強監管形勢下,中小商業銀行如何管理操作風險?
文 / 瀘州市商業銀行副行長、資訊長 成安華
通付盾創始人 、董事長兼CEO 汪德嘉
瀘州市商業銀行副行長 資訊長 成安華
近年來,中國金融業有了巨大的發展,各種金融創新層出不窮。然而,金融業興旺蓬勃發展的背後,卻隱藏著各金融機構多年來追求業務、忽視風險的做法,擾亂了金融行業市場的穩定。2018年初,銀保監會下發《關於進一步深化整治銀行業市場亂象的通知》,增強了監管規模和執法力度,細化了銀行業亂象整治工作的重點。
監管部門之所以對操作風險愈加重視,是因為與其他風險型別相比較,操作風險分佈於銀行業的各個經營管理層次,貫穿於經營管理活動的始終。 合理、嚴格的操作風險管理體系的建立、執行,是現代商業銀行綜合競爭力的重要方面,是銀行長遠發展的奠基石。
中小商業銀行操作風險管理的最新探索
面對中小商業銀行操作風險監測的普遍難題和挑戰,瀘州市商業銀行成立了操作風險課題研究小組,從中小商業銀行角度出發研究操作風險管理體系的實現方式,優化當前的操作風險管理組織架構,完成對操作風險事前、事中、事後的監督工作,從本質上提高操作風險管控的能力。
瀘州商業銀行結合國內中小商行操作風險普遍情況,建立了 “2H + 4象限”,2個H指“合(Hé)規”及“活(Huó)動”, 兩個H的互相關係,構成了人類活動的4象限,如圖1所示。
圖1 風險的2H + 4象限表示方法
第一象限:做了該做的。當已做的比該做的多,或者少,則構成風險事件。該類事件可以通過資訊系統的各種資料的分析來監測和防範。
第二象限:該做的沒做。構成風險事件。該類事件可以通過資訊系統的事件記錄,部門日誌檔案等來覺察和防範。
第三象限:不該做的沒做。不構成風險事件。但該象限包含隱藏的風險,比如有違法的計劃但未實施等。對此類無法用資訊系統監測的潛在風險,操作風險的制度建設也應包括法規及道德的教育,防範風險於未然。
第四象限:不該做的做了。構成風險事件。該類事件可以通過資訊系統的事件記錄,部門日誌檔案等來覺察和防範。
操作風險實際上可分為人、資訊系統(以下簡稱系統)兩個實體元素、以及流程和外部事件。分類如圖2所示:
圖2 結合中小商行情況的操作風險分類
具體包括:
(1)對於人的活動,分為未執行規定、執行規定外的操作、未按要求執行規定3種類型。
①未執行規定又分為2類, 一類是藉助於系統交易進行的活動, 比如每日扎賬,對該類風險可使用監測系統進行監測檢視是否完成; 另一類是依據法律法規、合同、內部規章進行的活動, 此類可將其新增進監測系統設為任務,用系統監測是否完成,比如合同規定的巡檢,巡檢完成後要求在系統中銷號。
②執行規定外的操作。比如扎賬每天只能1次,結果在短時間內軋了2次賬等,此類風險可通過監測系統監測。
③未按要求執行規定。此類風險可能需要進行事後評價,比如需定期資料清理,結果發現短時間內系統容量不夠,需監測系統進行監測。
(2)資訊系統類的操作風險,此類風險可採用日誌監測、交易監測等措施。
(3)流程類實際上是融入到了人、資訊系統兩大類活動當中,需要通過計量系統使用AI的方法從這些活動中抽象出來。
(4)外部事件除了對反欺詐、反洗錢、反舞弊一類系統進行研究,還需研究其他外部事件,如:競爭對手的價格戰、消費者權益方面的訴訟、市場環境的變化等等。將其新增到計量系統中作為巨集觀因素,賦予影響權重,計算影響結果。
根據目前瀘州市商業銀行在當前管理模式下的資料收集、風險項整理和分析,專案基於流程銀行制度建設情況的監督,對操作風險進行量化的分析評估。 具體來說,包括:
(1)對組織架構和制度體系的優化。通過對操作風險成因和現狀的認識,深入分析其背後的組織架構和制度體系。未來應設立專門的中臺部門來管理和構建完整的操作風險監測體系,以優化目前分散在集中作業中心、呼叫中心、中心機房、執行管理部檢查科、內控合規部、反欺詐系統、反洗錢系統、稽查大隊等各個部門的操作風險專案的現狀。更好地明確授權體系和職責邊界,使得資訊溝通更通暢、決策更高效、對風險的判斷更及時。
(2)在操作風險監測中引入人工智慧技術。在比較成熟的運維繫統、反欺詐系統、反洗錢系統等的基礎上,通過引入基於大資料的人工智慧技術更新和改進風險管理模型,並應用到巨集觀風險監控和微觀業務流程的監測和管理。
(3)建立操作風險計量系統。從前期風險清單的收集,到確定資料來源,明確量化指標,在一定資料量的基礎上,運用機器學習的方法計算量化模型,之後根據這個模型達到監測和報告的效果,可以幫助我們預測不同情景下的操作風險估計,能夠很好地降低銀行資本消耗。
操作風險管理組織架構制度體系建設
操作風險遍佈於商業銀行的前臺業務部門和後臺資訊科技部門,對於大部分中小商業銀行而言, 最根本的操作風險管理體系的實現方式,是通過設立專門的中臺部門來管理和構建完整的操作風險監測計量體系,整合優化目前分散在各個部門條線的操作風險。
由於商業銀行的操作風險涉及到各條線業務的方方面面,因此各銀行在對操作風險的管理方面要確保操作風險管理制度的全面性、靈活性、前瞻性,使得涉及商業銀行操作風險的各個風險點、各個細節都有相應的規章制度進行管理約束。
針對授權體系而言,需要體現責權利三者有機的統一,許可權大小應按標準計量。 一是 按照經濟資本計量思維,科學測算多維度限額,以此為基準,進行適量授權; 二是 根據被授權人的區域差異、自控及抗風險能力等進行適度授權; 三是 針對被授權人的盈利能力、效益增長和風險降低等因素,適時調整授權。通過建立資料模型、設定引數變數等實現對授權許可權的科學計量,從風險管理的角度對授權的許可權和內容進行良好的監管。通過系統管理工具,實現許可權的查詢,管理部門可以對授權情況進行監測分析,提高授權管理力度,規範授權管理,在有效規避風險的同時,促進業務健康發展。此外,授權管理系統應具有前瞻性。隨著業務的發展,系統應支援通過配置的方式增加資料來源,有效地支援授權變更工作。
總的來說,適應操作風險管理的組織架構應遵行獨立、集中、垂直的風險管理理念。其中獨立指的是業務操作部門是與風險管理部門相互間獨立的,這樣從源頭上保證操作風險管理的客觀性。同時, 風險管理委員會集中履行全行風險管理職能,其專業化程度可以滿足對操作風險管理工作的指導監督檢查。 垂直的管理模式有利於打通上下級之間操作風險管理報告的通道,使得風險預警響應機制的執行效率有制度的保證。
以構建由中臺部門統一管理的操作風險治理架構的主體目標,根據研究的內容及範圍,應分階段進行相應的工作。
首先建立中臺管理的操作風險治理構架,整合集中作業中心、對賬中心、呼叫中心、中心機房、反洗錢、反欺詐等作為中颱管理,並建立操作風險實時監測系統以及操作風險計量系統,構建操作風險分析體系;
其次按照治理架構進行實施其他業務條線鋪開操作風險中臺管理,拓展業務監測範圍。此外在操作風險實時監測系統和計量系統執行的更新維護等的基礎上對操作風險事件做到逐步的監控管理;
最後在充分研究測試的基礎上,最終實現全面有效的操作風險防控。
中小商業銀行操作風險智慧化管理資訊系統
以瀘州市商業銀行對操作風險的監測和計量為例,一個智慧化的操作風險管理資訊系統,能對中小商業銀行治理操作風險提供決策支援解決其操作風險管理和業務快速擴充套件不匹配的矛盾。 對於操作風險的監測和防控,由於認識不足、執行力度不夠、檢測範圍不全等各種原因,執行難度很大,因此新興的金融科技手段對檢測和防控意義重大。
(一)針對實時的操作風險監測:在銀行現有的運維繫統、反欺詐系統、反洗錢系統等的基礎上,通過引入基於大資料的人工智慧技術更新和改進風控模型,並應用到巨集觀風險監控和微觀業務流程的監測和管理。以新興的金融科技的手段,建立具有通用性、先進性、功能完整的平臺,能更加有效地識別並防控操作風險、洗錢、外部欺詐、內部欺詐等風險,並且能快速對應監管合規需求。提供時間、位置、裝置、行為、關係、偏好等多維度的監控手段,具有名單功能、語義化配置功能,併兼具有可擴充套件性。落地的智慧風控實時系統具備實時風控大盤、風險阻斷處理、風險策略管理、風險事件管理、風險地圖、角色許可權管理、視覺化報表、自定義名單、案件管理和使用者關係網模型等功能。
通過對歷史欺詐資料進行資料拆分、清洗、整理、打標籤、濃縮、分析,進行特徵工程以及特徵提取,從而提煉出新規則。通過大資料的分析比較經過機器學習模型調整後的新規則集和舊規則集的識別效果,一旦新規則集識別效果優於線上舊規則集,則可將機器學習離線學習的閾值、權重和新規則同步至線上,提高整體的準確率。
(二)針對後臺的操作風險計量: 整個系統設計和執行的過程如下:
第一,收集整理各部門的工作日誌,總結相關資訊,根據各個風險專案的嚴重性制定了量化的評分,並在此基礎上將事件在一定時間內發生的次數作為一個指標來衡量事件的風險性,建立完整的操作風險清單,作為整個操作風險計量系統的基礎。
第二,從操作風險事件所對應的部門、機構、風險類別分類、引起操作風險事件的風險因子以及所造成操作風險事件結果的風險性質等多維度對風險清單中的事件進行分類,全面地展現操作風險現狀。之後以及完整的操作風險清單建立合適的資料庫結構,記錄每個風險事件對應的發生機構和發生部門、事件型別、風險描述、嚴重性和次數估計等後期建模所需的量化指標。
第三, 從實施的角度明確操作風險清單中各風險事件的資料來源, 包括結構化資料和非結構化日誌資料,尤其對於承擔著各相關業務系統的實時日誌資料採集,系統自身的執行需要直觀的展現。系統需要監控交易資料的處理量、頻度和風險事件。需要監控各個日誌資料來源採集器的工作情況,和展示採集的資料統計情況需要視覺化展示操作風險實時規則運算結果和模型運算結果。
第四, 預測。 主要建立在機器學習的基礎上,使用機器學習建立操作風險事件發生頻率和因變數之間的模型關係,以便有效地預測未來的操作風險事件發生頻率。將有效性和精確性作為主要考慮因素,選用最適合歷史資料的在險價值VaR,使用蒙特卡羅模型結合泊松分佈測算資料集特徵及計算在險價值。利用指數分佈構建事件發生的時間,利用泊松分佈預測事件在單位時間內的發生次數,利用風險價值衡量風險事件的嚴重性。系統定期(每天凌晨)執行,將採集到的風險事件的次數與之前時間範圍內每個型別風險的平均值進行比較。根據新的資料更新泊松分佈的引數,應用蒙特卡洛模擬,對事件發生頻率和嚴重性的百分位重新估計,更新總體嚴重性的風險價值。
第五,從巨集觀的內部控制環境因素的角度量化其對操作風險事件估計的影響。因為商業銀行操作風險管理與內部控制的關係是一個相互依存、相互促進、相互補充的有機整體,在研究操作風險的時候,不能忽視內部控制的巨集觀因素對於操作風險的影響以及經濟形勢、監管政策等外部因素。
相比起傳統的操作風險管理模式,這種智慧化的操作風險監測計量系統有以下幾點優勢:
(1)基於客觀資料操作風險模型分析的量化管理系統。通過給定各類風險事件賦予嚴重性評分,將操作風險量化,便於後期模型統計監測及展現。
(2)規範操作風險監測流程,覆蓋操作風險全過程。及時將操作風險資料上傳進系統,有助於管理人員瞭解整體情況,便於把控操作風險現狀,做出合理判斷。
(3)改變手工操作模式,提高操作風險管理工作效果。操作風險監測防範技術從早期的全手工方式,到中期計算機輔助方式,一直到當前計算機綜合模式,使得監測更為合理有效。
(4)實現操作風險指標預警監測。提前發現風險,對風險進行預測,可以做到提前準備,減少風險造成的損失。
總的來講,中小商業銀行的操作風險量化分析管理任重而道遠。隨著國內銀行業監管力度的加強以及銀行自身業務的迅速發展,操作風險管理的重要性越發突出。應用金融科技的手段進行操作風險的管理,在高風險領域進行科技化、自動化、智慧化的監控,建立新型的人工智慧風控模式,是未來發展的必然趨勢。
宣告:本文來自金融電子化,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。