汀香水榭

【思想碎片】风险和风险控制

营业执照、税务登记证、法人代表身份证……这恐怕是最近与我的工作相关最多的证件，将以上搜集到的信息填到协议里，再由后台的信息录入员完成录入，我不止一次去想——为什么就不能简化？据说，这都是出于风险控制的需要，说得详细一点，就是控制交易/资金结算的风险。

想起前段时间，关于互联网金融的讨论，有人批评某宝不安全，风险很大，某宝则予以坚决否定。假设不充斥任何蓄意的诋毁，传统金融和互联网企业对于风险控制的理解显然是有差异的。

“如果你的规模做到很大，你是不可能跑赢市场的，因为你就是市场！”评价余额宝们的高收益率时，兴业银行一位经济学家的这句话简洁明了。当我就余额宝们的收益向一位银行行长请教时，他郑重表示：如果不设置准备金，随着余额宝们的长大，当面临大规模集中赎回时，必定会出现巨大的兑付危机。即使在互联网领域，某大佬也表示，互联网企业在金融领域还是新手。

同样，传统金融行业在面对互联网的冲击时，也是新手，当两个行业开始融合时，巨大的商机必然涌现，同时伴随着巨大的风险。我目前所供职的支付公司，就是穿着互联网行业的外套，却按照传统金融行业规则做事的形态。既然传统金融行业如此重视风险，那么试图优化流程的想法就必然要从风险控制开始。

查阅维基百科，风险是这样定义的：“风险是指事件发生与否的不确定性。”在百度百科中，“风险控制是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或风险控制者减少风险事件发生时造成的损失。”

维基百科中认为,风险具有如下特征：客观可能性，偶然性，可测性。前两条特征都不利于风险控制，但是对于“可测性”，维基百科中有这样的说明：“单个风险的发生虽然是偶然的，但是大量同质个体某一时期某种风险的发生又有其规律性。就大量风险单位而言，风险发生可以用概率加以测度。”

显然，事件发生与否必然是针对未来而言，而未来是不可预知的。那么，风险控制就应该从如下两个方面入手：

• 1.基于过去、现在的信息。

• 2.采取适当的措施和方法。

简言之，就是搜集信息，采取措施。

上述我们对于营业执照、税务登记证、法人代表身份证等材料的搜集，就属于搜集信息的环节。我们可以搜集的信息通常包含如下几个方面：

• 1.商户（风险主体）自身的信息：商户的名称、营业照片等。

• 2.支付企业（风险控制主体）可以查询到的信息：营业执照、税务登记证、法人代表身份证等。

• 3.支付企业所积累的信息：同类商户的历史交易数据等。

现实中，由于监管机构信息化水平的不足，原本可以由支付企业查询的信息，却不得不由商户提供，再加上纸质协议的签订和录入，明显降低了支付企业的业务效率。

再看采取的措施，据说监管机构对于交易风险都有逐条的定义，所有接入支付网络的企业都要照此进行风险控制，例如：信用卡的大额整数交易往往就是套现的疑似特征。不得不承认监管机构对于风险交易特征的了解之深，但是，如果能将搜集到的信息整理输入到特定的数学模型，并赋予不同的权重，综合之后就可以得出是否套现的结论，而不必逐条判断是否疑似套现的特征，这样的风险控制模型，是不是会更好？这样一来，任何一位信用卡持卡人都无法通过规避单一的规则来套现，模型本身却可以随着积累的数据而进化，这就好像基于概率统计规则的邮件过滤器一样。

于是，我希望看到的基于风险控制的业务流程至少是这样的：

商户直接领取支付终端，然后自行注册登记（通过网站/手机皆可），可以提供包括姓名、年龄、性别、所从事行业等信息在内的各类信息（除了商户号和必要的结算信息，其他没有什么是必填的），支付公司的后台通过风险控制模型授予商户一定的交易额度（显然，商户能提供的资料越详细，所能获得的交易额度越高）。

此后，商户的所有交易数据都会被记录，并由风险控制模型决定提高还是降低交易额度。对于支付公司而言，则可以通过积累的数据不断优化风险控制模型，尽量减少所需要处理的商户信息。

这样的模型并不完美，考虑到风险的客户可能性、偶然性，以及可测性对于“大量同质个体”的要求，如果一类从未发生过的风险突然发生，由于模型中缺少“大量同质个体”的积累，风险演变成损失、甚至灾难的可能性仍然存在。这一点，对于任何模型都是无法避免的，就如同美国的次贷危机，各类评级机构基于历史上几乎没有发生过大量房贷违约的假设条件进行金融衍生品评级，一旦假设条件不成立，模型的结论显然会变得不可靠。

为此，采取适当的措施和方法来减少风险出现后的损失，这就成为风险控制的第二道保险，一个显而易见的条件是：减少损失所依赖的模型假设条件肯定不能与之前避免损失的模型条件一致。这第二道保险又是一个复杂的问题，我自认为还没有做好讨论的准备。