利用(yòng)数据分(fēn)析推进 银行IT风险管理(lǐ)标准化
2016-03-01 15:34:04

如何利用(yòng)数据这一商(shāng)业银行最重要的资产之一，来开展有(yǒu)效的分(fēn)析和挖掘，从而促进管理(lǐ)并提升企业价值，是目前大多(duō)数商(shāng)业银行所面临的重要挑战之一。本文(wén)将从数据资产管理(lǐ)及数据分(fēn)析的角度，阐述如何建立科(kē)學(xué)的数据管理(lǐ)體(tǐ)系和如何通过数据分(fēn)析实现IT风险管理(lǐ)的标准化。

近二十年来，以数据大集中為(wèi)标志(zhì)的信息化变革席卷了整个银行业，中國(guó)银行业迈入了信息化时代，逐步实现了运营的集约化、管理(lǐ)的现代化和服務(wù)的電(diàn)子化。在银行业高度信息化的同时，盈利水平和发展规模也在不断扩大，积累的客户数据、交易记录、管理(lǐ)数据等呈爆炸性增長(cháng)，海量数据席卷而来，同时与之相关的IT风险也逐渐暴露。银行IT风险的管理(lǐ)是商(shāng)业银行风险管理(lǐ)或不可(kě)缺的内容，由于IT风险的成因多(duō)样，银行信息系统的多(duō)样化，造成了IT风险识别、度量和监测的难点，往往在IT风险事件真正爆发时，通过事后原因分(fēn)析才能(néng)发现和定位IT薄弱环节。银行亟需认识到海量数据中蕴藏的金矿，将数据提升到银行的重要资产地位，通过数据来发掘和定位自身的IT风险源，推进IT风险管理(lǐ)的标准化。

用(yòng)数据提升IT风险管理(lǐ)的精细度。随着银行业務(wù)转型及精细化管理(lǐ)的推进和深化，涉及资产、负债、客户、交易对手及业務(wù)过程中产生的各种数据资产在风险控制、成本核算、资本管理(lǐ)、绩效考核等方面发挥着重要的作用(yòng)。银行传统的IT风险管理(lǐ)往往通过信息科(kē)技治理(lǐ)、信息科(kē)技风险管理(lǐ)、开发管理(lǐ)、运维管理(lǐ)、业務(wù)连续性管理(lǐ)和外包管理(lǐ)的框架来识别相关的IT风险和控制措施，监控风险薄弱环节，通过数据积累和数据分(fēn)析，银行可(kě)以在分(fēn)析本行客户和业務(wù)数据的基础上确定最合适的目标系统的客户交易习惯及系统平均交易量和交易峰值、系统状态，进而监控相关业務(wù)条線(xiàn)的IT风险。因此，数据资产直接关系IT风险管理(lǐ)的精细化水平，也是银行开展业務(wù)多(duō)元化、多(duō)方面分(fēn)析的基础。

用(yòng)数据实现真正的全面IT风险管理(lǐ)。國(guó)际上，新(xīn)巴塞尔协议对银行数据的广度、深度以及数据的完整性、准确性等方面提出了明确具體(tǐ)的要求，并将数据质量纳入操作风险的计量范围之内。在國(guó)内，各大监管机构也对银行提出了信息披露的要求，如资产负债表、利润表、统计报表、经营管理(lǐ)资料等。数据资产不仅是满足外部日趋严格的监管要求的客观需要，更是银行有(yǒu)效防范金融风险的必然要求，只有(yǒu)掌握全面的、权威的、合规的风险基础数据，才能(néng)准确地计算加权风险资产、构建风险模型、及时了解业務(wù)非正常变动、了解IT相关的非正常波动，跟踪影响因子情况，将IT风险的影响程度最低化，从而更有(yǒu)效地防范IT风险。

在國(guó)内银行业加快转型发展的今天，如何最大化数据战略性资产的价值，已成為(wèi)各家银行能(néng)否抢占先机、赢得优势地位的重要因素。具有(yǒu)前瞻性思维的领导者应着手积极打造其海量数据在IT领域的运用(yòng)能(néng)力，通过数据开辟IT风险管理(lǐ)的科(kē)學(xué)领域。

数据作為(wèi)现代银行的战略性资产，如何管理(lǐ)好数据、应用(yòng)好数据、挖掘数据价值等数据管理(lǐ)工作，已成為(wèi)银行提高科(kē)學(xué)决策水平、实现精细化管理(lǐ)、促进业務(wù)创新(xīn)和满足监管要求的重要基础工作。但是，目前國(guó)内银行普遍面临数据质量不高和数据支持决策的能(néng)力不强等问题，导致数据遠(yuǎn)未发挥其应有(yǒu)的价值。因此，数据问题已经成為(wèi)银行提高竞争力的巨大障碍，主要表现在五个方面：数据管理(lǐ)职责不清、数据需求难以满足、数据标准不统一、数据质量不高、数据安全性不高。

监管部门一直高度重视对银行业数据管理(lǐ)工作的监管力度。在“十一五”期间，银行的数据管理(lǐ)工作重点是数据仓库的建设和数据集中，到了“十二五”期间，银行的数据管理(lǐ)工作重心应转向数据的治理(lǐ)和数据的价值。此外针对数据治理(lǐ)管理(lǐ)，银监会还专门出台了《银行监管统计数据质量管理(lǐ)良好标准（试行）》及实施方案，对数据质量管理(lǐ)的各个环节和内容提出了明确要求。借此契机，目前大中型商(shāng)业银行已实现了数据的集中化，通过数据统一管控平台和数据治理(lǐ)在银行内部实现了基础数据的标准化和数据质量的提高，正在通过建设多(duō)样化的数据应用(yòng)加快对数据的应用(yòng)。2015年10月最新(xīn)颁布的“十三五”规划建议中也提出：“实施國(guó)家大数据战略，推进数据资源开放共享。”数据标准化、数据资源的开发共享、数据的深化应用(yòng)将是未来商(shāng)业银行数据管理(lǐ)的趋势。

為(wèi)了有(yǒu)效解决数据问题，满足监管机构的要求，银行需要大力加强数据管理(lǐ)體(tǐ)系建设，着力解决业務(wù)、数据、技术三方面的分(fēn)工与协作體(tǐ)系，為(wèi)管理(lǐ)决策、业務(wù)经营、信息披露提供准确、快捷、全方位的信息服務(wù)，从而促进数据资产价值最大化，推动银行核心竞争力的持续提升，為(wèi)银行的IT风险管理(lǐ)提供良好的数据质量。数据管理(lǐ)體(tǐ)系的实施过程应重点关注以下五大任務(wù)。

建立统一的数据规划目标。数据规划是数据管理(lǐ)體(tǐ)系的“指南针”。它是根据业務(wù)对

数据产生的需求，对满足业務(wù)应用(yòng)的数据进行统一规划和协调管理(lǐ)，对现有(yǒu)数据和未来计划需求的数据进行前瞻性的管理(lǐ)工作，使数据能(néng)够适时地满足外部监管和信息披露以及内部经营管理(lǐ)、分(fēn)析和发展目标的需求。数据规划的核心工作是针对数据生命周期的各个环节，提出相应的管理(lǐ)策略和原则，用(yòng)以指导数据需求管理(lǐ)成果的落实。数据生命周期规划既需要针对数据应用(yòng)制定方向性的策略，也需要為(wèi)每个数据项指明对应的处理(lǐ)方法。

建立科(kē)學(xué)的数据管理(lǐ)工作机制。数据管理(lǐ)工作机制是数据管理(lǐ)體(tǐ)系的“奠基石”。数据管理(lǐ)工作机制的建设依赖于银行高层管理(lǐ)人员的重视和不断推动，同时也需要建立相应的数据管理(lǐ)机制的决策和控制机制。有(yǒu)效的数据管理(lǐ)需要明确专门的部门或组织承担整个银行的数据管理(lǐ)和应用(yòng)职责。该组织负责从战略的角度进行统筹和规划，确定数据管理(lǐ)的范围，明确数据资产的归属、使用(yòng)和管理(lǐ)等流程，明确数据管理(lǐ)的组织、功能(néng)、角色和职责，以及确定数据管理(lǐ)的工具、技术和平台等内容，切实有(yǒu)效促进数据共享、提高数据价值。國(guó)内大型商(shāng)业银行已开始成立隶属于总行一级部门的信息中心或数据管理(lǐ)部，号召用(yòng)数据来引领业務(wù)的发展。

建立统一的数据标准规范。数据标准规范是数据管理(lǐ)體(tǐ)系的“粘合剂”。它是改进、保障和提高数据质量的依据，也是数据管理(lǐ)工作成败的关键。数据标准化指為(wèi)促成数据标准的形成和使用(yòng)而进行的与之相关的一整套数据标准规范，即制定和实施数据标准、提高数据管理(lǐ)水平的过程。数据标准的制定需要参考行业监管和标准机构制定的数据标准，同时也应参考各个部门内部使用(yòng)的特定数据的定义，制定出数据标准體(tǐ)系框架，可(kě)以分(fēn)為(wèi)基础类数据标准、业務(wù)类数据标准和应用(yòng)类数据标准等，并在此标准基础上进行细分(fēn)。在数据标准體(tǐ)系框架下，通过对数据标准的梳理(lǐ)工作，以在业務(wù)属性和技术属性层面实现全行的数据标准化。近年来，很(hěn)多(duō)商(shāng)业银行也通过建设统一数据管控平台，进行了数据标准化體(tǐ)系，建立了元数据管理(lǐ)、通过数据血缘分(fēn)析工具保障了基础业務(wù)数据的统一标准。

建立持续的数据质量管理(lǐ)规范。数据质量管理(lǐ)是数据管理(lǐ)體(tǐ)系的“助推器”。它是对支持业務(wù)需求的数据进行全面的质量管理(lǐ)，保障各项数据管理(lǐ)工作能(néng)够得到有(yǒu)效落实，达到数据准确、完整的目标，并能(néng)够提供有(yǒu)效的增值服務(wù)的重要基础。数据质量管理(lǐ)包括数据质量管理(lǐ)团队建设、数据质量管理(lǐ)制度建设、数据质量管理(lǐ)流程建设以及数据质量管理(lǐ)监控平台建设等，其中，数据质量管理(lǐ)监控平台建设至关重要。在数据统一管理(lǐ)的框架下，银行需要依据数据在数据生命周期的各个阶段的特性，建立数据质量管理(lǐ)监控平台，及时发现数据质量问题，不断改善数据的使用(yòng)质量，降低数据质量导致的业務(wù)风险，实现数据更大的应用(yòng)价值，满足业務(wù)分(fēn)析和管理(lǐ)决策的需要。近年来，伴随银监局发起的“夯实统计信息基础，提升银行业数据质量”的竞赛活动和良好数据质量现场检查工作，诸多(duō)银行从制度到流程启动数据质量的全面梳理(lǐ)核查，初步建立了符合监管要求的数据质量管理(lǐ)體(tǐ)系。

建立完善的数据安全防范规范。数据安全防范是数据管理(lǐ)體(tǐ)系的“防护罩”。近年来，银行业有(yǒu)关数据泄露的事件时有(yǒu)发生，如何保障数据不被泄露和非法访问，已经成為(wèi)数据安全管理(lǐ)非常迫切的问题。随着云平台在商(shāng)业银行IT架构的广泛推广和应用(yòng)，未来云平台数据的安全性将是未来商(shāng)业银行面临的难点之一，需要商(shāng)业银行通过加强数据全生命周期的管理(lǐ)、增加数据防泄露措施、强化数据的灾备建设，建立统一的数据安全审计工具来保障云平台的数据安全性。

数据分(fēn)析是指一整套技术、流程与应用(yòng)工具，通过建立分(fēn)析模型对数据进行核对、检查、复算、判断等操作，将样本数据的现实状态与理(lǐ)想状态进行比较，从而发现潜在的风险線(xiàn)索并搜集证据的过程。在实际应用(yòng)中，数据分(fēn)析可(kě)帮助银行做出判断，以便采取适当行动。因此，数据分(fēn)析的过程就是组织有(yǒu)目的地收集数据、分(fēn)析数据，最终使数据实现资产增值。

数据分(fēn)析的目的是通过透视海量表面看似杂乱无章的数据，进行数据统计、定量分(fēn)析、解释与模型预测，并通过基于事实的管理(lǐ)，找出隐藏在数据背后的内在规律和风险意义，最终推动整體(tǐ)抉择。目前，数据分(fēn)析在通讯业、零售业和制造业等行业中已经得到广泛运用(yòng)，而不少银行也已经建立了用(yòng)于业務(wù)经营分(fēn)析的数据集市和数据仓库。数据作為(wèi)银行重要战略资产，在实现完善管理(lǐ)后，实施有(yǒu)效的数据分(fēn)析是使数据资产增值的最佳方式，也是唯一方式。

数据分(fēn)析工作流程

一个基于风险导向的银行数据分(fēn)析工作可(kě)以分(fēn)為(wèi)五个步骤进行，包括确定分(fēn)析目标，基础数据收集，数据挖掘与分(fēn)析，风险点跟踪，数据指标固化。其中，数据挖掘与分(fēn)析是整个工作流程中的核心关节。

确定分(fēn)析目标。明确的分(fēn)析目标是确保数据分(fēn)析过程有(yǒu)效性的首要条件。执行分(fēn)析的负责人需要明确具體(tǐ)的业務(wù)领域和相应的分(fēn)析目标，并据此制定整體(tǐ)分(fēn)析项目的进度计划、资源配置和结果评审等事项。

基础数据收集。有(yǒu)目的的收集数据，是确保数据分(fēn)析过程有(yǒu)效的基础。分(fēn)析负责人需要对收集数据的内容、渠道、方法进行策划，根据分(fēn)析目标确定需要获取的具體(tǐ)数据字段和数据结构，将识别的需求转化為(wèi)具體(tǐ)的要求。

数据挖掘与分(fēn)析。完成基础数据收集工作后，便可(kě)以展开相应的分(fēn)析工作。目前主要可(kě)以应用(yòng)的数据分(fēn)析方式有(yǒu)：数据质量复核；异常特征分(fēn)析；探索性挖掘分(fēn)析等。

问题跟踪。在通过分(fēn)析得出结果后，需要对结果说揭示的问题进行进一步跟踪调查。这同样也是将数据分(fēn)析结果与客观事实情况进行结合的过程，通过将空洞的数字指标落实為(wèi)实际的业務(wù)问题行為(wèi)来进一步拓展数据的价值。

数据指标固化。最后对已经确认存在风险的数据特征进行系统固化，通过在数据集市或数据仓库中设置监控阀值，由信息系统对业務(wù)数据进行持续的指标性监控，以确保在第一时间发现新(xīn)增类似风险事件，或者更进一步，将数据分(fēn)析的结果作為(wèi)持续IT风险监控或非现场IT风险监控平台的指标。

数据分(fēn)析方法

目前银行业数据分(fēn)析比较典型的数据分(fēn)析方法主要為(wèi)有(yǒu)以下几种。

数据质量复核。复核分(fēn)析即以通过重计算和核对的方法对银行数据进行二次校验，以确保数据的完整性和准确性，识别IT系统的薄弱环节。此类数据分(fēn)析一般存在固定的分(fēn)析计算方式；数据分(fēn)析范围也以抽取样本的方式确定；对于分(fēn)析工具的要求也可(kě)以根据需要计算的样本量选择電(diàn)子表格或者小(xiǎo)型数据库。是银行数据分(fēn)析的基础类型。

异常特征分(fēn)析。即根据数据中特定字段的相应特征，分(fēn)析和筛选存在异常和风险的内容，识别IT的阈值，并对结果进行进一步的跟进。分(fēn)析对象主要包括异常计结息、异常大额交易、存贷款账户异常波动、系统间处理(lǐ)的交易峰值等。此类数据分(fēn)析主要建立在确认存在风险的特定数据字段的基础上。数据分(fēn)析范围一般根据测试期间的要求，选择一季度或一整年的全量业務(wù)数据。而数据分(fēn)析工具则需要随着数据量增長(cháng)的需要引入大型数据库来容载分(fēn)析数据。该类分(fēn)析可(kě)以有(yǒu)效识别出正常IT架构下系统可(kě)容忍的阈值，通过分(fēn)析已发信息科(kē)技风险事件，寻找引发信息科(kē)技风险事件的IT风险源。

探索性数据挖掘。探索性数据挖掘分(fēn)析侧重于在数据之中发现新(xīn)的特征，作為(wèi)特征型数据分(fēn)析的延伸，帮助分(fēn)析者从看似无关的数据中挖掘出有(yǒu)意义的风险指标。在这种分(fēn)析中，除了数据本身，还需要引入成熟有(yǒu)效的数据分(fēn)析模型，结合分(fēn)析者自身的统计分(fēn)析知识，综合运用(yòng)，从而达到“发现数据背后的业務(wù)规律和IT风险源”这一目的。这里简要的列示一些常用(yòng)的数据分(fēn)析模型，并给出模型适用(yòng)的具體(tǐ)测试应用(yòng)项目（表1）。

此类数据分(fēn)析主要依靠数學(xué)模型对数据本身进行规则归纳，并根据获得的规则进行风险判断。数据分(fēn)析的范围除了测试期间的全量业務(wù)数据以外，还需要进一步获取前几个期间的数据作為(wèi)数据建模元数据；而执行此类分(fēn)析，所需要的工具除了数据库之外，还需要引入专业的统计分(fēn)析工具进行数學(xué)建模。

通常的数据挖掘分(fēn)析步骤為(wèi)：第一，获取历史违约数据并混合正常样本作為(wèi)训练集；第二，选择合适的数學(xué)模型进行数据挖掘，并生成预测规则；第三，使用(yòng)预测规则对目标测试数据进行分(fēn)析；第四，更新(xīn)训练集对预测规则进行完善。

根据银监会《商(shāng)业银行信息科(kē)技风险管理(lǐ)指引》（简称“指引”）的定义，信息科(kē)技风险是指信息科(kē)技业務(wù)在商(shāng)业银行应用(yòng)过程中，由于自然因素、人為(wèi)因素、技术漏洞和管理(lǐ)缺陷产生的操作、法律和声誉等风险，同时明确了商(shāng)业银行信息科(kē)技风险管理(lǐ)覆盖了信息科(kē)技治理(lǐ)、信息科(kē)技风险管理(lǐ)、信息安全、信息系统开发、测试与维护、信息科(kē)技运行、业務(wù)连续性管理(lǐ)等内容。传统的商(shāng)业银行IT风险管理(lǐ)基本基于此框架进行相关的风险管理(lǐ)，但是有(yǒu)效的IT风险管理(lǐ)经商(shāng)业银行实践证明，目前仍较多(duō)依赖于技术规范的事前约束和事后信息科(kē)技风险事件的分(fēn)析与查漏补缺。真正科(kē)學(xué)的IT风险识别、度量和监测仍是目前IT风险管理(lǐ)的难点。

商(shāng)业银行可(kě)通过数据管控體(tǐ)系的提升、利用(yòng)数据分(fēn)析的手段挖掘自身的IT风险源，基于自身的IT架构，定位高风险领域，通过分(fēn)析客户使用(yòng)习惯、系统平均交易量、系统峰值和异常交易特征等定位风险阈值，进而推进银行建立符合自身的IT风险管理(lǐ)體(tǐ)系，构建标准的IT风险监控指标和标准化的工具。

随着对数据的管理(lǐ)从仅局限在信息系统层面，扩展到整个银行的业務(wù)运营和风险管理(lǐ)流程；对数据的认识，从单纯信息转变為(wèi)银行的重要资产；数据的作用(yòng)，从支持业務(wù)运营的大后台，走向引领业務(wù)发展的最前台。筆(bǐ)者相信：数据，通过对其有(yǒu)效的管理(lǐ)与分(fēn)析，将会成為(wèi)银行完善自身、实现增值的重要助推器，同时，也将為(wèi)银行日常的IT风险管理(lǐ)提供丰富的数据视图，通过数据分(fēn)析，商(shāng)业银行可(kě)以总结和寻找出适用(yòng)于自身IT系统架构的IT风险源，建立科(kē)學(xué)的IT风险识别、度量、监测和管控體(tǐ)系和方法，促进商(shāng)业银行安全、持续、稳健运行，推动业務(wù)的创新(xīn)发展。