观点 | 银行业务安全风险态势及监管政策导向
近日,中国银保监会党委刊文《持之以恒防范化解重大金融风险》,指出站在新的历史起点上,要沉着应对和防范化解重大金融风险,坚定不移推动中国金融高质量发展。
随着金融业改革和数字化转型进程的不断深化,银行业金融机构的业务正在发生深刻变革,体现出零售业务增长、物理网点萎缩、服务客户下沉等特点,与此同时,面临监管环境趋严、业务模式改革、风险管控升级等趋势。
对此,同盾科技金融业务安全专家墨白从银行业务安全建设的角度,阐述风险态势洞察及监管政策导向,并对银行业金融机构如何通过构建“新一代智能安全中枢”,实现风险管理进阶升级提出建议。
什么是业务安全?
从信息系统安全范畴来讲,可以划分为网络安全、系统安全、应用安全、运行安全、终端安全和业务安全等领域。业务安全,简单地说就是指企业业务上发生的安全问题。具体到金融领域,金融业务安全就是指信息系统在实现金融业务过程中存在漏洞,造成业务规则无法实现或容易被绕过等错误或弱点。
墨白认为,金融业务安全建设要着眼五个要点,首先要符合法律法规要求,保证业务在运转过程中不会因为违规而被监管通报处罚;第二要保障业务的可用性和连续性;第三要保障业务运转过程中核心信息不会被泄漏;第四要能够保护业务运行过程中产生的数据的一致性、完整性;第五,针对问题要能够溯源,证明业务运行过程的合规性。
日益严峻的挑战
洞察银行业务的数字化进程,近年来经历了网点信息化、网上银行、手机银行,再到今天的智能银行,未来还可能向开放银行发展。目前,绝大多数银行处于智能银行发展阶段,即利用大数据、人工智能等技术向客户提供个性化、差异化的服务。
随之而来,银行业务面临的风险场景也呈现多样性变化,暴露出的被攻击面、被攻击点亦呈爆发式增长。特别是疫情以来,各类涉赌涉诈欺诈团伙也在加速线上化转移,并利用AI技术、虚拟货币等不断升级与银行风控体系的对抗,高科技涉赌涉诈、洗钱案例持续呈现出高发态势。
为此,国家公安、网信及金融监管等部门先后开展了“断卡”“长城专项”等防赌反诈专项行动。人民银行、银保监会陆续出台多项文件,要求商业银行、支付机构、清算机构压实主体责任,防赌反诈全面升级。
近7年来,据公安部发布的数据显示,欺诈案件和欺诈金额逐年上涨,近一年(截至2022年4月),全国公安机关共破获电信网络诈骗案件39.4万起,紧急止付涉案资金3291亿元。在近一年的高发电诈骗局中,网络刷单返利、虚假投资理财、虚假网络贷款、冒充客服、冒充公检法是五种主要的诈骗类型。
与此同时,反电信网络诈骗法加速立法进程,对金融机构账户、交易等环节的防赌反诈风险管理提出全面要求。
墨白认为,近年来人民银行、银保监会等监管部门的政策思路一脉相承,金融业务已发生深刻变革,正在经历从“账户”为中心向“用户”为中心的转变过程,相应地也要求银行的业务安全风控建设,从“规则为本”向“风险为本”转变。
支付结算及账户管理类政策
从具体操作层面来看,墨白认为相关监管政策主要涉及两方面:一是针对支付结算及账户管理类的政策,二是针对银行卡收单业务及收单风险类的政策。
自2015年以来,人民银行、支付清算协会就账户分类管理、支付安全、涉赌涉诈核查、电信网络诈骗、账户优化服务等内容下发了一系列的文件。例如:银发〔2016〕261号文、银发〔2018〕146号文、银支付〔2020〕49号文、银发〔2021〕260号文等文件。
这些文件具有非常重要的意义,提出了很多需要银行不断细化落实的具体要求,例如要求银行全面推进个人账户分类管理,提出I,II,III类账户分类管理办法,以及建立对买卖银行账户和支付账户、冒名开户的惩戒机制;针对单笔交易金额整额或贴近整额,银行就需要拆分细分核查点及具体风险特征,然后结合行内数据及系统加工具体指标,再设计监控策略或模型;针对性的面向小微企业开户难问题,要求银行建立企业账户分类分级管理体系等等,都针对历史上出现的棘手问题提出了针对性的解决办法。
银行卡收单业务及收单风险政策
与此同时,监管日益重视收单侧业务及相关风险,从2013年人民银行下发银发〔2013〕9号文,到银发〔2016〕261号文、银发〔2017〕296号文、银发〔2019〕85号文、银支付〔2020〕49号文等等,相继出台10余个文件,持续加强该领域的监管要求。
墨白表示,这些监管文件在各自出台的时期,针对当时出现新形势、新技术、新局面均做出了针对性部署,总体看来又体现出层层递进的监管思路。
● 人民银行在2013年出台的银发〔2013〕9号文是一个重要的里程碑,首次以专门的业务管理办法的形式,针对收单受理市场制定系统全面的规范。
当时,随着银行卡支付业务模式、受理终端与渠道的不断创新,银行卡收单业务呈传统实体商户收单、网络新型收单融合发展的趋势。该办法的发布和施行奠定了监管机构全面规范收单市场、加强收单业务监管的制度基础,此后陆续发布的收单业务监管政策均与该办法的监管思路一脉相承。
● 银发〔2016〕261号文针对银行卡收单业务提出四个方面的具体要求,包括严格审核特约商户资质,规范受理终端;强化可疑交易监测;加强特约商户资金结算管理;建立健全特约商户信息管理系统等。
● 银发〔2017〕296号文聚焦条码支付管理,从特约商户资质审核、商户风险评级、商户检查、交易风险监测等方面,要求强化业务风险管理。
此后,2019年至今监管机构针对电信诈骗、赌博等新型违法的排查整治,进一步细化责任,强化监督,从银发〔2019〕85号文、银支付〔2020〕49号文、银发〔2020〕155号文到银发〔2021〕259号文,相继提出严格特约商户审核、严格受理终端管理、强化收单业务风险监测、健全特约商户分类巡检等要求。
墨白认为,银行业金融机构贯彻落实这些监管要求,需要通盘考虑,不可“头痛医头、脚痛医脚”,需要从数字化转型的战略视角出发,打造“新一代智能安全中枢”,通过智能风控中台+智能风控运营形成全生命周期的闭环管理,并对整体业务规划、技术平台支撑、风险管控运营、效果评估与策略优化等方面全面布局。
风控的智能化演进
随着业务形态、欺诈风险等内外部因素的不断变化,银行的风控手段也朝着智能化、数字化的方向不断演进。墨白观察认为,这股浪潮大概始于2005年,至2012年这段时间可以称为萌芽期,互联网开始与金融业务探索融合,但大多数传统金融机构尚未实施风控方面的数字化改革。
2012年至2014年迎来了智能风控的1.0时代,相关理念开始在传统金融机构传播,数字化风控系统得到初步搭建。2014年至今可以看作智能风控的2.0时代,大数据、人工智能、实时计算、知识图谱和云计算等技术工具逐渐在金融机构中实践应用,并加速向多场景渗透。
“而当下,银行风控正在走向3.0时代。智能风控进入升华期,以决策智能为主线构建‘新一代智能安全中枢’,形成全生命周期的风控运营管理体系,将是未来的主战场。”
墨白表示,未来银行的智能化风控体系必将与整个数字化战略推进更加同频,在这一过程中逐步理顺逻辑、整体规划、健全平台、完善标准、优化运营,形成合力。
而具体到操作层面,银行的数字化转型和线上展业,将使风控的场景主要集中在账户、商户、交易、信贷、营销五大场景中。着眼于不同的风险场景以及监管机构的一系列政策要求,银行需要做到:
● 满足监管合规要求:主要涉及账户、商户两大类的业务安全风控,其中账户风控包括个人或企业账户开立、使用、变更、销户等各交易环节的行为进行持续监测和风险处置。商户风控包括主观欺诈意愿、骗取收单行机具与持卡人合谋、篡改复制单据等以期非法获利的欺诈行为。
● 保护客户资金安全:主要涉及交易风控,即在真实客户或银行不知情,欺诈者以非法获利为目的,通过传统渠道或电子渠道的转账、支付、消费等交易造成或预期造成真实客户所拥有的各账户资金或银行资金损失的行为。
● 保护机构资金安全:这里主要涉及信贷风控、营销风控两大类。其中在信贷风控领域具体包括申请欺诈防控、信用风险管理等等;营销风控则针对利用各个银行等金融机构及各类商家的优惠信息,通过欺诈手段实现获利的行为。
打造新一代智能安全中枢
墨白认为,当下金融领域的业务安全建设已逐步进入下半场,金融机构比拼的是在建设了智能风控系统之上,更需要侧重于精细化的风控运营能力,需要量化风控系统的建设有没有更好的服务和促进业务发展,创造价值。
“比如各家银行都运用智能技术工具,建设了不少着眼于单点的风控平台、服务平台,而要将其融会贯通起来发挥合力,就像打仗要有司令部一样,需要一个新一代智能安全中枢系统来做指挥和决策,充分释放数据要素的储备动能,我们认为这样一个安全中枢系统,需要整体规划,要有平台支撑,更需要智能运营。”
规划整体业务安全体系架构
银行在智能化风控建设初期,管理层战略意图最直接的体现就是科技投入。因此不少银行在科技系统和技术应用层面,升级基础架构,建设面向各种业务安全场景的风控平台。通过建系统搭平台推动了流程的线上化,提升业务的便利性,也释放了人力成本,达到了积极效果。但是,这其实是单点的、面向技术平台的数字化风控建设。实际的效果如何?投入产出比如何?这都是银行在智能风控进阶建设阶段需要精细化考虑的问题。
进一步观察,不少科技与业务尚缺乏深度融合,建设系统的功能没有发挥出来,系统运营服务能力没有跟上,也尚未做到中国银保监会《关于银行业保险业数字化转型的指导意见》等监管要求,将数字化转型战略和实施进程与机构自身经营发展需要、技术实力、风险控制能力相匹配。
因此,银行业务安全的智能化建设,需要在数字化转型推进的过程中,自上而下系统规划、理顺逻辑、整体推进。墨白表示,同盾科技可以帮助银行从支撑保障、技术数据体系和风险管控体系三大主题进行分析与规划,实现银行全业务、全触点、全风险场景的支持与差异化的服务。
构建业务安全中心闭环体系
安全本质上是系统的一个重要属性,而业务安全处于整个体系的最上层,与业务紧密相关,对于银行更是如此。银行的业务安全建设永远处在一个与欺诈、攻击对抗的过程中。特别是当下,业务安全面临更致命、更隐蔽的风险,这就要求银行建立一个迎合技术发展、业务发展、攻击发展不断迭代的业务安全中心,从风险感知、风险决策、风险处置到风险运营形成业务安全闭环。
这样一个闭环体系,应包括实时计算、决策引擎、知识图谱、终端态势感知等技术的应用,结合先进的机器学习算法形成一个快速响应的正反馈系统和纵深的运营服务体系,不断迭代提升银行的业务安全能力,成为数字化时代的安全基础设施。
墨白表示,之前第一代业务安全建设,很多银行用的是名单库和规则,第二代更多的是决策引擎结合模型算法。目前,业务安全已进入下半场,未来属于智能风控中台加上精细化运营的能力,意味着银行业务的全覆盖、风控能力的复用,更意味着快速响应、人机结合和业务的全生命周期管理。
建设一体化的智能风控平台
在此基础上,银行做好业务安全风控建设,需要一体化的智能风控平台。墨白认为,银行需落实全面风险管理理念,针对账户欺诈、交易欺诈、商户欺诈、信贷申请欺诈等欺诈维度实施统一布控,运用大数据、人工智能、联邦学习等技术,通过统一的名单、规则、策略、模型、图谱等技术,支撑交易及信贷等各业务场景的反欺诈需求,提升欺诈风险管控的主动性、前瞻性、敏捷性和有效性。
在当下业务场景与欺诈风险双双加速数字化转型的压力下,银行传统的交易反欺诈、申请反欺诈、商户反欺诈等“项目制”风控建设方式,已无法实现数据资源在全行视角下的统一管理、复用留存,难以解决高并发、多维度、瞬时化、脉冲化的多重欺诈风险管控需求。
在这样的背景下,需要银行基于全新的风控理念,依托科技重塑风险管理价值链,运用更加先进的决策智能技术,深挖数据要素的价值,通过数字资产沉淀、数字工具赋能、数据治理等技术应用,建设统一的风险数据视图,并在此基础上运用机器学习等算法开发各类主题的欺诈风险管控模型,进而构建覆盖各业务场景的,全方位、多维度的全行级反欺诈核心平台,有效解决客户洞察与风险管控需求,支撑金融服务模式的创新和精细化管理水平的提升,并满足外部监管的要求。
打造精细化风控运营体系能力
此外,墨白观察发现当前大多数金融机构的现状是建立了风险决策和监测平台,然而缺乏日常的监控、管控、考核机制,因此导致风控效果有待提升。
“在新一代智能安全中枢的思路下,银行需要打造‘风险态势可感知、策略效果可量化、优化方向可决策、绩效考核可评价、运营过程可管理’的一体化风控运营体系”,墨白表示,“智能运营与平台建设具有同样重要的意义”。
以业务运营、风险分析处置、风控效率提升等为出发点,同盾科技针对金融机构传统风控系统中面临的风控效果不佳、业务人员能力提升、策略自动优化调整、系统价值提升等运营难题,创新提出了智能运营量化分析平台这一解决方案。
墨白最后表示,风险防控的“可量化、自适应”是金融业务安全管理的最佳状态。未来,银行可按照“决策+量化+运营”一体化的智能风控自洽运行总体思路,应用大数据、人工智能、机器学习等技术方法,实现精准定位业务风险、问题策略等风险管理优化点,和流程化、引导化、可视化的分析解决手段。这一目标的实现,风控体系的运营优化将起到至关重要的作用。
