觀點 | 銀行業務安全風險態勢及監管政策導向
近日,中國銀保監會黨委刊文《持之以恒防范化解重大金融風險》,指出站在新的歷史起點上,要沉著應對和防范化解重大金融風險,堅定不移推動中國金融高質量發展。
隨著金融業改革和數字化轉型進程的不斷深化,銀行業金融機構的業務正在發生深刻變革,體現出零售業務增長、物理網點萎縮、服務客戶下沉等特點,與此同時,面臨監管環境趨嚴、業務模式改革、風險管控升級等趨勢。
對此,同盾科技金融業務安全專家墨白從銀行業務安全建設的角度,闡述風險態勢洞察及監管政策導向,并對銀行業金融機構如何通過構建“新一代智能安全中樞”,實現風險管理進階升級提出建議。
什么是業務安全?
從信息系統安全范疇來講,可以劃分為網絡安全、系統安全、應用安全、運行安全、終端安全和業務安全等領域。業務安全,簡單地說就是指企業業務上發生的安全問題。具體到金融領域,金融業務安全就是指信息系統在實現金融業務過程中存在漏洞,造成業務規則無法實現或容易被繞過等錯誤或弱點。
墨白認為,金融業務安全建設要著眼五個要點,首先要符合法律法規要求,保證業務在運轉過程中不會因為違規而被監管通報處罰;第二要保障業務的可用性和連續性;第三要保障業務運轉過程中核心信息不會被泄漏;第四要能夠保護業務運行過程中產生的數據的一致性、完整性;第五,針對問題要能夠溯源,證明業務運行過程的合規性。
日益嚴峻的挑戰
洞察銀行業務的數字化進程,近年來經歷了網點信息化、網上銀行、手機銀行,再到今天的智能銀行,未來還可能向開放銀行發展。目前,絕大多數銀行處于智能銀行發展階段,即利用大數據、人工智能等技術向客戶提供個性化、差異化的服務。
隨之而來,銀行業務面臨的風險場景也呈現多樣性變化,暴露出的被攻擊面、被攻擊點亦呈爆發式增長。特別是疫情以來,各類涉賭涉詐欺詐團伙也在加速線上化轉移,并利用AI技術、虛擬貨幣等不斷升級與銀行風控體系的對抗,高科技涉賭涉詐、洗錢案例持續呈現出高發態勢。
為此,國家公安、網信及金融監管等部門先后開展了“斷卡”“長城專項”等防賭反詐專項行動。人民銀行、銀保監會陸續出臺多項文件,要求商業銀行、支付機構、清算機構壓實主體責任,防賭反詐全面升級。
近7年來,據公安部發布的數據顯示,欺詐案件和欺詐金額逐年上漲,近一年(截至2022年4月),全國公安機關共破獲電信網絡詐騙案件39.4萬起,緊急止付涉案資金3291億元。在近一年的高發電詐騙局中,網絡刷單返利、虛假投資理財、虛假網絡貸款、冒充客服、冒充公檢法是五種主要的詐騙類型。
與此同時,反電信網絡詐騙法加速立法進程,對金融機構賬戶、交易等環節的防賭反詐風險管理提出全面要求。
墨白認為,近年來人民銀行、銀保監會等監管部門的政策思路一脈相承,金融業務已發生深刻變革,正在經歷從“賬戶”為中心向“用戶”為中心的轉變過程,相應地也要求銀行的業務安全風控建設,從“規則為本”向“風險為本”轉變。
支付結算及賬戶管理類政策
從具體操作層面來看,墨白認為相關監管政策主要涉及兩方面:一是針對支付結算及賬戶管理類的政策,二是針對銀行卡收單業務及收單風險類的政策。
自2015年以來,人民銀行、支付清算協會就賬戶分類管理、支付安全、涉賭涉詐核查、電信網絡詐騙、賬戶優化服務等內容下發了一系列的文件。例如:銀發〔2016〕261號文、銀發〔2018〕146號文、銀支付〔2020〕49號文、銀發〔2021〕260號文等文件。
這些文件具有非常重要的意義,提出了很多需要銀行不斷細化落實的具體要求,例如要求銀行全面推進個人賬戶分類管理,提出I,II,III類賬戶分類管理辦法,以及建立對買賣銀行賬戶和支付賬戶、冒名開戶的懲戒機制;針對單筆交易金額整額或貼近整額,銀行就需要拆分細分核查點及具體風險特征,然后結合行內數據及系統加工具體指標,再設計監控策略或模型;針對性的面向小微企業開戶難問題,要求銀行建立企業賬戶分類分級管理體系等等,都針對歷史上出現的棘手問題提出了針對性的解決辦法。
銀行卡收單業務及收單風險政策
與此同時,監管日益重視收單側業務及相關風險,從2013年人民銀行下發銀發〔2013〕9號文,到銀發〔2016〕261號文、銀發〔2017〕296號文、銀發〔2019〕85號文、銀支付〔2020〕49號文等等,相繼出臺10余個文件,持續加強該領域的監管要求。
墨白表示,這些監管文件在各自出臺的時期,針對當時出現新形勢、新技術、新局面均做出了針對性部署,總體看來又體現出層層遞進的監管思路。
● 人民銀行在2013年出臺的銀發〔2013〕9號文是一個重要的里程碑,首次以專門的業務管理辦法的形式,針對收單受理市場制定系統全面的規范。
當時,隨著銀行卡支付業務模式、受理終端與渠道的不斷創新,銀行卡收單業務呈傳統實體商戶收單、網絡新型收單融合發展的趨勢。該辦法的發布和施行奠定了監管機構全面規范收單市場、加強收單業務監管的制度基礎,此后陸續發布的收單業務監管政策均與該辦法的監管思路一脈相承。
● 銀發〔2016〕261號文針對銀行卡收單業務提出四個方面的具體要求,包括嚴格審核特約商戶資質,規范受理終端;強化可疑交易監測;加強特約商戶資金結算管理;建立健全特約商戶信息管理系統等。
● 銀發〔2017〕296號文聚焦條碼支付管理,從特約商戶資質審核、商戶風險評級、商戶檢查、交易風險監測等方面,要求強化業務風險管理。
此后,2019年至今監管機構針對電信詐騙、賭博等新型違法的排查整治,進一步細化責任,強化監督,從銀發〔2019〕85號文、銀支付〔2020〕49號文、銀發〔2020〕155號文到銀發〔2021〕259號文,相繼提出嚴格特約商戶審核、嚴格受理終端管理、強化收單業務風險監測、健全特約商戶分類巡檢等要求。
墨白認為,銀行業金融機構貫徹落實這些監管要求,需要通盤考慮,不可“頭痛醫頭、腳痛醫腳”,需要從數字化轉型的戰略視角出發,打造“新一代智能安全中樞”,通過智能風控中臺+智能風控運營形成全生命周期的閉環管理,并對整體業務規劃、技術平臺支撐、風險管控運營、效果評估與策略優化等方面全面布局。
風控的智能化演進
隨著業務形態、欺詐風險等內外部因素的不斷變化,銀行的風控手段也朝著智能化、數字化的方向不斷演進。墨白觀察認為,這股浪潮大概始于2005年,至2012年這段時間可以稱為萌芽期,互聯網開始與金融業務探索融合,但大多數傳統金融機構尚未實施風控方面的數字化改革。
2012年至2014年迎來了智能風控的1.0時代,相關理念開始在傳統金融機構傳播,數字化風控系統得到初步搭建。2014年至今可以看作智能風控的2.0時代,大數據、人工智能、實時計算、知識圖譜和云計算等技術工具逐漸在金融機構中實踐應用,并加速向多場景滲透。
“而當下,銀行風控正在走向3.0時代。智能風控進入升華期,以決策智能為主線構建‘新一代智能安全中樞’,形成全生命周期的風控運營管理體系,將是未來的主戰場。”
墨白表示,未來銀行的智能化風控體系必將與整個數字化戰略推進更加同頻,在這一過程中逐步理順邏輯、整體規劃、健全平臺、完善標準、優化運營,形成合力。
而具體到操作層面,銀行的數字化轉型和線上展業,將使風控的場景主要集中在賬戶、商戶、交易、信貸、營銷五大場景中。著眼于不同的風險場景以及監管機構的一系列政策要求,銀行需要做到:
● 滿足監管合規要求:主要涉及賬戶、商戶兩大類的業務安全風控,其中賬戶風控包括個人或企業賬戶開立、使用、變更、銷戶等各交易環節的行為進行持續監測和風險處置。商戶風控包括主觀欺詐意愿、騙取收單行機具與持卡人合謀、篡改復制單據等以期非法獲利的欺詐行為。
● 保護客戶資金安全:主要涉及交易風控,即在真實客戶或銀行不知情,欺詐者以非法獲利為目的,通過傳統渠道或電子渠道的轉賬、支付、消費等交易造成或預期造成真實客戶所擁有的各賬戶資金或銀行資金損失的行為。
● 保護機構資金安全:這里主要涉及信貸風控、營銷風控兩大類。其中在信貸風控領域具體包括申請欺詐防控、信用風險管理等等;營銷風控則針對利用各個銀行等金融機構及各類商家的優惠信息,通過欺詐手段實現獲利的行為。
打造新一代智能安全中樞
墨白認為,當下金融領域的業務安全建設已逐步進入下半場,金融機構比拼的是在建設了智能風控系統之上,更需要側重于精細化的風控運營能力,需要量化風控系統的建設有沒有更好的服務和促進業務發展,創造價值。
“比如各家銀行都運用智能技術工具,建設了不少著眼于單點的風控平臺、服務平臺,而要將其融會貫通起來發揮合力,就像打仗要有司令部一樣,需要一個新一代智能安全中樞系統來做指揮和決策,充分釋放數據要素的儲備動能,我們認為這樣一個安全中樞系統,需要整體規劃,要有平臺支撐,更需要智能運營。”
規劃整體業務安全體系架構
銀行在智能化風控建設初期,管理層戰略意圖最直接的體現就是科技投入。因此不少銀行在科技系統和技術應用層面,升級基礎架構,建設面向各種業務安全場景的風控平臺。通過建系統搭平臺推動了流程的線上化,提升業務的便利性,也釋放了人力成本,達到了積極效果。但是,這其實是單點的、面向技術平臺的數字化風控建設。實際的效果如何?投入產出比如何?這都是銀行在智能風控進階建設階段需要精細化考慮的問題。
進一步觀察,不少科技與業務尚缺乏深度融合,建設系統的功能沒有發揮出來,系統運營服務能力沒有跟上,也尚未做到中國銀保監會《關于銀行業保險業數字化轉型的指導意見》等監管要求,將數字化轉型戰略和實施進程與機構自身經營發展需要、技術實力、風險控制能力相匹配。
因此,銀行業務安全的智能化建設,需要在數字化轉型推進的過程中,自上而下系統規劃、理順邏輯、整體推進。墨白表示,同盾科技可以幫助銀行從支撐保障、技術數據體系和風險管控體系三大主題進行分析與規劃,實現銀行全業務、全觸點、全風險場景的支持與差異化的服務。
構建業務安全中心閉環體系
安全本質上是系統的一個重要屬性,而業務安全處于整個體系的最上層,與業務緊密相關,對于銀行更是如此。銀行的業務安全建設永遠處在一個與欺詐、攻擊對抗的過程中。特別是當下,業務安全面臨更致命、更隱蔽的風險,這就要求銀行建立一個迎合技術發展、業務發展、攻擊發展不斷迭代的業務安全中心,從風險感知、風險決策、風險處置到風險運營形成業務安全閉環。
這樣一個閉環體系,應包括實時計算、決策引擎、知識圖譜、終端態勢感知等技術的應用,結合先進的機器學習算法形成一個快速響應的正反饋系統和縱深的運營服務體系,不斷迭代提升銀行的業務安全能力,成為數字化時代的安全基礎設施。
墨白表示,之前第一代業務安全建設,很多銀行用的是名單庫和規則,第二代更多的是決策引擎結合模型算法。目前,業務安全已進入下半場,未來屬于智能風控中臺加上精細化運營的能力,意味著銀行業務的全覆蓋、風控能力的復用,更意味著快速響應、人機結合和業務的全生命周期管理。
建設一體化的智能風控平臺
在此基礎上,銀行做好業務安全風控建設,需要一體化的智能風控平臺。墨白認為,銀行需落實全面風險管理理念,針對賬戶欺詐、交易欺詐、商戶欺詐、信貸申請欺詐等欺詐維度實施統一布控,運用大數據、人工智能、聯邦學習等技術,通過統一的名單、規則、策略、模型、圖譜等技術,支撐交易及信貸等各業務場景的反欺詐需求,提升欺詐風險管控的主動性、前瞻性、敏捷性和有效性。
在當下業務場景與欺詐風險雙雙加速數字化轉型的壓力下,銀行傳統的交易反欺詐、申請反欺詐、商戶反欺詐等“項目制”風控建設方式,已無法實現數據資源在全行視角下的統一管理、復用留存,難以解決高并發、多維度、瞬時化、脈沖化的多重欺詐風險管控需求。
在這樣的背景下,需要銀行基于全新的風控理念,依托科技重塑風險管理價值鏈,運用更加先進的決策智能技術,深挖數據要素的價值,通過數字資產沉淀、數字工具賦能、數據治理等技術應用,建設統一的風險數據視圖,并在此基礎上運用機器學習等算法開發各類主題的欺詐風險管控模型,進而構建覆蓋各業務場景的,全方位、多維度的全行級反欺詐核心平臺,有效解決客戶洞察與風險管控需求,支撐金融服務模式的創新和精細化管理水平的提升,并滿足外部監管的要求。
打造精細化風控運營體系能力
此外,墨白觀察發現當前大多數金融機構的現狀是建立了風險決策和監測平臺,然而缺乏日常的監控、管控、考核機制,因此導致風控效果有待提升。
“在新一代智能安全中樞的思路下,銀行需要打造‘風險態勢可感知、策略效果可量化、優化方向可決策、績效考核可評價、運營過程可管理’的一體化風控運營體系”,墨白表示,“智能運營與平臺建設具有同樣重要的意義”。
以業務運營、風險分析處置、風控效率提升等為出發點,同盾科技針對金融機構傳統風控系統中面臨的風控效果不佳、業務人員能力提升、策略自動優化調整、系統價值提升等運營難題,創新提出了智能運營量化分析平臺這一解決方案。
墨白最后表示,風險防控的“可量化、自適應”是金融業務安全管理的最佳狀態。未來,銀行可按照“決策+量化+運營”一體化的智能風控自洽運行總體思路,應用大數據、人工智能、機器學習等技術方法,實現精準定位業務風險、問題策略等風險管理優化點,和流程化、引導化、可視化的分析解決手段。這一目標的實現,風控體系的運營優化將起到至關重要的作用。
