防止风险管理“空心化”一直是银行业监管热议的中心话题。据《上海证券报》报道,银保监会已于近日完成了《银行保险机构信息科技外包风险监管办法(征求意见稿)》(以下简称《办法》)起草工作。《办法》所适用于管理银行保险机构将与本机构经营活动相关的信息科技活动委托给服务提供商进行持续处理的行为。
这是继2013年印发《银行业金融机构信息科技外包风险监管指引》后,监管部门剑指风控外包乱象拟发布的又一项针对性、专项性政策文件,同时其也在前者的基础上加强了监管力度和监管覆盖面,从商业银行扩大到银行、保险机构。
地方性中小银行银行风控“空心化”问题严重
9月30日,银保监会官网对贵州银行存在的网络安全和科技外包风险管控不力披露了行政处罚公示,后者受到四十万元罚款等处罚措施。
这并非个案,风控外包是不少地方性中小银行共性问题,受制于经营地域限制、线上化流量缺失等因素影响,这些银行往往会选择与各类互联网平台合作,开展联合贷、助贷等业务,以谋求精准、巨量、低成本获客的成果。
然而,风控是金融业务的核心命脉,银行若是将核心风控交由第三方机构处理,则会导致独立风控能力渐渐弱化,甚至脱节,从而成为单纯的资金提供方。特别对于部分中小型银行而言,他们在合作中的话语权、定价权、抗风险能力、获取信息能力等方面处于明显劣势。
中国人民大学金融科技与互联网安全研究中心研究员车宁认为,风控外包会滋生道德风险,实质上削弱了风控能力。对于行业来说,银行的信贷业务具有一定传导性,对于规模较大、银行间市场联系较多的银行来说,一旦其出现问题,对整个行业均会造成影响。
民生银行研究院研究员李鑫表示,“表面上,第三方机构做第一道风控,银行再做第二道风控,但实际上一些银行对于第三方机构提供的客户没办法按传统方式做风控,只好暗地里放松标准,或者引入担保机构。另外,第三方机构风控主要依据多场景下客户交易信息进行画像数据分析,而银行风控更多依据客户资产、收入、结算、信用记录等信息。因此,在这种合作下,银行很难按原有的风控手段经营。”
从这一层面考虑,银行承担的隐藏风险较高,而如果合作机构为了加大获客量,下沉客户资质或调控大数据,则将进一步“威胁”银行的不良率,甚至可能带来行业风险。
《办法》扩大覆盖面 从四层面深入
截至目前,从地方到全国,都有出台涉及监管风控外包的相关文件,而此次《办法》的起草则能进一步加强监管力度和监管约束,同时也将风控外包的监管范围从商业银行扩大到银保、保险机构。
插图| 吴申城
据《上海证券报》报道,此次《办法》主要围绕信息科技外包风险管理,着重考虑四个层面:
一是治理层面。为了保障信息科技外包与IT战略、业务战略的一致性,有效管控外包风险,需要在治理层面对信息科技外包作出框架性安排,提出监管要求,包括外包相关的组织架构、制度流程等。
二是管理层面。信息科技外包是一种流程性的活动。从监管角度,外包流程的每一个环节都存在风险,在管理层面对信息科技外包活动全流程的关键环节提出要求,核心是准入和监控评价,体现监管当局对银行保险机构开展信息科技外包工作当中风险控制活动的基本期望。
三是风险层面。外包过程中的风险管理和内部控制相互依存。从风险的维度,特别是对外包活动中可能产生的独特风险,如跨境外包风险、集中度风险、非驻场风险等,提出进一步的管理要求。
四是监管层面。为了对信息科技外包实施有效的监督管理,有必要从监管的角度,对事前报告、监管评估、风险监测、监督管理、现场核查、监管问责等措施作出原则规定。