通过“人工分析+系统监控”管控券商客户反常行为
东北证券课题组
近年来,监管机构不断强化对投资者反常行为的管控力度,旨在进一步净化市场,为投资者提供公平公平的交易环境。
各证券公司始终高度重视投资者反常行为治理工作,但实践中仍然存在因为无法精准识别可疑客户而收到监管提示函件的情状。因此,如何提高识别投资者反常行为的精准度,并有效引导客户合规交易成为行业各证券公司不断努力探究的课题之一。
2019年以来,东北证券(以下简称“公司”)在监管机构的专业指挥下,继续加强提防非法配资、反外挂、反常交易监控等客户反常交易行为治理,针对系统监控的薄弱环节加强探索与实践,不断完美系统预警与人工排查相结合的工作机制,形成准则化的工作流程。历经两年的继续优化与总结完美,公司在投资者反常行为治理方面取得了一定的治理体会。
一、投资者反常行为
分类及管控难点
(一)投资者反常行为分类
广义的投资者反常交易行为是指证监会、沪深证券交易所、全国中小企业股份转让系统等机构认定的反常交易行为以及可能影响市场稳定的其他交易行为。这些投资者反常行为中,场外配资、外挂和反常交易对保护资本市场稳定、有效发扬资本市场枢纽功能危害最为严重,应予以特殊关注。
一是场外配资。场外配资是指未经证监会批准,法人、自然人以高于投资者支付的保证金数倍的比例向其出借资金,组织投资者在特定证券账户上使用融进资金及保证金进行股票交易,并收取利息、费用或收益分成的活动。
二是外挂。外挂是指投资者非法接进证券公司交易系统或不当使用非证券公司官方发布的交易系统进行证券交易的行为,该行为可能给客户账户带来被盗买盗卖的风险。
三是反常交易。反常交易是指由证券交易所定义的严重影响正常交易秩序的反常交易行为或者涉嫌违法违规的交易行为。
(二)投资者反常交易行为管控存在的难点
一是,非法证券机构惯用手段灵巧,证券公司排查和监控难度大。2020年以前证券公司监控系统大都以单指标进行监控,存在指标繁多、数据冗余的情状,对于单指标触发的客户,难以对客户整体反常交易行为进行画像分析,仍须对客户疑点进行逐一排查。
二是,外挂软件存在安全隐患,投资者账户安全无法得到保障。证券公司反外挂策略由各系统给予商提供,监控系统阈值难以把控,如何有效识别外挂软件客户并有效转化是有效管控外挂软件客户的重点课题。
三是,高净值客户自主交易意愿较强,反常交易行为管控难度较大。目前,在证券公司对客户交易行为的管控层面,主要是以引导合规交易提示为主,系统监控为辅,系统监控又分为事前监控与事中、事后监控,使用最为广泛的仍是事中、事后监控,管控存在滞后;事前监控阻断模式由于会影响客户买卖交易,碰到极端行情客户无法及时买卖极易引起客户投诉,罕有使用。
展开全文
二、反常交易行为管控
的探索与实践经
公司在总结行业通行做法及排查系统监控薄弱环节的基础上,依据投资者反常行为的不同类型,不断完美差异化的系统预警与人工分析相结合的工作机制。
(一)系统监控与人工分析结合,提高非法配资防控质效
一是,使用随机森林模型系统筛选,提高核查客户精准度。使用恒生疑似配资专业版监控系统对账户核查名单进行筛选。系统使用随机森林模型通过前置筛选、指标触发、模型筛选三个步骤对客户场外配资疑似程度进行打分,筛选出配资嫌疑较大的客户名单。
二是,总部逐户审核模式,避免利益冲突。公司配资核查治理模式为“自上而下”的方式,即由总部统一评估并下发核查数据,由营业网点进行核查,核查结果报总部逐户复审后完成账户处置工作。
三是,继续完美流程,形成准则化工作机制。(1)账户核查的准则化工作流程。营业网点结合账户基本情状、背景调查以及改密、转账、交易终端等方面进行疑点核查分析;依据客户评分情状以及账户核查结果对客户疑似配资进行评级,并将核查结果通过公文形式报送公司总部审核。(2)完美人工分析要害点,提高排查精确度。经过监管机构的指挥以及两年多的工作实践,公司总结回纳出疑似配资账户核查应包含客户的基本信息分析、背景调查、改密转账交易站点分析以及系统触发疑点分析等多个维度,对客户进行综合分析推断(详见图一)。
经过实践,公司总结了关于客户账户非实名制使用的一些站点信息法则:①预留联系电话与转账涉及的手机号码不一致且转账与交易涉及的站点地址完全不相关;②转账与改密地址相同,但与交易地址完全不相关。实践中,我们可以从非实名制使用账户的疑点切进开展排查,通过客户回访、调研等多种方式排查是否存在非法配资行为。对于存在该类情状的账户,我们将提高客户的疑似配资账户核查评级结果并摘取相应的账户处置措施。
四是,一站式工作底稿及核查名单库,形成管控闭环。2019年以来,公司结合10余批疑似配资账户核查的实践体会,不断优化完美并形成了账户核查工作底稿,还自建了疑似配资账户核查的名单库,实现核查账户名单的查询及账户状态跟踪,形成管控闭环。
【场外配资案例】
客户A、客户B、客户C、客户D4名客户于2020年先后触发了“转账地址与交易地址不一致”指标,其中客户A还触发了交易活跃类的3个指标,从系统触发指标上无法判定是否存在配资行为。但人工核查过程中发现,4名客户站点地址存在关联性且4名客户为亲属且均为同一经纪人开发。结合人工核查要点对4名客户进行了合并排查,具体情状如下:
(1)客户基本情状介绍。客户A:年龄31岁,某企业治理咨询有限公司总经理,2019年7月开立账户,开户次日即进金开始操作,交易品种较多,转账、交易十分活跃。客户B:年龄58岁,离退休人员,2019年11月开立账户,开户第二个月开始进金操作,转账、交易较为活跃。客户C:年龄59岁,某制药股份有限公司员工,2019年11月开立账户,开户一周后开始进金操作,转账、交易较为活跃。客户D:年龄38岁,其他金融机构从业人员,2019年9月开立账户,开户一周后开始进金操作,转账、交易较为活跃。
(2)核查发现的主要疑点。①客户A存在同一交易日同时段相邻两笔交易,在不同城市操作,且两城市间距离与两笔交易间隔时间不合理。客户A称,其为提高交易速度,使用阿里云服务器进行托付交易,可能导致站点回属城市差异较大的情状。②4名客户均存在频繁修改密码或密码错误超过10次的情状。客户称,为了账户安全,存在定期修改密码的情状,修改后其家人登录账号,导致账户多次输进错误密码。③4名客户账户均存在账户清空后修改密码,且修改密码后的交易发生在新的地址,但转账地址未变更的情状。客户A账户于7月10日清空后,7月14日修改密码,转账、改密地址与其他3户均相同,且在修改密码后交易地址发生了转变(详见图二)。
客户B账户于2020年1月16日账户基本清空后修改了账户密码,转账、改密地址与其他3户均相同,1月21日存进资金后交易地址较修改密码前的交易地址发生转变;客户C账户未发生清空账户的情状,但转账、改密地址与其他3户均相同,在1月17日修改密码后,交易地址发生转变;客户D账户于10月9日清空,转账、改密地址与其他3户均相同,修改密码前后交易地址发生转变。
对于上述账户站点信息反常情状,客户阐明4名客户为亲属,均托付A代为操作账户。但是,人工核查依据实际情状分析,4个账户的改密、转账地址相同,但交易地址与转账、改密地址不同,且交易涉及的手机号码与客户预留手机号码不相关,代为操作账户的账户交易站点地址应趋同。
依据排查,账户存在“预留联系电话与转账涉及的手机号码不一致,且转账与交易涉及的站点地址完全不相关”、“转账与改密地址相同,但与交易地址完全不相关”的情状,客户无法进一步提供合理阐明,此4个账户存在较大的账户出借或者配资嫌疑,公司最终对4名客户账户摘取了限期注销的处置措施。目前均已销户。
(二)构建风险画像排查体系及转化方案
在转化外挂工作中,公司依据监管要求和行业体会,不断探索、总结和改良方法,以“客户为中心”,在保护投资者账户资金安全的前提下,称心投资者日常的交易需求,提升客户的交易体验,取得了客户的信赖和配合,大幅降低了外挂报警数据总量,化解了部分客户账户使用风险。
一是,逐项分析数据特征,构建风险画像体系。通过对所有报警数据的全面分析以及对单一报警数据的深进研究,总结出应重点关注账户涉及的7个反常特征及疑点;并基于这7个特征对每个触发报警的客户进行画像(详见图三)。
二是,调研客户需求,针对性制定客户转化方案。(1)全面回访报警客户,了解客户需求并进行账户安全提示。组织各营业网点对触发反外挂策略报警的客户进行网上交易客户端需求调研,向客户提示风险,指挥客户正确下载、安装官方软件。(2)锁定重点排查对象,逐项分析反常特征。对客户账户累计报警数量、客户回访了解到的账户使用情状进行综合分析,对于年度累计“报警50次以上”的账户从背景信息、交易信息等方面进行多维度分析,对反常特征进行逐项清除式排查,为每位客户的分析结果单独建档,形成独立阐明。(3)对重点账户制定有针对性的转化方案。对于通过上述排查发现的重点账户、不了解如何安装官方软件的客户及购买使用“按键精灵”“托付助手”等非法外挂软件的客户,摘取不同措施引导客户使用官方软件。
三是,定期跟踪并总结外挂账户特征,继续优化排查方案。(1)设置专人每日跟踪报警数据,及时开展排查,单人建档,形成独立阐明。(2)跟踪重点账户继续报警情状,及时向软件给予商反馈反外挂策略的错报情状,继续优化反外挂策略。(3)客户交易软件版本众多,公司相关部门形成联动机制,继续完美反外挂工作的流程及方法,有效提高报警精度,提升客户体验。
【转化非法外挂案例】
客户L某,截至2021年9月累计触发反外挂策略系统报警数量800余次。
(1)客户基本情状介绍。①身份背景信息:客户L某,女,年龄44岁,2020年1月开立账户,预留联系电话为138*******,联系地址吉林省松原市*****。②交易情状:截至2020年9月,账户资金往来不频繁,转账方式均为手机托付,手机号码均为133********(百度检索手机号码回属地为上海中国电信),IP地址分属在松原和上海两地,交易活跃。
(2)核查发现的主要疑点。该客户存在使用云IP、同一账户对应4个以上Mac地址;近一年合计银证转账5笔,均为手机托付,百度检索手机号码回属地为上海,5笔托付的手机IMEI相同,百度检索交易流水的IP地址回属地分属松原和上海两地。①经了解客户在上海有生意,日常大部分时间在上海,只有少数时间会在松原,与系统留存IP地址相符;②经过多次沟通,客户承认其购买并使用了T0交易软件,通过对接破解版行情系统对其持有的三只股票T0交易,目的是降低持仓成本,增加收益。客户陈述与历史交易情状相符。③关于云IP、同一账户对应4个以上Mac地址以及相同Mac地址的相关账户等情状,客户表达并不知情,对软件运算逻辑不了解。
经过多次风险提示,客户意识到使用TO软件登录交易账户存在账户被恶意盗买盗卖的风险后,立刻修改密码,并表达后续使用官方软件。经过继续监测,后续托付均来自公司官方软件,未再报警。
(三)事前风控阻断模式与事中事后监控双举措
一是,继续完美监控机制,加强系统建设及指标优化评估。结合最新监管动态,及时优化完美监控系统功能;结合系统运行情状定期评估调整系统监控指标,不断提高监控工作的有效性。
二是,行业内率先启用事前风控阻断模式。2021年8月,公司经过多次测试以及5轮生产环境测试上线试运行了事前风控系统,并于9月起对一名交易所重点监控账户正式启用事前监控及阻断模式。启用后系统运行平稳,取得良好的管控效果。
三、存在的困惑及意见
(一)反常数据仅局限在各券商,未能实现行业共享
2018年以来,两交易所继续加强重点监控账户名单治理,为证券公司提供了管控支持。但由于各证券公司仅能监控本公司开立账户客户的交易行为,存在部分恶意扰乱证券市场秩序的投资者可以通过阶段性、策略性更换证券公司的方式规避监控系统预警和反常行为的继续评估的情状。目前行业内还没有共享此类反常客户信息的途径。
(二)意见建立反常行为投资者信息共享数据库
意见两交所或其他行业自律组织建立数据上报路径,结合其自身监控数据构建反常客户数据库,并向各证券公司开放共享投资者历史反常行为信息,各证券公司可分别上报监控结果数据;实现行业数据共享,核查联动,更好地管控恶意扰乱证券市场秩序的投资者。
(三)东北证券下一步工作想象
一是,结合数字化转型,建立全方位客户风险画像体系。在疑似配资多维度账户核查方面,针对异地开户、监管函件、通讯运营商实名制、支付宝账户实名制情状以及互联网检索配资平台相关性和改密转账交易站点分析等方面的排查,目前还是主要依靠排查人员对反常信息的敏锐度。公司将进一步探索人工排查的有效性,并将成熟的排查方法转化为自主研发的系统监控模型,结合数字化转型整体工作安顿,建立反常客户画像体系,减少人工误差。
二是,将客户反常行为数据分析方法使用于从业人员执业行为排查。排查客户反常交易行为的数据挖掘方法主要针对客户站点信息等进行排查分析,相应方法可以经过调整优化后拓展到证券从业人员代客理财炒股等执业规范情状的监控排查。
(【作者简介】课题组负责人:王爱宾,东北证券合规总监;副组长:李雪飞,东北证券副总裁、经发管委主任;课题组成员包括:赵文忠,东北证券合规治理部总经理;于彦,东北证券交易风控条线总经理;张卓,东北证券合规治理部总经理助理;李丹、孙洪超、潘云岩均供职于东北证券合规治理部、交易风控条线。)