许 闲 刘炳磊 复旦大学风险管理与保险学系

许闲，复旦大学风险管理与保险学系主任，复旦大学中国保险与社会安全研究中心主任，复旦大学中国保险科技实验室主任，全国会计领军人才，中国保险学会常务理事，上海市保险学会副会长。

刘炳磊，复旦大学中国保险与社会安全研究中心研究助理。

合规与监管科技实际上已经在现代经济生活中发挥着重要作用，它被应用于企业风险管理、税务管理、运营风险管理、投资组合管理、反洗钱、KYC、比特币监控、交易监控等各个方面，在改变着传统的合规与监管方式的同时，极大地影响着如今的市场交易行为。综合考虑，监管与合规技术的应用场景可以大致分为以下六类：用户身份识别、市场交易行为监控、合规与监管数据的整理与报送、法律法规跟踪、风险数据融合分析以及金融机构压力测试。

一、用户身份识别

用户身份识别简称KYC，即Know Your Customer。它具体是指金融机构在为客户提供金融服务之前，需要全面了解客户，确保客户身份资料的真实性、有效性和完整性。客户身份识别是反欺诈和反洗钱的重要举措，通过对客户身份的核实和商业行为的了解，金融机构能够有效地发现、报告和阻止可疑交易行为。这一场景在最近几年得到越来越广泛的关注，主要是由于近年来，随着互联网进一步渗透到公众的日常生活中，金融机构能够通过互联网为客户提供更加便捷的金融服务，但是互联网的虚拟性也提升了客户身份识别的难度。虚假身份信息的泛滥不仅不利于金融机构的长远发展，而且使得监管部门所搜集到的相关信息良莠不齐，信息的可靠性与可用性较低，随之而来的大规模信息检查甚至延长了监管流程，形成了极大的、不必要的监管资源的损失与浪费。

目前，生物识别技术在用户身份识别方面发挥了巨大作用，它不仅能够解决互联网带来的用户身份识别问题，还能够提高用户身份识别的准确度与效率。一方面，人脸、指纹、声音、虹膜、基因等生物信息具有唯一性、稳定性和难以复制与窃取的特点。金融机构只需对客户提供的生物信息进行识别，就能够快速、有效识别客户身份的真伪，这整个过程均可在互联网上完成。另一方面，生物识别技术与肉眼识别相比，能够并行处理多个客户的请求，效率更高。

二、市场交易行为监控

市场交易行为是指市场主体建立直接的商品交换关系所实施的行为，这是市场行为最基本的内容，它包括购销行为和契约行为。相对应的，针对购销行为与契约行为的监管即为市场交易行为监控。市场交易行为监控在监控体系中有十分重要的地位和作用，是监管机构稽查欺诈行为和洗钱操作的重要措施。近年来，随着技术的发展，尤其是云计算平台等的建设，监管机构可以对大部分市场交易行为进行实时追踪。但是，想要挖掘各个交易主体之间的关系进行深入监管、穿透式监管却并不容易。这主要是两方面原因造成的：一方面是数据量和规模过于庞大，监管机构现有的基础设施难以对这些数据进行系统有效的运算与处理；另一方面是主体关系较为复杂，呈现多层深度嵌套的样式，简单的数据挖掘很难理清其中错综复杂的关系。当然，市场行为相关信息准确性与隐蔽性的问题也是制约市场行为深度监控的重要方面，正如上文所说，这一问题主要依靠生物识别技术来解决。

云计算中的知识图谱（Knowledge Graph/Vault）技术是解决上述监管难题的重要手段。知识图谱又称科学知识图谱，在图书情报界称为知识领域可视化或知识领域映射地图，是显示知识发展进程与结构关系的一系列不同的图形，用可视化技术描述知识资源及其载体，挖掘、分析、构建、绘制和显示知识及它们之间的相互联系。知识图谱技术能够通过对庞大交易信息的体系化梳理与信息挖掘，将各个交易主体之间的关系进行较为深入的分析并通过关系图等方式进行十分直观的反映与展现。通过分析相关关系图以及其内在体现出的主体和主体之间的交易关系，监管机构不仅能够较为清晰地发现与分析各个交易主体之间的关系，而且能够从中获取到传统的监管方式难以获取的深层信息。例如，假设在相关知识图谱技术呈现出的市场交易关系图中出现“闭环”，也即在交易过程中出现脱离整体市场的完全自闭的内部小市场，监管机构就需要重点关注这个闭环中的各个交易主体，判断与分析这些交易主体之间的关系，分析这些交易主体是否正在通过相互交易来提升营业收入或达成其他非法目的，而这显然是传统监管难以完成的却十分具有现实意义的内容。

三、合规与监管数据的整理与报送

正如上文反复强调的，数据是现代监管与合规的核心所在，监管机构的相关检测与监管对监管数据的依赖程度在不断加强，同时也对相关机构的数据处理能力提出了新要求，而很多公司还难以满足监管机构提出的新要求。比如，在银行业，国际组织巴塞尔银行监管委员会（Basel Committee on Banking Supervision）提出了有效风险数据聚合和风险报告的原则与要求，即BCBS239，同时，它还在全球系统重要性银行（G-SIBs）的风险数据精确性、完整性、实时性和适合性等方面制定了相关的规则与要求。但是，现阶段很多金融机构的基础设施还不够完善，数据处理能力较为落后，数据质量无法满足监管要求，需要对数据进行进一步的清洗和加工。当然，对于数据的依赖不仅仅存在于监管方面，公司与机构本身的合规需求也对数据提出了更高的要求。如何提高数据获取的数量、质量及速度，降低数据获取流程的相关成本，是合规与监管科技的重要任务。同时，合规与监管数据在搜集与使用之间，还存在着数据传输这一步骤，如何确保数据传输的安全、提高数据传输的效率也是监管科技关注的问题。目前，针对数据的整理与报送，监管科技的应用存在以下几个思路：

（一）自然语言处理技术

自然语言处理技术（NLP）是计算机领域与人工智能领域一个重要的研究分支与方向，它融语言学、计算机学、数学为一体，是一个新兴的交叉学科。其研究的主要内容是试图实现人与计算机之间用自然语言进行有效通信的各种理论和方法。这项技术可以较好地缓解软件语言较为复杂、难以理解，以及表达不充分的局限。利用自然语言技术，监管机构不仅可以降低获取结构型数据的成本、提高效率，而且可以提高对非结构数据的获取与解读能力。

（二）标准化数据报告

运用大数据、云计算等技术可以将原本较为复杂的数据内容重新解构，统一规则重组为标准化数据，由此形成标准化报告。这不但降低了监管的成本，提高了监管的效率，同时标准化的数据内容也意味着不同行业的跨领域监管成为可能，给混合产业的监管问题提供了解决思路。同时，公司的标准化数据与报告也使各机构之间的信息交流共享更为便捷，拓展了相关机构数据获取的渠道和能力，有利于提高整体的合规能力与水平。

（三）数据加密

稳定与安全的数据运输过程、保障数据与其他公司的隐私信息是保障监管数据顺利报告的前提与基础。在数据加密出现并广泛应用之前，监管部门往往通过专有监管数据通道来实现数据的安全运输。但是专有线路并不意味着绝对安全，它没有改变传统数据输送的算法过程，本质上并没有提高加密技术水平，尤其是在监管数据输送较为密集的时段，在多条数据运送线路转口的节点处，存在着十分巨大的安全隐患。为此，使用区块链技术及其他数据加密技术来保障数据运输的安全是十分重要且有必要的。

四、法律法规跟踪

从现状出发，行业机构的合规难度在不断提升，监管机构的监管难度也在增大，这集中反映在法律法规的总数不断增加，新增法律法规的速度在不断提高，为了保证公司的合法合规运作，相关机构的法务人员不仅要学习以往的法律法规，还要学习最新发布的法律法规。同时，随着全球化进程的推进、全球化经营的兴起，金融机构合规人员不仅需要通晓本国的法律法规，还需要了解其他国家或者国际组织的监管文件，这更增大了公司相关部门与人员的压力。根据IBM公布的统计数据，截至2015年，全球共出现了2万份监管文件。如此庞大的数目已经远远超过正常人所能具备的学习能力，而与公司相对应的监管也需要具备同样甚至更多的法律法规知识，这是常规监管方式与技术很难做到的。这就需要比人更加“聪明”的大脑——人工智能来帮助解决。

人工智能不仅能够通过数据输入的方式学习与掌握已有的法律法规内容，并且能够通过机器学习技术实现对最新监管法律法规的快速学习，不断更新、实时完善法律知识体系。在企业内部合规应用方面，当公司由于法律法规发生变化而导致原有业务不合规时，人工智能能够及时提醒公司，使其可以在第一时间更正现有业务，降低法律合规风险；并且，人工智能的数据处理速度较快，能够快速学习全球的监管文件，并分析出不同国家监管文件之间的关联性和差异性，帮助公司合法地开展跨境业务，使公司更加快速地适应全球化的竞争环境。在外部监管应用方面，人工智能相较于传统监管方式的另一个重要进步在于其可以充分发挥监管案例的作用，为监管决策的制定给予相关案例和参考意见，并对不同监管方式的监管效果做出合理预测与估计，提高监管水平。

五、风险数据融合分析

风险数据融合分析是指运用大数据、云计算等技术改变以往在合规与监管数据分析中仅对单一时间项下单一公司进行数据测度的方法，将不同类别、不同种类的风险数据进行综合测量、比对与分析。具体形式包括跨期风险数据融合分析、截面式风险数据融合分析以及混合式风险数据融合分析。

跨期风险数据融合分析主要是对传统断点式合规与监管分析的一种改进与发展，它不再孤立地考虑两次合规与监管时间断点间的风险数据，而是将其同前面几个时期的数据进行联合建模、综合考虑，有时还会加上对其后若干阶段相关数据的合理预测与估计，使得风险的分析过程更加具有连贯性与全面性。截面式风险数据融合分析主要针对化学材料、投连险等混合业态，它们兼具两个或两个以上子领域的基本特征，传统监管模式要么把它当做一个独立的行业领域进行数据分析，要么将其核心领域作为代表进行相关测算，而忽视了其他子域。截面式风险融合数据分析主要运用了现代大数据深入发展而具备的跨界整合功能，将混合产业中不同领域的数据重新解构与标准化，从而从更加全面与综合的角度进行风险测算，提高了合规与监管的准确性与科学性。混合式风险数据融合分析则兼具跨期风险数据融合分析与截面式风险数据融合分析的基本特征，主要应用于跨国公司的现代风险度量。在传统意义上，跨国公司总是将母公司与子公司、各个子公司之间彼此分离与独立，将子公司视为一个单独的个体单位进行风险测度，这使得整个跨国公司内部的整体性与联合性风险常常被忽略，也使得许多市场交易行为的内部关系被跨国公司的复杂关系所掩盖。同其他监管一样，跨国公司的合规与监管测度也常常是静态的，缺少时间上的动态比对与测度。混合式风险数据融合分析则综合运用大数据、云计算、区块链等各种科技手段，将跨国公司整合为一个整体，在多个维度的时间内进行统筹风险测算与分析，这在全球化日益发展的今天，对于合理估计跨国公司的风险状况、提高跨国公司的合规水平，加强对跨国公司的监管能力是十分重要且具有现实意义的。

六、金融机构压力测试

金融机构压力测试是目前合规与监管科技应用程度高、应用水平成熟、应用技术广泛的示范性应用场景。压力测试（Stress Testing）是指将整个金融机构或资产组合置于某一特定的（主观想象的）极端市场情况下，如假设发生市场利率骤升200个基点，或者某一国家的货币突然贬值20%，或者股票市场整体暴跌40%等异常的市场变化，然后检测该金融机构或资产组合在这些关键市场变量突变压力下的表现状况，看看其是否能够承受住这种市场突变带来的考验。简而言之，压力测试是一种以定量分析为主的风险分析方法，分析金融机构在极度恶劣的市场环境中应对风险的能力。一般而言，我们把压力测试分为情景测试与敏感性测试两部分。其中，情景测试又可以根据情景的不同，划分为历史情景测试与假定情景测试两部分。历史情景测试是指将测试对象放入历史上发生过的、著名的“黑天鹅”事件中进行测试和分析；假定情景测试是指将测试对象放入人为假定的、实际并没有发生过的测试环境中进行后续实验。敏感性测试则是评估与分析利率、汇率、股价等相关风险参数在极短时间内瞬时大幅度变化对金融机构造成的冲击和影响，是压力测试的主要手段与方式。压力测试的主要目的与作用是尽可能地帮助相关金融机构充分分析与了解自身所面临的潜在风险和各种财务状况之间的关系，从而预先制定切中要害、行之有效的风险管理措施，减少极端风险情况给金融机构造成的损失。然而，就目前而言，传统的金融机构压力测试主要面临三方面的问题：一是变量有限。在压力测试的理论模型中，金融机构需要考虑数以千计的变量关系，但是由于计算能力有限，在压力测试的实际操作中，金融与监管机构往往只考虑一些关键性变量，造成测试结果的准确性和参考价值大大降低。二是测试静态。无论是情景测试还是敏感性测试，往往都考虑在一个时点上的瞬时变化带来的影响，缺少动态的变化与分析过程。然而，没有理由认为这一变化并无预兆，且在变化发生后，相关机构无法对其作出切实有效的应对，因此，静态测试可能导致企业的风险承受水平被过分低估。三是被动测试。由于压力测试的进行往往是因为监管机构提出压力测试的要求，金融机构才进行测试，而不是主动将压力测试作为内部风控的工具。造成这种情况的主要原因是压力测试的成本普遍比较高，需要金融机构配置相应的基础设施和人力资源才可以进行。

在这些问题上，大数据、人工智能以及云计算等技术可以发挥重要作用。首先，大数据提高了金融机构的计算能力，打破了以往只考虑主要变量的局限，现在相关企业在做压力测试的时候可以尽可能考虑一些次要变量，例如现在美国的金融企业在进行相关压力测试时，平均会考虑2000个左右的宏观经济变量，这对于解决变量不足造成的测试误差，尤其是情景测试中的情景失真问题具备极大的作用。其次，人工智能尤其是机器学习打破了传统情景测试的静态化特征，使其动态化发展。动态化的压力测试能够帮助金融机构及时发现风险，在风险较小时就采取处理措施，防止风险积累到难以控制的程度。最后，云计算能够大幅度降低压力测试的成本，帮助金融机构实现“自合规”。这集中体现在金融机构不需要配置基础设施和人力资源，只需在云计算平台上购买所需的解决方案就能进行压力测试，从而大幅降低压力测试的成本。当成本降低之后，金融机构可以主动进行压力测试，不仅能够满足监管和合规的要求，还能够避免因未通过压力测试而带来的负面影响。