谌力

金融科技正在改变着金融行业，金融的互联网+热潮不断蔓延。在传统的金融机构操作风险管理的理念和手段之外，如何通过大数据提升和优化操作风险管理水平？就这一话题，记者采访了具有丰富互联网金融与科技管理经验的乐视金融首席技术官丁晓强先生，请他分享了在大数据操作风险管理领域的理念、方法论和实践经验。

根据巴塞尔委员会的定义：操作风险是指由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险，包括法律和监管合规风险。从广义的角度来讲，操作风险是指人员、流程、系统和外部环境带来的风险。从金融机构的实践来看，目前的操作风险管理主要集中在企业内部业务流程的操作风险（雇员）、信息系统的操作风险（数据、篡改）、外部的反欺诈等具体应用之中。

大数据给操作风险管理带来的四个新理念

在金融机构狭义操作风险管理中，信息系统相关风险相对独立，这里暂且不谈，互联网金融操作风险防御重点要遵循以下四个理念：

（一）系统为主，降低人为风险，能用系统的地方就不用人来操作。在操作流程中，能够通过系统完成的都交给系统自动完成，降低人为影响。即使流程中有必须人工操作的部分，也要将人为操作因素降低到最少。系统在建设初期肯定不是完善的，总有漏洞和问题，对系统的持续改善，总体上是为了使风险越来越小，所以不要怕出现不完美的系统，而是要保持不断优化的习惯。

（二）客户自助服务为主。在传统金融机构里面，常见的一种场景是用户手动填单子+柜员手动输入系统。这个过程就可能产生差错，带来风险。互联网金融在客户输入端通常采用客户自助操作，减少手动录入过程，避免人为因素带来操作失误。客户自己操作也会产生一个新问题，那就是欺诈问题。不过这最终属于外部欺诈防范范围，可以依靠专业的反欺诈体系来保障。

（三）信息技术无缝应用。信息系统为操作风险监督、报警、纠错提供了广泛的可能性，在整个业务流程中将所有环节都用信息技术来操作，可以通过“量化——建模——监控——阈值/报警范围——纠错”形成完整闭环，不断优化，最终实现自动化操作风险管理。例如，数据库中的某个字段被修改就会触发报警，这种监控的节点就可以增加和调整。

（四）建立有梯度/有灰度的防御体系。在业务流程中进行保护设计，要有关联证明，不能有单点就可以突破的地方。例如，账户金融被改动，需要一系列的业务操作在前，才能被认可是一个合法的发动。在操作风险管理中不能只使用单一方法，要采用多因素验证，建立多层次的防控体系，保证有多个不同机制的手段在不同的节点进行防控，保证风控体系的纵深度。

操作风险管理的方法论与四个执行原则

上述四个理念是贯穿操作风险管理的大方向，实现起来并不轻松，需要长期优化改进。在金融行业内部，操作风险管理方法论已非常成熟。例如巴塞尔协议关于银行操作风险管理和信息系统风险管理的指导框架、 COSO企业内部控制框架、COBIT（Control Objectives for Information and related Technology）信息系统审计的标准等。然而将上述方法在现实中论落实执行并不简单，还需要还配套一些原则。在具体执行中，遵循以下几个原则：

（一）信息系统实现实时性。信息系统尽量自动，不可以人为介入或改变规则。传统金融机构在风控系统设计时流程管理是主要方向，审批流存在较多的人为干预项，虽然方便了金融决策的上报和直接管理，却给金融流程种下了风险隐患。当然，如果要对系统或数据进行手动操作则要根据权限逐级审批，留下证据，保证审批负责。

（二）信息的不可抵赖性。这就涉及到系统的日志留存。操作员每天操作的都记录在案，所有的操作都要留痕存证。金融机构应根据历史数据建立模型去预测和验证，不断优化。如果实际工作中原本预测应该平滑发生的业务预测出现了偏离很大的数据点，就说明可能存在问题，这些信息的发现非常重要，需要认真检查相关问题，一些操作风险就是从这里面发现的。

（三）信息的完整性。不能为了节省而丧失对信息完整性的要求，所有相关的信息都要求完整保留。

（四）信息系统实现交叉检查。通过信息系统广泛链接结构和业务流程，所有信息是关联的，可以通过上下游、左右应用交叉检查，相关的系统相互留下信息，相互印证。

与四大理念的努力方向不同，这四个原则是在风险控制系统时必须要求必须实现的，是底线般的存在。

互联网金融与传统金融机构在操作风险管理领域的差异

互联网金融应用大数据进行操作风险管理，在业务监控和数据分析上与传统金融机构有很大的差异。

在传统操作风险管理领域，传统金融机构按照各类规范框架执行，实现人员和权限隔离，例如双人复核、岗位设置的交叉复核；互联网金融则主要依靠信息系统，通过信息技术实现业务流程，由线上数据流推动业务进行。在互联网金融机构中，几乎所有可以用信息系统代替的流程都用信息系统解决，排除信息孤岛，由信息系统业务流程自动执行链接，所有數据不落地也就意味着不存在人为修改数据的机会；流程参与者只是信息系统使用者，这是信息系统定义的，流程参与者只要操作好自己的部分就可以。信息系统尽量自动动作，锁定业务操作流程，减少人为操作的机会，系统也留下少数几个人工操作变更的入口，但是使用这些入口需要上升到公司级审批，走一套复杂的流程才能变更，还要留下证据，审批人要承担随后的责任。

传统金融机构留下的可操作的物理和应用入口比较多，这是传统金融的信息系统建设方式和管理文化不同带来的结果。

大数据如何提升操作风险管理

对互联网金融机构的操作风险管理而言，大数据主要应用在以下几个方面：

（一）在客户接触端实现客户自助服务，客户操作中有没有异常，也可以从大数据分析过程识别，避免外部欺诈。这里又会应用到到反欺诈模型。

（二）对于内控，涉及到内部用户登录系统和体系管理。大数据在内部风控方面的核心是建模，将一切内部操作信息化时，流程数据就有机会建模，有了体系化模型，才能助力内控。内部监控更多关注的是用户的权限管理。

大数据操作风险管理需要注意的问题

（一）人员。因为互联网金融的大数据风险管理主要依靠信息系统，而这些信息系统是由人设计和实现的，所以，这些人就是企业的核心资源。关注体系的设计和实现人员，防止人员的单点问题。此外，在进行系统建设的同时需要建立知识库，实现文档管理，避免系统文档缺乏和人员流失带来的风险。

（二）动态调整。操作风险来自内部人员和外部风险两方面。只要有利益，总会有人去钻空子。我们要做的是尽量减少隐患，增加钻空子的难度。比如，要求系统管理员操作留痕，甚至操作的计算机都是远程可控的，任何的异常行为都留下证据。操作风险要根据形势去做调整，道高一尺魔高一丈，动态的发展，动态的服务，动态的操作风险管理。

未来的大数据风险管理的发展还有哪些空间？

更多利用公共资源和外部数据。以后大数据应用和覆盖会越来越全面，越全面就会越准确。如果未来可以实现公用资源和技术（大数据交换技术）的联盟，那就有可能做得更好。在这个基础上可以想象的空间太多了，包括智能分析等很多东西都可以做了。最重要的例子就是，如果在有效信息共享的基础上，对不同品类的数据进行关联分析（如航班、点评、移动网络定位等数据）后判断一个人的行为。不过，这也涉及到大数据的另外一个话题，成本控制问题，如果有越来越多的企业参与，每个企业提供自己的数据，聚合在一起，成本就会低廉合算。当然，这不是一家企业或平台可以完成的，或许还需要政府出面牵头。总之，未来的大数据风险管理的发展空间广阔，可以说只有想不到的，没有做不到的。