操作風險數字化管理在信用卡行業的運用

　　近年來，商業銀行數字化轉型的步伐逐漸加快，越來越多的業務逐步轉向系統實現‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。 其中，得益于與生俱來的數字化基因，信用卡業務的數字化管理水平較其他業務條線更為領先‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。 通過不斷推進大數據、人工智能等新技術在信用卡業務中的應用，信用卡中心在獲客、支付、服務、風控、管理等方面率先實現“互聯網+數字化”管理‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。 與此同時，面對信用卡行業龐大的客戶群體，信用卡中心不斷擴大地面營銷、電話營銷、客服、催收等觸客作業團隊規模，使得信用卡從業人員結構愈加復雜、流動性越來越高，內部風險管理挑戰不斷增加。

　　《巴塞爾協議Ⅲ》整體落地實施時點將近，為了滿足更高的監管要求，商業銀行持續完善風險內控管理，按照《巴塞爾協議Ⅲ》相關要求，不斷加強操作風險內部數據建設。 鑒于信用卡業務的操作風險管理涉及點多、涉及面廣、成本高、難度大，信用卡中心可基于操作過程數字化管理核心思想，結合長期實際運用的經驗積累，實施內部員工操作行為留痕、監測、調查、管控的系統化措施，為自身走出操作風險數字化管理轉型的困境打開思路，更為信用卡行業實現《巴塞爾協議Ⅲ》達標和進一步節約資本提供解決方案。

　　一、理論基礎

　　1.傳統操作風險管理理論

　　傳統的操作風險管理理論雖然強調內部控制和過程管理，但風險識別和評估主要還是由風險管理人員來負責。 從風險識別工具來看，對現存業務開展風險控制自我評估(RCSA)、對新業務和新產品實行評審機制等主要依賴風控專家的主觀判斷，人為因素對評估結果影響很大; 同時，很多風險識別和監控工作的評估周期不能與業務的快速變化相適應，導致風險點得不到有效更新。 從風險評估方法來看，由于對各個風險點發生的概率進行評估時可以參考的歷史數據十分有限，主要采取專家經驗法，因此評估的結果帶有主觀性。

　　2.行為監控相關理論

　　傳統操作風險管理中常常運用歸因分析的方法對行為監控與操作風險量化管理進行研究。 近年來，信用卡行業對行為監控與操作風險量化管理的研究逐漸深入，其中肖斌卿等在《流程、合規與操作風險管理》 一文中指出，“違規活動—操作風險—信用風險”這一風險鏈條的建立為深化信用風險研究提供了一個新的視角。 該研究提出引用信用風險管理中成熟的判別分析方法來度量因子的影響，運用多元線性回歸模型將人員因素的變量分別與操作風險發生頻率和操作風險損失程度回歸。 研究發現，崗位性質、員工素質、行為特征、性別等對操作風險有較為顯著的影響。

　　3.用戶行為分析技術

　　目前實務中針對用戶行為分析的研究已經比較豐富，在操作風險量化管理方面，可以借鑒的用戶行為分析技術有很多：有的分析客戶偏好習慣，用于推薦個性化產品與服務; 有的分析異常操作，防范外部欺詐和網絡攻擊。 后者如阿里巴巴的一項識別用戶異常操作的專利，通過日志數據選取N個操作特征的集合確定異常得分，基于異常得分與閾值的比較確定最終的N階特征，從而對用戶的異常操作進行識別，以此通過N-1階特征逐步迭代N階特征，實現對用戶異常操作的快速識別，并提高識別的準確率。 用戶行為分析技術的本質是通過大數據手段分析用戶在系統上的操作行為特征，分辨“正常”和“異常”。 對于操作風險管理而言，這種技術和方法同樣是適用的，無非是將監控對象從外部客戶替換成了內部人員。

　　4.操作風險數字化的監管要求

　　《巴塞爾協議Ⅲ》從商業銀行資本這一宏觀視角對風險管理提出了要求：一是建立逆周期資本監管; 二是建立基于風險中立的杠桿比率; 三是嚴格經濟資本管理。 這些要求的核心均是提高商業銀行資本充足率，這意味著提高操作風險管理效率、增強操作風險管理能力、降低操作風險監管資本是滿足《巴塞爾協議Ⅲ》要求的題中應有之義。 在數字化管理方面，《巴塞爾協議Ⅲ》規定，商業銀行應主動提升數據管理能力，加強IT系統和數據基礎建設，建立“數據庫—數據集市—數據倉庫—應用系統”的完整技術架構，為風險計量模型開發和風險管理應用提供基礎數據，通過業務條線、行業、地區等各類維度，匯總加工風險信息數據，增強對基礎數據的獲取、篩選、分析能力，提升數據系統化管理水平。

　　此外，原銀監會發布的《商業銀行操作風險管理指引》也要求商業銀行采用更加先進的風險管理方法，如使用量化方法對各部門的操作風險進行評估，建立并逐步完善操作風險管理信息系統，針對潛在損失不斷增大的風險，建立早期的操作風險預警機制，根據各業務線操作風險的特點有針對性地進行管理。

　　二、管理框架

　　在操作風險數字化管理過程中，信用卡中心應建立同業務規模相適應的操作風險量化管理平臺，實現系統性的“留痕—監控—評價”機制。 首先是將主要業務系統的操作行為通過前端埋點等技術進行收集后即時推送至操作風險量化管理平臺，建立中央集成式的痕跡追索數據庫; 其次是利用痕跡與數據倉信息，建立大數據指標體系，一方面開展實時行為監控，另一方面進行批量業務監控; 最后是建立人員風險綜合評分模型等評價體系，多維度、全方位提高操作風險水平，提升管理效能。

　　“留痕—監控—評價”機制要求完善“以風險管理部門為中心、突出業務部門主動管理”的工作模式，建立健全聯防聯控、共建共享的工作機制，強化“第一道防線”與“第二道防線”協同、總部與分支機構聯動管理，通過監控整改和管理優化，不斷增強“第一道防線”和分支機構的風險紅線意識、自我管理意識、主動防范意識。

　　此外，信用卡中心還可將風險信息收集機制作為補充，充分激發分支機構向總部及時快速傳遞各類風險信息的動力。 該機制將內部“吹哨人”模式系統化、線上化，切實強化分支機構“烽火臺”的作用，構筑總部與分支機構協調聯動的“風控長城”。

　　三、技術應用

　　1.基于內部操作行為監控技術實現留痕管理

　　信用卡中心可將前端埋點監控和后端數據對接兩種模式相結合，實現內部操作行為監控：對于一般的業務系統，在網頁前端采用已經比較成熟的Piwik技術，通過埋點實現操作行為實時自動收集; 對于有定制化監控需求的業務系統，在系統后端通過API接口傳輸監控數據。

　　(1)前端Piwik埋點監控

　　在業務系統頁面前端，使用內部行為監控規范腳本，快速完成按鍵、文本框的埋點，收集所有的操作人、操作時間、操作頁面、操作事件ID、操作事件類型、操作事件內容等，存入中央集成的痕跡追索數據庫。

　　(2)后端API接口監控

　　在業務系統后端開發定制化監控模塊，事先設定異常行為監控邏輯，將符合監控規則的數據發送至行為監控數據庫。

　　2.依托數據指標體系實現監控管理

　　信用卡中心可通過建立數據指標體系實現監控管理，數據主要來自于實時監控和批量特征。

　　在實時監控方面，可利用痕跡追索數據庫以及風險控制自我評估(RCSA)梳理出的成果，對各主要業務流程、系統的關鍵業務操作設置預警規則，規則一經部署，即啟動操作行為實時感知功能，便于監控人員通過監控儀表盤隨時查看掌握異常操作的情況; 同時還可設置系統以郵件形式每日向監控人員發送報表通知。 在實際應用中，實時監控模式比較單一，難以精確適用一些復雜的業務場景，有待進一步優化完善。

　　在批量特征方面，可將數據倉庫的貸前審批、貸中管控、交易授權、設備使用等各種海量數據信息進行加工匯總后定時推送，實現監控結果展示和通知。 在實際應用時，可創新應用多維特征庫的監控手段：通過總結案例經驗，提煉同一類型風險的多個共同行為特征，即設置一個多維特征庫，在后續監控中，系統進行自動化“撞庫”，把觸碰相同特征的人員作為同類風險識別出來，實現多維預警。

　　3.基于評分模型實現操作風險評價管理

　　信用卡中心可充分利用現有的數字化資源，構建多維度操作風險特征體系，研究開發操作風險行為管理評分模型，形成基于評分模型的數字化風控能力，實現操作風險的精準識別和預警管理。

　　以營銷團隊為例，可依托客戶經理的營銷行為信息以及客戶申請、交易等行為信息，并結合營銷作業的特點構建評分模型。 評分模型的目標變量應包括：客戶經理的基礎屬性以及設備使用、人臉識別、資料填寫、反欺詐等行為; 客戶經理所引入客群的風險情況以及交易、異常行為等多個維度，全面覆蓋營銷作業行為的各個方面，形成綜合評分結果，有效識別引入逾期客戶較多的客戶經理，實現對客戶經理的風險排序，從而預測客戶經理所引入客戶的逾期風險，實現預警管理。

　　針對信用卡行業操作風險數字化管理，信用卡中心應把握監管要求和行業趨勢變化，形成操作風險數字化管理系統、管理機制、風險文化三位一體的模式，助力“第一道防線”減負增效，為商業銀行率先實現《巴塞爾協議Ⅲ》達標、有效節約監管資本提供堅實基礎。

　　作者：翟少安 楊志文

轉載請注明來自發表學術論文網：http://www.cnzjbx.cn/jjlw/29553.html