一、银行数据应用深度不断提升

过去的几年，金融科技在很多方面改变了银行的业务模式，其中具颠覆性的，是以大数据为代表的各种金融科技的应用改变了很多传统上线下的、事后的甚至滞后很长时间的信息收集模式，使银行风险管理可以使用的数据更加实时、细致和全面。银行在解决系统性风险方面相比过去也有了很多改变，譬如现在很多银行都推出了线上的小微快贷类产品，这些代表性的产品相较于过去线下审批模式，能更好地解决小微企业这个庞大客户群体的信息不对称问题。在个人贷款方面，传统的产品，例如信用卡和消费贷款，需要客户在填表和审批等流程上消耗较长时间，相较之下，现在的个人快贷类产品只要在APP里进行操作，客户就可以很快地获得授信。可以说，金融科技日渐改变着整个金融业和银行业的发展方式。

从银行的实际情况来看，大数据已经在银行业里得到了非常深刻的应用，包括客户画像，定制化客户关系、流程与产品，信贷风险分析与管理，交易与资产管理决策，反欺诈和合规管理等。银行应用数据的深度和宽度上与过去相比发生了很大变化，可以认为银行进入了数据应用的4.0时代，即银行的产品和服务越来越基于实时数据支持进行可行化定制。

二、数据风险成为商业银行新型重要风险

（一）数据风险面临新形势

未来银行的发展方向，是无形地切入到人们生活的各个方面，而金融科技将在帮助商业银行处理业务和解决风险问题里得到更多的应用。但是，未雨绸缪，我们需要思考的问题是：是不是所有解决问题的手段都会带来好的结果？

历史经验证明，所有解决问题的手段都会带来新的问题，解决传统的银行问题的金融科技手段同样会带来新的问题，并且这样的新问题会越来越突出。银行过去管理信用、市场、操作等类型风险，核心是一直致力于解决客户的信用问题、市场的问题、合规的问题等，但是在使用技术解决问题的实践中，我们会发现技术本身成为了非常重要的风险源。例如，银行在过去有许多产品流程是在线下，银行内部的流程、系统或者网络等方面的问题不会那么突出，但以现在的情况来看，如果某天银行的网络断掉，将会产生非常大的社会影响。

模型的应用也会带来风险。从本世纪初开始，国内很多银行开始探索应用模型来解决信用评价的问题。当模型越来越多地嵌入到银行的管理流程中时，如果模型出现问题，这会比以往某个流程出现问题带来的冲击要大得多。所以很多银行开始将模型风险管理作为现在非常重要的风险类型。例如，当银行的个人信用模型的某个参数出现问题时，不仅会使得银行对具体的个人信用评价出现偏差，还会使整个个人信用评估体系产生系统性偏差。

数据风险也是银行当前面对的比较新型的风险。不过当数据出现问题时，其所带来的风险是与以往的风险具有高度相关性，往往呈现复杂的风险形态。例如在小微贷款问题上，银行通过技术手段收集了很多以往难以收集到的小微企业的数据，如果银行在此过程中拿到的是企业不准确或者滞后的税务数据，仅基于这一项数据银行给企业授信，而实际上其他类的数据可能是不支持给企业授信的。所以银行在未来办理小微和个人业务时应该注重更加全面地利用数据。

（二）数据风险定义

澳大利亚审慎监管局对数据风险的定义是，与数据相关、源于缺乏内部流程或内部流程失误、受到外部事件的影响而造成损失的风险，可以包括的情况如数据遭到盗窃、数据被污染或无法获取导致的损失，数据不准确导致的执行失败，以及披露敏感信息相关的违法违规等情况。此处的定义实际上是引用了巴塞尔委员会对操作风险的定义，也就是将整个数据的流程中可能引起的风险事件定义为数据风险，并且监管当局是将数据风险视为操作风险的一部分。但是从银行的角度来看，这样的定义难以涵盖数据风险在银行里的未来发展方式。

（三）数据风险新挑战

可以从将数据作为一个生产要素的角度去尝试描述数据风险。基于数据整个生命周期来看，从数据的产生，到数据的整合、应用、存档、销毁，每一个环节都会遇到不同的风险问题。

譬如，当我们获取数据时面临的几个问题：一个是当银行从外部单位拿到数据支持银行内部的管理、产品的创新或流程的改造时，银行无法知道外部单位对数据的治理能力能否达到银行的要求；第二个问题是当银行获取数据时还需要考虑到数据的合规性，尤其是获取个人客户数据时必须得到两方面的认可，即客户的许可和公司合规获取客户信息的许可；第三个问题是，银行拿到合规数据的情况下无法保证数据的连续性。

在获取数据之后，对数据进行传输和整合时，银行会面临的大的问题是数据质量问题，可以说，数据和数据的交叉验证和数据本身的反欺诈会成为未来风险管理里的两大挑战。当有大量的数据存入数据库后，由于这是有价值的数据，此时会面临数据安全的问题，例如银行的征信信息非法泄露在过去几年时间成为一个巨大的社会问题。数据风险本身就会带来巨大的挑战，数据风险会成为未来风险管理中需要被关注的问题。

三、数据风险管理的角度

（一）数据质量风险

在金融科技应用的时代，数据作为银行越来越重要的生产要素，需要保证生产要素的质量，如果数据质量出现问题，那基于此的很多模型或产品就会出现问题。所以未来银行数据质量治理可能需要巨大的成本，例如需要建立数据治理委员会的管理机制，这一机制将聚焦于重要数据的质量问题。重要数据如反洗钱的数据、个人信用风险的数据、线上信贷中获取的外部数据等，数据质量治理可以从数据的准确性、完整性、及时性、连续性和真实性等质量指标上进行考量。可以推测，数据质量本身可能会成为今后数据风险管理上的一个热点讨论话题。

（二）数据合规风险

第二个面临的挑战是数据合规的问题，尤其像工农中建这样的跨地区或跨国家经营的银行，会在数据合规问题上面临巨大的挑战。从国内来看，存在以《个人信息保护法》为代表的对个人数据隐私保护的法律法规。从国际上来看，存在以《通用数据保护条例》（GDPR）为代表的对数据合规要求的规范。例如银行一旦违反GDPR的规定，则会面临巨额罚款，这样的罚款会对整个集团的资产负债表产生影响，其影响程度可见一斑。

（三）数据使用风险

第三个挑战是在数据使用问题上。一方面数据本身的使用给银行带来了价值，但另一方面如果数据使用不慎，则会给银行带来很大的风险。例如当客户经理发现了模型的漏洞时，客户经理会将这种漏洞有意或无意地传递给客户，由于造假骗数据系统的成本比造假骗审计的成本要低很多，就可能促使客户选择数据造假。对不同来源的数据的交叉验证，数据的完整性，数据的反欺诈的问题越来越成为银行在使用数据中需要面对的非常重要的问题。

（四）数据安全风险

银行在过去会有数据丢失损坏或者数据泄露，但这都未曾被视作一个重要的问题。但是如果仔细评估GDPR的本质要求，银行就需要考虑一个重要的判断，即“数据到底是谁的”这样一个问题。如果数据是客户的资产，则在银行沉积的数据资产应该是由银行替客户保存的，这是不能丢的。数据安全风险还涉及到数据泄露的问题，如果有数据泄露，银行不仅会受到来自客户的疑问，还会受到监管的罚款和合规管理能力质疑。

四、数据风险管理框架与治理架构

（一）数据风险管理框架

为了更系统地应对数据风险，银行应当搭建数据风险管理框架，从治理架构与制度流程出发，对四大子风险，即数据质量风险、数据合规风险、数据使用风险和数据安全风险，进行针对性的管理，同时确保数据基础设施能够为数据风险提供坚实的基石。

怎样建立数据风险管理框架？其实银行在数据风险管理的过程中仍然需要遵守传统风险管理的逻辑。银行的前台和后台是数据的采集者和使用者，数据管理部门则是数据真正的管理者，后端的审计部门是后的防火墙。但是数据风险管理相对于其他传统风险管理也有自身的独特性，例如，由于数据本身是技术的重要的组成部分，那么银行就需要对相关的基础设施领域保持密切的关注。这些基础设施可以包括数据库，数据技术，以及数据治理框架等。

（二）数据风险治理架构

治理架构，即涉及到谁对数据风险负责的问题。去年银保监会发文《银行业金融机构数据治理指引》，明确表明在数据治理整个大的架构中需要公司不同管理层的参与来解决问题。

在未来几年银行金融科技应用更为深入的情况下，如上文所提及的新型的风险可能会对银行业提出巨大的挑战，也可能成为风险管理领域中的热门的话题。

（责任编辑：颜贝佳，陈昕）

刘贤荣

建设银行总行数据管部副总经理。20年银行数据管理工作经历，参与过企业级数据仓库、新一代核心系统等系统建设，熟悉金融统计、监管统计、银行资本计量，在金融数据治理和数据应用方面有丰富经验，中国金融风险管理专家委员会委员。