非金融机构支付业务设施的检测认证工作管理需求

　　本文为第三方支付技术与监督，其中一章节，如需查看全文，请点击：《第三方支付技术与监督》全文

　　从我国对非金融机构支付业务设施的检测认证工作开展总体情况来看，对支付机构系统建设和运营维护工作起到了规范作用，非金融机构从事的支付业务市场有序而蓬勃发展。当然面对不断革新支付业务领域，新业务模型和新的技术方法层出不穷，便捷和低廉的支付方式很容易被市场接受。

　　然而从维护支付市场稳定发展、避免支付领域发生重大安全事件的角度来说，市场是导向但不能任由市场无序地发展，因为从国内外金融领域的经历来看，虽然众多安全事件是由支付机构造成的，但其影响和危害确是全社会来承担的。因此，作为国家行业主管部门的抓手，“非金融检测认证”需要从市场的角度，在维护非金融机构从事的支付业务市场繁荣的前提下，逐步推进非金融机构的技术和管理水平向金融机构的水平靠拢，在保证安全可靠的前提下鼓励技术创新，在维护支付市场稳定前提下鼓励创新的业务模式并支持长足发展。

　　为实现这一目标，“非金融检测认证”工作就需要不断追踪当前市场的新模式和新技术，不断修正和完善检测认证自身的工作以适应飞速发展的支付市场需要。

　　一、加强对支付机构支付业务形式和支付范围的管理

　　从“非金融检测认证”管理的角度来说，在对非金融支付机构所从事的支付业务类型进行明确定义，制定业务类型关键特征要素的前提下，应对支付机构申报认证的支付设施进行类型审查，明确支付设施边界范围和业务类型，严格支付设施检测认证过程中所适用的规范和标准，避免业务类型划定和认证规范适用的随意性。

　　支付市场发展迅速，领域内的业务类型和技术实现方式层出不穷，由于新业务模式和新技术都缺少应用的安全实践，新业务模式和新技术实现方法都需要一个理论论证与实践检验的过程。因此从鼓励创新且维护市场繁荣的角度出发，建议可以采用新业务类型和新技术报备结合审批的机制进行管理。

　　二、加强检测认证工作的规范性管理

　　非金融机构支付设施的检测认证要求和规范与金融机构的要求还有一定的距离，“非金融认证”的目的除了通过市场的手段对从事支付业务的非金融机构进行管理，还应该通过检测认证的过程促进“非金融”业务的技术和管理水平不断提高，逐渐缩小与金融机构的差距，这是行业监管和维护市场稳定都需要的。

　　支付业务市场是一个欣欣向荣的市场，也是一个充满竞争和不断创新的市场，检测人员和认证审查员所面对的支付设施、业务模型多种多样，技术实现方案繁多，新的技术、新的商业模式和新的理念不断地在该领域融合发展，检测和审查员若不能及时跟上技术和市场的变化，检测认证工作是很难有效开展的。

　　因此从非金融检测认证管理的角度来说，加大对检测和审查人员的技能培训，新业务、新技术交流将丰富检测和审查人员的知识，对检测审查工作就具有积极的作用。

　　目前“非金融认证”工作在CNAS的监管和指导下规范地开展工作，未来的认证工作还需加大自动化流程管理的作用，例如通过自动化的过程管理系统（BPM），用自动化的电子信息管理过程替代人工的过程管理，避免了人工处理过程可能的失误，同时也保证了工作的规范性并提高了效率。

配图 支付业务设施

　　三、加强检测与认证工作的相互协调

　　为实现检测过程和认证过程的相辅相成，共同保证非金融认证工作的开展，可以从如下几个方面考虑管理工作的改进。

　　1.协调好检测与认证的制约关系

　　需进一步明确检测和认证的职责与范围，明确检测与认证的制约关系，加大检测过程的力度，提高认证过程的制约能力，做到责任明确，确保在支付机构的审查中，检测与认证工作尺度一致、目的一致、认证决定的依据相互倚仗。

　　2.加强检测机构检测质量管理

　　检测过程是认证过程的重要依据，检测质量的好坏会直接影响到认证过程的决定。

　　因此加强对检测机构的管理，严格检测过程的质量是认证管理必须解决的问题，具体可以通过以下方式落实。

　　一是加强检测机构检测工作量的饱满度评估。在做认证审查时，认证机构应该对支付机构的系统规模与检测机构的实际检测工作量进行审查，根据通常经验发现明显不匹配的，需要检测机构说明情况并通过检测机构的管理制度进行约束。

　　二是提高检测报告的质量要求。在认证审查中，认证机构须对检测机构出具的检测报告进行质量要求。检测报告对检测项的判别无论是通过或不通过，都需提供证据（例如测试结果记录、截屏、现场拍照、系统日志截取。设计文档的描述说明等），尤其是对问题的描述应该具体到检测环境条件、问题现象、问题原因等。对采取访谈方式检测的项目要进行规范，控制采用访谈方式进行检测的总体比例，访谈方式需要做好访谈人、问题和回答的记录。

　　三是加强对检测机构的现场监督。认证机构需要对检测机构现场检测过程进行监督，考察检测机构检测方法和检测工具使用的合理性，检测步骤（流程）的合理性、检测记录的完整性、检测结果判断依据的合理性、现场检测组织管理的合理性等，以确保检测过程的规范性。

　　3.丰富认证过程采用的方法，避免重复劳动

　　检测和认证过程都是对支付机构设施技术与管理状况的一个了解过程，检测和认证的方法应该有所区别，避免不必要的重复劳动。认证方法除了采取目前现场监审的方式外，应该充分利用检测机构提供的检测报告。检测规范是一个体系化的规范文档，检测类与检测项都是有系统地进行设计和制定的，而依据检测规范的要求进行检测并编写的检测报告，在检测的过程中不同检测项的记录也应该是有一定关联的，因此认证过程可以通过这样的关联性来做出对支付机构设施状况的判定，也可以验证检测机构检测过程的规范性。其他认证方法也需要通过与检测机构和支付机构共同探讨，不断充实和丰富。

　　四、适时建立支付设施风险分级管理机制

　　目前，支付机构在进行非金融检测认证工作中，普遍反映的问题是：各家支付机构从事的支付业务类型不同、服务覆盖区域范围不同、服务群体不同，支付机构的系统规模不同、服务能力不同、服务的受众规模不同，因此支付设施所面临的安全风险是有差别的，安全事件发生所造成的影响也是有差别的，但是非金融认证的要求上并没有体现出这种差别。这样的情况会造成部分支付机构的支付设施要么安全过度，要么安全不足，都不利于支付机构支付设施的合理建设，也不利于支付市场的健康发展。因此适时针对支付机构的支付设施建立起风险分级管理机制，通过对支付设施的分级，细化对支付机构和设施的管理，从而推动认证审查工作的科学性、合理性。

　　通过对支付机构信息系统风险评级，可以量化支付机构的信息系统风险，直观地了解支付机构信息系统风险变化情况；针对信息系统风险程度不同的支付机构开展差异化监管，将监管力量集中到信息系统风险程度大的机构，实现监管效益的最大化。

　　五、适时开展对外包服务机构的认证工作

　　由于部分支付机构在系统建设和运营维护上采取了外包的形式，外包管理往往因支付机构的实力和对外包服务方的影响度而存在差别。同时外包服务机构自身也存在较大的差异性，一些资质高、管理体系完善、经验丰富的外包机构，外包服务质量相对比较高。

　　为确保外包服务质量，有必要通过第三方的认证管理服务来加强外包服务的市场规范化。适时建立市场化的外包认证服务，为非金融支付市场的系统设施建设提供规范化的服务。

　　六、加强对支付机构认证的培训和交流

　　非金融认证工作自身需要不断地完善，通过与支付机构的密切交流，将非金融认证工作的目的意义、工作方式、工作内容在支付机构中进行宣贯，有利于支付机构更好地配合认证工作。另外，通过与支付机构的沟通，认证机构及时获取支付机构对认证工作意见反馈，适时调整认证工作的具体实施过程，不断提高认证机构的服务水平和服务能力。