所谓消费金融公司是指经中国银行业监督管理委员会批准,在中华人民共和国境内设立的,不吸收公众存款,以小额、分散为原则,为中国境内居民个人提供以消费为目的贷款的非银行金融机构。消费金融公司的注册门槛为3亿元人民币或等值的可兑换货币,且为一次性实缴货币资本。消费金融公司的业务主要包括个人耐用消费品贷款及一般用途个人消费贷款、信贷资产转让及同业拆借、发行金融债等。
一. 关于消费金融公司的几个知道
- 出资人资质:出资人须为境内外金融机构及银监会认可的其他出资人。其中《消费金融公司试点管理办法》对主要出资人制定了严格的准入条件。例如具有5年以上消费金融领域的从业经验,资产总额不低于800亿元人民币,连续两个会计年度盈利,3年内不转让出资等。对于境外金融机构,还必须符合在中国境内设立代表处两年以上,且所在国家或地区金融监管当局已与银监会建立良好的监管合作机制等。
- 业务范围:消费金融公司为居民个人提供以消费为目的的贷款,比如购买家用电器、电子产品等耐用消费品,以及用于个人及家庭旅游、婚庆、教育、装修等消费事项,但不包括房贷和车贷。
- 贷款要求:根据《国务院办公厅关于金融支持经济结构调整和转型升级的指导意见》(国办发〔2013〕67号)规定,消费金融公司向个人发放消费贷款不应超过客户风险承受能力且借款人贷款余额最高不得超过人民币20万元。而对于此类贷款的利率,银监会表示最高不得超过央行同期贷款利率的4倍。
- 开设原则:消费金融公司基本遵照“一省一家”的原则。一般而言,如果一个省份已经有了一家消费金融公司,就不会批准第二家。“一省一家”的原则反映了监管部门促进区域平衡发展的考虑,具有一定合理性。而在北京、上海这样的一线城市及金融中心聚集了大量的资源,存在多家共存,相关竞争的情况。
二. 消费金融公司主要监管要求
- 《消费金融公司试点管理办法(修订稿)》
- 《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》
- 《中国银监会非银行金融机构行政许可事项实施办法》
- 《国务院办公厅关于金融支持小微企业发展的实施意见》
- 《金融租赁公司、汽车金融公司和消费金融公司发行金融债券的有关事宜》
- 《关于促进互联网金融健康发展的指导意见》
三. 《消费金融试点管理办法》信息科技政策解读
第六条 申请设立消费金融公司应当具备下列条件:(五)建立了有效的公司治理、内部控制和风险管理制度,具备与业务经营相适应的管理信息系统;
解读:消费金融公司的市场定位为传统银行信贷的补充,提供多种宽泛而灵活的线上和线下信贷产品,在业务飞速发展为用户带来快捷与便利的同时,也为消费金融公司的信息系统带来的更多的风险与威胁。信息系统不光承载着其核心业务,同时还生成、处理、存储着企业的核心敏感信息,例如账户信息、隐私、业务数据、金融交易记录等等。相关信息系统的安全性不足,被黑客攻击后可能导致业务中断、声誉受损,各种敏感数据还将透过地下交易流入地下经济产业链,从而造成其业务受到持续影响,给企业造成巨大的财务和信誉风险。信息系统作为消费金融公司在线开展业务的重要组成部分,是否安全、稳定的运行将直接关系到各项业务能否正常开展,因此企业应具备相关管理手段和技术措施,保护企业及用户数据的保密性、完整性及可使用性,从物理、网络、主机、应用和数据层面进行全面的安全建设及安全防护。
第二十二条 消费金融公司应当按照银监会有关规定,建立健全公司治理架构和内部控制制度,制定业务经营规则,建立全面有效的风险管理体系
解读:消费金融公司需要建立全面有效的风险管理体系,而信息科技又是消费金融公司开展业务的重要技术支撑部分,因此也有建立完善的信息科技风险管理体系的必要性。信息科技的风险管理就是对信息安全风险进行识别、分析、采取措施将风险降低到可接受水平并维持改水平的过程,企业的信息安全管理工作绝不是一劳永逸的,由于IT技术的演变,新的风险与威胁不断出现,信息安全风险管理是一个相对动态的过程,企业应做到不断改进自身的安全状态,将信息安全风险控制在一个可接受的区间内。
笔者建议消费金融公司在建立风险管理体系时可借鉴银行的体系构建模式,从信息科技治理、风险管理、外包管理、业务连续性管理、信息安全管理、项目管理建设、运行维护管理、以及IT审计监督管理等8个方面开展工作,在现有管理水平基础上,进行梳理和补充完善,建立起一套全面合规的、可落地执行的、可度量评价的信息科技风险管理体系。
第二十七条 消费金融公司如有业务外包需要,应当制定与业务外包相关的政策和管理制度,包括业务外包的决策程序、对外包方的评价和管理、控制业务信息保密性和安全性的措施和应急计划等。消费金融公司签署业务外包协议前应当向银行业监督管理机构报告业务外包的主要风险及相应的风险规避措施等。
解读:随着消费金融行业的发展以及不断加剧的业务外包需求,业务外包利用了服务提供商的专业技能和先进的管理经验,帮助企业节约了成本、提升了工作效率。与此同时,也为企业带来了更多的安全隐患,近年来外包风险事件越来越多。消费金融公司应针对当前的管理现状,从管理制度、组织架构、业务决策、评价管理、信息的保密性和安全性、应急保障计划、重点外包服务机构管理等进行全面安全评估工作。结合监管要求和行业的最佳实践,在现有管理水平基础上,进行梳理和补充完善差距分析。最终建立一套全生命周期的外包管理体系,形成有效外包风险内控机制,同时建立完善外包险管理持续改进机制,满足行业监管合规要求。
第三十一条 消费金融公司对借款人所提供的个人信息负有保密义务,不得随意对外泄露。
解读:随着2017年6月1日《网络安全法》的正式实施,将信息安全提升到了新的高度。近几年信息泄露事件呈密集高发趋势,金融行业热切关注的数据安全问题也是网络安全法的重中之重。网络安全法明确规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。消费金融公司应当结合自身信息系统的特点、梳理相关业务流程和数据传输路径,加强技术手段和管理措施,从个人信息的创建、存储、使用、交换、存档及销毁等方面进行全生命周期的管理工作。