最近一些人在提倡助貸或聯合貸的新業務形式,稱之為創新。金融科技公司發揮獲客和流量優勢、銀行發揮資金優勢,可以為更多的小微客戶和低收入人群提供貸款服務,是普惠金融的新形式。
創新,毫無疑問,值得鼓勵。銀行與金融科技公司創新合作模式,也是值得鼓勵的。不過,金融創新,無論是什麼模式,用什麼名稱,業務實質是最重要的,按照業務實質進行嚴格監管也是必要的。監管也要隨著創新而不斷創新。
助貸、聯合貸,首先必須明確,是貸款業務。是貸款業務,就要按貸款的邏輯進行管理。其次,既然是貸款,需要明確貸款對象,即借款人。不能因為號稱是普惠金融,就不問貸款的特定對象,籠統地說是小微企業、小微客戶和普惠人群。再次,是貸款,資金用途必須明確,是經營性的還是消費性的。第三,貸款人是誰?是銀行,還是金融科技公司?這個問題,實際上也可以表述為:銀行和金融科技公司是什麼關係?或者說,這是一種什麼樣的貸款?
如果是共同貸款,就需要在法律上明確,各自在貸款中的佔比和承擔的風險,同時以這樣的風險共擔比例分享貸款收益。如果叫聯合貸,由銀行承擔全部貸款資金,銀行和金融科技公司共同承擔風險。那麼,風險如何承擔、如何兌現,包括收益的分享,也需要有明確的規定和監管。如果金融科技公司不承擔貸款風險,只是提供客戶,同樣需要明確金融科技公司的具體責任。既然金融科技公司不是貸款人,貸款利率就應該由借貸雙方協商確定,金融科技公司按貸款利率的一定比例或者向借款人、或者向貸款人收取中介費用。不應該由金融科技公司主導借款人的借貸成本,並主導收益的分配。金融科技公司收取費用的多少,不是簡單的客戶推介費,應該與其在推介過程中所承擔的責任相關聯。
所謂相關聯的責任,就是金融科技公司在向銀行推介客戶或資產過程中,提供的所有與銀行承擔風險相關的各類有效資料,及金融科技公司對這些資料所承擔的責任。之所以前面說,首先要明確借款人和借款用途,這是銀行發放貸款進行風險評估的基本前提。如果借款人不屬於銀行貸款的合適對象,或者借款用途不符合銀行貸款的要求,銀行就不能發放貸款。所以,這樣的合作,金融科技公司必須提供充分及有效的資料,以便銀行可以進行充分的風險評估,金融科技公司必須對這些資料的真實性、有效性承擔法律責任。轉賣資產的道理也是相同的。現在,由於各個金融科技公司專業能力、技術水平的差別,在這類合作中向銀行所提供的資料質量參差不齊,更沒有具有法律效用的責任承擔,隱含的風險不容小覷。
由此,又引出一個新的問題,即,在互聯網、金融科技廣泛應用的新形勢下,新的業務模式、新的合作方式不斷湧現,銀行在發展自身業務的過程中,在與各類機構的合作中,會出現許多新的業務外包形式,目前的助貸、聯合貸,也可以看作是一種業務外包形式,是一種獲客業務的外包,也是一種數據業務(客戶資料收集)的外包。實際上,經過這些年互聯網金融的野蠻發展與整頓,許多金融科技公司正在尋找與銀行合作的新模式,而不再追求自己直接做金融業務。市場上已經出現了一些新的合作模式,這些模式大多可以看作是銀行業務和銀行工作的外包,這些業務和工作,往往又都與金融科技和各類數據有關。我國銀行及監管,以前對銀行業務外包的研究和管理,比較零碎,不夠系統。在新形勢下,新的業務外包形式會越來越多,需要引起高度重視。首先要對各類外包業務進行分類;其次在分類的基礎上,對各類外包業務依據業務的性質制定規則和管理程序。
目前,銀行已有的外包業務包括:
倉儲類:如憑證、資料的保管;金庫;機房等。
通用類:現鈔、憑證的出庫、入庫與押運。
業務拓展類:如信用卡營銷等。
操作類:信用卡收單、後臺清算對賬等。
科技類:軟件開發、ATM機運營維護等。
這些業務的外包,有些監管有要求,大多數是銀行相關業務條線或機構自己在管理,不規範、不統一、不完善。相對而言,因為已經運營了較長時間,積累了一些經驗,所以,進一步完善管理,雖然有挑戰,難度不是很大。大多數外包,銀行都定位在非核心業務的範圍,總體風險影響不是很大。
現在更迫切需要關注的是與科技相關的外包業務監管。一,在社會經濟、生活廣泛數字化的條件下,這些新型外包業務,對銀行,特別是包括中資和外資的小型銀行來說,有迫切的需求。在數字化條件下,小銀行有可能利用網絡突破網點和服務時間的限制,但對科技的集中投入,是它們的不可承受之重。所以,確保銀行新型外包業務有序、安全開展,對銀行自身的發展,對銀行有效支持實體經濟,具有重要意義。二,是新問題,即新的業務類型、新的業務方式,並且與核心業務邊界不清;三,業務類型多而複雜,有不同類型的合作貸款、風險評估結果的應用、風險評估模型的接入、客戶的批量接入等等;四、參與方多而訴求複雜,比如有些外包服務提供方訴求的不僅僅是提供服務的機會,有的還企圖獲取銀行所掌握的客戶信息,有的更是企圖直接做銀行的相關業務;五,業務場景複雜,職責邊界模糊。比如一些助貸或聯合貸業務,有在消費場景中獲客的,有直接從現金貸轉移過來的,有些是金融科技公司提供法律職責不明的兜底的。再比如雲服務中,系統、數據管理和運維的職責邊界等等。
與科技相關的業務外包,可以考慮幾個層面。第一個是硬件類的,機房外包、設備及運維外包等。第二個是軟件類的,系統開發及運維外包等。第三個是涉及數據信息的外包業務,類型複雜。
第一類,已經有一些監管和管理規定,可以繼續總結經驗,完善管理辦法。
第二類,有了新的發展形式。以前主要是一些非核心業務的軟件開發和維護。現在除了系統開發和維護,還有大數據和雲服務。這類服務,有點像數據儲存外包服務,但又不完全是,還包括了數據處理與管理。對這類服務,需要監管提出明確的要求,不僅是技術要求,還有具體的服務方式的要求。比如,雲服務,雲服務提供商,提供的應該是雲空間。對於上雲的銀行系統和數據,雲服務提供商無權管理和應用。如果雲服務商提供銀行系統和數據的直接管理,則應對這類服務有明確的職責界定、數據和信息隔離要求。對於雲服務提供商,監管要給予資格認定。認定的方式,可以由監管制訂具體的資格要求,委託合資格第三方進行審計並向監管機構報告結果。監管機構每年委託合資格第三方對雲服務提供商的服務進行檢查審計。
對於第三類,需要進行項目細分,並建立一系列監管標準和規則,還要有相應的法規相配套。以上述助貸和聯合貸為例。嚴格意義上,助貸也好、聯合貸也好,既然是放貸款,合作雙方都應該是有貸款資質的持牌機構。如果一方只是提供客戶、客戶信息,由貸款機構承擔貸款風險,則這樣的服務可以當作數據信息業務外包,即銀行將客戶信息的獲取工作外包,也是客戶營銷外包的一種新的形式。監管應該對這樣的外包服務提供商提出明確的監管要求,如,為貸款機構提供的信息,必須達到怎樣的要求,以確保貸款機構能夠據此進行獨立的信貸風險評估和審查。貸款利率應當由貸款機構與借款人協商確定,信息提供方收取外包服務費。對於信息提供方,監管可以採用發牌制,也可以採用資格認定製。這可以借鑑律師事務所和會計師事務所的做法。銀行可以聘用的律師事務所和會計師事務所,監管機構雖然不發牌,但哪些持牌的律師事務所和會計師事務所可以被銀行聘用,是必須經監管機構認定的。對於提供信息不符合要求的,或者有欺詐行為的外包服務提供商,監管應該及時將其剔除出白名單。再比如貸款到期催收外包,也可以當作是數據信息業務外包。因為,催收工作外包,銀行必須向外包服務提供商提供與貸款有關的客戶信息。外包服務提供商如何恰當、安全地應用和保管這些銀行所擁有的信息,也需要有明確的監管規定,同樣對貸款催收外包服務提供商的資質,也要有明確的認定和撤銷規定。再比如,部分風險評估工作的外包,其中的徵信業務已經是牌照制。除徵信外,目前還有提供信用評估服務的,也有提供客戶信息數據治理和分析模型服務的。對這些服務,監管除了對銀行提出必須自主評估風險的原則要求外,也要對服務提供商提供的服務有明確而具體的要求,如,數據來源的合法性、模型需經合資格第三方驗證、銀行數據信息的合法適度應用邊界等。
關於新形勢下對銀行外包業務的管理,監管還可以考慮一個制度性安排,即,除了監管自己對銀行和相關外包業務提供商進行制度規範和檢查以外,可以委託合資格第三方,比如會計師事務所,對銀行各類外包業務的制度建設、營運管理、外包服務提供商提供服務的能力和合規性等進行定期常規審計,特殊情況下,可以要求進行專項審計。當然,合資格第三方要為審計結果承擔相應的責任。這方面是可以借鑑境外監管經驗的。境外許多成熟市場的監管機構,許多監管工作,並不是自己直接做的,大多數都是委託合資格第三方進行的。即使業務資格申請這樣初級的工作,往往也必須由合資格第三方提供材料。這一方面可以藉助社會力量更全面地實施監管,另一方面也減輕了監管機構自身的壓力。
最後,簡單介紹一下美國紐約州關於科技工作外包的監管要求。美國紐約州金融服務局於2017年初,針對金融機構網絡安全,專門發佈了DFS 500規則,其中對服務供應商有單獨的條款,該條款於2019年3月正式生效。金融機構需要建立針對互聯網服務供應商管理的制度流程,包括:識別服務供應商的風險,網絡及信息安全准入標準,盡職調查,定期風險評估。制度流程中還需要通過盡職調查和/或合同方式,約定服務供應商需要額外滿足以下DFS 500 條款:
• DFS 500.12 關於訪問控制及多因素驗證的要求
• DFS 500.15關於數據傳輸加密和存儲加密的要求
• 當發生影響金融機構信息系統的網絡安全事件時,需及時通知金融機構
• 服務提供商的網絡安全政策的陳述和保證
再比如,關於雲服務外包,美國監管在基於普通外包管理的要求之上,於2012年發佈了一個專門的附加指引。該指引大致有如下一些要求,也是非常值得我們參考的:
• 盡職調查:
o 數據分類:雲中的數據的敏感程度(例如,機密的,關鍵的,公共的)以及應該採取哪些控制來確保這些數據是否得到妥善保護? 雲服務提供商是否有采用適當的加密或其他保護數據的措施?
o 數據隔離:金融機構的數據是否與其他雲客戶共享資源? 例如,數據是否將通過相同的網絡傳輸,並在其他客戶端也使用的服務器上存儲或處理? 如果是這樣的話,服務提供商如何確保金融機構數據的完整性和機密性?
o 可恢復性:服務提供商將如何應對災難並確保持續服務?金融機構在制定災難恢復和業務連續性計劃時應適當考慮服務提供商的災難恢復和業務連續性計劃以及與服務提供商之間必要的通信鏈接。
• 供應商管理:
需要考慮服務提供商是否瞭解相關的法律、監管要求,以及服務提供商能否及時響應相關要求的變化。此外,解除合同的過程也會比較複雜,需要在合同簽訂時確定數據歸屬、數據存儲地點、方式,以及解決爭議的方法。
• 審計:
為了確保金融機構能有效評估服務提供商的風險及其風險控制措施,金融機構的審計部門需要確保審計範圍能覆蓋外包雲服務。
• 信息安全:
金融機構的信息安全需要考慮外包雲服務帶來的風險,並對高風險領域進行持續監測。
金融機構應該通過數據分類、數據加密、身份與訪問控制管理等手段來保證客戶數據的安全,確認服務提供商的數據處理流程,數據備份,以及服務提供商是否存在與其他提供商共享基礎設施等情況。
數據存放在雲上會增加信息安全事件、網絡安全事件處理的複雜度,金融機構應持續監控威脅情報、信息安全事件或信息安全事故,金融機構應與服務提供商建立一個完善的事故響應計劃,並涵蓋對信息安全事件調查和證據收集的法庭取證策略。
2019年5月18日星期六
閱讀更多 劉曉春 的文章
