1、金融服务业 强化风险管理 拥抱数字未来 2 金融服务业 | 强化风险管理 拥抱数字未来 2 金融服务业 | 强化风险管理 拥抱数字未来 引言 4 数字化风险概况 5 数字化风险的维度 6 数字化风险的类型 7 数字化风险管理中国本地实践 8 总结:化风险为优势 12 目录 3 金融服务业 | 强化风险管理 拥抱数字未来 4 金融服务业 | 强化风险管理 拥抱数字未来 新冠疫情引发了人道主义和经济下行的双重冲击,极大 加速了金融服务业的数字化进程几乎在一夜之间, 所有金融机构就切换到了数字化渠道、数字化技术和数 字化的工作方式。 这一切都是为了应对客户对于更多样化的选择、更高的 透明度以及更顺畅
2、交付的需求。创新型初创企业和新型 企业正通过新的竞争模式做出应对。相应的,为了保护 消费者,维持市场秩序,监管机构也提出了更高的合规 要求。 金融机构内部受到的影响同样巨大。从云计算到人工智 能,一系列先进技术正在对前、中、后台的广泛业务产 生影响,运营和人才模式也需要不断改变以顺应需求。 所有这些趋势中都蕴藏着一条新的暗线:数字化风险。 在本文中,我们全方位地分析了数字化风险并按类型细 分。在此之前,我们也分析了数字化风险对金融服务的 影响以及管理数字化风险的紧迫性。 引言 5 金融服务业 | 强化风险管理 拥抱数字未来 数字化风险概况 1 德勤认清趋势,抓住机遇:2019年全球数字化风险调
3、查, 德勤全球数字化风险调 查发现 为衡量颠覆性技术对金融机构的影 响,德勤英国于近期对全球金融服 务业的167位高管进行了访谈。1 其中: 大多数(69%)受访者所在机构 需要六个月以上的时间才能将想 法转化为实际解决方案 超过三分之一(36%)受访者所 在机构经历了因颠覆性技术出错 而导致的重大事故 仅有7%的受访者表示所在机构中 有关部门提供给风险治理主体用 以高效管理风险的信息是真正完 整而有效的 大多数(60%)受访者对所在机 构风险管理工具有效性的评分为 五分或更低(总分为10分) 仅不到五分之一(19%)的受访 者表示完全相信所在机构的数字 化交付团队具备在数字化企业中 管理风险
4、的适当技能 结论:机构在实现真正数字化转型 过程中面临的诸多壁垒不再与技术 有关,而是与风险管理能力有关。 如今,监管机构希望金融机构能够抵御 全球金融危机、地缘政治事件或全球流 行疾病(例如新冠肺炎)等危机带来的 严重业务中断冲击。金融机构保持运营 弹性的关键在于审慎管理因日益依赖数 字化商业实践而产生的风险。 数字化风险包括软硬件相关的风险,例 如服务中断或未经授权的访问;同时也 包括应用数字化技术时产生的新风险, 例如以下情形: 零售贷款:人工智能系统通过数百个 步骤处理大量输入数据,然后作出贷 款决策。但这一决策是否公平公允并 不清楚。考虑到人工智能系统的复杂 性及其自主学习能力,想要
5、理解系统 的具体决策逻辑是极其困难的。 金融衍生品交易:交易双方同意在进 行简单的利率交换时,通过区块链 签订一项智能合约,在每个结算期结 束时根据中央结算机构公布的市场数 据进行结算。但是,用于验证交易的 区块链可能会将交易细节暴露给竞 争对手。 承保业务:因利润率下降,某人寿保 险公司将目光对准增长潜力巨大的新 兴市场。但是这些新兴市场没有代理 网络,只能通过移动技术接触客户群 体。该保险公司携手一家金融科技公 司开发一款应用程序,却发现自己 被“去中介化”,金融科技公司牢牢 掌握着客户关系的控制权。 如例所示,数字化风险不是单一的一类 风险,它可能具备战略风险、金融风 险、操作风险、监管
6、风险或声誉风险的 属性。同时,数字化风险深奥精妙,并 且会随着数字化生态、业务和服务模式 的发展而不断变化。 这些示例也揭示了金融机构在运营弹性 方面面临的核心冲突:一方面,金融机 构需要对新兴数字化风险进行缓释;另 一方面,金融机构又需要更多的运营弹 性,从而对瞬息万变的商业环境做出快 速应对。换句话说,金融机构需要在速 度和风险控制之间寻找平衡,这就需要 提升风险和鉴证流程的敏捷性。这也意 味着金融机构需要开展以下工作: 培养能够进行理智冒险和试验的新型 文化和技能 掌握新兴前沿科技,参与庞大、复杂 的全球生态体系 在持续不断的变化成为常态时,实现 相匹配的新的执行速度 在实体和数字领域划
7、定新的运营职责 分工和运营模式 前所未有的机遇和挑战带来新的道 德要求 实现这一切确实很复杂。但幸运的是, 金融机构可借助多种方法全面分析风 险,进而系统地识别并管理风险其 中一个出发点就是站在金融机构的视角 去探寻数字化风险的维度。 6 金融服务业 | 强化风险管理 拥抱数字未来 数字化风险与其他类型的风险一样表面风平浪静,实则 暗流涌动。金融机构管理层需要有明确的目标才能识别出数 字化风险。最直观的方法就是从下述维度寻找风险迹象。 数字化风险的维度 新型数字化生态、业务和服务模式。新 的生态、业务和服务模式改变了合作伙 伴和供应商的角色。 可以立即采取的行动:梳理所有有业务 往来的合作伙伴
8、和供应商,明确他们对 客户数据的掌握程度,以及他们是否在 云端托管系统。 体验和参与。如今,有关金融机构如何 与合作伙伴、客户、员工及监管机构互 动的信息,比以往任何时候都传播得更 快、更远。 可以立即采取的行动:检视金融机构的 数字化投资是否具有足够的包容性,能 够惠及所有利益相关方。 理想与愿景。在数字化背景下需要构建 敏捷能力才能有效抓住战略机遇。 可以立即采取的行动:强化机构安全和 稳健实施数字化转型的能力。 不断变化的外部环境。数字化转型相关 风险面临的更加深入详细的监管审查。 可以立即采取的行动:评估金融机构与 各地监管机构的关系。 文化与领导力。需要运用“数字化优 先”的思维方式
9、来拥抱新的工作方式。 可以立即采取的行动:洞悉机构内部各 层级数字化的复杂程度。 品牌建设。金融机构的品牌应当体现其 在数字化领域的愿景。 可以立即采取的行动:调查客户和员工 (包括供应链合作伙伴)对机构的评价。 组织和团队。成功的数字化实践有赖于 建立一支既能够与时俱进又能够守护安 全的业务团队。 可以立即采取的行动:评估风险管理和 内部控制部门是否为适应敏捷团队做好 了充分的准备。 企业运营。风险管理必须能够与动态化 程度和自动化水平更高的业务运营保持 同步。 可以立即采取的行动:分析并寻找事后 鉴证与事前监测之间的平衡。 平台、数据和基础设施。随着数字化 的持续,旧系统有可能会阻碍数字化
10、的 进展。 可以立即采取的行动:盘点历史技术欠债, 评估用于投资新技术的经费是否充足。 7 金融服务业 | 强化风险管理 拥抱数字未来 尽管各家机构的数字化风险状况不尽相同,但某些类型的 风险是金融机构所共有的。本部分列举了其中最主要的几 类风险。 数字化风险的类型 网络安全风险 随着流程和数据的数字化与网络化,网 络安全风险不断上升。金融机构通常需 要同等程度地保护所有数字化资产,而 非着重保护重要资产,这种做法可能会 加剧风险。金融机构通常还会为了规避 网络安全事件,而放弃建立良性风险缓 解措施的机会,或者以牺牲简便易行 的业务流程为代价来建立更复杂的监控 机制。 生态系统风险 在商业生态
11、系统中,网络入侵和系统性 风险可能趁虚而入。例如,合作伙伴关 系和外包服务使金融机构更容易受到不 当行为、风险传染和模型错误的影响。 同时,具有系统重要性的技术和数据提 供商可能会导致单点故障。 新兴技术风险 最大的数字化风险可能来自尚未出现的 技术。例如,信息系统形成自身的逻辑 后产生的金融排斥从而降低了普惠性, 金融机构通过高速网络进行交互而无意 间引发串联,以及数字化系统承担更多 面向客户的职责后出现的违反信托责任 问题。 执行风险 为成功实施数字化项目,金融机构需要 从根本上自上而下地改变执行方式,否 则可能会在用户接受度、制度认可度以 及新旧系统集成方面遇到困难。此外, 组织架构亦可
12、能阻碍敏捷执行。 欺诈风险 如今,数字化交易(尤其是跨境交易) 规模不断增长,完善了解你的客户 (KYC)和反洗钱流程变得空前重要。 这些流程可以帮助金融机构打击与开放 银行、转账汇款、激活新账户相关的欺 诈行为,并在欺诈责任归属并不明确的 环境中发挥更大的作用。 隐私风险 随着数据量激增,与数据隐私和透明度 相关的法律法规也越来越多。金融机构 泄露个人可识别信息所面临的风险不断 上升。保留不必要的数据以及不够明确 的数据所有权、使用和变更都可能加剧 隐私风险。 法律及监管风险 面对金融服务数字化水平越来越高,各 国监管机构纷纷发布新的监管规则。但 这些监管制度处于不同的成熟阶段,并 且可能与
13、现行商业惯例相抵触。急于追 求监管合规而使合规要求和系统变得繁 冗复杂,或将导致风险上升。 品牌及声誉风险 数据丢失、中断和滥用会严重损害金融 机构的声誉。此外,数字化工具可能会 产生道德问题和偏误,对金融服务产生 负面影响。不完整或不具代表性的数据 集、输入数据中的偏差以及开发人员的 潜意识偏见等问题会影响数字化应用程 序的内部逻辑。 战略风险 战略选择可能会加剧数字化风险。例 如,金融机构可能选择不对IT与经营战 略进行整合,亦可能选择对现有流程进 行数字化改造而非整体改进,或着眼于 短期的成本节约而非全面数字化升级。 此外,金融机构还可能忽视而非接纳新 的合作伙伴和技术。 人才和文化风险
14、 金融机构可能面临数据科学家和开发人 员等数字化转型人才匮乏的问题。同 时,员工提升技能或综合发展的机会可 能相对有限。为顺应长期趋势,金融机 构需要采用更灵活的工作方式,但一些 员工可能会因为担心失去工作而抵制数 字化转型。 8 金融服务业 | 强化风险管理 拥抱数字未来 数字化风险管理中国本地实践 中国监管要求 在整体制度层面,中国监管机构目前未提出系统的数字化风险治理、管控框架,但是,在数字化转型中的金融科技和网络安 全、数据治理、隐私保密、消费者保护等领域均出台了具体的制度规则和标准。其中核心文件包括: 发文机构领域文件 中国人民银行金融科技金融科技(FinTech)发展规划(2019
15、2021年) 中华人民共和国全国人民代表大会常务委员会 网络安全网络安全法 中华人民共和国公安部 网络安全网络安全等级保护条例(征求意见稿) 国家标准化管理委员会网络安全信息技术安全 网络安全等级保护实施指南 信息技术安全 网络安全等级保护定级指南 信息安全等级保护备案实施细则 信息技术安全 网络安全等级保护基本要求 信息技术安全 网络安全等级保护安全设计技术要求 信息技术安全 网络安全等级保护测评要求 中国银行保险监督管理委员会数据治理银行业金融机构数据治理指引 中国人民银行消费者保护金融消费者权益保护实施办法 中国人民银行隐私保密个人金融信息保护技术规范 中国本土金融机构在数字化风险管理过
16、 程中面临的新挑战 在网络安全及数据隐私方面,监管规则 逐渐明晰,并且金融机构对这些领域的 认知度已经很高,且已经或正在开展大 量工作。然而,在算法风险方面,金融 机构的认知尚处于起步阶段,远落后于 算法的应用程度。并且,渠道、产品、 业务流程的数字化程度提升,加剧了欺 诈风险的影响,金融机构欺诈风险管理 水平与数字化程度不匹配。因此,金融 机构在算法风险和欺诈风险领域面临较 大挑战。 算法风险 与传统风险不同,算法风险存在隐藏 的“偏见”、缺乏可验证性及复杂的解 决方案三大特点: 算法可能有隐藏的偏见,不是来自人 为的任何意图,而是来自于数据本 身。这些偏差可能不会作为一个明确 的规则出现,
17、而是被考虑在成千上万 个因素之间的微妙交互中。 与传统的基于显示逻辑规则的系统 不同,算法判断的是统计学上的真 理,而不是真实的事实。所以,金融 机构很难甚至无法证明算法结果的 正确性。 当算法出现错误时,在短时间内造成 巨大损失,而错误诊断和纠正错误的 解决方案可能是难以想象的复杂。 算法风险带来的影响也是多方面的,算 法的不当应用将带来声誉风险、财务风 险、运营风险、监管风险、技术风险和 战略风险。 9 金融服务业 | 强化风险管理 拥抱数字未来 欺诈风险 随着金融机构线上化业务的快速发展,欺诈风险也急剧上升。以信贷领域为例,其造成的损失不可忽视(见图1)。 图1:欺诈造成的影响 图2:欺
18、诈活动六大典型特征 同时,我们也观察到,欺诈活动呈现出专业程度高、隐蔽性强、有组织作案、内外勾结、形式多样和持续演化等六大典型特征 (见图2),这些都对风险防控带来了挑战。 客户快速下沉,风险和不 良资产随之增高,不良率 高达3-5% 金融机构不良资产中约 25%的部分源自于欺诈 申请 即使是成熟机构,不良 中的欺诈占比亦可触及 50%甚至更高 3%25%50%+ 专业程度高隐蔽性强有组织作案内外勾结形式多样持续演化 职业化、专业化、 针对银行产品和 控制漏洞设计策略 欺诈活动的隐蔽性强, 往往在最初看上去都 是正常客户 90%以上的欺诈活动 有组织、有预谋、有 明确分工和严密流程 75%的欺
19、诈申请有内 部人员参与,内外 勾结,线下产品尤甚 信贷欺诈形式多样, 根据不同业务、产品、 渠道灵活设计 信贷欺诈手段不断 演化,对银行反欺 诈措施进行规避 10 金融服务业 | 强化风险管理 拥抱数字未来 图3:德勤反欺诈管理解决方案框架 德勤的解决方案 反欺诈管理解决方案 德勤提供涵盖反欺诈制度流程建设、数 据集市建设、AI技术应用、系统建设规 划、外部数据选型在内的全方位管理咨 询服务。同时覆盖全流程欺诈风险管理 自动化、智能化的系统开发、实施、优 化等内容。 业务咨询:建立完善的反欺诈管理体 系,包括治理架构设计、政策制度、 全流程欺诈风险管理流程、反欺诈规 则与模型设计、数据规范及数
20、据集市 设计、信息系统需求设计等方面。 技术咨询:提供包括测试验证、外部 数据寻源与接入、系统自研辅导、技 术选型、系统选型等技术咨询方案。 开发落地:系统全面开发落地,包括 方案设计、数据准备、系统开发、继 承测试和系统运维等服务。 能力建设:系统性地开展欺诈风险管 理人员的能力建设,包括技能培训、 文化宣贯和现场辅导等形式。 通过反欺诈管理体系,有效提升欺诈风 险防范水平,为业务的数字化转型建立 坚实的技术底座。 现状诊断 制度流程 数据基础 技术方案 系统方案 业务咨询 咨询服务 AI技术能力 数据能力 申请欺诈交易欺诈内部欺诈反洗钱 监督学习 内部数据专题数据集市外部数据 图像识别 知
21、识图谱 声纹 非监督学习模糊匹配 网络爬虫 自然语言处理 视图化分析 技术咨询开发落地能力建设 测试验证 外部数据 自研辅导 技术选型 系统选型 方案设计 数据准备 系统开发 集成测试 系统运维 技能培训 文化宣贯 现场辅导 11 金融服务业 | 强化风险管理 拥抱数字未来 德勤算法风险管理解决方案 德勤算法风险管理框架涵盖算法全生命 周期,涉及策略和管理、开发和部署及 上线后管理三大方面,帮助企业认识 算法的风险和局限,建立算法风险管理 体系。 策略与管理:侧重算法在企业中的管 理策略,从流程、制度等方面出发, 评估企业算法风险的管理现状,建立 整体管理体系。 开发和部署:从算法设计流程至算
22、 法部署流程,数据评估,再到算法使 用,关注算法在开发和部署过程中的 潜在风险,在设计过程中规避由于偏 见导致的算法风险。 上线后管理:算法上线后,持续监控 算法使用情况及算法结果,进行敏感 度分析和独立验证,规避算法执行中 的失控风险,降低由于算法不可验 证、算法问题解决方案复杂等特性可 能导致的损失。 通过应用算法风险管理体系,可以规避 或降低算法潜在风险,提高算法预测精 准度,合理释放数据的巨大潜力。对应 用通用及复杂算法的企业而言,建立算 法风险管理体系,也是企业在数字化转 型过程中敢用数据、用好数据的保障。 目标和策略 问责与监管 原则、政策、 标准和指引 算法变更流程 算法设计流程
23、 数据评估持续监控 算法测试 策略和管理开发和部署上线后管理 算法全生命周期管理 图4:德勤算法风险管理架构图 12 金融服务业 | 强化风险管理 拥抱数字未来 董事会该从何入手?不妨考虑采取以下举措: 01. 董事会下设专门的委员会,增进对数字化风险的理解 02. 新增一名在数字化方面拥有强大管理能力和丰富领导经验的董事 03. 要求内部审计通过审计委员会报告数字化风险 04. 鼓励管理层提高数字化转型报告的质量 05. 针对董事会应当关注的数字化风险情况设定标准 06. 在董事会会议议程中安排有关数字化风险的讨论 07. 要求管理层简单明了地介绍数字化风险、程序和问题的最新情况 08. 邀请外部专家对数字化风险概况发表独立意见 09. 开展压力测试,衡量金融机构应对重大事件的能力 在金融风险和监管风险备受关注的环境下,数字化转型的风险容易被忽略。但幸而 数字化风险比看起来更容易理解,直觉决断力便可作为可靠指引。董事会成员可以 通过审慎管理数字化风险,帮助所在金融机构提升客户体验和迎接数字化未来,并 为创建更具韧性的金融服务生态系统贡献力量。 金融机构正处于剧烈的数字化颠覆阶段。这种颠覆正在 改变数字化风险的性质,亦在不断引发新型数字化风 险。同时,数字化技术和流程为金融机构重塑业务模式 和转变客户交互提供了机遇。 总结:化风险为优势
