科技金融监管的论文(精选6篇)
银监发[2013]5号
中国银监会关于印发银行业金融机构信息科技外
包风险监管指引的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日
银行业金融机构信息科技外包风险监管指引
第一章 总则
第一条
为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条
在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条
本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条
本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条
信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:
(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;
(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条
本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条
本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条
银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条
银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条
银行业金融机构在实施信息科技外包时应当坚持以下原则:
(一)以不妨碍核心能力建设、积极掌握关键技术为导向;
(二)保持外包风险、成本和效益的平衡;
(三)强调外包风险的事前控制,保持管控力度;
(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条
银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条
对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章 外包管理组织架构
第十三条
银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条
信息科技外包风险主管部门的主要职责包括:
(一)对外包风险进行识别、评估与风险提示;
(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条
银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:
(一)实施信息科技外包战略;
(二)制定并执行信息科技外包管理制度与流程;
(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;
(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条
银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条
银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条
银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条
银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条
银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条
银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条
银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条
银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条
银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条
外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条
银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条
对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条
银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条
银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条
银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条
对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包
服务、处理突发事件等。
第三十三条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条
银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条
银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵
和纠正措施。
第三十七条
银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条
银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条
银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条
银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条
银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条
银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率、设备的开机率;
(二)故障次数、故障解决率、故障的响应时间;
(三)服务的次数、客户满意度;
(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率。
第四十三条
银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条
银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条
银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条
外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条
对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条
银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一)识别出重要业务所涉及的服务提供商和资源;
(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;
(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条
为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条
银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二)事件持续时间和恢复可能性;
(三)事件影响范围和可能的应急措施;
(四)服务提供商自行恢复服务的可能性和时间;
(五)备选的服务提供商以及外包服务迁移方案;
(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条
对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条
银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条
银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。
第五十七条
银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条
银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条
对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条
跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六十一条
跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条
银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条
银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条
银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条
银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条
银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条
非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条
银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条
银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条
银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条
对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:
(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条
银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条
银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第八章 监督管理
第七十六条
银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一)信息科技工作整体外包;
(二)数据中心或灾备中心整体外包;
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(五)关联外包;
(六)涉及跨境的信息科技外包;
(七)其他银监会认为重要的信息科技外包。
第七十七条
银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。
(一)银行业金融机构客户信息等敏感数据泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四)其他重大的服务提供商违法违规事件;
(五)银监会规定需要报告的其他重大事件。
第七十八条
银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。
第七十九条
银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条
对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条
银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条
银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条
银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条
银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条
银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条
银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。
第八十七条
银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条
服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一)违反国家法律、法规和监管政策,情节严重的;
(二)窃取、泄露银行业金融机构敏感信息,情节严重的;
(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;
(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;
(五)对风险监测和实地检查发现的问题,逾期仍未整改的;
(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。
第八十九条
银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条
本指引由银监会负责解释、修订。第九十一条
关键词:央行,互联网,金融,科技,监管
互联网金融是以信息化为支撑, 网络技术是基础, 最核心的支付结算都需要通过网络来完成, 互联网金融归根到底也是金融, 因此应当受到监管, 并且应适用统一的监管规则。按照职责分工, 人民银行科技部门负责金融网络的监管, 严格规范互联网金融的技术体制及强化技术监管既是人民银行科技部门的责任, 也是互联网金融健康发展的必要保证。
一、深化互联网金融监管内涵的理解
互联网金融是创新的产物, 既然是创新, 就会有失误和风险, 对这个新生事物既要包容失误, 也要防范风险, 处理好创新发展和风险之间的关系, 有必要对互联网金融进行恰当的监管。如何对互联网金融进行恰当的技术监管呢?在世界范围内也是一个新的课题, 从监管者的角度看, 现在对互联网金融进行评估, 还缺乏足够的时间和数据的支持。在这种状况下, 首先, 要鼓励互联网金融技术的创新和发展, 包容其技术失误, 为行业新应用的发展要预留一定空间。国务院颁布的《关于促进信息消费扩大内需的若干意见》中明确提出推动互联网金融创新, 规范互联网金融服务;国务院办公厅在《关于金融支持小微企业发展的实施意见》中也提出, 要充分利用互联网等新技术, 新工具, 不断创新网络金融服务模式;央行周小川行长在接受中央电视台采访时曾表示, 对互联网金融要保持一个正常的心态和支持创新的理念。
其次, 我国采取的是典型的分业监管模式, 互联网金融作为新兴的金融模式, 交易的业务范围不断扩大, 业务种类日益多样化, 现有的金融监管体系尚无法完全覆盖, 存在一定的监管缺位, 因此必须尽快明确相应的监管部门和监管职责, 既能充分包容创新又能确保监管到位。对于互联网金融的监管, 央行副行长刘士余在2013年8月的互联网金融中国峰会表示“怎么监管, 谁来监管, 还需要做大量的调查和认证。”由于互联网金融具有“混业经营”的特点, 需要在保护金融创新、推进互联网金融发展的前提下, 根据互联网金融发展的实际情况, 尽快制定并实施相关政策和监管措施, 这就要求在归口监管上要做出有效界定。根据2013年国务院办公厅颁布的107号文件, 网络金融监管由央行牵头负责, 互联网金融科技监管应在央行牵头、统一协调下, 按照按照谁批设机构谁负责监管的原则, 逐一落实监管主体及监督管理责任, 进行适度的实时监管, 防止技术风险的过度集聚, 同时加大对互联网金融技术创新的扶持力度, 提供更多的金融服务, 央行科技部门对互防网金融的科技监管工作要尽早提上日程。
二、创新互联网金融技术监管机制
互联网的精神是“平等、开放、分享、协作”, 目前互联网金融的产品和服务都显示出信息的透明性, 这与金融机构科技部门对传统封闭式的金融网络监管方式之间存在着巨大的反差, 同时技术进步与金融业务创新带来新风险和新机遇, 需要互联网金融的科技监管部门转变思想, 创新监管机制。
在互联网金融的技术监管机制上, 应当立足于现有监管政策进行创新, 改变分业监管模式, 结合分业监管和监管两种模式的优点, 建立全面覆盖的科技监管据体系:一是在2013年8月国务院关于同意建立金融监管协调、部级联席会议制度基础上, 建立以央行牵头, 银监会、证监会、保监会、工信部、公安部等部委联合组成的跨部门、跨行业的互联网金融技术监管机制, 通过统一互联网金融技术顶层设计, 规范互联网金融的技术标准, 破除现有监管部门间及区域间的信息孤岛, 推动监管部门跨部门信息共享;二是建立国内与国际间互联网金融技术监管合作机制, 互联网金融打破了地域界线, 交易双方不再局限于国内, 数据信息的交换处理以及风险控制具有国际特性, 单独依赖一国的技术监管机构无法对互联网金融服务进行有效监管, 这就需要互联网金融技术监管的国际合作, 央行科技部门应加强与世行及其他国家央行的技术合作, 从互联网金融技术标准、数据交换、监管策略、协商机制等方面寻求统一的规范, 实现国际间互联网金融技术监管的沟通与协调;三是建立互联网金融企业自律机制, 尊重互联网金融的开放精神, 充分发挥已成立的中国互联网协会互联网金融委员会等行业组织的作用, 通过倡议互联网金融行业相关单位共同遵循相同的技术标准、信息安全和金融服务水平, 增强自律意识, 利用各成员单位自身资源和技术优势, 以避免互联网金融技术监管滞后于技术发展的局面, 减轻技术监管部门的监管范围和压力。通过以上措施, 有效防范互联网金融风险, 促进互联网金融创新发展。
考虑到互联网金融依托大数据、云计算和网络通信技术, 因此在未来的技术监管上应更多地通过信息网络对数据进行分析、挖掘, 非现场检查将成为互联网金融技术监管的主要形式。
三、规范互联网金融新业务技术管理
互联网金融业务都是建立在一定的信息平台之上, 针对不同客户提供个性化服务, 并通过网络进行匹配, 从而更好地满足客户的金融需求。互联网金融业务的迅速发展, 依托的是信息技术日新月异, 靠的是服务创新。信息技术促进了通信网、互联网、广电网的三网融合, 特别是移动化对碎片时间的利用, 降低了时间成本、提高了效率, 带来了思维和观念上变化, 实现了信息流、物流和资金流的三流合一, 为互联网金融数据的融合准备了条件, 打下了互联网金融业务创新的基础。互联网金融业务的创新速度超出人们的预想, 其对新信息技术的运用也领先于科技监管的发展, 在这种情况下, 为了防范业务创新带来的系统性技术风险, 规范互联网金融业务的创新, 也成为央行科技部门加强监管的重要环节。
强化对互联网金融新业务的技术监管, 央行科技部门应当把握:一是加强对4G、云计算、数据挖掘等新信息技术的学习掌握, 了解新信息技术可能提供的应用或服务, 做好相关技术储备;二是推行互联网金融新业务的技术审查制度, 对于纳入央行监管的业务, 要求业务提供方向央行科技部门或委托机构上报新业务的技术方案, 由央行科技部门对方案进行系统分析和技术风险评估, 满足国家相关标准后才能正式上线运营;三是控制高风险互联网金融新业务的入网结算, 对于其他部门监管或没有纳入监管的业务, 要主动了解新业务的技术基础, 对于类似比特币等影响金融安全的高风险互联网金融服务, 要积极向主管部门提供技术咨询和决策支持, 在必要时切断新业务的联网支付渠道;四是完善互联网金融新业务的动态技术监管, 针对互联网金融涉及面广、扩展性强的特点, 实时跟踪新业务上线后的运营状况, 及时发现技术隐患, 指导业务提供方堵塞业务上存在漏洞, 规避系统性技术风险。
四、突出互联网金融信息安全防护
伴随互联网金融的迅速发展, 交易中的信息安全互环境应得更加复杂, 移动终端和云计算是当前互联网金融应用的主要方式, 移动终端使用的免费WIFI安全性及路由器漏洞问题, 以及云计算服务带来的非授权访问、信息泄漏等问题都成为互联网金融信息安全的隐患。目前, 互联网金融遇到的信息安全问题主要包括恶意程序、假冒网站、诈骗信息、信息泄漏等方面, 信息安全问题破坏了互联网金融的秩序, 加重了人们在虚拟世界中的不信任度。央行科技部门对互联网的技术监管重点应放在信息安全管理, 通过对互联网金融相关机构现场检查和网络监控, 提升互联网金融服务的信息安全保障水平, 促进互联网金融的健康、稳定发展。
对互联网金融的信息安全监管, 应该关注以下方面:一是要制定互联网金融的信息安全防护标准, 采用自主可控的核心信息装备, 对相关机构网络进行信息安全等级分类管理, 实施等级保护;二是建立严格的互联网金融网络入网审查机制和准入制度, 信息安全标准不达标的互联网金融机构不得接入金融系统网络, 从核心环节上把好信息安全防护关;三是督促互联网金融机关落实信息安全防护规范, 指导其建立一套由密码应用技术、信息安全技术、数据灾备与恢复技术、云计算技术、网络组网与运维技术等组成的“软硬一体”标准化互联网金融信息安全解决方案, 做好交易双方敏感信息的保护, 提升网上交易安全防护水平;四是提升用户端的信息安全防护水平, 指导互联网金融服务提供商开发相关软件应用, 通过绑定手机、账号实名认证、动态口令卡、数字证书和第三方认证等多引擎、多策略协同运作, 提高网络支付的安全性。
五、推进互联网金融信用系统建设
金融需要国家建立信用机制支持, 互联网金融由于交易双方的非接触特性, 对信用支持的要求更加迫切, 基于大数据的信用评价能力, 是互联网金融生存的核心竞争力。目前, 全国性、权威性的诚信体系仅有央行牵头建设的国家金融信用信息基础数据库 (简称征信系统) , 主要通过各金融机构、工商、法院等单位上报违约用户的数据, 建立可供查询的国家级的企业和个人信用信息。互联网金融的快速发展, 大大扩展了征信体系的数据范畴, 现有的征信系统是一个被动的征信体系, 实时性难以满足互联网金融随时、随地提供金融服务的要求, 需要建立一个基于大数据分析和云计算、依托网络提供实时征信服务的网络征信系统, 通过互联网大数据综合判断交易双方的信用状况, 推动信用系统信用评价模式的转变, 提升互联网金融服务的公信力。
网络信用系统应针对互联网金融的特点, 为所有的互联网金融服务提供实时信用支持, 其系统开发应注重:一是加强用户的身份认证, 通过与公安部、工商总局等国家相关部门的协调, 实现与人口数据库、法人数据库等基础数据系统的互联互通, 将个人相关的就业、健康、教育、收入、社保等基础数据整合起来, 确保用户信息的准确性, 打牢网络信用系统的根基。二是强制互联网金融信息提交, 要求所有的交易均需要将诸如资金、物流、交易双方等重要数据通过统一的标准和接口规范, 提交到网络信用系统, 加强对交易的事中、事后监测;创新从社交网络等公共渠道抓取数据的方法, 以实现对信用信息的全面收集及处理, 便于判断用户的信用状况。三是规范对网络信用系统的信息共享, 严格按照国家对用户信息采集、查询和不良信息报告等规定, 对互联网金融服务企业使用网络信用系统实行网络授权机制, 规定其应用信用信息的范围和信息等级, 防止信用信息的滥用和扩展;四是提供全程、实时互联网金融认证服务, 通过推出权威的第三方电子认证产品, 实现交易中的身份认证、电子签名、交易信息加密传输、交易不可抵赖, 确保交易信息的可靠, 以有效保障资金交易的安全性。
六、加强对银行数据中心的监管
大数据在解决金融核心的信用评级和风险控制上拥有传统方法所不具备的显著优势, 是互联网金融迅速发展的重要推手。互联网金融涉及金融机构、互联网企业、医保、社保、运营商、电商及多种服务行业, 各类交易均以数据形式存入服务商的数据中心并通过数据中心进行数据处理和交换, 因而互联网金融的数据中心是互联网金融运行的中枢神经, 存储着互联网金融重要的数据资产, 承载着关系社会经济运行所需要的资金流和信息流, 是互联网金融服务的核心, 数据中心的信息安全对于保障互联网金融的稳定运行, 具有关键的决定作用。从目前看, 互联网金融无论是哪类交易, 不论交易双方是谁, 交易中涉及支付部分的数据都必须通过银行数据中心, 因此, 央行科技部门对互联网金融的技术监管中, 互联网金融各类数据中心的监管是一个重要方面。在技术监管政策、方式不明, 以及央行科技部门监管力量不足的情况下, 央行科技部门不可能也没有能力对全部互联网金融企业的数据中心进行监管, 应该把技术监管的重心放到银行业数据中心的安全上, 通过抓好银行业数据中心的技术安全来提升整个互联网金融的安全。
央行已认识到加强银行数据中心安全监管的重要性, 2014年1月16日, 人民银行组织召开第二届银行业数据中心联席会议, 专门就银行业数据中心安全进行了部署。在当前银行业数据中心面临技术与金融业务创新不断加速, 业务量和个性化服务需求大幅增长, 以及运维工作复杂度持续提升的情况下, 央行科技部门对银行数据中心的监管重点在于:一是加大对银行数据安全重要性的宣传力度, 提升数据中心工作人员安全防范意识, 居安思危、防患于未然, 推动各银行数据中心认真履行安全职责;二是制定银行数据中心安全标准规范, 督促银行数据中心不断加大科技投入, 采用新技术、新装备增强安全防范能力;三是通过现场或网络技术安全检查、督查, 在应急处置、决策支持、管理管控和跨部门运维协作等监管方面进行改革创新, 不断推进银行业数据中心联合运维机制改革和发展。
参考文献
[1]周小川.“存款利率市场化按计划推进”.《国际金融报》, 2013年8月.
[2]《国务院办公厅关于加强影子银行监管有关问题的通知》.国办发[2013]107号文, 2013年.
[3]《中国人民银行信息安全管理规定》, 2010.
[4]《金融行业信息系统信息安全等级保护实施指引》.中国人民银行, 2012年07月.
摘 要:近年来,我国金融业得到快速发展,金融监管模式作为金融业健康发展的基础和保障也日益受到关注。在分业经营的管理体制下,我国实行的是机构性金融监管模式。而实践中,混业经营却成为一种不可阻挡的趋势,机构性金融监管的问题不断凸显。因此,从我国金融创新背景下机构性金融监管出现的问题着手,引出功能性金融监管的优越性,再从金融业的混业经营、金融法律制度的变革以及金融人士的培养三个方面对我国实现功能性金融监管模式的条件进行阐述。
关键词:金融监管;机构监管;功能监管;发展路径
中图分类号:D92 文献标志码:A 文章编号:1673-291X20-0265-02
我国金融体制和金融监管制度的形成与发展,经历了几十年的演变,演变过程大致经过了计划经济时期、中国人民银行统一监管时期和机构监管时期这三个阶段。但是我国现行的机构性金融监管模式在实践中存在着一定问题,功能性金融监管逐渐进入公众视野。
一、金融创新背景下我国金融机构监管出现的问题
机构性金融监管模式的存在有其合理性,具体表现为以下两个条件:第一,证券、保险和银行的业务具有明显的区别,在监管方面也理应得到不同的对待;第二,证券、保险和银行实行严格的分业经营。只有这两个条件存在,机构性金融监管才能很好地发挥作用,这时的金融产品是“你是你,我是我”。我国在建立金融体系的过程中,证券、保险和银行等业务存在明显不同,对各个金融机构的监管也是“分门别类”进行的,因此我国实行了机构性金融监管。但随着金融创新浪潮的推动,金融功能实现的方式出现变化,金融产品的功能更是“你中有我,我中有你”。金融机构的金融功能在金融创新浪潮的冲击下,处于变化之中,金融机构性监管开始出现问题。
第一,金融监管领域出现监管真空或监管重复。“机构模式”监管强调的是每一种类型的金融机构都能够在与它存在明确对应关系的金融监管机构的监管下进行金融活动。这种监管策略形式上保证了每一个被监管对象得到了监管,防止了监管漏洞的出现。但是在现实的金融交易中,尤其是在金融创新的大背景下,各个金融机构之间的业务界限日益模糊,跨行业的金融创新产品层出不穷。传统的做法已不能保证对这些金融创新产品进行有力监管。同时,实践中金融创新产品的交叉现象使得各个金融监管机构难以共同参与、协商。如果某一个金融创新产品发展态势较好,那各监管部门对其监管的状态很有可能从互相推诿转变为争先恐后,对该金融创新产品的监管则由监管真空转变为监管重复。
第二,金融监管的风险由局限于各个行业趋向于整个金融业。在分业经营的条件下,各个金融机构之间不存在业务交叉的关系,金融风险一般局限于各个行业内部。但在金融创新产品浪潮的推动下,金融业逐渐走向混业经营,金融风险伴随金融业务的跨行业经营而潜伏在不同的金融行业之间。一旦这种新型的金融产品发生风险,传统的监管模式并不能建立有效的应对机制。这种情况极易诱发多个金融行业的风险,进而引发整个金融领域的风险。
第三,机构监管会阻碍金融创新的发展。在传统的机构监管模式下,监管机构无法对跨行业的金融创新产品实施有效的监管。金融创新产品作为金融业务领域的新生事物,它的成长、发展必定会遭遇到现有力量的束缚。同时,金融监管者主观上厌恶风险,具有规避风险和责任的本性。在这种情况下,金融监管机构的管理层大多会通过行政手段来限制金融创新产品的.发展。
第四,机构监管模式落后于我国的金融实践,易引发金融机构的道德风险。在金融创新产品日益涌现,金融监管却没有与之相适应时,金融机构为追求自身利益的最大化,就会利用现有监管机构的漏洞实施损人利己的行为,增加金融机构的道德风险。面对一种金融创新产品,原有的法律法规并没有对金融机构的各种义务作出明确规定;出现问题时,金融机构也能够以法律没有规定,甚至是自己也不清楚为借口来推脱责任。这种落后的金融监管模式会加大金融机构的道德风险,使得金融系统的风险也随之加大。
二、功能性金融监管的优越性
针对金融观点的缺陷,哈佛大学教授罗伯特・莫顿(Robert C・Medon)和滋维・博迪(Zvi・Bodie)于1993年提出功能观点(functional perspective)。他们认为,金融机构的变化大于金融功能的变化,从金融功能的角度建立金融体系更能应对未来金融发展的趋势。与机构性金融监管相比,功能性金融监管具有以下优势:
第一,功能性金融监管能够防止金融监管“真空”和监管重复。功能性监管关注的是金融产品所实现的基本功能,并以此为依据确定相应的监管机构和监管规则,从而有效地解决金融创新产品的监管归属问题。按照哈佛大学罗伯特・莫顿(Robert C・Medon)和滋维・博迪(Zvi・Bodie)的观点,金融体系的基本功能的变化幅度和速度是远远小于金融机构的变化幅度和速度的。所以,在这种情况下,按照金融体系的基本功能建立的功能性监管模式下的各项监管政策和监管规则是具有更好地稳定性和连贯性的。这样有助于构建一个国家稳健发展的金融体系。
第二,功能性金融监管有利于促进金融创新。功能性金融监管在面对金融创新产品时能够依据其具有的主要功能来确定它的监管机构。这样的监管模式使得新型的金融产品不再游离于法律规范之外,而是受到了金融监管。金融监管机构可以减少因监管不力所造成的金融风险,这种情况就会促进金融创新,至少是不会阻碍金融产品的创新的。
第二,功能性金融监管更符合成本-收益原则。在分析这一原则时,我们可以把金融监管的成本划分为三种:直接成本,守法成本和间接成本。直接成本是指在制定金融监管政策本身时所花费的成本,又可以称之为“行政成本”。这部分成本将为实施金融监管政策所投入的硬件设施成本和对实施该金融监管政策的监管人员的培训成本包括在内。守法成本是指金融机构为了履行金融监管机构指定的政策所需耗费的成本,如金融机构为此多付出的管理时间、为此设立专门机构的成本。间接成本是指从资金流向的角度看,由于监管的宽松或严厉,限制被监管者的活力或创新所造成的风险扩散,使整个社会福利水平降低的幅度。基于这三方面的成本分析,功能性金融监管可以对现有的金融监管资源进行整合,有效提高对人力资源的利用,降低公众对不同监管机构及其职责的识别成本,进而降低金融监管的成本,提高金融监管的收益。 三、我国实现金融功能监管的条件
研究我国金融监管的模式,一定要在我国特有国情的基础上进行,不能只是在理论的层面上进行论证,因为任何一种制度的存在必有其存在的历史和现实的依据,理论上得到充分论证的制度不一定优越于正在被实践的制度。我国现有的金融机构性监管模式存在一定的问题,功能性监管对完善我国金融监管具有重要的促进作用,但是我国现在仍然不具备实行功能性监管的条件。具体说来,这些条件主要表现在以下几个方面:
第一,我国金融业实行了混业经营。混业经营是指商业银行及其他金融企业以科学的组织方式在货币和资本市场进行多业务、多品种、多方式的交叉经营和服务的总称。混业经营作为选择适用功能性监管的一个前提条件,在我国的金融实践中并没有得到成功。金融控股公司作为混业经营的一种模式,曾经在20世纪90年代初期进行过尝试。当时,我国的大多数商业银行都不同程度地通过全资或参股证券公司、信托投资公司参与了证券和投资业务,尤其是1992年之后,不仅各家专业银行,甚至是人民银行各级分行都开始介入证券、股票、投资、房地产和保险等领域。但是实践结果是,出现了金融秩序的混乱,金融系统内部一系列腐败行为滋生,最终以管理层提出实行严格的分业经营和分业管理的政策结束了短暂的混业经营实践。随着我国金融市场的国际化,金融业的混业经营已然成为一种国际趋势,但是我国现在仍不具备其条件。
第二,我国要建立与功能监管相适应的法律体系。我国现有的金融法律主要为有各自的适用范围。这些金融法律法规与我国金融分业经营的模式相对应。如果我国要采用功能性金融监管,这就意味着我国金融市场要经历一场系统性的法律改造工程,就要对我国的金融法律法规进行相应的调整和整合,如扩展对某些法律概念的理解以应对功能性金融监管模式下不断创新的金融产品。
第三,我国要具有更多、更具专业性的金融实践和研究人才。我国应培养一批既懂得金融业务,又能洞悉资本市场运作规律,具有完善的金融知识和金融创新能力的高素质金融人才,以期建立强大的金融人才市场。对于功能性金融监管模式在我国的适用,需要具有金融知识的专业人士在综合分析我国国情的基础上进行理论上的论证,并提出具有前瞻性的建议。没有前瞻性的政策不能得到长久实施。而且,在金融监管政策实施过程中,也需要专业金融人士的智力支持。不管是对金融功能监管政策的正确解读,还是处理金融功能监管中出现的问题,都离不开专业金融知识人士的指引。
金融业的混业经营是一种国际趋势,也是我国金融业进一步发展的一种理想状态。在这种大背景下,我国现行的是与金融业分业经营实践相适应的机构性金融监管。机构性金融监管的弊端日益暴露促进了我国学者对功能性金融监管的探索。但是,制度变迁是有路径依赖性的,我国从机构性金融监管到功能性金融监管不会是一蹴而就的,需要经历一个过程。等到我国金融业实行了混业经营,建立了与功能性金融监管模式相适应的法律体系,拥有了一大批具有专业知识的金融人才时,我国才具有了实行功能性金融监管模式的必不可少的条件。
参考文献:
[1] 周友苏,廖笑非.金融危机背景下中国金融监管模式的选择与完善[J].清华法学,,(2):85-99.
[2] 曹凤岐.我国金融监管体系的改革与完善[J].中国市场,,(8):31-36.
[3] 王平.新形势下我国金融监管改革与完善[J].法学杂志,,(10):44-47.
[4] 李文泓,吴祖鸿.系统重要性金融机构监管:目标和政策框架[J].中国金融,2011,(3):45-47.
[5] 何诚颖,赫凤杰,陈薇.后危机金融时代中国金融监管的演变和发展[J].经济学动态,2010,(7):71-77.
1.提高对金融创新与金融监管的认识
金融创新与金融监管是对立统一体,在适度的`金融监管下进行金融创新,会促进金融体系在改革中发展。
推陈出新的金融创新活动,会为金融监管带来新的课题,带来新的制度和规范,从而推动金融监管水平的不断提高。
没有监管的创新和没有创新的监管都不利于金融和经济的发展。
2.提升金融创新层次
目前国际金融衍生品工具已发展到1200种,要引导金融业从单纯的产品创新向产权制度创新、经营体制创新、组织体系创新、市场结构创新等方向发展。
3.进一步完善金融监管模式
随着经济金融全球化进程的加快,银行、证券、保险监管部门应积极探索彼此合作的协调机制和监管模式,进一步完善三者之间有效的政策协调和信息共享机制,加强信息交流,规范和健全金融机构财务信息披露制度,使监管体系、模式、手段不断完善。
同时将由侧重于外部监管模式向既重视内部监管,也重视外部监管模式转变。
4.加强金融监管的国际合作
当前,以逃避金融监管为目的的金融创新活动规模不断扩大,加强金融监管的国际合作迫在眉睫,加强与相关国家金融监管信息的沟通和交流,实现数据交换和信息共享。
我们需要金融创新来为经济服务,但更需要加强金融监管,保证金融安全。
参考文献:
[1]林俊国:金融学[M].第一版.厦门:厦门大学出版社,-06:403-408
[2][5]戚 莹:金融创新与金融监管[EB/OL].论文天下论文网,(-11-22)
[3]李 成:金融监管学[M].第一版.西安:西安交通大学出版社,2007-09:56-57
上周公布的“新国九条”,明确提出引导证券期货互联网业务有序发展,支持证券期货服务业、各类资产管理机构利用网络信息技术创新产品、业务和交易方式,支持有条件的互联网企业参与资本市场。事实上,自2000年以来,金融业已成为一个高度数码化和电子化的技术行业。当前国内金融中介机构所面临挑战还远不仅来自互联网公司的挑战,更来自国外金融机构。国内出现的互联网金融,其功绩与其说是建立新的运作模式,不如说是对现有模式提出挑战。我们可以从以下三个方面来看这个问题。
互联网金融与银行借贷结构
余额宝等互联网金融,其基础是银行的协议存款,也即同业存款。银行存款一方面有普通存款利率,另一方面有协议存款(同业存款)利率。在定期存款利率之上再有协议存款利率,是为了保证银行的金融垄断地位。银行当然不会用自己的利润来支付这笔利息,于是这笔高出基准利率的利率,一方面成了对贷款企业的课税,另一方面抬高了资金进入任何风险投资的门槛。如果有6%的存款利率,股市或债市起码要有6%的回报,机构投资者才有进入市场进行交易和承担风险的动力。协议利率的风险是存款商业银行倒闭,这种风险目前大部分人都敢承担。事实上,不只是余额宝,不少理财产品的盈利都来自在基准利率与协议利率之间的套利。
有人说协议存款的利率有根据,因为它同上海银行间拆借利率(Shibor)相近。且不说这两者之间谁是鸡谁是蛋,Shibor本身就不应当被拿来作为国内存款率的基准。Shibor是模仿伦敦银行间拆放利率(Libor)建立的。Libor建立在伦敦的原因就是为了避开各国政府的金融监管,伦敦可以说是世界的“自贸区”。国际银行在伦敦决定相互借贷的短期利率,可以在一定程度上不考虑各国的利率政策。在美国,不少贷款特别是房贷都参照Libor,但没有人用Libor作为存款的基准利率。否则,国家的利率政策就落入银行的掌控中。对于国家来说,货币不只是交易和借贷的工具,更重要的是调节经济和金融政策的工具。
协议存款的存在已经有些年头,历来是中介机构为银行收集居民存款,银行支付给中介机构两种利率的价差作为报酬。等到余额宝出现,它不但凭借互联网作为广徕客户的渠道,而且站出来说,你多给我的钱我不要,我把它还给储蓄客户,这一来就造成了金融界的地震。
余额宝这么做自然也不是出于无私。互联网的商业模式同现有的商业模式不同,领先于现有商业模式。对互联网来说,客户和信息等社会资本可能比金融资本更重要。因此,它们可以在打车软件上烧钱,也可以在互联网金融上让利。这种零盈利的运作穿过了金融业“互惠互利”的保护层,暴露了银行信贷结构的不合理,揭穿了银行拥有90%以上金融资产之不撼地位的秘密。
互联网金融与金融中介机构
余额宝尽管能够调度数千亿资金,所做起的还只是中介的作用,并没有直接从事信贷,没有进行银行业务,也没有发行货币。所以,即使对银行存款准备金的管理方法进行调整,也只能影响余额宝投资的产品和它拥有的资金的流向。只要协议存款利率同普通存款利率之间的无风险套利机会存在,除非不允许互联网公司持有过量的资金,否则就无法控制储蓄从普通存款通过互联网金融的渠道流入协议存款的现象。即使要进行这样的限制,互联网公司也可以通过收购金融公司来绕过这个坎儿。事实上,已经有互联网公司开始做这件事。
金融中介公司的竞争力是互联网金融提出的另一项挑战。既然有这样的套利机会存在,为什么正牌的金融公司没有抓住机会?余额宝不是一个很伟大的概念。上世纪80年代,美国金融界的最大创新之一,就是银行自动将客户的储蓄从利息较低的活期存款转入利息较高的定期存款。互联网金融反映出,金融公司在技术建设方面,远不是互联网公司的竞争对手。
国内的金融公司在系统建设方面比较落后。券商很少自己建设自己的系统。目前国内给券商写系统的软件公司主要有几家,其中最大的一家已经被互联网公司控制。就系统建设而言,国内的金融机构需要意识到时代在转变,不应当错过机会。
2000年以来,金融业已经成为一个高度数码化和电子化的技术行业。在美国股市里,决定交易成功与否的速度,已经不是用千分之一秒而是用百万分之一秒来衡量。具有竞争力的金融机构,每年都花费几百万甚至上亿美元来更新自己的系统,以此提高交易速度,加强分析能力,增添人工智能成分。在国内很少有金融中介机构真正意识到电子化已经是金融运作的心脏和肺腑。国内金融机构同国外机构合资,往往停留在提供跑道和分享盈利的水平,很少有能够分享技术。
在国外,任何一个大型金融机构,银行也好,券商也好,交易所也好,想要在竞争中站住脚,很少不靠自己建造的系统。系统不仅是交易的工具,而且是积累经验和智慧的基因库。因为有了这样的系统,即使出现人才流动,也不会影响到公司的竞争地位。国内金融中介机构所面临的还远不只是互联网公司的挑战,其在技术方面的最大挑战将来自国外金融机构。随着金融市场国际化的深入,这样挑战离得并不远。
互联网金融与监管理念
对互联网金融进行监管是必不可免的。不过,“互联网金融监管”这个概念本身值得推敲。
任何金融活动只要涉及大规模积聚居民储蓄,在大多数国家都要受到监管。这不仅涉及到保护居民的权益,防止欺诈和滥用,而且涉及到金融风险和安全风险。拿余额宝来说,不但对机构的诚信和资金的安全需要监管,而且对投资产品的风险也需要进行披露和监管。
互联网金融监管首先会涉及到两个问题:第一,监管是不是意味着担保?第二,为什么只是互联网金融监管,而不是更大范围的银行外民间金融活动监管?
回答第一个问题,监管不等于担保。只要政府进行监管就认为政府担保,这是国内各个金融市场都需要打破的怪圈。金融市场就是通过回报与风险的交易实现投资目的,如果市场都由政府担保,那么市场就不是市场。在民间金融监管中,如何贯彻这个理念,将关系到互联网金融能否健康发展。
金融监管当局的主要职能是维持金融体系的安全和稳健, 特别是防止银行挤提的消极效应, 保护存款人的利益。这一职能在20世纪30年代源于美国的资本主义世界经济危机中得以进一步强化, 时至今日仍被视为金融监管的主要目标之一。而进入20世纪60年代后, 随着全球范围内消费者保护运动的蓬勃兴起, 一项新的监管内容——消费者保护开始为监管者所重视, 并被逐渐纳入金融监管目标体系中。典型的表现就是这一时期美国一系列以保护消费者权利为主旨的金融立法。如《诚实信贷法》、《公平信贷报告法》、《信贷机会公平法》、《住宅贷款信息披露法》、《金融隐私权法》等, 并将执行这些法律的职责指派给金融监管当局。
20世纪90年代后半期以来, 金融监管者对消费者保护问题不再停留在政策层面, 而是进一步深入到体制设计和改造之中。1995年, Taylor提出了著名的“双峰”理论。Taylor认为, 虽然金融监管有很多目标, 但主要的目标有两个:一是针对系统性风险进行审慎性监管, 以维护金融机构的稳健经营和金融体系的稳定, 防止发生系统性金融危机或金融市场崩溃;二是针对金融机构的机会主义行为进行合规监管, 防止发生欺诈行为, 保护知情较小者、中小消费者和投资者的合法利益。Taylor建议成立一个独立的针对金融领域系统性风险进行审慎监管的“金融稳定委员会” (Financial Stability Commission) 和一个独立的针对金融机构机会主义行为进行合规监管的“消费者保护委员会” (Consumer Protection Commission) 。 (1)
Taylor的理论得到了澳大利亚的响应。1998年, 澳大利亚的金融监管体制改革, 在很大程度上就是沿着“双峰”理论的思路进行的。澳大利亚政府采纳了斯坦·沃利斯先生的“维利斯调查” (2) 中的建议, 并于1998~2003年间进行了一整套立法改革。在新的监管模式下, 澳大利亚的金融监管格局划分为三大部分: (1) 澳大利亚储备银行 (RBA) 为中央银行, 负责制定、实施货币政策, 发行货币, 管理外汇储备, 管理清算和结算, 维护金融系统稳定。 (2) 澳大利亚审慎监管局 (APRA) , 承接了原先的3个监管系统, 即澳联储、保险和退休金委员会、州政府监管部门的相关监管职能, 将分散监管改为集中监管。 (3) 澳大利亚证券和投资委员会 (ASIC) , 主要负责对公司和金融市场实施监管, 同时也负责在退休金、保险金、保证金领取和社会信用方面的消费者维权。在新的监管模式下, 为履行金融消费者保护的职能, 澳大利亚前期先后成立了银行和金融服务督察机构、金融行业申诉服务机构、保险督察服务机构、信托争议处理中心和保险经纪争议处理有限公司。而后, 2008年7月1日, 澳大利亚将银行和金融服务督察机构、金融行业申诉服务机构和保险督察服务机构合并为全国金融督察服务公司 (Financial Ombudsman Service, FOS) 。FOS是一个独立的争议解决服务, 由澳大利亚证券和投资委员会 (ASIC) 批准成立。2009年1月1日, 澳大利亚信托争议处理中心和保险经纪争议处理有限公司分别成为金融督察服务公司的分支机构。FOS为不能直接与金融服务提供者解决纠纷的消费者和小企业提供免费、公平和易得的非诉争议解决途径。
2007年金融危机后, 各国纷纷改革本国金融监管体系, 将金融消费者保护作为金融监管的重要目标的趋势日益显现。
在众多的改革举措中, 力度最大的当属美国, 美国将金融消费者的保护提升到一个前所未有的高度, 这从美国2008年3月发布的《美国财政部现代化金融监管架构蓝图》和2009年6月公布的“金融白皮书”即《金融监管改革:一个全新的基础——美国金融监管体制的重构》中可得到充分体现。其中, 金融白皮书中提到要建立一个新的金融消费者保护机构 (3) 。而2010年7月, 奥巴马签署《多德-弗兰克法案》, 根据该法案, 美国成立消费者金融保护署 (CFPA) , 将之前分散在美联储、证券交易委员会、联邦贸易委员会等机构的监管职权集中到消费者金融保护署, 致力于保护美国金融消费者免受不公平金融产品和金融服务滥用。CFPA的具体职责包括:负责在信用卡、储蓄、房贷等银行交易中保护消费者利益, 防止各种损害消费者权益的行为, 制止“不公平的条款和交易”, 要求所有放贷人必须向借贷人提供标准、简单的贷款合同, 确保消费者获得清晰全面的信息, 并将对条款复杂的贷款进行严格的审查。为突显金融消费者的重要性, 《多德-弗兰克法案》将监管金融机构和保护金融消费者作为消费者金融保护机构的两项并列的职责。 (4) 此外, 通过出台与金融消费者保护相关的立法, 实现对金融消费者比较全面而深入的保护。最新代表性立法为2009年5月22日奥巴马签署了标志着进入“美国信用卡新纪元”的法案——《信用卡履责、责任和公开法》, 该法案旨在通过禁止信用卡滥用行为, 加强对金融消费者的保护。 (5)
英国2000年金融改革以及2008年金融危机后的金融改革中, 也将消费者保护作为监管目标之一。根据2000年金融服务和市场法案, 英国金管局 (FSA) 监管金融服务业的四个目标包括:维持市场信心;增进公众对金融体系的了解;适度保护消费者;打击金融犯罪。针对金融欺诈, FSA提出了金融产品的“合适并且合理” (fit and proper) 原则, 并在金融危机后期采取了一系列措施。第一, 加强对贷款人的保护。2009年11月1日起, FSA加强了对银行以及房屋互助协会与客户日常接触的监管, 从直接信贷、支付、存款账户到交易和利率变更。2010年1月, FSA出台了一系列措施确保按揭贷款人免受欺诈, 包括:不得对提前还款收取费用和利息、要求公司必须考虑借款人可能出现的各种情形、客户的还款必须优先用于偿还欠款而不是罚息等。第二, 加强事后投诉处理的信息披露以及消费者赔偿。2010年1月, FSA宣布将要求银行、保险公司和养老金等金融机构在2010年8月31日前公布如何处理消费者投诉。在半年内收到500起及以上的金融机构, 需要对如下问题进行两年一次的披露:投诉数量和处理数量、两个月内处理结束的投诉占比。FSA还提出加快银行破产后金融服务赔偿计划 (FSCS) 对客户的赔付期限, 客户在7天内得到赔偿, 并且简化赔偿的程序, 要求不考虑存款人的贷款额度进行总额赔付, 提前向客户说明参与赔偿计划的产品。第三, 把是否有效保护消费者利益作为重要的评价指标。目前, 平等对待客户 (TCF) 是FSA对零售金融产品的监管导向, 将平等对待客户 (TCF) 计划融入整个监管框架。要求公司在2008年底满足要求。从2009年起, TCF被纳入FSA的ARROW评级内容。第四, 加强事后追偿和惩罚。2009年7月英国财政部公布的《改革金融市场》白皮书提出, 对那些给大量消费者造成损害的金融服务和产品, 消费者有权向提供金融服务和产品的金融机构追讨损失。FSA对一些采取高压销售策略、不能公平对待消费者的公司进行惩罚甚至关闭, 对证券欺诈加强消费者警示和案件查处力度。 (6)
二、我国金融监管目标的审视
目前金融监管部门仍侧重于对金融机构的合规性、风险性进行监管, 而对消费者权利保护的重要性在认识上还存在不足, 保护消费者的措施相对比较薄弱。
1.立法方面缺乏对消费者权益保护这一监管职责的具体构建。我国法律在金融消费者保护方面有两个层次。一是《消费者权益保护法》、《人民银行法》、《商业银行法》、《证券法》、《保险法》、《银行业监督管理法》等基本法律;二是中国人民银行, 保监会, 银监会, 证监会等监管机构制定的规章制度。
在第一个层次上, 并没有体现出对消费者的特别保护。如《商业银行法》在第一条确定的立法宗旨中仅仅提到了“保护存款人和其他客户的合法权益”, 并且同商业银行的保护并列一起, 没有强调消费者保护的特殊性。即使该法还设立专章规定“存款人的保护”, 但这里的保护仅仅停留在对“存款人”保护, 而且主要保护机制也仅局限于存款安全和存款保密等问题上。《银行业监督管理法》对于银行业监督管理机构在消费者保护问题上的职责规范也不够明确。该法第一条针对消费者保护有原则性规定, 但是《银行业监督管理法》在“第三章——监督管理职责”中, 没有一个条文涉及消费者权益的保护问题, 其他的监管法规中也没有对银行业监管机构在消费者保护方面的职责提出具体的要求。
在第二个层次上, 各监管机构制定的规章制度相互间常有明显冲突, 这就导致各金融机构在执行时无所适从, 自然也严重影响了法规的权威性。当然, 银监会的监管规章试图在消费者保护的一些热点问题方面做出努力, 如银行服务价格问题。2003年银监会和国家发改委联合出台了《商业银行服务价格暂行办法》。该办法对银行服务价格的确定程序、收费标准等问题作了较详细的规定。这反映了我国监管当局已承担起金融消费者保护方面的职责, 并试图用强制性机制解决服务收费问题。但这种机制存在一定的局限, 因为具体规则无法对千差万别的服务及其收费做出统一规范;另外, 过于普遍地推行强制性规则, 势必导致市场规则受到挑战。
2.监管机构内部处理消费者投诉和纠纷解决机制的相对缺失。由于现有的金融监管制度没有建立相对完善的纠纷解决机制, 消费者与金融机构产生纠纷, 往往直接诉诸司法途径或者一般性行业的消费者保护机制来处理, 这种做法大大激化了消费者与金融机构之间的对抗, 也很容易导致金融机构的声誉受到损害。以证监会为例, 目前在证监会内部仅有一套非透明的处理投资者上访的信访制度, 这虽然在一定程度上为投资者的投诉提供了一条渠道, 但是它还不是严格意义上的处理投诉和纠纷的应对机制。而这一机制的缺失必然会影响对各类市场参与者的监管和保护。而且, 由于金融产品的交叉销售, 不同金融机构之间的业务界线越来越模糊, 消费者更是难以分辨一旦出了问题, 该向谁求助。向不同的监管机关投诉的消费者, 可能获得迥然不同的对待。
3.金融业自律组织没有对消费者保护问题给予足够关注, 我国的银行业协会、证券业协会、保险行业协会虽然已经成立多年, 但是由于制度、机制、监管等方面的原因, 这些自律性组织的功能没有得到很好的发挥, 在消费者保护问题上的作为也非常有限。几个协会目前还没有从同业合作与协调的层面上, 为消费者权益保护提供一个有效的平台, 也没有相关的书面安排来促进金融机构与消费者纠纷的减少和解决。 (7)
三、我国金融监管目标改革建议
1.明确将消费者保护纳入金融监管目标, 建立审慎监管与保护消费者并重的“双峰”目标体系, 增加消费者保护的监管资源配置, 强化监管者的消费者保护职能。
2.在条件成熟的情况下, 设置专门的消费者保护机构, 行使金融监管权在交易规则的设置、经营行为合规性的审查、消费者救济等方面为消费者提供专业化的保护。在这一方面, 澳大利亚的“双峰”监管结构提供了成功的范例。
3.加强金融监管机构与消费者团体、金融同业组织的沟通与协作, 通过建立长效的联系机制, 发挥消费者团体的作用, 增进消费者自我保护的意识和能力, 并借助行业自律的约束力规范金融机构的经营行为, 保障消费者利益。
摘要:文章在介绍分析各国金融监管目标新趋势的基础上, 对我国金融监管目标进行了多方面的审视, 并就当前我国金融监管目标存在的问题及缺失, 提出了相应改革建议。
关键词:金融监管目标,新趋势,金融消费者,保护
参考文献
①邢会强:“澳大利亚金融服务督察机制及其对消费者的保护”, 载于《金融论坛》2009年第7期。
②Caner Bakir, Who Needs a Review of the Financial System inAustralia?The Case of theWallis Inquiry, Refereed Paper Presented to Jubilee Conference of theAustralian Political Studies Association, Australian National University, 2002, 10.
③See Financial regulatory reform:a new foundation-rebuildingfinancial supervision and regulation, from www.financialstability.gov/docs/regs/FinalReport_web.pdf, 2010-6-22.
④SeeDoddFrankAct.
⑤马红雨、康耀坤:“危机背景下金融消费者保护法律制度研究”, 载《证券市场导报》2010年2月号, 第19页。
⑥巴曙松、牛播坤:“金融消费者保护成为金融监管改革的重要内容”, 载于《资本与金融》, 2010年第4期。
【科技金融监管的论文】推荐阅读:
科技金融论文03-23
区域金融学视角下我国科技金融发展研究论文10-12
浅析保定市农业科技创新金融支持体系构建政策建议论文10-17
上海市科技金融模式的创新发展07-12
海淀科技金融创新11-05
华中科技大学金融09-10
国外科技金融创新经验03-03
金融监管防范金融风险论文10-06
科技型企业金融创新12-12
金融科技活动周标语12-30
