随着信息技术在各个领域的广泛渗透,极大地丰富和拓展了人的思维和行动空间,带来了巨大的便利和效率,打破了银行传统的行业界限,促使金融生态系统变得更加开放和互通。

互联网银行的本质仍是经营风险的机构,其价值的创造离不开风控体系的运作。全面的风控体系应立足于银行整体的企业发展战略之下,与整体发展战略相契合,并支撑互联网银行健康向上、长远持续地发展。

在创新环境下,银行业的发展面临着巨大的机遇和挑战,我们先来看看银行业普遍存在的20大痛点:

(参考自2017年8月毕马威中国领先金融科技50系列报告)

这些痛点该如何应对呢?总体而言,互联网银行应从风险治理、全面风险管理机制、底层支撑三个方面来构建全面的风控体系,在延续传统商业银行的风险管理体系骨架的基础上,需要针对互联网业务特征进行更加细致的场景化改造。

★★★ 风险治理

互联网银行管理层的风险治理直接决定了银行风控体系的总体方向及风控实施目标,是互联网银行全面风控的根系。可以从风险管理文化、风险管理政策、风险环境和组织架构四个方面进行建设。

☞ 风险管理文化

风险管理文化是风险管理的深层次核心,是互联网银行风控体系中类似于血液的存在,于无形中贯穿于管理方法、管理技术、管理传导等各个方面,以管理层对内外部风险因素判断为基础,是互联网银行内部上下互动、调整的结果。

风险管理政策

一般包括对风险管理的内容、程序和技术标准的规定。互联网银行应以风险管理政策为指导,建立风险管理的制度体系、机制体系,建立完善管理工具与管理手段,最终健全全面风险管理体系。

☞ 组织架构

从部门职责分工上来看,总行业务拓展类、产品创新类、产品开发类部门划分为风险防控的第一道防线,承担各自业务范围内的合作方评估、产品评估、产品设计等环节的风险防控职责;风险管理类、法律合规类、财务管理类部门划分为风险防控的第二道防线,承担对全行关键型、创新型的业务的全面审查、检查;审计类部门划分为风险防控的第三道防线,承担对全行全面业务的检查。

而从业务流程上来看,第一道防线是对业务及产品等项目方案的立项评估,对合作方的准入评估;第二道防线是对业务及产品、合作模式等项目的设计和实施;第三道防线是对项目上线后的跟踪、优化、检查。

☞ 风险环境

互联网化的特性使互联网银行在市场、监管、法律、技术等方面面临着比传统商业银行更加复杂的环境。这要求互联网银行要以信息数据搜集机制为基础,对其面临的各种重大环境要素进行实时关注和及时响应。

比如,保持对监管政策的关注以保证业务合规性,对市场形势的变化以保证业务的竞争力和需求适配性,对新型技术的关注以弥补技术漏洞并获取更高安全级别的技术手段等。

★★★ 全面风险管理机制

互联网银行可以构建起“九横七纵”的矩阵式框架+制度体系+评价体系的全面风险管理机制。

“九横七纵”的矩阵式框架

九横是互联网银行面临的九大类风险,分别为:合规风险、欺诈风险、操作风险、法律风险、流动性风险、道德风险、声誉风险、技术风险、市场风险。

比如,就合规风险方面而言,行业实操中存在监管规定不明的灰色地带,且互联网银行内部也存在合规风险因素,主要体现在内部制度流程和员工合规教育两个方面。

就欺诈风险方面而言,国内信用体系建设仍在努力中,各类身份信息和金融数据还未能够得到完全有效合法的保护,电信诈骗呈现产业化发展,加上互联网线上业务的批量化特性,该类风险一旦发生,则影响范围较易扩大,且事后难以追踪和弥补。

因此互联网银行需特别注意事前交易流程的设计和事中对交易的实时监控。在成本可接受的情况下,互联网银行也可建立起以账户安全险为代表的风险补偿机制。

“七纵”是为全面风险管理的七大流程,分别为:风险识别、风险评估、风险控制、风险监测、风险报告与风险处置、后评价与检查监督、调整优化。

比如,风险识别以业务材料和风险信息为基础,挖掘潜在风险因子。在此过程中业务材料的规范化、风险信息的积累、风险因子的总结分析均可减少流程摩擦,提升风险识别效率。

风险评估包含风险判断和风险计量两个方面。前者基于可获得的资料的基础上,综合定性理论模型,以主观判断为主进行的潜在风险预判。后者基于测算模型,对潜在风险因素带来的影响后果进行量化预判。

事中风险管理包括风险监测、风险报告和风险处置。互联网银行较为成熟和完善的风险监测应包含有实时交易监测系统,并根据不同的风险等级采取加强验证措施或阻断;还应包含银行整体运作的连续性监测,重大差错或大范围差错监测,重要风险防控领域监测等。

事后风险管理包括后评价与检查监督、调整优化,是全面风险管理全流程的自我学习和优化机制,目标是使全面风险管理流程更贴合实际。

制度体系

制度体系是互联网银行根据法律、法规和准则等制度和文件的要求,在风险管理政策的指导下制定的各项对内部风险管理事项的指导规范。制度体系分为三个效力层级,从高到低依次为风险管理基本政策和基本制度、管理类制度、操作类制度。

☞ 风险评价体系

风险评价体系是互联网银行在各项规章制度和业务流程的基础上,通过对关键节点和关键控制点进行抽样检查,对互联网银行风险管理工作的有效性进行量化评分,实现风险等级评定,找出风险管理缺陷。在实际业务操作中,银行业金融机构通常从资产收益定性指标、各类风险识别与评估、内控环境、控制活动、监督评价与纠正等方面,按照各个职能条线划分板块并分别进行评价。

底层支撑

底层基建支撑着互联网银行所有风险管理工作的落地,主要分为系统、模型、技术、数据四个板块。对互联网银行来说,基建工作的扎实推进,能够以几何级的速度提升风险管理工作的效率,打破风险管理工作的天花板,将风险管理工作的精准度提升至一个更高的地步。系统和模型的建设可解决实时性问题、管理效率问题和资源问题。

比如在信贷风险审核中,以信贷风控模型替代传统的人工定价审批,实现秒级审批和多笔并发。新型技术的运用则可以提升风险管理工作效率,但值得注意的是,若在新型技术不成熟的情况下则有可能带来新的安全风险,因此,互联网银行对新型技术的采纳应谨慎评估,并衡量综合效益,与安全业务制度、规则搭配形成完整的风控手段。

另外,数据能够助力互联网银行更深程度地实现精细化、智能化管理。目前,数据积累及分析运用的能力已经得到市场各方的广泛关注,目前市场上正在形成前所未有的数据分享与跨机构、全网型联防联控的氛围。

声明:本文来自金融科技安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。