移動金融業務風控框架及設備風險識別的意義

移動金融服務（MFS）指傳統金融機構通過移動設備為客戶提供的產品或服務。移動渠道給金融機構帶來了新的機會，使其可以最大限度的獲取新客戶，並且降低運營成本。

在中國市場，5年前的O2O泡沫完成了移動支付的習慣培養，基本消除了普通用戶對於在移動終端上進行金融業務操作的心理障礙以及技術障礙，支付成為一項已被普遍接受的移動金融業務。

近三年來，傳統的金融「信貸」業務也逐步被移動金融服務所覆蓋，但隨之而來的業務風險，卻不得不加以關注。

金融業務風險通常包括戰略風險、市場風險、信用風險和操作風險。戰略風險和市場風險是對公司遠景規劃，業務發展方向，市場趨勢和利率、匯率、價格等經濟因素的宏觀研判，需要的是戰略層面的決策和行動；而信用風險和操作風險，則更多的是具體到特定業務、特定交易的微觀層面的風險判斷，需要的是戰術層面的行動和響應。

業務風險的管控是金融業的核心之一，銀行更是需要一套完整的方法論，應對移動金融業務中特有的風險，從而建立起企業級風控能力，對業務運行中潛在的各類風險進行管控。

企業級風控系統對於風險的管控，通常可以分成幾個階段：

1.風險識別

企業應當把識別移動金融服務特有的風險作為企業戰略規劃中的重要組成部分，應該從移動設備、金融產品、金融服務、以及技術等不同層面有機的結合，來識別移動金融業務中的風險項，將其納入整體風控系統中統一考慮；

2.風險評級

通常我們會區分關鍵業務（如支付、轉賬）和非關鍵業務（如註冊、登錄），對不同類型的業務點採用不同的風控強度方案。那麼這意味著具有相同程度的欺詐風險出現時，由於對應的業務類型不同，企業對它的風險評級是不同的，關鍵業務需要更為嚴格的風險評級，而非關鍵業務則可以相對寬鬆。但是在業務發展的不同時期，這一標準可能又會做出相應的調整，因此在識別出潛在業務風險後，企業還應當有一套完整的風險衡量和評級方案；

3.風險規避

風險評級完成後，則是對應的風險規避動作。例如人工審核、電話核實、簡訊二次驗證、人臉識別等等各類操作手段，都是風控系統可以選擇的，針對不同的風險等級而選擇的相應風險規避動作；

在風險管理的幾個階段中，風險識別是後續管理流程的開端，並且由於業務從線下轉至線上，對風險識別的實時性要求越來越高，因此線上業務的欺詐風險識別，我們通常稱之在線欺詐檢測（OFD：Online FraudDetection），也越來越受到金融行業的重視。

Gartner從2010年開始關注並研究這一領域，每年都會針對這個市場發布研報以及建議。在2016年10月發布的「線上欺詐檢測市場研究報告」中，總結了該領域的主要需求以及解決方案供應商的特點，提出了分層級的自動欺詐檢測的最佳實踐。在這個建議中，Gartner認為一個完整的線上業務欺詐檢測系統，應該分為5個層級，分別是

1. 第一層終端風險識別：以終端為核心，分析交易發起終端（PC，移動設備等）的屬性，並且這些分析的前提應當是，欺詐檢測系統能夠和終端直接發生交互，而不是通過其它中間系統。主要技術手段包括設備指紋、生物檢測、木馬檢測、終端行為與地理位置檢測等；

2. 第二層交互行為監測: 以帳戶為核心，採集帳戶與業務系統之間的交互行為或網路行為，實時採集並分析，學慣用戶行為模式，通過行為模式的對比，發現欺詐交易；

3. 第三層渠道內行為異常檢測: 使用統計模型或規則系統，在單一渠道上針對某一特定用戶，進行行為分析和異常檢測。在這一層級，同時可能利用內、外部數據，針對高風險交易，共同進行身份驗證；

4. 第四層全方位行為異常檢測: 以用戶為核心，跨渠道、跨產品的，對用戶行為進行監控和分析，對高風險異常行為進行預警。例如全方位採集某個用戶在信用卡、手機銀行、網上銀行、ATM機、POS機等各個渠道上的交易行為數據，集中分析，實現全渠道的風控；

5. 第五層 UEBA: 基於大數據的UEBA（User andEntity Behavior Analytics），通過全面的數據採集與數據治理，在不同的屬性上對用戶或實體之間的關係進行關聯分析，發現潛在的欺詐風險；

目前市場上的解決方案供應商，通常會專註在其中一層或幾層中的某些技術手段為核心，為業務方提供產品，解決特定領域的問題。而業務方也應當根據業務發展階段、所面臨的主要風險、自身技術能力等多種因素，有選擇的逐步將自身的反欺詐能力從單一層級擴展成為多層級能力。

隨著移動金融業務的廣泛開展，金融行業面臨的業務風險也發生了巨大的變化，傳統個人信貸業務發生在線下渠道，加上業務流程的設計，主要是解決信用風險的問題。但隨著信貸業務渠道由實轉虛，客群逐步下沉，由此帶來了新的風控問題，欺詐成為線上個人信貸業務需要面對的主要風險。因此如何應對移動金融業務中特有的新型風險，如何將其納入完整的企業風險管理框架，成為銀行開拓互聯網金融業務必須考慮的重點問題。

而在Gartner提出的5個風險檢測層級中，第一層的終端風險識別，對於移動金融業務的欺詐風險檢測，具有特殊的意義，這是由移動金融業務的風險特點所決定的。雖然傳統渠道金融業務面臨的操作風險，在移動渠道中也大多存在，但是移動渠道因其客戶媒介的差異和業務模式的差異，會有其特有的風險，這些風險和移動金融業務所使用的技術及設備直接相關，主要表現在

- 業務風險暴露點的變化

- 欺詐者攻擊手段的豐富

- 業務方技術準備的不足

- 移動用戶安全意識相對於現實的落後

那麼針對這些移動設備的應用所引發的風險該如何去防範呢，請看下期移動金融業務風控框架及設備風險識別的意義（下）。