OBT商业科技观察

美国金融业监管局(FINRA):证券业的监管科技创新

导语

监管科技没有统一的定义,但它通常指代旨在促进市场参与者满足监管合规需求能力的创新性技术。

导读:美国金融业监管局(FINRA)是美国最大的独立非政府证券业自律监管机构,接受美国证券交易委员会(SEC)的监管,致力于通过有效、高效的经纪自营商条例保护投资者和市场的完整性,与中国的证券业协会相类似。美国金融业监管局(FINRA)对业内监管科技工具的创新和使用进行了研究,并与包括经纪自营商、监管科技协会、学者及其他人员等40多名业内人事共同探讨关于监管科技的发展问题。以下内容对此次研究成果进行了总结。

一、监管科技的兴起

监管科技没有统一的定义,但它通常指代旨在促进市场参与者满足监管合规需求能力的创新性技术。国际金融协会将监管科技定义为“利用新技术以更快速、更高效地解决监管合规问题”。

近年来,在全球范围内,金融市场运转速度不断提高,产品及业务结构日趋复杂,监管机构不断出台新的监管政策,传统的合规手段难以使金融机构及时满足监管合规要求。为了能够有效解决监管需求的问题,金融机构开始借助监管科技(RegTech)手段以提高合规效率,降低合规成本,并且越来越多的技术初创公司正在运用创新技术为金融机构提供服务,以帮助他们进行监管合规工作,并且有许多金融机构给已经开始在内部开发各类监管科技工具。根据汤森路透对超过500名合规及风险专业人士的调查数据显示,52%的受访者认为监管科技已经对公司和合规性管理产生一定影响,17%的受访者称已经实行了一个或多个监管科技方案。CB Insights也指出,在2013年至2017年,监管科技创业公司在585宗交易中融资近50亿美元,并且大部分公司专注于金融服务的合规性业务。

近年来出现的创新型技术在监管科技中发挥了重要的作用,例如人工智能,大数据,云计算,自然语言处理,分布式账本,生物识别,应用程序接口(API)等技术有效降低了合规成本,使合规流程标准化、自动化,加强了企业运营的风险管理和合规性整合。

二、监管科技在证券业的应用

本节主要介绍监管科技在以下五个领域的使用情况:监督与监测、客户识别及反洗钱(AML)合规、智能监管、汇报及风险管理、投资者风险评估。

监督与监测

根据FINRA工作人员与经纪自营商以及其他参与者的探讨成果,监督与监测是监管科技的重要应用领域,涉及交易员、注册业务人员、员工、客户等主体。

市场参与者表示他们在该领域投入大量资源,寻求运用人工智能、云计算、大数据等监管科技工具提高合规警报的准确率,并监督员工的工作效率。一些市场参与者表示在使用监管科技工具后产生的虚假警报显著减少。

不同于传统的基于规则的合规系统,监管科技工具运用基于风险的监督预测模型,识别并利用数据模式为决策提供依据。例如通过训练历史数据查找当前数据中的可疑模式,以识别未来数据的趋势,通过定期或连续地学习新数据来持续优化预警系统,形成反馈过程。

监管科技工具还可以记录和分析文字、音频、视频等非结构化的数据,高效地审阅更大量和更多种类的通信信息,从基于样本的审查转向审查全部的通信数据,并将非结构化和结构化的等孤立的数据流联系起来。运用机器学习、自然语言处理等技术,监管科技工具还可以重点关注特定术语、破译俚语和语气,以反应情感的强烈程度。

客户识别及反洗钱(AML)合规

客户身份识别(也称“了解您的客户”或KYC)和反洗钱相关法律法规对金融市场的稳定和秩序至关重要。市场参与者表明,传统的客户识别与反洗钱监测解决方案并没有达到预期的效果,因此金融业正在探索使用监管科技工具以寻求更有效的解决方案。

已经有监管科技公司推出了基于风险的更快速、更高效的系统,例如使用生物识别技术以跟踪和识别客户活动;运用分布式账本技术避免不同金融机构间对客户的重复监控;利用数据分析处理技术将客户数据与外部数据相结合,创建更全面的客户画像。同时监管科技工具还提供了实时监控的能力。

此外,一些金融机构也在探索行业共享的解决方案,而非局限于某个公司内部,来减轻整个行业的合规负担,促进行业参与者的数据聚合,增强跟踪公司之间的资金流动和交易关系。

汇报和风险管理

在汇报和风险管理领域,企业运用监管科技工具促进风险数据汇总,风险度量创建和监测,和监管汇报的自动化。例如,通过部署监管科技工具来收集和分析有关资本和流动性的信息,以便在企业内部模型中使用或向监管机构汇报。

投资者风险评估

为了能够向客户提供适当的投资建议,企业必须向客户需求个人信息,并通过合理的政策和程序确定投资者的风险偏好,并定期更新和改进客户数据。监管科技工具利用机器学习、数据聚集等技术,与行为科学相结合,可以比现有工具更科学地确定投资者的风险偏好。例如,一些工具设计“游戏”形式,通过投资者在“游戏”中的表现评价投资者对市场环境和投资组合变化的反应情况,以此评估投资者的风险偏好。结合投资者已经声明的风险偏好信息,可以更全面地制定投资建议。此外,监管科技工具还可以不间断地监测市场状态,使投资组合与投资者的风险状况保持一致。

三、监管科技对证券业的影响

本节讲述了监管科技对证券业的潜在优势,以及讨论了一些监管科技带来的潜在问题。

1. 监管科技对证券业的促进作用

风险管理

监管科技可以增强企业采取具有主动性质的基于风险的合规方法的能力。例如,基于人工智能和大数据分析,有助于形成具有前瞻性的合规方案来主动识别潜在风险。

自动化、有效性和效率

通过机器人过程自动化(RPA)技术,企业可以提升合规流程自动化程度,减少任务的重复执行,降低错误率,加快合规流程,释放更多企业资源。将监管工具嵌入企业的运营和监督流程,企业可以具有事前发现潜在不合规活动的能力,并且通过提高合规警报的准确率,降低企业合规成本,提高生产率,将资源集中在高风险领域。此外,许多新兴的监管科技工具提供了良好的交互体验,对非技术背景人员具有普适性,并且通过用户界面综合可视化,可以更快捷地进行相关员工培训,简化合规性功能的分析。

2. 监管科技的潜在影响

监控系统

FINRA要求企业根据相关适用性规则(例如:FINRA条例3110和3120)制定与监控系统相关的监控政策和程序,这里就包括了为监管科技工具的监督和管理制定合理的控制系统和流程。以下列出了经纪自营商在使用监管科技工具时可能需要注意的潜在监督和管理问题。

(1)建立跨职能的技术管理架构。由跨领域的团队进行监管工具的开发、测试和部署,可以通过在不同测试场景下不同功能的输入输出更好地发现潜在问题。

(2)监管科技工具的简要说明。对算法和相关策略进行简单化的描述可以使非技术人员更好理解监管工具的预期功能,有利于评估与预期不相符的结果。

(3)数据质量风险管理。数据对监管科技工具时至关重要的,制定适当的数据质量风险管理计划有助于保证数据的准确性、完整性和一致性。

(4)识别和解决错误或故障的流程。监管科技工具在出现错误或故障时可能出现重大风险,企业通过适当的机制和流程有助于识别、响应和减少重大风险的发生。

(5)人员培训。企业对合规、监督和运营人员进行培训,以帮助他们使用监管科技工具。

外包与供应商管理

一些经纪自营商选择将某些合规和汇报工作外包给监管科技第三方供应商,他们具有技术和效率优势,并且无需投入大量资金,但是企业仍然需要遵守相关证券法律法规以及关于外包的FINRA相关条例,处理好外包协议的相关事宜(例如:成员须知05-48(外包))。以下是经纪自营商需要注意的问题。

(1)是否对供应商进行了尽职调查,包括其技术、运营和财务稳健性。

(2)供应商是否了解与其提供的监管科技解决方案有关的监管要求,并有对应的系统来监控并对监管要求的变化进行更新。

(3)供应商的网络安全政策和程序是否规范,特别是外包协议中涉及敏感公司和客户数据共享的时候。

(4)是否需要制定工作转移计划,以备当供应商无法履行其义务时工作可以立刻进行交接。

(5)当外包监管科技服务产生了新的存档记录,根据交易法案17a-3和17a-4,以及FINRA条例4511(书籍和记录:一般性要求),企业可能需要与供应商合作建立适当的存档程序。

客户数据隐私

一些新兴的监管科技工具和服务涉及客户信息的收集、分析和共享,由此可能带来客户数据隐私相关的潜在风险,特别是在与第三方供应商共享客户数据的情况下。经纪自营商在探索此类监管科技应用时应注意客户隐私条例中的规定。

保护客户财务和个人信息是FINRA成员企业重要的职责和义务。美国证券交易委员会(SEC)法规S-P(消费者财务信息隐私及个人信息保护)中要求,经纪自营商必须制定书面政策和程序来解决客户信息的存档的保护问题。此外,根据美国全国证券交易商协会(NASD)会员须知05-49(保护机密客户信息),相关政策和程序应合理设计以便:

(1)确保客户存档和信息的安全性和机密性。

(2)防止任何对客户存档和信息产生的预期威胁和危害。

(3)防止可能对客户造成严重损害或不便的针对客户存档或信息的非授权访问或使用。

企业还有义务向客户提供初始和年度隐私通告,告知信息共享政策和客户相关权利。此外,美国证券交易委员会法规S-ID(红旗法规)要求提供或维护承保账户的经纪自营商建立和实施书面的“身份防盗计划”。还有许多国际、联邦和州级的法律法规,提出了与客户数据隐私相关具体法规和要求,其中许多法律特别针对于个人信息的收集和使用,企业应评估相关法律对其业务和监管工具使用的适用性。

在企业使用监管工具时,会涉及收集、存储、分析和共享客户敏感数据方式的变化,企业可能需要更新相关政策和程序以体现在客户数据隐私上的变化。因此,公司需要考虑以下问题。

(1)在收集新的或附加的信息(例如:音频或视频记录),并且对此类信息进行内部分析、监控以及共享时,是否已获得客户的同意。

(2)是否涵盖与第三方供应商共享此类数据的适当政策和程序,包括向供应商提供的访问方式和级别,用于存储数据的任何参数设置,供应商与其他第三方共享数据的限制,以及从其他供应商客户收集客户信息的限制。

(3)相关培训是否适合收集或访问客户数据的相关个人和部门,包括注册代表、企业员工以及第三方供应商的员工。

安全风险

网络安全和数据相关风险是金融服务行业持续关注的重要领域,通过计算机系统使合规和监管系统中一些分段的离线流程更加自动化的同时,监管科技也会产生潜在的安全性漏洞。例如,监管科技工具可能会从多个内部或外部数据源提取数据,或多个供应商合作并提供他们对企业系统的访问权限,这将产生新的风险来源。

对此,企业应密切关注技术管理,系统变更管理,风险评估,技术控制,事件响应,供应商管理,数据丢失预防,员工培训等方面。有关该主题的其他资料,包括适用条例、指南、网络安全实践报告等,请参考FINRA的官方网站。

3. 其他监管和实施注意事项

共同适用性

企业可能希望使用新的监管科技工具,与公司其它的运营及合规系统相兼容,来预防潜在的系统错误。

公众沟通

在运用监管科技工具解决方案与公众产生沟通,或监控公众沟通时(例如:投资者风险评估工具可能生成与终端客户共享的报告,或监控工具获取和分析社交媒体对话),企业需要注意适用的FINRA条例和指南,例如FINRA条例2210(与公众沟通),关于社交媒体与电子通讯的FINRA法规须知17-18,以及关于博客和社交网络网站FINRA法规须知10-06。

人才和培训

随着对监管科技工具的使用,相关业务流程可能会发生变化,企业应考虑是否具有适当的人员、职能和培训以应对这些变化。根据汤森路透的调查,金融机构已关注所需技能组合的变更,56%的企业已扩大了风险和合规职能所需具备的技能范围以适应金融科技和监管科技创新的发展,而15%的被调查者表示会专注于投资特定的专业技能。

编译:清华大学金融科技研究院证券科技中心   Tony He