第41章 1 电子支付的风险

10.1.1 风险的概念

目前，学术界对风险的内涵还没有统一的定义，由于对风险的理解和认识程度不同，或对其研究的角度不同，不同的学者对风险概念有着不同的解释，但可以归纳为以下几种有代表性的观点。

1风险是事件未来可能结果发生的不确定性A。H。Mowbray（1995）称风险为不确定性；C。A。Williams（1985）将风险定义为在给定的条件和某一特定的时期，未来结果的变动；March＆Shapira认为风险是事物可能结果的不确定性，可由收益分布的方差测度；Brnmiley认为风险是公司收入流的不确定性；Markowitz和Sharp等将证券投资的风险定义为证券资产的各种可能收益率的变动程度，并用收益率的方差来度量证券投资的风险，通过量化风险的概念改变了投资大众对风险的认识。由于方差计算的方便性，风险的这种定义在实际中得到了广泛的应用。

2风险是损失发生的不确定性J。S。Rosenb（1972）将风险定义为损失的不确定性，F。G。Crane（1984）认为风险愈味着未来损失的不确定性。Ruefli等将风险定义为不利事件或事件集发生的机会。这种观点又分为主观学说和客观学说两类。主观学说认为不确定性是主观的、个人的和心理上的一种观念，是个人对客观事物的主观估计，而不能以客观的尺度予以衡量，不确定性的范围包括发生与否的不确定性、发生时间的不确定性、发生状况的不确定性以及发生结果严重程度的不确定性。客观学说则是以风险客观存在为前提，以风险事故观察为基础，以数学和统计学观点加以定义，认为风险可用客观的尺度来度量。例如，佩费尔将风险定义为风险是可测度的客观概率的大小；F。H。奈特认为风险是可测定的不确定性。

3风险是指可能发生损失的损害程度的大小段开龄认为，风险可以引申定义为预期损失的不利偏差，这里的所谓不利是指对保险公司或被保险企业而言的。例如，若实际损失率大于预期损失率，则此正偏差对保险公司而言即为不利偏差，也就是保险公司所面临的风险。Markowitz排除了可能收益率高于期望收益率的情况，提出了下方风险的概念，即实现的收益率低于期望收益率的风险，并用半方差来计量下方风险。

4风险是指损失的大小和发生的可能性朱淑珍（2002）在总结各种风险描述的基础上，把风险定义为：风险是指在一定条件下和一定时期内，由于各种结果发生的不确定性而导致行为主体遭受损失的大小以及这种损失发生可能性的大小，风险是一个二位概念，风险以损失发生的大小与损失发生的概率两个指标进行衡量。王明涛（2003）在总结各种风险描述的基础上，把风险定义为：所谓风险是指在决策过程中，由于各种不确定性因素的作用，决策方案在一定时间内出现不利结果的可能性以及可能损失的程度。它包括损失的概率、可能损失的数量以及损失的易变性三方面内容，其中可能损失的程度处于最重要的位置。

5风险是由风险构成要素相互作用的结果风险因素、风险事件和风险结果是风险的基本构成要素。风险因素是风险形成的必要条件，是风险产生和存在的前提。风险事件是外界环境变量发生预料未及的变动从而导致风险结果的事件，它是风险存在的充分条件，在整个风险中占据核心地位。风险事件是连接风险因素与风险结果的桥梁，是风险由可能性转化为现实性的媒介。根据风险的形成机理，郭晓亭、蒲勇健（2002）等将风险定义为：在一定时间内，以相应的风险因素为必要条件，以相应的风险事件为充分条件，有关行为主体承受相应的风险结果的可能性。叶青、易丹辉（2000）认为，风险的内涵在于它是在一定时间内，有风险因素、风险事故和风险结果递进联系而呈现的可能性。

6利用对波动的标准统计方法定义风险1993年发表的30国集团的《衍生证券的实践与原则》报告中，对已知的头寸或组合的市场风险定义为：经过某一时间间隔，具有一定工信区间的最大可能损失，并将这种方法命名为ValueatRisk，简称VaR法。1996年，国际清算银行在《巴塞尔协议修正案》中也已允许各国银行使用自己内部的风险估值模型去设立对付市场风险的资本金。1997年，P。Jorion在研究金融风险时，利用“在正常的市场环境下，给定一定的时间区间和置信度水平，预期最大损失（或最坏情况下的损失）”的测度方法来定义和度量金融风险，也将这种方法简称为VaR（P。Jorion，1997）。

7利用不确定性的随机性特征来定义风险风险的不确定性包括模糊性与随机性两类。模糊性的不确定性，主要取决于风险本身所固有的模糊属性，要采用模糊数学的方法来刻画与研究；而随机性的不确定性，主要是由于风险外部的多因性（即各种随机因素的影响）造成的必然反映，要采用概率论与数理统计的方法来刻画与研究。

根据不确定性的随机性特征，为了衡量某一风险单位的相对风险程度，胡宜达、沈厚才等提出了风险度的概念，即在特定的客观条件下、特定的时间内，实际损失与预测损失之间的均方误差与预测损失的数学期望之比。它表示风险损失的相对变异程度（即不可预测程度）的一个无量纲（或以百分比表示）的量。

10.1.2 电子支付风险的特征

以上皆为对“风险”这一概念的阐述。总体来说，风险是指在某一特定环境下，在某一特定时间段内，某种损失发生的可能性。换句话说，是在某一个特定时间段里，人们所期望达到的目标与实际出现的结果之间产生的距离称之为风险。风险是由风险因素、风险事故和风险损失等要素组成。

电子支付的风险是指在电子商务支付过程中，发生某种损失的可能性。由于电子支付是现代技术的产物，所以，电子支付的风险赋予了传统金融风险新的特征。

（1）复杂性传统的支付方式只涉及交易双方和银行，而电子支付的方式不仅涉及上述三个方面，还包括了认证中心、第三方支付等。这无疑使电子支付的风险变得十分复杂，风险的防范也要考虑的十分全面。

（2）国际性电子商务打破了时间和空间的限制，不同地域的人都可以在网上进行交易，而且支付工具也很丰富，我国很多B2C、C2C网站都支持Visa、Marstercard等国际信用卡。当风险发生时，将会带来国际方面的影响。

（3）风险放大性传统支付方式采用货到付款等方式，最大限度地降低了风险，甚至把风险降低、为零。

由于自身安全技术的脆弱性和是网络犯罪的盛行，电子支付方式放大了风险的程度，这同时也是很多人不敢使用电子支付的原因。

10.1.3 电子支付风险类型

电子支付是在传统金融服务的基础上进行的创新，所以，传统金融业所具有的风险，电子支付都会面临。例如，经济波动的风险。而且，由于电子支付具有网络化、无形化、信息化、国际化的特点，传统意义上的金融风险在电子支付中表现得尤为突出。

1电子支付系统的风险

电子支付系统的风险包括电子支付系统内部的风险和电子支付系统外部的风险。

电子支付系统内部的风险主要是电子支付系统软硬件系统的风险。这主要包括两方面：

一方面，系统与终端软件的兼容性可能导致风险。在与用户的信息传输中，如果该系统与用户终端的软件互不兼容或出现故障，就存在传输中断或速度降低的可能。另一方面，系统故障或者磁盘列阵损坏等不确定性因素，也会造成风险。由于现代网络的普遍性，金融业对信息技术有很强的依赖性。所以，电子支付系统出现问题，将会对电子支付产生致命的打击。

信息系统的平衡、可靠和安全运行成为电子支付各系统安全的重要保障。

电子支付系统外部风险主要是针对金融业信息技术外部提供者来讲的。银行业由于自身行业的关系，对系统的开发能力有限，所以将这些技术外包是明智的选择。但是，现在网上业务解决方案的提供者良莠不齐，不同的信息技术公司推举各自的方案，如果方案选择错误，可能会导致银行系统与网络的不兼容等诸多问题。同时，有的技术提供者的专业技术不强，无法领会银行的真正需求或无法满足银行的需求，或者又因为自身的财政原因停止对银行的服务，这些都会使银行面临着巨大的威胁。

交易风险电子支付主要是为电子商务服务的，在电子商务交易的活动中，由于交易制度设计的缺陷、技术路线设计缺陷、技术安全缺陷等因素，可能导致交易中的风险。这种风险是电子商务活动及其相关电子支付独有的风险，它不仅局限于交易各方或者有关支付方，而且可能导致整个支付系统的系统性风险。

3操作风险巴塞尔委员会认为，操作风险来源于“系统在可靠性和完整性方面的重大缺陷带来的潜在损失”，电子支付操作风险包括电子货币犯罪带来的安全风险，内部雇员欺诈带来的风险，系统设计、实施和维护带来的风险以及用户操作不当带来的风险。其他组织如欧洲中央银行、美国通货管制局、联邦存款委员会等对电子支付的操作风险也做出类似或相近的描述。

在传统业务中，操作风险可能表现为信贷员没有对借款人进行认真细致的资信调查，或是没有要求借款人提供合格的担保，或是没有认真审查就盲目提供担保，等等。这些风险可以通过制定一些管理制度来防范和降低。传统的风险没有技术方面的因素，而电子支付的很多风险就是由技术产生的，最明显的就是操作风险。操作风险同样来自银行的内部或者外部，这些都给银行带来直接的经济损失。

电子支付使用的是信息技术，许多银行的内部工作人员对技术不熟悉，很有可能操作失误，而且，有时这种失误一旦发生将会无法挽回。也有一些人员利用职务之便，利用系统的或者是管理上的漏洞，进行非法交易，这些都是系统内部的操作风险。来自外部的操作风险主要包括：

①网络病毒网络病毒的发展可以说是非常迅速，而且更新换代也非常快。很多网络罪犯利用病毒，窃取网上用户的账号和密码，盗取用户的账户。比如有的罪犯将木马植入用户的电脑，当用户登录账户时，木马将自动记下用户的密码和账号。罪犯通过账号和密码窃取用户的信息。

有的病毒进入电脑后，就不断扩散，轻则使电脑运行十分缓慢，重则导致电脑死机甚至系统崩溃。

②黑客攻击电脑的非法入侵者称为黑客。黑客攻击对国家金融安全有着非常大的威胁。目前，黑客行动几乎涉及所有的操作系统，而且黑客的攻击行为逐年递增，毫无递减的势头。因为许多网络系统都有着各种各样的安全漏洞，有些是操作系统本身所固有的，有些是管理员配置错误引起的。黑客利用网上的漏洞和缺陷修改网页，非法进入主机，进入银行盗取和转移资金、窃取信息、发送假冒的电子邮件等。

③信息污染就像工业时代的化学污染一样，信息时代存在着信息污染。信息污染是指网上充斥着很多与问题无关或者失真的信息，这些信息是互联网的灾难，它们占据了很多宝贵的网络资源，加重了互联网的负担，影响了电子支付过程中发送和接收网络信息的效率，更严重的是信息堵塞会造成其他附带风险也随之增加。

此外，用户的误操作也属于操作风险。有些用户没有按照银行的要求进行操作，或者没有妥善保管好自己的信息，罪犯可以由此获得用户的信息，从而使用这些信息从事有关的犯罪活动，银行可能就要对所造成的损失承担赔偿责任。有的用户虽然已经完成了某一交易，但事后反悔并否认，而银行的技术措施可能无法证明用户已经完成过该交易，由此造成的损失也可能需由银行承担。

法律风险

电子支付虽然起步较早，但是在立法方面却相当滞后。特别是在现代金融的环境下，技术的发展和网络的普及使电子支付产生了很多新问题，如发行电子货币的主体资格、电子货币发行量的控制、电子支付业务资格的确定、电子支付活动的监管、用户应尽的义务与银行应承担的责任，等等。对这些问题进行规范的法律却非常少。由于网络的特殊性，传统法律不在适用于这些新问题，法律法规的欠缺是电子支付面临的法律风险。

市场风险

市场风险是指电子支付机构的各个资产项目因市场价格波动而蒙受损失的可能性，如外汇汇率变动带来的汇率风险即是市场风险的一种。此外，国际市场主要商品价格的变动及主要国际结算货币银行所在国家的经济波动等因素也会间接引发市场波动，构成电子支付的市场风险。

信用风险

信用风险是指交易双方在约定的时间内没有履行或者不完全履行自己义务的风险。电子支付拓展金融服务业务的方式与传统金融不同，其虚拟化服务业务形成了突破地理国界限制的无边界金融服务特征，对金融交易的信用结构要求更高，金融机构可能会面临更大的信用风险。电子支付能够顺利地进行，必须依靠信用体系的建设。否则，人们还是得选择面对面的交易，如此一来，电子支付就失去了存在的意义。

流动性风险和声誉风险

流动性风险主要是针对电子支付机构而言的。它是指电子支付机构没有足够的资金满足用户兑换电子货币或者结算要求时所面临的风险。声誉风险是指电子支付机构由于某些原因发生重大事故，用户对其失去信心的一种风险。这两种风险是相互关联的。流动性风险与声誉风险往往联结在一起，成为相互关联的风险共同体。由于电子货币的流动性强，电子支付机构面临比传统金融机构更大的流动性风险。电子货币的流动性风险同电子货币的发行规模和余额有关，发行规模越大，用于结算的余额越大，发行者不能等值赎回其发行的电子货币或缺乏足够的清算资金等流动性问题就越严重。当发生流动性风险时，原本对电子支付持不放心态度的用户会更加怀疑，有时加上媒体的介入，就会使得电子支付机构又陷入了声誉风险。