周晖
近年来,随着计算机与互联网技术的飞速发展,电子银行业务成为近年来发展最快的金融业务之一。各种电子银行产品推陈出新,交易受理渠道也不断丰富,对金融机构业务发展发挥了重要作用,同时在这个高速发展电子银行业务的时代,尤其在进入移动互联网时代以来,市场新兴参与者不断加入,因而各种主观或客观因素诱发而产生的风险事件也层出不穷。因此,对如何做好电子银行业务风险防控的“技防”工作、构建电子风控平台事中监控体系提出了新的课题。本文以银行为例,针对电子风控平台事中监控进行详细的探讨和研究。
为了应对当前错综复杂的网络支付环境,各大商业银行积极采取了各种安全认证方式,如静态密码、手机动态密码、图形验证码、PKI/CA技术、人脸识别等。其中,PKI/CA技术作为一种具有较强加密性和安全性的手段已经被广泛应用于国家级安全战略。那么,银行需要做些什么呢?其实,在上述支付安全认证的基础上银行需要做的就是风险防控。接下来,本文以中国建设银行为例,针对电子银行业务风险监控平台进行详细的研究和探讨。
针对当前防范网络支付安全的问题,建设银行提出了“事中复杂处理,事前简化操作”的安全防范策略。其中,事中指的就是银行端,事前指的是客户端。在此基础上,中国建设银行建立了以“风险引擎”为中心的“新一代电子风险监控平台”,对电子银行业务事中监控进行了进一步的探索。
一、电子风控平台设计思路
所谓电子风控就是指将内控管理和风险管理进行有效融合,以应对企业电子银行业务风险管理和内控管理信息化的需求,帮助企业管理者站在统一的管控平台上考虑公司治理、风险管理、内控管理等问题。建立电子银行业务风险监控平台的主要目的就是建立一套符合电子银行业务长期发展战略、统一高效的风险监控和管理平台,随着电子银行业务的发展和产品的日趋增多,电子银行用户规模也逐渐增大,通过电子风控平台,实现应用大数据分析技术对银行支付交易、客户行为等进行实时监控、分析、控制,可有效地实现对网上银行、手机银行、电话银行等电子渠道交易的风险进行全方位监控。
电子风控平台可以有效实现对风险监控规则的快速配置,针对一些欺诈方式、风险事件等,行内人员可以快速高效地构建各种模型,全面分析可能出现的欺诈情况以及各种欺诈特征,同时建立相应的风险交易评估机制,对风险的等级进行评价,以此实现有效识别各种风险,并采取相应的安全机制。如出现高风险交易时,交易管控平台就可以联合起来对这类交易实施事中阻断、挂起等风控策略。除了联合管控,还可与短信平台、外部呼叫系统联合起来,为用户提供提醒信息、短信二次认证、电话确认等各种各样的风险核实机制。
电子风控平台收集信息的来源主要是线上交易系统中采集的客户信息、登陆信息、交易信息等等。在收集到这些信息之后,系统会对这些数据进行量化分析,由相关人员计算出这些交易存在的风险以及风险的等级和指标。在计算出相应的风险指标后,工作人员再通过电脑将这些信息传输到规则管理平台,将信息指标和规则管理平台内的欺诈模型进行匹配,对于一些风险超过规定值的客户进行标记,形成风险名单,下一步就是将风险名单再反馈到上面的交易系统中,这样银行就能针对这些高风险客户所进行的交易进行管控,一些风险较高的交易就被挂起或者是中断。
电子风控平台主要由数据收集、数据处理、风险规则管理、风险等级估测、案例管理几部分组成。在此的基础上,电子风控平台还提供功能完善的警报监控系统,它通过多种方式对客户的真实身份进行核实,再确定是否要对其交易采取中断等措施。通过上述方式,形成了“规则判断、名单输送、事中监控、调查确认、阻断或放行、案例整理”的完整风险防控流程。
二、电子风控平台体系架构
具体来说,可以将电子风险防控平台分为如下几个部分:数据收集平台、数据处理分析平台、风险管理平台、风险评价管理平台和警报调查分析平台。现对这五个部分的功能运行情况进行详细的分析。
(一)数据收集平台
数据收集平台主要是将银行客户在线发生的各种信息进行收集统计,然后将统计后的数据送入相应的监控平台。收集的数据主要内容有登陆、交易、查询、签到等信息。数据收集平台会根据客户的维度在不同结构间实现数据的相关联,然后经过转换、挑选形成有效的数据格式,并将这些数据载入数据库。数据收集平台除了对数据具有收集和分析的功能,还具有针对较高风险数据的录入和导入的功能,这是构建欺诈模型的基础。
(二)数据处理分析平台
数据处理分析平台主要是用来对银行客户的各种交易行为进行分析,为后续的风险管控提供数据支持。数据处理分析平台主要包括数据过滤、数据统计、对象构建等功能。其中,数据过滤主要是根据风险的高低对数据进行筛选,将一些低风险或者是不存在风险的数据进行过滤。通过这种方式可以降低系统分析成本,提高整个系统的工作效率;数据统计主要是事先对风险管理平台需要的数据进行分析,然后再将分析得出的结果通过计算机传输给风险管理平台,由此平台对结果进行核查检测;数据对象构造指将研究所需要的数据根据相关的要求进行构造,形成符合要求的数据传输给下一步进行分析和处理。建行在这方面主要是采取了打分措施,即平台对用户在电子渠道上的交易进行打分,系统中的每一个风险规则都有着不同的分数和权重,一旦出现可疑或者存在风险的交易就会触发规则,平台会对交易进行自动打分,总分是多次的累加值。例如,将 60 分作为高风险交易的边界,那么累计分数超过 60 分的交易,平台就会对相关交易采取相应的安全策略,如挂起转人工核实、阻断等。
(三)风险管理平台
风险管理平台主要是实现规则管理和风险监测,同时将监测的结果返回给业务系统以便进行风险管控。规则管理平台提供用户操作界面,由业务人员在平台上进行配置、测试和动态发布,同时工作人员也可以根据实际需要进行相关的规则开发、调整,还可根据所处地区、交易类型对规则进行重新设置。规则管理平台最主要的作用是可以根据外界欺诈方式的改变而进行实时调整规则,进一步提升了风险管理措施。
(四)风险评价管理平台和警报调查分析平台
风险评价管理平台和警报调查分析平台主要是针对风险交易进行评估、调查和实时监控,以便业务人员进行分析,并采取相应的安全策略。如针对存在风险的交易,建行从全行核心系统中调取客户信息进行辅助验证,同时通过监控中心电话外呼的方式进行人工核实。这是基于多渠道、多因子的判断理念,即在第一渠道,系统通过支付行为锁定可疑交易 ;在第二渠道,人工与客户本人进行再验证。此外,分析平台还可提供各种有关的报表等查询功能,如警报处理、风险趋势等报告,有利于工作人员对整个交易进行监控调查,为后续的审计、业务评估等提供依据。
三、电子风控平台的优势及创新点
电子风控平台作为电子银行业务的风险监测平台,具有强大的数据采集能力、灵活变通的风险评估机制、形式多样的风险防控策略。具体有以下几点:(一)强大的数据收集能力:电子风控平台里的数据收集平台具有强大的数据收集能力,它通过消息通知服务和电子传输的方式获取所需的数据。(二)灵活的风险评价系统:电子风险防控平台具有十分灵活的风险评测机制,它根据规则管理平台的变化对风险进行灵活的测评。(三)风险名单跟踪控制:电子风控平台可以提供风险名单跟踪控制功能,针对一些有黑历史或者是存在高风险交易对象的数据可进行录入,同时这些数据也被同步到交易系统,进而实现对风险名单的交易防控。此外,还可利用风险名单对交易进行全过程监控,对资金的流向进行持续追踪。(四)形式多样的风险防控策略:电子风控平台将风险名单同步到交易系统中,可对存在高风险的用户或者交易进行事中监控,对于低风险或者无风险交易就放行,同时采取了电话提醒、短信提醒等多种预警方式。如在人工核实阶段,建行从全行核心系统中抽取客户信息进行辅助验证,通过监控中心电话外呼的方式进行人工核实。
综上所述,打造电子风控平台对于保障客户支付安全具有重要意义,尤其是在各种诈骗、账户盗用、盗卡盗刷、个人欺诈、商户欺诈、钓鱼欺诈等风险案件频出的情况下,银行更要进一步整合渠道资源信息,不断完善电子风控平台,提高反欺诈成功率,降低失误判断次數。同时,还要不断对电子银行事中监控模式进行创新,强化事中监控,为客户提供安全的支付环境,提升客户体验。(作者单位:福建省农村信用社)