金融服务业:强化风险管理 拥抱数字未来
金融服务业强化风险管理 拥抱数字未来 2金融服务业 | 强化风险管理 拥抱数字未来 2金融服务业 | 强化风险管理 拥抱数字未来引言 4数字化风险概况 5数字化风险的维度 6数字化风险的类型 7数字化风险管理中国本地实践 8总结:化风险为优势 12目录 3金融服务业 | 强化风险管理 拥抱数字未来 4金融服务业 | 强化风险管理 拥抱数字未来新冠疫情引发了人道主义和经济下行的双重冲击,极大加速了金融服务业的数字化进程——几乎在一夜之间,所有金融机构就切换到了数字化渠道、数字化技术和数字化的工作方式。这一切都是为了应对客户对于更多样化的选择、更高的透明度以及更顺畅交付的需求。创新型初创企业和新型企业正通过新的竞争模式做出应对。相应的,为了保护消费者,维持市场秩序,监管机构也提出了更高的合规要求。金融机构内部受到的影响同样巨大。从云计算到人工智能,一系列先进技术正在对前、中、后台的广泛业务产生影响,运营和人才模式也需要不断改变以顺应需求。所有这些趋势中都蕴藏着一条新的暗线:数字化风险。在本文中,我们全方位地分析了数字化风险并按类型细分。在此之前,我们也分析了数字化风险对金融服务的影响以及管理数字化风险的紧迫性。引言 5金融服务业 | 强化风险管理 拥抱数字未来数字化风险概况1 德勤《认清趋势,抓住机遇:2019年全球数字化风险调查》, https://www2.deloitte.com/content/campaigns/uk/global-digital-risk-survey/global-digital-risk-survey/global-digital-risk-survey.html德勤全球数字化风险调查发现为衡量颠覆性技术对金融机构的影响,德勤英国于近期对全球金融服务业的167位高管进行了访谈。1其中: •大多数(69%)受访者所在机构需要六个月以上的时间才能将想法转化为实际解决方案 •超过三分之一(36%)受访者所在机构经历了因颠覆性技术出错而导致的重大事故 •仅有7%的受访者表示所在机构中有关部门提供给风险治理主体用以高效管理风险的信息是真正完整而有效的 •大多数(60%)受访者对所在机构风险管理工具有效性的评分为五分或更低(总分为10分) •仅不到五分之一(19%)的受访者表示完全相信所在机构的数字化交付团队具备在数字化企业中管理风险的适当技能结论:机构在实现真正数字化转型过程中面临的诸多壁垒不再与技术有关,而是与风险管理能力有关。如今,监管机构希望金融机构能够抵御全球金融危机、地缘政治事件或全球流行疾病(例如新冠肺炎)等危机带来的严重业务中断冲击。金融机构保持运营弹性的关键在于审慎管理因日益依赖数字化商业实践而产生的风险。数字化风险包括软硬件相关的风险,例如服务中断或未经授权的访问;同时也包括应用数字化技术时产生的新风险,例如以下情形: •零售贷款:人工智能系统通过数百个步骤处理大量输入数据,然后作出贷款决策。但这一决策是否公平公允并不清楚。考虑到人工智能系统的复杂性及其自主学习能力,想要理解系统的具体决策逻辑是极其困难的。 •金融衍生品交易:交易双方同意在进行简单的利率交换时,通过区块链签订一项智能合约,在每个结算期结束时根据中央结算机构公布的市场数据进行结算。但是,用于验证交易的区块链可能会将交易细节暴露给竞争对手。 •承保业务:因利润率下降,某人寿保险公司将目光对准增长潜力巨大的新兴市场。但是这些新兴市场没有代理网络,只能通过移动技术接触客户群体。该保险公司携手一家金融科技公司开发一款应用程序,却发现自己被“去中介化”,金融科技公司牢牢掌握着客户关系的控制权。如例所示,数字化风险不是单一的一类风险,它可能具备战略风险、金融风险、操作风险、监管风险或声誉风险的属性。同时,数字化风险深奥精妙,并且会随着数字化生态、业务和服务模式的发展而不断变化。这些示例也揭示了金融机构在运营弹性方面面临的核心冲突:一方面,金融机构需要对新兴数字化风险进行缓释;另一方面,金融机构又需要更多的运营弹性,从而对瞬息万变的商业环境做出快速应对。换句话说,金融机构需要在速度和风险控制之间寻找平衡,这就需要提升风险和鉴证流程的敏捷性。这也意味着金融机构需要开展以下工作: •培养能够进行理智冒险和试验的新型文化和技能 •掌握新兴前沿科技,参与庞大、复杂的全球生态体系 •在持续不断的变化成为常态时,实现相匹配的新的执行速度 •在实体和数字领域划定新的运营职责分工和运营模式 •前所未有的机遇和挑战带来新的道德要求实现这一切确实很复杂。但幸运的是,金融机构可借助多种方法全面分析风险,进而系统地识别并管理风险——其中一个出发点就是站在金融机构的视角去探寻数字化风险的维度。 6金融服务业 | 强化风险管理 拥抱数字未来数字化风险与其他类型的风险一样——表面风平浪静,实则暗流涌动。金融机构管理层需要有明确的目标才能识别出数字化风险。最直观的方法就是从下述维度寻找风险迹象。数字化风险的维度新型数字化生态、业务和服务模式。新的生态、业务和服务模式改变了合作伙伴和供应商的角色。可以立即采取的行动:梳理所有有业务往来的合作伙伴和供应商,明确他们对客户数据的掌握程度,以及他们是否在云端托管系统。体验和参与。如今,有关金融机构如何与合作伙伴、客户、员工及监管机构互动的信息,比以往任何时候都传播得更快、更远。可以立即采取的行动:检视金融机构的数字化投资是否具有足够的包容性,能够惠及所有利益相关方。理想与愿景。在数字化背景下需要构建敏捷能力才能有效抓住战略机遇。可以立即采取的行动:强化机构安全和稳健实施数字化转型的能力。 不断变化的外部环境。数字化转型相关风险面临的更加深入详细的监管审查。可以立即采取的行动:评估金融机构与各地监管机构的关系。文化与领导力。需要运用“数字化优先”的思维方式来拥抱新的工作方式。可以立即采取的行动:洞悉机构内部各层级数字化的复杂程度。品牌建设。金融机构的品牌应当体现其在数字化领域的愿景。可以立即采取的行动:调查客户和员工(包括供应链合作伙伴)对机构的评价。组织和团队。成功的数字化实践有赖于建立一支既能够与时俱进又能够守护安全的业务团队。可以立即采取的行动:评估风险管理和内部控制部门是否为适应敏捷团队做好了充分的准备。企业运营。风险管理必须能够与动态化程度和自动化水平更高的业务运营保持同步。可以立即采取的行动:分析并寻找事后鉴证与事前监测之间的平衡。平台、数据和基础设施。随着数字化的持续,旧系统有可能会阻碍数字化的进展。可以立即采取的行动:盘点历史技术欠债,评估用于投资新技术的经费是否充足。 7金融服务业 | 强化风险管理 拥抱数字未来尽管各家机构的数字化风险状况不尽相同,但某些类型的风险是金融机构所共有的。本部分列举了其中最主要的几类风险。数字化风险的类型网络安全风险随着流程和数据的数字化与网络化,网络安全风险不断上升。金融机构通常需要同等程度地保护所有数字化资产,而非着重保护重要资产,这种做法可能会加剧风险。金融机构通常还会为了规避网络安全事件,而放弃建立良性风险缓解措施的机会,或者以牺牲简便易行的业务流程为代价来建立更复杂的监控机制。生态系统风险在商业生态系统中,网络入侵和系统性风险可能趁虚而入。例如,合作伙伴关系和外包服务使金融机构更容易受到不当行为、风险传染和模型错误的影响。同时,具有系统重要性的技术和数据提供商可能会导致单点故障。新兴技术风险最大的数字化风险可能来自尚未出现的技术。例如,信息系统形成自身的逻辑后产生的金融排斥从而降低了普惠性,金融机构通过高速网络进行交互而无意间引发串联,以及数字化系统承担更多面向客户的职责后出现的违反信托责任问题。执行风险为成功实施数字化项目,金融机构需要从根本上自上而下地改变执行方式,否则可能会在用户接受度、制度认可度以及新旧系统集成方面遇到困难。此外,组织架构亦可能阻碍敏捷执行。欺诈风险如今,数字化交易(尤其是跨境交易)规模不断增长,完善了解你的客户(KYC)和反洗钱流程变得空前重要。这些流程可以帮助金融机构打击与开放银行、转账汇款、激活新账户相关的欺诈行为,并在欺诈责任归属并不明确的环境中发挥更大的作用。隐私风险随着数据量激增,与数据隐私和透明度相关的法律法规也越来越多。金融机构泄露个人可识别信息所面临的风险不断上升。保留不必要的数据以及不够明确的数据所有权、使用和变更都可能加剧隐私风险。法律及监管风险面对金融服务数字化水平越来越高,各国监管机构纷纷发布新的监管规则。但这些监管制度处于不同的成熟阶段,并且可能与现行商业惯例相抵触。急于追求监管合规而使合规要求和系统变得繁冗复杂,或将导致风险上升。品牌及声誉风险数据丢失、中断和滥用会严重损害金融机构的声誉。此外,数字化工具可能会产生道德问题和偏误,对金融服务产生负面影响。不完整或不具代表性的数据集、输入数据中的偏差以及开发人员的潜意识偏见等问题会影响数字化应用程序的内部逻辑。战略风险战略选择可能会加剧数字化风险。例如,金融机构可能选择不对IT与经营战略进行整合,亦可能选择对现有流程进行数字化改造而非整体改进,或着眼于短期的成本节约而非全面数字化升级。此外,金融机构还可能忽视而非接纳新的合作伙伴和技术。人才和文化风险金融机构可能面临数据科学家和开发人员等数字化转型人才匮乏的问题。同时,员工提升技能或综合发展的机会可能相对有限。为顺应长期趋势,金融机构需要采用更灵活的工作方式,但一些员工可能会因为担心失去工作而抵制数字化转型。 8金融服务业 | 强化风险管理 拥抱数字未来数字化风险管理中国本地实践中国监管要求在整体制度层面,中国监管机构目前未提出系统的数字化风险治理、管控框架,但是,在数字化转型中的金融科技和网络安全、数据治理、隐私保密、消费者保护等领域均出台了具体的制度规则和标准。其中核心文件包括:发文机构领域文件中国人民银行金融科技《金融科技(FinTech)发展规划(2019—2021年)》中华人民共和国全国人民代表大会常务委员会 网络安全《网络安全法》中华人民共和国公安部 网络安全《网络安全等级保护条例(征求意见稿)》国家标准化管理委员会网络安全《信息技术安全 网络安全等级保护实施指南》《信息技术安全 网络安全等级保护定级指南》《信息安全等级保护备案实施细则》《信息技术安全 网络安全等级保护基本要求》《信息技术安全 网络安全等级保护安全设计技术要求》《信息技术安全 网络安全等级保护测评要求》中国银行保险监督管理委员会数据治理《银行业金融机构数据治理指引》中国人民银行消费者保护《金融消费者权益保护实施办法》中国人民银行隐私保密《个人金融信息保护技术规范》中国本土金融机构在数字化风险管理过程中面临的新挑战在网络安全及数据隐私方面,监管规则逐渐明晰,并且金融机构对这些领域的认知度已经很高,且已经或正在开展大量工作。然而,在算法风险方面,金融机构的认知尚处于起步阶段,远落后于算法的应用程度。并且,渠道、产品、业务流程的数字化程度提升,加剧了欺诈风险的影响,金融机构欺诈风险管理水平与数字化程度不匹配。因此,金融机构在算法风险和欺诈风险领域面临较大挑战。算法风险与传统风险不同,算法风险存在隐藏的“偏见
