第二节 风险分类
一、诱因
按风险发生的诱因不同,可将风险划分为战略风险、信用风险、操作风险、流动性风险、市场风险、合规风险、洗钱风险和声誉风险等风险。
就互联网支付机构而言,严格按照《非金融机构支付服务管理办法》《非金融机构支付服务管理办法实施细则》《支付机构客户备付金存管办法》和《非银行支付机构网络支付业务管理办法》开展业务的互联网支付机构通常面临战略风险、操作风险、市场风险、合规风险、洗钱风险和声誉风险;开展了“宝宝”类业务的互联网支付机构,通常还面临流动性风险;未严格按照前述管理规定开展业务的互联网支付机构通常还面临信用风险。
就互联网征信机构而言,通常面临战略风险、操作风险、市场风险、合规风险和声誉风险,若互联网征信机构以担保形式对外提供数据服务或信用评级服务,则还面临信用风险、流动性风险等风险。与传统征信机构相比,由于其业务对互联网的依赖很大,互联网上的安全威胁问题比较突出,互联网信息传播迅速且面广。因此,互联网征信机构面临的由信息科技系统诱发的操作风险、技术人员诱发的操作风险和数据存取相关业务流程诱发的操作风险、声誉风险等尤其突出。
就互联网保险机构而言,若其属于《互联网保险业务监督暂行办法》所述的“第三方网络平台”,则其通常面临战略风险、操作风险、市场风险、合规风险和声誉风险。若其属于《互联网保险业务监督暂行办法》所述的“保险专业中介机构”,则其通常面临战略风险、操作风险、流动性风险、市场风险、合规风险和声誉风险。与传统保险专业中介机构相比,其技术人员和信息科技系统诱发的操作风险、技术系统管理相关的业务流程诱发的操作风险以及声誉风险尤其突出。若其属于《互联网保险业务监督暂行办法》所述的“保险公司”,则其通常面临战略风险、操作风险、信用风险、流动性风险、市场风险、合规风险、洗钱风险和声誉风险。若保险公司开展“万能险”业务,则其流动性风险尤其值得关注。与互联网征信机构同样的道理,与传统保险公司相比,开展互联网保险业务的保险公司,其技术人员和信息科技系统诱发的操作风险、技术系统管理相关的业务流程诱发的操作风险和声誉风险尤其突出。
就互联网消费金融机构和互联网小额贷款机构而言,其通常面临战略风险、信用风险、操作风险、市场风险、合规风险、洗钱风险和声誉风险,流动性风险为其次要风险。与互联网征信机构同样的道理,与传统消费金融公司和传统小额贷款公司相比,开展互联网消费金融业务的消费金融公司和开展网络小额贷款的小额贷款公司,其技术人员和信息科技系统诱发的操作风险、技术系统管理相关的业务流程诱发的操作风险和声誉风险尤其突出。
这样分类的意义在于:一是避免误区。大家在论及风险管理时,往往自觉不自觉地将风险理解为信用风险,将风险管理理解为信用风险管理,本书专门做此分类,并对主要金融科技企业可能面临的风险进行概述,以期消除误区。二是倡议全面风险管理。本书做此分类,并专门概述主要金融科技企业可能面临的风险,除消除误区外,另一个目的便是希望金融科技企业治理层对其企业面临的诸多风险有比较全面的认识,以便开展全面风险管理。三是形成共识,当前关于风险的分类不尽相同,银保监会和国务院国资委对风险的分类也存在差异,在此本书先做此分类,以便形成共识,便于后续讨论。
对于各类风险的具体含义和各个金融科技业态从业机构的具体风险,后续章节将详细叙述。随着分析的深入,各业态从业机构的风险类型将与前述分析存在一定差异。
二、策略
按照企业对风险采取的应对策略,可将风险划分为规避类风险、降低类风险、分担类风险和承受类风险。
《企业内部控制基本规范》明确界定了规避、降低、分担和承受四类风险应对策略,具体如下:
规避即企业对超出风险承受度的风险,通常放弃或停止与该风险相关的业务活动以避免和减轻损失的策略。
降低即企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度范围之内的策略。互联网小额贷款机构、互联网消费金融机构要求借款人提供担保或对借款人进行信用评分,其采用的风险应对策略便是降低策略。
分担即企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
承受即企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
就互联网支付机构而言,最好将部分信用风险、部分流动性风险(如“宝宝”类产品诱发的流动性风险)和部分声誉风险(如T+0到账诱发的声誉风险)列为规避类风险,将战略风险、绝大多数操作风险、部分流动性风险、合规风险、洗钱风险列为降低类风险,将部分操作风险(遭受网络攻击)和部分声誉风险(如T+0到账诱发的声誉风险)列为分担类风险,将极少部分操作风险列为承受类风险。
当然,究竟将哪些风险列为规避类风险,哪些风险列为降低类风险,哪些风险列为分担类风险,哪些风险列为承受类风险,最终取决于各个机构治理层确定的风险承受度和风险对应的Pt、St的大小。对于互联网保险机构、互联网征信机构、互联网消费金融机构和互联网小额贷款机构,不再赘述。
这一分类的意义在于:一是提示企业治理层将企业风险划分为四个类别,对不同类别风险做到心中有数,摸清家底,尤其对于降低类风险和分担类风险,须密切关注防范措施落实情况。二是提示企业治理层尤其关注承受类风险,该类风险是企业未采取任何措施应对的风险,属于企业的“剩余风险”,根据结论1-7,风险具有可变性,承受类风险可能向其他类风险转换,企业治理层须密切关注。三是提示企业治理层密切关注类型转换,根据结论1-7,企业四个类别的风险可能转换类型,企业治理层应当定期进行监测,抓住机会,防范风险。