操作风险数字化管理在信用卡行业的运用

中国信用卡 2021-09-15 18:03

作者

中信银行信用卡中心 翟少安 杨志文


近年来,商业银行数字化转型的步伐逐渐加快,越来越多的业务逐步转向系统实现。其中,得益于与生俱来的数字化基因,信用卡业务的数字化管理水平较其他业务条线更为领先。通过不断推进大数据、人工智能等新技术在信用卡业务中的应用,信用卡中心在获客、支付、服务、风控、管理等方面率先实现“互联网+数字化”管理。与此同时,面对信用卡行业庞大的客户群体,信用卡中心不断扩大地面营销、电话营销、客服、催收等触客作业团队规模,使得信用卡从业人员结构愈加复杂、流动性越来越高,内部风险管理挑战不断增加。


《巴塞尔协议Ⅲ》整体落地实施时点将近,为了满足更高的监管要求,商业银行持续完善风险内控管理,按照《巴塞尔协议Ⅲ》相关要求,不断加强操作风险内部数据建设。鉴于信用卡业务的操作风险管理涉及点多、涉及面广、成本高、难度大,信用卡中心可基于操作过程数字化管理核心思想,结合长期实际运用的经验积累,实施内部员工操作行为留痕、监测、调查、管控的系统化措施,为自身走出操作风险数字化管理转型的困境打开思路,更为信用卡行业实现《巴塞尔协议Ⅲ》达标和进一步节约资本提供解决方案。


一、理论基础


1.传统操作风险管理理论


传统的操作风险管理理论虽然强调内部控制和过程管理,但风险识别和评估主要还是由风险管理人员来负责。从风险识别工具来看,对现存业务开展风险控制自我评估(RCSA)、对新业务和新产品实行评审机制等主要依赖风控专家的主观判断,人为因素对评估结果影响很大;同时,很多风险识别和监控工作的评估周期不能与业务的快速变化相适应,导致风险点得不到有效更新。从风险评估方法来看,由于对各个风险点发生的概率进行评估时可以参考的历史数据十分有限,主要采取专家经验法,因此评估的结果带有主观性。


2.行为监控相关理论


传统操作风险管理中常常运用归因分析的方法对行为监控与操作风险量化管理进行研究。近年来,信用卡行业对行为监控与操作风险量化管理的研究逐渐深入,其中肖斌卿等在《流程、合规与操作风险管理》一文中指出,“违规活动—操作风险—信用风险”这一风险链条的建立为深化信用风险研究提供了一个新的视角。该研究提出引用信用风险管理中成熟的判别分析方法来度量因子的影响,运用多元线性回归模型将人员因素的变量分别与操作风险发生频率和操作风险损失程度回归。研究发现,岗位性质、员工素质、行为特征、性别等对操作风险有较为显著的影响。


3.用户行为分析技术


目前实务中针对用户行为分析的研究已经比较丰富,在操作风险量化管理方面,可以借鉴的用户行为分析技术有很多:有的分析客户偏好习惯,用于推荐个性化产品与服务;有的分析异常操作,防范外部欺诈和网络攻击。后者如阿里巴巴的一项识别用户异常操作的专利,通过日志数据选取N个操作特征的集合确定异常得分,基于异常得分与阈值的比较确定最终的N阶特征,从而对用户的异常操作进行识别,以此通过N-1阶特征逐步迭代N阶特征,实现对用户异常操作的快速识别,并提高识别的准确率。用户行为分析技术的本质是通过大数据手段分析用户在系统上的操作行为特征,分辨“正常”和“异常”。对于操作风险管理而言,这种技术和方法同样是适用的,无非是将监控对象从外部客户替换成了内部人员。


4.操作风险数字化的监管要求


《巴塞尔协议Ⅲ》从商业银行资本这一宏观视角对风险管理提出了要求:一是建立逆周期资本监管;二是建立基于风险中立的杠杆比率;三是严格经济资本管理。这些要求的核心均是提高商业银行资本充足率,这意味着提高操作风险管理效率、增强操作风险管理能力、降低操作风险监管资本是满足《巴塞尔协议Ⅲ》要求的题中应有之义。在数字化管理方面,《巴塞尔协议Ⅲ》规定,商业银行应主动提升数据管理能力,加强IT系统和数据基础建设,建立“数据库—数据集市—数据仓库—应用系统”的完整技术架构,为风险计量模型开发和风险管理应用提供基础数据,通过业务条线、行业、地区等各类维度,汇总加工风险信息数据,增强对基础数据的获取、筛选、分析能力,提升数据系统化管理水平。


此外,原银监会发布的《商业银行操作风险管理指引》也要求商业银行采用更加先进的风险管理方法,如使用量化方法对各部门的操作风险进行评估,建立并逐步完善操作风险管理信息系统,针对潜在损失不断增大的风险,建立早期的操作风险预警机制,根据各业务线操作风险的特点有针对性地进行管理。


二、管理框架


在操作风险数字化管理过程中,信用卡中心应建立同业务规模相适应的操作风险量化管理平台,实现系统性的“留痕—监控—评价”机制。首先是将主要业务系统的操作行为通过前端埋点等技术进行收集后即时推送至操作风险量化管理平台,建立中央集成式的痕迹追索数据库;其次是利用痕迹与数据仓信息,建立大数据指标体系,一方面开展实时行为监控,另一方面进行批量业务监控;最后是建立人员风险综合评分模型等评价体系,多维度、全方位提高操作风险水平,提升管理效能。


“留痕—监控—评价”机制要求完善“以风险管理部门为中心、突出业务部门主动管理”的工作模式,建立健全联防联控、共建共享的工作机制,强化“第一道防线”与“第二道防线”协同、总部与分支机构联动管理,通过监控整改和管理优化,不断增强“第一道防线”和分支机构的风险红线意识、自我管理意识、主动防范意识。


此外,信用卡中心还可将风险信息收集机制作为补充,充分激发分支机构向总部及时快速传递各类风险信息的动力。该机制将内部“吹哨人”模式系统化、线上化,切实强化分支机构“烽火台”的作用,构筑总部与分支机构协调联动的“风控长城”。


三、技术应用


1.基于内部操作行为监控技术实现留痕管理


信用卡中心可将前端埋点监控和后端数据对接两种模式相结合,实现内部操作行为监控:对于一般的业务系统,在网页前端采用已经比较成熟的Piwik技术,通过埋点实现操作行为实时自动收集;对于有定制化监控需求的业务系统,在系统后端通过API接口传输监控数据。


(1)前端Piwik埋点监控


在业务系统页面前端,使用内部行为监控规范脚本,快速完成按键、文本框的埋点,收集所有的操作人、操作时间、操作页面、操作事件ID、操作事件类型、操作事件内容等,存入中央集成的痕迹追索数据库。


(2)后端API接口监控


在业务系统后端开发定制化监控模块,事先设定异常行为监控逻辑,将符合监控规则的数据发送至行为监控数据库。


2.依托数据指标体系实现监控管理


信用卡中心可通过建立数据指标体系实现监控管理,数据主要来自于实时监控和批量特征。


在实时监控方面,可利用痕迹追索数据库以及风险控制自我评估(RCSA)梳理出的成果,对各主要业务流程、系统的关键业务操作设置预警规则,规则一经部署,即启动操作行为实时感知功能,便于监控人员通过监控仪表盘随时查看掌握异常操作的情况;同时还可设置系统以邮件形式每日向监控人员发送报表通知。在实际应用中,实时监控模式比较单一,难以精确适用一些复杂的业务场景,有待进一步优化完善。


在批量特征方面,可将数据仓库的贷前审批、贷中管控、交易授权、设备使用等各种海量数据信息进行加工汇总后定时推送,实现监控结果展示和通知。在实际应用时,可创新应用多维特征库的监控手段:通过总结案例经验,提炼同一类型风险的多个共同行为特征,即设置一个多维特征库,在后续监控中,系统进行自动化“撞库”,把触碰相同特征的人员作为同类风险识别出来,实现多维预警。


3.基于评分模型实现操作风险评价管理


信用卡中心可充分利用现有的数字化资源,构建多维度操作风险特征体系,研究开发操作风险行为管理评分模型,形成基于评分模型的数字化风控能力,实现操作风险的精准识别和预警管理。


以营销团队为例,可依托客户经理的营销行为信息以及客户申请、交易等行为信息,并结合营销作业的特点构建评分模型。评分模型的目标变量应包括:客户经理的基础属性以及设备使用、人脸识别、资料填写、反欺诈等行为;客户经理所引入客群的风险情况以及交易、异常行为等多个维度,全面覆盖营销作业行为的各个方面,形成综合评分结果,有效识别引入逾期客户较多的客户经理,实现对客户经理的风险排序,从而预测客户经理所引入客户的逾期风险,实现预警管理。


针对信用卡行业操作风险数字化管理,信用卡中心应把握监管要求和行业趋势变化,形成操作风险数字化管理系统、管理机制、风险文化三位一体的模式,助力“第一道防线”减负增效,为商业银行率先实现《巴塞尔协议Ⅲ》达标、有效节约监管资本提供坚实基础。


本文刊于《中国信用卡》2021年第9期


责任编辑:谢香玲

投稿邮箱:fcc@icbc.com.cn

                   pubsh@fcc.com.cn


喜欢本文的话,戳这里↓↓↓

推荐阅读