《商业银行互联网贷款管理暂行办法》解读.pdf

商业银行互 联网贷款管理暂行办法解读中国银保监会 (2020年第9号令)翁涛徐雪梅何冰周凡第一章 总则3 4 4二 风险管理体系风险数据与风险模型三信息科技风险管理四明确互联网贷款内涵, 建立有针对性的管理体系提出消费贷款额度限额, 对限额采取弹性管理要求银行审慎进行跨区域展业建立适应互联网贷款业务特点的风险管理体系在贷款业务全流程中关注反欺诈、反洗钱体系建设构建有效的风险定价模型, 使风险与匹配业务定价与风险相匹配加强统一授信管理，防止过度授信关注贷后风险预警以及高效合规、差异化的清收处置加强互联网贷款数据管理, 重点关注数据质量与隐私保护强调模型自主开发能力建设，整改“黑匣子”模型明确加强模型全生命周期管理能力全面建设信息科技风险体系, 重点关注网络安全风险防范与合作机构系统安全管理审慎选择并持续评估合作机构, 关注合作方准入建立业务合作机构限额管理与集中度管理机制贷款合作管理五6 8 10 11 1214 15 171820 22商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 2前言互联网贷款业务近几年伴随着商业环境的变化和科技手段的不断提升快速发展。 商业银行在持续扩大互联网贷款规模的同时, 在业务发展和风险管控方面面临新的挑战。在业务领域, 互联网贷款运用互联网和移动通信等信息通信技术, 基于大数据和风险模型进行分析, 能够线上自动完成贷前、 贷中和贷后业务等核心业务, 突破了时间和网点的限制, 为客户提供多种方式的金融服务。 因此, 银行在营销获客、产品设计和系统建设方面需要全新的理念和创新的思维。 但由于目前银行的发展水平参差不齐, 部分银行在开展互联网贷款业务过程中出现风控和技术过度外包、信息滥用和消费者利益侵害等问题。在风险管理领域, 互联网贷款打破了以往的信贷模式, 呈现出新型风险与传统风险并存、风险传播速度加快、风险识别异常复杂和风险变化动态加剧等特征。 部分银行在应对这些变化时, 在组织, 技术, 人才和系统等方面都存在短板。正是针对以上这些问题, 监管机构提出 商业银行互联网贷款管理暂行办法（以下简称办法）, 旨在规范商业银行互联网贷款业务经营行为, 促进互联网贷款业务平稳健康发展。办法分七个章节, 分别对互联网贷款业务管理的范围与业务开展原则、相关风险管理体系建设、风险数据与风险模型管理、信息科技风险管理、贷款合作管理等多方面提出了具体要求。骐骥千里, 非一日之功, 要满足办法 中各项规定, 银行需要在夯实优化现有管理的基础上, 以全新的视角和适应互联网贷款业务的框架打造新型管控体系。 这些工作非一朝一夕可以完成, 虽然监管提供了两年的过渡期, 但通过分析各类挑战, 商业银行所面临的工作依然艰巨和紧迫。 奥纬咨询作为一家具有国际视野同时深耕国内市场的管理咨询公司, 在过往多年帮助银行实现数字化转型的过程中积累了大量宝贵的经验, 我们也充分了解国内商业银行的管理现状和面临的挑战。 我们希望以下对监管要求的解读和与之对应的解决方案能够在银行完善内部管理机制的过程中助一臂之力。商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 3第一章 总则总则部分主要内容包括 办法 制定目的和依据, 明确了互联网贷款业务、 风险数据及模型等关键定义, 框定了该管理办法适用范围, 明确基本监管原则与业务限额, 对商业银行展业的业务规划、风险管理进行指导, 明确了责任监管部门, 同时强调了地方法人机构跨区经营, 消费者保护等重点条款。监管重点1. 明确互联网贷款内涵, 建立有针对性的管理体系总则部分首先明确界定了互联网贷款的内涵和范围, 并对互联网业务原则、全面风险管理体系建设、 合作机构管理、消费者保护等方面提出了概括性要求。 纵观 办法 整体要求, 其内容涉及到商业银行、 合作机构和消费者等业务参与方, 其复杂程度明显高于银行的传统业务。 对于银行内部来说满足 办法 要求就必须协调管理层、业务、风险、财务、合规、法务、运营以及信息科技等多个部门完成从自我评估到差距分析和整改计划等一系列具体实施步骤, 以便满足监管要求。目前商业银行在开展互联网贷款业务过程中还未形成体系化的业务规范, 各家机构离 办法 要求存在或多或少的差距。 特别是对一些线上业务管理机制存在缺陷的银行将造成深远影响。 今后商业银行在互联网贷款业务领域的发展空间依然巨大, 金融机构还将继续加大这一领域业务的投入, 但要持续发展这个领域的业务, 必须针对互联网业务特征进行更加严格和细致的管理。 银行应首先根据 办法 要求, 全面梳理现有业务, 对符合互联网贷款的内涵和范围的业务开展差距分析并充分把握过渡窗口, 充分调动行内外资源及时部署规划和落地各项整改要求, 抓紧时间完善各领域管理机制建设, 尽快满足办法的各项要求。 同时严格杜绝不符合要求的新增业务。对于 办法 适用的主体, 除商业银行经营的互联网贷款业务外, 外国银行分行应当参照 暂行办法 的规定执行。 对于消费金融公司、汽车金融公司除规定第六条关于个人贷款期限的要求可以豁免, 其他包括贷款支付管理等要求均参照 暂行办法 的规定执行。图表 1. 互联网贷款业务贷款全流程的重塑, 银行需建立有针对性的风险管理体系贷前获客渠道转线上进行客群场景化评估为保障获客阶段风险可控, 需要进行渠道评估判断各渠道所带来的客群的风险水平; 同时加强场景化客群评估, 对细分客群预判风险贷后力求无感监控为实现智能自动的准入审批, 需要建立高精准且符合自身业务特点的模型, 统筹多方数据做好保密工作, 且管理合作方风险贷中自动化决策，大量引入第三方为实现无感监控, 需要建立精确的贷后预警模型和指标体系, 实现自动化预警和标准化应用预案，同时进行实时反馈, 提升敏捷性催收退出智能化催收手段为实现智能催收与无感监控, 需要开发智能化工具辅助智能催收与失联管理来源: 奥纬分析商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 42. 提出消费贷款额度限额, 对限额采取弹性管理对于单户用于消费的个人信用贷款授信额度商业银行应当在20万元的额度范围内, 针对互联网贷款业务的不同客群、场景等, 制定差异化的授信额度。 值得注意的是, 20万元是参考值, 即监管机构可以根据商业银行的经营管理情况、风险水平和互联网贷款业务开展情况等对上述额度进行调整。按此条款表述理解, 可能意味着特定商业银行如果经营出色管理到位, 可经监管机构许可在最高20万元的单户授信额度上有所突破。 反之, 20万元的授信额度也有可能向下调整。 同时, 对于单户用于生产经营的个人贷款和流动资金贷款授信额度上限仍规定可由商业银行根据自身风险管理能力, 按照互联网贷款的区域、行业、品种等自主确定。 这一规定也可理解为在支持实体经济发展, 特别是支持个人生产经营业务的同时, 也提出商业银行的风险管理能力需要和业务实践相匹配。3. 要求银行审慎进行跨区域展业对于地方商业银行能否跨区域开展互联网贷款业务的问题, 办法 暂未对地方商业银行跨区展业进行明确限制, 也未提出跨区展业的具体指标要求, 仅原则性规定地方商业银行应当“审慎”开展跨区业务和“地方法人银行开展互联网贷款业务, 应主要服务于当地客户”的导向。 但从监管角度, 也不排除后续监管部门根据地方商业银行跨区展业的风险状况等进一步提出审慎性监管要求的可能。 结合 办法 上下文要求, 银行新研发的产品也需要提交监管机构会审批, 这也就意味着营业网点铺排较少的银行, 在此项业务中, 必然将面临强监管, 这就需要银行提供其核心风控能力足以支撑审慎监管要求下开展业务。对于计划开展跨注册区域经营的银行, 其差距分析与规划的必要性则更为重要, 需要全方位审视现有的产品距离 办法 的审慎要求, 仍存在哪些具体差距, 并制定合理的推进路线。图表 2. 依据 办法 规定建立互联网贷款全面管理体系互联网贷款业务管理内涵、范围与目标信息科技风险（含相关网络安全风险与业务连续性风险）互联网贷款治理架构 互联网贷款政策制度互联网贷款全面风险管理贷前 反欺诈 反洗钱 网贷统一授信 风险定价贷中 风险预警 智能清收贷后核心风控要点 网贷模型开发 模型治理模型 数据 数据治理: 数据质量与隐私保护合作方管理体系助贷/平台贷组合管理合作方+ +来源: 奥纬分析商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 5解决方案进行快速的差距分析与整改规划银行需要重新梳理互联网贷款产品管理体系并部署整改, 时间紧、任务重, 同时面临监管对业务产品层、客户层和授信层整改的较大压力, 对银行的业务规划与风险管理能力提出较高要求。 作为对 办法 要求的回应, 银行急需基于监管要求定位差距, 并全面规划互联网贷款框架体系实施路径, 从而为完善管理体系奠定基础。图表 3. 基于监管要求明确差距并制定整改方案 (示例)对比维度 监管要求风险偏好与战略设定风险偏好设定 没有考虑到互联网贷款业务的新兴风险, 如.战略仍沿用线下思维, 没能反映网贷的.需要额外设立XXX委员会, 负责.在XXX业务合作中各部门职责呈现割裂状态, 即.政策制度制定不够全面, 需要制定.业务流程融合性不足, 体现在.流程执行效率有提升空间, 体现在.现有决策工具主要依赖传统技术, 提升空间包括.数据资源的收集和查阅机制不够完善, 体现在.系统部署的权限管理机制不满足线上业务的敏捷管理要求, 导致.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX业务战略制定组织架构设计职能职责分配政策制度完善性流程设计流程执行决策工具数据收集完善性系统部署敏捷性互联网贷款管理组织架构、职能职责与政策制度互联网贷款管理流程与决策底层数据与有效性现状描述 整改优先级XXXXXXXXXXXXXXXXX来源: 奥纬分析图表 4. 基于差距分析全面规划实施路径 (示例)(本阶段) 风险偏好、政策、组织架构、职能职责申请模型开发与优化 、申 请审批策略制定反欺诈、反洗钱、统一授信、智能催收、风险预警模型等风险数据治理与风险模型治理管理互联网贷款其他重要风险含风险定价模型建立与助贷/平台贷限额管理差距识别与规划顶层设计搭建核心模型 重点模型 治理工作 组合管理合作方管理与信息科技风险管理等其他工作来源: 奥纬分析商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 6第二章 风险管理体系风险管理体系的搭建是 办法 中最为核心的部分, 它在提出商业银行完善顶层设计的同时对一些重要事项也提出了具体要求。 该章节内容强调了风险管理体系的治理架构与职责, 对风险资源、风险管理办法与流程、贷款全流程管理提出了指导性建议, 内容涉及反欺诈反洗钱建设、人工复核、合同存储、授信管理、贷后管理、不良处置等重点。监管重点建立适应互联网贷款业务特点的风险管理体系根据 办法 的要求, 商业银行应将互联网贷款业务纳入全面风险管理体系。 在顶层设计层面商业银行应 “建立健全适应互联网贷款业务特点的风险治理架构、风险管理政策和程序、内部控制和审计体系, 有效识别、评估、监测和控制互联网贷款业务风险, 确保互联网贷款业务发展与自身风险偏好、风险管理能力相 适 应 。”这方面的工作应重点突出在原有商业银行风险偏好的基础上制定互联网业务风险偏好陈述内容, 设计 互联网业务风险偏好指标体系。 明确风险治理架构的同时完善各类风险管理办法, 以实现对业务的有效 管控, 包括: 制定互联网贷款风险管理制度, 在其中约定董事会、高级管理层、风险控制部门、业务部门之间的职能 职责, 描述银行互联网贷款风险管理的构成, 以及银行互联网贷款的各项风险管理原则 补充完善各类配套制度, 如模型评审委员会实施细则, 模型管理办法、个人客户统一授信办法、合作方 管理政策、网络安全管理办法等等商业银行还需审视当前的个人贷款管理思路, 并对当前的个人信贷授信政策进行修订, 如在授信类政策中将原有的从强调第一还款来源的思路中, 加入“综合判断个人客户的交易行为来核定小额贷款的额度”。解决方案风险管理体系搭建与完善当今互联网贷款业务在大数据、云计算和人工智能的加持下在普惠金融领域呈现出高效、快捷、便利的巨大优势, 这种业务模式呼唤更敏捷、更智能的风险管控机制与之相匹配, 而银行传统的风险管理从组织架构到政策、工具相对于新型风险管理存在一定滞后性, 与互联网贷款业务特征脱节, 难以支持其业务迅速发展。因此, 商业银行有必要全面梳理并重塑互联网贷款业务风险管理体系, 明确风险偏好及战略、治理架构以及政策制度等顶层设计。商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 7图表 5. 规划风险管理体系并制定相应的政策制度互联网贷款风险偏好建议方案互联网贷款战略建议方案互联网贷款管理架构、政策与流程互联网贷款特色风险管理专题系列互联网贷款流程设计方案互联网贷款系统需求文档风险偏好及战略流程 决策底层数据与系统组织架构、职能职责和政策制度来源: 奥纬分析图表 6. 治理架构层面, 采用 “蜂巢式管理”打破部门间割裂状态瀑布模式传统金融机构产品管理流程蜂巢模式创新型金融机构产品管理流程产品: 立项定位与定价营销销售风险管理风险.营销系统数据财务 产品经理本质在于以产品经理为中心辅以各职能部门骨干, 通过紧密的协同合作来完成产品设计与迭代的产品团队架构有效应对产品线上化趋势带来的挑战 与不同部门紧密合作保证产品对变化的市场需求的适应性 频繁的交付确保提供给企业较短的反馈周期;快速进入市场 在几周之内, 最长几个月有效促进业务部门与风险部门之间的合作来源: 奥纬分析商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 8监管重点在贷款业务全流程中关注反欺诈、反洗钱体系建设依据互联网业务特征, 办法 特别关注了银行反欺诈和反洗钱体系建设。 部分商业银行互联网贷款业务条线认为网贷可以仅通过规则方式开展反欺诈和反洗钱的工作, 但简单的规则意味着粗放的管理模式, 这不仅将对业务风险造成误判、另一方面对客户体验也会造成不利影响。 建议商业银行应明确反欺诈和反洗钱的职责分工和合作机制, 完善风险的识别与认定、模型和技术工具的管理、搭建相应的流程与系统, 提高对风险的监控与汇报机制。 在这方面, 业内反欺诈和反洗钱中台的搭建为银行提供了很好的管理思路。解决方案1. 搭建反欺诈中台, 以系统及数据为支撑进行欺诈风险管理作为顶层设计, 明确欺诈风险管理三道风险的职责分工和合作机制, 其中欺诈中台应基于欺诈识别与认定、反欺诈模型管理、反欺诈技术工具管理、反欺诈流程与系统管理和欺诈风险监控与汇报五大职能组建相关团队。执行层面需要重点关注流程与工具的打造。 总体流程需打通各业务环节间的信息交互并对数据、规则和模型实现持续优化。 风险识别、风险防范与应对、风险汇报三大环节均需多类工具与技术的应用, 如欺诈风险字典、基于大数据的多因素验证与反欺诈监控等。反欺诈中台的基础设施包括数据与系统架构。 商业银行需要建立灵活、模块化的反欺诈管理系统, 实现风险的实时防范, 并利用图数据库技术对欺诈特征进行提取, 统筹管理各类黑白名单库。图表 7. 作为欺诈风险管理体系解决方案的核心, 搭建反欺诈中台工具与流程风险识别欺诈风险字典风险防范与应对 风险汇报自动化防范与应对工具 多因素验证 申请欺诈决策 支用欺诈决策 反欺诈监控欺诈风险监测与汇报 指标监测体系技术能力 基于机器学习建模技术 先进技术，如生物探针、微表情检测组织架构与政策制度治理架构反欺诈管理中台 欺诈风险管理办法系统与数据反欺诈管理系统 数据欺诈名单库, 欺诈事件库, .来源: 奥纬分析商业银行互联网贷款管理暂行办法 解读 Oliver Wyman 92. 验证并评估全行反洗钱体系商业银行应对现行反洗钱评估体系进行验证和改进, 以互联网思维理解和评估业务中的固有风险, 根据互联网业务特征建立有效的管控机制并对剩余风险给予特别关注, 在此基础上对原有包括相关政策制度文件进行的更新, 实现对产品风险、客户风险以及全流程机构洗钱风险的管理, 同时对洗钱风险评估的基础设施进行建设。图表 8. 通过内外部数据流分析特征, 辅助授信与其他决策现有评估体系验证与改进（包括相关政策制度文件更新）机构洗钱风险评估系统化建设产品清单、风险评估和管理 评估现有产品及管理体系，如产品分类标准、产品登记标准、产品清单更新机制等，建立产品清单与反洗钱的联系 开展产品风险评级和评估客户风险评估 审核现有客户风险评估和评级模型，并提出改进建议 对所有模型和客群进行风险因子权重校准全流程机构洗钱风险识别与评估A) 固有风险评估 经营环境与业务规模 具体业务（产品与交易渠道) 客户及其特征B) 固有风险评估 风险管理策略与结构、风险识别机制、风险控制措施、内部控制机制C) 剩余风险 即考虑所有控制措施后的风险水平来源: 奥纬分析