非银行金融机构(以下简称“非银机构”)是我国金融体系的重要组成部分,向企业和个人客户提供专业化、特色化的金融服务。非银机构的类型广泛,在支持实体经济、推动经济转型、促进居民消费等方面发挥了重要作用。同时,非银机构持续开展系统建设已取得显著进步,但在目前监管态势持续趋严的大背景下,非银机构限于自身资源与技术能力,在推进科技建设、管控科技风险方面所暴露出的短板日益凸显,如在监管关注的业务连续性、数据安全分类分级管控、外包与合作安全和自主可控等方面均存在不足。近年来部分非银机构也曾因消费者权益保护及合作机构管理、系统中断和报送数据质量等事项受到过监管处罚。且各类非银机构业态差别较大,管理基础与能力成熟度不尽相同。在对标监管要求的同时,各类非银机构也迫切需要探索出适合自身特点的信息科技风险管理机制与模式,以求在提高科技建设水平,支撑业务稳健运营与开展数字化创新的同时,充分合理利用现有资源,提高风险应对响应能力,守好安全与合规底线。
本文将围绕各类非银机构监管态势、信息科技管理与信息科技风险管理的机构特色,以及管理提升思路和要点进行分析。
一、监管政策动态分析
2016年《关于加强非银行金融机构信息科技建设和管理的指导意见》(银监办发[2016]188号)(以下简称“188号文”)针对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银机构,提出促进信息科技建设、提升信息化管理水平、有效防范信息科技风险、保障非银机构稳健经营和持续发展的总体目标。“188号文”要求非银机构应将信息科技风险纳入全面风险管理体系,建立常态化的风险识别、监测和管控机制,每年对全部重要信息系统至少开展一次风险评估。同时针对重大信息科技事件或重大风险隐患开展必要的专项审计,至少每三年完成一次全面审计。
2023年国家金融监督管理总局非银机构监管司下发《非银机构业务连续性及网络与数据安全风险管理评估评价指引(2023)》,列举了信息科技风险各主要方面的具体评估要点。
2023年12月金监总局非银司在《学习贯彻中央金融工作会议精神 推动非银机构高质量发展》中提出“进一步提升非银机构信息化建设水平。紧盯业务连续性和数据、信息安全管理,研究、实施差异化监管和支持措施,对信息科技能力较弱的中小规模非银机构,选择或搭建标准的技术平台或数据中心,按照‘急用先行’、‘成熟一个推广一个’原则,分批次、分区域实施,为中小非银机构提供多元化的市场选择和技术服务。”足以说明监管对非银机构信息科技风险管理提升与特色化、差异化落实的重视。
2024年5月,非银司在《推动非银机构更好服务高质量发展》中提出“贯彻‘五大监管’理念,结合非银机构经营和风险特点,持续完善监管指标报表。深化监管数据治理,不断提高统计数据质量……”非银机构应持续完善系统工具,推动数据治理,提高监管报送数据质量,持续增强经营效能及风险监测管控能力。
金监总局近日发布的《关于银行业保险业做好金融“五篇大文章”的指导意见》中,再次强调“数字金融要把握机遇、重视安全,提高金融服务便利性和竞争力……加强数据安全、网络安全、科技外包等风险管理,防范新技术应用带来的风险,提高运营韧性。鼓励科技领先金融机构向中小金融机构输出风控工具和技术服务”,并针对性要求各类非银机构主动发挥专业优势,聚焦主业,规范发展。
此外,普华永道收集了近年发布的针对各类非银机构的主要监管政策,对其中关于信息科技建设与信息科技风险管理的要求进行了梳理(具体请见附录)。总体来说,建立与系统运行管理模式相匹配的信息科技风险管理体系,有效落实网络与数据安全、业务连续性、科技外包和合作管控,以及数据治理、监管报送等方面,是监管关注的重点。其次,系统建设既是业务开展的依托,也是风险合规管理所需的工具和抓手。系统和科技架构需要满足业务经营和监管要求,并应发挥系统工具对业务的赋能和管控的保障作用。非银机构系统化向数字化转变仍有提升空间。
此外,非银机构还需关注落实银行保险机构信息科技风险相关监管指引的适用范围或参照执行的要求,例如《银行保险机构数据安全管理办法(征求意见稿)》《银行保险机构信息科技外包风险监管办法》等。
二、管理难点分析
不同类非银机构之间管理差异性较大,普华永道结合对行业的理解与服务经验,总结信息科技建设与信息科技风险管理的共性难点如下:
核心难点源自非银机构信息科技管理体系和管理资源,与其所需满足的合规要求之间的较大差距。除金融资产管理公司为全国性机构外,其余非银机构多为中小金融机构。对于“188号文”在“建立有效的信息科技治理架构”中所提及的科技治理基础、专业队伍建设和信息科技风险管控机制各方面,广大非银机构相关团队仍普遍面临从配备到经验上的不足,这也影响了管理体系的完备性与可执行性,例如必要的职责分离、独立监督等执行不到位。部分其母行(公司)的科技资源和管理机制进行弥补,但在自主性与特色化方面仍需逐步完善。
不同类非银机构业务差异化明显,而同一行业内不同机构间的科技水平差距也较大。消费金融公司、汽车金融公司、理财公司等主要面向个人客户的非银机构,在个人信息安全与消费者、投资者权益保护等方面合规压力较大。消费金融公司依托互联网移动端展业、汽车金融公司依托经销商、理财公司依托银行代销,主要渠道的差异导致对合作方对接的要求不同。财务公司、货币经纪公司等由于自身业务特点,对系统和网络可用性有较高要求。而信托公司、金融租赁公司、金融资产公司则可能面临相对多元的产品、业务,需要系统、工具层面的分散建设、接入与统筹管理。此外,不同机构的科技投入水平差异,也对其系统开发、灾备建设等有直接影响。因此非银机构在信息科技风险管控落实上,缺少可照搬的模板,需要形成符合机构自身管理基础和发展阶段的策略和规划。
对外合作的安全和自主可控要求较高。一方面,非银机构自身多处于业务的中枢环节,但在业务上下游仍需要对接各类关联方或市场化的合作机构,如风控、营销、引流、催收、估值、经销商和交易市场等,系统、网络和数据对接和交互场景多样,安全管控复杂度高。另一方面,非银机构系统开发多依托于厂商,而由于业务特色化和领域细分使得专业系统的开发厂商市场集中度较高。非银机构在技术吸收、需求定制化、服务质量与风险管控方面的自主程度仍有提升空间。
三、提升建议
结合上文的分享,普华永道建议非银机构在信息科技风险管控方面应做好如下三方面改进工作。
(一)识别差距,打牢基础
信息科技风险评估和审计 —— 按照监管要求的事项、频率和范围,及时开展信息科技风险评估和审计,或配合其母行(公司)开展上述工作,并基于评估和审计及其他相关内外部检查的发现,充分识别总结体系现状在风险、安全及合规方面存在的不足。
建立健全信息科技风险组织、制度及流程体系 —— 尽快完善信息科技风险基础性管理要素,如推进管理制度和文档建设、加强安全工具部署及策略管理、漏洞扫描与修复、敏感数据安全管控和账号及权限梳理、就外包及合作的协议模板关键条款进行必要补充、有效识别重要业务及系统、重要外包活动、及时更新连续性计划、结合发展规划前瞻增强基础设施冗余度等,及时补齐体系短板。
(二)依据自身实际拆解任务、合理规划,有序落实相关工作
建议非银机构结合自身实际,合理分解能力提升任务,加强事项前后的衔接,形成良好的规划,例如通过数据治理和盘点提升数据质量的同时,也为数据安全分级分类管控打下基础。
建议机构加强对管理工具的重视,通过工具建设提高管理效率和标准化程度,例如加强风险、连续性与安全相关自动监控与响应能力等。
建议机构结合自身实际,积极实施分级分类与差异化管理策略,如将相对有限的保障资源针对性投入到声誉风险高、对客户影响大的系统或领域,并考虑在部分建设项目中试验选定的技术路线,逐步探索形成适合自身的架构,或采用敏捷模式增强自主维护能力,或通过资源池方式有效管理技术资源、合理把控成本。
(三)紧跟监管,自驱完善
建议非银机构及时响应监管动向,充分掌握合规要求与目标,识别潜在差距。及时响应监管或行业组织发布的风险提示、安全情报等。对于监管通报的典型问题要举一反三,做好自查自纠。
业内可由非银机构自发,或由行业协会出面推动管理机制的自驱完善,例如组织先进机构进行经验分享,并鼓励各机构探索符合行业及自身特色的科技建设思路;可推动建立合作服务商的行业名单或评价机制等,有利于增强非银机构的话语权。
针对各类非银机构的关注重点建议如下:
金融资产管理公司:提升系统对业务的支持水平,提高运营效率和风险管理能力,加强数字化建设,强化安全管理体系,完善灾备和应急恢复体系,加强外包项目管理。
企业集团财务公司:推动司库、供应链金融与业财系统建设,加强系统安全、网络安全、漏洞管理等,完善基础设施充分保障交易连续性和数据恢复能力,加强外包风险管理。
消费金融公司:强化服务渠道保障和灾备建设,关注网络及数据安全、客户信息保护,完善安全应急响应机制,加强数字化建设与风控,强化合作机构管理及关键领域自主可控。
汽车金融公司:加强经销商等合作机构管理、安全及外包风险管理,落实消费者权益保护要求,有效识别重要系统并相应完善连续性计划,加强数据治理、连续性和安全演练。
金融租赁公司:加强系统建设整合提高产品、资产和项目、资金、内控及风险管理能力,提升系统安全和网络安全,加强数据治理和安全管理,加强系统自主维护能力。
货币经纪公司:加强数据治理、数据和网络安全、权限管理,提高外包管理能力,强化基础设施,提高中断响应与恢复能力充分保障服务可用性,结合业务特点完善连续性体系。
信托公司:通过系统整合、数据治理和数字化建设强化产品、客户、交易、资产、运营及风险管理能力,提升对外交互的安全和连续性管理,加强外包开发管理与技术吸收。
理财公司:结合母行科技体系形成符合自身特点的科技风险管理机制,提高产品、投研、估值、清算、风险等系统能力,强化客户数据和网络安全,保障网络及移动渠道可用性。
附录:近年监管发布相关政策
结语
普华永道针对各类非银行机构具有丰富的服务经验,在信息科技风险重点领域如网络与数据安全、风险评估与审计、应急管理、操作风险与外包风险管理、隐私保护、新技术风险管控等方面积累了较多特色化实践经验,可向非银机构积极提供其切身需要的多样化帮助与支持。
