随着互联网金融的兴起、跨境支付业务试点的开展以及无卡支付业务的广泛使用，支付清算行业迎来了快速发展时期，但在享受行业便捷高效服务的同时，支付机构风险防范能力将影响整个交易的安全性，支付业务的风险问题亟待关注。

　　一、支付机构面临的支付风险及趋势分析

　　1. 支付环境与主要风险

　　中国特定的国情决定了支付机构及其竞争者、合作者，以及商户、消费者/用户、政府、监管机构等利益相关者，构成了共生、互生的支付生态圈。支付机构通过不断融合线上和线下支付手段，不断拓展支付的应用场景，成为倒逼支付及其延伸服务创新的巨大动力。

　　在支付服务泛在化的影响下，保持创新和安全的平衡愈发困难。一方面，中国支付行业继续保持显著的发展趋势，在支付机构规模继续扩大、电子支付消费渗透率持续提升、网络零售业高速发展、电子支付业务继续保持高度集中的大环境下，支付安全问题尤为突出。另一方面，受理渠道、产品形态、服务形式日益多样化导致安全防范要求从交易数据到客户账户，从资金安全到网络安全，从系统漏洞到业务风险，几乎无处不在。

　　支付机构主要关注合规风险、信用风险、欺诈风险、信息技术风险。合规风险主要是指客户从事国家法律法规禁止的业务，例如传销、赌博、色情、洗钱、套现、非法使用和泄露数据等，导致支付机构遭受处罚与声誉损失的风险。信用风险是指因客户主管偿付意愿或能力问题，导致无法偿付应付债务、无法交付商品与服务，从而给支付机构带来的潜在损失。欺诈风险是包括商户及消费者端的欺诈，比如商户从事欺诈活动，如伪造变造经营信息、与个人合谋欺诈等活动，以及消费者盗用他人金融工具等行为，给支付机构带来的潜在风险。信息技术风险包括支付系统是否能确保按照业务需求交付实施，信息资产安全是否存在充分控制与保障，信息化服务是否能高效地提供等不确定因素带来的风险。

　　诱骗支付是导致用户遭遇不安全事件的主因。Verizon于2013年发布的报告显示，数据泄露攻击手段中的69%是“通过不安全的远程访问服务使用恶意程序进行”的。2013年末麦肯锡发布的数据显示，87%的恶意程序采用的是网络钓鱼、浏览器中间人MitB(Man in the Browser)和键盘记录木马(Key—1ogging)这三种方式。

　　个人/企业客户是犯罪分子的主要攻击目标。个人/企业用户是支付系统最薄弱的环节，因此成为了主要攻击目标。

　　2. 支付欺诈技术最新趋势

　　源码泄露加速恶意程序的发布周期。源码泄露给犯罪分子提供了开发新的恶意程序变种的机会，而新的恶意程序变种包含新的特征、签名以及伪装功能，传统防御技术、标准的反病毒/反恶意程序平台尚不具备甄别这种恶意程序的能力。

　　手机短信转发恶意程序变得无处不在。手机一次性密码技术正遭受攻击，手机短信验证作为代外认证手段已经变得无用。伴随着飞速增长的移动设备用户群，手机银行、移动互联网银行已然成为未来主流，让短信通讯被入侵带来的风险更加触目惊心。

　　经典传统恶意程序重拾势头。当安全产品能够检测新的网络犯罪技术时，恶意程序的开发者回头去研究那些更多需要手工和消耗时间的传统方法(比如阻止用户与真实网站进行交互)，以此绕过/避开最先进的异常检测和设备ID解决方案。

　　恶意程序反研究反破解变得更加普及。反侦察反分析成为大多数恶意软件产品的标准组件，越来越多的恶意软件使用各种技术(包括先进的加密、虚拟机、调试软件等)以避免被恶意软件研究人员分析。

　　设备指纹技术不再可靠。设备指纹技术用于查明该账号的访问点是否来源于客户知道的设备，当访问来自于客户设备，指纹识别解决方案允许合法用户访问他自己的账号。但是欺诈者不再使用自己的机器进行入侵控制账号攻击，而直接通过访问受害者的机器使用多种远程访问技术，这种方法绕开了多种设备指纹技术。

　　二、支付机构应全面系统地看待经营和安全问题

　　相比银行等金融机构的支付系统，支付机构在友善性上表现得更好，其客户界面简单清爽、菜单层级陈列清晰、通信响应快速高效，但支付机构存在重商户拓展、轻风险防范，重外部营销、轻内控制度建设的问题，为此，支付机构应着重从以下方面加以改进。

　　要进一步提高安全意识。吸取过去因为主观生产安全意识薄弱、管理模式过于粗放、监督环节失效、执行过程不严格、安全责任不落实、安全监管不到位、审计缺失造成损失的教训。

　　要不断完善安全体系。通过制定管理流程及制度、进行合理的岗位设置和人员组织结构，不断调整信息安全策略.建立安全技术保障体系来完善安全体系。

　　要持续改进产品业务。通过厘清安全方案与业务背景的关系，设定风险控制策略，加强作业流程的控制与审核，把处理措施落到实处，对产品业务进行完善。

　　要加强建设信息系统。在应用软件方面，要加强信息安全技术的运用和源代码的管理;在系统软件方面，要重视漏洞扫描和补丁管理;在网络设施方面，要把好防火墙、入侵侦测和安全隔离三道关;在数据存储方面，要制定完善的安全技术保障体系。

　　要借力大数据。大数据的核心能力是发现规律和预测未来。第三方支付天然是数据生产、加工、组织和传播的产业领域，在大数据驱动的商业智能横扫传统产业经营和发展战略的进程中，通过对数据的采集与建模，对多类型数据的交叉分析，整理出有决策价值的信息，提升风险防范水平和企业核心竞争力。

　　三、在业务生态的创新发展中有效管理风险

　　1. 明确风险管理的目标与意义

　　要符合监管期望。监管机构对支付行业的期望与要求日益增加，不符合行业监管要求的经营，收益是短暂的，业务是不可持续的，更谈不上规模化健康发展。

　　要控制经济损失。公司面临客户信用风险、商户欺诈风险、交易欺诈风险、违规运作的行政处罚等，如缺乏有效的风险管理能力，将蒙受经济损失、增加运营成本，降低业务收益。

　　要促进业务模式创新。行业发展呈现竞争加剧、利润缩水、创新加速、混业经营等趋势，风险管理及定价能力是在新趋势下业务创新与发展的重要能力之一。

　　要维护行业声誉与安全。支付及金融业务各参与方共同决定行业的健康性，任何一方都无法独善其身，建立标准的受理规范、特约商户管理机制、数据安全管理机制等，方能保障行业的安全与健康发展。

　　2. 认识行业趋势对风险管理工作的潜在影响

　　丰富的产品组合带来复杂的交易逻辑，业务全球化带来跨地域的监管要求，规模集中化带来风险导向的管理，混业经营带来监管模式的变化，机构能力差异化带来更加有效的执行与监管。

　　3. 建立有效的风险管理体系

　　支付机构必须从提升产品价值、开拓新的业务模式、快速反应市场需求、优化内部运营与管理、降低成本提高效率等维度多管齐下、统筹考量，通过建立有效的风险管理体系保障业务持续规模化的增长。