本文编译自GARP风险智库CRO Outlook 主题博客“How Better Manage Operational Risk in Uncertain, Volatile Times”一文。作者Clifford Rossi(博士)是马里兰大学罗伯特·史密斯商学院的实践型教授和驻校高管。在加入学术界之前,他在金融领域工作了25年多,在几家顶级金融机构担任过C级风险管理高管,并担任过联邦银行监管人员。他是花旗集团消费贷款集团的前董事总经理和CRO。
银行现在面临着复杂的网络风险、不断增长的人工智能风险以及其他各种威胁,但他们可以通过采取具体措施来提升操作风险管理能力。
网络风险和不断演变的人工智能让银行管理操作风险变得前所未有的困难。面对日益严格的监管审查,操作风险管理者必须考虑应对新兴威胁所需的工具和技术。
银行是否已为下一次CrowdStrike 事件做好了准备?银行自己的系统或第三方供应商的系统遭遇直接攻击怎么办?为了应对这些挑战,银行业必须加快引入现有技术和新兴技术,同时借鉴其他行业的新方法来管理操作风险。
在讨论银行可以采取哪些策略和工具来缓释操作风险之前,让我们先看看当前的威胁和脆弱性环境。
监管评估结果令人担忧
人工智能对银行来说是一把双刃剑。正如我们稍后将讨论的那样,虽然银行可以利用这一创新技术来抵御操作风险威胁,但人工智能也在改变操作风险事件的发生方式。
事实上,美国财政部最近的一项研究记录了生成式人工智能正在如何扩大金融机构的网络和欺诈风险。例如,人工智能被用来生成新的恶意软件代码,或“数据中毒”,以破坏银行的决策软件。
此外,人工智能驱动的深度伪造技术正在被用于窃取银行客户的数据,试图出售或访问他们的账户。这些不再是理论上的“假设” 情景,而是银行在操作风险管理工作中必须面对的真实威胁。
不幸的是,从美国监管机构的角度来看,银行业的操作风险能力似乎不足以应对即将到来的网络和人工智能威胁。
《财富》杂志最近的一篇文章强调了来自美国货币监理署(OCC)的“机密评估”中的一些令人担忧的信息。在这些评估中,监管机构据称描述了其监管的22家大型美国银行中的11家,其操作风险管理能力被认为是“薄弱”或“不足的”。其中约三分之一的银行在OCC的监督评级中被评为3或更差,这直接表明这些最复杂和最大型的机构在管理操作风险方面存在漏洞。此外,OCC在其今年早些时候发布的《半年度风险展望》中还对银行的网络安全表示担忧。
此外,财政部的报告还揭示了许多小型银行无法适当利用人工智能等更先进技术的问题。小型银行与大中型银行在技术能力上的差距表明,银行业作为一个整体还有大量工作要做——不仅要应对当今各种复杂的操作风险,还要应对最新的人工智能威胁。
操作风险管理的下一步是什么?
多年来,银行一直在悄悄地构建其操作风险管理框架,并将其整合到治理、风险和业务流程中。然而,常规的操作风险管理评估已变得机械化。
标准化的监控和报告流程让管理层和员工误以为操作风险已经得到有效控制,因为他们看到相关的管理措施已经到位。因此,金融机构可能错误地认为,当前的做法足以应对操作风险,从而产生一种虚假的安全感。
好消息是,银行现在可以采取一些措施大幅提升其操作风险管理能力。这些措施包括借鉴其他行业的操作风险管理实践;理解操作风险与其他金融和非金融风险的相互关联性;共享通过人工智能驱动的操作风险分析获得的数据;以及优先考虑并扩大最新人工智能工具在操作风险管理中的应用。
一些在操作风险管理方面有丰富经验的行业包括电力和水务、公用事业、航空航天、制药和医疗产品等。这些行业承担着确保基本公共服务、国家防御和健康安全连续性的关键基础设施,其操作风险框架可以用来加强银行的操作风险管理能力。因此,银行有必要研究这些机构如何提高管理团队和员工对操作风险的认识和敏感度。
制药行业作为一个受高度监管的行业,其管理方法提供了一些启示。制药业有一套严格的规章制度,要求公司实施现行的良好生产规范(CGMP)。这包括医药产品生产过程中的质量风险管理(QRM)和基于统计的过程分析技术(PAT)。
这些法规旨在确保在产品开发生命周期内管理和缓释各种风险。制药公司及其监管机构对操作风险几乎没有容忍度,因此他们将是银行进行知识转移的绝佳来源。
除了向其他行业学习外,银行还可以采用基于代理的或网络模型来对其系统和流程进行微观模拟。这将提供有价值的指导意见,帮助理解银行的客户、对手方以及内部和外部业务合作伙伴(包括第三方供应商)之间的相互关系。
这种类型的模型过去已被广泛用于理解金融系统的相互联系性。然而,它们也可以用来理解操作风险如何在银行中扩散,以及新兴威胁如何引发信用或声誉风险。
操作风险缓释:数据共享和应用人工智能的论点
银行已经在使用人工智能来管理欺诈。但也可以训练人工智能模型来识别其他类型的操作风险,并且这些数据需要在银行之间共享。
一个很好的数据共享先例是美国银行家协会和银行政策研究所实施的改进银行获取欺诈风险数据的举措。这种资源的整合可以为所有银行,特别是那些缺乏资源的小型银行,在操作风险管理上带来巨大收益。
银行还需要借助创新的人工智能解决方案,转变并提升其操作风险管理能力。近年来,生成式人工智能取得了巨大进展。当生成式人工智能应用的控制得到加强时,这项技术在管理复杂的网络和欺诈风险方面具有巨大的潜力,这些风险至今仍未被大多数银行有效应对。
现有的网络和欺诈管理工具已经通过改进异常检测和行为分析方法得到了增强。但这些技术必须辅以设计良好的人工智能防护措施。
进一步的想法
我们正处于操作风险管理新时代的风口浪尖,多年来,操作风险管理一直受到过于机械和定性评估方法的拖累。许多银行已针对业务和风险流程建立了一致的操作风险控制环境,但这往往是以降低操作风险意识和敏感性为代价的。
今天,随着黑客利用人工智能技术在机构和系统层面制造混乱,银行需要以火攻火,开始加强自己的人工智能驱动的操作风险能力。他们还可以从这些在关键基础设施领域里具有丰富经验的行业中汲取经验,并从过去失败的教训中来进行网络模拟建模,以分析相互关联的风险。
行动起来,获得FRM®认证,向顶级雇主展示你的金融风险管理技能。
11月FRM®考试标准价注册现已开放,点击阅读原文登录GARP官网即可报名。