刘堃：互联网银行及其风险管理

gecccn

刘堃（微众银行风险管理部总经理，中国科学技术大学金融工程方向博士）

  互联网银行的本质在于金融，而金融的本质在于风控。这样说的原因是，如果你其他部分做的很好，但风险管理没有做好就有可能被吃掉。但若其他方面你没有做好，但风控做好了，至少不会有关门的风险。总结而言，互联网银行进行风控，要做到四项基本原则：（1）战略上，要认识到你是一家拿牌照的金融机构，而不是一般的工商企业或科技公司。一方面，持有牌照会受到监管；另一方面，对国内外银行几百年经历的风风雨雨，以及从中积累起来的监管经验和措施，你都必须怀有敬畏之心，即在战略上必须把风控作为立行之本。（2）手段上，互联网银行没有物理网点，没有传统的客户经理、审批经理、产品经理，员工中一半是科技人员，所以只可能利用数据、模型和技术。（3）流程上，传统方式是分为贷前一批人管，贷中一批人管，贷后一批人管。但互联网银行必须是全流程、项目制，对项目实现生命周期全覆盖，才可能做好。（4）体验上，互联网银行其实并没有改变金融的本质，借款就是借贷关系，理财就是受托或者委托关系。所以法律关系没改变，风控本质没改变，因此只能利用数据在体验上做文章。由于现在生活节奏越来越快，很多人尤其年轻人能够接受网上的东西，所以在体验上要做到快速响应，最好不要去网点，最好能够做到不受时空限制，最好能够做到简单的两三步就搞定。不要很复杂，也不要出现在非交易时段不能审核的情况，对于互联网银行而言，是“我要”并且“立即要”，应注意响应时间和速度。
  熟悉巴塞尔协议的人都了解，商业银行应关注八大风险，但由于八大风险主要基于传统主流银行提出，而微众银行是一家互联网银行。因此我们在这个基础上提出了一些适应自身业务特征和业务结构的风险，所以我们有12大风险。
  有些风险是单列的，譬如说应用大量的模型到生产中，model risk应该被单列；洗钱风险应单列；另外信息科技风险也要单列。所以根据自身的业务模式和特点，我把重要的风险从其他八大风险当中，比如说是从广义的操作风险中单列出来。这是有好处的，这使得我们有专门的一批人去研究它，有专门的制度去规范它，有专门的风险缓释措施。
  另外一点是风险偏好（risk appetite），即做这批业务时董事会愿意承担多少风险。管理层事先在年初时提出全年的目标，报董事会批准，据此设定风险指标和资本充足率，然后另外有利润目标和KPI（Key Performance Indicator），这样在年初时董监高达成一致，之后把风险指标进行分解，按月监控，按季评估，按半年向分管会汇报，若有偏差，再按一定流程调整，这是风险治理（governance）。有制衡，但是又不能够离业务太远。既要协作，又要保持一定的独立。
  在构建具有互联网银行特色的全面风险管理体系中，我们的特点是仿照巴塞尔协议的三大支柱建立了我们自己的三大支柱：数据（Data）、模型（Model）和系统（System）。这是我们做风险管理的基本工具，底座则是我们的制度和人才。因为我们是一家持牌银行，所有业务都需要制度来支撑。一方面我们希望通过快速迭代、通过不停的试验来触及我们想要的东西，但是另一方面，由于银行机构要接受内外审计，所以制度以及管理留痕也是很重要的，这样才能证明你是思考过的，证明你合理设计了管控方案。当然还有价值观，即我们刚刚提到的科技、普惠、连接。这些使命帮助我们搞清楚我们为谁服务，这些人的风险是什么，特征是什么，应如何去管控。我们把它放在价值观里面。接下来我们就三大支柱稍微展开进行讲解。
  第一大支柱——数据
  通常很多银行评估借款人风险的基本逻辑是发放贷款以后，借款人的还款意愿、还款能力以及个人的稳定性因素如何。借款人的相关状况比较稳定是金融机构发放贷款时愿意看到的。通过何种方式来描述借款人的特征对于我们而言则是维度问题或者叫特征工程。传统的方式下，我们可以通过了解一个人过去有没有违约记录来辅助判断其有没有还款意愿及未来的还款能力。违约记录可以通过人行征信系统进行查询，但只有20%、30%左右的客户有记录，其他人都是通过民间借贷的方式进行融资。这部分没有征信记录的客户的贷款需求在传统方式下较难得到满足，而我们现在可以借助金融科技，例如大数据技术，来解决这一类问题。
  大数据与数据有一定的差别。结构化的叫数据，即所谓的字段。客户的收入数据、收入来源证明、过去的记录、企业的财务报表等都是传统的金融属性很强的数据。但这些数据也有造假的可能性，例如客户提供的在单位开出的收入证明是不是真的、银行流水是否伪造等。这些金融属性很强的数据，它的一个缺点是很容易作假。我们有没有其他的办法来改善这件事情？答案是可以借助大数据技术来改善。
  大数据不仅仅指的是数据量要大，它主要指的是维度要多，用多维数据交叉刻画一个人。而且大数据最好是结构化和非结构化数据都有。所谓结构化数据就是用字段可以建模的。非结构化数据指的是在另外的载体上的数据，可能是一段声音、一段视频或者一张照片。你的缴税信息、购物信息、职业、活动范围、社交偏好等，这些都可以变成刻画你这个人的维度，这就是大数据。你在互联网上主动操作的或者不经意留下的这些足迹，比起在现场与你交谈所得到的个人印象，有可能更客观、更全面。对于企业来说也一样，这就是大数据做风控的逻辑。在个人隐私保护方面，现在正规的金融机构都十分注重这一点，这是它做生意的根基。所以你能拿到可以进行分析和建模的数据，但你绝对拿不到某一个人的具体信息。并且数据是脱敏以后通过建模的方式来进行进一步的分析，而不是运用公检法系统直接依法调取个人信息的方式。
  数据是互联网银行风险管理的原材料，传统数据是标配，同时合理运用互联网数据优势以及引入外部市场数据，才能更全面地评估风险。以微众银行为例，它的数据大概分为银行原生数据、国家征信数据、互联网数据、合作共享数据、市场采购数据这五类，我们将传统数据与互联网数据、外部市场数据等结合在一起来进行更为全面的风险评估。
  第二大支柱——模型
  在模型方面，利用数据建模一定要达到全生命周期覆盖。你的数据和模型一定要整个形成闭环，全面覆盖。正常的金融机构应该是平衡的全流程考虑，包括我们为什么要实行邀请制，而不是敞开申请。白名单邀请制、小额分散、分期付款，这三项既是我们微粒贷、微车贷和微业贷的基本产品形态，也是我们风控的三大法宝。
  第一法宝是白名单邀请制，指的是通过前期的数据积累、模型计算等从众多客户中挑出一批目标客户，只有名单上的客户才有资格体验。客户在申请之后，系统零点五秒就可以反馈结果，基本上叫立等可取。之前有提到只有30%的个人有贷款记录，我们要如何对待剩余70%的客户呢？我们是把部分征信白户放进来，打上标签，观察后续表现。你会发现大部分人的信用很好的习惯也很好，征信白户的不良表现只比有信贷记录的高一点点。所以方老师提到过人行为什么经常首肯微众银行这些模式，是因为我们既使用了国家征信系统里的征信数据，反过来我们还不停地把国家征信系统里的3.3亿人扩展到3.7亿人。相当于原来一个征信白户，他来申请微众银行，我们在对他进行评估之后给他一个额度，他用了之后就变成了一个正规的金融户。在2100万人累计提款中大概有20%，即五六百万人，是属于我们找到他并向其贷款。
  第二法宝是小额分散。一个人不会为了8000块钱把自己的信誉都坏掉，因为一旦违约马上就会有征信记录。因而小额分散从某种程度上降低了贷款的风险成本。
  第三法宝是分期付款。假设有一笔六个月的贷款，可以让客户每个月偿还一部分款项，通过客户每次的还款行为就可以了解客户自身的情况是否发生了一些变化。这种方式不同于一次性到期本息。一次性到期本息会给客户带来较大的资金压力以及较高的成本，而分期付款可以让客户付出更合理的成本，并且管好现金流，从而使他生意失败或者是生活陷入困境的概率降低，这也是对他的帮助。对金融机构来讲金融资产也是安全的，这就叫双赢。
  第三大支柱——系统
  微众银行是科技色彩比较浓、以科技驱动发展的一家银行。我们的开源技术都是自主开发的，这种分布式结构跟原来用IBM大机有很大不同。数据库也是自主开源的，系统和专利很多。微众银行截止到现在有288项专利，是去年全球所有银行中申请专利的第五名。我们是技术立行，甚至以后有可能会技术输出，所以目前非常重视专利保护这一方面。我们都想把极简的体验带给客户，但是极简体验的背后是机房的设计、前台的系统，后台的引擎、各种各样的规则引擎来予以支撑，都具有高昂的成本。即我们可以为了优化客户体验，投入较大的科技成本推动服务和产品升级。
  风险和收益实际上是硬币的两面，我们有一套RAROC的风险收益定价体系，每一个项目在它开始之前，我的团队就可以通过我们的数据告诉你定价是多少，需要多少保证金，这叫先算后做。我们不断推进管理工具快速迭代，现在已经升级到6.0。RAROC工具、压力测试是比较好的工具。
  以上就是三大支柱的相关内容，是从比较微观的层面来讲述的。
  最后，我们采用不良率、拨备覆盖率、资本充足率这三项监管指标数据来对主要的四家互联网银行进行横向对比。拨备覆盖率是从当期的经营收益当中，预留一块资源，以备新的不良贷款出现后核销之用，相当于烫平周期。然而2008年金融危机时拨备制度受到了质疑。原因是它的顺周期性，即经营很好的时候收入很多，看不清究竟有多大风险；然而经济收益不好的时候，随着收入降低风险不停暴露，发现要提更多的拨备才能覆盖住风险，于是就形成了自耦合。所以G20要求国际会计准则委员会改进顺周期的拨备方法，换言之就是动态拨备或前瞻性拨备。推动全球风险管理，其实有三个力量：第一个是巴塞尔委员会，第二个是COSO委员会，第三个是国际会计准则委员会。它通过会计准则的方式来识别金融工具，金融工具的识别包含着风险。IFRS9其实是预期损失模型的方法，而不是看你当期的损失。从资本充足率来看，资本是最稀缺的资源，所以互联网银行被迫只能走连接的平台战略，不希望自身的资产负债表过于庞大。因为资产负债表的风险主要来自于资产端，如果资产端做得大，就要按照一定权重用资本去覆盖，这个资本也是有最低要求的。