加强银行业欺诈风险管控,应坚持“风险导向、集中管理、流程控制、全员参与”的理念,以自上而下的集中式管理架构为保障,以统一的反欺诈管理平台为依托,以纵横联动的信息共享机制为支撑,以嵌入业务流程的欺诈风险防控为落脚点,实现对欺诈风险的标准化、集约化、规范化管理。
加强银行业欺诈风险管控,应坚持“风险导向、集中管理、流程控制、全员参与”的理念,以自上而下的集中式管理架构为保障,以统一的反欺诈管理平台为依托,以纵横联动的信息共享机制为支撑,以嵌入业务流程的欺诈风险防控为落脚点,实现对欺诈风险的标准化、集约化、规范化管理。
随着我国银行业全面开放和深化改革,行业竞争不断加剧,国内银行纷纷推出新的产品和业务种类的同时,与业务经营相伴而生的欺诈风险也在频繁发生。当前,银行业欺诈风险已由传统的信贷、柜面、外部盗抢,向贸易融资、理财产品 、银行卡以及电子银行等业务领域延伸,跨业务、跨条线的欺诈风险不断发生,对银行资金安全、社会声誉乃至正常运营造成严重威胁。
为更好应对欺诈风险,国内银行开始研究风控手段,加强不同产品条线、业务部门之间的分工协作,防范欺诈风险。但是,从总体情况来看,国内银行的欺诈风险管理工作仍处于初级阶段,对欺诈风险管理的定位不够清晰,尚未形成成熟的欺诈风险管理理念和完善的管理架构,管理手段相对落后,还不适应当前严峻的欺诈风险防范和管理的需要,亟需系统研究银行业欺诈风险,积极探寻应对之策。
银行业欺诈风险多维度理论探析
银行业欺诈的定义及内涵。银行业欺诈是发生在银行领域内的欺诈行为,具体指银行内部人员、客户或第三方,单独或伙同他人,通过虚构事实或隐瞒真相的方法,从银行或客户骗取不正当好处或利益,造成银行资金、声誉或其他损失的行为。《统一资本计量和资本标准的国际协议:修订框架》(即巴塞尔新资本协议)在“附录7:损失事件分类详表”中将银行欺诈风险在操作风险损失事件项下分为内部欺诈和外部欺诈,并分别加以定义。内部欺诈是指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方;外部欺诈是指第三方故意骗取、盗用财产或逃避法律导致的损失。《商业银行资本管理办法(试行)》等也援引了巴塞尔新资本协议关于欺诈风险的定义和分类方法。
从欺诈实施主体看,银行业欺诈是在欺诈行为人在主观意识支配下,利用欺诈手段获取不正当利益并造成银行损失的行为,是一种违法行为甚至构成犯罪;从欺诈实施对象看,针对银行自身和银行客户的欺诈行为都构成银行业欺诈,银行客户遭受的欺诈风险有可能向银行转移,最终演变成为银行自身的资金、声誉等损失;从欺诈发生领域看,欺诈风险涉及银行各业务领域和操作环节,是银行正常运营面对的重要风险;从欺诈产生原因看,欺诈的发生往往与银行业务流程和内控制度不完善有关,银行内部管理缺陷是引发欺诈风险、尤其是内部欺诈的重要诱因。
银行业欺诈行为的六大特点。欺诈一般由四个要件构成,即欺诈故意、欺诈行为、受欺诈方错误意思表示、欺诈行为与受欺诈方错误意思表示存在因果关系。银行业欺诈除具有欺诈行为一般特征外,还具有自身特点:一是行为易发性。相比于其他行业,银行业因客户群体复杂、产品类型多、业务渠道广、管理层级多而更容易受到欺诈行为的威胁。二是领域广泛性。欺诈风险产生于银行各个产品条线、业务流程,覆盖银行日常经营的所有环节。三是风险内生性。欺诈风险尤其是内部欺诈风险的发生与银行内控管理失效具有一定关联性,往往由银行内部风险衍生而成。四是手段多样性。欺诈案件手段多样且不断翻新,呈现专业化、智能化、虚拟化趋势,部分案件作案过程复杂、隐蔽,难以及时识别和防控。五是管理复杂性。银行欺诈风险没有相对充足的历史数据和完善的度量模型,且引发风险的因素较为复杂,带有鲜明的个案特征,风险度量和管理较为困难。六是风险传染性。商业银行具有负债经营特点和金融中介作用,欺诈风险会在银行体系聚集、传导,进而影响整个银行业稳健发展。
欺诈风险与操作风险、信用风险、市场风险等银行其他风险的关系。一般而言,银行在经营中主要面临的风险有信用风险、市场风险和操作风险。信用风险本质上是客户或交易对手的违约风险,信用风险管理重点在于观察违约概率。市场风险本质上是价格波动的风险,市场风险管理需要抓住价格波动这个基础驱动因素。操作风险本质上是由于流程缺陷导致的风险,操作风险管理应更多观察流程方面的缺陷,通常办法是流程自评估,通过持续高频的自评估发现流程中存在的风险并采取措施加以解决。
根据巴塞尔委员会的定义,操作风险是由于不完善或有问题的内部程序、人员、系统或外部事件导致损失的风险,操作风险损失事件中包括内部欺诈和外部欺诈风险。因此,欺诈风险属于操作风险范畴,是操作风险的重要门类。同时,根据欺诈三角理论,欺诈的构成包括压力、机会与借口三个要素,其中机会代表着实施欺诈的客观条件,除欺诈风险以外的其他类型操作风险有可能会成为欺诈风险产生的客观条件,为欺诈行为的实施制造机会。
欺诈风险作为操作风险的一种,与信用风险、市场风险有着本质的不同。信用风险、市场风险构成交易的基础,交易收益和承担风险是对价关系,银行对于信用风险、市场风险是主动承担的,风险管理的目的在于更好地承担风险。但是,欺诈风险并不构成交易基础,银行不会从承担欺诈风险中获得交易收益,欺诈风险由银行被动承担,风险管理的目的在于绝对减少和控制风险。但是,欺诈风险与信用风险、市场风险又密不可分。欺诈风险是触发或放大信用风险、市场风险的原因之一,当欺诈发生在信贷、资金交易等业务领域时,可能会引发新的信用风险、市场风险或增大原有的风险程度。与此同时,银行信用风险、市场风险管理中的业务流程、岗位设置等环节又为欺诈风险埋下隐患,导致信用风险、市场风险经过衍化而最终表现为欺诈风险。
银行业积极采取反欺诈管控措施
近年来,国际银行业所面临的欺诈风险呈加剧态势,且造成的损失巨大。美国注册舞弊审查师协会(ACFE)2012年在《职务欺诈与滥用职权的全国性报告》中指出,在过去几年里,银行业及金融服务业仍是欺诈案件发生最频繁的领域。英国国家防诈局(NFA)发布的2013年度欺诈情况报告数据显示,在过去一年里,英国金融业因欺诈造成的损失达54亿英镑。从全球来看,欺诈多发的问题已引起银行监管机构、商业银行的高度重视。欧美各国普遍建立了反欺诈监管工作体系,通过发布政策指引、监测预警等方式,从内部控制和操作风险管理两个维度引导银行业提高欺诈风险防范能力。多数国外大银行将欺诈风险管理作为企业核心竞争力的体现,把反欺诈工作纳入全面风险管理体系,基本形成了以相对独立的欺诈风险管理部门为中心,各个业务、职能部门共同参与的管理架构。
国内部分银行已意识到欺诈风险的危害并采取了以下管控措施,但从整体来看,我国银行业欺诈风险管理还处于初级阶段。
学习借鉴国外先进理念,明确欺诈风险管理的总体目标。如交通银行将欺诈风险管理作为健全全面风险管理体系的一项重要内容,于2007年明确提出建立完整的欺诈风险管理体制和机制,构建统一的欺诈风险综合管理平台的目标。工商银行注重加强对国际银行业反欺诈理论和监管规则的研究,先后引进并翻译出版了国际安全管理权威著作《安全导论》和《风险分析与安全调查(第四版)》,填补了国内银行业外部欺诈风险管理的理论空白。
建立并逐步完善管理架构,形成分散和集中两种欺诈风险管理模式。如工商银行、中国银行、建设银行 、华夏银行等相继建立了“三道防线”的操作风险防控体系,业务、内控、合规、安保、审计、监察等部门按照管理职能分别承担相应职责,共同防范包括欺诈风险在内的操作风险。渣打(中国)银行在“三道防线”基础上,在个人银行条线设置专业的欺诈风险管理团队,负责个人银行欺诈风险管理。交通银行在监察室增设反欺诈二级部,内部欺诈防范由监察室集中管理,外部欺诈防范则按业务类型由各业务条线分别承担相应职责。
加强内部制度建设,提高欺诈风险管理水平。如工商银行相继出台了《操作风险管理规定》、《内部欺诈风险管理办法》、《外部欺诈风险管理办法》等规定,基本形成了覆盖全面、层级清晰的反欺诈制度体系。交通银行已制定完成《反欺诈工作管理暂行办法》、《反欺诈预警核查调查指引》、《反欺诈工作星级评定标准》等规定,作为反欺诈工作开展的重要依据。
建设信息科技系统,实现对欺诈风险信息化管理。如农业银行基于业务部门工作特点开发了包括电子银行反欺诈系统、信用卡反欺诈系统、操作风险信息系统等七大系统在内的颇具特色的反欺诈信息系统,基本涵盖欺诈风险管理的各个环节。工商银行研发了“外部欺诈风险信息系统”,利用自身高效的信息收集和分析系统,形成外部欺诈风险信息库并与业务系统对接,实现对业务风险的预警和控制。交通银行于2010年开始运行“反欺诈管理系统”,通过分析以往风险案例形成规则和模型,对员工和部分客户的可疑交易行为进行监控,并对核查处理过程进行流程化管理。
运用操作风险管理工具,开展欺诈风险管理。如工商银行通过实施操作风险高级计量法、关键风险指标监测、操作风险与控制评估、操作风险损失事件管理等工具,建立了涵盖欺诈风险识别、评估、监测、控制和报告的管理工具。中国银行引入对操作风险进行持续识别、评估、监控、缓释、报告的“闭环理论”,应用操作风险与控制评估、关键风险指标和损失数据收集流程等操作风险管理工具,开展欺诈风险管理工作。
探索建立反欺诈联合防范机制,加快欺诈风险管理与国际接轨。如针对日益猖獗的网上银行犯罪,中国金融认证中心、相关监管部门、公安部门联合多家商业银行建立了“网上银行反欺诈联动机制”,工商银行、建设银行等十余家银行为成员单位。工商银行于2013年加入了国际银行安全协会(IBSA),目前已与该协会40余家会员单位建立互信互利的沟通机制,掌握大量第一手国际欺诈风险数据和金融安全信息,与国际同业在金融反欺诈领域开展交流与合作。
国内银行业反欺诈面临诸多难题
没有形成明确的欺诈风险管理策略,管理架构不健全。大部分银行对欺诈风险没有明确的管理目标和策略,缺乏对欺诈风险的针对性研究和制度性安排。欺诈风险管理分散于各部门,不同部门间工作边界模糊且相互割裂,信息共享程度低,协调联动不足,甚至出现管理真空,管理层难以清楚掌握全行欺诈风险管理工作整体情况。总行对基层营业机构欺诈风险控制能力不足,欺诈风险管理战略意图传导效应逐级递减。
欺诈风险管理信息系统缺乏有效整合,欺诈风险度量缺少数据支撑。大部分银行反欺诈信息系统都是由不同部门在不同时期根据各自业务需要建立的,不同系统间信息相对隔离,不能做到及时传递、整合和共享,风险信息条线化、碎片化问题严重。此外,已经建立的系统主要是客户信息采集系统,以收集客户信息、检测业务动态、提供综合查询和统计报表等功能为主,对损失历史数据的积累和分析严重不足,在缺乏损失事件基础数据库支撑的情况下,难以对欺诈风险进行定量识别和评估。
欺诈风险管理手段相对滞后,管理集约化科学化程度低。在管理机制上,欺诈风险管理与业务运营的融合度不高,没有将欺诈风险流程控制要求嵌入业务生产系统,尚未实现对业务运营的全流程欺诈风险管理。在管理手段上,欺诈风险管理部门的职能定位存在偏差,手段单一,普遍存在以检查代替管理的问题。在管理方式上,侧重欺诈事件的事后调查、处置,对欺诈风险的事前防范和事中控制措施关注较少。在管理工具上,对行为特征分析、智能模型识别、关联分析等先进检测工具的研究和应用不够。
人才配备不能满足需要,影响欺诈风险管理工作的专业化。欺诈风险管理对商业银行而言是一项较新的工作,专业人才的积累和培养还需要一定时间,接受过系统培训的人才一旦跳槽,很难从市场上找到合适人选。此外,银行人才资源主要向前台倾斜,中后台配置高素质人才在薪酬激励、职业发展等方面也都存在诸多制约。反欺诈工作缺乏高素质、复合性人才资源支撑,直接影响了反欺诈工作的专业化水平。
反欺诈面临的外部形势严峻,外部环境制约银行业开展反欺诈工作。一是当前银行业欺诈犯罪普遍呈现手段隐蔽、组织分工严密、跨地区甚至跨国、远程操纵、销赃迅速等特点,且在票据、信贷、网络金融、银行卡等领域不断出现新的欺诈风险点,防范难度大,打击成本高。二是社会信用环境基础建设比较薄弱,信用体系不健全,信用记录不完整,银行难以获得反欺诈工作所需要的基本信用信息和违法、犯罪、失信等不良信息。三是法制环境与反欺诈需求不相适应,表现在:没有专门的反欺诈法律制度,工作开展依据不足;对银行欺诈犯罪的打击力度不够,违法成本过低;欺诈犯罪涉案资金查询冻结法规滞后,无法实现对赃款的快速有效控制;司法执行周期长、费用高,银行损失挽回难度大等。四是银行业与相关行业以及银行间的欺诈风险联动防范机制尚未建立,不同行业、不同银行间的欺诈风险管理工作缺乏统一协调。五是银行业之间的欺诈风险信息系统建设严重滞后,未建立起实现数据共享的信息平台。
上述问题之所以产生,既有历史文化传统、社会宏观环境的原因,也有银行自身经营理念、体制、机制等层面的原因。
从文化传统看,我国有着两千多年的封建社会历程,时至今日,人治大于法治、等级观念、权力本位等封建思想依然根深蒂固,守法、合规理念尚未深入人心,一定程度上影响了市场交易行为的判断和选择,也制约了法律制度的有效落实和执行。
从宏观环境看,当前我国处于经济增长速度换挡期和社会调整变革期,宏观经济环境复杂,经济下行压力加大,社会不稳定因素增多,文化环境中机会主义盛行,社会诚信文化和诚信监督体系缺失,部分人法制观念淡漠,这些因素助长了欺诈行为的滋生,给银行业反欺诈工作增加了难度。
从银行自身看,我国银行对于风险本质的认知还存在一定偏差,长期以来偏重信用风险和市场风险的管理,近几年才接触到操作风险的概念,管理基础比较薄弱,对于欺诈风险管理没有形成系统、全面、深入的认识,欺诈风险管理理念、架构、机制、手段等存在诸多不足,制约了欺诈风险管理工作的有效开展。
多措并举加强银行业反欺诈工作
加强银行业欺诈风险管控,应坚持“风险导向、集中管理、流程控制、全员参与”的理念,以自上而下的集中式管理架构为保障,以统一的反欺诈管理平台为依托,以纵横联动的信息共享机制为支撑,以嵌入业务流程的欺诈风险防控为落脚点,实现对欺诈风险的标准化、集约化、规范化管理。
确立明确的银行业反欺诈管理理念和策略。欺诈风险作为操作风险的重要门类之一,已成为银行业日常经营管理中相伴而生的重要风险,银行应当对欺诈风险管理有清醒的认识,确立明确的反欺诈管理理念和策略。一是在全面风险管理框架下防控欺诈风险。明确反欺诈在银行全面风险管理战略中的目标定位,形成清晰的欺诈风险管理理念,建立欺诈风险管理的中长期规划。二是在公司治理层面防控欺诈风险。董事会层面要在操作风险管理框架下增加反欺诈偏好、策略和指导原则,确定全行统一的欺诈风险应对策略并分业务、分部门组织落实。三是加强银行全员职业操守建设,培育以诚实、正直、守规为特点的欺诈风险管理文化。
建立银行业反欺诈管理的体制机制。构建“集中管理、横向协调、纵向畅通”的管理体制是银行业开展反欺诈工作的基础。一是建立统一的反欺诈风险管理架构。在操作风险管理架构下建立相对集中的反欺诈管理组织架构;明确欺诈风险管理牵头部门以及相关部门之间的职责边界,形成牵头部门与参与部门协调配合、联动处置、信息共享等多方协作机制;强化分支机构反欺诈管理职责,增强总行对分支机构反欺诈工作的管控能力。二是形成相对独立的反欺诈制度体系。制定专门的银行内部制度,对欺诈风险管理理念、组织架构、职责分工、工作机制、管理手段等做出规范;同时,制定反欺诈工作操作手册,对欺诈风险管理工作事项、实施方案、操作规程等进行细化,确保相关制度得到严格执行。三是充实现有的欺诈风险管理手段。一方面,提高欺诈风险管理与业务运营的融合度,践行“以业务流程为中心的风险管理”理念,将欺诈风险管控要求嵌入各个业务环节的运转流程;另一方面,对欺诈风险进行全周期管理,建立“监测-触发-识别-评估-报告-处置-反馈-改进”闭环管理流程,形成事前预防、事中控制、事后处置、日常报告的欺诈风险管理体系。
建设银行业反欺诈信息管理系统。在银行层面,要整合现有不同业务条线的欺诈风险管理系统,建设全行统一的反欺诈监测和管理平台,解决不同业务部门各自设置欺诈风险管理系统过程中存在的重复建设、互相隔离、信息不能共享等问题。同时,设置欺诈风险监测、预警、控制、分析、管理等功能模块,并将欺诈风险监测、预警、控制模块嵌入银行业务生产系统,及时识别和预警相关业务领域欺诈风险,实现业务流程与风险控制的契合,同时将欺诈风险分析、管理等模块融入后台管理信息系统,为管理层决策提供信息支撑。在监管机构层面,由银监会牵头建设“全国银行业反欺诈信息管理系统”,广泛收集、整合银行业涉嫌欺诈信息,实现涉嫌欺诈信息在银行业金融机构间共享,由银行业金融机构对涉嫌欺诈信息进行分类分级管理,设定相应风险控制规则并逐步与业务生产系统对接,实现对欺诈风险的自动筛查和预警。
加强银行业反欺诈工作交流合作。欺诈的本质是行为人对信息不对称的利用,且欺诈行为尤其是外部欺诈行为具有攻击对象不确定性的特征,因此交流和合作对银行业反欺诈工作具有重要作用。一是在银行内部建立有效的信息交流与共享机制。建立欺诈风险信息动态报送制度,形成银行内部自下而上统一的信息收集、报送流程,实现对内、外部欺诈风险信息的系统整合与应用;在反欺诈牵头部门与其他业务部门间形成畅通的信息共享、交换路径,通过纵向报送与横向传递相结合的方式减少信息传导过程中的衰减。二是建立反欺诈跨机构、跨行业协作机制,构建银行业之间、银行业与监管部门之间、监管部门与社会公共管理部门之间全方位、多层次的反欺诈联合协作机制,具体可研究由公安部、人民银行、银监会等单位主导,联合商业银行、电信运营商、银联等机构,建立银行业反欺诈联防机制,合作开展联防协查可疑账户资金信息、跨行紧急止付涉案账户等工作,共同防范和打击金融欺诈犯罪。三是加强反欺诈国际交流与合作。学习、借鉴国际先进银行的反欺诈工作理念和做法,深入开展与国外先进银行、国际银行业安全组织、反欺诈机构、专业安保公司的交流与合作,提升我国银行业反欺诈工作的国际化视野和专业化水平。
改善银行业反欺诈的政策法律环境。银行业反欺诈工作是一项社会系统性工程,客观上需要完备的法律制度和良好的社会信用环境作为支撑和保障。一是加强反欺诈制度体系建设,制定专门的反欺诈法律规范,形成银行业欺诈行为预防、认定、查处、追责的法律体系,为银行业反欺诈工作提供法律规范。二是构建成熟的社会信用环境,进一步加快综合征信体系建设,由国家相关部门牵头建立统一的综合征信平台,集合、共享社会公共管理信息和各领域风险信息,规范企业、个人信用记录查询和运用,此外,还应建立欺诈失信惩戒机制,进一步提高欺诈行为的违法成本。
[责任编辑:]