银行风险数据治理(共7篇)
中国农业发展银行总行营运中心 李小庆
信息科技风险治理的主要目标是为了采取一定的有效措施,规避信息科技风险带来的损失,同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。257 信息化建设一直是现代银行发展战略的重要组成部分。最近十年,银行信息化建设一直在高速向前发展。随着数据大集中工程的启动及完成,银行信息化从信息基础设施到业务系统的建设,都取得了较为明显的成效,信息化总体架构已经成熟,各类业务应用系统已经初具规模。各类信息系统已经成为银行提供客户服务、获取市场价值、培育核心竞争力的重要途径。
但是,随着银行信息化规模的日益扩大,信息科技风险的防控及治理始终是银行信息化建设和管理的薄弱环节。2009年,银监会发布《商业银行信息科技风险治理指引》(以下简称《指引》),从信息安全、信息系统开发和信息科技运行等多个层面对信息科技风险治理进行了清晰规定。从《指引》中,我们可以解读到,信息科技风险治理是以可接受的成本识别、控制、降低可能影响信息系统风险的过程,通过风险识别,制定信息科技风险治理策略,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡。信息科技风险治理体系主要包含信息科技风险识别、分析与评价,信息科技风险的计量,信息科技的治理思路和控制措施。
一、信息科技风险识别、分析与评价
信息科技风险治理的主要目标是在可接受成本的范围内,分析信息系统面临的潜在风险,并采取一定措施控制和防御风险的过程。风险识别是指对组成信息科技风险因素在系统中潜在可能性认识的过程,风险分析是指系统化地识别和分析风险来源和风险类型,风险评价是指按组织制定的风险标准计算风险水平,确定风险严重性。
1.风险识别
信息科技风险的组成因素,一般包含价值信息资产、信息资产面临的威胁、信息资产的脆弱性等。信息资产是对组织具有价值的信息资源,是风险控制措施保护的对象。信息资产面临的威胁是可能对信息资产或组织造成损害的潜在因素。信息资产脆弱性是信息资产可能被威胁利用的弱点。风险识别是对信息系统和信息基础设施的威胁、脆弱性和风险的识别,它包含以下元素:被特定威胁利用的信息资产的一种或一组脆弱性,导致信息资产丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的集合。风险识别过程是综合分析信息科技风险各组成因素,包含信息资产的价值、对信息资产的威胁和威胁发生的可能性、信息资产脆弱性、现有的风险控制提供的保护等,从而导出风险的过程。银行对信息科技风险一般具有偏好性考虑,其结果受到业务需求及战略目标、文化、业务流程、风险要求、信息规模和结构的影响,因此在风险识别实施前,应确定风险识别的范围和目标,建立适当的组织结构,建立系统化的风险识别方法,获得管理者对风险识别工作的批准。
2.风险分析
在进行风险识别之后,必须就各项风险对整个信息系统的影响程度做一些分析和评价,通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多,一般采用统计学范畴内的概率、分布频率、平均数、众数等方法。但无论是哪一种工具,都各有长短,而且不可避免地会受到分析者的主观影响。可以通过多维度、多人员分析或者采取头脑风暴法等尽可能避免。此外,应当明确,风险是一种变化着的事物,基于这种易变条件上的预测和分析,是不可能做到十分精确和可靠的。所有的风险分析都只有一个目的,即尽量为避免信息系统提供的服务失控和为具体的信息系统开发和运行中突发问题预留足够的后备措施和缓冲空间。
3.风险评价
信息科技风险评价方法有两种:定量方法和定性方法。定量分析是试图从财务价值上对构成风险的信息资产的各项要素进行量化分析评价的一种方法,由于定量分析所依赖的数据的可靠性和有效性很难保证,加之对数据统计缺乏长期性,所以,定量分析方法在银行信息科技风险评价中并不常用,取而代之的是更容易实施的定性分析方法。
定性风险评价并不强求对构成风险的各个要素进行精确的量化评价,它有赖于评价者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出优先顺序即可。事实上,银行最关心的是业务活动的持续性,对于影响业务活动持续性的各种风险问题,在有限的资源支持情况下,只需要抓住最突出的问题,有针对性地采取措施即可。
二、信息科技风险计量方法
风险计量是在风险识别的基础上,根据信息科技风险组成要素的相关属性进行赋值,进行综合计算最终获得信息科技风险值。信息资产的属性主要是资产价值,威胁的属性主要是威胁主体、影响程度、影响范围等,脆弱性的属性主要是信息资产缺陷的严重程度。风险计量的主要内容是对信息资产进行识别,并对信息资产的价值进行赋值;对威胁进行识别,描述威胁的属性,并对威胁潜在影响程度赋值;对信息资产的脆弱性进行识别,并对具体信息资产的脆弱性的严重程度赋值。风险计量原理如图1所示,具体计量方法进行如下介绍。
1.信息资产风险的计量
信息资产是指任何对银行具有价值的信息资产,包括计算机硬件、通信设施、机房、数据库、文档信息、软件、信息服务和人员等,所有这些信息资产都需要妥善保护。为了进一步定义其价值,一般需将其分类,除一般认可的软件、硬件、数据信息资产外,还需增加人员、服务等项目,在此基础上可进一步细分,以达到精细化管理的要求。对细分后的信息资产,需定义其价值。这里所讲的价值并不是财物价格,而是从信息科技风险的角度,即机密性、完整性、可用性的价值取值。如果采取三级分类法对信息资产进行划分,分类标准参照如下。
(1)关键信息资产:从保密性而言,对应为机密级,涵盖重要的信息、信息处理设施和系统资源,只能给少数必须知道者(特定的任务群体),一旦泄漏,会造成严重的损害(部门或特定范围)。
(2)重要信息资产:从保密性而言,对应为秘密级,涵盖一般性的商业秘密,泄漏后会造成一定的损害,但不会造成重大的影响与损失。未经授权的更改、破坏或误操作对信息系统造成一定的影响,或给业务带来明显冲击。
(3)普通信息资产:并非敏感信息,主要限于内部使用。一旦泄漏,并不会造成显著的影响。很难采用精确的财务方式来给信息资产确定价值,一般采用定性的方式来建立信息资产的价值或重要度,即按照事先确定的价值尺度将信息资产的价值划分为不同等级。经过信息资产识别与估价后,组织应根据信息资产价值的大小进一步确定需要保护的关键信息资产。
2.威胁风险的计量
威胁风险的计量用以评价威胁发生时对信息资产造成的潜在影响或后果,威胁一般能对信息基础设施进行损坏,还有可能导致信息泄密,或信息完整性和可用性受损,信息服务质量下降,严重的甚至可能造成信息系统崩溃、信息服务中断,直接影响银行的经营利润和声誉风险。不同的威胁可能对银行及其信息资产的影响程度不尽相同,其导致的价值损失可能也不一样,威胁的可能性可以采取资产的相对价值的损失度来衡量,资产的相对价值是通过折旧损耗之后资产的现值,价值损失度表示当信息资产遭遇威胁攻击之后,信息资产及信息服务质量遭受损失的程度。威胁的可能性一般可分为三级,取值标准如下。
(1)高:在业务活动持续期间,威胁发生后,会对资产的相对价值造成全部损失或巨大损失。
(2)中:在业务活动持续期间,威胁发生后,会对资产的相对价值造成中度损失或局部损失。
(3)低:在业务活动持续期间,威胁发生后,会对资产的相对价值造成轻微损失或零损失。
3.脆弱性风险的计量
由于组织、人员、管理、技术、流程、信息资产本身的缺陷,导致信息资产和信息基础设施在某些方向存在一定的脆弱性,这些脆弱性在信息系统连续运行的过程中,当遇到某种环境或某类事件时,就会被激发或体现出来,它可能导致信息资产直接受损或信息系统运行质量下降,同时还有可能被某种威胁利用,导致较为严重的后果。因此,应该针对每一项需要保护的信息资产,分析其脆弱性存在的地方及严重程度,评价由于其脆弱性的存在,当意外事件或威胁发生时,会给银行带来的直接或间接的损失或伤害。信息资产脆弱性一般分为三级,取值标准如下。
(1)高:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产立即停止为相关业务提供服务。
(2)中:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产降低为相关业务提供服务的效率,但服务仍可继续。
(3)低:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产对继续为相关业务提供服务没有影响。
最终每项信息资产的风险状况可用以下方法简单计算得到:
风险值=信息资产价值*威胁可能性*弱点严重性
资产价值、威胁可能性、脆弱性严重性采用三级分类,其低、中、高取值分别为1、2、3,资产的风险值则有1、2、3、4、6、8、9、12、18、27等结果。我们可以定义风险值在l至9的资产为低风险资产,风险值12至18为中等风险资产,风险值27为高风险资产。银行可根据自己的风险偏好,确定可接受的风险程度,如低风险可接受,而中高风险不可接受,然后对不可接受风险采取相应的控制措施。通过降低风险发生的可能性,确保信息资产的残余风险控制在银行可接受的范围内。
三、银行信息科技风治理思路
按照国际信息系统审计与控制协会ISACA的观点,信息科技风险治理是一个由各类信息关系和信息科技风险治理活动过程组成的治理结构,用以指导、分析和控制信息科技风险。信息科技风险治理的主要目标是为了采取一定的有效措施,规避信息科技风险带来的损失,同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。因此,不仅仅要从技术层面规避风险,同时要从流程、技术、人员三个不可分离的层面来从事信息科技风险的管理工作。目前在信息科技风险管控方面,银行还需满足外部监管部门的要求,从而避免给银行带来更大的合规风险。
1.提出信息科技风险治理需求
信息科技风险是信息系统各组成要件在履行其应用功能过程中,在完整性、可用性、抗否认性和机密性等方面存在的脆弱性,以及信息系统内部或外部的人们利用这些脆弱性可能产生的违背信息系统所属组织风险管理意志的行为及其后果。信息科技风险治理需求则是对抗和消除信息科技风险治理风险的必要}生和可行陛,它是制定和实施信息科技风险治理策略的起点和依据。在制定信息科技风险治理策略前,首先需要进行信息科技风险治理风险识别,充分分析信息科技风险治理需求。为此,银行需要详细分析银行信息系统的构成,所要保护的信息系统资源类别,以及对攻击者攻击目的、技术手段和造成的后果的假设,兼顾所受到的已知的、可能的和与该系统有关的威胁,以及构成信息系统各部件的缺陷和隐患共同形成的风险等,从而提出信息科技风险治理需求。
2.确定信息科技风险治理策略
信息科技风险治理需求转变为信息科技风险治理策略主要把握三个平衡标准:一是能够采取一定的方法将信息科技风险降到可以接受的程度;二是潜在的信息科技风险的威胁随时有可能对现有信息资产的价值进行催毁或造成较大程度的损失;三是银行自身的合规建设和外部监管部门的合规要求。
一个较好的信息科技风险治理策略,应该最大限度地按照信息科技风险治理等级保护要求对信息资产的脆弱性进行保护,对信息资产面临的威胁进行防控、规避或消除,能够体现系统资源拥有者和管理者的信息科技风险治理意志和思路,保证攻击信息系统所花的代价远远大于获取信息资产的现值和潜在价值。同时,信息科技风险治理策略应尽可能地制约所预见的系统风险及其变化,并在维持“风险一信息科技风险治理一投资”关系中具有持续平衡能力。
3.建立信息科技风险治理体系
将信息科技风险治理策略付诸实施的关键,是建立起符合银行实际的保障信息资产的信息科技风险治理组织体系、管理体系和技术体系,从而在管理和技术上保证信息科技风险治理策略得以完整准确地实现,全面准确地满足信息科技风险治理需求。其中,组织体系是信息系统信息科技风险治理的组织保障,由人、岗位和人事管理机构三部分组成;管理体系是信息科技风险治理的灵魂,由法律管理、制度管理、培训和管理四部分组成,信息科技风险治理需求分析和信息科技风险治理策略制定是其关键内容;技术体系是全面提供信息科技风险治理保护的技术保障系统,包括确定必需的信息科技风险治理服务、信息科技风险治理机制和技术管理以及它们在信息系统上的合理部署和配置。
四、信息科技风险防控方法
通过对银行信息科技治理、全面的信息科技项目风险管理、信息系统开发、维护、运行管理、信息风险体系的建立、银行业务连续性管理、技术外包管理、内部和外部审计等几方面结合,具体论述银行各类信息科技风险的防控策略和建立一体化防控机制的措施,通过建立有效的防控机制,实现对银行信息科技风险的识别、计量、评价和控制,提供风险预警,增强银行的核心竞争力和可持续发展的能力。
1.建立信息科技风险治理的决策议事机构
在银行风险管理委员会和信息化委员会的基础上,在其下面建立信息科技风险治理的议事决策机构——信息科技风险管理分委会,信息科技风险管理分委会由银行的最高管理层及与信息科技风险治理有关的部门负责人、管理技术人员组成,定期召开会议,并就以下重要信息科技风险治理议题进行讨论并做出决策,为银行信息科技风险治理提供导向与支持:评审和审批信息科技风险治理策略;分配信息科技风险治理职责;确认风险评价的结果;对与信息科技风险治理有关的重大更改事项,如组织机构调整、信息系统更改等进行决策;评审和监测信息科技风险治理事故;审批与信息科技风险治理有关的其他重要事项。
2.明确信息科技风险治理的职责和流程
职责缺乏或界定不清,最终导致信息科技风险控制得不到有效的实施,形成管理风险。银行最高管理者应确保对以下信息科技风险治理职责进行规定并形成书面文件:管理层职责,部门职责;在管理层指定一名信息科技风险治理经理,分管银行信息科技风险治理事宜,负责银行的信息科技风险治理方针的贯彻与落实,就信息科技风险治理的效果与有关重大问题及时与最高管理者进行沟通。确定与信息科技风险治理有关的管理、操作、验证等人员的职责;基本原则就是告知管理层和员工信息科技风险治理时的行为和方法,特别是在信息科技风险治理通常不被重视的地方。
3.建立信息系统的安全等级保护机制
银行需要按照国家及监管部门有关等级保护的管理规范和技术标准开展等级保护工作,建设风险设施、建立风险制度、落实风险责任,接受公安机关、保密部门对信息系统安全等级保护工作的监督、指导,保障信息系统风险。信息系统安全等级保护工作的原则为:对照标准定级,各信息系统风险保护等级的确定须对照监管部门或总行关于等级划分和定级的标准来确定;分级实施保护,根据确定的信息系统风险保护等级,按照相关的法规和标准,分级别实施不同强度的风险保护;建设保护同步,信息系统在新建、改建、扩建时须同步规划和设计风险方案,并组织实施;等级动态调整.信息系统的功能和系统架构发生重大变化的,须重新进行等级确定并实施风险保护。
4.加强与其他关联组织间的协作
信息科技发展日新月异,信息安全产品与技术不断翻新,信息安全威胁的手段与种类也在不断地变化。因此,对于外行来说,信息科技风险治理的某些方面是复杂的和困难的,对内行来说,同样也是复杂的和困难的。银行可通过各种方式,获取信息科技风险治理方面的建议以支持信息科技风险治理。与信息科技风险治理有关的国家管理机关有公安部、国家安全局、信息产业部等,银行在遵守信息科技风险治理法律法规的方面,应服从与信息科技风险治理有关的国家执法机构、人民银行和银监会的管理和指导。银行有必要保持和它们以及同业银行、信息服务供应商、电信运营商的适当联系,以确保在出现风险事故时尽快采取适当的行动和获得建议。但在进行风险信息的交流时,要防止银行的机密信息传给未经授权的人。
5.对信息科技风险治理工作进行独立评审
公司治理的主要作用在于通过建立科学的治理结构和完善的治理机制, 以解决所有者和经营者的委托代理问题, 从而实现权力的有效制衡, 促进经营者科学决策, 实现资源的合理配置和提高组织的整体竞争力。公司治理结构不科学或治理机制不完善将会产生内部人控制、激励约束机制缺失以及决策失误等诸多治理问题。而治理问题的长期积累最终可能引发从根本上危及公司持续发展和健康成长的制度性风险, 即公司治理风险。国有商业银行的委托代理关系及激励约束机制的不完善, 是国有商业银行风险生成的重要根源, 治理风险显然也是国有商业银行风险中的核心风险。如果缺乏良好的公司治理结构和治理机制, 治理风险将会不断积累, 并最终通过信用风险、市场风险、道德风险等其他形式的金融风险释放和爆发。
长期以来, 国有商业银行以防范资产风险和经济犯罪为中心进行的业务层面的风险控制始终未能取得明显的效果, 主要原因就是在产权结构单一、所有者缺位的背景下缺乏良好的公司治理结构和治理机制, 导致治理风险在没有约束的情况下不断的产生和积累。而国有商业银行针对业务风险所采用的管理手段是无法有效防范和化解治理层面风险的。良好的公司治理是防范商业银行治理风险及其他风险的第一道重要防线。商业银行风险的特殊性在于, 由于银行高负债经营并采用准备金制度, 对于存款人并不具有完全的保证偿付的能力, 只能应付一般性的、小规模经营亏损, 任何分支机构的问题都较一般的企业容易引起全局性的崩溃。我国国有商业银行也明显存在“三个80%”的现象, 即职务犯罪80%, 案发在基层的80%, 内外勾结作案的80%。相比而言, 母子公司体制下, 子公司治理风险所产生的损失将由于其是独立的法人而被约束在子公司自身的法人财产边界内。而国有商业银行总分行模式下, 分支机构的治理风险所产生的损失将有可能扩展到整个银行系统。
二、新时期国有商业银行治理风险的成因
1995年《商业银行法》颁布, 国有商业银行开始实施法人授权制度。法人授权制度是指银行作为一个法人, 由其总行对其分支机构实行全行统一核算、统一调度资金、分级管理的制度, 分支机构在总行授权范围内依法开展业务。总行为法人, 上级行对下级行授权经营, 分支机构作为非法人单位, 其民事责任最终由总行承担。根据《民法通则》的有关规定, 没有代理权、超越代理权或者代理权终止后的行为, 只有经过被代理人的追认后, 被代理人才承担民事责任。未经追认的行为, 由行为人承担民事责任。对于分支机构的越权行为, 总行无论追认与否均应承担民事责任, 一般委托代理关系中被代理人的免责总行并不能享有。在这种授权体制下比较容易出现的情况就是, 分支机构超越总行授权范围但未超出其经营范围, 那么分支机构在不必冒违法的风险或承担全部责任的情况下达到分支机构本位的利益目标, 而总行却不能以分支机构超越授权为理由主张分支机构行为不生法律效力, 这种行为最终将损害银行的总体管理目标和利益目标。
大型商业银行组织内部委托代理层级的增多导致了公司治理意图的变形与治理效果的衰减。近十年来, 数家国际著名银行的倒闭都与此有直接的关系。巴林银行的倒闭已经给予其他银行足够的教训:表层的原因来自竞争, 而深层次的原因是公司治理并没有真正深入到分支机构这个层次, 使分支机构反复出现了内部人控制的现象。我国国有商业银行中的这种现象尤为严重。我国国有企业的委托代理关系是一种多层委托代理关系, 初始委托人的最优监督积极性和最终代理人的最优工作努力, 都随着代理链条的拉长而递减 (张维迎, 1995) 。尽管总分支机构在法律上是一体的, 但由于总分支机构之间、分支机构与分支机构之间所处经济环境不同, 在管理体系中所处位置不同, 从而工作目标不同, 利益诉求不同以及员工待遇等不同, 这就决定了总分支机构之间的利益目标存在冲突的基础。效用目标的冲突是导致分支机构产生追求本位利益的冲动, 这些冲动容易导致分支机构越权违规行为的发生。同时由于违规违法, 可能还会受到监管部门的处罚, 影响公众声誉, 降低市场信心。同样为了牟取部门利益或个人私利, 分支机构负责人可能会倾向于默许下级或自己行使超越权限的违规行为, 而这些违规行为最终将引发信用风险、操作风险或道德风险等。
三、新时期国有商业银行治理风险的特性
1、总行法人风险责任承担和风险控制能力不匹配。一级法
人对真正作为从事经营核算单位的二级分行的了解只能通过一级分行, 而一级分行对县级支行的了解又只能通过二级分行, 多层次的分级管理造成了严重的信息障碍。作为基本经营核算单位的二级分行, 其经营风险如管辖行出于业绩考虑隐瞒不报, 总行很难及时掌握。长期下去, 激励环境逐步恶化, 行为方式不断扭曲。这种情况造成国有商业银行分支机构经营者经营行为的基本价值取向的扭曲, 进而演变成为对自身利益和政绩的过度追求。分支机构经营者热衷于铺摊子和扩规模, 把经济效益和资金风险追求放在次要位置, 片面追求资产规模的扩大。在对内部人员业绩考核重视规模上的扩张, 忽视质量和效益上的提高以及风险的控制。为了完成硬性指标不惜高息揽储, 违规放贷。甚至在发现贷款已经出现坏账的趋势后, 为了在任期内隐藏风险, 不惜继续发放新贷款来偿还旧贷款, 造成风险严重失控。而国有商业银行的一级法人体制又决定经营风险最终要由一级法人承担, 风险承担和风险控制力的不匹配, 是分级授权过程存在的突出问题。
2、组织整体资源配置难以优化。
从理论上看, 既然二级分行是基本的经营核算单位, 应该享有直接获取一级法人资源配置的权力。但现行的分级管理模式以及以行政区域和级别确定授权标准和资源分配标准的方式, 使得二级分行的资源取得和使用只能通过一级分行。在实践中容易产生两个问题。首先是不少二级分行的经营规模、经营效益和风险控制能力远远高于一些一级分行, 但由于行政级别低, 其获取资源的能力和使用资源的权力远小于这些一级分行。统一的管理模式和同一化的授权机制严重影响资源的合理流动和重组。其次是资源分配通过一级分行进行。即使一级分行可以在管辖内做到优中选优, 但相对于由总行直接对二级分行进行资源配置的范围要小得多, 缺乏全国统一经营标准和评价体系。局部优化与整体优化形成错位, 整体资源配置效率势必受到影响, 不仅影响了各国有商业银行总行系统内“统一调度资金”的资金管理体制的实施, 也导致了金融资源配置分散化和使用的低效率, 并且无法满足不同市场的市场主体的多样化和多层次的资金需求。
3、银行的整体竞争能力被严重削弱。
国有商业银行组织机构由总行到分理处五个层次组成, 并实行逐级管理的体制。由此造成的弊端是业务按权限逐级报批, 不仅影响工作效率, 而且对市场和客户反应迟钝, 对市场机遇的把握能力差。多级的信息传递和决策, 使银行整体缺乏对市场环境的准确把握, 必然影响操作层面对时机的捕捉, 严重制约了金融制度和金融产品的创新步伐。同时“三级管理、一级经营”的组织体制格局, 造成管理人员比重过大, 导致银行内部滋生了严重的官僚主义和本位主义, 从而降低了银行决策和管理的效率, 削弱了整体竞争能力。
4、总行战略无法得到有效贯彻。
在层层转授权管理模式下, 各级分支机构具有很大的经营自主权, 其准法人机构的性质客观存在。各分支机构具有自身特定的利益目标, 在按行政区域设置的体制下, 难免与地方政府发生千丝万缕的联系。有的分支机构甚至与地方政府联合起来对付上级银行, 要资金、争项目, 弱化了上级行的经营目标, 形成上下级机构间的利益多头和目标多元, 不利于统一法人经营目标的实现。分支机构经营者还会由于规模偏好和费用偏好不顾利润最大化的要求而扩张规模, 为自己争取高的在职消费, 提取过高的管理费用, 银行整体的利润因此而被严重侵蚀。在激励约束机制缺失的情况下, 银行整体利益最大化的目标会被分支机构经营者自身利益目标所取代。
四、结论及建议
公司治理的基本功能是建立对经营者决策的监督机制和经营者考核撤换制度, 促使经营者在守法经营的前提下努力工作, 追求公司财富的最大化, 并达到公司治理的最终目的, 使公司管理达到高效率的运作并取得高效益的结果。当前的国有商业银行改革虽然初步形成了科学的公司治理结构, 但只是解决了所有者和总行之间的初始委托代理问题, 并不能真正确保实现公司治理的最终目的, 也不能将国有商业银行从转轨的困境中完全地解脱出来。在一级法人授权制下, 国有商业银行分支机构虽然不独立承担法人的责任, 但具备准法人的地位和具有独立的决策权, 因此存在决策是否满足利益相关者利益最大化的治理问题。而国有商业银行内部的多重委托代理关系, 加剧了银行体系内部的信息不对称、总行与分支行之间效用目标的差异以及内部人控制问题。从国有商业银行总行再到其各级分支机构的委托代理链条间, 蕴藏着更为隐蔽的治理问题或治理风险, 而这种治理风险的存在正是国有商业银行其他金融风险形成的关键因素。目前在国有商业银行改革中, 公司治理并没有真正深入到分支机构这个层次, 造成了银行整体公司治理效果的衰减。
因此, 在国有商业银行科学的公司治理结构初步形成之后, 将分支机构治理风险的防范纳入国有商业公司治理改革的框架中, 尽快地加强对分支机构的治理力度是保障国有商业银行改革继续推进的重要条件。我们可以尝试通过以下途径构建国有商业银行分支机构治理的框架和相应的治理机制:通过组织机构扁平化和流程重组来精简和优化国有商业银行内部的纵向委托代理链, 增强总行对分支机构的控制能力、抗风险能力和提升分支机构以市场为导向的竞争能力;运用平衡计分卡技术和EVA、ROACA的技术指标对分支机构进行绩效考核, 确定分支机构对全行整体竞争力和经营目标的贡献, 并以此为基础设计相应对分支机构经营者的激励和约束机制;以及通过IT技术的应用改善对分支机构治理的效率。
参考文献
[1]李维安:“问题高管”凸现公司治理风险[J].南开管理评论, 2005 (1) .
[2]黄德根:公司治理与中国国有商业银行改革[M].北京:中国金融出版社, 2003.
[3]窦洪权:银行公司治理分析[M].北京:中信出版社, 2005.
[关键词] 银行治理结构 风险管理
公司治理结构是一个新兴的研究领域,这个词本身也是最近二十年才出现的。公司治理结构的研究起初主要用于企业的改革,近几年对于国有商业银行的改革也有着重要的意义。国际国内社会都对这一问题都非常重视,出现了一系列的公司治理原则和标准。1999年5月经合组织发布了《OECD公司治理原则》,1999年巴塞尔银行监管委员会发布了《改善银行机构的公司治理》。2002年中国人民银行颁布了《股份制商业银行公司治理指引》,同年证监会发布了《上市公司治理准则》,十六届三中全会通过的《关于完善社会主义市场经济体制若干问题的决定》明确提出国有商业银行的改革是整个金融改革的重点,并明确了国有商业银行股份制改造的目标和途径。对国有商业银行来说,良好的治理结构是保证银行减少运营资本,实现国有资产保值增值的决定性条件。
一、银行治理结构的一般框架
公司治理结构大体上分为:英美模式和德国模式。英美模式是建立在资本市场主导的金融体制上,所有权比较分散、股东难以有效监控管理层,容易产生代理问题,一般靠比较细致的法律来保护投资人的利益。德国模式建立在银行主导的金融体制上,不依赖资本市场和外部投资者,以银行为主的金融机构在公司治理中发挥着重要的作用,公司股权较集中。由于产品和金融市场的全球化趋势,上述两类模式将会趋同。
1999年巴塞尔委员会出版了《改善银行机构的公司治理》,它是银行治理方面的一个指导性文件。尽管银行治理结构和一般企业的公司治理结构有所差别,但是也遵循共同的基本原则:构建银行管理层、董事会、股东和其他所有者之间的制衡关系,确保银行为股东利益最大化而经营,增加银行的透明度和会计责任。
按照巴塞尔委员会发布的“改善银行机构的公司治理”的指导性文件,银行董事会是银行治理结构中的核心环节,它具有以下职责:(1)确立全行认同的公司价值和战略目标;(2)对银行的经营和健康负最终责任,依据相关法律和管理规定操作;(3)界定清晰的责权,明确各自的责任并经常对其进行评价;(4)建立董事会、管理层内部审计人员之间的协作关系和合作机制;(5)在董事会中建立一些专业化的委员会,如提名委员会、风险管理委员会等,以便对重要领域实施直线领导。
另外,设立(独立)董事,担任外部董事的应该是管理专家,熟悉银行的经营管理及发展趋势,在银行经营困难的时候能够提出锦囊妙计,外部董事人数应该在董事会中占有一定的比例,他们不仅要保证大股东的利益,更多的是要保证小股东的利益。
总之,银行治理结构问题就是有效的设计代理人和委托人之间的契约关系,使代理成本和风险达到最小。
二、银行内部治理结构缺陷与风险防范
国有商业银行所出现的问题,是由不完善的委托代理机制所导致的有缺陷的内部治理结构而产生。在我国商业银行体系中存在多种的委托代理关系,首先是全民和政府之间,二是政府与官员之间,最后是商业银行内部的多重复杂的委托代理关系。一个大型商业银行内部,总行处于委托人地位,一级分行、二级分行既是委托人又是代理人,基层经营机构则处于代理人地位。
这种多重委托代理关系往往导致逆向选择、道德风险、内部人控制、信息不对称、侵犯委托人利益等现象。不完善的委托代理机制所派生出的法人治理结构必然是不合理,会使银行在追求利润最大化的过程中,忽略风险问题。
第一,国有商业银行所有者缺位。冗长的委托代理关系不可避免会导致银行职员和管理层“偷懒”行为:虚增存款、循环贴现、关联贷款、隐瞒不良贷款等;政府官员做为形式上的委托人也会偷懒、监督不力;而更严重的后果是官员和经理合谋,共同瓜分资本剩余。可以说,国有商业银行这种隐含的“所有者实质性缺位”问题是其经营业绩不良,违规操作等现象屡禁不止的根本原因。
第二,国有商业银行的高级管理人员,不是由股东选择,而是由中组部考核、国务院任命。银行的经营者既不要为其错误的决策承担责任,任命者也无需为其错误的任命承担责任。这种免责的委托代理方式在正常的企业中是难以想象的,容易导致严重的寻租现象,并且会产生逆向选择和道德风险。一些不轨的经理人通过贿赂政府官员来谋取银行职位;一些风险偏好的经理人进入银行系统,他们以向政府允下较高经营目标来排挤其他经理人,这些目标往往难以实现。经理人在取得代理职能后,往往不是按照原来允诺的契约运作,为了取得更好的业绩,为了自己的仕途前程,很可能从事一些高风险的投融资活动,以期獲得高的收益,来提升自己的经营业绩。这种道德风险的发生,在我国对商业银行信息纰漏不完善的情况下是难以防范的。
第三,缺乏对经营者的有效监督。理论上,只有拥有剩余索取权的人才有动力去监督经营者。张维迎的“变压器理论”能很好的解释这个问题。他假设,财产最终所有者到财产的直接支配者之间是由若干“变压器”串联而成,其中每一个“变压器”都是“降压器”(变压器越多,降压幅度就越大)。这种层层委托代理的链条越长,效率损耗就越大。如果用“初始输入电压”表示最终所有者对财产的名义关心度,从国有银行总行行长开始,分行行长、支行行长、分理处主任等,随着“变压器”增多,关心度会以几何级数下降,这最终会体现在监督不力上。
第四,国有商业银行内部治理上的不完善导致风险失控。虽然近一两年国有商业银行经历了一系列改革,国有商业银行具备了现代商业银行内部治理结构的外观,但本质上来看,国有商业银行的治理结构仍然反映了出资者(国家)和经营者(银行)之间以行政为纽带的非经济性委托--代理关系,这使得政府在作为出资人和宏观经济管理者的双重角色下,商业银行商业性任务与政策性任务相互交织,导致信贷资源配置效率低下。目前,不良贷款仍在严重束缚着国有商业银行的竞争力和创新力。由于银行内部治理这些不完备性,使得整个风险防范很容易流于形式,难以产生最佳的效果。
三、几点政策意见
第一,进行产权改革,缩短委托代理的关系链。产权关系不明造成国企贷款约束软化,企业与银行之间无法形成真正地融资关系,资金仍然在政府、国有商业银行和国有企业“三位一体”的内部圈子里进行循环。产权明晰后自然就会消除多重委托代理关系,而且能有效地消除由于所有者缺位而产生的偷懒问题。银行的产权改革是一个基础性改革,只有产权改革彻底进行了,其他改革才有意义,才能够充分发挥它们的效力。另外,要以客户为导向,进行市场细分,采用矩阵式的管理结构,以缩短银行内部的委托代理过程。
第二.建立、健全银行内部治理结构体系。我国应在以后的改革中走国有控股商业银行的道路,彻底打破国有商业银行单一股东的局面。建立代表股东利益的董事会、监事会加强对经营者的监督力度,减少委托代理成本。在董事会下设立提名委员会、风险管理委员会、审计委员会和新筹委员会等,完备内部的管理职能部门,提高监督银行业务的能力与效率。强化监事会作用,使其真正代表股东及相关利益者的利益,充分履行对董事会、经理层的监督作用。应该清楚界定独立董事和监事会的职能分工,以避免职能重叠,相互推诿。
第三,加强银行的信息披露制度。保证及时、准确的披露与公司有关的任何重大信息,减少由于不对称信息带来的委托代理风险问题。良好的信息披露制度能形成一种有效的监督力量。使银行的经理层放弃一些高风险的投资项目,确保银行经营的稳健性。
参考文献:
[1]张小松:商业银行公司治理结构的若干思考.金融与保险,2002.3
[2]涂咏梅:国有银行制度传新的演进思路.统计与决策,2003,9
[3]何问陶:制度变迁中的国有商业银行内部治理结构研究.文路信息网,2006
专项治理工作方案
为切实落实潇湘农商银行数据质量管理主体责任,提升非现场监管报表数据质量,全面准确反映经营状况,根据《银行业监管统计管理办法》、《银行业监管统计数据质量管理良好标准》等制度,结合本行实际,特制定数据质量专项治理工作方案如下:
一、成立领导小组,积极开展数据质量专项治理工作 成立以行长为组长,稽核审计部、合规风险部、计划财务部、个人金融部等部门负责人为小组成员的数据质量专项治理小组,负责本方案的组织实施。
二、明确领导小组数据质量管理工作职责
行长是监管统计数据质量管理的高管层,负责推动数据质量管理和监管统计工作;稽核审计部是监管统计归口管理部门,负责监管统计组织、协调和管理;合规风险部是监管统计数据质量审核部门,负责系统数据质量全面审核;计划财务部、个人金融部等是业务数据提供部门,负责其所提供的数据的准确、真实性。
三、数据质量专项治理工作重点
(一)组织领导与机制方面
董事会和高管层要高度重视并积极推动数据质量管理和监管统计工作;要建立数据质量管理内部纠错和稽核检查机制,要建立数据质量问责机制,按规定落实法定代表人手签纸质报表制度。
(二)监管统计归口管理部门履职方面
1、加强制度建设。稽核审计部要根据监管统计规定,制定适时的统计制度或统计制度实施细则等统计管理制度,根据非现场监管报表年度统计制度要求,制定适时覆盖所有监管统计报表和数据要求的统计业务制度,统计业务制度取数规则要按照“会计科目-统计指标-监管统计指标”的原则,保证监管统计报表和数据中每一个统计项目的归属关系及取数路径清晰、准确。
2、强化监管统计管理工作。稽核审计部根据授权要有效履行监管统计组织、协调和管理职责,主要包括:一是按照监管要求和统计管理制度设置满足履行监管统计职责的岗位;二是严格履行监管统计报表的组织、汇总、复核、上报职责;三是定期开展数据质量检查工作,对检查发现的问题采取有效措施予以纠正;四是加强统计人员培训;五是认真执行和落实监管部门下发的监管统计制度与监管要求。
(三)数据质量流程控制方面
1、加强流程制度建设。建立有效覆盖监管统计报表“填报-复核-汇总-复核-上报”的数据质量流程管理规程,明确流程管理各个环节所涉及具体岗位、具体业务部门的责任,确保报表报送的路径清晰。
2、明确填报与复核环节责任。填报与复核环节的岗位人员和业务部门要对填报报表的数据真实性负责。填报人员要严格按照监管统计数据源与统计项目归属进行数据采集和填报;业务部门负责人要对填报的监管统计报表进行真实性和表内校验关系复核审查。
3、明确汇总复核环节责任。监管统计归口管理部门要对汇总的监管统计报表数据真实性负责。数据汇总人员要对汇总后的监管统计报表进行表内表间校验,要分类建立监管统计报表审核台账,在汇总审核中对报送业务部门报表错报情况进行及时纠正并逐笔登记;复核人员要对汇总的监管统计报表真实性进行表内表间校验复核;归口管理部负责人要定期组织对错报情况进行分析并采取有效的工作措施。
4、明确上报环节责任。监管统计归口管理部门对报送数据的及时性、完整性负责。报送的监管统计报表要注明填报人、复核人、负责人的姓名及按具体要求注明法定代表人的姓名。
(四)监管统计信息系统方面
1、加强监管统计信息系统建设。要建立与业务发展相匹配的监管统计信息系统,用以涵盖监管统计涉及的全行各业务领域及相关部室、支行,同时支持监管统计信息自动采集,为监管统计信息系统预留能够灵活性加载的数据接口,并满足自动实现总分、表内、表间校验和预警提示功能和需要。
2、建立监管统计取数规则。要严格按照银监会监管统计项目归属制订适时系统取数规则及操作说明,明晰每一张监管统计报表、每一个监管统计项目的归属关系和取数路径,确保不同报表同一口径的数据保持一致。
(五)内部检查与问责方面
要按照双线管控的原则,将数据质量纳入内控合规检查范围,建立监管统计现场检查制度。合规风险部门每年组织开展系统数据质量全面稽核检查,监管统计归口管理部门定期开展监管统计业务检查,对查出的问题要限期、有效整改,对问题所涉及的责任人要按照“流程环节、责任节点”进行问责。
四、工作要求
(一)高度重视,统一认识
监管统计信息不仅是我行经营状况的真实体现,也是推动我行精细化管理和加强改进风险管控的内在需求,我们要高度重视,严格按照监管要求,认真做好监管数据质量专项治理工作。
(二)加强领导,明确责任
董事会、高管层要加强组织领导,认真履行职责,从总行到各支行要层层实行分管领导负责制,稽核审计部牵头开展自查自纠和配合督查督导工作,明确监管统计各环节责任。
(三)加强管理,严肃问责
2006年12月,针对我国农村地区银行业金融网点覆盖率低、金融供给不足、竞争不充分等问题,银行业监督管理部门适度调整放宽了农村地区银行业金融机构准入政策,并于2007年10月将试点由6个省份扩大到31个省份。截至2009年6月末,全国已开业村镇银行100家,实收资本超过40亿元,存款余额130亿元,贷款余额超过90亿元,累计发放农户贷款70多亿元,多数村镇银行已经实现盈利。总体上看,大多数村镇银行都能够按照相关监管要求,建立了基本符合要求的法人治理结构,带动了各项业务较快发展。但是村镇银行的发展尚处于起步阶段,其健康、可持续发展的基础就在于自身法人治理结构的建立与健全。因此,本文就村镇银行的法人治理现状进行分析,并探讨如何进一步完善村镇银行法人治理。
一、村镇银行法人治理结构现状
(一)股本构成多元化,民间资本积极参与
银监会《村镇银行管理暂行规定》明确提出,村镇银行应采取发起方式设立,应有一家以上(含1家)银行业金融机构作为发起人,村镇银行最大股东或唯一股东必须是银行业金融机构,最大银行业金融机构持股比例不得低于村镇银行股本总额的20%。截至2009年末组建的148家村镇银行中,属于国内大中型机构发起设立的有26家,其中国开行6家,四大行9家,其余11家由股份制银行发起设立; 1
外资银行发起设立的有7家;其余的由地方中小银行发起设立。从最先试点的村镇银行情况看,由银行业金融机构单独设立的村镇银行较少,社会资本参股村镇银行的比例平均超过50%。2010年公布的《国务院关于鼓励和引导民间资本投资健康发展的若干意见》进一步放宽了村镇银行或者社区银行中法人银行最低出资比例的限制,允许发起银行对村镇银行的持股比例低于20%,为更多的民间资本参与村镇银行经营管理提供了依据。
(二)治理结构多样化,创新空间较大
《村镇银行管理暂行规定》中规定,村镇银行应根据其决策管理的复杂程度、业务规模和服务特点设置简洁、灵活的组织机构,对于董事会、行长、独立董事、监事会、各专业委员会等设立并没有严格的规定,这就为村镇银行的公司治理结构构建留下了很大的空间。就目前村镇银行公司治理结构上看,主要有董事会领导下的行长负责制和扁平化的管理模式。前者的典型例子如五家渠国民银行,后者的典型例子如福建建瓯石狮村镇银行。五家渠国民村镇银行由宁波鄞州银行发起设立,股东代表大会是五家渠国民银行的权利机构,股东按照所持股份对提交的事项进行表决;董事会设董事5人,董事长为法定代表人,董事会除对重大事项决议外,重点制定对经营班子的激励和约束机制;监事会设监事3人;经营管理层设行长1名,行长助理3名。福建建瓯石狮村镇银行由福建石狮农村合作银行独资发起设立,不设股东代表大会和董事会,设一名执行董事并制定了经营管理层的激励和约束机制;监事由福建石狮农村合作银行的监察稽核部总经理兼任;经营管理层设行长1名,副行长1名。不同的公司治理结构带来的公司经营成本、代理成本和监督成本不尽相同,采用何种形式的公司治理结构更有利于村镇银行的发展还有待进一步的观察和比较。
(三)机构设置较少,内控管理相对薄弱
根据《关于调整放宽农村地区银行业金融机构准入政策,更好支持社会主义新农村建设的若干意见》和《村镇银行管理暂行规定》,村镇银行应“科学设置业务流程和管理流程,精简设置职能部门,提高效率,降低成本”,“建立健全内部控制制度和内部审计制度,提高风险识别和防范能力,对内部控制的薄弱环节进行纠正和完善,确保依法合规经营。”从目前村镇银行的运行情况来看,大部分组织架构都比较简单,部门较少,各部门之间相对独立,决策层次较少、链条较短,信息沟通渠道较为顺畅、反馈速度较快;在借鉴发起人银行业金融机构内部控制的基础上,制定了与当前业务联系较为紧密的规章制度;风险识别和防范的重点主要放在贷款风险管理、流动性风险、操作风险和市场风险管理上,基本能够做到岗位分离、权责明确、相互制衡;监督评价和纠正机制作用的发挥主要来自内部监察稽核审计部门或者发起人银行定期或不定期的内部控制检查与监管部门的现场检查和非现场检查,引入外部审计制度的非常少。总体上讲,精简的职能部门、相对简单、便捷的业务流程,借鉴移植来的内控制度和
内部审计制度基本上能够满足当前村镇银行发展的实际需要,各类风险总体上能够得到有效控制。
二、进一步完善法人治理的探讨
就村镇银行目前发展情况看,股权结构还有待进一步探讨,公司治理结构还有待完善,内部控制仍显薄弱,相关的扶持政策还很不足。村镇银行应进一步优化股权结构、完善公司治理、加强内部控制,建立起决策、执行和监督相互制衡、相互促进的法人治理结构。与此同时,监管部门和政府部门应制定相关的政策激励和配套措施,鼓励、支持村镇银行进一步完善法人治理结构,并以此降低监管成本,防范金融风险,为村镇银行的商业可持续性提供坚实基础。
(一)优化股权结构
在发起方的选择上,监管机构应鼓励符合条件的中小银行业金融机构作为发起人到金融服务空白的区域设立村镇银行。中小金融机构(如农村合作金融机构)长期在农村经营,服务“三农”和中小企业经验更丰富、更专业,能够为“三农”提供更加贴切的支农产品,只要各项措施得当,短期内能够部分解决农村服务空白问题,长期来看能够解决农村竞争不充分问题;由于农村金融业务的高风险性,要求其他商业银行大规模进入农村是不符合商业资本逐利性要求的,是不现实的。因此,监管部门可以有条件地降低中小金融机构的进入门槛,只要监管得当,能够较快、较大面积地填补农村金融的空白。在股权
比例的设置上,既要避免股权结构单一化,提高发起人的资金使用效率,又要保证金融机构对村镇银行的控股地位。虽然监管部门降低了作为发起人的银行业金融机构的最低入股比例,但是如果民营资本在股权比例上占据优势,民营资本的逐利性、短期行为将不可避免的显现出来,这将加大金融风险,增加监管的成本和难度,也会造成贷款脱农化,不能使广大的“三农”真正受益,因此目前还不宜大幅降低银行业金融机构的入股比例,金融机构控股的地位不能改变。
(二)完善公司治理
首先,村镇银行应认真比较不同的公司治理结构,仔细权衡不同治理结构下的代理成本和监督成本,着重通过完善激励和约束机制降低代理成本和监督成本,合理确定符合自身实际的公司治理结构;其次,村镇银行应当充分发挥作为一级法人的经营自主权,缩短决策链条,提高经营管理效率;再次,监管部门应与时俱进地制定村镇银行公司治理结构评估体系,并以此作为标准对村镇银行的公司治理做出综合评价,督促并建议村镇银行设立合适的公司治理结构,鼓励支持村镇银行在《中华人民共和国公司法》等相关法律法规的框架下进行公司治理结构创新,并做好后续的监管工作,做到“严监管”、审慎监管,促进公司治理结构的优化。
(三)加强内部控制
村镇银行应建立健全各项规章制度,加强内部控制和风险薄弱环节的纠正与完善,全面构建风险防范的长效机制。一是加强各项制度建设。既要考虑到各项规章制度能够涵盖经营管理监督的各个层面、各个环节,以制度规范业务操作、以制度约束业务操作、以制度监督各项经营行为,又要针对经营管理中的新情况、新问题,对借鉴移植过来的规章制度大胆地修改与完善。二是加大监督检查,强化稽核审计力度,高度关注风险隐患和薄弱环节,突出对重点部门、重点环节、重要岗位、重点时段的监督和再监督。大部分村镇银行机构设置精简,稽核审计力量相对薄弱,发起人银行应在稽核审计方面给以更多的支持。三是完善问责制度。对违规行为进行责任认定和追究,实行严格问责制,做到违规必究、违规必处,切实通过对违规行为的严处,提高制度执行力。村镇银行刚进入农村,业务规模亟待扩张,各项经营行为要严格规范,违规必究、违规必处,确保依法合规经营。
(四)加大政策激励力度
商业银行可以划归为企业,之前有过许多关于企业管理的研究,可能很多人会很自然的将这些治理经验应用到银行管理中,但本文重新定义了这一思想,商业银行不单单是个企业,更是社会经济平稳发展的润滑剂,本身具有其特殊性。因此,需要我们用独特的视角来研究它,本文作者从商业银行和一般企业的不同点出发,来研究商业银行公司的治理,给我很多启发。
好的研究点,往往蕴含在一般性分析之中,本文作者从公司的基本概念出发,细细剖析出商业银行的特殊性所在,并针对其特殊性,提出自己针对商业银行治理的独到见解。针对亚洲金融危机后,公司治理目标不仅在于保护投资者的利益,而且在于减少市场系统风险和保持金融体系的稳定。这种银行治理的目标定位不仅赋予了其更深刻的内涵和更丰富的内容,更重要的是表明了银行治理对银行风险的内在影响机制和维护金融体系稳定的目标追求。这样的研究也给现在全球金融危机阴影下的中国银行界的改革发展提供了借鉴和帮助作用。
数据仓库和数据挖掘技术在一些国际化银行如花旗银行、美国第一银行等的实际业务运营中发挥了巨大的作用。根据美国META集团的调查, 数据仓库和数据挖掘技术在美国金融业、制造业、商贸业以及社会服务等方面都得到广泛的应用, 已经采用数据仓库和数据挖掘的企业的投资回报率均在40%以上, 部分企业高达每年600%。
一、数据挖掘流程
数据挖掘现在被普遍接受定义是“从大量的数据中提取隐含的、事先未知的、并且潜在有用的知识的技术”, 也有人把它称为数据库知识发现。数据挖掘集合了数据库、统计学、机器学习、数据可视化等多门学科, 从海量的数据中发现归纳有趣的知识, 并通过表格和图形的方式直观地展示给用户。
通过构建银行数据仓库和数据挖掘的开展, 可对信贷资产的信用风险、汇率敏感度、流动资金风险、不良贷款等, 进行组合风险分析和安全性分析。管理层能及时、准确地掌握资产数量及其分布、资金调度情况、信贷资产分布情况、客户信用情况等, 从全局角度和资产优化的角度来实施银行的综合管理, 有效地控制风险, 提高银行的资产质量和利润率。
进行数据挖掘时, 首先要从银行大量数据中抽取一个样板数据子集, 做必要的数据处理和准备, 提高仓库效率。其次, 从样本数据集中找出规律和趋势, 运用数据挖掘工具与方法, 区分数据类别, 找出多因素之间的相关性, 建立风险计量模型对状态进行描述。第三步, 按照风险管理的需求, 基于数据挖掘过程的新认识组合或生成一个新的变量, 提取出的知识用于决策支持和数据库的更新。
二、银行数据的准备和挖掘
银行数据主要是资产负债数据、财务变动数据、利润情况数据等实际经营情况数据;贷款企业基本情况等贷款对象的基本情况数据;机构人事情况、效益情况等全行基本情况及信贷资金结构体系的基本数据;如社会经济发展数据等宏观经济类相关数据;内部审计报表、风险监控指标等。
把银行的各类报表作为数据采集对象, 保证了广泛性和完整性。对数据归纳分类, 就能得到某一经济现象的最小单位统计数据。再与不同的数学模型结合使用, 具有较强的实用性。然而银行综合信息的数据量如此庞大, 科目数据之间有大量重复的地方, 达不到快速处理的要求, 作为决策支持系统的数据应该进行预加工处理。
(一) 数据处理
1、从业务主题域中提取并集成数据, 解决语义二义性问题, 消除冗余数据等, 必须保证系统中数据集成的唯一性和准确性。
2、转换不同的单位。不同业务数据存储的时间是实际发生的时间单位, 如贷款账务数据单位为日, 统计报表单位为月或半年。还有所有交易金额都是以交易的本生币种计算的, 为了统一口径应当根据统计当日的汇价转换成同一货币交易金额。分析时须采用适当的转换机制将不同单位的数据统一到同一个单位中。
3、表间连接的设计必须兼顾一致性和时间经济性。既要保证分析数据能通过连接取得或计算得到, 又要避免造成分析数据的歧义。另外, 要注意到不同的连接途径还会出现不同的查询速度, 影响数据分析的响应速度。表的主键和索引的设置, 有利于数据检索而不利于数据更新。要充分利用临时表技术。
4、优化数据存储, 提高访问效率。采用全局数据集中存储、交易数据分层存储的方式。全局数据采用视图连接, 常用的一些固定查询编译为数据库存储。
(二) 数据挖掘方法和工具
更深一层次的工作是数据挖掘。数据挖掘通过对数据的统计、分析、综合、归纳和推理, 揭示事件间的相互关系, 预测未来的发展趋势, 起到辅助实际工作问题、支持决策的作用。
数据挖掘模式一般有以下五种:
1、分类:表现为一棵分类树, 根据数据的值从树根开始搜索, 沿着数据满足的分支往上, 走到顶部就能确定类别。
2、回归:与分类模式相似, 其差别在于分类模式的预测值是离散的, 回归模式的预测值是连续的。
3、聚类:把数据划分到不同的组中, 组之间的差别尽可能大, 组内的差别尽可能小。但它与分类模式不同之处在于, 进行聚类前并不知道将要划分成几个组和什么样的组。
4、关联:描述事物之间同时出现的规律的知识模式。如银行中A业务与B业务之间的关联性。
5、序列:与关联模式相似, 它把数据之间的关联性与时间联系起来, 根据数据随时间变化的趋势预测将来的值。
目前有基于聚类分类的产品有HNCS Software公司开发的Marksman;基于归纳算法和决策树的产品Angoss Software公司开发的Knowledge Seeker, 被广泛应用于市场和金融分析;基于模糊逻辑的产品有Information Builders Inc.开发的Level 5 Quest等。不少数据挖掘工具采用了多种开采方法, 如IBM Intelligent Miner, SAS Enterprise Miner, SPSS Clementine等, 这类工具一般规模较大、开采能力很强, 但价格昂贵, 并要花很长时间进行学习, 适用于大型数据库。
商业银行可以根据需要选择产品, 使用数据挖掘工具进行经营风险分析和控制。如对风险进行定性、定量分析;分析不同风险的相关性;根据对某种风险的分析建立风险模型, 预测和控制该风险的发生等。随着业内竞争加剧和客户需求多元化趋向, 要求银行等金融机构确保高水准的风险控制能力, 因此数据挖掘势必成为银行信息系统制胜的关键。
三、数据仓库的实现
在数据仓库设计过程中, 对数据模型和存储模式的选择应考虑数据量的大小、数据处理过程、访问效率和性价比等多个方面。基于以上所述数据处理和挖掘技术, 对具有超海量数据特性的银行业数据仓库项目, 选择多维数据模型及其存储模式的选择尤其重要。
以多维数据模型为基础组织和存储数据, 能对大量数据进行快速查询和多角度展示, 满足对用户请求的快速响应和交互式操作。采用多维数据模型使分析人员、管理人员或执行人员能够从多种角度对从原始数据中转化出来的、能够真正为用户所理解的、并真实反映企业特性的信息进行快速、一致、交互地存取, 从而获得对数据的更深入了解。因此, 多维数据模型与数据挖掘技术的结合可以较好地解决银行传统决策支持系统既需要处理大量数据又需要进行大量数值计算的问题。
目前有两种多维数据库的联机分析处理 (O L A P) 产品:基于多维数据库的MOLAP和基于关系数据库的ROLAP。多维数据建模方法MOLAP主要适合于最终用户经常重复的查询/分析模式, 基本上是反映系统局部或部门级的固定查询或分析需求。但对于最终用户可能提出的各类随机查询分析需求或细节数据查询需求, 适应性较差。关系建模法ROLAP注重数据库范式理论, 具有较好的整合性, 模型易于扩展, 具有较强的灵活性, 适于构建企业级数据仓库或称中央数据仓库。
银行在建立决策支持系统时应采用多维建模法M O L A P和关系建模法R O L A P相结合的办法。因为关系数据库和OLAP工具同时在高端服务器上处理, 不同的OLAP工具都使用了它们自己的多维数据库, 同时它们在不同程度上也利用了关系数据库作为存储媒体, 这样存储在多维数据仓库中的信息比在关系数据库中的信息具有更详细的索引, 可以常驻内存, 所以它可以在不影响索引的情况下更新数据, 速度和效率仍然很快。
摘要:利用数据仓库技术对数据资源进行有效的集成和整合, 能提高银行的风险管理水平。基于数据仓库模型设计和银行海量信息数据的特点, 对综合数据的进行预处理加工是第一个必要步骤;然后商业银行选择数据挖掘工具进一步深度挖掘与分析整合数据, 在此基础上采用多维数据建模法 (MOLAP) 结合关系建模法 (ROLAP) 能够构建起高效的数据仓库系统。
关键词:银行,数据挖掘,数据处理,多维数据建模
参考文献
[1]、Piatetsky-Shapiro, W.J.Frawley.Knowledge Discovery in Databases[M].AAAUMIT Press, 1991
[2]、刘韬, 王宾.银行业数据仓库的构建策略[J].华南金融电脑, 2004, (2) :77-79.
[3]、张胡, 张徽燕.数据挖掘技术在银行业的应用[J].长春师范学院学报:自然科学版, 2006, 25 (1) :61-64.
[4]、李小庆.银行数据大集中后数据分析和知识获取[J].华南金融电脑, 2006, 14 (3) :2-5.
[5]、董琴弦.对我国商业银行信息化建设的几点思考[J].计算机时代, 2007, (9) :6-7.
【银行风险数据治理】推荐阅读:
银行数据治理案例11-17
银行数据治理自查报告02-14
银行风险内控01-28
银行网点风险防控06-19
美国影子银行风险11-10
银行风险导向审计12-14
商业银行信贷风险06-04
银行柜员风险自查报告06-10
银行风险识别与评估06-21
村镇银行风险控制研究06-26
