风险445端口

金融行业的监管科技及最佳实践RegTechandBestPracticeinFinanceIndustryIBM金融行业解决方案专家团队1.
监管合规和风险控制需求分析-32.
RegTech的概念和总体框架43.
合规风险64.
金融犯罪75.
金融风险86.
操作风险97.
安全风险108.
新兴技术赋能119.
RegTech总结1210.
参考文献13目录金融行业的监管科技及最佳实践(RegTechandBestPracticeinFinanceIndustry)1.
监管合规和风险控制需求分析:据统计,自2008年金融危机以来,全球银行因不合规付出了总计超过3200亿美元的罚款,许多大型国际银行和我国银行的一些海外分支机构等由于未能满足当地监管要求而付出了惨痛的罚金代价.
此外,各国都在不断加强对金融机构的监管,例如美国防范系统性风险的《多德-弗兰克法案》、BASEL的FRTB《交易账户根本审查》新规、欧盟的个人隐私保护条例(GDPR)、中国银保监会也相继推出了如《银行账户利率风险监管标准》(IRRBB),《交易对手违约风险计量规则》(SACCR)、《商业银行内部控制指引》等相关规定,全球金融监管类条款新增和更新的内容每年已达3亿页以上,而违反GDPR规则的组织将被处以高达4%全球营业额的罚款.
金融机构不得不付出大量人力、物力、财力进行合规相关的事务处理工作,包括合规政策文件解读和相关法律事务、监管报送、业务影响分析、业务流程改进和落实等等.
同时金融行业犯罪不断呈现出新的特点,信用卡、信贷申请欺诈更加隐蔽,交易欺诈作案时间短、金额大、跨度广,伪卡虚假申请、互联网欺诈、失窃卡、账户盗用已经成为有组织的、度成熟高的犯罪行为.
仅2016年我国银行卡欺诈累计就造成客户损失1.
83亿元,而洗钱犯罪的手法也是层出不穷,例如跨境洗钱和恐怖主义融资等活动通过在线借贷平台、虚拟货币公司、操纵公司账户进行贸易活动.
另外信息安全如窃取账户、非授权访问、恶意软件潜伏待触发、钓鱼攻击等事件损失巨大,按每条丢失或遭窃的记录计算,全球所有行业数据泄露的平均成本为158美元,而金融服务行业平均为221美元,高出其四成.
在全球范围内,金融稳定理事会(FSB)、巴塞尔银行监管委员会(BCBS)、国际保险监管协会(IAIS)、货币基金组织(IMF)、国际证监会组织(IOSCO)等国际组织已经各自下设金融科技监管工作小组.
2016年,FSB作为全球金融治理的牵头机构发布了《金融科技的全景描述与分析框架报告》,以维护金融稳定为核心,探讨了金融科技蕴藏的系统性风险以及监管应对问题.
2017年,我国央行成立了金融科技委员会,并且明确提出要加强监管科技的研究与应用,提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力.
这是监管科技(RegTech)首次出现在中国金融监管部门的正式对外表述中.
长远来看,强化监管是维持中国金融稳定、防控金融风险的必要所在.
监管的业务范围涵盖支付结算、存贷款与资本筹集、投资管理、市场设施等更广泛领域.
IBM金融行业解决方案专家团队归纳整理了金融行业RegTech的总体框架及分层架构,包括合规风险与策略、金融犯罪、金融风险、治理-风险-合规、安全风险以及RegTech的赋能技术支持,阐述了不同风险领域的特征需求和典型场景,分享了业内RegTech的最佳实践和参考案例,以期对金融机构的监管合规能力的提升有所帮助.
3金融行业的监管科技及最佳实践2.
RegTech的概念和总体框架:什么是RegTechRegTech,也称监管科技,是指应用IT新技术帮助银行和其他金融机构满足监管监控、报告、合规和风险管理等方面的挑战.
RegTech帮助企业有效管理监管合规性的各式风险并降低与合规相关的成本,其本质是"利用最新的科技手段来服务于监管和合规,以实现金融机构稳定的永续发展".
RegTech需要深厚的风险合规专业知识和先进的金融科技赋能技术支持,通过实施更明智的决策来转型管理风险和合规职能方式,包括从监管变更管理到特定的合规流程优化,如反洗钱、制裁合规、持续监督和压力测试等.
RegTech的总体框架如下图-1所示,其快速发展的驱动力来自趋严的监管政策、日新月异的金融科技(FinTech)、复杂的运维管理和资源成本的压力.
从监管层面看,FinTech在促进业务创新的同时也带来了监管复杂性的挑战.
FinTech业务模式背后是庞大、复杂、异构、关联的信息系统,海量的信息流和复杂数据结构客观上给识别风险造成了监测和管控的难度.
图-1:RegTech总体框架4金融行业的监管科技及最佳实践自上而下来看,RegTech的重点领域包括合规风险与策略、金融犯罪、金融风险、治理-风险-合规、安全风险及赋能技术六个层次,它们的主要定位分别描述如下:1.
合规风险-罚款、处罚和大型合规团队不再是开展业务所必须付出的代价.
专业知识与先进技术的正确组合可以帮助银行快速理解和管理新出台的政策以及不断变化的法规.
例如IBMPromontory(鹏睿)合规风险管理与策略咨询服务广泛覆盖反洗钱、制裁、反腐败、隐私与数据保护、网络与信息安全、消费者保护等各个方面,协助海内外金融机构借助专家的力量了解、适应当地监管与合规要求,建立、健全合规体系,制定合规措施、流程和改进计划.
2.
金融犯罪-指的是银行内部人员、客户或第三方,单独或伙同他人,通过虚构事实或隐瞒真相的方法,从银行或客户骗取不正当好处或利益,造成银行资金、声誉或其他损失的行为,范围涵盖智能实时风控、申请反欺诈、交易反欺诈、安全支付、反洗钱洞察、欺诈监督等,高命中率、低误报率、最短时间的侦测和阻断是防范金融犯罪的关键.
3.
金融风险-巴塞尔IV全球银行改革方案给金融环境增添了不确定性和复杂性,中国银保监会也积极响应推出了如《银行账户利率风险监管标准》(IRRBB),《交易对手违约风险计量规则》(SACCR),《商业银行大额风险暴露管理办法》等规定.
金融机构需要准确评估风险,主动管理市场风险、信用风险和流动性风险,在风险数据集成-新巴塞尔协议RDA合规中,建立统一风险指标平台去汇总和分析各类风险指标,汇总风险数据以延展到不同的应用并统一管理口径.
4.
操作风险-也称治理风险合规或Governance,Risk,Compliance(GRC)、内容包括政策与合规管理、财务控制、IT管控、内部审计、供应商管理,提供从主流的内控风险框架到支撑系统再到管理决策的全面支持,实现从制定战略目标、损失事件识别、风险指标(KRI)建立、风险分析和评估、风险应对、活动控制、工作流程、监督审核的完整过程.
5.
安全风险-保护企业网络信息安全、数据安全远离网络威胁的侵害,为客户构建基于认知技术的企业级安全免疫体系,包括安全事件检测与分析及优先级排序、数据安全风险可视化及敏感数据保护、软件开发生命周期管理、应用安全管理及漏洞扫描等,建立符合监管要求的安全运维中心(SOC),提高安全感知能力并支持GDPR等监管合规要求.
6.
新兴赋能技术-RegTech的实现需要一个综合的技术支撑,除了传统的IT技术之外,其新兴赋能技术包括AI、BlockChain、Cloud、DataLake、GraphDB、RPA等等,通过以大数据为基础的数据湖实现RegTech所需的工商、海关、税务、司法、通讯、互联网等数据管理和治理流程;通过AI解读政策法规、生成反欺诈规则、洞察威胁;通过图数据库进行关联分析和异常模式发现;通过机器人流程自动化RPA改进手动监管合规流程效率,通过容器云和多云管理提供RegTech应用的运行环境和API开放支持等,本文在后续章节会分别加以具体说明.
5金融行业的监管科技及最佳实践3.
合规风险:如下图-2所示意,合规风险管理与策略咨询覆盖反洗钱、反贪腐、隐私与数据保护、网络与信息安全、消费者保护等合规风险管理工作的各个方面.
例如IBMPromontory(鹏睿)向全球客户提供广泛、优质的金融咨询服务和切实可行的解决方案.
鹏睿中国将理论与实践、国际最佳实践与中国国情相结合,协助客户应对最严峻的监管合规要求.
帮助海内外机构建立、健全合规体系、全方位提高机构合规风险控制能力,优化提升合规管理制度和管控措施以达到国际领先水平.
重点服务内容包括但不限于:监管与合规政策解读:梳理、解读监管要求与最新政策,识别金融机构所面临的合规风险,评估具体业务模式下所应履行的合规义务,审阅现有政策、流程和已实施的控制,开展差距分析,并针对识别出的潜在问题提出改进建议.
强化治理架构:根据机构业务特征与风险轮廓,结合监管要求和国际最佳实践,考虑各海外分支的实际情况,建立健全合规治理架构,确立集团治理模式、分支机构/附属公司管理机制,划分三道防线的职责与分工,梳理并明确总行层面、分支机构层面和附属公司层面合规职能部门内各团队角色与职责.
建模、优化与验证:比照监管要求和行业实践、应用先进的定量分析方法和/或算法,协助金融机构开展各类风险计量和/或监测模型建模、优化和验证工作,所涉及领域包括但不限于金融风险模型(如信用风险、市场风险、操作风险)、估价与定价模型、压力测试与资本规划、反洗钱可疑交易监测模型.
合规与业务流程解决方案:梳理和优化合规操作规程与业务流程,结合先进经验,应用前沿技术,提升操作流程的合理性、有效性和一致性,提高自动化水平.
培训方案:提供反洗钱、反贪腐、隐私与数据保护、网络与信息安全、消费者保护等领域的定制化培训课程,针对不同职能提供具有针对性的培训内容.
此外,鹏睿将独具特色的培训课程整合到网络平台,从而以更为便捷、更为自主化的方式向员工提供培训.
图-2:合规风险与策略咨询服务6金融行业的监管科技及最佳实践图-3:智能实时风控需求分析典型场景-1:风控业务模式的创新--实现智能实时的欺诈防范即服务FraudPreventionasaService(FPaaS)的多租户共享服务业务模式;典型场景-2:认知机器学习的飞跃-改进传统机器学习的评分、解读过程,通过白箱模式机器学习,直接生成业务人员可以读懂并且可以直接使用的反欺诈业务规则;典型场景-3:系统性能和可用性的巨大提升-实现系统多活(Active-Active-Active),毫秒级响应、高可用性(99.
999%)的支持和全参数化配置、案件调查及运行监控;最佳实践:IBMSaferPayments平台实现了业界首个真正的认知型实时风控,它支持跨渠道(ATM、POS、网银、手机银行等)欺诈业务规则的统一模型,具备毫秒级决策响应、风险评分、机器学习自动生成业务规则、行为分析、案件调查等,可以显著减少欺诈损失,它全面支付卡行业安全标准PCI-DSS,同时将错误警报(误报率)保持在最低限度.
参考案例:某欧洲和非洲最大的支付处理商,为超过12个市场的3亿用户提供支付服务,每年处理超过45亿欧元的30亿笔金融交易.
通过与IBM建立战略合作伙伴关系,开发一个创新的实时欺诈防范系统来提供欺诈防范即服务FraudPreventionasaService(FPaaS)以开展"按服务"模式("as-a-service")帮助发现和防止复杂的欺诈活动,以减少欺诈造成的客户损失,并在交易中提供更高的透明度和消费者信心.
提供针对支付处理交易的端到端监控、防范、检测、拦截和欺诈调查等业务服务.
这项服务在全球利用该支付处理商在欺诈检测、拦截、防范领域的深厚业务知识以及IBMSaferPayments的智能风控先进技术,以创新的方式提供给多家实体,包括银行、商户和支付服务提供商.
该支付处理商通过监控多个实时在线支付渠道和多个业务参与者,更好地识别和缩短检测欺诈模式的周期,减少新模型部署的时间和精力,增强客户的体验和信心,并加强了在新市场和细分市场的影响力.
4.
金融犯罪:互联网时代的金融犯罪不断呈现出新的特点,以交易欺诈为例,实时风控中的交易欺诈呈现出作案时间短、涉及金额大、跨度区域广,已经成为有组织的的犯罪行为.
传统的反欺诈模式的构建、测试、验证和部署、更新模型的时间长、效率低、命中率差、误报率高、对厂商依赖性强、系统投入大且效果有限.
其需求如下图-3所示意:7金融行业的监管科技及最佳实践图-4:金融风控需求分析典型场景-1:在市场风险-新巴塞尔协议FRTB合规中,如何高效准确地计算金融产品的估值敏感度及风险指标,实时监测限额指标并作出响应典型场景-2:在信用风险-新巴塞尔协议SACCR交易对手新规和大额风险暴露新规中,如何支持国内外各种场内外交易在未来的风险暴露计算,同时考虑xVA及错向风险等,并支持各种维度的压力测试典型场景-3:在资产负债管理及流动性风险管理-新巴塞尔协议IRRBB新规合规中,如何基于大数据平台处理千万笔级别的交易量的现金流及风险指标,同时灵活配置资产负债预算最佳实践:IBMAlgo平台以集成的方式实时计算现存及新增交易各维度的风险、xVA指标和市场风险指标,如交易账户基本原则检查(FRTB)和SACCR,其包含的金融工具涵盖20多个地区市场和超过400种金融工具,包括固定收入、外汇、股票、信用、能源、商品、非标准化产品、理财产品及各类衍生产品,它高效地衡量交易账户中市场风险的变化,同时通过资产负债管理及流用动性风险管理,准确评估利率敏感度,优化资产负债配置.
参考案例:某全国性股份制银行的风险合规,项目一期支持市场风险(MR)现行内模法功能,定位为日终批量进行风险计量,模块包括数据管理、估值、损益计算、VaR计量、返回检验、特定风险计量、压力测试、限额管理、授信额度监控等,支持FRTB新标准法功能,按照巴塞尔要求进行计算,并进行新标准法风险资本计量,包括敏感性指标法、违约风险资本和剩余风险资本.
支持SACCR功能,维护计量所需信息,并按照巴塞尔要求进行重置成本、潜在风险暴露和违约风险资产的计量.
项目二期根据中国版FRTB和SACCR正式稿的监管要求,对系统相关功能模块进行优化改造,实现理财账户市场风险管理,国际财务报告准则第9号系统估值结果等相关业务数据存储和报告展示.
从而帮助该行实现资本优化、风险实时监测,准确预测违约概率、优化对冲策略,准确及时地生成监管报告、客户报告和其他利益相关方报告并帮助提高银行的收入和利润.
5.
金融风险:随着金融科技的不断创新,金融风险的相关规定也相继出台.
Basel制定了FRTB《交易账户根本审查》新规,提出了对金融机构的银行账户和交易账户进行风险资本的具体要求,银保监会也积极响应并相继推出了如《银行账户利率风险监管标准》(IRRBB),《交易对手违约风险计量规则》(SACCR)等相关风险规定如下图-4所示:8金融行业的监管科技及最佳实践金融行业的监管科技及最佳实践图-5:GRC操作风险管理的需求分析典型场景-1:在运营风险管理中,跨业务线地识别、管理、监督,并分析金融机构的运营风险,协助资源分配、决策制定,并且优化业务绩效;典型场景-2:在政策与合规管理中,整理政策与合规的管理流程,并管理法规变更,遵循种类繁多的行业规范、企业道德规范、以及政府法律法规;典型场景-3:在内部审计管理中,自动化内部审计过程,并为风险与合规的绩效提供独立的评估,提升内部审计流程的有效性与效率,同时保持独立性与客观性;最佳实践:IBMOpenPages是由AI驱动的GRC平台,它通过损失事件管理、关键风险指标KRI定义、风险控制自评和情景分析来理解和管理那些影响业务的风险,通过风险管理驾驶舱对于风险的当前状况提供交互报告并减少损失和影响;通过自动抓取风险数据并引入外部环境参数,实现风险的事前预警和实时监控,通过分析风险之间的联系,挖掘风险影响的因果性和相关性,将KRI与损失事件管理相结合,在风险事件的不同阶段提供风险监控与应对手段.
参考案例:某金融集团需要強大的操作风险管理系統来整合其不同的系統,以满足即將到來的偿付能力SolvencyII和巴塞尔协议BaselIII中对新資本和流动性規則的要求.
此外,该集团缺乏对其企业治理、操作风险及合规流程的整合,因此要建立一个可扩展的平台来整合这些流程.
通过导入IBM软件OpenPages及Cognos,该集团建立单一的整合风险管理系統,可帮助其优化操作风险管理、法规遵循与內部财务流程.
因此客戶增加了可产生营收的资产,并符合SolvencyII和BaselIII的要求.
此外该集团也减少风险暴露评估活动所需的員工时间及人力成本.
6.
操作风险:早在2007年,银监会就印发《商业银行操作风险管理指引》的通知,强调建立操作风险管理体系,采取定性和定量相结合的方法,有效地识别、评估、监测、报告和控制/缓释操作风险,包括风险控制评估、损失事件报告和数据收集、关键风险指标监测、新业务的风险评估、内部控制的测试和审查及报告.
操作风险(GRC)的挑战如下图-5所示意:9金融行业的监管科技及最佳实践图-6:安全需求和挑战分析典型场景-1:安全态势感知:将数千例安全事件缩减为一份可管理的可疑攻击行为列表,长期检测及跟踪恶意活动,捕获实时日志事件和网络流数据,即时关联分析,揭露攻击者踪迹;典型场景-2:GDPR数据安全及隐私保护:根据GDPR要求实现数据安全风险可视化,对敏感数据进行发现、分类和脱敏保护,堵住授权用户权限管理漏洞,自动发现违规和异常行为;典型场景-3:反洗钱异常模式探索:通过可视化关联关系技术,帮助调查员快速找到洗钱的隐蔽线索及有价值的结论,迅速应对洗钱模式的不断变化并帮助进行深入调查分析;最佳实践:IBMSecurity平台提供了业界最为完整的安全保护体系及安全信息事件管理功能(SIEM),包括日志管理、网络流量监控、漏洞管理、关联分析、监控报警及数百个报告和规则模板(CobiT、SOX、PCIDSS…)等;同时支持GDPR安全隐私保护,全面保护数据库、大数据、文件系统等敏感数据访问,满足行业合规性外审需求和内部安全控制及报告需求.
参考案例:WannaCry,"蠕虫式"的勒索病毒软件,由不法分子利用美国国家安全局泄露的危险漏洞"永恒之蓝"产生.
至少150个国家、30万名用户中招,造成损失达80亿美元.
某银行使用IBMSecurityQRadar成功发现并阻止恶意勒索软件渗透传播,首先,最早发现可疑迹象(发现一台终端对大量终端有类似蠕虫爆发的445端口扫描);然后,迅速确认威胁程度(被扫描终端1小时后也开始扫描其他终端.
呈现了传递式的恶意活动),确定威胁重要性,同时结合全球威胁情报验证了恶意软件确实身份;最后,遏制扩散传播(追溯WannaCry传播源头,追踪传播去向,形成传播路径图,意外发现大量感染终端,迅速定位处置).