Enable javascript in your browser for better experience. Need to know to enable it? Go here.
关闭
博客 Back
发布者
冉冉
发布于: February 20, 2024 

近期,中国人民银行发布《金融数字化能力成熟度指引》(以下简称《指引》),Thoughtworks专家团队将针对8大能力域、24个子域、75个能力项进行系列解读。在前言《围绕六大要素打造银行数字化能力成熟度》中,我们提出银行数字化能力成熟度的核心逻辑走向六大要素(数据Data、场景Scenario、生态Ecosystem、技术Tech、监管Compliance、风险Risk)的数字化新思维框架,强调以数据驱动、开发场景服务、构建生态合作、运用技术手段、满足监管要求、管控合规风险。

 

本期将围绕“业务开发安全运营一体化”与“数字金融包容性创新”展开解读。

 

专题一:业务开发安全运营一体化

 

随着金融科技的蓬勃发展,数据敏感性和隐私愈发受到关注。因此,银行必须确保高水平的安全成熟度,这是基本要求,也是建立用户信任、遵循合规性和保持业务稳健运行的关键因素。具备一定安全成熟度的银行能够保护用户数据隐私,预防欺诈,维护业务稳定,推动技术创新,并赢得投资者信心,最终在竞争激烈的市场中取得优势地位。

 

以BizDevSecOps强化风险合规,保障金融科技创新

 

关于数据安全和隐私保护,《指引》涵盖了数据安全、安全计算、安全可信、数据合规能力建设等方面。对标数字化能力分档表,《指引》的要求趋向系统化、工程化、智能化:

  • 在数据安全方面,除了应当采用身份认证、权限管理、数据加密等常规安全手段,还应当具备数据全生命周期管理、智能化管理的能力;

  • 在安全计算方面,要求银行运用区块链、隐私计算等安全计算技术,保证数据在流通共享过程中的隐私安全;

  • 在安全可信方面,要求银行不仅要实现基本的事后攻击发现,还应当涵盖事中防御,进而到高级的实时和预防性网络防护与风险智能感知;

  • 在数字合规能力建设方面,要求系统化地构建风控管理体系,信息基础设施实现全面监测与管理,以及金融科技风险信息库的归集和应用,形成一个多层次、互联的数字风险管理架构。

 

金融科技创新与业务开发运维安全一体化的连接,集中体现在构建了相互支持、相辅相成、相互补充的关系。随着金融科技能力在金融机构的广泛应用,大量用户数据的收集和处理成为常态,因此数据隐私和保护显得尤为关键。银行必须建立强有力的安全措施,以确保用户的个人和财务信息的处理安全合规。此外,业务的数字化和互联依赖于稳固的网络基础,因此网络安全成为防范各类网络攻击的重要一环。智能身份验证技术的采用,如生物识别和多因素身份验证,有助于预防欺诈和身份盗窃。在合规性方面,银行需要遵守法规和监管标准,以确保业务的合法性和透明性。利用人工智能和机器学习进行智能分析,可实现对交易和行为模式的实时监测,从而检测异常活动并采取预防措施。这些都对银行技术创新提出了更高的要求。

 

Thoughtworks提倡的BizDevSecOps(业务、开发、安全、运营的融合)是一种创新而高效的工作方法,它将安全无缝融入整个流程,确保系统在不断发展的过程中始终保持最高水平的安全性。这种全方位的融合使得安全不再是一个单一的阶段,而是贯穿于整个开发生命周期。BizDevSecOps通过持续进行和持续改进提高了系统的安全性,同时也提高了整个开发团队的效率,推动了创新的发展。

safety and inclussion
safety and inclussion

在金融行业,BizDevSecOps的意义更为突出,金融领域涉及大量敏感信息和资金流动,因此面临更高的安全威胁。BizDevSecOps通过全流程的安全策略,确保全方位的安全保障,从业务规划、到开发设计、再到运营管理都强调安全性,最大程度减少潜在威胁。其协同工作方式和持续改进策略有助于提高系统的稳定性和韧性,降低因安全问题而导致的业务中断的风险。BizDevSecOps的成功实践不仅提高了银行的安全性,更提高了整个开发团队的效率,使银行能够更好地适应快速变化的市场和技术环境,保持竞争优势。

 

Thoughtworks助力金融机构实践BizDevSecOps

 

Thoughtworks在BizDevSecOps领域拥有丰富的实践经验,并在金融领域成功应用。我们为银行、信托等金融机构进行全流程的安全咨询、威胁建模、DevSecOps流水线的建设等,助力他们在数字化时代取得了更大成功。

 

以下这些案例和亮点展示了Thoughtworks在金融领域的安全咨询和支持方面的丰富经验:

 

【案例1】某股份制银行信用卡中心寻求全流程的安全咨询和支持,以解决将安全流程与业务流程相融合的难题,并识别安全改进点,确保安全流程的有效性。针对这一技术相关的安全性挑战,Thoughtworks提出以下方向的改进实践,包括:1、全流程安全咨询:通过全流程的安全咨询服务,我们与该行信用卡中心合作识别技术相关的安全改进点,并将安全流程融入业务流程中;2、团队试点:我们与该行的业务人员和技术人员合作,通过团队试点模式,验证安全流程的有效性和实施效果;3、威胁建模:针对该行信用卡中心的某系统进行威胁建模,设计解决方案,并规划产品的安全性。

 

【案例2】某国有银行研发部寻求全流程的DevOps支持和成熟度提升,以实现其金融部在DevOps领域的可持续发展。Thoughtworks帮助该行打造了支持从“持续交付”到“技术运营”的全流程,实现了深度融合和跨中心的DevOps工具体系。同时,我们还从整个流程出发,构建符合该行模式的软件交付和运营成熟度模型,并提供提升路径图。

 

【案例3】某信托机构正在经历金融科技战略转型的重要阶段,然而其业务管理流程和IT系统建设相对滞后,网络安全威胁增加。Thoughtworks通过提供全面的安全一体化措施,包括安全设计、架构审计和安全自动化,帮助该机构提升信息基础设施的完整性和可用性。同时,我们还提出以下三项重要举措:1、业务技术融合:我们从该机构的业务视角出发,落地BizDevSecOps,实现业务和技术的融合,将安全流程融入开发流程中;2、应用程序安全架构设计和审查:在应用程序安全方面,我们提供应用程序安全架构设计和审查服务,通过现场辅导,确保安全最佳实践的实施;3、DevSecOps流水线和工具:我们对该机构的DevSecOps流水线和工具进行指导和实践,不断提升其自动化水平和产品可靠性。

 

BizDevSecOps趋势下,银行如何平衡安全建设与创新应用?

 

从《指引》的要求看,银行未来的方向在安全建设方面需要双管齐下:

 

  • 一方面,要聚焦构建强大的安全数据基础,包括建设健全的安全数据底座和有效的数据资产管理,这将有助于提高银行整体的安全管理水平,确保敏感信息得到妥善保护,降低潜在风险;

  • 另一方面,安全建设也需要注重未来的发展方向,特别是在数据智能领域加码,以业务与安全的融合为核心,结合AI智能和大型模型等创新技术,持续提升银行数据变现和数据驱动的能力,这将有助于及时发现和应对新型安全威胁,提高对安全事件的预测和响应能力。

 

综上所述,银行在未来的安全建设中,需要平衡好基础安全管理和创新应用,确保安全性与业务发展的有机结合:

 

  • 对于大型银行而言,需要同时注重持续治理,提升安全数据管理水平和应用水平。同时,要紧抓创新机遇,结合具体场景推动数据智能的发展,确保在创新过程中保障信息安全。

  • 对于中小银行,安全建设需要在兼顾现状的基础上,以场景为出发点,通过突破重点领域逐步构建安全数据底座。同时,中小银行还需要注重业务导向,将场景聚焦于业务安全和合规,确保创新场景的安全落地。

 

 

专题二:数字金融包容性创新

 

 

金融服务与社会福祉之间有着紧密的联系。支付、储蓄账户和信贷等金融服务可以推动人们对健康、教育和商业的投资,帮助其摆脱贫困,从而促进社会的发展。

 

在20世纪初,金融服务主要集中在发达国家和大城市,贫困人口和农村地区往往被边缘化。缺乏金融服务的边缘群体面临着难以获得贷款、支付和储蓄等金融服务的问题,这限制了他们的经济机会和社会发展。

 

1990年代末和2000年代初,发展金融机构(DFI,也称为开发银行,是在非营利的基础上为经济发展项目提供风险融资的金融机构。))加大了对小额信贷的支持力度,为缺乏稳定收入来源的人提供小额贷款,此后金融包容性一直是政策讨论中反复被提起的议题。 

 

随着储蓄等基本金融服务普及,这一概念已经扩展到更广泛的小额金融。 如今,金融包容性旨在为每个人提供更广泛的服务,如储蓄账户、信 贷、保险、支付、汇款和其他金融产品。客户包括“无银行账户”的个人,以及微小型和中型企业。包容性还意味着以合理的成本可持续地为他们提供服务。

 

而数字创新已经成为发展数字包容性的一个关键因素。移动应用程序可以让被排除在传统银行融资之外大部分贫困和偏远地区的人们轻松获得广泛的服务。数字革命改变了民众收付款、借贷和储蓄的方式。目前全球有三分之二的成年人以数字形式收款或付款。数字服务总体上比携带现金更安全,它还通过创建审计线索和减少欺诈来提高透明度。

 

safety and inclussion
safety and inclussion

图片来源:世界银行博客 https://blogs.worldbank.org/zh-hans/voices/unveiling-global-findex-database-2021-five-charts

 

金融机构和技术公司推出了各种数字支付解决方案和金融创新产品,如移动支付、电子钱包、区块链等。然而,数字鸿沟可能导致一些人无法享受到这些创新带来的便利和机会。因此,需要关注数字支付和金融创新的普及性和包容性,确保所有人都能够受益。

 

在《指引》中也提出了“有效弥合数字鸿沟”,“提升服务的温度、广度、深度”等发展金融包容性的数字化能力要求,并将能够积极有效支持金融包容性发展的数字化能力看作成熟阶段的数字化能力。

 

一、无障碍服务智能化是发展金融包容性的重要路径

 

自新冠疫情爆发以来,提高金融包容性已成为短期救济和可持续经济复苏工作的一个重要基石,但全面实现金融包容性依然面临诸多挑战。

 

以老年群体为例,老年人长期使用并习惯了在柜台办理业务,习惯了在存折上查看账户变动;另外老年人对新生事物的接受度不如年轻人,目前绝大多数老年人对于诸如网上银行、个人理财等自动化、无形化的服务形式不太适应。因此,老年群体参与数字金融消费比重偏小。

 

再看残障用户的金融需求特点。一方面,由于残疾人群体的特殊性,他们面临着储蓄、投资、保险、支付等多方面的金融需求,但常常受到无障碍环境、金融知识和技能不足的制约,导致需求难以被满足。另一方面,随着社会的发展和普惠金融的推广,一些金融机构和社会组织开始关注残障家庭的金融需求,并推出相应的产品和服务,同时提供金融教育和支持。然而,缺乏对金融产品了解、金融机构无法充分提供个性化支持沟通、业务操作障碍设施不足,及心理障碍等现状依然阻碍残障群体平等有效地获得金融服务。

 

《指引》中对无障碍服务也提出了5档不同的能力要求:

 

  •  档指智能服务主要面向大众客群……。

  • 档指建立了面向不同群体的智能服务体系,具备若干有特定功能的智能服务平台和服务工具。

  • 档指……30%以上的智能服务平台具备高频服务场景的适老化、无障碍服务能力。

  • 档指50%以上的智能服务平台具备无障碍服务能力,能够唤起人工服务对接……。

  • 档指 80%以上的智能服务平台具备无障碍服务能力,能够通过多种手段持续提升客户数字素养和客户体验……。

 

这意味着金融企业需要懂得充分利用智能化技术进行金融服务创新、为解决上述挑战和实现《指引》能力要求获取新思路。如智能语音交互解决了老人/残障客户因为认知、手指精细动作操作能力不足而无法顺畅使用手机银行的问题,更倾向于模拟“人工服务”的方案,为他们提供个性化的服务;再如针对语言障碍的客户,通过AI语音训练功能,能够听懂有语言障碍(如口齿不清)用户的发音并转成标准字幕或语音。以谷歌研发AI新产品帮语言障碍患者克服交流障碍为例。其产品团队利用AI提高电脑理解各种语音模式的能力,通过更具包容性的语音识别或动态识别,例如手势、眨眼等,让言语障碍患者可以更容易与其他人沟通。

 

然而,通过智能技术不断提升金融服务的个性化能力还没有在金融机构中进行充分开展。主要由于技术复杂性和高成本、数据隐私和安全问题、文化和管理方面的困难,以及监管和法律环境的限制等因素所致。但是随着技术的不断发展和金融行业对个性化服务的需求增加,仍然可以预见金融机构将逐渐加大对智能技术的应用和探索,以提升客户体验和满足不同客户的需求。

 

二、数字金融服务要考虑与物理空间的衔接

 

当前金融企业在提供数字金融服务时,普遍存在用户从物理空间接触数字服务难(如卧床老人无法到线下接受服务)和初次使用数字服务门槛高(手机银行操作对部分群体要求高)的“最后一公里”问题。

 

金融企业需要探索有效利用数字技术衔接客户实际生存的物理空间如何平等便利地获得数字金融服务。如可以考虑利用入户式的智能设备可以解决老人和残障群体出门困难的问题;同时也能解决银行网点人员无法频繁上门提供服务的带宽限制,且有效节约了银行网点员工上门服务的人工成本。

 

《指引》中也将企业金融数字能力与物理空间衔接紧密度通过“线下渠道升级”、“线上渠道创新"和“渠道融合发展”三个维度划分了不同阶段的要求。

 

  • “线下渠道升级”的重点在“借助移动服务机具实现与周边社区生态高度融合”与“通过数字技术打造多模态、沉浸式、交互型智慧网点,及时响应线上渠道的唤起”;

  • “线上渠道创新”的重点在线上服务渠道全面覆盖产品和服务,实现服务渠道多媒体化,各渠道的服务交互体验良好,除监管政策要求必须线下办理外的新产品和服务可以及时实现线上化办理;

  • “渠道融合发展”则直接要求金融服务实现不同渠道无缝衔接,服务体验无差别、无断点、无边界。

 

【案例】以浦发银行为例,针对老年客户长期卧床导致身形消瘦,与身份证联网核查照片比对差异较大,导致人脸识别无法通过的问题,浦发银行哈尔滨先锋支行作为浦发银行“云柜”业务试点行,灵活运用总行新开发的“在线服务中台”。由上门的工作人员双人审核客户提供的身份证原件及社保卡原件确认客户本人身份后,与该行"中台柜员"通过智能设备远程连线,成功为客户办理了银行卡密码解锁业务。

 

三、发展数字金融必须考虑如何有效支持社区养老和残障融合

 

我国养老残障融合共荣的愿景与当前社会与市场提供的支持程度还存有比较大的差距,金融机构在发展数字金融的同时,应当有机结合金融机构行业属性与众多在地网点的社区深入优势,为老年和有障人士提供更好的社会基础服务。通过数字服务与金融机构的网点绑定,充分利用网点深入社区与本地化沟通的优势,为候鸟家庭分担普遍存在的紧急情况无人及时上门救助的担忧,为残障照顾者争取喘息服务的空间。

 

【案例】中国银行上海分行在持续优化完善适老金融服务的同时,引入云端问诊、老年教育等涵盖老年客户“医、食、住、行、娱、情、学”等全方位智能养老服务。周家渡支行定期预约在线养老顾问,为广大老年客户提供5G在线养老咨询和医疗咨询等服务,通过线上咨询服务,大幅节省了老年客户来回奔波的“脚底成本”。2022年,网点通过线上云咨询系统,累计为100余名社区老年客户提供线上健康咨询、线上求医问诊等服务。中国银行上海市分行目前已建设养老服务示范点36家,今年还将新增5家养老服务示范点。

 

总之,金融机构发展金融服务智慧再造需要重视金融科技治理体系、数据潜能释放、新型数字基础设施建设,以及数字化经营动能和智能化金融服务的提升。在此基础上同时关注无障碍设计和多渠道融合创新,以实现社会金融包容性的繁荣目标。

引用参考:

 

  1. 数字金融包容性,《ITUNews MAGAZINE》,No.3, 2021。

  2. 通过五张图了解2021年全球金融包容性指数数据库,Saniya Ansar,Jijun Wang,Vipin Panchamia,Sri Sravya Raaga Akkineni,《世界银行博客》,2022年6月29日。《中国老年人金融服务发展报告》,零壹财经·零壹智库,2020。

  3. 浦发银行哈尔滨分行数字化融合" 适老化" " 云柜" 服务做到家,《中国银行保险报》,2023年5月5日。银行智慧网点助力老年客户跨越数字鸿沟,《新华网News》,2023年4月12日。

  4. 浦发银行哈尔滨分行数字化融合" 适老化" " 云柜" 服务做到家,《中国银行保险报》,2023年5月5日。

  5. 银行智慧网点助力老年客户跨越数字鸿沟,《新华网News》,2023年4月12日。

免责声明:本文内容仅表明作者本人观点,并不代表Thoughtworks的立场