諶力

金融科技正在改變著金融行業(yè)，金融的互聯(lián)網(wǎng)+熱潮不斷蔓延。在傳統(tǒng)的金融機構(gòu)操作風險管理的理念和手段之外，如何通過大數(shù)據(jù)提升和優(yōu)化操作風險管理水平？就這一話題，記者采訪了具有豐富互聯(lián)網(wǎng)金融與科技管理經(jīng)驗的樂視金融首席技術(shù)官丁曉強先生，請他分享了在大數(shù)據(jù)操作風險管理領(lǐng)域的理念、方法論和實踐經(jīng)驗。

根據(jù)巴塞爾委員會的定義：操作風險是指由于不完善的內(nèi)部操作流程、人員、系統(tǒng)或外部事件而導致直接或間接損失的風險，包括法律和監(jiān)管合規(guī)風險。從廣義的角度來講，操作風險是指人員、流程、系統(tǒng)和外部環(huán)境帶來的風險。從金融機構(gòu)的實踐來看，目前的操作風險管理主要集中在企業(yè)內(nèi)部業(yè)務流程的操作風險（雇員）、信息系統(tǒng)的操作風險（數(shù)據(jù)、篡改）、外部的反欺詐等具體應用之中。

大數(shù)據(jù)給操作風險管理帶來的四個新理念

在金融機構(gòu)狹義操作風險管理中，信息系統(tǒng)相關(guān)風險相對獨立，這里暫且不談，互聯(lián)網(wǎng)金融操作風險防御重點要遵循以下四個理念：

（一）系統(tǒng)為主，降低人為風險，能用系統(tǒng)的地方就不用人來操作。在操作流程中，能夠通過系統(tǒng)完成的都交給系統(tǒng)自動完成，降低人為影響。即使流程中有必須人工操作的部分，也要將人為操作因素降低到最少。系統(tǒng)在建設(shè)初期肯定不是完善的，總有漏洞和問題，對系統(tǒng)的持續(xù)改善，總體上是為了使風險越來越小，所以不要怕出現(xiàn)不完美的系統(tǒng)，而是要保持不斷優(yōu)化的習慣。

（二）客戶自助服務為主。在傳統(tǒng)金融機構(gòu)里面，常見的一種場景是用戶手動填單子+柜員手動輸入系統(tǒng)。這個過程就可能產(chǎn)生差錯，帶來風險?；ヂ?lián)網(wǎng)金融在客戶輸入端通常采用客戶自助操作，減少手動錄入過程，避免人為因素帶來操作失誤?？蛻糇约翰僮饕矔a(chǎn)生一個新問題，那就是欺詐問題。不過這最終屬于外部欺詐防范范圍，可以依靠專業(yè)的反欺詐體系來保障。

（三）信息技術(shù)無縫應用。信息系統(tǒng)為操作風險監(jiān)督、報警、糾錯提供了廣泛的可能性，在整個業(yè)務流程中將所有環(huán)節(jié)都用信息技術(shù)來操作，可以通過“量化——建?！O(jiān)控——閾值/報警范圍——糾錯”形成完整閉環(huán)，不斷優(yōu)化，最終實現(xiàn)自動化操作風險管理。例如，數(shù)據(jù)庫中的某個字段被修改就會觸發(fā)報警，這種監(jiān)控的節(jié)點就可以增加和調(diào)整。

（四）建立有梯度/有灰度的防御體系。在業(yè)務流程中進行保護設(shè)計，要有關(guān)聯(lián)證明，不能有單點就可以突破的地方。例如，賬戶金融被改動，需要一系列的業(yè)務操作在前，才能被認可是一個合法的發(fā)動。在操作風險管理中不能只使用單一方法，要采用多因素驗證，建立多層次的防控體系，保證有多個不同機制的手段在不同的節(jié)點進行防控，保證風控體系的縱深度。

操作風險管理的方法論與四個執(zhí)行原則

上述四個理念是貫穿操作風險管理的大方向，實現(xiàn)起來并不輕松，需要長期優(yōu)化改進。在金融行業(yè)內(nèi)部，操作風險管理方法論已非常成熟。例如巴塞爾協(xié)議關(guān)于銀行操作風險管理和信息系統(tǒng)風險管理的指導框架、 COSO企業(yè)內(nèi)部控制框架、COBIT（Control Objectives for Information and related Technology）信息系統(tǒng)審計的標準等。然而將上述方法在現(xiàn)實中論落實執(zhí)行并不簡單，還需要還配套一些原則。在具體執(zhí)行中，遵循以下幾個原則：

（一）信息系統(tǒng)實現(xiàn)實時性。信息系統(tǒng)盡量自動，不可以人為介入或改變規(guī)則。傳統(tǒng)金融機構(gòu)在風控系統(tǒng)設(shè)計時流程管理是主要方向，審批流存在較多的人為干預項，雖然方便了金融決策的上報和直接管理，卻給金融流程種下了風險隱患。當然，如果要對系統(tǒng)或數(shù)據(jù)進行手動操作則要根據(jù)權(quán)限逐級審批，留下證據(jù)，保證審批負責。

（二）信息的不可抵賴性。這就涉及到系統(tǒng)的日志留存。操作員每天操作的都記錄在案，所有的操作都要留痕存證。金融機構(gòu)應根據(jù)歷史數(shù)據(jù)建立模型去預測和驗證，不斷優(yōu)化。如果實際工作中原本預測應該平滑發(fā)生的業(yè)務預測出現(xiàn)了偏離很大的數(shù)據(jù)點，就說明可能存在問題，這些信息的發(fā)現(xiàn)非常重要，需要認真檢查相關(guān)問題，一些操作風險就是從這里面發(fā)現(xiàn)的。

（三）信息的完整性。不能為了節(jié)省而喪失對信息完整性的要求，所有相關(guān)的信息都要求完整保留。

（四）信息系統(tǒng)實現(xiàn)交叉檢查。通過信息系統(tǒng)廣泛鏈接結(jié)構(gòu)和業(yè)務流程，所有信息是關(guān)聯(lián)的，可以通過上下游、左右應用交叉檢查，相關(guān)的系統(tǒng)相互留下信息，相互印證。

與四大理念的努力方向不同，這四個原則是在風險控制系統(tǒng)時必須要求必須實現(xiàn)的，是底線般的存在。

互聯(lián)網(wǎng)金融與傳統(tǒng)金融機構(gòu)在操作風險管理領(lǐng)域的差異

互聯(lián)網(wǎng)金融應用大數(shù)據(jù)進行操作風險管理，在業(yè)務監(jiān)控和數(shù)據(jù)分析上與傳統(tǒng)金融機構(gòu)有很大的差異。

在傳統(tǒng)操作風險管理領(lǐng)域，傳統(tǒng)金融機構(gòu)按照各類規(guī)范框架執(zhí)行，實現(xiàn)人員和權(quán)限隔離，例如雙人復核、崗位設(shè)置的交叉復核；互聯(lián)網(wǎng)金融則主要依靠信息系統(tǒng)，通過信息技術(shù)實現(xiàn)業(yè)務流程，由線上數(shù)據(jù)流推動業(yè)務進行。在互聯(lián)網(wǎng)金融機構(gòu)中，幾乎所有可以用信息系統(tǒng)代替的流程都用信息系統(tǒng)解決，排除信息孤島，由信息系統(tǒng)業(yè)務流程自動執(zhí)行鏈接，所有數(shù)據(jù)不落地也就意味著不存在人為修改數(shù)據(jù)的機會；流程參與者只是信息系統(tǒng)使用者，這是信息系統(tǒng)定義的，流程參與者只要操作好自己的部分就可以。信息系統(tǒng)盡量自動動作，鎖定業(yè)務操作流程，減少人為操作的機會，系統(tǒng)也留下少數(shù)幾個人工操作變更的入口，但是使用這些入口需要上升到公司級審批，走一套復雜的流程才能變更，還要留下證據(jù)，審批人要承擔隨后的責任。

傳統(tǒng)金融機構(gòu)留下的可操作的物理和應用入口比較多，這是傳統(tǒng)金融的信息系統(tǒng)建設(shè)方式和管理文化不同帶來的結(jié)果。

大數(shù)據(jù)如何提升操作風險管理

對互聯(lián)網(wǎng)金融機構(gòu)的操作風險管理而言，大數(shù)據(jù)主要應用在以下幾個方面：

（一）在客戶接觸端實現(xiàn)客戶自助服務，客戶操作中有沒有異常，也可以從大數(shù)據(jù)分析過程識別，避免外部欺詐。這里又會應用到到反欺詐模型。

（二）對于內(nèi)控，涉及到內(nèi)部用戶登錄系統(tǒng)和體系管理。大數(shù)據(jù)在內(nèi)部風控方面的核心是建模，將一切內(nèi)部操作信息化時，流程數(shù)據(jù)就有機會建模，有了體系化模型，才能助力內(nèi)控。內(nèi)部監(jiān)控更多關(guān)注的是用戶的權(quán)限管理。

大數(shù)據(jù)操作風險管理需要注意的問題

（一）人員。因為互聯(lián)網(wǎng)金融的大數(shù)據(jù)風險管理主要依靠信息系統(tǒng)，而這些信息系統(tǒng)是由人設(shè)計和實現(xiàn)的，所以，這些人就是企業(yè)的核心資源。關(guān)注體系的設(shè)計和實現(xiàn)人員，防止人員的單點問題。此外，在進行系統(tǒng)建設(shè)的同時需要建立知識庫，實現(xiàn)文檔管理，避免系統(tǒng)文檔缺乏和人員流失帶來的風險。

（二）動態(tài)調(diào)整。操作風險來自內(nèi)部人員和外部風險兩方面。只要有利益，總會有人去鉆空子。我們要做的是盡量減少隱患，增加鉆空子的難度。比如，要求系統(tǒng)管理員操作留痕，甚至操作的計算機都是遠程可控的，任何的異常行為都留下證據(jù)。操作風險要根據(jù)形勢去做調(diào)整，道高一尺魔高一丈，動態(tài)的發(fā)展，動態(tài)的服務，動態(tài)的操作風險管理。

未來的大數(shù)據(jù)風險管理的發(fā)展還有哪些空間？

更多利用公共資源和外部數(shù)據(jù)。以后大數(shù)據(jù)應用和覆蓋會越來越全面，越全面就會越準確。如果未來可以實現(xiàn)公用資源和技術(shù)（大數(shù)據(jù)交換技術(shù)）的聯(lián)盟，那就有可能做得更好。在這個基礎(chǔ)上可以想象的空間太多了，包括智能分析等很多東西都可以做了。最重要的例子就是，如果在有效信息共享的基礎(chǔ)上，對不同品類的數(shù)據(jù)進行關(guān)聯(lián)分析（如航班、點評、移動網(wǎng)絡(luò)定位等數(shù)據(jù)）后判斷一個人的行為。不過，這也涉及到大數(shù)據(jù)的另外一個話題，成本控制問題，如果有越來越多的企業(yè)參與，每個企業(yè)提供自己的數(shù)據(jù)，聚合在一起，成本就會低廉合算。當然，這不是一家企業(yè)或平臺可以完成的，或許還需要政府出面牽頭?？傊?，未來的大數(shù)據(jù)風險管理的發(fā)展空間廣闊，可以說只有想不到的，沒有做不到的。