标题：陈传萍：构建互联网银行全面风控体系的思考
时间：2017年12月15日 (下午5:38)
分类：总49期, 清华金融评论杂志文章, 银行与保险, 银行与信贷-总49期
标签：无
作者：清华金融评论

[1] 本文结合传统商业银行的风控体系和互联网银行业务的特性，提出了从风险治理、全面风险管理机制、底层支撑三个方面构建互联网银行全面风控体系。 在保留银行金融的本质属性的前提下，互联网银行的本质仍是经营风险的机构，形象地来讲，是互联网银行在资产端的客户和资金端的客户中间架起一部风控机器，而股东和监管机构则位于这部机器的产出端，是其产出的受益者。因此，互联网银行的价值创造依赖于风控机器的运作，风控机器即互联网银行的全面风控体系，其在延续传统商业银行的全面风险管理体系骨架的基础上，针对互联网业务特征进行更加细致的场景化改造。总体而言，互联网银行应主要从风险治理、全面风险管理机制、底层支撑三个方面构建全面风控体系。全面风控体系应立足于银行整体的企业发展战略之下，应与整体发展战略相契合，并支撑互联网银行健康向上、长远持续地发展，这也是互联网银行全面风控体系的衡量标准和终极目标。 风险治理 风险治理是互联网银行管理层对风险相关理念、目标、方向、准则的引导和建设。互联网银行管理层的风险治理直接决定了银行风控体系的总体方向及风控实施目标，是互联网银行全面风控的根系。可以从风险管理文化、风险管理政策、风险环境和组织架构四个方面进行建设。 （一）风险管理文化。风险管理文化是风险管理的深层次核心，是互联网银行风控体系中类似于血液的存在，于无形中贯穿于管理方法、管理技术、管理传导等各个方面，以管理层对内外部风险因素判断为基础，是互联网银行内部上下互动、调整的结果。就目前各家银行系金融机构实践的情况来看，风险管理文化的建设主要有以下几个要点：第一，效益和风险平衡发展理念是风险管理文化建设的标尺。互联网银行的业务有着创新性、高迭代性、短运作周期的特点，与传统商业银行相比对效益和风险平衡度把控要求更高，但由于各家互联网银行自身发展定位的不同，也基本不存在成熟且普遍适用的标准。第二，全面风险管理理念是风险管理文化建设的基石，应该深刻覆盖互联网银行每一个业务、管理领域。全面风险管理覆盖面越广，越发凸显出风险管理文化建设的核心价值和意义。第三，互动网络建设是风险管理文化建设的传感器。风险管理文化的建设，并不是管理层的单向治理工作，更重要的是需要传导和反馈，而互动网络的搭建可以是制度文件，可以是行为准则，可以是会议精神，甚至可以落细到具体的业务操作。 （二）风险管理政策。风险管理政策是风险管理工作的行动总纲领，是风险管理工作的基本准则和导向。其目标一是有助于形成稳健健康的风险管理文化，二是指导建立起科学完善的全面风险管理体系，三是指导和规范具体风险管理制度和规程的制定。风险管理政策的构成一般包括对风险管理的内容、程序和技术标准的规定。互联网银行应以风险管理政策为指导，建立风险管理的制度体系、机制体系，建立完善管理工具与管理手段，最终健全全面风险管理体系。 （三）组织架构。互联网银行风险管理的组织架构应以全面风险管理为原则，自上而下建立起一套职责清晰、分工明确的组织体系，总体可以划分为三个层级：董事会、监事会层级；总行管理层级；总行业务层级。董事会、监事会层级和总行管理层级受到互联网银行内部职责划分及管理风格影响，各家互联网银行应不尽相同。总行业务层级应该按照业务职能的划分进行风险防线的划分。从部门职责分工上来看，总行业务拓展类、产品创新类、产品开发类部门划分为风险防控的第一道防线，承担各自业务范围内的合作方评估、产品评估、产品设计等环节的风险防控职责；风险管理类、法律合规类、财务管理类部门划分为风险防控的第二道防线，承担对全行关键型、创新性的业务的全面审查、检查；审计类部门划分为风险防控的第三道防线，承担对全行全面业务的检查。而从业务流程上来看，第一道防线是对业务及产品等项目方案的立项评估，对合作方的准入评估；第二道防线是对业务及产品、合作模式等项目的设计和实施；第三道防线是对项目上线后的跟踪、优化、检查。 （四）风险环境。而互联网化的特性使互联网银行在市场、监管、法律、技术等方面面临着比传统商业银行更加复杂的环境特性。这要求互联网银行要以信息数据搜集机制为基础，对其面临的各种重大环境要素进行实时关注和及时响应。如保持对监管政策的关注以保证业务合规性，对市场形势的变化以保证业务的竞争力和需求适配性，对新型技术的关注以弥补技术漏洞并获取更高安全级别的技术手段等。 全面风险管理机制 互联网银行可以构建起 “‘九横七纵’的矩阵式框架”+“制度体系”+“评价体系”的全面风险管理机制。 九横是互联网银行面临的九大类风险，分别为合规风险、欺诈风险、操作风险、法律风险、流动性风险、道德风险、声誉风险、技术风险、市场风险。互联网银行面临的合规风险、欺诈风险、道德风险、技术风险相较于传统商业银行而言更为复杂。比如，就合规风险方面而言，行业实操中存在监管规定不明的灰色地带，且互联网银行内部也存在合规风险因素，主要体现在内部制度流程和员工合规教育两个方面。就欺诈风险方面而言，国内信用体系建设仍在努力中，各类身份信息和金融数据还未能够得到完全有效合法的保护，电信诈骗呈现产业化发展，加上互联网线上业务的批量化特性，该类风险一旦发生，则影响范围较易扩大，且事后难以追踪和弥补。因此互联网银行需特别注意事前交易流程的设计和事中对交易的实时监控。在成本可接受的情况下，互联网银行也可建立起以账户安全险为代表的风险补偿机制。目前，国内部分商业银行已经在尝试建立风险补偿基金的运作机制。就道德风险而言，互联网银行的业务以纯线上型为主，与柜面交易相比缺少面对面的交互确认，在影像影印取证方面也受限于条件约束。且在交易过程中依赖于客户自身对操作流程和页面注释的理解，缺少专业人员面对面式指导、提醒，因此道德风险是互联网银行需要关注和强化管理的风险因素。 “七纵”是为全面风险管理的七大流程。分别为风险识别、风险评估、风险控制、风险监测、风险报告与风险处置、后评价与检查监督、调整优化。风险识别以业务材料和风险信息为基础，挖掘潜在风险因子。在此过程中业务材料的规范化、风险信息的积累、风险因子的总结分析均可减少流程摩擦，提升风险识别效率。风险评估包含风险判断和风险计量两个方面。前者基于可获得的资料的基础上，综合定性理论模型，以主观判断为主进行的潜在风险预判。后者基于测算模型，对潜在风险因素带来的影响后果进行量化预判。风险控制则是根据风险识别的结果，综合考量业务发展要素，采取相应的风险控制措施。上述三个环节为事前的风险管理。事中的风险管理环节包括风险监测、风险报告和风险处置。从微观交易的角度来说，互联网银行较为成熟和完善的风险监测应包含有实时交易监测系统，并根据不同的风险等级采取加强验证措施或阻断；还应包含银行整体运作的连续性监测，重大差错或大范围差错监测，重要风险防控领域监测等。互联网银行也应建立重大风险报告制度和风险事件处置流程，对风险事件的报告和处理应遵循快速响应、高效处理原则，并应谨慎应对外部主体，避免事件扩大。事后的风险管理环节包括后评价与检查监督、调整优化，是全面风险管理全流程的自我学习和优化机制，目标是使全面风险管理流程更贴合实际。 制度体系是互联网银行根据法律、法规和准则等制度和文件的要求，在风险管理政策的指导下制定的各项对内部风险管理事项的指导规范。制度体系分为三个效力层级，从高到低依次为风险管理基本政策和基本制度、管理类制度、操作类制度。基本政策和基本制度是对风险管理全局工作所做的框架性安排和原则性要求。管理类制度是对某一领域、某一类的风险管理工作所做的具体规定，并应符合风险管理基本政策和基本制度的要求。目前国内商业银行普遍采用按照风险分类分别制定风险管理基本政策和管理类制度的模式。风险管理操作类制度是对某一项业务运作流程或者管理流程做出的操作性规定，其形式可以为各类操作规程、行为规范、工作指引、作业指导书等。 风险评价体系是互联网银行在各项规章制度和业务流程的基础上，通过对关键节点和关键控制点进行抽样检查，对互联网银行风险管理工作的有效性进行量化评分，实现风险等级评定，找出风险管理缺陷。在实际业务操作中，银行业金融机构通常从资产收益定性指标、各类风险识别与评估、内控环境、控制活动、监督评价与纠正等方面，按照各个职能条线划分板块并分别进行评价。 底层支撑 底层基建支撑着互联网银行所有风险管理工作的落地，主要分为系统、模型、技术、数据四个板块。对互联网银行来说，基建工作的扎实推进，能够以几何级的速度提升风险管理工作的效率，打破风险管理工作的天花板，将风险管理工作的精准度提升至一个更高的地步。系统和模型的建设可解决实时性问题、管理效率问题和资源问题。如在信贷风险审核中，以信贷风控模型替代传统的人工定价审批，实现秒级审批和多笔并发。新型技术的运用则可以提升风险管理工作效率，但值得注意的是，若在新型技术不成熟的情况下则有可能带来新的安全风险，因此，互联网银行对新型技术的采纳应谨慎评估，并衡量综合效益，与安全业务制度、规则搭配形成完整的风控手段。数据能够助力互联网银行更深程度地实现精细化、智能化管理。目前，数据积累及分析运用的能力已经得到市场各方的广泛关注，目前市场上正在形成前所未有的数据分享与跨机构、全网型联防联控的氛围。 （陈传萍为江苏银行互联网金融研究员。本文编辑/王蕾） [1] http://www.thfr.com.cn/wp-content/uploads/2017/12/yin-hang-yuxindai.jpg
上一篇：吕家进：金融科技推动支付清算产业加速融合发展
下一篇：周永林、姚名睿：利用法定数字货币创建安全普惠的基本银行服务