德勤:证券公司操作风险与金融科技管理的思考!
德勤:证券公司操作风险与金融科技管理的思考!
德勤中国金融服务业研究中心近日发布《积厚流光 稳而后进:中国证券业2023年发展回顾及2024年展望》报告,涵盖了2023年宏观经济和证券业发展回顾、2023年上市证券公司业绩分析、业务观察、行业热点话题探讨及2024年宏观经济和证券业发展展望五个章节。
报告精华章节将以连载形式刊发,此文为此次连载的最后一篇。
2023年12月1日,中国证券业协会发布了《证券公司操作风险管理指引》,旨在进一步细化落实2016年修订的《证券公司全面风险管理规范》中针对操作风险的管理要求,期望推动证券公司应用科技化及数据化手段,提升证券公司操作风险管理能力。
中国证券市场历经近40年的发展,已经从最初萌芽到如今的蓬勃发展。然而,对比国际一流投行,国内证券公司在规模体量、业务收入、资产负债管理能力等各方面存在差距,特别是在人才储备、工具方法、科技创新等方面仍有较大提升空间。近期,党中央在金融工作会议上多次提出“要大力提高上市公司质量,培育一流投资银行和投资机构”。倡导证券公司在业务发展中积极融入风险管理,以实现资本的高效利用、专业化和提升服务水平的发展目标。
证券公司是经营和管理风险的专业机构,未来证券公司通过提升科技创新及科技金融质效,全面提升风险管理能力,最终推动资本市场高质量的发展。
操作风险管理现状
证券公司操作风险管理体系历经十余年的发展,通过汲取其他金融机构操作风险管理体系建设的路径,建设思路和方法变得日趋成熟。目前,大部分证券公司操作风险管理能力有了显著提升,在治理架构的合理性、工具方法的完备性以及信息系统的落地性等方面都已经初具雏形,具体体现在以下几个方面:
- 明确了涵盖公司各个层级的操作风险管理架构,并且能够将各层级的职责贯穿到操作风险管理的决策、执行、监督、反馈等各个环节。
- 建立了操作风险管理工具,涵盖风险自我评估、关键风险指标及损失数据收集等,有部分券商在工具的应用上已经达到了较为成熟的阶段。
- 随着管理工具建设的日趋完善,证券公司逐步建立了配套的操作风险管理机制,包括报告体系、整改跟踪机制、压力测试以及资本计量等内容。多数证券公司建立了操作风险管理系统,并已经实现了部分工具和机制在系统中的功能落地和使用。
然而,证券公司在实际操作风险管理过程中仍然面临着挑战和困难,包括工具使用效果不明显、手工录入内容过多、管理投入成本较高、系统自动化水平较低等。随着证券业务的推陈出新以及风险特征的快速变化,操作风险事件特征由“高频低损”逐步演变为“低频高损”,证券公司在推进专业化、服务化发展时面临的操作风险挑战越来越严峻。未来,证券公司如何应用金融科技手段,赋能操作风险事前、事中管理变得尤为重要。
金融科技在操作风险管理中的应用
证券公司现有的操作风险管理更多体现在事后的管理。同时,在开展操作风险管理的过程中存在一定挑战:
- 操作风险管理架构覆盖面广,分支机构及子公司众多;
- 操作风险管理工具应用化难,被动使用且成熟度不高;
- 操作风险管理机制内容众多,方法论及机动管理缺失;
- 操作风险管理系统建设单一,数据驱动科技赋能薄弱。
为了能够提升操作风险管理在实际中的效用,我们预期金融科技能够在以下方面对操作风险管理实现赋能。
操作风险管理三大工具
操作风险管理三大工具的方法论已日趋成熟。如何在操作风险识别、评估、监测和管控过程中提升系统化程度,加强金融科技手段赋能,融入系统科技化解决方案的设计思路,以提升风险识别和监测的敏感性和时效性,增强风险管理工具应用的联动性,将操作风险管理与业务风险管理紧密结合,是未来操作风险管理三大工具的发展重点。
风险与控制自我评估(RCSA)流程管理
流程更新速度迟缓、更新任务繁重一直是流程管理的重点和难点。理想的流程管理将践行实现“全域感知”理念,建立管理与技术相连的全方位流程中台。
流程中台包括规则引擎、集成引擎、流程分析和流程引擎四个模块:1)规则引擎负责各种规则的制定与维护,是整个流程中台的“大脑”;2)集成引擎负责产品数据、业务数据、系统数据、监管信息、内部制度、损失数据的抓取;3)流程分析功能负责对集成模块所抓取的数据根据流程字段定义、报表设计等规则进行分析与识别,同时提示风险预警信息,对需要启动流程模块更新的内容,自动下发执行与审批任务;4)流程引擎将经过筛选、分析、识别之后的流程信息更新维护到流程模块中,主要负责流程模型的建立与维护,流程目录的更新迭代,流程门户和版本管理,流程监控与审计的设计思路和维护等内容。
通过上述模块与功能的整体运作,流程中台可以在业务流程变更、系统模块迭代、内部制度发文的“T+1”日实现流程更新推送。具体而言包括:1)打通业务系统、内控系统、风险管理系统之间的数据壁垒,实现流程关键数据的自动获取;2)任一流程要素的改变,例如产品信息更改、损失事件发生、内外规调整、业务流程更新、组织架构变动等,均可自动发送流程更新通知并按需触发流程自动更新任务;3)对相似度较高的流程设立流程模块,实现流程的集中管理,促进业务管理的标准化程度;4)系统设置定制化的流程查看、更改和保存等权限,自动实现业务隔离。
图:流程中台架构逻辑示例
业务前端流程的风险识别、监测和控制
根据过往协助各类证券公司开展操作风险管理的经验,德勤总结了在业务前端进行前置风险管理的重要性,鼓励证券公司借助科技手段实时捕捉异常风险信号,及时治理风险隐患,在前端减少、扼制风险事件的发生。
以MOT关键时刻服务技术手段的应用为例,公司通过提升对“关键时刻”的管理确定最值得改进的领域,更好地分配资源。目前MOT技术已在经纪业务中成功应用,协助证券公司对客户进行有效分层和特征整合,寻找合适接触时机,创造关键服务时刻,做到千人千面的个性化服务,实现事半功倍的精准营销。
证券公司可进一步将MOT关键时刻服务技术与操作风险管理相结合,扩充数据收集前端口径,对舆情信息、监管处罚信息、监管政策法规、行业信息等进行特征分析和合理分类,实现对风险场景和异常信号的快速捕捉。证券公司判断存在关键风险场景后,分析查找风险成因,相应调整风险监测指标,并评估关联的控制流程。通过及时处置风险隐患,在形成风险事件前快速查验并缓释风险信号,证券公司能够实现风险管理前置,提升业务应变与危机处理能力。
图:投行业务风险场景识别、分析与管理示例
关键风险指标(KRI)
证券公司应推进和强化关键风险指标系统化覆盖程度,通过对各类系统的监测结果、运行记录等进行数据收集,丰富操作风险管理系统数据来源。通过科技手段,解决非标准数据、老旧系统与外购无接口系统的指标数据自动获取,最大限度实现系统自动取数和动态监测。
从业务维度出发,证券公司可筛选业务系统中原始监测记录,收集触发预警、突破阈值等异常监测数据,汇总生成业务操作风险数据源。从系统维度出发,证券公司可开启系统运行日志,筛选日志异常结果,追踪异常原因并记录后汇总生成系统操作风险数据源。证券公司进一步通过RPA、智能数据读取与分析、文本处理等技术手段,将非结构化和结构化数据整理、分析并汇总至风险管理大数据中心,用于关键风险指标的数据收集与监测,助力证券公司聚焦重点风险区域,提升动态监测效率,强化事前、事中风险管控能力。
图:KRI数据来源与自动取数示例
以投行业务合规数据的收集与获取为例,证券公司可打通投行合规系统、投行业务系统和外部数据收集系统之间的数据壁垒,将外部数据(如工商信息、董监高信息、实际控制人和受益所有人信息等)与内部业务数据(如项目反洗钱、利益冲突审查、关联交易核查、隔离墙、未公开信息知情人、禁配名单等)关联至投行风险管理系统,结合投行业务相关操作风险管理要求,提升关键风险指标设置的精准度和监测的及时性、敏感性。
风险损失数据收集(LDC)
证券公司可在法律法规、司法诉讼、处罚案例、信息披露等外部数据整合的基础上,结合客户行为、内部规章、员工职责分工等内部数据揭示的风险特征,通过OCR、文本序列化、NLP、智能深度学习等技术手段,将原始非结构性数据依据定性和定量的业务规则转变为标签化、数字化的结构性数据,充实外部损失事件库。
根据业务需要证券公司可进一步对数据进行智能化处理,提升数据的可用性,让损失数据不再只是静止地停靠于损失数据库中,而是在操作风险的管理流程中发挥积极作用。实践中,证券公司可对外部损失数据执行一系列的事件分析,例如:1)事件风险成因分析,即根据统一的操作风险事件类型分类,智能分析事件的操作风险成因;2)场景分析,即智能分析事件所关联的业务产品,及涉及的流程环节;3)漏斗分析,即评估业务或管理流程中各个阶段的转化情况,快速定位优化环节。根据分析结果,证券公司可回溯风险管控重要节点,优化控制措施,完善操作风险管理流程,及时调整风险管控状态。
此外,证券公司可以按照多业务、多部门的复杂数据管控需求,合理设置和维护数据合规管控权限,实现“给合适的人看合适的数据”;还可分类、分析与整合外部损失数据形成风险热力图,更及时、更频繁地对风险高发区域进行提示。
图:外部损失数据收集与应用示例
操作风险三大工具联动
证券公司传统的操作风险三大工具联动模式以流程目录和风险点为核心,通过对风险信息的收集,优先对高风险流程进行识别,并明确公司的指标监测方向;同时通过建立操作风险指标体系,并嵌入业务流程埋点,进行事中监测和关联分析。
基于“全域感知”的流程管理理念,以统一的操作风险事件类型库、流程目录和同一业务管理机制为基础,依托全方位流程中台,实现可通过流程矩阵、部门、岗位、内部制度、外部监管、风险信息等任一要素,定位其关联的关键风险指标和历史损失事件等所有信息。当流程中台触发流程新建或更新任务时,关键风险指标管理体系充分借鉴关联历史损失事件,对相关指标进行定义和阈值重检,并按需更新调整。
以某外部监管规定修订事件为例,当流程中台检测到该项外规修订的通知后,将自动触发所有关联要素的审阅调整任务,真正做到“全域感知”。
业务连续性管理
业务连续性管理中的业务影响分析应以流程目录为联动基点,通过步骤级、逐节点梳理业务依赖资源,打通系统层、业务层、产品层、渠道层,建立业务、产品、渠道、部门、人力、应用系统、基础架构等各节点关联关系,实现从任一资源、管理节点追溯其他关联节点的可行性。通过业务系统、管理系统的数据实时传输,实现资源节点数据自动更新与维护,任一节点信息的调整变动都可触发业务连续性计划资源配备的调整,盘活业务连续性管理全生命周期。
员工行为管理
员工行为管理是操作风险管理的重要领域。德勤建议在健全的员工行为管理框架下,以模型实验室为依托,通过挖掘汇聚内外部数据并应用数据分析、机器学习、自然语言处理及知识图谱等技术,实现员工异常行为的侦测预警并及时开展处置工作,防患于未然。
图:员工异常行为监测预警模型实验室示例
数据层面,数据的可用情况决定了员工行为监测规则、模型数量和质量的上限。证券公司一方面需要更加深入地挖掘、清洗内部现有沉淀数据,包括人力资源、业务处理日志、风险事件、投诉和审计稽核等;另一方面需要外采数据,如员工的工商数据、消费数据、运营商数据、社交数据、司法诉讼数据和违法犯罪数据等。综合运用语音识别、自然语言处理等相关技术汇聚内外数据,搭建完善的员工行为数据集市,以支撑员工异常行为监测预警规则的开发。
图:员工行为数据集市
技术应用层面,除了在数据处理方面的技术应用外,规则模型的搭建在实践中也广泛应用机器学习、知识图谱等技术。机器学习主要用于高风险/潜在高风险员工的模型设计,而知识图谱则主要应用于团体作案、内外勾结或风险特征相对有限的场景的建模。
压力测试管理
压力测试主要包括情景分析法和损失分布法两种方法。前者无需大量数据积累并主要运用专家分析法,而后者则需要大量的数据积累与建模分析。
损失分布法在数据积累、数据处理、数据分析和统计模型建立过程中需要技术支持。数据层面,压力测试需要大量的内外部损失数据的支持,具体的数据收集处理过程主要通过损失数据收集(LDC)这一工具来支撑,相应的方法与技术应用上文相关部分已作介绍。技术方面,一般通过对每一类的操作风险事件(根据监管规则和同业实践一般分为七大类)从频率、严重程度两个维度分别搭建拟合模型,得到累计损失分布情况,在不同置信水平下计算得出不同压力情景下的最大损失。
实践中,各类型操作风险事件的数据积累也存在差异,对于大部分证券公司及其他各类金融机构而言,也仅部分操作风险事件类型(典型的如内部欺诈、外部欺诈和信息科技系统事件)的数据积累足够丰富,能够拟合相关函数分布,其他类型的操作风险事件类型囿于数据量只能通过情景分析的方式开展压力测试。
资本计量管理
资本计量管理包括监管资本计量(即操作风险资本准备)和经济资本计量,前者监管制定了基于各业务条线收入的标准化计量方法,而后者即经济资本计量的核心是更准确地反映风险水平并合理地配置管理资源。实践中,操作风险经济资本的计量一般分为基数的计量和调整系数的计量两部分。
基数的计量可以采用监管给定的标准法并在此基础上设置各业务条线的调节因子(该调节因子一般为损失数据的函数),也可采用上文压力测试中应用的损失分布法,不难看出,这其中都涉及到数据的积累、处理和对应拟合模型的选择。
调整系数的计量,则一般是与机构和业务条线的风险管理水平相关,可借助打分卡得到机构和条线的评分结果,并设计以此为基础的计量函数,得到该调整系数结果,一般管理水平越好则风险越低,相应的经济资本要求就越低。
证券公司操作风险管理体系建设是一个庞大复杂的工程,是一个持续不断的过程。证券公司只有通过夯实操作风险管理基础建设、推动操作风险管理创新设计,才能够真正意义上管理好操作风险。
德勤在过往十多年的咨询服务中,为众多证券公司提供了操作风险管理体系建设及提升服务,积累了丰富的经验。德勤期望助力证券公司在满足监管要求的基础上,建立适合自身的操作风险管理体系,实现管理目标。