第一，支付机构风控系统旨在支持支付机构实现风控规则控制和管理功能，与支付系统紧密关联，本地化应更符合现行监管政策。

 

根据现有关于支付机构业务设施技术的监管政策，支付机构的业务系统中风险控制的重点是关注账户风险和交易风险，账户风险包括支付账户用户实名和安全控制要求，交易风险包括交易金额限制、可疑交易如套现等。同时，要求支付系统具有事前、事中和事后处理机制，并根据业务实际情况确定是否需要人工参与。综此分析，支付机构的机房本地化，支付系统布置在本地，更能符合监管要求。

 

第二，在金融监管逐步收紧，机构遵守监管要求的成本不断增加的情况下，利用云计算、大数据等新兴数字技术建立所谓“云风控”体系，值得研究。

 

通过对海量的公开和私有数据进行自动化分析、风险建模、情景分析、实时监测、身份验证，不仅可帮助机构更准确地“了解客户”，也能够更有效地符合支付业务、反洗钱及反恐怖融资等监管政策，提高机构的合规效率。以客户身份识别为例。根据《反洗钱法》等要求，机构开展支付等金融业务需了解和登记的客户信息不仅包括有效身份证件信息，还包括一些隐私信息，如职业、单位、联系方式、交易信息（如交易目的、资金来源与去向）等等。有效身份证件信息易得，但其他隐私信息难得。这就导致在仅有本地风控、数据信息有限、交叉检查认证不具可行性等情况下，机构关于客户身份识别的有效性不足，欺诈欺骗风险存在，也导致机构普遍不符合监管要求。大数据背景下，客户信息的分析挖掘将使主妇做饭既有米（数据信息更全面）、又有巧手（技术手段），对可疑数据进行微观分析发现线索，宏观分析发现违法违规趋势，能使机构的风险防控工作更有的放矢、防患未然。

 

第三，无论现行本地风控，还是未来云风控，防控的支付机构经营风险因素相同。

 

主要包括，源自业务处理相关主体（比如付款方、银行、清算机构等）不能或未能按照约定履行义务引发的流动性风险，外包服务商玩忽职守、欺诈欺骗、管理不善或者能力不足等给支付机构带来的信用风险、声誉损失，市场竞争环境日趋紧张、机构自身经营策略执行不力、应对竞争不力等给支付机构带来的经营风险，支付机构业务系统或内部处理中的缺陷、人为错误、管理不善或者外部干扰等都可能造成系统宕机、服务中断、服务差错等运行风险。云计算、大数据等新兴技术在风险防控系统中的应用，不能让风险消失不见，但良性应用可助支付机构在风险识别发现环节更有效率。

 

文章载于“悟空问答”（2018年4月10日）