电子金融的前景与监管
在数据化和信息化高度发达的今天,各种高新技术不断植入传统领域,银行业概莫能外。王俊寿:在信息大爆炸的今天,银行业传统的经营与服务方式已经面临巨大的挑战,甚至处在一种内忧外患的窘境之中。
在数据化和信息化高度发达的今天,各种高新技术不断植入传统领域,银行业概莫能外。社交网络化、服务电子化、融资脱媒化等现象已经给传统金融带来了极大的挑战。最近,以“三马融合”打造的一个全新的金融平台,开始构建网络化立体式的全新金融销售模式 ,新兴电子商务的风起云涌令中国的主流金融业压力倍增。与此同时,一些银行信息科技方面的风险及隐患被不断曝光,也引起业界乃至全社会高度关注。处于这样大变革的年代,银行业金融机构既要顺应大势,加快战略与经营的转型,提升信息科技服务能力;又要加强自身风险防控水平,实现可持续的健康发展,这一问题也是金融从业者、监管当局需要共同面临和思考的。就此,记者日前采访了天津银监局副局长王俊寿。
信息科技发展给银行业带来的新变化
记者:目前信息科技发展日新月异,淘宝、微博和微信等已经改变了人们的行为方式和交际渠道。金融服务也突破了固有的传统模式,银行卡、ATM、电话银行都不再是电子银行的最前沿,像手机移动支付、网络自助贷款、互联网金融等更是山雨欲来。在此背景下,您认为中国金融业面临着怎样的发展趋势?
王俊寿:在信息大爆炸的今天,银行业传统的经营与服务方式已经面临巨大的挑战,甚至处在一种内忧外患的窘境之中。“内忧”就是银行业自身电子化进程中存在的内生性风险;“外患”就是新兴互联网金融开始蚕食它们的地盘。一位网络巨头说过:如果银行不能改变我们,我们将改变银行。新的形势开始倒逼银行业必须进行战略调整和业务转型,那种靠物理网点“摊煎饼”式的扩张、盈利来源靠“吃利差”式的依赖、市场营销靠“打人海”式的进攻等将逐步成为历史。因此,顺应大势,依托强大的信息科技之引擎,实现传统商业银行向现代电子金融的“涅槃”,确实时不我待。
宏观来讲,物联网、云计算、在线交易和移动金融的普及是科技进步的必然产物。就与当前银行业信息科技的发展趋势结合来分析,可以用以下“四大”进行概括:
一是大数据的时代。最近非常畅销的一本书叫《大数据革命》, 书中讲到的几句话很有启发性。如“大数据将是下一个社会发展阶段的石油和金矿;除了上帝,任何人都必须用数据来说话;数据挖掘作为基础的高级分析技术,将促进从数据到知识的转化、从知识到行动的跨越”,等等。核心思想是,正在到来的数据革命,将深刻地影响政府行为、生活方式与商业模式。近来,一部分银行已经将数据治理提上了战略高度与议事日程,明确提出要由现在的“存款立行、贷款兴行”逐步转变为“数据立行、科技兴行”,这一提法非常好。但是,我们的银行业对数据的利用和分析还很肤浅,离“拿数据说话”、“依数据决策”的目标尚有很大的差距。
二是大联网的方式。未来的世界肯定是互联互通的,在云计算、物联网时代,每个人所有资产与负债、账户与资金都能实时监测与交易,不会受时间和空间的任何限制。大家要真正享受“全天候、立体化、贴身式、管家型”的金融服务,这就对银行业提出了更高的要求与更新的挑战。一方面,要满足客户日益强烈的多样化、人性化和个性化的金融需求,就要在科技投入、研发创新、流程再造和拓展领域等方面加大力度;另一方面,还要守住底线,厘清必要的商业边界,保护客户的私人信息,筑好抵御各种风险的防火墙。
三是大集中的模式。在“大信息、大数据”时代,大家都开始注重信息的收集、存储、加工和利用。银行机构也都开始将海量信息和数据通过流程优化和制度设计,应用到日常的经营管理之中,主要实现路径就是数据大集中模式。目前,大部分商业银行已经将运营、后台和科技进行了集中化管理,甚至各项授信业务的审批权限也上收到总行。这都有利于减少信息不对称、决策偏离度和效能漏损率,是国际银行业经营管理的大趋势。随之而来的是对数据筛查分析能力的巨大挑战,如果仅仅实现了数据的物理性捕捉、累积和存储,而没有达到对大集中带来的“几何效应”,反而会影响信息的及时利用、价值释放和风险识别,效果会适得其反。
四是大众化的趋势。互联网已经实现全覆盖,手机更是早已普及。所以,银行业机构要顺应信息科技新要求,既要满足金字塔顶高端客户的全方位需求,也要夯实对金字塔基大众阶层的基础服务。银行根据不同客户群来定制专属业务品种,将呈现多样化和个性化的趋势,这就对信息科技的建设和管理提出了更高的要求与期望。
银行业信息科技方面的主要问题
记者:如您所讲,在信息科技高速发展的大背景下,电子金融对传统银行会产生替代型的转化和颠覆性的变革。目前,我国的各类银行业金融机构是否做好了准备?还有哪些亟待解决的问题?
王俊寿:信息科技风险是银行业所有面临的风险中,唯一可以让业务系统在瞬间瘫痪、让所有客户数据在瞬间消失、让金融机构在瞬间倒闭的风险,是一种典型的“黑天鹅事件” ,具有低频高危的特点。信息科技方面出现问题能让一家机构伤筋动骨,甚至轰然倒塌。
现阶段,我们面临的信息科技风险主要表现在三个方面。一是核心技术受制于人。前段时间国外发生的银行信息科技外包商外泄敏感数据事件给了我们一个重要的警示。我们银行自身的开发能力不足,受制于外包公司。但外包公司的人员流动性高,人员素质良莠不齐,一旦发生道德风险事件对银行会造成很不好的影响。二是网络安全日益严峻。我们经常看到各种网络安全事件,如黑客攻击、钓鱼网站、敏感信息泄露等。有些还不乏是国际性的大银行,最近,韩国的几大主要银行就曾遭到境外黑客攻击,部分机构的业务系统瘫痪近一天,影响严重。三是发展水平很不平衡。各行大多存在着“重建设、轻管理,重开发、轻运维,重救急、轻救穷”等情况,科技高层治理机制还不健全,外包风险非常突出,系统建设比较滞后,业务连续性管理有待提升。特别是一些中小银行和农村金融机构在这方面的问题尤为突出。
目前银行业信息科技方面主要问题也是三个层面。
一是银行业金融机构对信息科技风险的认识有待提升。许多银行高管们平时主要还是关注业务发展情况,对科技风险重视程度不够。集中表现在科技治理架构作用发挥不明显,科技发展规划前瞻性不足,科技建设持续投入力度不够。另外,一些银行既懂业务又懂技术的人才严重缺乏;信息科技建设和运行维护严重依赖外包;风险管理部门缺乏对信息科技风险的专门研究,缺少专门的风险计量和识别工具;信息科技内部审计缺乏经验,大多严重依赖具有外资背景的外部审计。
二是银行业金融机构信息科技应急管理能力有待加强。信息系统已经成为银行维系正常运转的命脉,但各商业银行的信息科技应急管理能力普遍不足,科技部门“单打独斗”,应急预案和应急演练缺乏业务部门广泛参与,普遍没有建立起全行范围的业务连续性计划。从近几年银监会通报的影响银行业务开展的若干起信息科技风险事件来看,集中体现了应急管理的三点不足——应急观念不足,个别商业银行对应急管理认识不够,应急架构流于形式,缺乏全员应急教育,尚未规划建立健全业务连续性计划;应急准备不足,人员、物资、设施不到位,应急预案覆盖场景有限,技术预案和业务预案难以有机结合,缺乏对预案的定期演练和更新;部门协调不足,事件发生后,科技部门忙于处理技术问题,业务部门多在观望等待,缺乏整体协调配合,往往造成事件复杂化。
三是信息科技风险监管可依据的法律法规有待健全。近几年来,银监会陆续出台了一系列的信息科技风险方面的监管指引和风险提示,对基础设施建设、电子银行业务、突发事件应急、系统投产变更、业务连续性、外包等方面提出了方向性的指引,但由于信息科技风险的特殊性和复杂性,要求我们必须与时俱进,在新业务、新风险出现后不断填补制度需求,使信息科技风险防范工作具有前瞻性。
风险防范与有效监管的建议
记者:找到了症结所在,您对下一步做好信息科技风险防范与电子金融有效监管有什么具体建议或意见?银行业自身和监管部门分别应该做些什么?
王俊寿:银监会始终高度重视信息科技建设和风险的防控,每年都会将此列为重点工作之一。而且,从上到下陆续都成立了专门的信息科技监管部,彰显了对信息科技工作的重视。特别是在国家层面牵头成立了信息科技风险管理高层指导委员会(以下简称“管委会”),直接指挥金融业信息科技建设与风险控制工作。各家银行业机构也基本能够按照“统筹兼顾、协调发展、业务主导、技术先行、安全第一、质量优先”的指导思想,在信息科技治理、基础设施建设、运用体系维护、系统安全运行和良好数据标准等方面开展风险防控工作,也都取得了可喜的成果,体现了“管委会”对全国银行业信息科技建设的权威指导和科学引领的巨大效应。今年,银监会又将信息科技风险评级纳入到CLIMATE评级体系中,并占有很高的权重,此评级工作又与市场准入直接挂钩,更提升了业内对信息科技工作的重视程度。
我认为要做好信息科技建设与风险管理“两不误,双收获”,就必须强化三个并重。
首先,高层治理与日常管理并重。信息科技高层治理的工作重点是围绕银行发展战略,制定科技规划和蓝图设计,强化自主创新能力建设,完善科技项目立项机制,构建“三道防线”组织架构,夯实基础设施根基,提升科技风险管控水平。如果说高层治理是“纲”,日常管理就是“目”。只有做好日常管理,才能将高层治理理念、思路和方案贯彻到基层,落实到一线,并形成良性互动。这里包括信息安全管理、事件管理、应急管理、灾备管理、业务连续性管理、外包管理和机房与日志管理等许多领域。
其次,条块建设与统筹发展并重。现在一个普遍的现象是,银行业机构都存在“重建设、轻管理;重条块、轻统筹”的不均衡问题。无论是大银行,还是小机构,都承载着几十个甚至上百个大大小小的业务系统的运行,信息科技要面对大量区域化、差别化的金融服务需求,颇有“小马拉大车”之累。而这种各自为战,自成体系和互不兼容的问题,如果得不到很好的解决,且不论提高了成本,还会引发信息科技风险。所以我们要强化科技与业务的契合,各业务条线的整合,不同区域板块的融合,发挥集群效应,打整体牌,实现精细化发展、科学化经营。
再次,自主创新与适度外包并重。“十二五”规划特别强调“科技创新孕育新突破”,要建立需求敏感、响应快速、优质安全的IT全流程服务体系,深入推进主机系统、开放平台、网络环境、机房建设达标工程,同时构建规范化、标准化的数据管理体系,以确保科技管理集中统一、生产运行安全有效、软件开发测试先进实用的具体目标,这些都需要银行业机构培育自主创新能力,而不是单纯的依托外包来完成。鉴于当前外包行业管理和队伍素质尚不完全成熟,由此引发的风险事件还时有发生。因此,最好按照“核心业务系统坚持自主创新,非核心辅助项目适度外包”的原则,科学、审慎地处理好两者之间的关系,既要算清成本这一小账,更要算好风险这一大账。要打造百年老店,还需提升自主创新能力。
监管部门是“一手托两家”,既要引领广大银行业机构通过信息科技发展来推动业务与技术创新,提高金融服务的载体能力;又要制定行业规则和做好日常风险监管,确保不出问题。我理解的监管底线是“数据不会丢、信息不外泄、网点能开门、储户能取钱”,但这只是60分的起码要求,要想真正构筑防范信息科技风险的铜墙铁壁,还需要银行业机构与监管当局之间的密切配合、机构监管部门与功能监管条线之间的协同联动。
(图片一文)
王俊寿
南开大学本科毕业,金融学博士后。曾长期在金融机构工作,历任商业银行基层行长,总行部门总经理,天津银监局副局长,天津金融学会副会长,银监会国际监管改革专家团队成员。研究领域有小微企业融资、跨业金融协同、科技金融发展、国际金融监管标准等。曾多次作为子课题牵头人参与全国重大社科项目。先后在《金融时报》、《中国金融》和《银行家》等核心报刊发表论文数十篇,撰有《中小企业融资策略与金融创新》等专著。