操作数据分析推进银行IT风险管理标准化

 

　　数据分析工作流程

 

      一个基于风险导向的银行数据分析工作可以分为五个步骤进行，包括确定分析目标，基础数据收集，数据挖掘与分析，风险点跟踪，数据指标固化。其中，数据挖掘与分析是整个工作流程中的核心关节。

 

　　确定分析目标。明确的分析目标是确保数据分析过程有效性的首要条件。执行分析的负责人需要明确具体的业务领域和相应的分析目标，并据此制定整体分析项目的进度计划、资源配置和结果评审等事项。

 

　　基础数据收集。有目的的收集数据，是确保数据分析过程有效的基矗分析负责人需要对收集数据的内容、渠道、方法进行策划，根据分析目标确定需要获取的具体数据字段和数据结构，将识别的需求转化为具体的要求。

 

　　数据挖掘与分析。完成基础数据收集工作后，便可以展开相应的分析工作。目前主要可以应用的数据分析方式有：数据质量复核；异常特征分析；探索性挖掘分析等。

 

　　问题跟踪。在通过分析得出结果后，需要对结果说揭示的问题进行进一步跟踪调查。这同样也是将数据分析结果与客观事实情况进行结合的过程，通过将空洞的数字指标落实为实际的业务问题行为来进一步拓展数据的价值。

 

　　数据指标固化。最后对已经确认存在风险的数据特征进行系统固化，通过在数据集市或数据仓库中设置监控阀值，由信息系统对业务数据进行持续的指标性监控，以确保在第一时间发现新增类似风险事件，或者更进一步，将数据分析的结果作为持续IT风险监控或非现场IT风险监控平台的指标。

 

　　数据分析方法

 

       目前银行业数据分析比较典型的数据分析方法主要为有以下几种。

 

　　数据质量复核。复核分析即以通过重计算和核对的方法对银行数据进行二次校验，以确保数据的完整性和准确性，识别IT系统的薄弱环节。此类数据分析一般存在固定的分析计算方式；数据分析范围也以抽取样本的方式确定；对于分析工具的要求也可以根据需要计算的样本量选择电子表格或者小型数据库。是银行数据分析的基础类型。

 

　　异常特征分析。即根据数据中特定字段的相应特征，分析和筛选存在异常和风险的内容，识别IT的阈值，并对结果进行进一步的跟进。分析对象主要包括异常计结息、异常大额交易、存贷款账户异常波动、系统间处理的交易峰值等。此类数据分析主要建立在确认存在风险的特定数据字段的基础上。数据分析范围一般根据测试期间的要求，选择一季度或一整年的全量业务数据。而数据分析工具则需要随着数据量增长的需要引入大型数据库来容载分析数据。该类分析可以有效识别出正常IT架构下系统可容忍的阈值，通过分析已发信息科技风险事件，寻找引发信息科技风险事件的IT风险源。

 

　　探索性数据挖掘。探索性数据挖掘分析侧重于在数据之中发现新的特征，作为特征型数据分析的延伸，帮助分析者从看似无关的数据中挖掘出有意义的风险指标。在这种分析中，除了数据本身，还需要引入成熟有效的数据分析模型，结合分析者自身的统计分析知识，综合运用，从而达到“发现数据背后的业务规律和IT风险源”这一目的。这里简要的列示一些常用的数据分析模型，并给出模型适用的具体测试应用项目(表1)。

 

　　此类数据分析主要依靠数学模型对数据本身进行规则归纳，并根据获得的规则进行风险判断。数据分析的范围除了测试期间的全量业务数据以外，还需要进一步获取前几个期间的数据作为数据建模元数据；而执行此类分析，所需要的工具除了数据库之外，还需要引入专业的统计分析工具进行数学建模。

 

　　通常的数据挖掘分析步骤为：

 

　　第一，获取历史违约数据并混合正常样本作为训练集；第二，选择合适的数学模型进行数据挖掘，并生成预测规则；第三，使用预测规则对目标测试数据进行分析；第四，更新训练集对预测规则进行完善。

 

　　基于数据推进IT风险管理的标准化

 

        根据银监会《商业银行信息科技风险管理指引》(简称“指引”)的定义，信息科技风险是指信息科技业务在商业银行应用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险，同时明确了商业银行信息科技风险管理覆盖了信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试与维护、信息科技运行、业务连续性管理等内容。传统的商业银行IT风险管理基本基于此框架进行相关的风险管理，但是有效的IT风险管理经商业银行实践证明，目前仍较多依赖于技术规范的事前约束和事后信息科技风险事件的分析与查漏补缺。真正科学的IT风险识别、度量和监测仍是目前IT风险管理的难点。

 

　　商业银行可通过数据管控体系的提升、利用数据分析的手段挖掘自身的IT风险源，基于自身的IT架构，定位高风险领域，通过分析客户使用习惯、系统平均交易量、系统峰值和异常交易特征等定位风险阈值，进而推进银行建立符合自身的IT风险管理体系，构建标准的IT风险监控指标和标准化的工具。

 

　　随着对数据的管理从仅局限在信息系统层面，扩展到整个银行的业务运营和风险管理流程；对数据的认识，从单纯信息转变为银行的重要资产；数据的作用，从支持业务运营的大后台，走向引领业务发展的最前台。笔者相信：数据，通过对其有效的管理与分析，将会成为银行完善自身、实现增值的重要助推器，同时，也将为银行日常的IT风险管理提供丰富的数据视图，通过数据分析，商业银行可以总结和寻找出适用于自身IT系统架构的IT风险源，建立科学的IT风险识别、度量、监测和管控体系和方法，促进商业银行安全、持续、稳健运行，推动业务的创新发展。