征信研究｜基层央行征信监管赋能区域经济发展的思考

        作为征信管理的法定职能部门，人民银行通过实施有效监管，规范接入机构的征信业务，保护客户信息安全，促进征信业健康发展，更好地支持区域经济金融高质量发展。鉴于此，本文通过梳理临汾市近几年征信监管中存在的问题，进行深层次分析，提出相关政策建议，旨在通过提高征信管理效能，进一步防范金融风险、服务区域实体经济健康发展。

        一、征信监管基本情况

        没有规矩，不成方圆。只有让征信监管强起来、硬起来、长牙齿，才能为征信信息安全和合规监管保驾护航。为此，我们以“强监管、促规范、防风险、保安全”的理念，逐步搭建起233的征信管理体系，即“人防＋技防”相结合、“制度＋技术＋人员”相交叉、“自查＋自评＋自纠”“检查＋通报＋整改”“处罚＋问责＋追责”三道安全防线相配合，综合运用“现场检查和非现场监管”两种手段，进一步提升对接入机构监管的广度、深度和强度，构建立体式、无死角的安全防线。几年来，组织对123家接入机构的现场检查，查出5大类25个问题，对2家机构做出了行政处罚。健全的管理体系加上严厉的监督处罚措施，对征信违法违规行为形成了有力震慑，为全市信用信息主体装上了安全的闸门。

       从检查对象来看，既包括总行统一部署的检查对象（即全省专项执法检查对象）、也有自行确定的检查对象和两综合两管理开展的综合执法检查对象。而自行确定检查对象重点关注：风险情况突出的机构；在上年度发生过个人征信信息泄露案件的机构；信用报告异常查询发生频率较高的机构；内控管理较为薄弱、技防能力建设滞后的小微机构。从机构类型来看，涵盖了辖区全国性银行业接入机构分支机构、农商行、信用社、担保公司、村镇银行。从检查内容来看，主要包括征信工作决策部署、征信内控机制建设、征信人员和用户管理、征信业务合规操作、信息安全与技术保障五个方面，重点关注征信合规与信息安全管理。各检查对象的问题集中体现在征信业务内控机制、人员与用户管理、征信业务合规操作、信息安全与技术保障、落实征信管理工作要求等方面。从检查结果来看，先后对两家接入机构因“先查询后授权”、错报客户基本信息形成逾期等征信违规行为进行了行政处罚。

       注重非现场监管，有效运用接入机构报备的征信合规与信息安全自查自纠制度、征信信息安全事件应急处置方案，报告的征信信息安全事件、征信合规与信息安全自查自纠等情况，对各接入机构进行实时全程跟踪和动态监测，及时发现风险隐患，为现场检查提供线索，提升征信监管效能。

        二、问题剖析

        从接入机构层面看：主要存在三方面风险隐患：

         管理风险：表现为接入机构重检查、轻自查，重对外、轻对内。接入机构对征信查询工作不重视，认为征信仅仅查询信用报告，未意识到事关信息安全、事关信息主体合法权益，未意识到先查询后授权行为的风险。信息安全管理存在漏洞，个别机构自查工作本身不够深入，流于形式，未发现风险泄露点。个别机构对征信工作不重视，董事会、监事会、行长办公会未对征信工作进行专题决策部署。征信业务内控机制不健全，个别机构未建立个人和企业征信分行级别配套制度，未制定贷后风险管理查询个人信用报告的内部授权制度，未执行系统管理员口令封存制度，存在一定风险隐患。

       操作风险：主要表现为日常查询不规范。一是存在违规查询问题。信用报告查询原因选择错误。如：实际为审批客户贷款，选取的查询原因却为“信用卡审批”、“特约商户实名审查”等。存在先查询后授权现象，信用报告查询日期在授权书签订之日前。违规涂改授权日期或授权书上无日期。授权书无身份证号，或企业授权书上没有法人签字只有名章。为发放扶贫小额贷款，存在非工作日查询现象。二是授权书要素不完整。授权用途不明确，如：存在查询授权书中的查询用途不勾选或全勾选的情况，授权书上选择的用途与信用报告查询原因不一致，授权书上没有具体的用途选择，授权书未填写单位名称，授权书用途未排除不选项，授权书用途为机打。存在一揽子授权。企业信用报告查询授权书未加盖企业公章和无法人代表签章。授权书上授权主体不明确，个别机构的被授权单位过于宽泛，容易引起法律风险。如：授权书上授权主体为某银行临汾分行，查询主体为所辖支行。夫妻双方授权签署在同一份授权书上。三是授权书使用不规范。如：个别机构同时使用多种版本授权书，存在授权书文本使用不合规的现象。无独立的授权书。一次授权多笔业务使用。四是授权书格式条款未尽提示义务。个别机构企业信用报告查询授权书格式合同中“采集信息主体信用信息并向金融信用信息基础数据库报送(包括不良信息)”条款相关内容未以醒目字体标注，不足以引起信息主体注意。

       合规风险：表现为用户管理和档案管理不规范。在用户管理方面：一是部分机构查询员岗位发生变更后未及时进行用户变更。二是用户变动后未能按照要求及时向人民银行征信管理部门备案。三是个别机构企业、个人征信系统用户的创建、停用、用户信息的修改和密码的重置等操作行为没有履行有效的内部审批手续，无书面记录。在档案管理方面：一是存档资料不完备，查询登记簿存在漏登、错登现象。二是未建立征信档案管理制度。个别机构拒贷客户档案未统一保管或归档管理，授权书由客户经理自行留存。三是未建立个人、企业征信查询登记簿，未建立贷后查询管理制度，无贷后管理查询登记簿。

从人民银行自身看：征信监管手段有待完善。一是现场检查缺乏有效手段。目前现场检查手段仍停留在调阅资料、比对信息和询问人员等静态方式，系统无法通过有效手段提供未授权查询、违规查询线索。对于数据的分析也仅仅停留在简单处理层面，对数据的深度挖掘还不够，无法起到监测分析和风险预警的作用。二是非现场监管手段有待完善。现场监管涉及的机构范围及数量有限，对相关机构的管理主要还是依托非现场监管手段。因缺乏数据和技术支持，人民银行难以对各机构情况进行实时全程跟踪和动态监测，非现场监管主要还是依靠机构主动报告来获知各机构情况，从而制约了非现场监管质效。

        三、相关建议

        人民银行作为监管者，应重点从以下几方面着手：

       （一）强化“窗口”指导。有效运用工作会、座谈会、培训会等多种方式，及时宣传解读征信管理政策文件、操作规程，引导接入机构加强对征信相关制度文件的学习，深刻理解相关条款的含义，准确把握征信政策的内涵，对人民银行征信制度和文件中严令禁止的行为能从思想上高度重视，操作上严格把关，真正实现征信信息安全理念的入脑、入心，从源头上杜绝征信信息风险隐患。

       （二）强化内控管理。一方面，通过日常监测、下发风险提示、约谈高管人员等，把人民银行制定的内控问责制度、安全监测制度、报备报告制度、安全巡查制度、考核评级制度等征信监管制度落实到位，切实织密征信信息安全和监管制度的“笼子”。另一方面，通过现场检查、年度考评等手段，加大征信管理部门监督管理力度。通过现场检查，严肃问责，从严处罚等，对违规行为形成震慑；通过年度考评，全面评价接入机构征信合规情况，并将考评结果与现场检查频率、金融机构存款保险费率相挂钩，提升违规成本。

       （三）强化业务培训。加强征信管理人员和从业人员的合规、征信案例的学习，规范征信业务操作流程，牢牢守住不发生征信信息安全风险的底线，做到教育在先、防范在先、警示在先，使从业人员将规矩意识成为内在的信念、行为自觉。同时，对接入机构征信分管领导、部门负责人和业务办理人，不定期开展征信知识应知应会的测试，提高业务知识储备。

       接入机构作为信息提供者和信息使用者，应重点从以下方面着手：

       （一）强化管理，主动作为，增强做好征信工作的意识。

        管理层面：要将征信工作要求融入到本单位管理内审和风控体系，从数据采集、查询使用环节延伸到产品研发、数据处理、权益维护的全流程，统筹多部门，形成合规管理动能和主动自律机制。操作层面：要全面落实征信工作“五盯”任务，即盯紧监管要求、盯牢考核评级、盯准工作重点、盯实岗位职责、盯死安全底线，逐条落实信息安全制度要求；要严格落实自查自纠和风险监测报告制度，建立日核查制度，对违法违规问题早发现早处理；要综合运用自查自纠、不定期抽查、线索排查、内外部审计等各类检查手段，对于出现的安全事故要及时通过征信信息安全情况统计表第一时间上报所在地人民银行；要扎实做好常规性基础工作，真正将日核查、月报告、季自查等工作落到实处。

        （二）转变观念，合规经营，建设高素质征信干部队伍。各接入机构要进一步在“人防”和“技防”上下功夫，管好关键岗位，压实责任。选配政治素质硬、业务水平高的人员到征信岗位工作，要切实加强征信从业人员合规培训，不断提高法律意识、责任意识和信息安全防范意识，牢固树立人民至上服务理念，向“合规要效益”，切实为支持辖区实体经济发展保驾护航。（人行临汾市中心支行 原晓红；人行侯马市支行 常慧卿）