当代金融家 | 金融机构欺诈风险管控体系的构建

小编 6238

当代金融家 | 金融机构欺诈风险管控体系的构建

|导读|

信息时代,全面的、立体性的欺诈风险管控体系必将成为企业风险管理的有效助力。金融机构通过建立欺诈风险管控体系,充分利用各道防线的专业知识和风险管控能力,实现跨渠道的全面欺诈风险管理。在此基础上,金融机构可以更加开放的姿态拥抱金融科技,利用新技术进行业务创新,为客户提供更好的服务和保障。

文/卢维清 360企业安全反欺诈实验室主任
来源/《当代金融家》杂志2019年第2-3期
原题/《信息时代,金融机构欺诈风险管控体系的构建》

|正文|

近年来,金融机构积极拥抱金融科技,开展大规模的信息化与网络化建设。越来越多的依托于网络 发布新闻平台与信息系统的现代科技工具,被金融机构用于内部经营管理中。此外,在新技术的支撑下,金融机构逐渐创新推出了更灵活、更复杂、更符合客户需求的业务。与之相对应的是,这带来了更多的操作风险。与此同时,犯罪分子也在利用新技术不断制造新型的犯罪手段,这给互联网时代的金融机构带来了严峻的挑战。

相比市场风险和信用风险,金融机构在应对操作风险时,往往比较被动,且难以预知,风险一旦爆发就可能带来惨重的损失。近年来,操作风险给金融机构带来的损失越来越大,通过一些调查报告的分析可以发现,大部分操作风险来自于欺诈风险。比如,据世界著名非营利机构操作风险数据互换协会(ORX)的统计数据,2017年Top 10的操作风险事件中,欺诈风险事件的损失占比高达71%。可见,欺诈风险是金融机构迫切需要解决的重要风险。

全球欺诈风险的四个趋势

通过观测分析可以发现,近年来,全球欺诈风险存在四个趋势:

欺诈损失越来越大。过去数年间,互联网信息科技技术高速发展,国内外企业借助各项技术不断进行业务创新,但是各业务领域新的欺诈风险也随之涌现。在互联网环境下,欺诈风险出现的频次不断增加、传播范围更广、传播速度更快,带来的损失更大。

欺诈手段复杂难防。从事欺诈犯罪的人呈现出组织化和虚拟化特点,其利用互联网技术进行跨地域作案,侵害企业与客户利益。欺诈风险可以迅速在互联网、银行卡、票据、贷款等多个渠道和业务场景进行传染扩散。很多企业在面对手段多端、传染性不断增强的欺诈风险时,感到力不从心。

欺诈行为隐秘性高。内部欺诈者往往在正常的工作时间,利用自己拥有的合理的业务操作权限,在合规的操作中实施欺诈。潜藏在合规操作中的欺诈行为,难以被企业的内部合规检查所发现,使发稿平台得内部欺诈者可以持续地对企业进行内部欺诈,给企业带来连续的欺诈损失。

网络犯罪和职务犯罪逐步融合。在互联网时代,网络攻击行为正在变得更加精明、隐秘和专业,同时为了利益最大化,网络攻击正在与欺诈相结合。内外部欺诈者通过企业的漏洞实施网络犯罪和欺诈犯罪,以获取高额利益,同时利用网络攻击手段对自己的行为进行掩盖,使得企业更加难以应对。

重在防范内外勾结欺诈

防范内外勾结欺诈案件是金融机构当前面临的一项重大挑战。

操作风险中的欺诈风险主要有两类:一类是外部欺诈,一类是内部欺诈(涉及职务犯罪)。这两类欺诈有着截然不同的模式,外部欺诈往往是“高频低损”,而内部欺诈却是“低频高损”。据ORX协会统计,2017年欺诈风险损失中内部欺诈事件损失占比高达85%。从分析来看,现在很多大案件往往是内外勾结的模式,行为极其复杂和隐秘,这在一定程度上给金融机构的风险防范带来了巨大的挑战。

2018年以来,监管部门通过调查梳理发现金融机构内外勾结类案件频发:

● 2018年2月,银监会有关部门负责人在《银行业金融机构从业人员行为管理指引(征求意见稿)》发布时指出,“近年来,银行业案件频发,多与银行从业人员内外勾结、违规操作相关”。

● 2018年8月,银保监会在发布《关于进一步做好信贷工作提升服务实体经济质效的通知》时,再次强调“严禁银行员工内外勾结”。

但是,从国内金融机构对欺诈风险的应对情况来看,当前金融机构防范欺诈风险主要存在以下五方面的困难。

欺诈风险防范不成体系。当前,在金融机构中,职务欺诈犯罪的监测能力分散在会计、内控合规、风险管理、审计、监察等部门。由于涉及职务犯罪的内部欺诈行为往往隐秘性极高,相互独立的“三道防线”在各自进行检查监督时,一般难以发现潜藏在正常、合规操作行为中的欺诈行为。

缺乏有效的欺诈风险防范工具。犯罪分子利用高科技手段对金融机构进行全方位的欺诈威胁,现有的人工检查手段受制于人员限制,无法对海量的业务进行全面覆盖,无法从海量的数据中发现可疑的风险信号,更无法实时地展开监测调查,从事中及时防范欺诈案件。

前中后台多样化渠道割裂现象严重。尽管金融机构已经开始逐步共享各业务渠道的风险情报和风险数据,但是现有的方式尚不足以形成全面的监测调查能力,以对欺诈风险进行有效的防范,更无法完全覆盖内外勾结的犯罪形式。

数据信息碎片化严重。由于存在前中后台渠道割裂的现象,因此,各渠道的数据信息存在碎片化问题,金融机构难以有效地利用现有数据形成出色的防御能力。

缺乏反欺诈专业人才。当前,国内金融机构更多关注外部欺诈风险,对于内部欺诈和内外勾结欺诈等风险缺乏专业的反欺诈人才,人才储备和经验积累难以在短时间内解决。

新环境下,防范欺诈风险的新趋势

以内外勾结欺诈为首的操作风险,给金融机构带来了巨大的挑战,但与此同时,应该看到,“新环境”为构建欺诈风险管控体系也带来了机遇。主要表现在以下几方面。

欺诈行为变得有迹可循。随着金融机构信息化体系的高速建设,多数线下业务操作逐步转变为线上操作,很多操作行为会在系统中留下痕迹,金融机构可以利用新的信息系统收集日志信息、行为信息等数据,用于操作风险行为的分析和捕获。

数据变得丰富透明。互联网环境下,金融机构除了自身的内部数据外,还可以通过互联网购买或者采集外部数据,使得风险管理和信用评级数据化,打破内部数据局限性,实现多方 新闻发布平台数据关联的风险评估。

风险防控易于部署,性价比高。大数据技术支持开源架构,易于部署,可以通过数据挖掘能力发掘数据价值,利用大数据流式计算技术进行实时运算。开源架构、开放式的弹性软文推广可扩展搭建方式,可以在增强通用性的基础上节省大量的成本。

新型技术成熟应用。大数据分析技术、人工智能技术、可视化分析技术等新型技术可以帮助用户在拥有强大易用性的基础上,提供更全面、更主动、更智能的风险监测能力,这些都能使金融机构在 网站发稿不增加额外人力投入的基础上获得更强大的欺诈风险管控能力。

构建欺诈风险管控体系

为了更好地应对以欺诈风险诈为首的操作风险,金融机构需要从以下几个方面构建欺诈风险管控体系。

一个风险防控体系。新环境下,金融机构应该构建统一的欺诈风险管控体系,才能打破欺诈风险在数据、信息、分析、调查、处置等方面的壁垒,才能解决重复投入、效率低下,信息孤岛、防范滞后等问题,最终形成欺诈风险管控流程的标准化。统一的管控体系利于增强金融机构全员的欺诈风险意识,便于反欺诈管控规定的执行,促进金融机构反欺诈能力的全面提升。

明确风险防控职责。借鉴金融机构的“三道防线”,由第二道防线中负责职务欺诈媒体发稿平台犯罪监测的职能部门作为牵头部门,构建欺诈风险管控体系。借由第二道防线实现事前、事中、事后各风险职责的软文网协调整合,充分发挥各职能部门的专业管理作用,并且保持上下级机构、部门易于协调的特点(见图1) 。

协同防御欺诈风险。通过牵头部门协调实现跨条线的欺诈风险防御,相互配合全面防控。

第一道防线的业务部门通过专业的业务知识进行准确的业务风险分析。

第二道防线的欺诈风险牵头部门设计和建设欺诈风险防控职责和风险处置流程,并建立跨条线的沟通机制,实现欺诈风险信息的及时传递与共享。

第三道防线的审计检查部门通过审计验证欺诈风险管控的执行情况,并提出重要的改进建议,并在欺诈事件的调查环节中提供检查方面的专业支持。

整合能力共同监察。通过大数据技术,整合欺诈风险的数据和信息,集成各条防线的专业能力,建立企业级的反欺诈监测调查平台,实现对欺诈风险的共同监察。金融机构可以整合应用原来以“孤岛”形式分布的各类欺诈风险信息,打造对欺诈风险的“态势感知”能力,提高欺诈风险监测、调查能力。在信息方面,建立全面欺诈风险信息报送传递机制,实现自下而上全面的欺诈风险信息动态报送与传递,减少信息衰减,使反欺诈牵头部门与其他部门间形成畅通的信息共享和交换路径,有效地抑制欺诈风险在金融机构内部业务条线、产品之间以及金融机构之间进行转移(见图2) 。

结语

数字化的经济体系打破了传统金融系统的物理防护边界,使银行不得不直接面对充满各种 媒体发布平台风险的互联网络环境,因此,也就无可避免地会陷入 软文平台安全攻击与防护技术之间无休止的对抗之中。因此,金融机构需要构建欺诈风险管控体系来应对新环境下的新挑战,主动采取业务与技术相结合的金融犯罪防范模式,不断主动地跟踪并分析新业务、新技术可能带来的新威胁,并积极引入先进的金融犯罪防范技术,从而取得先机,有效保障银行与客户的利益。

基于新环境推动欺诈风险管控体系的构建,应当上升到企业风险管理的战略层面,与业务风险管理进行深度结合,根据企业现状明确各道防线的合作机制,指派具有足够权限的负责人,才能确保欺诈风险管控体系的建立及逐步实施。

信息时代,全面的、立体性的欺诈风险管控体系必将成为企业风险管理的有效助力。金融机构通过建立欺诈风险管控体系,充分利用各道防线的专业知识和风险管控能力,实现跨渠道的全面欺诈风险管理。在此基础上,金融机构可以更加开放的 新闻发布网姿态拥抱金融科技,利用新技术进行业务创新,为客户提供更好的服务和保障。■

▼点击“阅读原文”即可查看更多