一、构建同一业务、同一客户风险管理机制
证券公司进行同一业务、同一客户风险管理,应当制定同一业务、同一客户风险管理的相关制度,明确适用范围、各项定义及认定标准、职责分工等相关内容。本文如无特殊说明,均以业务全覆盖、子公司全覆盖、分支机构全覆盖、风险类型全覆盖的风险管理为目标适用范围。证券公司可以结合自身实践酌情参考。
(一)同一业务
证券公司建立同一业务风险管理机制,要从明确同一业务的定义入手,做好新业务新产品的归集,配以统一的内控、数据治理等相关要求,统一风险指标及计量方法,统一业务系统主要功能的标准与要求,从而实现同一业务的风险信息汇总计量与监测,并实施基本一致的风险管控措施。
图1同一业务风险管理机制
1.定义同一业务及分类分层
同一业务是指具有相同或相似业务性质及风险特征的业务。证券公司可以在业务性质和风险特征的基础上,结合自身需求,从业务资格、经营牌照、监管主体、业务模式、管理模式、业务品种等多种视角来制定灵活、操作性强的同一业务定义和分类分层的划分标准,并据此对公司的业务进行分类,归纳出若干个大类同一业务;还可以根据需要将大类同一业务进一步细分成多个层级,归纳出不同层级的小类同一业务,做到不交叉、不遗漏,最终形成能反映公司所有业务的同一业务矩阵。
例如,以业务资格和业务牌照作为划分的出发点,第一层可以将公司的所有业务分成证券经纪、证券承销与保荐、证券自营等若干个大类同一业务;接着再进行第二层的划分,如将证券承销与保荐划分为股权类承销、股权类保荐、债权类承销等;根据需要还可以进行第三层的划分。以此类推,有的业务还可以进一步划分出更多的层级,尽量细化、分到不能再分为止。
图2同一业务分类分层示例
在制定分类分层的标准时,每一层级所依据的同一业务的各种视角,可以根据公司自身管理需要灵活运用。例如,监管主体这个视角可以在不同的层级运用。以证券经纪为例,在第一层如果考虑监管主体,就可以把境内证券经纪、香港证券经纪并列成第一层的不同的两个大类同一业务;如果在第二层考虑,则第一层大类同一业务是证券经纪,第二层则可进一步分为境内证券经纪、香港证券经纪。
在进行同一业务认定时,可以将“不是业务”的经营活动一并纳入同一业务管理,例如,证券公司发行的负债工具、在商业银行的存款等。
2.新业务新产品的同一业务归集
证券公司开展新业务新产品前,应梳理分析业务性质、风险特征,对照同一业务定义将其进行归集。如无法将其归集到现有的同一业务分类中,则可通过适当修订现有同一业务定义、增加相应层级中的业务类别或定义新的同一业务类别等方式,将新业务新产品归集到公司同一业务矩阵中。
3.统一四项基础工作
构建同一业务风险管理机制应在内控、数据治理、风险指标及计量、业务系统的主要功能等方面进行统一。
(1)统一内控相关要求
首先,应统一制度流程。证券公司应在公司层面的基本业务制度中明确对同一业务风险管理的基本要求,并落实到各业务线具体的业务管理制度与流程中。证券公司应按照证监会《证券公司内部控制指引》的要求对每一类业务制定统一的基本业务管理制度,并要求开展同一业务的相关部门遵照执行。以证券自营-权益类证券投资为例,公司应制定该业务的风险管理基本规定,在此基础上,各相关部门可以进一步将相关要求细化并落实到本部门的业务制度与流程中。
其次,应统一内控矩阵。证券公司应根据各项业务的风险特征提出公司层面对同一业务原则性的内控要求,制定关键控制措施,相关业务部门参照要求,结合自身业务流程,形成基本统一的内控矩阵。内控矩阵要充分考虑同一业务的控制环境、风险识别与评估、控制活动、信息沟通、监督与评价等各类要素。控制环境要确保同一业务的组织架构与决策程序的基本统一。风险识别与评估在方法、工具、标准等方面保持基本一致,确保及时识别、确认同一业务的各类风险,并进行准确加总、评估。控制活动应保持同一业务在授权与审批、复核与查证、业务规程与操作程序、岗位权限与职责分工等方面的管理原则和重要要求基本一致。
(2)统一数据治理的相关工作
证券公司应明确同一业务数据治理工作内容和职责分工,确保各系统数据准确、完整、一致。按照业务分类,梳理同一业务数据在各业务系统和管理系统中的分布情况,确定同一业务的数据标准与数据模型,制定同一业务系统数据模型与上游各源系统数据模型映射规则,确定数据归集与数据交换的方式,建立数据质量管控规则等。
(3)统一风险指标及计量方法
证券公司应针对同一业务设计统一的风险指标,以实现同一业务在不同层级、不同维度进行风险比较和汇总。风险指标在指标类型和指标参数方面做到统一,如统一VAR指标时,需同时统一其时间跨度、置信度两个参数的设定。业务部门出于自身风险控制的需要,制定的个性化风险指标可不包括在统一风险指标的范畴内。
证券公司应对同一业务不同层级设计统一的风险指标,随着层级不断下探,可设置更为丰富的风险指标。例如,根据自营业务承担的市场风险,在第一层证券自营可以设置VAR、压力测试下损失等指标,在第二层,可以在第一层指标基础上增加结合第二层业务风险特征的指标,如权益类证券自营可以增加的净敞口、单一证券最大规模等指标,固收类证券自营可以增加基点价值、单一证券最大规模等指标。在同一业务各维度层面应使用统一的风险指标,例如,开展证券承销和保荐的不同部门应使用相同的关键操作风险指标,如外部处罚次数、外部关注次数等。
统一计量方法是指涉及到同一业务的限额管理、风险监测、风险评估所使用的计量模型、模型参数、计量频率等要保持一致,以实现风险指标可在各层级、各维度间比较和汇总。
(4)统一业务系统主要功能的标准与要求
证券公司应对同一业务的相关业务系统主要功能建立统一标准,以满足前中后台在同一业务方面的管理需求。在前台功能方面至少应对交易流水记录、系统前端控制、审批流程等制定统一的标准或最低要求;在中台功能方面应明确使用相同的估值模型、风险计量方法等;在后台功能方面对清算、交收、事后风控等提出基本一致的要求。
(二)同一客户
在同一客户管理的范畴中,客户包含证券公司各类业务中涉及的交易对手、经纪业务线客户、融资工具发行人等。证券公司建立同一客户风险管理机制,要从明确定义和认定标准入手,实现同一客户在公司内部的唯一识别和关联关系认定,配以健全的风险信息收集机制和完善的风险管理系统,以实现对同一客户信用风险的统一计量及集中管理。
图3同一客户风险管理机制
1.单一客户身份识别
同一客户的基础是对单一客户的识别和归并,做到将不同业务条线、不同系统里的同一个单一客户识别出来,将其业务信息、风险信息等进行归并。证券公司需要根据客户类型差异化定义单一客户的身份识别依据,并据此对客户进行内部编码。定义应考虑到监管对不同业务客户身份信息方面的不同要求,如遇与监管要求的证件类型不一致的情形,需要制定内部尽调要求来补充收集相应的身份识别信息。根据各家证券公司的现状,也可以先从最低要求做起,逐步完善单一客户识别。表1列示了自然人、企业法人、产品户的身份识别依据/编码依据。其他客户类型可以参考《中国证券登记结算有限责任公司证券账户业务指南》相关规定、境外监管相关要求。
表1单一客户身份识别依据/编码依据
(1)自然人客户
自然人客户身份识别主要依据身份证明文件,并依据姓名、证件类型、证件号码进行内部编码。身份证明文件包括身份证、护照等。证券公司应明确定义自然人客户中不同群体的客户具体以哪类身份证件作为识别依据。同时要考虑监管对不同业务客户身份信息方面的要求,视情况补充收集不同于监管要求的身份识别信息。例如,如果一个自然人客户同时拥有大陆居民身份证、护照,在大陆按照监管要求应当使用大陆居民身份证在证券公司开户,但是在香港,根据香港证监会规则,可以使用护照作为身份证件开户,可能会导致无法识别为同一个单一客户,在此种情况下可以要求客户在香港提供大陆居民身份证作为补充。
(2)企业法人客户
企业法人客户身份识别主要依据是身份证明文件,并依据全称、证件类型及证件号码进行编码。大陆企业法人客户身份识别主要依据统一社会信用代码。港澳台以及境外企业法人客户可以优先使用全球法人机构识别编码(LEI)。LEI码是全球范围内通用的企业代码,金融机构、金融中介公司、在全球交易所注册的机构、从事股票或债券交易的机构以及贸易公司等在国际金融市场中活跃的企业需要注册LEI码,覆盖程度较高。对于没有LEI编码的企业法人客户,可以依次用注册证明书、商业登记证作为身份识别依据。如果以上信息均无,也可以用简易方案,即用包含客户英文名称全称(如果没有正式的英文名称,可以使用其所在国语言)及国别作为身份识别信息。如果证券公司目前仅有少量的港澳台以及境外企业法人客户,也可以直接应用简易方案。
企业法人客户身份识别信息的收集也同样应在符合监管要求的前提下实施。如遇与监管要求的证件类型不一致的情形,证券公司可以根据业务类型及风险暴露程度视情况去补充收集相应的身份识别信息。
(3)产品户客户
证券公司产品户客户是指金融机构或特定机构为实现风险隔离等特殊目的而创立的准实体,其资产负债独立于发行人(管理人)自身的资产负债。常见的产品户有银行理财产品、信托计划、资管计划、公募及私募基金产品等。境内产品户可以使用产品户全称、备案机构以及备案机构产品编码这三个要素进行身份识别和编码依据。港澳台、境外的产品户可以参考境外企业法人用简易方案来识别,同时可以借助ISIN、CUSIP、Sedol、Ticker等国际上的编码来作为辅助。
如果产品户客户较少或者仅开展较低信用风险的业务,也可以通过产品户的管理人来进行识别。
2.同一客户认定
同一客户可以定义为具有关联关系的客户组并且因其关联关系证券公司需要将这组客户视为一个整体来管理。判断一组客户是否应为同一客户,重点在于识别其关联关系并判定具有哪些关联关系的客户组应认定为同一客户。证券公司可以结合自身管理情况制定兼具有效性、可操作性的认定标准。对认定的同一客户进行内部唯一编码,用于内部管理中同一客户的标识。
客户之间的关联关系按照客户组的类型可以分为企业法人客户之间、自然人客户之间、自然人客户与企业法人之间及产品户相关的关联关系。证券公司可以优先通过公开信息可以获取的关联关系来判定同一客户;对于通过公开信息无法获取的关联关系,根据信用风险、集中度风险等风险暴露程度等制定尽调要求,同时要尽可能考虑隐秘的关联关系。隐秘的关联关系主要是公开信息看不到但是对判断客户风险有重要影响的关系,例如实际存在的控制关系、一致行动关系。
表2同一客户关联关系
(1)企业法人客户同一客户认定
一组企业法人客户是否为同一客户,主要可以通过判断他们之间是否存在控制和经济依赖来认定。在制定企业法人之间的关联关系认定标准时可以参考银保监会《商业银行集团客户授信业务风险管理指引》。
控制主要是通过股权、表决权等方面的标准来判断,经济依赖主要是指两个或两个以上企业法人之间的经济命运相互关联,如果其中一方遇到财务问题,特别是资金或还款困难,会导致另一方或所有其他方也可能遇到财务问题或还款困难。经济依赖通常无法通过公开数据直接获得、需要根据经验来进行主观判断。证券公司可以参考图4所列情形制定认定标准。
图4企业法人客户同一客户认定示例
(2)含自然人客户同一客户认定
制定包含自然人客户的同一客户认定标准时可以参考证监会《上市公司信息披露管理办法》、财政部《企业会计准则》等关联方定义以及证监会《上市公司收购管理办法》一致行动人定义。
含自然人客户同一客户可以分成自然人之间、自然人与企业法人及自然人与产品户三类。
第一类自然人之间的同一客户主要是通过可获得的信息判断他们之间是否存在直系亲属关系(父母、配偶和子女)、法定一致行动关系以及通过协议或承诺等构成的实际一致行动关系来认定。以融资融券业务为例,如果有多个自然人客户的信用账户实际上是被同一实际控制人控制,这些客户虽然表面上不存在关联关系,但已构成实际一致行动关系,也应当被认定为同一客户。
第二类自然人与企业法人同一客户主要通过判断他们之间是否存在控制关系、法定关联关系、法定一致行动关系以及通过协议或承诺等构成的实际一致行动关系来认定。
第三类自然人与产品户同一客户认定标准具体见下文。
含自然人客户的同一客户认定需要获得自然人身份证等证明文件对其进行唯一识别,但目前行业内自然人的身份识别信息无可靠的数据来源,例如,若上市公司的实控人、一致行动人为自然人,公告仅披露自然人姓名,无身份证号码等信息,若公司存在多个自然人同名客户,则无法进行唯一匹配、将对应的自然人客户纳入上市公司同一客户管理。从实际风险管理出发,证券公司应当对开展承担信用风险业务的自然人客户进行充分尽调,掌握该客户与公司其他客户的关系并视情况建立或者纳入相应的同一客户组。
(3)产品户同一客户认定
产品户的同一客户关系认定具有一定的特殊性。一方面,虽然产品与管理人、委托人等是风险隔离的,但是产品的运营、风险、收益等均与管理人密不可分。另一方面,虽然资管新规要求管理人承担实际管理责任,但是依然存在部分产品的委托人对产品的投资决策有较大的实际影响。证券公司可以参考图5对产品户进行穿透核查,识别出实际控制人。穿透核查需要掌握产品户较为详尽的信息,很多只能通过尽职调查来获得。证券公司可以根据业务风险特征等实际情况制定符合自身风险管理要求的穿透要求以及尽调要求。
同一实际控制人控制的多个产品以及该实际控制人视为同一客户。若实际控制人还存在其他的关联方,则应与其他关联方合并视为同一客户。
图5产品户同一客户认定
原则上可以按照以下顺序识别实际控制人:
①实际融资人。具有融资性质的产品且能穿透到唯一实际融资人的,实际融资人应认定为实际控制人。例如,资产支持证券类产品,可以将穿透后的底层资产对应的最终原始权益人(非通道机构)认定为实际控制人,若存在外部增信,则对增信主体进行分析后,判定是否为实际控制人。
②实控委托人。如果产品存在单一委托人或者持有份额最大委托人份额占比较大且对投资决策起主导作用,则前述委托人应被识别为实际控制人。其中份额占比可以参考中证协《证券公司场外期权业务管理办法》及《证券公司收益互换业务管理办法》重点识别份额占比20%以上的委托人
③实控第三方。如果产品的委托人以及投向方面均不存在实际控制人,但是有第三方通过提供担保或者其他形式实际上承担产品的风险、收益,可以将这个第三方认定为实际控制人。
④如果以上三种情形都不存在,建议将产品的管理人认定为实际控制人。
针对前三种情形,在将产品户与实际控制人视为同一客户进行管理的同时,可以将产品与管理人构建成第二个同一客户组,从两个同一客户维度同时管控集中度风险。
(4)同一客户组管理
同一客户组可以分成“集团”和“虚拟集团”来管理。例如,将存在可公开获取的、法定的关联关系的客户组作为集团进行管理,主要包括企业法人之间股权控制等法定关联关系、管理人与产品户等。将存在不可公开获取的、或者隐秘的关联关系的客户组作为虚拟集团进行管理,主要包括涉及自然人的关联关系、产品户与非管理人的实控人的关联关系等。
在单一客户与同一客户组的归属关系上,一个单一客户只能属于一个集团;但是一个单一客户可以同时属于一个集团以及一个或者多个虚拟集团。对于后者,从审慎的角度出发,可以从两个或者多个角度同时管控集中度。
二、同一业务、同一客户风险信息收集的范围与标准
证券公司应当明确各种类型、各种来源的同一业务、同一客户风险信息收集的范围与标准。
(一)同一业务风险信息收集的范围
同一业务风险信息的收集范围包括同一业务风险管理需要的所有信息,信息类别可按性质、产生方式两种方式区分。按性质分,可分为基本类及风险类信息。基本类信息是指反映业务基本要素的信息。风险类信息是指市场风险、信用风险、流动性风险、操作风险、声誉风险等风险类型信息。按产生方式分,可分为原始类及加工类信息,原始类信息是指客观存在、无需调整的信息,加工类信息是指对原始类信息进行计算或计量后产生的风险信息。一般来说,基本类信息均为原始类信息,风险类信息则包括原始类与加工类信息。
表3权益类证券投资业务风险类信息示例
(二)同一客户风险信息收集的范围
同一客户风险信息的收集范围包括客户身份识别、关联关系、开展业务相关信息以及舆情信息等。客户风险信息可以分为基础类、业务类和舆情类三类。其中基础类和舆情类均为原始类信息,业务类包含原始类与加工类信息。
基础类除了前文所述的身份识别信息以及同一客户关联关系信息,还应当包括其他对判断客户信用资质以及风险情况有帮助的基础信息。证券公司可以根据客户类型不同分别定义。经纪业务线按照《证券经纪业务管理办法》收集的客户信息应纳入同一客户风险信息,在合规管理中收集的反洗钱和恐怖融资风险认定相关的信息如能共享也积极鼓励。表4列示了基础类风险信息供行业参考。
表4同一客户基础类风险信息
业务类风险信息收集的范围原则上与同一业务风险信息收集的范围相同,即所有与客户以及其所在同一客户相关的业务信息,并从单一及同一客户两个层面进行汇总。从客户视角出发,业务信息还要包括完整的交易行为信息,例如是否按照协议及时足额追保、做到事前约定的风控措施、遵守协议约定等。
舆情类风险信息是指客户、担保方、担保物等相关的负面信息,按照来源可以分成外部和内部,按照严重程度可以分成多个等级。外部负面信息是指从公开信息获取的负面信息,内部负面信息是指在开展业务过程中发生的负面信息。根据严重程度和对证券公司资产安全的影响程度,舆情类风险信息可以分为不同等级,例如分为绿、黄、红三个等级。
(三)同一业务、同一客户风险信息收集标准
1.明确风险信息收集门槛
同一业务相关风险信息原则上不设置准入门槛,应做到业务全覆盖、分支机构全覆盖、子公司全覆盖。
同一客户相关风险信息中,针对基础类风险信息证券公司可以根据与客户开展的主要业务确定收集门槛。原则上,对每一类客户都要收集适当性相关的信息,在此基础上根据业务的风险特征确定需要收集的主要信息。例如,对融资类业务客户,证券公司需要获取用于判断客户的信用资质的信息。针对舆情类风险信息证券公司应尽量制定可量化的标准,如超过一定金额的监管处罚、司法冻结,超过一定幅度的财务恶化等,无法量化的可以辅以人工判断。
2.风险信息需要真实可靠
证券公司应收集来源真实可靠的风险信息,例如政府机构、行业监管组织、交易所、自律组织等发布的信息,或者其他行业内共同认可的信息来源,避免使用个人公众号、没有明确出处的网络文章等。
3.要考虑风险信息的时效性
证券公司采集风险信息应注意信息的时效性,根据信息的重要程度确定差异化的风险信息时间标准。例如,企业法人的财务信息一般收集最近3年又一期的,客户逾期信息收集5年内的。
三、在风险管理上的应用
(一)同一业务
证券公司在对同一业务进行定义、分类分层、收集汇总风险信息后,可以实现对同一业务使用基本一致的风控措施、控制同一业务的集中度风险,并且按照同一业务的各类各层进行风险监测、分析及预警等。
图6同一业务在风险管理上的应用
1.可使用基本一致的风控措施
基于各类业务的梳理归类,证券公司应对不同部门开展的同一业务实施基本一致的风控措施,有利于公司对相同的业务在业务准入、客户准入、主要风险点的把握、关键控制措施等方面保持一致。例如,证券公司不同部门在开展证券自营-固定收益类证券自营-信用债投资时,可执行基本一致的投前、投中、投后风控措施,包括但不限于使用统一的尽调要求、债券准入范围与标准、决策审批流程、集中度控制等措施。
2.可用于集中度风险控制
证券公司可通过在同一业务由大到小的各个层级设置集中度指标或将集中度指标分解到各业务部门等方式,实现各层级、各维度的集中度风险管理,如单一标的占发行量集中度、单一标的占投资组合集中度、行业集中度、地区集中度等。
3.可支持每日(T+1)风险监测
通过实施同一业务管理,证券公司可以开发针对同一业务的风险计量模型并嵌入风险管理系统,以实现对各类业务各层级、各维度风险指标的每日(T+1)计量及风险监测。
4.可用于风险分析及预警
通过掌握各类业务的风险总量及分析其业务风险的构成,可找出各层级、各维度风险来源的贡献度,进行风险归因分析;可比较各类业务的风险收益水平,可将同类业务各层级、各维度的风险和收益水平进行评估;可对每类业务设计预警信号、预警指标,进行风险预警。
(二)同一客户
证券公司在对客户进行身份识别、关联关系认定、收集汇总风险信息后,可以将同一客户应用于事前、事中、事后全流程风险管理。
图7同一客户风险管控全流程应用
1.事前风险管理中对客户评级、授信时的应用
(1)在客户评级方面的应用
将客户内部唯一编码用于客户内部评级时的身份标识,可以实现客户在证券公司风险管理系统、业务系统等关联客户内部评级,实现客户内部评级的唯一性。
初次评级时考虑同一客户信用一致性。以集团客户为例,初次评级时应考虑集团关系、统一集团内子公司和集团的信用一致性。在评估子公司和集团关系时可考虑多个维度,包括但不限于相对规模和重要性、股权和控制关系、业务协同性、是否共享品牌、内部资金拆借和支持记录以及出现风险事件对集团的影响等。
跟踪评级时同一客户关联关系可以按需应用于评级联动调整。仍然以集团客户为例,在对客户开展跟踪评级时,不仅应评估客户自身财务状况和经营状况变化,也应关注客户所属集团整体状况以及客户和所属集团的关系是否变化。特别是集团内核心主体出现负面舆情时,应关注三个方面,首先需及时评估负面舆情对核心主体的影响,其次应评估同一客户的其他主体和核心主体的关系是否受负面舆情的影响发生变化,最后需评估在当前的关联关系下核心主体的负面舆情对其他主体信用资质边际变化的影响。核心主体认定标准可以根据总资产或主营业务收入在集团中占比、资源倾斜力度、高管委派情况、是否集团重点发展方向、业务关联度等进行灵活判断。
(2)可以用于双维授信以及授信矩阵
证券公司在制订信用风险政策时,可以从单一客户、同一客户两个维度来制定与其信用评级挂钩的授信额度上限。在授信使用时,同一客户内所有单一客户实际授信使用加总不得超过同一客户授信。有条件的证券公司可以在同一客户范围内考虑单一客户之间的控制关系,形成“子单元”,对单一客户进行授信的时候考虑客户本身及其子、孙公司情况并进行合并授信,每一“子单元”均遵循“子单元”内所有单一客户实际授信占用加总不得超过“子单元”母公司级客户授信,做到层层管控。
双维授信可以在全业务口径的整体授信层面以及业务品种层面实施。结合同一业务,业务品种层面的客户授信可以具体到同一业务的各层级,建立矩阵式授信体系。
(3)可将隐秘关联关系应用到授信中
在同一客户管理中,如果能将隐秘的关联关系识别出来并将有隐秘关联关系的客户认定为同一客户,可以在授信时将这些客户汇总考虑,能够更准确的管控这些隐秘关联客户的集中度风险。
(4)在客户黑白名单管理中的应用
证券公司在将单一客户纳入黑名单时考虑其同一客户关联关系,视情况将其关联方纳入黑名单;在制定白名单时考虑其关联方资质,更审慎把控白名单准入。
2.事中风险管理中在同一客户监控及预警方面的应用
(1)应用于双维度信用风险监测、计量及加总
借助于完善的系统,证券公司可以准确、及时地对同一客户相关风险信息进行计量、汇总,建立完善的监测指标体系,对同一客户进行每日(T+1)监控。
无论在个体与组合层面都涉及到单一客户及同一客户信用风险计量与监测。在个体层面,计量、监测单一及同一客户集中度风险以及信用风险敞口。在组合层面,证券公司对业务,特别是以信用风险为主要风险的业务,可以从单一客户、同一客户两个维度对客户集中度进行分析、评估、监测。
无论在个体还是组合层面,都涉及到信用风险指标跨业务线的加总,证券公司可实施多指标各自加总,有条件的也可在此基础之上实施单一指标加总。多指标各自加总指从规模、当前敞口、潜在敞口等各类指标层面跨业务线加总,实现对单一客户、同一客户的多指标风险计量和监测。单一指标加总指从敞口的角度出发,针对例如场外衍生品等潜在和当前敞口计量结果可能差异极大的业务,通过对敞口指标合并转化,形成新的敞口指标,使之可与信用债等当前和潜在敞口计量结果基本一致的业务的敞口计量指标进行直接加总,实现对单一客户、同一客户在单一指标上的整体信用风险计量和监测。
(2)市场风险与信用风险预警的应用
基于完善的同一客户管理基础,当单一客户出现市场风险因素或者信用风险因素方面的预警信号时,例如公开市场舆情、一级或者二级市场异常价格波动、与证券公司的业务出现违约或其他风险事件时,通过系统化的关联关系管理,可以迅速汇集证券公司与该客户及与其为同一客户的关联方开展的所有业务品种、业务规模、风险敞口等,进而迅速地采取相应的措施。
3.事后风险管理中在后续管理及风险处置方面的应用
(1)同一客户可以应用于后续管理
同一客户在证券承销、信用产品投资、场外衍生品、融资类等业务进行后续管理时的应用有两个方面。一方面可以从单一客户、同一客户两个维度进行后续管理。以关注池管理为例,可以分别建立单一客户关注池、同一客户关注池。另一方面,在后续管理中充分考虑客户的无业务关联方可以更好地掌握客户风险。
(2)掌握关联关系有助于风险处置
基于对同一客户关联关系、特别是隐秘的关联关系的掌握,当某一客户因出现违约等导致公司须向客户追索时,可以提高找到其关联方的效率进而提高风险处置的效率。
四、系统实现
(一)系统基础简介
同一业务、同一客户在系统方面需要实现的内容包括数据集市和系统服务两部分。
同一业务、同一客户数据集市是指用于存储与同一业务、同一客户相关的各类风险信息的数据集,通常是风险数据集市的子集。通过建立数据模型,按照模型要求采集、加工并存储风险信息形成数据集市,实现全部风险信息的集中管理,为风险管理应用提供有效支撑。
系统服务分为若干模块,至少包括认定、定义、归集和各类应用等模块。同一业务系统服务部分主要有同一业务定义、新业务新产品的同一业务归集、基本一致风控措施、集中度风险控制、每日(T+1)风险监测、风险分析预警等功能;同一客户系统服务部分主要有单一客户身份识别、同一客户认定、客户评级应用、授信管控、客户黑白名单、同一客户信用风险计量与监测、市场风险与信用风险预警、后续管理等功能。
图8同一业务、同一客户风险管理的系统实现
(二)同一业务、同一客户数据集市
同一业务、同一客户数据集市的建立包括以下三个关键步骤:采集原始类风险数据,建立数据模型,按照模型要求存储原始类和加工类风险数据。
1.采集原始类风险数据
(1)明确数据分布和范围
根据同一业务、同一客户风险信息收集的范围,明确风险信息的来源系统或渠道,细化每个风险信息对应的源系统数据表和字段,确定每个数据表的数据同步方式以及数据筛选条件。
(2)确定采集控制规则
同一业务、同一客户风险信息采集控制规则包括数据采集时效设置、采集任务调度、数据质量控制三个方面。数据采集时效一般设置为T+1日采集或实时采集。采集任务调度是指在调度平台配置各采集任务的执行时间和先后顺序。数据质量控制包括采集过程检查和事后定期回溯两项工作。采集过程检查是指在采集过程中对数据的准确性、及时性、完整性进行前置校验;事后定期回溯是指在采集完成后定期比对采集数据与源数据是否一致。
(3)利用不同的方式进行采集
数据采集一般有推送和主动获取两种方式。目前通用的推送方式包括数据交换平台和源系统推送两种,其中数据交换平台方式可实现对交换的统一管理并利于追根溯源,能较好的保证数据的及时性和准确性,建议优先使用此方式采集数据。主动获取的方式一般包括数据库直连、文件读取、接口、手工数据补录等。
图9风险信息采集
2.建立数据模型
(1)建立同一业务数据模型
建立同一业务数据模型主要包括需求调研、概念模型设计、逻辑模型设计、物理模型设计和模型迭代五个步骤。在需求调研阶段评估业务数据能否满足同一业务的需求。概念模型设计是根据调研情况抽取关键业务概念并将之抽象化,确定领域内的业务实体以及实体间的关系,例如同一业务概念模型包括持仓、基本信息、行情、估值、账户和部门定义等实体。逻辑模型设计是在概念模型的基础上添加各个实体的属性信息并细化实体间关系形成逻辑模型,其中实体间关系主要是主外键关系、一对一、一对多或者多对多关系等。物理模型设计是根据逻辑模型生成执行脚本,在数据库中建立物理模型。模型迭代是指随着业务的深入或者变动,需要持续优化完善已有模型。
图10逻辑模型示例(债券)
(2)建立同一客户数据模型
同一客户建模步骤与同一业务相同,但模型实体及实体间的关系与同一业务有所区别。同一客户概念模型增加了客户、同一客户关联关系等实体,且实体间的关系需要重新定义。
3.存储风险数据
通过数据集市存储同一业务、同一客户的原始类和加工类风险数据,实现全部风险数据的集中管理。首先,将采集到的风险数据按照数据模型的规则进行转换后存储进数据集市中,在存储过程中对于转换错误的数据进行记录,及时协调源系统进行修正。其次,将调用计量引擎计算后得到的加工类风险数据存储进数据集市中,存储内容包含日期、维度标签和指标值等要素。
(三)同一业务的系统服务
1.同一业务定义的系统实现
根据同一业务不同视角的分类分层方法,首先确定业务数据在该分类方法下的唯一标识,然后针对各视角的分类分层方法建立配置表并设置多层级的标签,通过这些标签可实现同一业务的分类分层。
2.新业务新产品同一业务归集的系统实现
根据新业务新产品归属的同一业务类别评估现有标签体系能否满足需要,如无法满足,则需要修改或新增标签,以实现新业务新产品的同一业务归集。
3.同一业务风险管理应用的系统实现
(1)基本一致风控措施的系统实现
同一业务基本一致的风控措施通常通过业务系统前端控制实现,例如证券公司将审批流程、准入控制、黑白名单等风控措施对应的标准统一部署在各业务系统中。有条件的公司可以建立集中风险管控平台,将标准统一部署在该平台,通过与各业务系统实时交互实现控制。
(2)集中度风险控制的系统实现
集中度风险控制可以分为事前控制或事后监测两种。事前控制可以按照同一业务各层级、各维度定义的集中度指标限额,在业务系统配置相应的前端控制阈值,由业务系统进行提示并拦截。事后监测是由风险管理系统计量各层级、各维度相应的集中度指标,如指标预警或超限则推送至业务部门及风险管理部对应监测人员进行处理。
(3)每日(T+1)风险监测的系统实现
系统建立同一业务风险指标体系,读取数据集市中存储的各层级、各维度的风险指标,并按需进行加总,实现集团、部门、业务线等层面的T+1日监测。
(4)风险分析、预警的系统实现
同一业务的风险分析、预警包括以下功能:通过多维图表等工具,展示同一业务各层级、各维度的风险贡献度,协助业务人员进行风险归因分析;系统提供自助查询比对功能,以支持不同类业务的风险收益水平以及不同维度同一业务风险收益水平比较;系统支持业务人员根据各层级、各维度风险指标的历史趋势对预警信号阈值进行回测,验证预警指标选择及其阈值设置的合理性,将各类预警指标阈值配置在各业务及风险管理系统中,进行日常监测预警;有条件的证券公司还可开发部署人工智能预警模型作为补充。
(四)同一客户的系统服务
1.单一客户身份识别的系统实现
根据单一客户身份识别规则,开发针对自然人、企业法人和产品户的单一客户识别引擎。引擎的输入为主体的身份识别信息和源系统客户编码,根据输入信息进行校验,校验通过后对单一客户赋予内部唯一编码同时建立源系统客户编码和内部唯一编码的映射关系,然后输出内部唯一编码、映射关系至数据集市。
根据业务系统众多的实际情况,对接单一客户识别引擎可以采取实时接口和事后对接两种方案。业务系统如果能够改造,可采用实时接口对接方案;如不能改造可采用事后对接方案。实时接口对接是指在业务系统录入客户数据的同时,实时调用识别引擎生成内部唯一编码并返回源系统的对接方式。具体步骤如下,首先调用识别引擎,其次引擎对客户数据进行校验,校验通过后赋予内部唯一编码,同时生成内部唯一编码和源系统客户编码的映射关系,最后将内部唯一编码返回源系统,同时,将内部唯一编码和相应的映射关系保存进数据集市。上述步骤中如果校验不通过则将错误信息返回源系统并重复上述步骤。
事后对接方式是指识别引擎定时批量从业务系统获取客户数据进行校验、编码并生成映射关系,将内部唯一编码和映射关系保存进数据集市。如果校验不通过则将错误信息通知相关人员进行处理。
图11单一客户身份识别的系统实现
2.同一客户认定的系统实现
同一客户认定的系统实现,包括部署关联关系规则、准备原始数据、输入引擎计算关联关系、进行同一客户认定及编码五个步骤。但是,由于数据存在不全面和不准确的问题,系统应具备对同一客户关联关系进行人工维护的功能。下面以企业法人同一客户认定为例,具体阐述系统实现步骤。含自然人的同一客户、产品户的同一客户认定系统实现步骤与企业法人基本一致,但是,相关的关联关系规则、原始数据、编码规则等方面则有所区别,本文不再展开。
第一步,建立客户关联关系识别规则,将定义好的关联关系规则部署到专家规则引擎。
第二步,准备关联关系原始数据。企业法人客户需准备股权、表决权、关键管理人员及交叉持股、财务报表并表数据等。上市公司、公开市场发债企业均可公开获取上述信息。其他法人客户可通过尽职调查等手段补充相关信息。
第三步,把数据输入到规则引擎,从单一客户逐级向上和向下发现关联关系,识别关联关系网络。有条件的证券公司可利用图计算引擎,计算得出关联关系图谱。
第四步,认定同一客户。根据同一客户定义,判断关联关系是否符合证券公司同一客户认定标准。将符合标准的客户组认定为同一客户。
第五步,对同一客户进行编码。对每一个认定为同一客户的客户组,系统生产同一客户内部编码。编码可以是无特殊意义的序列,也可使用客户的部分属性信息生成。对不同的同一客户类别可以在编码时加以区分。
图12同一客户关联关系认定
3.同一客户风险管理应用的系统实现
(1)在客户评级方面应用的系统实现
通过将客户内部唯一编码应用于内评系统,辅以与源系统之间的映射关系推送到公司其他系统中,实现客户内部评级在各系统中的唯一性。
系统存储的同一客户关联关系,为初次评级的信用一致性以及后续跟踪评级时联动调整提供依据。以集团客户为例,初次评级时,将集团内相对规模、股权关系、支持记录等相关指标纳入评级模型中,从而将关联关系反映到客户评级中,同时,系统可以展示关联方的评级供参考。跟踪评级时,系统在初次评级基础上,还可以展示集团关系是否发生变化、集团内其他关联方评级是否发生变化。跟踪评级应考虑负面舆情,系统展示单一客户及其他关联方尤其是核心主体的舆情信息,当核心主体因负面舆情发生评级变化时,系统可展示其他关联方评级,供评级人员根据负面舆情关联程度对单一客户、同一客户、同一客户其他关联方的评级结果进行调整。
(2)在授信方面应用的系统实现
系统按照各类、各级业务矩阵同时展示单一、同一客户两个维度的限额以及实际使用情况,实现对授信使用的监测和预警。有条件的可以将上述功能纳入前端控制。
(3)完善客户黑白名单的系统实现
对进入黑名单的单一客户,通过同一客户编码实现与其关联方进行挂钩,人工判断后将有关关联方纳入黑名单,以实现对同一客户的监测、预警、限制业务准入等。将单一客户纳入白名单时系统列示其关联方相关信息供人工确认。
(4)双维度信用风险监测、计量及加总的系统实现
个体角度,系统在对单一客户实现风险监测、计量、加总的基础上,增加同一客户的维度,并进行矩阵化展示。组合角度,单一及同一客户在公司层面、各类业务的集中度。
(5)市场风险与信用风险预警的系统实现
当单一客户出现市场风险和信用风险预警时,系统可以自动关联到该客户的关联方并展示开展的所有业务规模、敞口等汇总数据及业务明细数据,有条件的证券公司可以实现系统及时向业务人员进行自动预警。
(6)同一客户应用于后续管理的系统实现
有条件的证券公司可以建立专门的后续管理模块,该模块展示单一客户、同一客户维度的风险等级分类,并且自动获取其关联方信用评级、业务信息、负面信息等相关信息,包括同一客户项下无业务关联方的负面信息预警。
五、实施中建议关注的重点
推行同一业务、同一客户风险管理机制的过程中,建议重点关注以下五个方面。
(一)制定明确的、具有可操作性的定义和标准
同一业务及同一客户风险管理机制是跨部门、跨子公司的。在制定客户身份识别、关联关系认定标准以及同一业务分类和定义的制度流程等时,要充分考虑到各个部门、子公司的人员、系统等方面的具体情况、特别是差异情况,要具有可操作性。
(二)重视数据治理和质量控制
证券公司应建立健全数据治理和质量控制机制。在同一业务、同一客户方面的相关工作至少包括以下几方面:风险数据收集,制定源头数据录入规范,建立统一的数据模型,规范数据标准,建立数据质量管控机制等。例如明确业务分类信息、客户身份识别信息等录入要求,制定证券交易市场、风险敞口等字典及指标标准,确保业务人员及开发人员规范、标准地处理数据。在已开展公司级数据治理工作情况下,上述相关工作应纳入公司整体数据治理体系中。
(三)提升系统的可扩展性
在行业整体数字化水平不断提升背景下,为满足各类业务创新及客户个性化管理需求,证券公司在建设系统时,应在软硬件及系统架构层面规划足够扩展空间,让系统保持足够弹性。在硬件扩展性方面,为深度学习等各类人工智能算法部署预留算力支持;在软件扩展性方面,预留各类标准化接口,做好人工智能、大数据等各类服务的实时对接;在架构扩展性方面,支持分布式存储及计算,并做好各类异构数据的融合。
(四)要量“需”而为
证券公司应结合自身特点逐步实现。在实施层面,可按照重要性程度依次推进,整体上秉持先易后难的原则,先母公司后集团,先信用、投资业务后其他业务(如投行、资产管理业务等)、先境内后境外的顺序逐步推进集团内同一客户的集中统一风险管理工作。境外业务、境外客户占比较小的证券公司,可以在现阶段通过非系统化的方式对这部分业务、客户进行管理。
(五)建立动态调整机制
证券公司应定期、不定期对同一业务的定义及分类分层、同一客户的定义及认定标准、在风险管理中的应用以及配套的系统等进行回溯、评估、动态调整,不断优化完善。
