返回首頁
專家訪談CURRENT AFFAIRS
專家訪談 / 正文
金融監管應隨業務創新而創新

  近幾年來,由于政策的激勵使得我國普惠金融進入了快速發展期,普惠金融的新形式也不斷涌現。最近有市場人士在提倡助貸或聯合貸的新業務形式,稱之為創新。金融科技公司發揮獲客和流量優勢、銀行發揮資金優勢,可以為更多的小微客戶提供貸款服務,是普惠金融的新形式。日前,上海新金融研究院副院長劉曉春就此接受本報記者采訪時認為,毫無疑問,創新是值得鼓勵的。銀行與金融科技公司創新合作模式也是值得鼓勵的。不過,金融創新,無論是什么模式,用什么名稱,業務實質是最重要的,按照業務實質進行嚴格監管也是必要的。監管也要隨著創新而不斷創新。

  

  上海新金融研究院副院長劉曉春

  《金融時報》記者:您如何看待銀行與金融科技公司之間合作開展的助貸或聯合貸這種業務模式?

  劉曉春:首先必須明確,助貸、聯合貸是貸款業務,要按貸款的邏輯進行管理。其次,既然是貸款,需要明確貸款對象,即借款人。不能因為說是普惠金融,就不問貸款的特定對象,籠統地說是小微企業和小微客戶。第三,是貸款用途必須明確,是經營性的還是消費性的。第四,貸款人是誰?是銀行,還是金融科技公司?這個問題,實際上也可以表述為:銀行和金融科技公司是什么關系?或者說,這是一種什么樣的貸款?

  如果是共同貸款,就需要在法律上明確,各自在貸款中的占比和承擔的風險,同時以這樣的風險共擔比例分享貸款收益。如果叫聯合貸,由銀行承擔全部貸款資金,銀行和金融科技公司共同承擔風險。那么,風險如何承擔、如何兌現,包括收益的分享,也需要有明確的規定和監管。如果金融科技公司不承擔貸款風險,只是提供客戶,同樣需要明確金融科技公司的具體責任。既然金融科技公司不是貸款人,貸款利率就應該由借貸雙方協商確定,金融科技公司按貸款利率的一定比例或者向借款人、或者向貸款人收取中介費用。不應該由金融科技公司主導借款人的借貸成本,并主導收益的分配。金融科技公司收取費用的多少,不是簡單的客戶推介費,應該與其在推介過程中所承擔的責任相關聯。

  所謂相關聯的責任,就是金融科技公司在向銀行推介客戶或資產過程中,提供的所有與銀行承擔風險相關的各類有效資料,及金融科技公司對這些資料所承擔的責任。之所以前面說,首先要明確借款人和借款用途,這是銀行發放貸款進行風險評估的基本前提。如果借款人不屬于銀行貸款的合適對象,或者借款用途不符合銀行貸款的要求,銀行就不能發放貸款。所以,這樣的合作,金融科技公司必須提供充分及有效的資料,以便銀行可以進行充分的風險評估,金融科技公司必須對這些資料的真實性、有效性承擔法律責任。轉賣資產的道理也是相同的。現在,由于各個金融科技公司專業能力、技術水平的差別,在這類合作中向銀行所提供的資料質量參差不齊,更沒有具有法律效用的責任承擔,隱含的風險不容小覷。

  《金融時報》記者:在互聯網、金融科技廣泛應用的新形勢下,新的業務模式、新的合作方式不斷涌現,銀行在發展自身業務的過程中,在與各類機構的合作中,會出現許多新的業務外包形式。這些外包業務的安全性和監管情況如何?

  劉曉春:目前的助貸、聯合貸,就可以看作是一種業務外包形式,是一種獲客業務的外包,也是一種數據業務(客戶資料收集)的外包。實際上,經過這些年互聯網金融的野蠻發展與整頓,許多金融科技公司正在尋找與銀行合作的新模式,而不再追求自己直接做金融業務。市場上已經出現了一些新的合作模式,這些模式大多可以看作是銀行業務和銀行工作的外包,這些業務和工作,往往又都與金融科技和各類數據有關。我國銀行及監管部門,以前對銀行業務外包的研究和管理,比較零碎,不夠系統。在新形勢下,新的業務外包形式會越來越多,需要引起高度重視。首先要對各類外包業務進行分類;其次在分類的基礎上,對各類外包業務依據業務的性質制定規則和管理程序。

  目前,銀行已有的外包業務主要有倉儲類:如憑證、資料的保管;金庫;機房等。通用類:現鈔、憑證的出庫、入庫與押運。業務拓展類:如信用卡營銷等。操作類:信用卡收單、后臺清算對賬等。科技類:軟件開發、ATM運營維護等。這些業務的外包,有些有監管要求,大多數是銀行相關業務條線或機構自己在管理,不規范、不統一、不完善。相對而言,因為已經運營了較長時間,積累了一些經驗,所以,進一步完善管理,雖然有挑戰,難度不是很大。大多數外包,銀行都定位在非核心業務的范圍,總體風險影響不是很大。現在更迫切需要關注的是與科技相關的外包業務監管。

  第一,在社會經濟、生活廣泛數字化的條件下,這些新型外包業務,對銀行,特別是包括中資和外資的小型銀行來說,有迫切的需求。在數字化條件下,小銀行有可能利用網絡突破網點和服務時間的限制,但對科技的集中投入,是它們的不可承受之痛。所以,確保銀行新型外包業務有序、安全開展,對銀行自身的發展,對銀行有效支持實體經濟,具有重要意義。

  第二,這是新的業務類型、新的業務方式,并且與核心業務邊界不清。

  第三,業務類型多而復雜。有不同類型的合作貸款、風險評估結果的應用、風險評估模型的接入、客戶的批量接入等等。

  第四,參與方多而訴求復雜。比如有些外包服務提供方訴求的不僅僅是提供服務的機會,有的還企圖獲取銀行所掌握的客戶信息,有的是企圖直接做銀行的相關業務。

  第五,業務場景復雜,職責邊界模糊。比如一些助貸或聯合貸業務,有在消費場景中獲客的,有直接從現金貸轉移過來的,有些是金融科技公司提供法律職責不明的兜底的。再比如云服務中,系統、數據管理和運維的職責邊界等等。

  《金融時報》記者:對銀行外包業務,特別是與科技相關的外包業務,監管部門應該考慮從哪些方面著手?

  劉曉春:與科技相關的業務外包,第一是硬件類的,機房外包、設備及運維外包等。第二是軟件類的,系統開發及運維外包等。第三是涉及數據信息的外包業務,類型復雜。

  第一類已經有一些監管和管理規定,可以繼續總結經驗,完善管理辦法。

  第二類有了新的發展形式。以前主要是一些非核心業務的軟件開發和維護。現在除了系統開發和維護,還有大數據和云服務。這類服務,又有點像數據儲存外包服務。對這類服務,需要監管提出明確的要求,不僅是技術要求,還有具體的服務方式的要求。比如,云服務,云服務提供商,提供的應該是云空間。對于上云的銀行系統和數據,云服務提供商無權管理和應用。對于云服務提供商,監管部門要給予資格認定。認定的方式,可以由監管部門制訂具體的資格要求,委托合資格第三方進行審計并向監管機構報告結果。監管機構每年委托合資格第三方對云服務提供商的服務進行檢查審計。

  對于第三類,需要進行項目細分,并建立一系列監管標準和規則,還要有相應的法規相配套。以上述助貸和聯合貸為例。嚴格意義上,助貸也好、聯合貸也好,既然是放貸款,合作雙方都應該是有貸款資質的持牌機構。如果一方只是提供客戶、客戶信息,由貸款機構承擔貸款風險,則這樣的服務可以當作數據信息業務外包,即銀行將客戶信息的獲取工作外包,也是客戶營銷外包的一種新的形式。監管部門應該對這樣的外包服務提供商提出明確的監管要求,如,為貸款機構提供的信息,必須達到怎樣的要求,以確保貸款機構能夠據此進行獨立的信貸風險評估和審查。貸款利率應當由貸款機構與借款人協商確定,信息提供方收取外包服務費。對于信息提供方,監管部門可以采用發牌制,也可以采用資格認定制。這可以借鑒律師事務所和會計師事務所的做法。銀行可以聘用的律師事務所和會計師事務所,監管機構雖然不發牌,但哪些持牌的律師事務所和會計師事務所可以被銀行聘用,是必須經監管機構認定的。對于提供信息不符合要求的,或者有欺詐行為的外包服務提供商,監管部門應該及時將其剔除出白名單。再比如貸款到期催收外包,也可以當作是數據信息業務外包。因為,催收工作外包,銀行必須向外包服務提供商提供與貸款有關的客戶信息。外包服務提供商如何恰當、安全地應用和保管這些銀行所擁有的信息,也需要有明確的監管規定,同樣對貸款催收外包服務提供商的資質,也要有明確的認定和撤銷規定。再比如,部分風險評估工作的外包,其中的征信業務已經是牌照制。除征信外,目前還有提供信用評估服務的,也有提供客戶信息數據治理和分析模型服務的。對這些服務,監管部門除了對銀行提出必須自主評估風險的原則要求外,也要對服務提供商提供的服務有明確而具體的要求,如,數據來源的合法性、模型需經合資格第三方驗證、銀行數據信息的合法適度應用邊界等。

  關于新形勢下對銀行外包業務的管理,監管部門還可以考慮一個制度性安排,即除了自己對銀行和相關外包業務提供商進行制度規范和檢查以外,可以委托合資格第三方,比如會計師事務所,對銀行各類外包業務的制度建設、營運管理、外包服務提供商提供服務的能力和合規性等進行定期常規審計。特殊情況下,可以要求進行專項審計。當然,第三方要為審計結果承擔相應的責任。這方面是可以借鑒境外監管經驗的。境外許多成熟市場的監管機構,許多監管工作,并不是自己直接做的,大多數是委托合資格第三方進行的。即使像資格申請這樣初級的工作,往往也必須由合資格第三方提供材料。這一方面可以借助社會力量更全面地實施監管,另一方面也減輕了監管機構自身的壓力。

  《金融時報》記者:關于科技工作外包,有什么先進的國際經驗值得我們借鑒?

  劉曉春:美國紐約州金融服務局于2017年初,針對金融機構網絡安全,專門發布了DFS 500規則,其中對服務供應商有單獨的條款,該條款于2019年3月正式生效。金融機構需要建立針對互聯網服務供應商管理的制度流程,包括:識別服務供應商的風險,網絡及信息安全準入標準,盡職調查,定期風險評估。制度流程中還需要通過盡職調查或合同方式,約定服務供應商需要額外滿足以下DFS 500 條款:關于訪問控制及多因素驗證的要求、關于數據傳輸加密和存儲加密的要求,當發生影響金融機構信息系統的網絡安全事件時,需及時通知金融機構、 服務提供商的網絡安全政策的陳述和保證。

  關于云服務外包,美國監管在基于普通外包管理的要求之上,于2012年發布了一個專門的附加指引。也是值得我們參考的。例如:在供應商管理方面,需要考慮服務提供商是否了解相關的法律、監管要求,以及服務提供商能否及時響應相關要求的變化。此外,解除合同的過程也會比較復雜,需要在合同簽訂時確定數據歸屬、數據存儲地點、方式以及解決爭議的方法。

  在審計方面,為了確保金融機構能有效評估服務提供商的風險及其風險控制措施,金融機構的審計部門需要確保審計范圍能覆蓋外包云服務。

  在信息安全方面,金融機構的信息安全需要考慮外包云服務帶來的風險,并對高風險領域進行持續監測。金融機構應該通過數據分類、數據加密、身份與訪問控制管理等手段來保證客戶數據的安全,確認服務提供商的數據處理流程,數據備份,以及服務提供商是否存在與其他提供商共享基礎設施等情況。數據存放在云上會增加信息安全事件、網絡安全事件處理的復雜度,金融機構應持續監控威脅情報、信息安全事件或信息安全事故,金融機構應與服務提供商建立一個完善的事故響應計劃,并涵蓋對信息安全事件調查和證據收集的法庭取證策略。

責任編輯:李昂
体彩6+1开奖号码