对症下药破解对外合作风险

银行业数字化转型浪潮席卷而来，农村中小银行在这一领域普遍起步较晚，为了补齐自身短板，缩短改革进程，降低转型成本，进一步提升自身竞争力，部分农村中小银行选择与第三方机构合作。随着合作的进一步深入，第三方合作风险逐渐成为农村中小银行风险管理的重要内容。如果银行对第三方机构管理不到位，或受累于第三方机构违法违规事件，很可能影响日常运营，甚至损害银行商誉。如何妥善应对对外合作中的风险，成为农村中小银行数字化转型进程中的一项重要课题。

把好脉：五大管理短板引致五大风险

互联网金融浪潮下，越来越多的银行选择将技术研发工作外包给第三方机构，或者是采取合作方式开展业务，以此提升自身科技创新能力和业务效能。与此同时，银行对第三方机构的识别、选择和管理不善也可能引发一系列风险，导致银行自主研发能力丧失、业务运营中断、客户信息泄露、服务水平下降等问题。从风险成因出发进行梳理，银行对外合作风险主要包括以下五个方面。

风险管理机制不健全。大多数农村中小银行的全面风险管理工作尚处于起步阶段，并未将第三方合作风险纳入全面风险管理体系，未能切实在银行风险偏好下开展工作，存在对外合作策略偏离银行发展战略的风险。

专业人才不充足。近年来，更多农村中小银行建立起“三道防线”机制，但在实际运营中，第一道防线存在大数据、云计算和人工智能等方面专业技术人才短缺问题；第二道防线和第三道防线存在信息科技人才缺失、相关岗位多由业务人员兼任、各道防线职责不明晰等问题；第三道防线存在未将第三方合作风险纳入审计内容，合作中过度依赖第三方机构等问题。总体而言，农村中小银行“三道防线”的运营短板，容易在对外合作中滋生较大的操作风险和合规风险。尽职调查不充分，合规管理不完善。农村中小银行可能存在第三方机构资质和能力审核不严、合作成效监控和评估不到位等问题，导致银行面临合规、业务连续性和舆情等风险。同时，部分农村中小银行在对外合作中只关注合作项目本身，较少关注第三方机构异常导致的风险。事实上，对外合作并不会转嫁银行业务的风险，银行仍然是风险管理主体。对此，农村中小银行应针对性完善风险管理和合规管理范围，避免因忽视第三方机构的经营风险，导致更大范围内的风险传染。

合作集中度不合理。农村中小银行自身的基本科技能力较为薄弱，容易过度依赖第三方机构，从而引发技术集中度风险，导致银行失去核心技术控制力，并错失增强自身科技创新能力的机会。在这种情况下，一旦第三方机构发生系统故障等运营事故，银行将被迫中止业务，有损自身品牌形象。同时，合作机构如果服务地域过于集中，可能对操作风险形成放大效应，从而引发业务集中度风险，同样会增大银行业务非自然中断的可能性。

信息披露不规范，信息保护不到位。随着对外合作日益增多，农村中小银行的客户信息被第三方机构泄露或违规使用的情况也随之增加。这要求农村中小银行加强对合作内容、相互权责及相关风险等内容的明确和披露。同时，农村中小银行在完善银行端客户信息安全保护措施之余，也应关注第三方机构的信息安全保护能力，避免因合作机构的违规操作而累及自身。

开好方：确保对外合作安全

加强体系建设，完善风险管控机制。一是将第三方合作风险纳入全面风险管理，建立一套自上而下全行统一的风险管理体系，在其指导下开展第三方合作，在银行风险偏好下开展风险管理工作，确保对外合作策略与银行发展战略相匹配。二是建立完善第三方合作和管理制度，建立覆盖各类合作机构、全行统一的评估和准入标准，制定第三方合作风险识别和缓释规范，内容兼顾自身风险防控和第三方机构行为监测。实施合作机构分层分类管理和全流程动态监测，落实淘汰机制，做到第三方合作风险早发现、早预防。着力减少对外合作导致的操作风险、信用风险和声誉风险等一系列风险，全方位保障农村中小银行数字化转型稳健有序推进。

加强队伍建设，提升自有人才能力。一是把第三方合作风险纳入农村中小银行“三道防线”机制中。具体而言，第一道防线为业务部门或技术部门，负责管理各自领域内的风险；第二道防线为专门设立的风险管理部门或银行自身的合规部门，负责全面风险管理和对第一道防线履职情况的督导；第三道防线指内部审计部门，负责对第三方合作风险的管理成效进行独立判断和审计。二是明晰责任，各司其职。做好第一道防线和第二道防线之间的工作内容细化与职能衔接，充分发挥每道防线的风险防控作用。三是发挥内部审计部门的独立监督职能。伴随着对外合作的深入，农村中小银行面临更加复杂、隐蔽、不易控制、多样化的风险，进一步凸显了内部审计的重要性。农村中小银行要及时调整审计策略，提高对第三方机构的审查要求，发挥内部审计部门对风险或环境认定和评估的独立性，确保内部控制严格、有效、适当，切实提升第三方合作风险管理能力。

做好尽职调查，禁入不合格机构。一是做好对第三方机构的尽职调查。农村中小银行在对外合作过程中非常关键且将影响整个项目周期的一个环节就是尽职调查。在合作前，银行应按照第三方机构资质和其所承担职能相匹配的原则，围绕经营情况、管理能力、风控水平、技术实力、服务质量、业务合规和机构声誉等方面开展机构评估，确保第三方机构资质与具体合作事项符合银行业法律法规和监管要求。此外，农村中小银行应跟进评估第三方机构是否建立有效的客户信息安全保护制度，日常是否履行信息安全管理职能，是否严格按照合同约定履行义务，及时识别、评估和缓释因第三方机构违约、经营失败等导致的风险。二是充分评估第三方机构的信息系统服务能力、可靠性、安全性以及敏感数据保护能力，定期开展联合演练和测试，加强合同约束，确保不因合作而降低农村中小银行信息系统的安全性，保障银行业务连续性。

监测第三方集中度，防范风险扩大化。农村中小银行应重点识别具有集中度风险的第三方机构，积极采用分散业务和技术活动、提高自身业务和技术能力、储备后备第三方机构、严格按照风险偏好开展限额管理等措施，避免过度依赖少数第三方机构，着力降低集中度风险。

加强合规管理，守住风险底线。一是落实合作签约前的合同审查。在农村中小银行与第三方机构签订书面合作协议前，应由合规部门针对合作范围、操作流程、各方权责、收益分配、风险分担、客户权益保护、数据保密、争议解决、合作事项变更或终止的过渡安排、违约责任等进行合规审查，保障农村中小银行的权益不受侵害。二是农村中小银行开展第三方合作过程中，应严格遵守国家法律法规和相关行业监管要求。三是持续动态监督第三方机构。加大对外合作中的抽查和检查力度，关注第三方机构行为是否违法，是否违反监管要求，是否违反行业相关规定，是否违反银行内部规章制度，是否严格执行双方约定，是否已不再满足合作准入条件，是否被监管机构纳入黑名单等，及时发现第三方机构的违法违规风险并终止合作，将银行的合规风险和声誉风险降至最低。

做好信息披露，保障客户知情权和选择权。一是充分披露对外合作相关信息。农村中小银行应在公开页面醒目位置向客户充分披露自身与合作机构信息、合作产品信息、自身与合作机构权责，按照适当性原则充分揭示合作业务风险，避免客户产生品牌混同。二是充分披露授权信息。农村中小银行向客户获取数据授权时，应在相关页面醒目位置提示客户详细阅读授权书内容，并在授权书醒目位置披露数据内容和授权期限，确保客户完成授权书阅读后再签署同意。三是充分提示电子交易安全。在客户进行自主电子交易前，银行必须先行告知客户将按照“权责一致、目的明确、选择同意、最小必要、主体参与、确保安全、公开透明”的原则收集客户信息，明确客户信息使用范围和信息保护承诺，充分尊重客户的自由选择权。

加强信息安全保护，确保客户信息不泄露。一是加强信息安全防护。建立内外部数据防泄露机制，做好数据分级分类管理，做好敏感数据有效隔离，加强对第三方机构信息安全保障能力的评估，保证数据交互安全合规，保障客户、员工以及银行内部数据不被泄露。二是加强数据安全管理。确保与第三方机构之间传输数据、签订合同、记录交易等各环节数据交互的保密性、完整性、真实性和抗抵赖性，并定期做好数据备份。

提升数字化风控能力，强化风险防控水平。一是建立数字化全面风险管理平台，保证全行上下风险管理标准统一，实现不同防线和不同部门的统筹管理。将第三方合作风险纳入管理平台，嵌入相应风险计量模型，根据不同合作形式的风险特征实行不同层级的风险管理举措，推进银行对外合作风险防控差异化。二是搭建金融信息科技共享平台。四川省联社参考四川省银行业协会信息科技工作委员会的模式，在四川银保监局的指导和监督下，以注重实效、集约高效和开放共享为基本原则，将散布在各机构的专业人才组织起来，建立广泛汇聚行业智慧、统筹组织行业力量的协同机制，充分发挥行业自律、行业合作和行业互助作用，充分总结行业良好实践，科学专业、深入细致地开展工作，帮助各机构以切实可行的方式提升能力、防控风险，提高全系统的风险防范和应对处置能力。 

优化员工培训与考核，强化员工风险意识。一是加强员工培训。每位新入职员工均需参加关于第三方合作风险的基础培训。同时，不断丰富培训方式，持续加强员工信息安全培训，特别是针对与第三方机构接触频繁的部门及员工，着力强化培训及管理手段。二是加强员工考核。建立明确的监督考核机制，督促员工持续监测第三方机构的信息安全管理情况，将该项工作纳入员工考核内容和员工年度行为评价，确保农村中小银行对外合作安全高效。