一、信息科技风险大数据平台建设研究与实践
提起大数据与风险管理的关系,对于银行业来说最重要的就是以内部风险评级为代表的巴塞尔协议,以及其中对风险敞口的计量以及建模需要大量历史数据。信息科技风险在银行业属于操作风险,对这块的结构化建模一直非常困难,具体表现为:
1、科技与其他部门的数据沉淀,缺乏建模的历史数据;
2、所谓三道防线一直各自为战,缺乏统一的数据结构;
3、大家不重视数据在科技风险中的作用,都是通过非结构化的文档来处理的,缺乏计量、统计和分析,更谈不到风险缓释以及缓释后的计量评估;
4、对比巴塞尔协议;四大风险的分类是对银行风险总体标的因素来分类的,信用风险的因素是客户层面,市场风险的因素是市场或产品层面,操作风险的因素是员工层面,声誉风险的因素是媒体层面。
对应的信息科技风险管理也应该在大类上进行因素区分,比如客户层面的欺诈风险,产品或渠道层面的系统缺陷风险,后台科技部门的系统层面的系统运行风险以及操作风险,纯后台风险管理部门只负责整体敞口的风险计量与风险缓释的统一计量,内审稽核部的审计实际是风险缓释的一种手段,这样把所谓的“三道防线”重新定义重新梳理,通过数据的重新导入建立模型。防线的概念实际上不准确,防线应该是风险缓释层面,而风险预警、风险计量层面则只能统一规划统一考虑。因为有些部门只能做缓释,做不了预警和计量,有些部门专注计量和预警做不了风险缓释。整体的管理应该是先建立统一框架,然后从前中后台分别把信息科技相关的因素都考虑进来,分大类进行计量与预警,然后对缓释技术再统一考虑。对比巴塞尔协议,我们的框架支持内部评级模型,对银行的整体信息安全可以进行评级打分。
结合信息科技风险管理“三道防线”的理念,需要重新研究风险管控理念及大数据分析,有些是历史数据,有些是新建系统,需要与同业的数据对比及挖掘,对源数据、大数据平台模型、大数据应用场景、大数据风险管控等多角度进行研究,建立符合中小银行自身特点的大数据发展平台。实现银行数据的分析、挖掘及定制化展示。全面支持银行业务发展战略、风险战略,以数据为目标,让数据“说话”和“决策”,并按照巴塞尔框架重新梳理和定义,从而自成体系,具有可扩展性与满足未来发展需要。
研究收益:
根据银行信息科技战略、风险战略及发展特点,为其定制化开发信息科技风险大数据平台;
利用大数据智能分析技术,可自动识别网络及数据资产,实现银行科技资产的智能化分析与管理,可对系统风险、业务风险、科技风险进行管理与关联分析,实现风险的计量、监测、预警和缓释;
利用大数据智能分析技术,可实现信息系统与信息系统的关联分析,业务和系统的对应关系分析,业务之间的依赖分析以及业务对应的资源分析,可判断业务和重要信息系统的恢复顺序;
将信息科技风险管理“三道防线”的理念与管理思想融入大数据平台形成完整的信息科技风险的管理框架,利用大数据平台将信息科技治理、风险管理、安全管理、开发与测试管理、运行管理、业务连续性管理、外包管理、审计管理等方面进行风险分析与管控。
二、互联网银行安全与风险研究
互联网银行的安全和传统银行的不同主要体现在以下几个方面:
1、科技系统风险不再是主要的风险因素,因为互联网银行的业务不仅仅是传统银行业务;
2、渠道接入的风险成为信息科技风险的突出问题,因为客户是从各个机构各种渠道接入的;
3、平台风险是互联网银行的核心风险因素,大数据接入使得平台上的风险计量成为可能;
4、互联网银行突出风险的全面管理,业务和系统从资产端到负债端到中间业务都是完整的,既不是第三方支付也不是消费金融,而是一个完整全面的整体。
以国家互联网金融安全为战略背景,从互联网金融的衍生历史、行业发展前景、国家战略地位出发,深入对互联网金融的安全进行深入研究与分析,包括但不限于业务架构、科技架构、日常管理架构、风险管控架构、大数据分析架构、风险预警架构等方面。
研究收益:
为银行建立完整的、安全的、风险可控的互联网金融架构体系,实现从安全管理、风险管控、风险预警、风险审计的全方位设计,并指导落地与实践;
对互联网金融历史、发展前景和战略地位进行深入分析,以安全为核心,从组织架构及职责、管控体系建设、风险管理及预警、风险审计等多角度进行研究;
制定互联网金融业务的安全规划发展路线,指导互联网金融业务的安全、有序发展,并通过组织架构、管理职责、制度体系建设等方面进行落地实践;
结合多渠道互联网金融业务风险特点,发展模式,建立一套互联网金融标准体系框架,从互联网金融的管理、业务、技术三个维度进行安全规范。
三、移动支付信息安全体系研究
移动支付安全领域的创新研究,不同支付方式的安全隐患研究,以移动支付在安全漏洞修复、身份验证、账户密码防泄漏、安全传输、本地数据加密、交易劫持等方面的风险为研究对象,发现其中在安全技术方面存在风险,并加以分析,提供相关漏洞的修补方案,结合移动金融的安全管理,逐步将研究所发现的风险修补方案应用到系统当中,为银行构建具有典型的移动金融安全风险防范措施。
研究收益:
协助银行建设完善的移动安全支付管理体系,实现移动金融安全、平稳、持续运行,从而带来更高的经济收益,提高机构的市场竞争力;
将移动金融信息安全架构及要求融入移动金融安全开发中,形成银行产业竞争优势;
四、业务连续性管理与实践研究
以中小银行重要业务安全、稳定运行为目标,对中小银行的业务连续性的日常管理及应急组织架构及职责、业务连续性管控流程、重要业务影响分析、重要业务威胁及冲击分析、重要业务应急预案、业务连续性保障设施、业务连续性意识教育、业务连续性企业文化、业务连续性管理与实践等方面进行深入研究。
研究收益:
以银监会《商业银行业务连续性监管指引》为主要依据,为中小银行建立完整的、合规的、可落地的业务连续性管理体系,并全面指导体系的应用与实践。
分类枚举出业务连续性管理风险点,并提出相应控制措施;
提出一种较为完善的业务连续性风险管理框架;
提供了一套业务连续性管理评价指标;
制定业务连续性战略及实践规划路线;
业务连续性管理体系实践分析与验证;
选取1-2个系统进行业务连续性落地实践;
协助银行完成业务连续性计划演练和总结。
五、数据治理理论研究与实践
从中小银行数据治理现状和特点出发,以数据治理体系、数据标准、数据质量、元数据、数据管理平台建设、数据治理应用实践等因素作为主要研究内容,对中小银行数据治理的发展现状、管控措施、体系规划、平台建设、应用实践等方面进行深入分析,通过对数据治理评估模型相关研究理论的对比分析,建立数据治理成熟度模型;通过对数据治理平台建设模型和现状分析,搭建数据治理平台并应用实践。结合数据治理体系建设、数据治理评估模型、数据治理平台建设等方面在银行进行落地实践验证,验证体系建设和评估模型设计的合理性,数据治理平台建设的有效性和准确性以及在大数据时代下的数据治理应用效果。
研究收益:
分析数据治理风险管理、成熟度管理以及应用实践的管理现状,并提出相应控制措施,可作为中小银行自评估和监管机构开展数据治理管理、监测、检查、评估工作的基础。
提出一种较为完善的数据治理体系框架,为中小银行的数据治理体系建设提供参考框架,更为建设符合监管要求的数据治理管理体系提供指导建议。
建立一套数据治理量化评估要素体系,用于中小银行对其数据治理状况进行量化评估,发现主要风险,以准确了解本行数据治理管理水平。
提出一种数据治理管理成熟度模型,可用于评估银行数据治理成熟度级别,为银行提出针对性的优化建议,同时可用于监管机构针对中小银行数据治理进行分类监管和指导。
构建数据治理平台建设规划,可用于指导中小银行数据治理平台建设和应用,对元数据管理、数据标准管理、数据质量管理以及大数据应用实践等方面提供一定的建设和应用思路。
六、信息科技外包风险管理研究
以《银行业金融机构信息科技外包风险监管指引》为主要依据,研究内容包括:外包模式的研究、不同外包模式风险因素研究、不同外包模式相关控制措施和管理框架分析、不同外包模式的风险管理体系研究、银行不同外包模式的风险管理体系实践。
研究收益:
对不同外包模式风险因素、相关控制措施和管理框架进行分析,建立不同外包模式的外包风险管理体系,最终将研究成果应用到银行;
为银行提供一套信息科技不同外包模式的外包风险管理体系,用于银行日常监测信息科技外包风险动态,及时调整外包风险策略和管理措施;
对不同外包模式的外包风险管理体系建立了一套风险量化评估指标体系,可用于银行对其信息科技外包风险状况进行量化评估,发现主要风险,以准确提升本行信息科技外包风险管理水平。
七、安全可控技术体系研究
以安全为核心,可控为重点的开展行业的安全可控现状调研,通过分析并结合中小银行的安全可控落实重点、难点,总结梳理出安全可控的指导原则及实施路线,通过对外包、技术、供应链安全可控风险分析,重点对安全可控组织架构、管理流程、评价指标及管控平台等方面进行研究。
研究收益:
分析金融机构安全可控的特点和现状,应用安全可控的风险评估方法论;
识别不同层级安全可控可能的风险因素,涉及技术、外包和供应链风险;
研究出一套适合于中小银行的安全可控的风险计量模型;
明确金融机构安全可控建设的发展路线,并将安全可控进行实践应用。
八、信息科技风险二道防线体系研究
重点研究中小银行二道防线建设策略、管理体系,促进中小银行二道防线管理系统化、流程化、标准化;深入研究中小银行二道防线建设规划,解决难以落地的实际问题;深入研究中小银行二道防线日常风险管理、重要风险监控、风险评估、业务连续性管理、灾难恢复与应急管理,解决二道防线建设履职不全面、管理难以执行的问题,提高中小银行二道防线管理水平。风险管理部侧重纯后台的整体风险敞口计量、预警与评估缓释后风险的整体计量情况,侧重全面风险管理尤其是压力测试对预警有着最重要的职责。
研究收益:
通过开展信息科技风险管理二道防线发展规划咨询,明确银行二道防线未来发展方向,构建发展规划的系统架构,为银行二道防线未来的发展建设奠定基础;
提出适合于组织信息科技风险管理二道防线的风险管理策略;
促进组织信息科技风险管理二道防线对信息科技风险进行科学化、规范化和流程化管理;
切实提高组织对信息科技风险的抵御能力。
九、信息科技审计体系研究与实践
本课题研究中小银行信息科技审计的审计内容、覆盖范围、审计力度、审计频率、实施方法,解决中小银行对审计混乱、审计指标不明确、审计力度难以把握的难题;分类研究不同规模、不同信息科技管理水平的中小银行的信息科技风险审计管理体系,解决银行审计组织架构不健全、职责模糊、管理制度内容缺失、工作执行困难的问题。
研究收益:
发现信息科技风险管理“三道防线”的管理风险及不足;
健全信息科技治理架构及信息科技审计管理体系;
培养信息科技风险审计队伍,逐步实现信息科技内部审计的职责;
以外包审计及开发管理审计为例进行落地应用与实践。
十、信息科技风险管理核心指标研究
本课题研究内容至少包括:国内外信息科技风险政策、国内外信息科技风险管理方法论、中小商业银行信息科技风险管理现状、中小商业银行信息科技风险预警机制、中小商业银行信息科技风险管理核心指标、中小商业银行信息科技风险管理平台等。
研究收益:
充分识别商业银行全面信息科技风险,将核心问题化解为若干个文字化的制度和可量化的模块,通过对不同模块的进一步研究,形成更为细致的子模块和控制点,即信息科技风险管理指标库;
信息科技风险管理指标分类分级:将信息科技风险管理指标库按照部门、岗位进行划分及归类;
提炼中小商业银行信息科技风险管理核心指标:将信息科技风险管理指标库中的指标依据科学合理的评价方法论进行评价,提炼出核心指标;
指标监测及指标平台化管理:对指标进行动态监测,将指标集成于电子化平台,使之成为信息科技风险评估的重要手段;
与监管部门和银行进行沟通,进一步探索信息科技风险管理指标在银行风险控制体系的实践价值。
十一、智能安防预警平台研究
由于银行业金融机构自助设备及营业场所的安全问题越来越严峻,如何有效提高自助设备及营业场所的安防能力,特别是预警能力,变“事后破案”为“事前预防、事中控制”,更好地满足银行业务安全发展的需要,为本课题的研究主题。我司经过多年的实际工作探索,结合金融ATM和营业网点技防设备实际现状,研究并开发了智能安防预警平台,该平台具备15个系统(视频监控系统、IP语音对讲系统、网络报警系统、加钞间授权管理系统、环境检测系统、设备故障监测系统、智能分析识别系统、出入口控制系统、视频卡号叠加系统、款车到达通知系统、GPS自动校时系统、安保设备信息管理系统、防尾随互锁系统、智能防护舱系统、联网型反劫控制系统)、162个功能,解决了68个金融安防风险点,有效地解决了自助设备存在的风险。
研究收益:
通过该平台,可防止罪犯遮挡、破坏摄像机的检测识别与报警的智能功能。当犯罪分子企图实施犯罪而遮挡摄像机、敲砸ATM机时,被监控系统侦测与捕捉后会立即进行声光报警,以便及时震慑犯罪嫌疑人。
通过该平台,可以实现人员异常行为的检测识别与报警的智能功能,杜绝在ATM机前发生偷、抢用户卡与现金的事件。
通过该平台,可以实现非法滞留物检测识别与报警智能功能。
通过该平台,可以实现人面像的检测识别与报警的智能功能。能主动对整个取款机周围情况进行监控。如果有人偷窥、带口罩、墨镜和帽子等物遮挡相貌特征即提示报警。
通过该平台,可以实现加钞门出入授权管理及规范化营业室人员出入合规功能。
通过该平台,可以实现设备故障检测功能,对多种设备故障均能提示报警。
通过该平台,可以实现银行柜员摄像机、客户视频、卡号钞数叠加功能。
通过该平台,可以实现款车到达通知功能,能够实时提供款车到达通知信息。
通过该平台,可以实现能够自动校时,使整个系统时间保持一致。
通过该平台,可以实现针对整个系统设备进行分级、分类管理功能,实现器材、维修、设备等综合管理。
通过该平台,可以实现针对银行暴力案件时,工作人员能采取主动反抢劫功能。
十二、消费金融应用研究
基于中小商业银行的个人小额信贷的业务拓展,本着为银行提供优质的客户资源、稳定优质的贷款客户,并提供全方位的服务,包括数据分析评估,系统拓展,客户全方位咨询等原则,我们开展了针对小额贷款业务而设计的助贷系统方案。本课题研究内容至少包括:国内消费金融市场分析、信用体系建设研究、基于互联网大数据的金融信用体系和数据驱动金融服务模式研究、信贷业务风险的研究、小额信贷业务的申请、征信、监控管理研究、助贷平台研究等。
研究收益:
为申请、审批、催收、数据分析提供不同阶段规则引擎;
配置不同征信平台联机接口,对征信获得数据进行二次处理,提取关键数据,数据结构化提供调查决策对外服务接口,对接三方平台;
提供实时/准实时风险交易监控服务,针对贷中发生的客户频繁请款等异常行为进行监控;同时基于评分引擎不断根据客户具体行为调整监控规则,确保适应客户个性化需求同时防范异常交易风险。