自2014年以来,国内商业银行开始布局直销银行。基于当前中国直销银行的发展情况及国家强化互联网金融风险治理的现实,本文认为,只有做好技术层、合规层、业务层、战略层四个层次的风险防控,才能推动中国互联网银行行稳致远。
自2014年以来,国内商业银行开始布局直销银行。特别是,中小银行创设直销银行的积极性尤为高涨。与此同时,欧美互联网银行已经从1.0版本的直销银行升级到2.0版本的数字银行,其主要内容是利用移动互联网平台,在直销银行基础上更加广泛深入地与科技相结合,为用户提供更加开放的、集成化的金融服务。先进国家两个版本的互联网银行实践为中国商业银行进一步布局互联网银行提供了借鉴。业内人士普遍认为:由于互联网银行的特殊性,发生风险事件的外部性特别巨大,因而做好风险控制是互联网银行健康发展的关键。
技术层风险及其防控
互联网银行不论是个人电脑(PC)端还是手机移动端,都依靠移动互联网技术实现全部业务办理,因而技术层面的风险是互联网银行面临的最基础的风险。经过梳理,技术层的风险主要有:一是由于终端安全漏洞、平台安全漏洞、网络安全漏洞等因素造成的信息安全问题。商业银行始终负有保护客户信息的义务,如果因为技术漏洞导致客户信息安全受到威胁,甚至被截取、盗用,影响到客户的资金安全,商业银行也将难辞其咎。这里存在两个方面的风险点。其一,技术标准本身的可靠性问题。信息安全标准和攻击手段始终是“道高一尺,魔高一丈”的关系。其二,银行对安全技术标准的采用和安全管理的问题。目前,有的直销银行的安全措施和安全等级明显不够,比如,对于账户登录密码和交易密码缺乏安全保护措施,对于密码重置的管理过于简单,安全性较弱。二是互联网银行业务连续性风险,即由于技术上的漏洞,导致互联网银行系统中断的风险。由于直销银行、数字银行用户分散在不同的地域,发生问题只能求助于客服,若处置不当很可能导致业务连续性问题被无限放大。三是互联网银行外包风险与外包集中度风险。一方面,互联网银行的业务需求、合规要求、管理要求都需要依赖信息技术(IT)实现,而商业银行布局互联网银行大都依赖IT厂商,若外包厂商选择不当,或者外包的IT公司不能充分理解银行的需求,导致技术上的偏差,可能导致严重的后果。有的商业银行为了抢抓上线时机,项目管理不到位,特别是需求管理和测试方面存在不足,为后续的运行留下隐患。另一方面,根据同业调研,能够开发互联网银行系统的厂商较少,众多商业银行的互联网银行系统都由同一厂商开发,按照《银行业金融机构外包风险管理指引》要求,外包集中度风险需要引起重视。四是由于互联网银行系统的开放性,在一定的条件下,可能使得客户的资金遭受到外部欺诈的威胁。
互联网银行所依赖的技术有相当多的已知和未知的风险,而且,技术风险能够导致一系列严重的后果,也能够引致其他风险,所以,银行必须高度重视,积极应对。一是针对互联网银行系统建设过程,强调规划先行,强调严谨的项目管理,特别是要按照通行的做法筛选外包厂商,强化需求管理和测试管理。二是针对信息安全方面的风险,主要需要处理好两个方面的问题,其一,选择有实力的厂商,有国家和行业标准的一定要采用,并持续优化信息安全管理。其二,建立持续的维保服务关系。有实力的IT公司能够对系统相关的安全漏洞进行持续识别和及时弥补,这也是选择合作IT公司的条件之一。三是将互联网银行信息科技风险和业务连续性纳入全行信息科技管理和业务连续性管理体系。依靠第三方定期对信息安全进行评估,对面临的信息科技风险进行评估,采取积极的应对措施。对互联网银行板块进行业务影响分析,建立应急预案,进行及时的演练,形成对于突发事件的应急处置能力。四是针对外部欺诈和异常业务,建立异常交易监测系统进行防控、管理。强化对钓鱼网站等外部欺诈行为的监测,强化对用户反欺诈知识的宣传和提示。
合规层风险及其防控
互联网银行面临的合规层风险较为复杂。主要原因在于:互联网银行将原有的银行业务均移植到线上,同时,运用复杂技术进行了大量的业务和模式创新,有的业务、模式还要联合第三方来实现。由此形成业务模式和监管规则新的对应关系,具体包括以下几种情形:业务模式改变了,合规要求没有改变;业务模式改变了,合规要求也相应改变了;业务模式改变了,合规要求暂时空缺。由此衍生出互联网银行合规层面的风险主要有以下几种:第一种:针对所有业务的一般性合规要求,对于互联网银行而言是较大的挑战。比如账户管理要求和反洗钱要求。国内个别直销银行实名认证环节不合规,有的直销银行存在客户身份基本信息识别缺失、证件核对不到位、证件留存环节要求弱化,客户身份持续识别、重新识别不合规等问题,有的直销银行未遵守创新业务反洗钱评估的有关规定。第二种:由于业务移植到网上,但是合规要求未改变而形成的合规问题。比如,按照《商业银行理财产品销售管理办法》要求,客户首次购买理财产品前应现场进行风险承受能力评估。第三种:针对部分互联网金融业务出台了新的合规要求,此前不规范的业务需要进行整改。比如,前段时间有部分直销银行致力于导入个体网络借贷(P2P),目前需要接受P2P业务新规的约束。第四种:针对部分互联网金融业务的专门规定暂时空缺,商业银行按照一定的理解进行业务的办理,未来仍有可能面临合规风险。第五种:互联网银行营销过程中的合规问题。目前,国内直销银行板块一般面临着较大的业绩压力,个别直销银行在营销过程中存在误导客户的现象。
目前,监管部门和商业银行之间围绕互联网银行业务监管规则的博弈是存在的,而银行不可能坐等监管部门调整规则之后再进行互联网银行的布局,因而上文提到的合规问题可能长期存在。针对前四类合规问题,要求互联网银行在建立过程中详细地分解合规要点,将合规要求嵌入到系统建设中,同时尽可能与监管部门充分沟通,保持系统的前瞻性和可拓展性。对于必须在线下办理的业务,要做到合规还必须依赖网点。网点覆盖不到的地方,需要对业务进行限制。针对第五类合规问题,商业银行要将互联网银行板块的合规管理纳入全行合规管理体系,适时修订有关操作规程,通过内部诚信举报等制度进行防控。银行内部要强化针对客服、业务人员、合规管理人员的专业培训,以此提高合规管理水平。
业务层风险及其防控
不管互联网银行的模式如何创新,互联网银行销售的产品、推送的服务仍然是金融产品、金融业务。因而,内生于业务逻辑的风险也如影随形地进入互联网银行。互联网银行开办的信贷业务尽管多为小额信用贷款,但也必然面临着信用风险。部分互联网银行销售理财产品,为了大量获客,推出高收益、高流动性的理财产品,必然隐藏着期限错配导致流动性风险的难题。互联网银行参与金融市场,对接各类资产,因而可能因为市场利率汇率的波动产生风险。互联网银行推出的货币基金产品、智能存款、第三方支付、代销基金、网络收单等业务都有各自专属的风险形式。同时,由于业务的复杂化、多元化,互联网银行操作风险不容忽视。比如,由于互联网银行在开户、业务办理等各环节始终不与客户见面,可能引发个别不法分子的觊觎之心。有的互联网银行被犯罪分子利用,进行非法的资金归集。同时,互联网银行发生的各类风险,可能被信息不明者放大,引致声誉风险。
针对信用风险,主要依赖大数据技术进行风险的识别和防控,其难点主要是数据的来源。实践中主要依靠征信机构或者第三方获取信息,也有的银行通过协同贷款的方式以及购买履约保操作险的形式进行信用风险的防控。针对流动性风险,互联网银行事业部应该管控资产端和负债端的期限,并构建实用的流动性控制指标。针对市场风险,按照持有交易账户头寸的复杂程度开展盯市,并引入相应的分析工具。针对操作风险,除了依赖前文提到的异常交易监控系统之外,还应该定期进行风险与控制自我评估(RCSA),将内控的优化思路嵌入到系统中。将声誉风险纳入全行声誉风险防控框架,主动性开展品牌建设与品牌营销。商业银行应将业务层的所有风险纳入全面风险管理体系,合理识别并管控风险。
战略层风险及其防控
一般而言,商业银行积极布局互联网银行有两个层次的战略诉求。第一个层次的战略诉求是借助网络突破地域限制,大幅度提升获客能力,助力银行转型。较早布局互联网银行的各家中小银行一般均定位于此。第二个层次的战略诉求是弥补自身短板,应对同业竞争。经过一段时间的观察发现,要实现第一种战略目标难度非常大。因而部分银行将目标调整为弥补短板,应对同业竞争。不管是定位于哪一种目标,如规划不当或者规划执行不当,可能存在以下战略层级的风险:一是个别银行在直销银行方案和规划不是很明晰,产品及业务、品牌与营销、运营模式和风险防控模式模糊的情况下仓促上马,上马后问题重重。部分银行直销银行银行板块独立性较差,得到的资源支持较少,有的直销银行部门是总行电子银行部的二级部门,地位相对尴尬。二是部分直销银行提供的功能与产品是电子银行、网上银行、手机银行的翻版,甚至与银行的电子银行板块形成内部竞争关系。三是个别银行直销银行业务人员全部由本行电子银行部的人员担纲,而有的管理人员原有思维方式浓重,难以形成新的突破和创新。四是目前直销银行产品仍以网上理财、智能存款等为主打产品,差异化定位执行不到位。
实际上互联网银行为商业银行提供了转型的可选项,如果能够利用好,也为众多小银行提供了弯道超车的机遇。由于我们能够同时借鉴国外互联网银行1.0和2.0版本,因此在布局的时候要充分地结合自身情况,充分发挥后发优势,整体性地思考,通过总结互联网银行战略层的风险,做好互联网银行发展的战略定位和发展规划。笔者认为,应从两个方面做好战略层风险防控工作。一方面,要解决互联网银行发展过程中战略层级的冲突。从组织上强化互联网银行事业部制发展方向,并向子公司过渡。从人员管理和配置上,强化内部从业人员的学习和思维方式转变,适度引入互联网金融公司的人员。从业务上,强调利用技术手段实现内部竞争的规避。另一方面,强化互联网银行的创新能力与战略响应能力。笔者认为,最终在竞争中胜出的,一定是常规业务和功能没有明显短板,且具有特色化、品牌化解决方案的互联网银行,要做到这一点,创新和战略响应尤为关键。可选考虑的创新方向有:一是从客户体验的痛点出发进行创新,整合内外部资源,针对客户需求,强调与第三方合作,拓展特色服务,构建互联网金融生态,发展场景化金融。二是探索以优化客户体验是为目标,围绕客户生活和家庭资产负债表管理,提供集成化解决方案,增强客户黏性。创新性毁灭是创新的本意,而创新从来都是少数人的事。既然技术的发展已经为创新提供了无限可能,商业银行应该做的就是:将创新的事交给具有创新能力的关键少数。
(本文编辑/孙雪强)