не всегда у нас отсутствуют коды ошибок, но об этом мы поговорим в следующих статьях.
Мы сохраняем ответ и обогащаем его необходимыми для витрины полями, присваиваем идентификатору транзакции мерчанта – идентификатор в Банке и отправляем ответ на витрину.
Структура ответа check/XML, шлюз контура Банк – Витрина
Клиент видит экранную форму пречека, с который каждый из нас знаком: там будет сумма платежа, дата, а так же идентификатор пополняемой услуги.
Если клиент со всем согласен, он нажимает кнопку «оплатить». Теперь отменить платеж можно только по письменному распоряжению плательщика, как правило – при личном обращении в Банк.
В запросе витрина может передать как все поля из предыдущего ответа check, так и просто сумму платежа и идентификатор транзакции, полученной на предыдущем шаге.
Мы будем использовать первый вариант.
PAY – подтверждение платежа
Структура запроса pay/XML, шлюз контура Витрина – Банк :
Банк регистрирует платеж, и сразу отправляет ответ с промежуточным статусом обработки операции «в проведении» в ответ витрине
Структура ответа pay/XML, шлюз контура Банк – витрина:
Клиенту печатается чек о приеме к исполнению платежа, с печатью Банка и он уходит.
Подождите — спросите Вы. А что, Банк платежи в систему антифрод не отправляет? Отправляет, конечно, как раз, чтобы у клиентов не было проблем с переводами в адрес «службы безопасности из мест лишения свободы». Для этого каждый платеж отправляется на проверку системой и только после этого Мерчанту. Но этот процесс уникальный в каждой организации и общих правил нет.
Но вы еще к Мерчанту не сходили, не подтвердили у него оплату, не зарегистрировали у него платеж, а уже отпускаете клиента – снова спросите вы?
Все верно, клиент не будет ждать, пока мы сходим и зарегистрируем платеж у Мерчанта, а он свою очередь к своим поставщикам на удаленные системы. Мы уже проверили возможность совершения платежа в онлайне на предыдущем шаге check, а теперь можем отпустить клиента с печатью Банка «в проведении» и зарегистрировать оплату у мерчанта в офлайне.
Для регистрации оплаты у мерчанта, для переданного id транзакции витрины, находим транзакцию мерчанта из предыдущего шага и с ней уже регистрируем платеж.
Структура запроса pay/XML, шлюз контура Банк – мерчант:
Структура ответа pay/XML, шлюз контура мерчант — Банк:
В ответ мерчант сообщает статус обработки транзакции, который может принимать статус успех, в проведении или, если оплата была отклонена, ошибка.
Два статуса финальные, а один промежуточный.
Можно сказать, что на этих статусах обязательства и Банка и Мерчанта перед клиентом завершены.
Подождите, подождите — резюмируете Вы. Как же обязательства завершены? Ведь клиент ушел с чеком, где написано, что Банк всего лишь принял операцию к исполнению, да и Мерчант может отклонить операцию, а клиент уже ушел, что делать?
Да, такое бывает достаточно часто, и для решения этой задачи существует отдельный процесс по запросу финального статуса операции как на стороне витрины, так и на стороне Банка, но об этом в следующих статьях.
Источник
Внутренний аудит банка: регламентация и другие аспекты деятельности службы. Часть 6.5
6.5. Аудит расчетов с использованием платежных карт.
Этот вид расчетов настолько специфичен, и в то же время достаточно широко распространен, что его аудит целесообразно проводить в рамках отдельной проверки.
При этом в сферу контроля могут входить карточные расчеты как физических, так и юридических лиц – хотя последние встречаются на практике гораздо реже.
Программа проверки.
В ходе расчетов платежных картами проверяется соблюдение установленного законодательством, внутренними нормативными актами и договорами с контрагентами порядка осуществления расчетов, а также правильность их отражение в бухгалтерском учете.
При этом осуществляется проверка:
— организации работы подразделений банка, участвующих в осуществлении расчетов с использованием платежных карт (в том числе эффективность систем внутреннего контроля);
— наличия и актуальности внутрибанковских нормативных документов, регламентирующих осуществление расчетов с использованием платежных карт;
— порядка осуществления расчетного обслуживания клиентов по операциям, совершаемым с использованием платежных карт, в том числе соблюдения требований законодательства и нормативных актов Банка России по расчетам с использованием платежных карт;
— выполнения договорных обязательств при осуществлении расчетов в соответствии с договорами, заключенными банком с контрагентами по операциям с использованием платежных карт;
— обоснованности открытия счетов для осуществления расчетов с использованием платежных карт;
— своевременности и полноты отражения операций с использованием платежных карт в бухгалтерском учете;
— качества управления рисками, возникающими при осуществлении этих операций.
В рамках проверки качества управления рисками оценивается влияние нарушений и недостатков в осуществлении операций с использованием платежных карт на финансовое состояние и перспективы деятельности банка.
Если для осуществления операций с использованием платежных карт созданы специальные структурные подразделения, в рамках аудиторской проверки целесообразно проанализировать эффективность их деятельности.
Контрагентами банка по договорам, касающимся карточных расчетов, могут быть:
— платежные системы (национальные и международные);
— кредитные организации – участники платежных систем (эмитенты, эквайеры, расчетные агенты);
— организации торговли (услуг);
— клиенты – держатели карт (физические лица, юридические лица, индивидуальные предприниматели).
Основные законодательные, нормативные и информационно-справочные документы.
В перечень нормативных актов, которые необходимо принять во внимание при подготовке и проведении аудита расчетов с использованием платежных карт, следует включить:
— Гражданский кодекс Российской Федерации (далее – ГК РФ) – устанавливает общие правила наличных и безналичных расчетов, определяет понятие банковского счета;
— Налоговый кодекс Российской Федерации (далее – НК РФ) – определяет некоторые особенности налогообложения операций с платежными картами при расчете налога на доходы физических лиц (НДФЛ) и налога на прибыль;
— Федеральный закон от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности»;
— Федеральный закон от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Федеральный закон № 115-ФЗ);
— Положение ЦБ РФ от 24.12.2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» — основной нормативный акт, регламентирующий порядок работы банков с платежными картами;
— Положение ЦБ РФ от 26 марта 2007 года № 302-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации» (далее – Положение № 302-П) – тут комментарии излишни;
— Инструкция ЦБ РФ от 14 сентября 2006 года № 28-И «Об открытии и закрытии банковских счетов, счетов по вкладам (депозитам)» (далее – Инструкция № 28-И) – она нам понадобится, так как в большинстве случаев карточные расчеты сопровождаются открытием клиенту банковского счета;
— Указание ЦБ РФ от 12.11.2009 г. № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» — устанавливает порядок составления и представления в подразделение Банка России отчетности по формам № 0409250 «Сведения об операциях с использованием платежных карт и инфраструктуре, предназначенной для совершения с использованием и без использования платежных карт операций выдачи (приема) наличных денежных средств и платежей за товары (работы, услуги)» и № 0409255 «Сведения кредитных организаций о начале (завершении) эмиссии и (или) эквайринга платежных карт».
Несмотря на то, что операции с платежными картами обычно сопровождаются начислением и получением (уплатой) процентов, Положение Банка России от 26 июня 1998 г. № 39-П «О порядке начисления процентов по операциям, связанным с привлечением и размещением денежных средств банками» (далее – Положение № 39-П) мы в перечень не включили; в соответствии с пунктом 1.4. указанного Положения оно не определяет порядок начисления процентов по операциям, осуществляемым с использованием платежных карт, а также порядок взимания банками платы за услуги по совершению операций с использованием платежных карт.
Та же история и с кредитными картами: кредиты, выдаваемые с помощью таких карт, не регламентируются Положением Банка России от 31.08.1998 г. № 54-П «О порядке предоставления (размещения) кредитными организациями денежных средств и их возврата (погашения)» (далее – Положение № 54-П).
Тем не менее, два последних документа нам еще в этой части статьи понадобятся.
Отсутствует в перечне и Положение ЦБ РФ от 24 апреля 2008 г. № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации». Пункт 1.15. указанного Положения отсылает всех, кто интересуется операциями по приему и выдаче наличных денег клиентам в кредитной организации с использованием платежных карт, к Положению № 266-П.
Из документов ненормативного характера можно отметить следующие:
— Письмо ЦБ РФ от 30 июня 2009 г. «Ответы и разъяснения по некоторым вопросам, связанным с применением Положения Банка России от 26 марта 2007 года № 302-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации»
— Письмо ЦБ РФ от 25 сентября 2009 г. № 117-Т «Обобщение практики по вопросам выпуска банковских карт и совершения операций с их использованием»;
— Письмо ЦБ РФ от 2 октября 2009 г. № 120-Т «О памятке «О мерах безопасного использования банковских карт»;
— Письмо ЦБ РФ от 19 февраля 2010 г. № 12-1-5/273 «Об идентификации физических лиц».
Разнообразие «карточных» расчетов и их ярко выраженная техническая составляющая, а также пункт 1.10. Положения № 266-П требуют наличия в банке, осуществляющем такие расчеты, внутренних положений (внутрибанковских правил) как по порядку выполнения операций, так и по отражению их в бухгалтерском учете.
При участии банка в международных и/или национальных платежных системах его действия регламентируются также правилами этих платежных систем.
Документы, подлежащие проверке.
В перечень документов, подлежащих проверке, необходимо включить:
— внутрибанковские правила осуществления операций с платежными картами;
— правила участников расчетов, содержащие их права, обязанности и порядок проведения расчетов между ними;
— внутрибанковские положения о подразделениях, принимающих участие в осуществлении расчетов с использованием платежных карт, и должностные инструкции работников этих подразделений;
— внутрибанковские положения о порядке осуществления и отражения в бухгалтерском учете расчетов с использованием платежных карт (Учетная политика);
— формы типовых договоров с клиентами – держателями банковских карт (договоров банковского счета, кредитных договоров и др.);
— действующие тарифы банка на операции с использованием платежных карт;
— договоры с контрагентами – юридическими лицами (платежными системами, расчетными агентами, организациями торговли (услуг));
— договоры с клиентами – физическими лицами – держателями банковских карт;
— регламенты банка, устанавливающие порядок обмена информацией с платежными системами, расчетными агентами, а также порядок выверки расчетов;
— распоряжения об открытии и закрытии счетов по расчетам с использованием платежных карт;
— юридические дела (досье) клиентов – держателей банковских карт (по открытым им банковским счетам);
— книгу регистрации открытых счетов;
— оборотные ведомости по счетам бухгалтерского учета – форма № 101;
— лицевые счета (выписки) по расчетам с использованием платежных карт и документы дня по ним;
— реестры платежей по операциям с использованием банковских карт и другие первичные документы;
— лицевые счета по учету доходов банка от операций с использованием платежных карт и расходов, возникающих при осуществлении таких операций, а также документы дня по ним;
— материалы предыдущих проверок по данному направлению деятельности.
Процедуры и методы, применяемые в ходе проверки.
Организация расчетов с использованием платежных карт.
Проверка организации расчетов с использованием платежных карт может включать анализ следующих моментов:
— наличие, полнота, актуальность и соответствие действующему законодательству внутрибанковских нормативных документов, устанавливающих порядок осуществления расчетов с использованием платежных карт, документооборот и порядок их отражения в бухгалтерском учете;
— наличие правил участников расчетов и их актуальность;
— соответствие внутрибанковских правил осуществления операций с платежными картами правилам участников расчетов;
— наличие, полнота и актуальность тарифов на расчетное обслуживание с использованием платежных карт клиентов – физических лиц, а также их доступность для клиентов;
— наличие положений о подразделениях банка, принимающих участие в осуществлении операций с использованием платежных карт;
— наличие должностных инструкций работников указанных подразделений, включающих описание функций, прав, обязанностей и ответственности сотрудников;
— своевременность и достоверность отчетности, составляемой по операциям с использованием платежных карт;
— определение функционального соответствия выполняемых сотрудниками обязанностей положениям о структурных подразделениях и должностным инструкциям;
— наличие планов работы подразделений, осуществляющих операции с использованием платежных карт, отчетов о выполнении таких планов;
— наличие и выполнение планов обучения сотрудников указанных подразделений; периодичность повышения квалификации, прохождения аттестации и т.д.;
— наличие замечаний по предыдущим проверкам службы внутреннего аудита и внешних проверяющих, устранение выявленных недостатков;
— определение уровня качества (периодичности и полноты осуществления) предварительного, текущего и последующего контроля.
Требования к внутрибанковским правилам осуществления операций с платежными картами (эмиссии, эквайринга, распространения платежных карт, деятельности банка в качестве расчетного агента) установлены пунктом 1.11. Положения № 266-П.
Правила должны быть разработаны кредитной организацией в соответствии с законодательством Российской Федерации, в том числе Положением № 266-П и другими нормативными актами Банка России, а также соответствовать правилам тех платежных систем, в которых банк является участником расчетов.
Внутрибанковские правила утверждаются органом управления кредитной организации, уполномоченным на это ее уставом, и должны быть обязательны для всех сотрудников кредитной организации. В зависимости от особенностей деятельности банка они должны содержать:
— порядок деятельности кредитной организации, связанной с эмиссией банковских карт;
— порядок деятельности кредитной организации, связанной с эквайрингом платежных карт;
— порядок деятельности кредитной организации, связанной с распространением платежных карт;
— порядок деятельности кредитной организации при осуществлении расчетов по операциям, совершаемым с использованием платежных карт;
— систему управления рисками при осуществлении операций с использованием платежных карт;
— порядок действий кредитной организации в случае утраты держателем платежных карт;
— описание документооборота и технологии обработки учетной информации по операциям, совершаемым с использованием платежных карт;
— порядок хранения неперсонализированных платежных карт, приобретенных кредитной организацией и содержащих реквизиты (наименование эмитента и др.), платежных карт после процедуры персонализации, а также утвержденный список должностных лиц, ответственных за их хранение;
— порядок перемещения неперсонализированных платежных карт в пределах кредитной организации и передачи их на персонализацию;
— порядок предоставления денежных средств клиенту в рублях и в иностранной валюте для расчетов по операциям, совершаемым с использованием расчетных (дебетовых) карт, кредитных карт, и порядок возврата указанных денежных средств;
— порядок начисления процентов на суммы предоставленных денежных средств и порядок уплаты их клиентом;
— порядок начисления процентов на остатки средств по счетам банковских карт (привлеченным средствам) и порядок уплаты их банком (этого требования, правда, в Положении № 266-П нет, но его наличие во внутрибанковских правилах, а также в типовых и индивидуальных договорах с клиентами, представляется крайне желательным);
— другие процедуры, регулирующие вопросы проведения расчетов по операциям, совершаемым с использованием платежных карт (в том числе порядок работы с испорченными, утерянными картами, а также с картами с истекшим сроком действия).
Документ, регламентирующий систему управления рисками при осуществлении операций с использованием платежных карт, должен включать порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи (АСП), в том числе при обработке и фиксировании результатов проверки таких кодов и паролей.
Порядок осуществления расчетов с использованием платежных карт.
На данном этапе аудиторской проверки осуществляется:
— проверка порядка открытия, закрытия и ведения счетов бухгалтерского учета, используемых при осуществлении расчетов с использованием платежных карт (в том числе банковских счетов клиентов, ссудных счетов, счетов незавершенных расчетов, счетов по учету доходов и расходов);
— контроль за совершением расчетных операций с использованием платежных карт физическими лицами (удобство обслуживания, соблюдение операционными и кассовыми работниками требований законодательства и нормативных актов);
— проверка обоснованности осуществления расчетов с международными и российскими платежными системами и расчетными агентами;
— проверка обоснованности осуществления расчетов и выполнения сторонами обязательств по зарплатным проектам;
— проверка соблюдения сроков изготовления и выдачи карт держателям;
— проверка обоснованности выдачи платежных карт держателям – физическим и юридическим лицам;
— проверка обоснованности осуществления расчетов по эквайрингу с организациями торговли (услуг);
— контроль полноты и своевременности взимания комиссий банку за расчетное обслуживание физических лиц с использованием платежных карт;
— проверка документального оформления операций с использованием платежных карт;
— проверка выполнения порядка работы с испорченными, утерянными платежными картами, а также с картами с истекшим сроком действия;
— проверка состояния предварительного, текущего и последующего контроля за выполнением операций с использованием платежных карт;
— контроль обеспечения сохранности персонализированных и неперсонализированных банковских карт, ПИН-конвертов.
Проверка обоснованности осуществления расчетов с платежными системами и расчетными агентами осуществляется путем контроля договоров с указанными контрагентами (проверяется наличие договоров, их корректность, соблюдение сторонами условий договоров).
Взаимоотношения банка-эквайера с организациями торговли (услуг) анализируются с использованием договоров с указанными организациями, отчетов об операциях, взаимных расчетов и т.д.
Проверка обоснованности осуществления расчетов по зарплатным проектам осуществляется по договорам банка с организациями – работодателями и с физическими лицами – работниками организаций (проверяется их наличие, корректность, соблюдение сторонами договорных условий).
Проверка обоснованности выдачи банковских карт держателям осуществляется по договорам с клиентами – физическими и юридическими лицами (проверяется их наличие и правильность оформления). Необходимо также убедиться в наличии заявлений клиентов на выдачу банковских карт.
Кроме договоров и заявлений, хотя требованиями Банка России это и не установлено, в банке должны оставаться письменные подтверждения факта получения клиентом карты и ПИН-конверта. Это может быть, например, подпись клиента в журнале регистрации выданных банковских карт, который ведет операционист, и подпись того же клиента в мемориальном ордере по внебалансовому счету на выдачу ценностей из кассы, где хранятся конверты с ПИН-кодами.
Соответствующий порядок должен быть утвержден внутренним документом.
При проверке документального оформления операций с использованием банковских карт запрашиваются первичные документы – поручения держателей карт, реестры платежей, распоряжения, отчеты и так далее. Ассортимент первичных документов, порядок их формирования, визирования, контроля, передвижения и хранения должен быть определен правилами расчетных систем, договорами между участниками расчетов и внутренними документами.
Необходимо также выборочно проконтролировать порядок зачисления и списания средств со счетов банковских карт – каждая транзакция должна иметь законное документальное основание на бумажном носителе или в электронном виде.
Контроль полноты и своевременности взимания (получения) комиссий банком осуществляется путем сопоставления действующих тарифов и условий взимания комиссий с первичными документами по соответствующими операциям и выписками по счетам доходов банка.
Основные виды расчетов с использованием платежных карт.
Так же, как и в случае с расчетами физических лиц, чтобы оценить масштаб проверки нужно сначала определиться с группами (видами) операций, которые подлежат аудиту.
Делить всю совокупность операций с банковскими картами на группы можно по следующим критериям:
— держатели карт (физические лица, юридические лица и примкнувшие к ним индивидуальные предприниматели);
— виды карт (расчетные, кредитные, предоплаченные);
— виды деятельности банка (эмиссия, эквайринг, распространение карт, функции расчетного агента);
— виды платежных систем (российские, международные);
— валюта расчетов (рубли, иностранная валюта).
В зависимости от состава операций, осуществляемых банком, определяем способы проведения проверок по каждой группе, применяемые процедуры и методы аудита.
Порядок открытия и ведения счетов по операциям с использованием банковских карт.
При отражении расчетов с использованием банковских карт в бухгалтерском учете используются следующие группы счетов:
— счета расчетов с участниками платежной системы (корреспондентские счета, счета незавершенных расчетов);
— банковские счета клиентов для расчетов с использованием банковских карт;
— ссудные счета клиентов, открываемые при выдаче ссуд с использованием кредитных карт, расчетных карт с овердрафтом;
— счета комиссионных доходов;
— счета процентных доходов (по кредитным картам, расчетным картам с овердрафтом);
С некоторой натяжкой сюда можно отнести счета по учету денежных средств в банкоматах; но это, на мой взгляд, больше относится к проверке кассовых операций и ревизии кассы.
Порядок осуществления проверки открытия, ведения и закрытия банковских счетов клиентов, необходимых при осуществлении операций с использованием расчетных (дебетовых) карт, аналогичен порядку, описанному в Части 6.1. Необходимо отметить, что на банковские счета, открываемые клиентам для расчетов с использованием платежных карт, в полном объеме распространяются требования, установленные Инструкцией № 28-И, включая сообщение об открытии таких счетов юридическим лицам и индивидуальным предпринимателям в налоговые органы.
Порядок осуществления проверки открытия и ведения корреспондентских счетов банкам – участникам платежных систем аналогичен порядку, описанному в Части 6.2.
Порядок осуществления проверки открытия, ведения и закрытия ссудных счетов, которые используются при осуществлении операций с кредитными картами и расчетными (дебетовыми) картами с разрешенным овердрафтом, мы рассмотрим в статье, посвященной аудиту кредитных операций.
При проверке порядка открытия и ведения лицевых счетов по операциям с платежными картами необходимо обратить внимание на следующие их особенности. Во-первых, по одному счету клиента могут совершаться операции с использованием нескольких расчетных (дебетовых) и/или кредитных карт, выданных банком-эмитентом этому клиенту. Во-вторых, по нескольким счетам клиентов могут совершаться операции с использованием одной расчетной (дебетовой) карты или кредитной карты. И первый, и второй случай, если они имеют место в «карточной» деятельности банка, должны быть предусмотрены внутренними документами, в том числе Учетной политикой (порядком ведения аналитического учета счетов по операциям с использованием платежных карт), и договорами с клиентами.
Отражение операций с использованием платежных карт в бухгалтерском учете.
Здесь, так же, как и по любым другим банковским операциям, проверяем:
— наличие разработанного и утвержденного порядка отражения операций с платежными картами в бухгалтерском учете (Учетной политики);
— соответствие Учетной политики в части отражения операций с платежными картами требованиям законодательства и нормативным актам Банка России;
— соответствие фактического отражения операций в учете и отчетности требованиям Учетной политики банка, законодательства и нормативных актов.
Расчетные (дебетовые) карты.
Одно из важных условий уменьшения операционных рисков, неминуемо возникающих при работе с дебетовыми картами – подробный и тщательно разработанный порядок действий в случае возникновения несанкционированного овердрафта.
При проверке операций с использованием расчетных (дебетовых) карт с разрешенным овердрафтом также проверяется:
— установление лимитов овердрафта и соблюдение установленного лимита;
— порядок действий банка в случае превышения клиентом установленного лимита (случайного или преднамеренного).
Кредитные карты.
Так как мы пока рассматриваем не кредитные, а расчетные операции, сделаем в данном разделе акцент на слове «карты», а не на «кредитные»; аудит кредитных операций – отдельная тема, которая будет рассмотрена позже. Впрочем, при проведении аудита кредитных карт ничто не помешает объединить подходы, описанные в этой части статьи, и особенности проверки кредитных операций.
Кстати, это касается и расчетных (дебетовых) карт с овердрафтом: при их проверке вам не удастся избежать всех прелестей, связанных с аудитом кредитных операций – включая формирование резервов, оценку кредитоспособности заемщика и создание портфелей однородных ссуд.
Можно отметить следующие особенности «карточных» кредитов по сравнению с остальными — классическими:
— порядок их предоставления (выдачи) не регулируется Положением № 54-П;
— порядок начисления процентов по ним не регулируется Положением № 39-П.
Интересно, что Положением № 266-П указанные процедуры тоже регулируются весьма условно.
В то же время ГК РФ не устанавливает никаких отличий для кредитов, выданных с помощью кредитных карт, по сравнению со всеми остальными кредитами.
Это значит, что все существенные (да и несущественные) моменты взаимоотношений с клиентами при осуществлении операций с кредитными картами должны быть тщательно проработаны с юридической точки зрения и отражены в формах типовых договоров, согласованных и утвержденных в установленном порядке, а сам порядок работы должен быть подробно описан во внутренних документах.
Основное отличие кредитов, выдаваемых с помощью кредитных карт, от их классических собратьев – возможность выдачи кредита без зачисления его на банковский счет клиента и без выдачи наличных.
Строго говоря, такой порядок противоречит Гражданскому кодексу, в соответствии с которым по кредитному договору банк предоставляет денежные средства (кредит) заемщику в размере и на условиях, предусмотренных договором. Однако держатель кредитной карты, условия которой не предусматривают ведения банковского счета клиента, при оплате товаров (услуг) с помощью этой карты фактически не получает денежных средств – они переходят от банка непосредственно организации торговли (услуг). Тем не менее, в соответствии с пунктом 2.3. Положения № 266-П такая операция вполне допустима.
Однако оставим юристам богатую тему противоречия нормативных актов Банка России федеральному законодательству. Аудитору же при проверке рекомендуется просто обратить на это внимание и оценить риски несоответствия операций законодательству. Конечно, в большинстве случаев расчеты кредитными картами осуществляются транзитом через банковский счет клиента – в этом случае они Гражданскому кодексу не противоречат.
Однако для банков, не входящих в систему страхования вкладов и лишенных права открывать банковские счета клиентам – физическим лицам, эта проблема может быть актуальной.
Если открытие ссудного счета по кредитной картой не сопровождается открытием банковского (расчетного, текущего) счета этому клиенту, то, возможно, имеет смысл ограничить расходные операции по карте (дебетование ссудного счета) выдачей наличных.
Противодействие легализации преступных доходов при осуществлении операций с использованием банковских карт.
Этот аспект «карточной» деятельности банка рассмотрим в отдельной статье, посвященной аудиту ПОД/ФТ.
Особенности налогообложения операций с использованием банковских карт
Налог на прибыль
Аудит налога на прибыль – отдельная и весьма обширная тема, которая будет рассмотрена позже. Здесь же хотелось бы отметить одно новшество, касающееся операций с платежными картами: с 1 января 2010 года взносы по договорам добровольного страхования имущественных интересов, связанных с обращением банковских карт, в случаях мошенничества (списания денежных средств по поддельным слипам или квитанциям электронного терминала, по утерянным или украденным картам и т.п.) банк может учитывать в составе расходов при расчете налога на прибыль (пп. 9.1. пункта 1 статьи 263 НК РФ).
Налог на доходы физических лиц
В соответствии с пунктом 1 статьи 212 НК РФ доходом налогоплательщика, полученным в виде материальной выгоды, признается, в частности, материальная выгода, полученная от экономии на процентах за пользование налогоплательщиком (физическим лицом) заемными (кредитными) средствами, полученными от организаций или индивидуальных предпринимателей. При этом не считается доходом материальная выгода, полученная от банков, находящихся на территории Российской Федерации, в связи с операциями с банковскими картами в течение беспроцентного периода, установленного в договоре о предоставлении банковской карты.
Однако по окончании беспроцентного периода такая материальная выгода все же может возникнуть. А значит, при проверке аудитору целесообразно убедиться в том, что сумма процентов, исчисленная исходя из условий договора:
— по кредитным картам в рублях – не меньше суммы процентов, исчисленной исходя из 2/3 действующей ставки рефинансирования, установленной Банком России;
— по кредитным картам в иностранной валюте – не меньше суммы процентов, исчисленной исходя из 9% годовых.
Управление рисками.
Основные риски, сопутствующие проведению банком операций с платежными картами, это все те же операционный и правовой риски, которые присущи расчетам физических лиц, описанным в Части 6.4.
Особое внимание при проверке качества управления рисками следует уделить установленному в банке порядку работы с несанкционированными транзакциями по картам, в том числе процедурам возмещения убытков держателям карт, выявления случаев мошенничества и т.д.
Характерные ошибки и нарушения.
К часто встречающимся нарушениям при осуществлении расчетов с использованием банковских карт можно отнести следующие:
— отсутствуют или являются неактуальными (неполными, недостаточно корректными) внутренние документы, определяющие порядок осуществления операций с использованием банковских карт;
— внутренними документами не предусмотрен или недостаточно проработан порядок действий банка в случае возникновения неразрешенного овердрафта по банковским картам;
— внутренними документами и/или договорами с клиентами не установлен порядок начисления процентов по привлеченным и размещенным средствам при осуществлении операций с использованием банковских карт;
— банковские счета клиентов – физических лиц для расчетов с использованием банковских карт открываются при отсутствии заключенных договоров банковского счета и/или с нарушением порядка, установленного Инструкцией № 28-И;
— договоры банковского счета по счетам, открываемым для совершения операций с использованием банковских карт, заполняются с нарушением типовой формы, с неполным указанием обязательных реквизитов;
— банком допускается совершение клиентами операций с платежными картами с нарушением ограничений, установленных пунктами 2.3. – 2.6. Положения № 266-П;
— овердрафт по расчетным (дебетовым) картам предоставляется клиенту при отсутствии соответствующего условия в договоре банковского счета;
— нумерация счетов по расчетам с использованием банковских карт не соответствует требованиям, установленным Положением № 302-П и/или внутрибанковским правилам нумерации лицевых счетов;
— нарушаются сроки расчетов с использованием банковских карт;
— не производится в установленные сроки или не подтверждается документально урегулирование взаимной задолженности с расчетными агентами и другими контрагентами по расчетам с использованием банковских карт;
— нарушаются правила идентификации клиентов – физических лиц для целей ПОД/ФТ при осуществлении операций с использованием банковских карт;
— авторизованные расчетные и кредитные карты до их выдачи держателю хранятся вместе с ПИН-кодами;
— в должностных инструкциях сотрудников банка, участвующих в осуществлении расчетов с использованием банковских карт, отсутствуют указания соответствующих функций, прав и обязанностей, либо имеется неполное (неточное) их указание, допускается дублирование функций;
— отсутствует или не соблюдается порядок передачи функций в случае отсутствия лиц, участвующих в осуществлении расчетов с использованием банковских карт;
— отсутствуют или являются неактуальными внутрибанковские регламенты, устанавливающие порядок обмена информацией, в том числе расчетными документами, с расчетными агентами и другими контрагентами по платежам с использованием платежных карт;
— не учтены в работе ранее вынесенные замечания по результатам предыдущих проверок расчетов с использованием платежных карт.
Источник
