建置風險管理帶來的商業機會

剛最近持續執行各類關於反洗錢/風險管理/反欺詐/反偽冒/法令遵循的專案,發現客戶經常會有「資料不夠多,等同系統效率不會好」的迷思;事實上,反洗錢/風險管理/反欺詐/反偽冒/法令遵循的作業模式應該要求取效率,而若能夠精準得到結論,即使只有一個自變數,只要能得出精確的應變數也是很好的。

我在專書《洗錢防制法:銀行業實務挑戰》專書第三章「基本架構與前置作業」曾經為了反洗錢系統專案設計出一套清晰的專案架構(如圖)。原先是打算在歸戶的前提下,希望能夠盡量在同一套架構納入不同要求的資訊,以利金融業能更方便處理反洗錢(AML)、反資恐(CFT)、異常交易、個人資料保護法(PDPA)、甚至是GDPR、反欺詐、資安管理等等都能綜整考慮。

後來經過仔細思考,現在我大致可以將上述的需求整理為以下「資訊系統導向的風險管理系統三個層次」:

層次1: 符合法規或外部利害關係人要求

在初期此類變革的驅動因通常會來自外部,例如我多年深耕的AML/CFT領域就經常是因為被裁罰或受評鑑所應運而生的變革需求,來源是外部。在這個層次之下,企業往往只能是挨打的份,由外部僵固的規定出發,建構一套一套的規則導向系統與制度。

雖說這樣的運作模式可以在較短暫的時間內緩解外部壓力,但時間拉長後,更常會在企業內部淪為雞肋流程--用之無效,棄之可惜。日復一日地執行無意義的報表閱讀或單調的工作清單作業(Checklisting)。久而久之在原初主事者離開團隊或企業焦點轉向後,就變成尾大不掉的累贅。

層次2: 風險導向求取作業效率

如果要解決雞肋流程,則必須在一開始流程形成或系統建置時就有意識地導入風險導向的技術。在AML/CFT領域,這已經是國際標準,並且有一個專有名詞Risk Based Approach, RBA (風險基礎法,不妨延伸閱讀我另外的專文: 按此)。風險導向的真義在於了解利害關係人(尤其是客戶)的圖像(profile)後,針對不同分級/群的利害關係人賦予不同關注程度,如此才能避免所有人都被一視同仁的窘境。

舉例來說,台灣的央行最近修正「銀行業輔導客戶申報外匯收支或交易應注意事項」就是一個好例子。央行將關於台灣外籍勞工的盡職調查規範裡,其中一個形式化的文件要求取消,改為提醒金融業要回歸按自身風險去了解業務;這就是一個非常好的範例。

在僅考慮合規的時代,可能舉國上下都適用同一套風險標準來處理涉及外勞的金流,變相其實是直接認定全國的外勞都是較高風險,需要特殊處理;但在新做法下,這種懶惰的一體適用被改進了;也就是說,銀行必須負起責任,仔細看看是否涉及外勞的金流都真的是高風險? 或是否外勞仲介業不是關鍵因素、其他外生變數才是?

層次3: 向外擴展求取綜效

在更認識自身風險圖像(Profile)後,下一個層次就是求取綜效了。以我過去曾經參與的多種專案(尤其是: 反洗錢/反欺詐)中,往往會看到互不相往來的二套軟體,互由銀行內部互不合作的二個部門負責,但卻有著幾乎相同的資料架構。這意味著若不考慮資料互通的客觀限制,這二種流程或系統其實是相同的。僅因為目的不同而同時浪費雙倍資源是非常不智的決策。

以一般反洗錢/風險管理/反欺詐/反偽冒/法令遵循等廣泛而言的RegTech系統為例,大多背後是同一套客戶歸戶資訊,並由數個異常判讀規則或模型驅動日常作業的監視,此時企業就應當考量求取綜效的可能性。具體以下圖為例,某個偵測異常資訊的規則可以同時符合洗錢防制的需求和反詐欺的需求,那麼企業就不應該分別設計二套系統,而是以相同的作業流程作最有效率的控管。

進一步說,同樣的跨領域綜效應該不只在RegTech類流程/系統發生,而是更應該和面對客戶的前端也能整合。

舉例來說,在風險管理要求導向的KYC/CDD,很大程度是更可以藉由精確的質化資料判斷,看出更多的Business Opportunity,如果大家都同意這點,則我們必須要問的問題就是: 銀行中負責風險管理的職員,是否曾經也因為發現新業務機會通知前線理專? 如果答案是否定的,那麼我們更應該進一步問: 為何我們不這麼做? 法規的限制在哪裡? 這麼做造成的成本負擔有多大?

以下圖來看會明確許多,在三個層次的推展中,有形成本是絕對增加的,例如溝通難度、建置複雜度、時間成本等等,但如果能夠確定達成的綜效會帶來更高的效益,則決策者不應只看成本而放棄如此良機!