大數(shù)據(jù)給操作風(fēng)險(xiǎn)管理帶來(lái)了怎樣的改變

諶力

金融科技正在改變著金融行業(yè)，金融的互聯(lián)網(wǎng)+熱潮不斷蔓延。在傳統(tǒng)的金融機(jī)構(gòu)操作風(fēng)險(xiǎn)管理的理念和手段之外，如何通過(guò)大數(shù)據(jù)提升和優(yōu)化操作風(fēng)險(xiǎn)管理水平？就這一話題，記者采訪了具有豐富互聯(lián)網(wǎng)金融與科技管理經(jīng)驗(yàn)的樂(lè)視金融首席技術(shù)官丁曉強(qiáng)先生，請(qǐng)他分享了在大數(shù)據(jù)操作風(fēng)險(xiǎn)管理領(lǐng)域的理念、方法論和實(shí)踐經(jīng)驗(yàn)。

根據(jù)巴塞爾委員會(huì)的定義：操作風(fēng)險(xiǎn)是指由于不完善的內(nèi)部操作流程、人員、系統(tǒng)或外部事件而導(dǎo)致直接或間接損失的風(fēng)險(xiǎn)，包括法律和監(jiān)管合規(guī)風(fēng)險(xiǎn)。從廣義的角度來(lái)講，操作風(fēng)險(xiǎn)是指人員、流程、系統(tǒng)和外部環(huán)境帶來(lái)的風(fēng)險(xiǎn)。從金融機(jī)構(gòu)的實(shí)踐來(lái)看，目前的操作風(fēng)險(xiǎn)管理主要集中在企業(yè)內(nèi)部業(yè)務(wù)流程的操作風(fēng)險(xiǎn)（雇員）、信息系統(tǒng)的操作風(fēng)險(xiǎn)（數(shù)據(jù)、篡改）、外部的反欺詐等具體應(yīng)用之中。

大數(shù)據(jù)給操作風(fēng)險(xiǎn)管理帶來(lái)的四個(gè)新理念

在金融機(jī)構(gòu)狹義操作風(fēng)險(xiǎn)管理中，信息系統(tǒng)相關(guān)風(fēng)險(xiǎn)相對(duì)獨(dú)立，這里暫且不談，互聯(lián)網(wǎng)金融操作風(fēng)險(xiǎn)防御重點(diǎn)要遵循以下四個(gè)理念：

（一）系統(tǒng)為主，降低人為風(fēng)險(xiǎn)，能用系統(tǒng)的地方就不用人來(lái)操作。在操作流程中，能夠通過(guò)系統(tǒng)完成的都交給系統(tǒng)自動(dòng)完成，降低人為影響。即使流程中有必須人工操作的部分，也要將人為操作因素降低到最少。系統(tǒng)在建設(shè)初期肯定不是完善的，總有漏洞和問(wèn)題，對(duì)系統(tǒng)的持續(xù)改善，總體上是為了使風(fēng)險(xiǎn)越來(lái)越小，所以不要怕出現(xiàn)不完美的系統(tǒng)，而是要保持不斷優(yōu)化的習(xí)慣。

（二）客戶自助服務(wù)為主。在傳統(tǒng)金融機(jī)構(gòu)里面，常見(jiàn)的一種場(chǎng)景是用戶手動(dòng)填單子+柜員手動(dòng)輸入系統(tǒng)。這個(gè)過(guò)程就可能產(chǎn)生差錯(cuò)，帶來(lái)風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)金融在客戶輸入端通常采用客戶自助操作，減少手動(dòng)錄入過(guò)程，避免人為因素帶來(lái)操作失誤?？蛻糇约翰僮饕矔?huì)產(chǎn)生一個(gè)新問(wèn)題，那就是欺詐問(wèn)題。不過(guò)這最終屬于外部欺詐防范范圍，可以依靠專業(yè)的反欺詐體系來(lái)保障。

（三）信息技術(shù)無(wú)縫應(yīng)用。信息系統(tǒng)為操作風(fēng)險(xiǎn)監(jiān)督、報(bào)警、糾錯(cuò)提供了廣泛的可能性，在整個(gè)業(yè)務(wù)流程中將所有環(huán)節(jié)都用信息技術(shù)來(lái)操作，可以通過(guò)“量化——建?！O(jiān)控——閾值/報(bào)警范圍——糾錯(cuò)”形成完整閉環(huán)，不斷優(yōu)化，最終實(shí)現(xiàn)自動(dòng)化操作風(fēng)險(xiǎn)管理。例如，數(shù)據(jù)庫(kù)中的某個(gè)字段被修改就會(huì)觸發(fā)報(bào)警，這種監(jiān)控的節(jié)點(diǎn)就可以增加和調(diào)整。

（四）建立有梯度/有灰度的防御體系。在業(yè)務(wù)流程中進(jìn)行保護(hù)設(shè)計(jì)，要有關(guān)聯(lián)證明，不能有單點(diǎn)就可以突破的地方。例如，賬戶金融被改動(dòng)，需要一系列的業(yè)務(wù)操作在前，才能被認(rèn)可是一個(gè)合法的發(fā)動(dòng)。在操作風(fēng)險(xiǎn)管理中不能只使用單一方法，要采用多因素驗(yàn)證，建立多層次的防控體系，保證有多個(gè)不同機(jī)制的手段在不同的節(jié)點(diǎn)進(jìn)行防控，保證風(fēng)控體系的縱深度。

操作風(fēng)險(xiǎn)管理的方法論與四個(gè)執(zhí)行原則

上述四個(gè)理念是貫穿操作風(fēng)險(xiǎn)管理的大方向，實(shí)現(xiàn)起來(lái)并不輕松，需要長(zhǎng)期優(yōu)化改進(jìn)。在金融行業(yè)內(nèi)部，操作風(fēng)險(xiǎn)管理方法論已非常成熟。例如巴塞爾協(xié)議關(guān)于銀行操作風(fēng)險(xiǎn)管理和信息系統(tǒng)風(fēng)險(xiǎn)管理的指導(dǎo)框架、 COSO企業(yè)內(nèi)部控制框架、COBIT（Control Objectives for Information and related Technology）信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)等。然而將上述方法在現(xiàn)實(shí)中論落實(shí)執(zhí)行并不簡(jiǎn)單，還需要還配套一些原則。在具體執(zhí)行中，遵循以下幾個(gè)原則：

（一）信息系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)性。信息系統(tǒng)盡量自動(dòng)，不可以人為介入或改變規(guī)則。傳統(tǒng)金融機(jī)構(gòu)在風(fēng)控系統(tǒng)設(shè)計(jì)時(shí)流程管理是主要方向，審批流存在較多的人為干預(yù)項(xiàng)，雖然方便了金融決策的上報(bào)和直接管理，卻給金融流程種下了風(fēng)險(xiǎn)隱患。當(dāng)然，如果要對(duì)系統(tǒng)或數(shù)據(jù)進(jìn)行手動(dòng)操作則要根據(jù)權(quán)限逐級(jí)審批，留下證據(jù)，保證審批負(fù)責(zé)。

（二）信息的不可抵賴性。這就涉及到系統(tǒng)的日志留存。操作員每天操作的都記錄在案，所有的操作都要留痕存證。金融機(jī)構(gòu)應(yīng)根據(jù)歷史數(shù)據(jù)建立模型去預(yù)測(cè)和驗(yàn)證，不斷優(yōu)化。如果實(shí)際工作中原本預(yù)測(cè)應(yīng)該平滑發(fā)生的業(yè)務(wù)預(yù)測(cè)出現(xiàn)了偏離很大的數(shù)據(jù)點(diǎn)，就說(shuō)明可能存在問(wèn)題，這些信息的發(fā)現(xiàn)非常重要，需要認(rèn)真檢查相關(guān)問(wèn)題，一些操作風(fēng)險(xiǎn)就是從這里面發(fā)現(xiàn)的。

（三）信息的完整性。不能為了節(jié)省而喪失對(duì)信息完整性的要求，所有相關(guān)的信息都要求完整保留。

（四）信息系統(tǒng)實(shí)現(xiàn)交叉檢查。通過(guò)信息系統(tǒng)廣泛鏈接結(jié)構(gòu)和業(yè)務(wù)流程，所有信息是關(guān)聯(lián)的，可以通過(guò)上下游、左右應(yīng)用交叉檢查，相關(guān)的系統(tǒng)相互留下信息，相互印證。

與四大理念的努力方向不同，這四個(gè)原則是在風(fēng)險(xiǎn)控制系統(tǒng)時(shí)必須要求必須實(shí)現(xiàn)的，是底線般的存在。

互聯(lián)網(wǎng)金融與傳統(tǒng)金融機(jī)構(gòu)在操作風(fēng)險(xiǎn)管理領(lǐng)域的差異

互聯(lián)網(wǎng)金融應(yīng)用大數(shù)據(jù)進(jìn)行操作風(fēng)險(xiǎn)管理，在業(yè)務(wù)監(jiān)控和數(shù)據(jù)分析上與傳統(tǒng)金融機(jī)構(gòu)有很大的差異。

在傳統(tǒng)操作風(fēng)險(xiǎn)管理領(lǐng)域，傳統(tǒng)金融機(jī)構(gòu)按照各類規(guī)范框架執(zhí)行，實(shí)現(xiàn)人員和權(quán)限隔離，例如雙人復(fù)核、崗位設(shè)置的交叉復(fù)核；互聯(lián)網(wǎng)金融則主要依靠信息系統(tǒng)，通過(guò)信息技術(shù)實(shí)現(xiàn)業(yè)務(wù)流程，由線上數(shù)據(jù)流推動(dòng)業(yè)務(wù)進(jìn)行。在互聯(lián)網(wǎng)金融機(jī)構(gòu)中，幾乎所有可以用信息系統(tǒng)代替的流程都用信息系統(tǒng)解決，排除信息孤島，由信息系統(tǒng)業(yè)務(wù)流程自動(dòng)執(zhí)行鏈接，所有數(shù)據(jù)不落地也就意味著不存在人為修改數(shù)據(jù)的機(jī)會(huì)；流程參與者只是信息系統(tǒng)使用者，這是信息系統(tǒng)定義的，流程參與者只要操作好自己的部分就可以。信息系統(tǒng)盡量自動(dòng)動(dòng)作，鎖定業(yè)務(wù)操作流程，減少人為操作的機(jī)會(huì)，系統(tǒng)也留下少數(shù)幾個(gè)人工操作變更的入口，但是使用這些入口需要上升到公司級(jí)審批，走一套復(fù)雜的流程才能變更，還要留下證據(jù)，審批人要承擔(dān)隨后的責(zé)任。

傳統(tǒng)金融機(jī)構(gòu)留下的可操作的物理和應(yīng)用入口比較多，這是傳統(tǒng)金融的信息系統(tǒng)建設(shè)方式和管理文化不同帶來(lái)的結(jié)果。

大數(shù)據(jù)如何提升操作風(fēng)險(xiǎn)管理

對(duì)互聯(lián)網(wǎng)金融機(jī)構(gòu)的操作風(fēng)險(xiǎn)管理而言，大數(shù)據(jù)主要應(yīng)用在以下幾個(gè)方面：

（一）在客戶接觸端實(shí)現(xiàn)客戶自助服務(wù)，客戶操作中有沒(méi)有異常，也可以從大數(shù)據(jù)分析過(guò)程識(shí)別，避免外部欺詐。這里又會(huì)應(yīng)用到到反欺詐模型。

（二）對(duì)于內(nèi)控，涉及到內(nèi)部用戶登錄系統(tǒng)和體系管理。大數(shù)據(jù)在內(nèi)部風(fēng)控方面的核心是建模，將一切內(nèi)部操作信息化時(shí)，流程數(shù)據(jù)就有機(jī)會(huì)建模，有了體系化模型，才能助力內(nèi)控。內(nèi)部監(jiān)控更多關(guān)注的是用戶的權(quán)限管理。

大數(shù)據(jù)操作風(fēng)險(xiǎn)管理需要注意的問(wèn)題

（一）人員。因?yàn)榛ヂ?lián)網(wǎng)金融的大數(shù)據(jù)風(fēng)險(xiǎn)管理主要依靠信息系統(tǒng)，而這些信息系統(tǒng)是由人設(shè)計(jì)和實(shí)現(xiàn)的，所以，這些人就是企業(yè)的核心資源。關(guān)注體系的設(shè)計(jì)和實(shí)現(xiàn)人員，防止人員的單點(diǎn)問(wèn)題。此外，在進(jìn)行系統(tǒng)建設(shè)的同時(shí)需要建立知識(shí)庫(kù)，實(shí)現(xiàn)文檔管理，避免系統(tǒng)文檔缺乏和人員流失帶來(lái)的風(fēng)險(xiǎn)。

（二）動(dòng)態(tài)調(diào)整。操作風(fēng)險(xiǎn)來(lái)自內(nèi)部人員和外部風(fēng)險(xiǎn)兩方面。只要有利益，總會(huì)有人去鉆空子。我們要做的是盡量減少隱患，增加鉆空子的難度。比如，要求系統(tǒng)管理員操作留痕，甚至操作的計(jì)算機(jī)都是遠(yuǎn)程可控的，任何的異常行為都留下證據(jù)。操作風(fēng)險(xiǎn)要根據(jù)形勢(shì)去做調(diào)整，道高一尺魔高一丈，動(dòng)態(tài)的發(fā)展，動(dòng)態(tài)的服務(wù)，動(dòng)態(tài)的操作風(fēng)險(xiǎn)管理。

未來(lái)的大數(shù)據(jù)風(fēng)險(xiǎn)管理的發(fā)展還有哪些空間？

更多利用公共資源和外部數(shù)據(jù)。以后大數(shù)據(jù)應(yīng)用和覆蓋會(huì)越來(lái)越全面，越全面就會(huì)越準(zhǔn)確。如果未來(lái)可以實(shí)現(xiàn)公用資源和技術(shù)（大數(shù)據(jù)交換技術(shù)）的聯(lián)盟，那就有可能做得更好。在這個(gè)基礎(chǔ)上可以想象的空間太多了，包括智能分析等很多東西都可以做了。最重要的例子就是，如果在有效信息共享的基礎(chǔ)上，對(duì)不同品類的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析（如航班、點(diǎn)評(píng)、移動(dòng)網(wǎng)絡(luò)定位等數(shù)據(jù)）后判斷一個(gè)人的行為。不過(guò)，這也涉及到大數(shù)據(jù)的另外一個(gè)話題，成本控制問(wèn)題，如果有越來(lái)越多的企業(yè)參與，每個(gè)企業(yè)提供自己的數(shù)據(jù)，聚合在一起，成本就會(huì)低廉合算。當(dāng)然，這不是一家企業(yè)或平臺(tái)可以完成的，或許還需要政府出面牽頭?？傊磥?lái)的大數(shù)據(jù)風(fēng)險(xiǎn)管理的發(fā)展空間廣闊，可以說(shuō)只有想不到的，沒(méi)有做不到的。