|
有些触目惊心的数据, 总是令金融人士不寒而栗 金融行业犯罪频繁猖獗,风险形式多变——据统计,自2008年金融危机以来,全球银行因不合规行为总计付出的罚款超过3200亿美元。许多大型国际银行等由于未满足当地监管要求而付出了惨痛的罚金代价。仅2016年我国银行卡欺诈累计就造成客户损失达1.83亿元。此处不再一一赘述。 在明晃晃的现实面前, 各国都在不断强化对金融机构的监管问题 放眼全球,皆有动作——各国际组织已各自下设了金融科技监管工作小组,如金融稳定理事会(FSB)、巴塞尔委员会(BCBS)、国际保险监管协会(IAIS)、货币基金组织(IMF)、国际证监会组织(IOSCO)。2016年,FSB作为全球金融治理的牵头机构发布了《金融科技的全景描述与分析框架报告》,以维护金融稳定为核心,探讨了金融科技蕴藏的系统性风险以及监管应对问题。 立足国内,伺机而起——2017年我国央行成立了金融科技(FinTech)委员会,明确提出要加强监管科技的研究与应用,提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。这是监管科技(RegTech)首次出现在中国金融监管部门的正式对外表述中。 面对被央行点名的RegTech, 各大金融机构仍抱有诸多疑问和困惑 ◎您目前是否遇到监管合规政策的解读和执行方面的困难?包括合规体系、治理架构、合规流程的统一规划和安排, 您目前是否开始GDPR相关项目建设和需要一些什么帮助?包括GDPR 的IT 平台的选择和优化。 ◎您目前的风控系统是否有性能响应问题和高可用性不足?是否希望通过参数化配置来支持跨系统、跨渠道的实时交易评分和筛查?您在风控机器学习过程中是否遇到困难?AI模型的业务解读性和落地性如何?命中率和误报率是否希望改进? ◎您目前的金融风险系统是否支持复杂的风险敞口计算?是否能满足银监会交易对手风险计量新规的计算要求?您目前的风险报表平台及资本计算工具的延展性如何?是否能快速支持灵活报表的指标计量和下钻分析要求?报表开发工作量是否较大? ◎您目前的操作风险是否有全行统一的关键风险指标(KRI)体系和损失事件管理?是否支持跨业务线的全面风险识别、评估、监测和报告?是否希望实现操作风险的事前预警和实时监控,并通过分析风险之间的联系,挖掘风险影响的因果性和相关性? ◎您目前的反洗钱系统的误报率是否过高?是否可以有效地发现隐藏洗钱模式并可视化展现?您目前的安全风险是否有全行统一的管理控制?包括信息安全、应用安全、安全态势感知、数据隐私保护、数据安全控制和可靠、安全的文件传输? …… 合规风险汹涌而来, 金融机构应该如何践行RegTech之路 RegTech其本质是“利用最新的科技手段来服务于监管和合规,以实现金融机构稳定的永续发展”。IBM 金融行业解决方案专家团队归纳整理了金融行业RegTech的总体框架及分层架构,包括合规风险与策略、金融犯罪、金融风险、治理-风险-合规、安全风险以及RegTech的赋能技术支持,阐述了不同风险领域的特征需求和典型场景,分享了业内RegTech的最佳实践和参考案例,以期对金融机构的监管合规能力的提升有所帮助。 IBM RegTech总体框架 RegTech 的总体框架如下图-1所示,其快速发展的驱动力来自趋严的监管政策、日新月异的金融科技(FinTech)、复杂的运维管理和资源成本的压力。从监管层面看,FinTech在促进业务创新的同时也带来了监管复杂性的挑战。FinTech业务模式背后是庞大、复杂、异构、关联的信息系统,海量的信息流和复杂数据结构客观上给识别风险造成了监测和管控的难度。 图-1: RegTech 总体框架 自上而下来看,RegTech的重点领域包括合规风险与策略、金融犯罪、金融风险、治理-风险-合规、安全风险及赋能技术六个层次,它们的主要定位分别描述如下: (1)合规风险——罚款、处罚和大型合规团队不再是开展业务所必须付出的代价。专业知识与先进技术的正确组合可以帮助银行快速理解和管理新出台的政策以及不断变化的法规。例如IBM Promontory(鹏睿)合规风险管理与策略咨询服务广泛覆盖反洗钱、制裁、反腐败、隐私与数据保护、网络与信息安全、消费者保护等各个方面,协助海内外金融机构借助专家的力量了解、适应当地监管与合规要求,建立、健全合规体系,制定合规措施、流程和改进计划。 (2)金融犯罪——指的是银行内部人员、客户或第三方,单独或伙同他人,通过虚构事实或隐瞒真相的方法,从银行或客户骗取不正当好处或利益,造成银行资金、声誉或其他损失的行为,范围涵盖智能实时风控、申请反欺诈、交易反欺诈、安全支付、反洗钱洞察、欺诈监督等,高命中率、低误报率、最短时间的侦测和阻断是防范金融犯罪的关键。 (3)金融风险——巴塞尔IV全球银行改革方案给金融环境增添了不确定性和复杂性,中国银保监会也积极响应推出了如《银行账户利率风险监管标准》(IRRBB),《交易对手违约风险计量规则》(SACCR),《商业银行大额风险暴露管理办法》等规定。金融机构需要准确评估风险,主动管理市场风险、信用风险和流动性风险,在风险数据集成-新巴塞尔协议RDA合规中,建立统一风险指标平台去汇总和分析各类风险指标,汇总风险数据以延展到不同的应用并统一管理口径。 (4)操作风险——也称治理风险合规或Governance,Risk,Compliance(GRC)、内容包括政策与合规管理、财务控制、IT管控、内部审计、供应商管理,提供从主流的内控风险框架到支撑系统再到管理决策的全面支持,实现从制定战略目标、损失事件识别、风险指标(KRI)建立、风险分析和评估、风险应对、活动控制、工作流程、监督审核的完整过程。 (5)安全风险——保护企业网络信息安全、数据安全远离网络威胁的侵害,为客户构建基于认知技术的企业级安全免疫体系,包括安全事件检测与分析及优先级排序、数据安全风险可视化及敏感数据保护、软件开发生命周期管理、应用安全管理及漏洞扫描等,建立符合监管要求的安全运维中心(SOC),提高安全感知能力并支持GDPR等监管合规要求。 (6)新兴赋能技术——RegTech的实现需要一个综合的技术支撑,除了传统的IT技术之外,其新兴赋能技术包括AI、BlockChain、Cloud、Data Lake、GraphDB、RPA等等,通过以大数据为基础的数据湖实现RegTech所需的工商、海关、税务、司法、通讯、互联网等数据管理和治理流程;通过AI解读政策法规、生成反欺诈规则、洞察威胁;通过图数据库进行关联分析和异常模式发现;通过机器人流程自动化RPA改进手动监管合规流程效率,通过容器云和多云管理提供RegTech应用的运行环境和API开放支持等,本文在后续章节会分别加以具体说明。 ◎ ◎来源:金融电子化(fcmag1993)| 作者 | 金融电子化 |
|
|
