数字化转型是银行业发展的必然趋势,中小银行受限于自身科技实力,往往选择与第三方机构合作来加快转型步伐。但随着合作的深入,相伴而生的风险事件和合规问题需要从监管层面予以重视。福建辖内银行机构、消费金融公司、金融租赁公司、财务公司等各类法人机构众多,近年来在金融数字化领域有诸多转型探索。过程中如何发挥监管引领作用,强化中小银行对外合作监管,确保机构转型安全合规?
银行对外合作有其必要性
科技赋能浪潮下,催生了大量掌握新兴技术的金融科技企业和发展领先的银行机构。中小银行人才、技术短缺,自有科研能力难以满足数字化转型需要。为了快速获取必要的科技支持,部分中小银行选择与外部科技企业或先进同业机构合作,具体合作内容也不再局限于传统的科技外包服务,而是寻求在新技术应用领域的深度合作。梳理机构实践,其对外合作内容主要涉及四方面:知识流程、业务流程、信息技术和人力资源。在知识流程方面,对于金融知识密集型业务或需要前沿分析、先进技术与准确决策的业务环节,由银行机构与第三方机构合作执行。例如,辖内泉州银行在第三方咨询公司帮助下制定战略规划,以建设数字化银行为目标,助推业务转型升级。在业务流程方面,对于特定业务的部分或全部流程,联合其他专业机构共同完成。例如,海峡银行、泉州银行等与微众银行合作发展普惠金融业务,丰富小微企业融资渠道。在信息技术方面,主要是在软件开发或硬件更新中借助第三方专业技术公司的力量。例如,泉州银行在IBM等公司的帮助下推进“泉之心”工程,成功建设投产新一代数据中心。在人力资源方面,银行机构将某些业务交由第三方机构人员处理,例如中小银行引入外部科技人员,完成部分业务系统建设中的基础编码和测试等工作
中小银行与第三方机构合作可以实现优势互补、合作共赢。在业务前台,通过合作可以弥补中小银行的技术劣势,帮助中小银行引流获客,扩展业务渠道,提升客户体验,同时让有限的技术人员更加专注于核心业务研发。在业务中台,通过合作可以降低中小银行的系统开发、运维管理压力,提升风险防控水平,同时帮助中小银行提升数据信息提取、挖掘与分析能力,以及数字化风控能力。例如,泉州银行与福建省税务局、微众税银合作,创新推出“好税贷”产品,泉州银行可自动获取申贷企业的税务、工商等脱敏数据,通过大数据分析,优化风控审批操作。在业务后台,通过合作可以帮助中小银行实现信息系统快速投产,降低财务支出和技术风险,更好地支撑中小银行产品和服务创新。
正视合作中的风险隐患
过度依赖导致核心技术受制。部分中小银行为快速实现业务调整,在技术应用和业务拓展过程中,可能会过度依赖第三方机构。若中小银行相关业务开展完全依靠第三方机构或关键技术领域集中度过高、替代性较低,将导致自身金融科技治理能力下降,在核心技术应用环节受人钳制,丧失技术发展主导权。一旦第三方机构出现经营异常,可能给中小银行正常经营带来较大冲击。
过度放松滋生数据安全隐患。中小银行对外合作中可能面临较为复杂的数据流转环节,对自身数据治理能力提出了挑战。中小银行如果不能与合作机构明确数据权属关系、使用权益、保护责任等内容,则存在数据被泄露、篡改、滥用等隐患。同时,相较于银行业数据安全管理要求,部分第三方机构的数据管理标准偏低,可能存在数据保护措施有效性不足问题,存在数据使用合规风险,容易成为数据信息类犯罪行为的目标。
过度粗放引发合规风险。一是针对中小银行与第三方机构合作的管理体系仍待进一步健全。随着合作项目的规模增长,第三方机构人员频繁流动,要求中小银行相应拓宽管理范围,这无疑将提升中小银行的管理难度。二是近年来第三方机构假借大数据分析之名、行违法违规获取用户数据之实的现象时有发生。在此背景下,中小银行引入的外部数据的合法性难以甄别,可能面临侵犯客户隐私等法律风险。三是银行如果难以有效监测和管控第三方机构相关行为,将可能牵涉违规销售、高定价、乱收费、暴力催收等损害金融消费者权益的问题。
过度开放导致外部风险传染。实践中,合作双方的利益关注点往往不同,中小银行主要关注科技赋能和业务发展,第三方机构则更为关注数据获取和盈利最大化。部分第三方机构过于强调技术发展,缺乏对金融规律和金融风险的敬畏。中小银行如果与跨界、跨区域交叉展业特征明显的第三方机构合作,将面临更大潜在风险,也容易受到第三方机构声誉风险的连带影响。
严守对外合作安全关口
对于对外合作中存在的风险隐患,中小银行要着力修炼内功,切实增强相关合作风险管理能力。同时,监管部门应提升监管履职能力,引导中小银行安全稳妥开展对外合作。
抓顶层设计和资源保障。严密的顶层设计可以为中小银行数字化转型指明方向,为实现业务拓展目标提供路径。对此,一是要从战略与发展规划入手,建立符合自身特点的数字化转型战略,并加强动态跟踪和闭环管控。同时,要认识到银行数字化转型的本质仍是金融创新,仍需遵循金融业务规则和监管要求。二是要明确与第三方机构合作的边界,加快关键技术转移和自主掌握,借助外部专业力量,快速提升自身技术实力。三是要强化资源保障,加快基础设施建设,建立人才引进和培养计划,确保自身重要基础设施和人力资源结构符合数字化转型要求。
抓网络安全和信息安全底线。一是将网络安全责任制落到实处,明确由一把手牵头落实,建立网络安全内部责任追究与考核制度,层层落实各级各部门的客户信息保护职责。加强信息安全队伍建设,筑牢信息科技风险“三道防线”,加强网络安全教育,提升全行及第三方机构人员的安全意识。二是加强数据治理,建立完善全行统一的数据标准和管理规范,推动数据标准化在信息科技工作中有效落地,建立覆盖数据全生命周期的数据安全管理体系及数据分级分类标准和访问控制策略,明确各环节的信息安全管理基准。三是不折不扣落实国家网络安全管理规定,严格执行数据安全防护策略,优化数据提取、使用、销毁等环节的安全防护措施,全面掌握客户信息的分布和流转路径,确保内部使用和对外合作过程中的数据安全。
抓管理制度和技术体系。一是完善制度建设,建立一整套与本行数字化转型目标相适应且运行高效的日常合作管理体系,围绕合作风险识别、监测、报告和及时管控,建立有效的组织架构和管理流程,特别是对于可能影响业务连续性的第三方机构行为,针对性制定风险管理措施。二是建立完善运行维护管理平台和监控管理平台等安全运维平台,实现运行维护全流程管理和关键基础设施运行情况实时监控,加强对第三方机构人员的管理和监督检查,实现与第三方机构之间网络安全风险相互隔离。
加强数字化监管能力建设。一是强化监管科技人才队伍建设。针对当前基层监管部门科技监管资源较为紧张的问题,着力加强人才培养,优化激励机制,努力打造一支既懂科技又熟悉监管的高素质人才队伍。二是强化监管政策引领。以信息科技监管评级、网络安全等级保护等重点工作为抓手,紧盯中小银行和第三方机构合作的风险点和管理的薄弱环节,及时传导监管要求,夯实中小银行风险防控主体责任,有效预防重大突发事件。三是提升监管大数据应用水平。依托EAST系统、客户风险系统等监管数据来源,整合外部数据资源,打破“信息孤岛”,发掘监管科技潜能,推动大数据、云计算、人工智能等新兴技术在监管领域的应用,提高数字化监管能力。
[责任编辑:]
京公网安备 11010802031783号