銀行業(yè)務安全風險態(tài)勢及監(jiān)管政策導向近日，中國銀保監(jiān)會黨委刊文《持之以恒防范化解重大金融風險》，指出站在新的歷史起點上，要沉著應對和防范化解重大金融風險，堅定不移推動中國金融高質量發(fā)展。

隨著金融業(yè)改革和數(shù)字化轉型進程的不斷深化，銀行業(yè)金融機構的業(yè)務正在發(fā)生深刻變革，體現(xiàn)出零售業(yè)務增長、物理網(wǎng)點萎縮、服務客戶下沉等特點，與此同時，面臨監(jiān)管環(huán)境趨嚴、業(yè)務模式改革、風險管控升級等趨勢。

對此，同盾科技金融業(yè)務安全專家墨白從銀行業(yè)務安全建設的角度，闡述風險態(tài)勢洞察及監(jiān)管政策導向，并對銀行業(yè)金融機構如何通過構建“新一代智能安全中樞”，實現(xiàn)風險管理進階升級提出建議。什么是業(yè)務安全？從信息系統(tǒng)安全范疇來講，可以劃分為網(wǎng)絡安全、系統(tǒng)安全、應用安全、運行安全、終端安全和業(yè)務安全等領域。業(yè)務安全，簡單地說就是指企業(yè)業(yè)務上發(fā)生的安全問題。具體到金融領域，金融業(yè)務安全就是指信息系統(tǒng)在實現(xiàn)金融業(yè)務過程中存在漏洞，造成業(yè)務規(guī)則無法實現(xiàn)或容易被繞過等錯誤或弱點。

墨白認為，金融業(yè)務安全建設要著眼五個要點，首先要符合法律法規(guī)要求，保證業(yè)務在運轉過程中不會因為違規(guī)而被監(jiān)管通報處罰；第二要保障業(yè)務的可用性和連續(xù)性；第三要保障業(yè)務運轉過程中核心信息不會被泄漏；第四要能夠保護業(yè)務運行過程中產(chǎn)生的數(shù)據(jù)的一致性、完整性；第五，針對問題要能夠溯源，證明業(yè)務運行過程的合規(guī)性。日益嚴峻的挑戰(zhàn)洞察銀行業(yè)務的數(shù)字化進程，近年來經(jīng)歷了網(wǎng)點信息化、網(wǎng)上銀行、手機銀行，再到今天的智能銀行，未來還可能向開放銀行發(fā)展。目前，絕大多數(shù)銀行處于智能銀行發(fā)展階段，即利用大數(shù)據(jù)、人工智能等技術向客戶提供個性化、差異化的服務。

隨之而來，銀行業(yè)務面臨的風險場景也呈現(xiàn)多樣性變化，暴露出的被攻擊面、被攻擊點亦呈爆發(fā)式增長。特別是疫情以來，各類涉賭涉詐欺詐團伙也在加速線上化轉移，并利用AI技術、虛擬貨幣等不斷升級與銀行風控體系的對抗，高科技涉賭涉詐、洗錢案例持續(xù)呈現(xiàn)出高發(fā)態(tài)勢。

為此，國家公安、網(wǎng)信及金融監(jiān)管等部門先后開展了“斷卡”“長城專項”等防賭反詐專項行動。人民銀行、銀保監(jiān)會陸續(xù)出臺多項文件，要求商業(yè)銀行、支付機構、清算機構壓實主體責任，防賭反詐全面升級。

近7年來，據(jù)公安部發(fā)布的數(shù)據(jù)顯示，欺詐案件和欺詐金額逐年上漲，近一年（截至2022年4月），全國公安機關共破獲電信網(wǎng)絡詐騙案件39.4萬起，緊急止付涉案資金3291億元。在近一年的高發(fā)電詐騙局中，網(wǎng)絡刷單返利、虛假投資理財、虛假網(wǎng)絡貸款、冒充客服、冒充公檢法是五種主要的詐騙類型。

與此同時，反電信網(wǎng)絡詐騙法加速立法進程，對金融機構賬戶、交易等環(huán)節(jié)的防賭反詐風險管理提出全面要求。

墨白認為，近年來人民銀行、銀保監(jiān)會等監(jiān)管部門的政策思路一脈相承，金融業(yè)務已發(fā)生深刻變革，正在經(jīng)歷從“賬戶”為中心向“用戶”為中心的轉變過程，相應地也要求銀行的業(yè)務安全風控建設，從“規(guī)則為本”向“風險為本”轉變。

支付結算及賬戶管理類政策從具體操作層面來看，墨白認為相關監(jiān)管政策主要涉及兩方面：一是針對支付結算及賬戶管理類的政策，二是針對銀行卡收單業(yè)務及收單風險類的政策。

自2015年以來，人民銀行、支付清算協(xié)會就賬戶分類管理、支付安全、涉賭涉詐核查、電信網(wǎng)絡詐騙、賬戶優(yōu)化服務等內(nèi)容下發(fā)了一系列的文件。例如：銀發(fā)〔2016〕261號文、銀發(fā)〔2018〕146號文、銀支付〔2020〕49號文、銀發(fā)〔2021〕260號文等文件。

這些文件具有非常重要的意義，提出了很多需要銀行不斷細化落實的具體要求，例如要求銀行全面推進個人賬戶分類管理，提出I,II,III類賬戶分類管理辦法，以及建立對買賣銀行賬戶和支付賬戶、冒名開戶的懲戒機制；針對單筆交易金額整額或貼近整額，銀行就需要拆分細分核查點及具體風險特征，然后結合行內(nèi)數(shù)據(jù)及系統(tǒng)加工具體指標，再設計監(jiān)控策略或模型；針對性的面向小微企業(yè)開戶難問題，要求銀行建立企業(yè)賬戶分類分級管理體系等等，都針對歷史上出現(xiàn)的棘手問題提出了針對性的解決辦法。

銀行卡收單業(yè)務及收單風險政策與此同時，監(jiān)管日益重視收單側業(yè)務及相關風險，從2013年人民銀行下發(fā)銀發(fā)〔2013〕9號文，到銀發(fā)〔2016〕261號文、銀發(fā)〔2017〕296號文、銀發(fā)〔2019〕85號文、銀支付〔2020〕49號文等等，相繼出臺10余個文件，持續(xù)加強該領域的監(jiān)管要求。

墨白表示，這些監(jiān)管文件在各自出臺的時期，針對當時出現(xiàn)新形勢、新技術、新局面均做出了針對性部署，總體看來又體現(xiàn)出層層遞進的監(jiān)管思路。

●人民銀行在2013年出臺的銀發(fā)〔2013〕9號文是一個重要的里程碑，首次以專門的業(yè)務管理辦法的形式，針對收單受理市場制定系統(tǒng)全面的規(guī)范。

當時，隨著銀行卡支付業(yè)務模式、受理終端與渠道的不斷創(chuàng)新，銀行卡收單業(yè)務呈傳統(tǒng)實體商戶收單、網(wǎng)絡新型收單融合發(fā)展的趨勢。該辦法的發(fā)布和施行奠定了監(jiān)管機構全面規(guī)范收單市場、加強收單業(yè)務監(jiān)管的制度基礎，此后陸續(xù)發(fā)布的收單業(yè)務監(jiān)管政策均與該辦法的監(jiān)管思路一脈相承。

●銀發(fā)〔2016〕261號文針對銀行卡收單業(yè)務提出四個方面的具體要求，包括嚴格審核特約商戶資質，規(guī)范受理終端；強化可疑交易監(jiān)測；加強特約商戶資金結算管理；建立健全特約商戶信息管理系統(tǒng)等?！胥y發(fā)〔2017〕296號文聚焦條碼支付管理，從特約商戶資質審核、商戶風險評級、商戶檢查、交易風險監(jiān)測等方面，要求強化業(yè)務風險管理。此后，2019年至今監(jiān)管機構針對電信詐騙、賭博等新型違法的排查整治，進一步細化責任，強化監(jiān)督，從銀發(fā)〔2019〕85號文、銀支付〔2020〕49號文、銀發(fā)〔2020〕155號文到銀發(fā)〔2021〕259號文，相繼提出嚴格特約商戶審核、嚴格受理終端管理、強化收單業(yè)務風險監(jiān)測、健全特約商戶分類巡檢等要求。

墨白認為，銀行業(yè)金融機構貫徹落實這些監(jiān)管要求，需要通盤考慮，不可“頭痛醫(yī)頭、腳痛醫(yī)腳”，需要從數(shù)字化轉型的戰(zhàn)略視角出發(fā)，打造“新一代智能安全中樞”，通過智能風控中臺+智能風控運營形成全生命周期的閉環(huán)管理，并對整體業(yè)務規(guī)劃、技術平臺支撐、風險管控運營、效果評估與策略優(yōu)化等方面全面布局。

風控的智能化演進隨著業(yè)務形態(tài)、欺詐風險等內(nèi)外部因素的不斷變化，銀行的風控手段也朝著智能化、數(shù)字化的方向不斷演進。墨白觀察認為，這股浪潮大概始于2005年，至2012年這段時間可以稱為萌芽期，互聯(lián)網(wǎng)開始與金融業(yè)務探索融合，但大多數(shù)傳統(tǒng)金融機構尚未實施風控方面的數(shù)字化改革。

2012年至2014年迎來了智能風控的1.0時代，相關理念開始在傳統(tǒng)金融機構傳播，數(shù)字化風控系統(tǒng)得到初步搭建。2014年至今可以看作智能風控的2.0時代，大數(shù)據(jù)、人工智能、實時計算、知識圖譜和云計算等技術工具逐漸在金融機構中實踐應用，并加速向多場景滲透。

“而當下，銀行風控正在走向3.0時代。智能風控進入升華期，以決策智能為主線構建‘新一代智能安全中樞’，形成全生命周期的風控運營管理體系，將是未來的主戰(zhàn)場?！?/p>

墨白表示，未來銀行的智能化風控體系必將與整個數(shù)字化戰(zhàn)略推進更加同頻，在這一過程中逐步理順邏輯、整體規(guī)劃、健全平臺、完善標準、優(yōu)化運營，形成合力。

而具體到操作層面，銀行的數(shù)字化轉型和線上展業(yè)，將使風控的場景主要集中在賬戶、商戶、交易、信貸、營銷五大場景中。著眼于不同的風險場景以及監(jiān)管機構的一系列政策要求，銀行需要做到：

●

滿足監(jiān)管合規(guī)要求：主要涉及賬戶、商戶兩大類的業(yè)務安全風控，其中賬戶風控包括個人或企業(yè)賬戶開立、使用、變更、銷戶等各交易環(huán)節(jié)的行為進行持續(xù)監(jiān)測和風險處置。商戶風控包括主觀欺詐意愿、騙取收單行機具與持卡人合謀、篡改復制單據(jù)等以期非法獲利的欺詐行為。

●

保護客戶資金安全：主要涉及交易風控，即在真實客戶或銀行不知情，欺詐者以非法獲利為目的，通過傳統(tǒng)渠道或電子渠道的轉賬、支付、消費等交易造成或預期造成真實客戶所擁有的各賬戶資金或銀行資金損失的行為。

●

保護機構資金安全：這里主要涉及信貸風控、營銷風控兩大類。其中在信貸風控領域具體包括申請欺詐防控、信用風險管理等等；營銷風控則針對利用各個銀行等金融機構及各類商家的優(yōu)惠信息，通過欺詐手段實現(xiàn)獲利的行為。

打造新一代智能安全中樞墨白認為，當下金融領域的業(yè)務安全建設已逐步進入下半場，金融機構比拼的是在建設了智能風控系統(tǒng)之上，更需要側重于精細化的風控運營能力，需要量化風控系統(tǒng)的建設有沒有更好的服務和促進業(yè)務發(fā)展，創(chuàng)造價值。

“比如各家銀行都運用智能技術工具，建設了不少著眼于單點的風控平臺、服務平臺，而要將其融會貫通起來發(fā)揮合力，就像打仗要有司令部一樣，需要一個新一代智能安全中樞系統(tǒng)來做指揮和決策，充分釋放數(shù)據(jù)要素的儲備動能，我們認為這樣一個安全中樞系統(tǒng)，需要整體規(guī)劃，要有平臺支撐，更需要智能運營?！?/p>

規(guī)劃整體業(yè)務安全體系架構銀行在智能化風控建設初期，管理層戰(zhàn)略意圖最直接的體現(xiàn)就是科技投入。因此不少銀行在科技系統(tǒng)和技術應用層面，升級基礎架構，建設面向各種業(yè)務安全場景的風控平臺。通過建系統(tǒng)搭平臺推動了流程的線上化，提升業(yè)務的便利性，也釋放了人力成本，達到了積極效果。但是，這其實是單點的、面向技術平臺的數(shù)字化風控建設。實際的效果如何？投入產(chǎn)出比如何？這都是銀行在智能風控進階建設階段需要精細化考慮的問題。

進一步觀察，不少科技與業(yè)務尚缺乏深度融合，建設系統(tǒng)的功能沒有發(fā)揮出來，系統(tǒng)運營服務能力沒有跟上，也尚未做到中國銀保監(jiān)會《關于銀行業(yè)保險業(yè)數(shù)字化轉型的指導意見》等監(jiān)管要求，將數(shù)字化轉型戰(zhàn)略和實施進程與機構自身經(jīng)營發(fā)展需要、技術實力、風險控制能力相匹配。

因此，銀行業(yè)務安全的智能化建設，需要在數(shù)字化轉型推進的過程中，自上而下系統(tǒng)規(guī)劃、理順邏輯、整體推進。墨白表示，同盾科技可以幫助銀行從支撐保障、技術數(shù)據(jù)體系和風險管控體系三大主題進行分析與規(guī)劃，實現(xiàn)銀行全業(yè)務、全觸點、全風險場景的支持與差異化的服務。

構建業(yè)務安全中心閉環(huán)體系安全本質上是系統(tǒng)的一個重要屬性，而業(yè)務安全處于整個體系的最上層，與業(yè)務緊密相關，對于銀行更是如此。銀行的業(yè)務安全建設永遠處在一個與欺詐、攻擊對抗的過程中。特別是當下，業(yè)務安全面臨更致命、更隱蔽的風險，這就要求銀行建立一個迎合技術發(fā)展、業(yè)務發(fā)展、攻擊發(fā)展不斷迭代的業(yè)務安全中心，從風險感知、風險決策、風險處置到風險運營形成業(yè)務安全閉環(huán)。

這樣一個閉環(huán)體系，應包括實時計算、決策引擎、知識圖譜、終端態(tài)勢感知等技術的應用，結合先進的機器學習算法形成一個快速響應的正反饋系統(tǒng)和縱深的運營服務體系，不斷迭代提升銀行的業(yè)務安全能力，成為數(shù)字化時代的安全基礎設施。

墨白表示，之前第一代業(yè)務安全建設，很多銀行用的是名單庫和規(guī)則，第二代更多的是決策引擎結合模型算法。目前，業(yè)務安全已進入下半場，未來屬于智能風控中臺加上精細化運營的能力，意味著銀行業(yè)務的全覆蓋、風控能力的復用，更意味著快速響應、人機結合和業(yè)務的全生命周期管理。

建設一體化的智能風控平臺在此基礎上，銀行做好業(yè)務安全風控建設，需要一體化的智能風控平臺。墨白認為，銀行需落實全面風險管理理念，針對賬戶欺詐、交易欺詐、商戶欺詐、信貸申請欺詐等欺詐維度實施統(tǒng)一布控，運用大數(shù)據(jù)、人工智能、聯(lián)邦學習等技術，通過統(tǒng)一的名單、規(guī)則、策略、模型、圖譜等技術，支撐交易及信貸等各業(yè)務場景的反欺詐需求，提升欺詐風險管控的主動性、前瞻性、敏捷性和有效性。

在當下業(yè)務場景與欺詐風險雙雙加速數(shù)字化轉型的壓力下，銀行傳統(tǒng)的交易反欺詐、申請反欺詐、商戶反欺詐等“項目制”風控建設方式，已無法實現(xiàn)數(shù)據(jù)資源在全行視角下的統(tǒng)一管理、復用留存，難以解決高并發(fā)、多維度、瞬時化、脈沖化的多重欺詐風險管控需求。

在這樣的背景下，需要銀行基于全新的風控理念，依托科技重塑風險管理價值鏈，運用更加先進的決策智能技術，深挖數(shù)據(jù)要素的價值，通過數(shù)字資產(chǎn)沉淀、數(shù)字工具賦能、數(shù)據(jù)治理等技術應用，建設統(tǒng)一的風險數(shù)據(jù)視圖，并在此基礎上運用機器學習等算法開發(fā)各類主題的欺詐風險管控模型，進而構建覆蓋各業(yè)務場景的，全方位、多維度的全行級反欺詐核心平臺，有效解決客戶洞察與風險管控需求，支撐金融服務模式的創(chuàng)新和精細化管理水平的提升，并滿足外部監(jiān)管的要求。

打造精細化風控運營體系能力此外，墨白觀察發(fā)現(xiàn)當前大多數(shù)金融機構的現(xiàn)狀是建立了風險決策和監(jiān)測平臺，然而缺乏日常的監(jiān)控、管控、考核機制，因此導致風控效果有待提升。

“在新一代智能安全中樞的思路下，銀行需要打造‘風險態(tài)勢可感知、策略效果可量化、優(yōu)化方向可決策、績效考核可評價、運營過程可管理’的一體化風控運營體系”，墨白表示，“智能運營與平臺建設具有同樣重要的意義”