中国商业银行风险管理系统研究报告

1、商业银行风险管理系统研究报告商业银行风险管理系统定义及发展背景目录C O N T E N T S定义及研究范围银行风险管理发展历程及政策背景银行风险管理组织架构研究意义：银行风险管理信息系统重要性需求侧：商业银行风险管理体系现状理念：风险偏好银行风险管理理念及起点业务：零售业务、对公业务、信用卡业务系统：全行汇总及报告系统类别风险：信用风险、市场风险、操作风险总结：各类银行风险管理需求现状对比供给侧：银行风险管理系统服务商分类及竞争力分析银行风险管理服务商图谱第一类：银行信息系统服务商第二类：技术导向型金融科技企业第三类：银行金融科技子公司第四类：互联网公司商业银行风险管理发展趋势趋势一：指标

2、统一是趋势、管理细化是过程趋势二：风控中台落地可行性趋势三：业务、成本、风险一体化融合1.商业银行风险管理系统定义及发展背景商业银行风险分类及报告研究范围商业银行：中华人民共和国商业银行法规定，商业银行是指依照本法和中华人民共和国公司法设立的吸收公众存款、发放贷款、办理 结算等业务的企业法人。基于本报告研究特点，亿欧智库将商业银行按照类别主要分为：国有大型商业银行、股份制商业银行、城商行、农商 行等。商业银行全面风险共涵盖九大风险：系统性风险、商业风险、合规与法律风险、战略风险、声誉风险、信用风险、操作风险、市场风险和流动 性风险。本报告研究范围：根据银监会制定的商业银行资本管理办法和巴塞尔协

3、议规定，本报告重点研究范围是银行的三大核心风险：信用风险、 操作风险、市场风险。操作风险（约15%-30%经济资本抵御该风险）由不完善或有问题的内部程序、员工和信息科技系统、以及外 部实践所造成损失的风险。信用风险 (超过50%经济资本抵御该风险)因借款人或交易对手未按照约定履行义务从而使本行业务发生 损失的风险。市场风险（约5%-10%经济资本抵御该风险）因市场价格（利率、汇率、股票价格、商品价格）的变动而 使银行表内和表外业务发生损失的风险。商业风险合规与 法律风险战略风险系统性风险声誉风险信用风险市场风险操作风险流动性风险风 险 控 制 难 易 程 度易难数据来源：公开资料整理、亿欧智库

4、监管及政策是银行风险管理发展的主要推动力巴塞尔协议是巴塞尔委员会制定的在全球范围内主要的银行资本和风险监管标准。巴塞尔协议的三个支柱包括：最低风险资本要求、资本 充足率监管和内部评估过程的市场监管。自2003年银监会成立以来，中国商业银行风险监管体系逐步成型完善，监管理念、方法、手段不断改进，监管的有效性在不断提高，监管方式也从合规监管为主逐渐发展为风险为本、合规监管并重的科学监管体系。1988年巴塞尔协议I提出阶段1996年巴塞尔协议I调整阶段：市场风险修正案2003年巴塞尔协议II公布：首次提出三 大支柱（信用风险、市场风险、操作风 险）；引入内部评级法等高级计量法中国银监会成立2011年

5、巴塞尔协议III出台：提高资本质量要 求，增加监管指标银监会制定符合巴塞尔协议III要求的中国银行业实施新监管标准指导意见2016年银监会制定银行业金融机构全面 风险管理指引，对原有标准和体 系的制度化2023年巴塞尔协议：后危机时代监 管改革最终版执行阶段典型银行风险管理组织体系：由分行到总行，双线报告基于银行业务的三大特点，银行需具备比一般企业更强大的风险管理能力，以便及时发现、防御、控制和转移风险。银行风险组织体现严格，但各银行具体风险管理归属部门上存在差异，部门风险类型由多个部门监管。风险管理部一般设置到一级或二级分行，实施双线报告（向上级风险部门报告的同时报告本层管理者）。董事会信用

6、风险风险管理部流动性风险审计与管理交易控制委员会市场风险风险管理部 信贷管理部 授信执行部资产处置部零售银行部风险管理部 资产负债管理部金融市场部操作风险风险管理部 内控合规部 运营管理部 安全保卫部法律事务部科技部风险管理部 资产负债管理部金融市场部风险管理委员会高级管理层 总行一级部门一级分行管理层二级分行管理层支行管理层一级分行风险管理部门二级分行风险管理部门分行总行特点一自有资本占全部资金来源的比重 很低特点二银行的经营对象是货币，并且是 有特殊信用创造功能的货币银行是市场经济的中枢，其风险 对外部环境产生的负面效应很大特点三银行风险管理三大特点领导 机构信息系统是银行智能化发展的基础

7、，也是银行风险管理的核心组成部分中国银行业经历了电子化、信息化、移动化和数字化等多个发展阶段。头部银行已率先从数字化中获益，并开始向智能化发展，而中小银行正 在掀起一股数字化浪潮。巴塞尔委员会强调银行需要建立一个完善的管理信息系统，进而在银行内部形成一个包括信息上报、信息下达以及内部信息横向传递的沟通渠 道。巴塞尔委员会将银行全面风险管理看做决策系统、信息系统、执行系统和监督系统组成的有机体系。因此，风险管理框架完善与否在很大 程度上取决于它所包含的各个子管理信息系统是否健全和有效运行。银行管理信息系统是以客户为中心、以风险管理为基础、以实现风险调整收益最大化为目标的一体化信息管理架构。这个系

8、统由一系列相互关 联的部分组成，共同完成组织内外环境的信息收集、存储和处理，以支持组织的计划、管理、决策、协调和控制。电子化信息化移动化数字化电子化及信息化发展阶段按照整个银行 的监管和合规规定，主要集中业务流程 系统的建设。发展及沉淀时间较长，系 统已经相对完善。移动化及数字化发展阶段注重银行各个系统之间的打通、配合和 协同，倚赖数据赋能各个业务流程。将商业大数据嵌入及应用在 各个环节和流程中，不改变业务本身的操作流程。最终，银行将 逐步走向智能化。数字化、智能化进程将逐步演化、自然完成。1110001智能化02. 需求侧：商业银行风险管理体系现状理念：风险偏好是商业银行全面风险管理的逻辑起

9、点及主线风险偏好是商业银行全面风险管理的逻辑起点，是银行整体发展战略在风险管理领域的具体体现，由董事会基于业务发展战略确立银行集团风 险管理总目标。风险偏好的设定、传导、执行和反馈，构成了全面风险管理的主线。风险偏好与限额管理将促使商业银行充分认识自身风险承 受能力与风险管理水平，对发展战略与资本规划的有效落实有着重要意义。国际银行业中，澳大利亚国民银行和美国花旗银行在风险偏好建设上较为成熟，通过量化数据构建了一套完整的风险管理体系，实现了风险偏 好设定与银行战略定位的一致性。中国商业银行一般通过风险偏好制度明确偏好的制定、实施、监控、调整等环节和流程。其中，大多数商业 银行每年都会制定风险偏

10、好陈述书，并将其列为董事会及董事会风险管理委员会审议事项。确定风险 治理目标识别风险 承受能力传导风险偏好确定业务战略目标确定风险承担理念设置风险限额风险偏好界定指银行愿意承担的风险程度和特点，应与 业务战略和外部环境相适应，需定期审阅 保持与业务发展战略一致性。风险容忍度银行根据风险类型或者量级对每一类类别 风险所愿意承受的最大限额。风险目标银行为实现其业务战略和目标并在其风险 偏好和容忍度范围内所愿意承受的最理想 的风险水平的清晰阐述。风险限额信用风险限额市场风险限额操作风险限额客 户 授 信 限 额地 区 授 信 限 额行 业 授 信 限 额产 品 授 信 限 额单 笔 交 易 限 额组

11、 合 交 易 限 额货 币 交 易 限 额金融 衍生 品交 易限 额商 品 交 易 限 额对 手 交 易 限 额股 票 交 易 限 额商 业 银 行 风 险 偏 好 结 构 示 意 图来源：银行家的全面风险管理：基于巴塞尔II追求银行价值增值理念：银行风险管理“三道防线”相互制约、互为补充“三道防线”是商业银行加强全面风险管理，完善内部控制架构的重要措施。经过多年实践，愈来愈多的商业银行尝试并践行“三道防线”风 险管理保障机制。“三道防线”是一个相互制约、互为补充的立体式完整机制；融合了前、中、后台的部门和人员，实现信息共享、联动互动、合理覆盖，才能建立有效的全面风险管理体系，切实提升经营管理

12、水平。第一道防线银行业务条线第一道防线是业务最前端，在办理业务 时，做风险的管理和控制。依托业务系 统去完成第一道防线的风险管控。比如 信贷业务，依托信贷管理系统去完成风 险管理；比如金融市场业务，依托相应 的资管业务系统。在整个业务经办的流 程中提供风险管理的监测、识别等。第二道防线银行中台管理部门第二道防线主要指中台管理部门，以风 险管理部门牵头的资产负债管理部、财 务计划部等。偏向全面的审视，包括制 定及监测制度、标准、管理流程等，出 具一定的模型进行风险量监测。第二道 防线中的风险管理信息系统一般围绕某 些类别风险或者细分领域的专项风险。第三道防线银行审计部门第三道防线主要指银行的审计

13、部 门。在全行层面上，重新去审视 各个环节包括一道防线、二道防 线，验证风险管理体系的有效性。 从另外一个视角去看风险管理流 程的审计结果。信息系统覆盖全 行层面。银行支行/分行支行是银行的第一线，也是银行的直接对外窗 口。分行处于总、分、支三个体系里的中间， 以省级为单位建立，负责全省所辖的支行业务 统筹和管理。目前，中国的商业银行分为：总行-分行-支行，三个层级。规模较大的银行划分为：总行-省级分行-地级市分行-支行-分理处。银行总行总行职能是统辖该银行系统内所有业务，包括政策制订、业务规范、分行业务的可行性审批等，涵盖 全国乃至境外业务。总行一般设置风险管理委员会负责全行层面的风险管理工

14、作，与分行的风险管理部职能存在差异。业务条线与类别风险管理条线构成银行风险管理体系的两条主轴按照银行典型且核心的业务类别进行分类，可分为零售业务、对公业务（含同业等）和信用卡业务（信用卡业务因其循环信贷和支付特点，单 独分为一类业务）。金融市场业务主要涉及与金融机构的同业业务，可归为对公业务的其中一部门。风险管理信息系统伴随银行业务系统建设及监管要求，可分为嵌入业务系统的风险管理决策执行系统和全行级的汇总报告系统两类。零售业务对公业务信用卡业务业务条线嵌入银行 业务系统 风险管理 执行系统此类风险管 理信息系统 融入银行各 个业务流程， 与银行业务 系统同时建 设和运行市场风险管理系统操作风险

15、与内控合规 管理系统内部评级管理系统押品管理系统全面风险管理平台信用风险管理系统零售/对公内部评级 系统全行级全 业务口径 风险管理 汇总报告 系统全行 级风 险管 理条 线数据导入数据采集贷前调查信用评估授信评审专业审批贷后管理业务受理调查评级授信审批放贷审核贷后管理客户准入决策批核发卡用户额度管理还款催收业务涉及风险类型业务涉及风险类型第 二 道 防 线此类信息系统目的：支撑银行业务发展此类信息系统目的：满足风险管理监管要求信用风险：高市场风险：低操作风险：中信用风险：高市场风险：中操作风险：低业务涉及风险类型信用风险：中市场风险：低操作风险：高第 一 道 防 线12业务：零售业务和对公业

16、务贷款流程相近，而风险管理侧重点差异较大商业银行授信风险管理理论上包括风险识别、计量、监测、控制四个基本环节。具体到单一授信业务风险管理流程，通常包括贷前调查，信用 评估（授信内部评级、授信尽责审查）、授信评审、专业审批、贷后管理（包括贷款支付、不良授信资产管理）等。零售业务和对公业务的贷款流程大致相同，在信用评估和授信评审环节存在差异。零售业务会通过分池、评分卡等对客户进行分层评级；对公业务侧重单笔单批审批，每个客户拥有差异化、个性化评级。贷前调查信用评估授信评审专业审批贷后管理风险识别与计量风险监测与控制贷款支付授信政策准入政策客户申请身份校验反欺诈高风险中风险低风险回捞模型拒绝通过合同签

17、订贷款发放贷后管理回收与处置拒绝人工审批申请评分卡授 信 业 务 风 险 管 理 流 程零售业务业务包括：个人贷款业务（房贷、车贷）；消费信贷； 个人经营性贷款。零售业务的特点是小额分散，可以通过大数据和决策 模型进行风险管理。侧重自动化审批和组合管理，通过数据特征进行分池，同池的客户分享同一个客户评级。首先做业务受理，发起评级请求，调用内评系统，选择担保手段等；每笔贷款申请用时较长。对公业务业务包括：信贷对公业务；中小企业业务；小微企业。单笔金额较大，数量较少；侧重单笔单批，单个客户拥有自己的差异化评级。13业务：中国信用卡业务风险管理仍有完善空间，半年未偿还债务总额逐年递增信用卡业务因其循

18、环信贷和支付特点，将其单独分为一类独立业务。同时，银行信用卡业务属于高收益、高回报类型业务。信用卡业务涉及操 作风险及信用风险较多。信用卡业务发展依赖于征信体系，发展迅速，截至2020年末，信用卡卡均授信额度从2016年的1.96万元增加至2.44万元，银行卡授信总额为18.96万亿元。同时，半年未偿还债务总额也在逐年增加，从2016年的535.68亿元增加至2020年的838.64亿元。663.11788.61742.66838.64535.681.962.122.242.332.4401234569008007006005004003002001000201620172018半年未偿还贷款

19、信贷总额（亿元）20192020信用卡卡均授信额度（万元）操作风险欺诈风险信用风险欺诈风险属于操作风险其中一项。因其在信 用卡业务中风险较高，进行单独说明。目前， 虚假申请和商户欺诈成为信用卡发展过程中 的极大隐患。冒名及虚假申请、伪造卡、遗失卡或被盗卡、特约商户欺诈信用卡的操作风险涉及市场营销、信贷审批 程序、制作、行政支持、客户服务、支付收 款等环节。发卡机构内部员工疏忽大意等内部失误审批政策及后续流程漏洞疏忽相关配套软硬件设备安全性低信用卡的信用风险特指持卡单位或个人在用 卡透支后，不能按信用卡章程规定的期限或 事前协定的透支期限，归还透支本息所产生 的风险。恶意透支、虚假挂失、利用信用

20、卡透支 金额发放高利贷数据来源：中国人民银行、亿欧智库亿欧智库：2016-2020年全国银行信用卡年均授信额度和半年未偿还贷款信贷总额系统：全行级风险管理汇总报告系统分类总览全行级风险管理汇总报告系统适用于银行第二道防线，目的是满足监管要求，汇总及报告全行整体类别风险及全面风险情况。第二道防线针对风险类别审视全行风险，集中于信用风险、市场风险和操作风险。各个类别风险由各个子系统组成，形成类别风险管理的系统 群，覆盖全行各类业务，评估各类业务风险管理的有效性，并且对第一道防线的风险管理进行完善和弥补。例如：全行级的预警系统，不仅是 审视某一类业务，涵盖全资产、全业务口径和全客户口径的风险预警。同

21、时，第二道防线更关注组合层面的、跨业务层面的关联风险。信用风险市场风险操作风险其他风险风险类别风险加权资产RWA计量系统全行级风险预警系统金融市场估值系统市场风险管理系统信用风险预警系统押品管理系统非零售内部评级系统零售内部评级系统内部评级系统 操作风险与合规内控管理 系统反洗钱系统会计风险监控系统 现金流预测系统 全面风险管理平台统计分析报送系统系统：全行级风险管理汇总报告系统架构，核心是数据+计量信息系统和数据是支撑银行风险管理的核心基础设施，为高效、准确的风险管理系统提供保障。信息系统架构通常包括三个核心层次：数据层、计量层和应用层。数据层分为数据仓库和风险数据集市；计量层和应用层包含工

22、具类模块和应用类模块。风险偏好模型风险预警模型集中度计量模型压力测试模型应用层计量层数据层WIND黑名单行为数据其他数据数据仓库（DW）内部数据外部数据数据补录核心系统票据系统信贷系统理财系统同业系统其他系统风险数 据黑白名 单风险数据集市信用风险数据集市市场风险数据集市操作风险数据集市监管集市报表集市风险限额模型应用支撑层资产质量试图金融市场业务试图集中度风险视图资产质量排名预警分析试图预警分析试图风险偏好风险限额风险预警压力测试操作风险管理风险偏好指标设定风险偏好制定风险偏好审批风险偏好监测历史指标查询风险限额指标设定风险限额参数管理风险限额审批风险限额监测历史指标查询预警指标管理预警规则

23、管理预警信号生成预警处理下方预警处置反馈宏观指标管理压力情景设置压力情景生成压力测试结果报告风险评估报告关键风险指标KRI损失事件收集整改LDC风险与控制自我评估RCSA风险报告风险仪表盘定期报告报告查询报告导出辅助功能指标计算引擎报表引擎流程引擎用户/角色/权限管理数据导入模板上传其他模型展现层完成数据的归集、整合、加工计量模型应用层指令触发传导至计量层工具类模块： 基础分析功能应用类模块： 解决使用者特 定需求应用层基于结果的对比、归因、追溯分析数据集市对该主题相关的数据进行集 中管理和表结构重构，并完成复杂的 数据加工工作，为上面的风险管理分 析工作提供支持。系统：风险数据仓库和风险数据

24、集市是银行风险管理体系的基建之一商业银行是数据密集型机构，拥有海量的金融基础数据，且必须对数据实施统一管理，形成共建共享的资源池。中国银行业监管机构要求，商 业银行应当系统性地收集、整理、跟踪和分析各类数据（即对数据进行预处理），建立数据仓库，风险数据集市，以获取、清洗、转换和存储 数据，并建立数据质量控制政策和程序，确保数据地完整性、全面性、准确性和一致性，满足资本计量和内部资本充足评估等工作地需要。大多数中国商业银行出于对风险管理应用的需求，会在数据仓库之上建设以需求或应用端出发的数据集市，建立特定主题集市，对与该主题相 关的数据进行集中管理和表结构重构，并完成复杂的数据加工，为上层的风险

25、管理等分析工作提供支持。数据源源系统核心系统信贷系统票据系统资金管理 系统 风险应用零售打分卡零售分池 非零售PD 数据平台操作性数据 ODS (EDS/EAL)数据仓库（DW）一种常用的数据储存技术， 与数据库和专门用于储存 数据的仓库有相似之处； ODS只存放当前或接近当前的数据。数据仓库是一个集成的、 面向主题的、稳定的、时 间性的数据过程，其功能 主要是支持决策系统。风险数据集市数据存储服务缓 冲 层整 合 层计 量 层接 口 层数据交换服务数据加载区数据下发区数据处理服务任务监控 任务管理 调度引擎应用系统零售评级系统非零售 评级系统市场风险 管理系统操作风险管理系统流动性风险 管理

26、系统RWA系统其他集市数据安全、备份恢复、系统监控、运维管理大型商业银行大多数大型商业银行已经建立 了数据仓库和风险数据集市， 例如：股份制银行多数已经建 立全行级的数据仓库。这类银 行对于数据层的需求多集中于 进一步的数据仓库和数据集市 的改善和完善，需求不仅是数 据汇总，更多是提供数据的增 值服务，客户画像、跨部门分 析、归因分析等。中小型银行区域性小型商业银行多停留在 数据预治理、数据仓库建设层 面，有很多小型银行还未开始 风险数据集市的建设，但至少 会使用ODS一类的数据储存 技术。中国商业银行数据层建设现状类别风险：信用风险管理是现代商业银行经营管理的中心环节1.45%1.48%1.

27、30%1.30%3.20%2.85%3.67%3.92%0.0%1.0%2.0%3.0%4.0%5.0%农商行国有大行股份制银行2020年不良贷款率%城商行2020年贷款拨备率%农商行城商行股份制银行 国有大行最大十家客户贷款比例信用风险是几类典型银行风险中，最主要、最复杂的风险种类。因此，银行对信用风险的管理是现代商业银行经营管理的中心环节。信用风险 管理是管理思维与技术思维的交融化解存量贷款风险、防止潜在风险资产劣变的同时，又要确保新增信贷业务的质量。亿欧智库通过不良贷款率、贷款拨备率、单一最大客户贷款比例、最大十家客户贷款比例等信用风险指标拆分不同类别银行的信用风险管理效果；通过公司贷款

28、占比及个人贷款占比分析不同类别银行信用风险系统建设的不同侧重点。国有大行、股份制银行、城商行、农商行（数据仅统计A股上市商业银行）平均不良贷款率及贷款拨备率趋同，范围在1.30%至1.48%左右； 其中低于1%的有邮储银行、宁波银行、南京银行、厦门银行、常熟银行、沪农商行，高于2%的是郑州银行。城商行及农商行平均最大十家客户贷款比例超过20%，远高于国有大行及股份制银行平均水平。亿欧智库：四类A股上市银行不良贷款率及贷款拨备率平均值数据来源：亿欧智库如数据评估所有银行，城商行及农商行的不良贷款率高于国有大行及股份制银行，但因数 据统计仅包含A股上市商业银行，样本以头部优质的上市城商行及农商行为

29、主，所以数据结 果不具有充分代表性。类别风险：信用风险管理系统需求因银行业务布局不同存在差异贷款业务是商业银行涉及信用风险的核心业务。因此，银行的贷款业务占比及分布直接影响银行信用风险管理系统的建设及发展重心。银行的贷款总额分别包括个人贷款、公司贷款、票据贴现。其中，票据贴现在银行贷款总额中体量较小，一般不超过10%，因此，银行贷款业务侧重点围绕个人贷款和公司贷款展开。国有大行及股份制银行平均个人贷款占贷款总额的42%左右，公司贷款占比在53%左右，这类大型银行个人贷款占比相对较高，但公司贷款业 务仍占较大份额；城商行及农商行个人平均个人贷款占比未超过35%，公司贷款占比围绕60%。因此，城商

30、行及农商行这类小型银行的公司贷 款业务占比高于国有大行及城商行。大型银行及小型银行信用风险系统需求存在明显差异。其中，公司贷款占比超过70%的银行为成都银行、贵阳银行、青农商行、无锡银行。个人贷款占比超过50%的银行为邮储银行、平安银行、 招商银行、常熟银行、瑞丰银行。42.0%42.3%33.2%34.7%53.5%53.0%60.8%57.2%个人贷款公司贷款国有大行股份制银行城商行农商行数据来源：亿欧智库类别风险：市场风险专业性要求高，基于应用建立数据集市为其显著特点银行市场风险管理框架应与其市场风险水平相适应，与银行的业务性质、规模和复杂程度相适应，组织实施市场风险的识别、计量、监测、

31、决 策和控制、监督检查和报告。市场风险定量管理必须以完善的管理信息系统作为基础，综合考虑主要市场因子变化带来的市场风险，同时考虑银行账户、交易投资账户中所有潜在市场风险。市场风险通常是在全行层面进行管理，一般总行才会建设市场风险管理信息系统，对应到总行的金融市场部。此类风险专业性较高。输 出输 出输 出输 出市场风险价值模型VaR值计量压力测试限额管理回溯测试市场风险控制风险对冲限额管理市场风险指标监测聚类分析法因子分析法人工神经网络法模糊识别法市场风险识别市场风险计量市场风险监测市场风险控制主动探究风险来源、基本性 质、基本类型、影响范围， 找到风险的主要驱动因素分析计量市场因子不利变化 而

32、导致的损失大小及其变化制定风险指标和按时按期监测指标与市场变化确立和遵循风险管理原则、 以及避险策略等行为，对风 险进行再分配和转移数据应用外部数据内部数据市场风险不仅基于外部市场数据，同时也采用银行内生数据外部数据包括：利率汇率、敏感性数据、波动数据等内部数据包括：金融市场业务数 据（债券投资、外汇买卖、回购 逆回购等）市场风险数据集市特点：基于应用建立数据集市实际银行建设中，系统建设往往由科技部门牵头，导致市场风险数据集市并 没有提供业务交互的窗口。但是，从市场风险的角度出发，与业务的交互应 用非常频繁，比如说风险因子的调换，收益率曲线变动等，并不只是提供数 据。只有做好相应的市场限额等配

33、置，才能满足市场风险管理的需求。市场风险数据集市建立应纯粹基于市场风险管理应用，而不是基于某一个统 一的数据平台再去建立一个数据集市。即使是使用同一源数据，其运用维度 和颗粒度也存在不同。类别风险：操作风险量化难度高，监管要求突出深化量化标准操作风险可具体分为七大类型：内部欺诈风险；外部欺诈风险；客户、产品与商业行为风险；执行交割和流程管理风险；经营中断和系统错误 风险；雇员行为与工作场所管理风险；贯穿每一个交易和每一个业务的全流程。根据国内市场对于商业银行操作风险损失案例统计，超过50% 的操作风险损失案例由内部欺诈行为引发。操作风险是三大风险中涉及业务范围最广、最难量化的一类风险，监管要求

34、从基本指标法到标准法，到高级计量法，到新标准法，都围绕如何 将操作风险量化进行修改和调整，向准确又不“过度模型化”的方向发展（过度模型化会指量化复杂度上升，但量化效果并未达到预期且普适 性降低） 。基本指标法标准法高级计量法新标准法量化复杂度优点缺点最简化系数与银行业务更贴合过度模型化量化基于历史数据平衡精准与可实操缺乏敏感性基本指标法的延申，缺乏敏感性精确程度相对高级计量法较低统一系数使用统一的15%阿尔法系数 乘银行的营业数据。例如： 营业额等框出操作风险的水 平。该阿尔法系数是巴塞尔 委员会调研了全球的主要银 行的一个平均标准。系数细化根据全球银行，将银行的业 务分成八个业务条线，例如：

35、 零售银行、批发银行等。因 为每个业务的属性、风险系 数不同，推出了Beta系数， 比指标法的阿尔法系数更进 了一步。建立模型基于历史的损失数据，关键 风险的指标，做复杂的建模， 最终汇总数据进行统计。国 内只有少数银行，例如：建 行、工行做了自己的损失数 据库。2017年巴塞尔委员会停止了使用高级计量法。损失数据分导结合高级计量法里可操作可 落地的特色。新标准法包含 两个要素：一个是业务收入 的要素，一个是风险陈述的 要素。将损失数据做分导， 搭配系数合算法模型。三大类别风险在市场中的风险量化难度、信息系统建设复杂度、涉及业务范围不同市场风险风险量化难度信息系统建设复杂度涉及业务范围操作风险

36、风险量化难度信息系统建设复杂度涉及业务范围信用风险风险量化难度信息系统建设 复杂度涉及业务范围信用风险历史悠久，授信环节流程复杂，涉及信息系统数量较多，导致信用风险信息系统建设复杂度高。同时，信用风险系统涉及的模型不论 是构建模型的数学原理，还是所需要的数据，都比市场风险模型更为复杂。构建信用风险模型的LGD数据通常需要用到至少5年以上的违约贷款 回收的历史现金流数据，维护数据质量的工作繁琐且复杂。市场风险专业性要求高，发展历程较短，涉及业务范围较少。市场风险模型通常高度依赖市场数据，系统建设相对更简单、透明。操作风险因涉及银行全业务口径和全流程，定量难度高，但是风险定量逻辑清楚，因此系统建设

37、难度较低。高中低总结：大行侧重全面风险管理，从“有”到“优”进阶；小行侧重信用风 险管理国有大行、股份制银行等规模较大的商业银行因其风险管理体系发展历程长、组织架构完善、业务种类多元等背景，注重全面风险管理，管理诉求更精细化、更深层次、更多维度。整体上，大型银行全面风险管理正从“有”到“优”进阶。以城商行、农商行为代表的小型商业银行风险管理系统分散且未形成全面管理体系，正在经历从“有”到“全”的发展过程。侧重：信用风险管理重视：全面风险管理业务类型较少，涉及到的相关金融 衍生品种类较少。更关注于信用风险的建设与管 理；市场风险管理的建设需求 并不迫切，市场风险专业要求 较高，不会投入太多力量建

38、设 市场风险管理系统等。城 商 行农 商 行业务全面；各个类别风险是划分到 各个部门下去管控和建设。关注全面风险及所有类别风险， 重视信用风险、市场风险、操 作风险和流动性风险。各个类 别风险划分到各个专业部门关 注及管理。国有 大行股份 制银 行规模越小的银行信用风险的权重占风险 管理部的权重会越来越重。大行的风险管理部划分信用风险部等； 小行的风险管理部，只会划分某几人负 责某个类别风险。小 型 银 行大 型 银 行风险的组合、穿透、关联第一梯队股份制银行的风险管理体系已经发展多年， 不存在类别风险系统及体系缺失的问题。诉求更高阶、更精细化、更深层次：数据维度的丰富 和深化。大多数大型银行

39、已经建立数据仓库和数据集市。“有”到“全”系统层面的管控手段较为薄弱，完整性较低，面临从 “有”到“全”的问题。是否需要延续大行类别风险大量的系统群，或会发挥 后发优势，从上到下进行整体及全面风险管理规划。总结：各类银行风险管理侧重点对比风险管理文化国有控股商业银行股份制商业银行城商行、农商行管理组织特点管理效果比较两级分化较大，股份制银行在风险管理投 入较国有控股银行少，较难做到事前防范 和控制。突出事后管理，大部分城商行及农商行在 风险管理上多缺乏主动性。多重视业务拓 展，风险重视程度相对较低。突出事前防范，主动寻找风险，通过有效 的识别和计量，在经营活动开展前完成风 险控制工作。风险管理

40、部门大多管理制度完整度较低。 一般没有建立完整的全面风险管理组织体 系，有些仅设立了全面风险管理委员会， 委员会下设了信用、操作和流动性风险管 理小组，小组成员由相关部门人员组成。一般都会建立全面风险管理委员会，在全 面风险管理委员会下设信用风险管理委员 会、操作风险管理委员会、流动性风险管 理委员会；各专业委员会均有明确的主管 部门。风险管理基础较为薄弱，只有部分头部城商行及农商行设立了全面风险管理委员会，没有设立独立的信用、操作及流动性风险委员会。且全面风险管理委员会偏重于信用风险管理，弱化流动性及操作风险管理。风险管理的链条较短，风险管理的效率较 高。当经营规模的逐步扩大，目前较为简单的

41、 风险管理体系存在缺陷也将逐步暴露，难 以适应未来风险防范的需要。无论是组织架构、业务流程还是风险管理 技术运动都比较严谨和科学，风险控制基 础较好。制度执行力偏弱，制度执行过程中人为因 素太多，导致系统发挥不了作用；容易发 生案件和重大违规问题。经营风险较高，体现在城商行及农商行的整体 平均不良贷款率、百万元以上的发案率要远高 于国有控股商业银行和股份制商业银行。自身风险管理能力较差，缺乏完整、科学及严 谨的风险管理体系。不同性质商业银行在风险管理的文化，组织、流程及效果上都存在明显不同。国有控股银行在风险投入和专职风险人员配备上都有明显优势，因此对风险管理组织架构完善，效果较为规范和严谨；

42、股份制商业银行自身风 险管理存在差异化，因此风险管理组织架构汇报流程等都存在多种形式，总体而言风险管理投入较国有控股商业银行低，链条较短；城市商业 银行较少成立专业的风险委员缺乏完整完善的管理体系。3. 供给侧：银行风险管理系统服务商分类及竞争力分析四类企业服务银行风险管理系统底层嵌入业务 的风险管理 执行系统全行级 风险管理汇总报告系统银行信息系统服务商需求侧：商业银行的风险管理信息系统分为嵌入业务系统的风险管理执行系统和全行级风险管理汇总报告系统。此外，由于近年金融科技新技 术不断发展和突破，演变出科技智能风控管理层，这一类别主要应用金融科技手段赋能银行风险管理流程。供给侧：基于上述银行信

43、息系统建设及发展需求，延伸出四大类具备竞合关系的服务商。技术导向型金融科技公司互联网公司上层科技智能 风控管理银行金融科技子公司银行信息系统服务商：产品及服务大而全，深度嵌入银行业务银行信息系统服务商是最早为银行信息系统建设提供服务的一类企业，与银行合作偏重传统业务环节。与银行合作嵌入深，为银行提供系统开发的工作。信息系统建设更偏重功能性需求，且业务复杂程度高。此类信息系统服务商核心优势是拥有存量的客源；技术及产品覆盖范围广，基本覆盖银行风险管理各类子系统及各个细分领域，可以为银行提 供体系化风险管理方案并落地；软件工程及项目实践经验丰富；工程领域人才梯队储备完善。这类信息系统服务商团队庞大，

44、公司员工大致范围在几千人到几万人不等，为银行提供项目咨询、开发、落地、驻场及后期系统维护升级等全 流程全方位服务，服务内容涵盖人才、技术、产品等。03040201合作方式：承接银行项目需求一般合作方式是银行提需求，信息系统服务商派项目经理 承接需求并负责项目落地。多数是承接一些系统建设和系 统优化的需求，包括业务流程系统的底层软件工程和汇总 型系统和平台。系统也会做新的模型（分析和计算），但 技术相对初级。深度嵌入银行业务，偏重功能性需求和银行合作更偏重业务环节。这类信息系统服务商最早开 始服务银行的业务系统和核心系统，注重各类系统建设， 例如：开户系统、账户系统、手机银行系统、结算系统等。

45、这类业务系统偏重功能性的需求，且业务复杂程度高，但 是并不突出强调智能化和技术的要求。优势：服务广而全；软件工程人才梯队完善服务相对全面，基本覆盖所有细分领域，并不是专注在某 一个细分领域上。可以给银行前、中、后台提供服务，更 好的贯通风险管理体系，提供体系化的全栈、全域服务。 系统底层的软件工程领域工程经验丰富，项目管理和人才 梯队经验及储备完善。劣势：利润低；需求增长点少；人才流失此类信息系统服务商服务银行底层信息系统建设，服务较 “重”且人才服务投入较高，多重原因导致其利润较低。同时，较多大型银行系统建设发展至今已经相对完善，系 统服务商难以有较高的需求增长点。银行信息系统服务商作为金融

46、科技人才的“黄埔军校”，受到新型市场进入者冲击，人才流失严重。技术导向型金融科技企业：侧重风险管理智能化和技术化，深耕纵深领域技术导向型金融科技企业可以分为三类：大数据服务商；科技赋能（AI等）企业；提供建模能力的企业。这三类企业在服务银行时都集中上层 智能化应用领域，通过新兴技术赋能银行风险管理各个流程。对于下沉到信息系统建设板块，这些企业因其“小而精”的特点，较难服务底层 软件工程领域及承接大型信息系统建设项目。伴随金融科技新技术发展，风险管理将通过更精细化、更体系化地数据驱动方式，更即时、高效地对风险进行早期识别和计量。01 大数据服务商依托于数据服务的提供商，数据治理公司， 拥有大量的

47、数据，基于数据分析辅助银行 风险管理决策03 提供建模能力的企业拥有核心的风控建模团队，可以和银行 进行联合建模，模型往往是银行风险管 理领域核心技术，含金量高02 科技赋能类企业通过AI、图数据库等等新兴科技，赋能 风险管理各个环节，更有效地做风险早 期识别和计量多集中反欺诈、AI机器学习、知识图谱等领域。这些领域均与零售信贷业务强相关，因为零售业务超过95%为线上业务。纵深领域-小而精新兴技术应用实际掌握新兴技术的一类企 业，通过AI、图数据库、深 度神经网络等技术介入智能 化领域，赋能风险管理各个 环节，包含风险识别、计量、监测、报告控制。注重风险实时监控和早期识别等。因为不涉及银行业务

48、系统的 工程改造，只需要通过科技 赋能各个环节，所以科技企 业提供的服务较“轻”，迭代及更新速度最快。业务及技术能力迭代快一个大型银行软件工程项目 多则需要几百人的团队。新 兴金融科技企业对此类工程 体量项目的接纳能力，相对薄弱，实践经验也较少，对银行业务的了解较浅。难以承接银行底层 系统建设需求与银行合作处于被动地位入局较晚，与银行达成合作 门槛较高。银行往往需要通过POC测试等方法检验此类公司的能力。“另类玩家”银行金融科技子公司：依托母行实践经验，辐射其它同业银行金融科技子公司目前以服务本行的业务为主，长期规划是向同业输出科技能力。银行希望将自身原本作为成本中心的科技部门转化成可以盈利的

49、利润中心。目前，部分银行金融科技子公司，例如：建信金科、工银科技、民生科技、兴业数金、金融壹账通等已经开始向同业输出服务。特点目前，这些银行金融科技子公司还是服务于本行的业务为 主，长期规划是向同业输出科技能力对银行业务类型及流程熟悉，服务内容综合度高，考量维度广依托母行积累了大量风险管理实践经验，具备大型系统的 规划能力、架构的设计能力创新及技术迭代速度对比新兴科技企业较缓，人力成本相 对较高“身份”问题即是优势也是短板：优势在于银行“派系”可资源协同，短板在于银行“派系”也有竞争。金融壹账通金融壹账通作为中国平安集团的联营 公司，依托中国平安集团的业务经验， 向行业输出解决方案和科技能力。

50、智 能风控解决方案覆盖零售及对公智能 风控领域，产品包括场景化贷款解决 方案、数字风控全流程技术解决方案。iRisk风险管理平台等。兴业数金兴业数金是银行金融科技子公司中 较早开始向同业输出数据和服务的 子公司。目前，服务于母行为主， 同时，向小型银行，例如：村镇银 行（深圳银行）等科技能力较弱的 银行，为其提供托管业务。银行金融科技子公司将成本中心转化成利润中心一方面满足银行自身的业务需要，服务银行自身的系统迭 代升级，同时输出科技及技术能力给其它银行。科技部门 不仅可以是银行的成本中心，亦可转化成银行的利润中心。银行避免过度依赖第三方服务对于新兴科技及技术，银行希望自己掌握主动权，避 免过

51、度依赖第三方影响银行科技长期发展脚步。建信金科建信金科相比其它银行金融科技子公 司，服务银行案例较多。建信金科拥 有额度增信、贷后预警等数据分析和 模型建设能力，因其依托建设银行的 背景，在竞标系统建设时，优势明显。银行 金融科技 子公司银行互联网公司：输出整体解决方案，风控是解决方案中的一个场景互联网巨头不仅通过投资等手段入股银行信息系统赛道，例如：腾讯、京东、阿里、百度等均投资/合作信息系统服务商。同时，会与生态伙伴共同为银行提供整体解决方案，多与私有云业务相结合。互联网企业依据其丰富的生态，海量的数据积累，领先的数据挖掘、治理、分析等优势，配合其资金、人才团队等资源，将金融风控领域此类

52、倚赖数据的业务作为其核心战略布局。互联网公司技术能力 互联网公司可依据自身的平台、技术、数据 分析能力，管理供应商、卖家的信息流，并 依次建立信用评价体系。同时，互联网公司 可利用自己的数据挖掘能力、风险分析能力等更好的服务银行风险管理信息系统 。入局相对较晚 服务银行信息系统落地案例相对较少，实践 经验有限，银行是互联网布局的重要业务场 景。其业务仍局限于交易和零售相关的创新风险管理产品。合作模式多数银行风险管理系统解决方案需要与公 司的生态伙伴合作，共同输出技术、产品 和解决方案。绑定云服务的解决方案互联网巨头提供银行风险管理信息系统解决方案， 几乎不单独做风控系统，会同时给银行提供私有云

53、 服务。提供的云服务是完整的云架构，上层有很多 业务场景，包含风控、数字营销等，风控只是其中 一个业务场景。银行风险管理系统服务商竞争力分析汇总劣势整体利润低业务需求增长点少人才流失严重技术及产品覆盖广而全与银行业务嵌入深且细软件工程及大型项目实践经验 丰富优势银行信息 系统服务商劣势难以承接银行底层系统开发及 建设需求与银行合作处于被动地位优势业务及技术迭代能力快小而精的特点，精通纵深领域新兴技术应用能力领先技术导向型 金融科技 公司劣势人力成本相对较高创新及技术迭代速度对比新兴 科技企业较缓银行派系间存在竞争关系熟悉银行业务类型及流程服务内容综合度高，维度广依托母行，具备大型系统的规 划能力、架构的设计能力优势银行 金融科技 子公司劣势入局相对较晚，实践经验较少需与生态合作伙伴