中小商业银行风险“二元化”管控研究
——基于应用金融科技、监管科技实现法规制度数字化的视角

杨丽萍 陆岷峰

(1.中国民生银行总行运营管理部，北京 100031；2.南京工业大学互联网金融创新发展研究中心，江苏南京 211816)

一、引言

所谓中小商业银行“二元化”风险是指中小商业银行的市场化风险和非市场化风险二类，前者是指由于市场不可控或不可抗力等非主观因素造成的风险，后者是指本来可控但由于经营者心存主观故意造成的风险。据数据统计，目前中小商业银行风险中后者风险类型占比大幅度上升，这倒不是因为没有进行风险管理，而是风险管理的各种方法、指导思想等基于的前提假设出现了问题。

目前，中小商业银行数量众多，截至2021年6月30日，全国共有银行业金融机构4608家，中小商业银行机构数占比99%，中小商业银行作用特殊，是大型商业银行机构业务的重要补充，承担了大量的中小微企业、三农及地方政府发展的信贷支持及金融服务，是构成我国金融生态圈的重要生态，但是，面对复杂多变的国际国内经济形势，中小商业银行的风险呈现多样化且有进一步积聚和放大的趋势，给经济金融的稳定带来了潜在的隐患。从中小商业银行风险案件形成的原因来分析，更多的不是市场风险，而是有违法律制度规范明确要求的道德风险居多，少数高管人员目无法纪，公然违纪违法，违规违法经营，导致极其严重的后果，甚至到了不得不退出市场的地步，给国家和社会造成巨大的损失，给行业的发展带来极大的负面影响。

步入新时代、践行新理念、构建新格局，在面向新的一百年奋斗目标，建设社会主义现代化国家，推动高质量经济发展新时代征程中，仍然需要金融行业特别是中小商业银行戮力同行。这就有必要对中小商业银行目前风险管理中存在的问题进行深层次的反思，分析其形成的根本原因，找出在新形势下做好中小商业银行风险防范管理之道，保持金融行业的稳定和高质量的发展，发挥金融在促进经济“双循环”，实现“双碳”目标过程中更加积极、主动的作用。

二、文献综述

(一)关于金融科技、监管科技的研究

金融科技和监管科技都是以大数据、区块链、人工智能为主要手段的一种技术集成。许旭明(2020)认为金融科技是指以大数据、区块链、人工智能等为金融业务发展服务需要的技术总称，其不仅推动了商业银行经营模式持续优化，提高了金融生产力，还从根本上改变了商业银行的业态，提高了商业银行的数字化经营程度和客户体验的满意度。金融科技作为一种工具本身并无社会性，但会体现工具使用者的诉求、要求[1]。陆岷峰等(2022)认为监管科技是为监管部门服务的大数据、物联网等技术的总称，并随着商业银行数字化转型步伐的加快，得到了较快速的发展，远程监管、机器人监管的普遍使用，提升了监管工作的针对性、有效性[2]。陆岷峰(2020)认为金融科技概念要大于监管科技，监管科技是金融科技中的一种，因为都是以金融为载体，角度不同，最终目的相同，都是为了提升金融服务质量，保障金融安全，提升金融服务效能[3]。

(二)关于中小商业银行的风险现状与特点研究

中小商业银行间差异性较大，其面临的风险也十分复杂、多样。陆岷峰等(2021)认为目前中小商业银行对客户的吸引力在衰退，中小商业银行金融科技也在被严重边缘化，面临信用风险、操作风险、流动性风险以及政策性风险等主要风险种类[4]。陆岷峰(2022)认为目前中小商业银行虽然没有形成行业系统性风险，但是局部、区域性风险已十分严重，不良资产、劣质客户正在向中小商业银行沉淀，长期以往，我国商业银行的生态会受到极大的破坏，中小商业银行作为支持中小微企业和三农经济发展的主力军，将面临无能力服务现象[5]。陆岷峰等(2022)认为中小商业银行的风险主要集中体现在信用风险和高管人员的道德风险，同等经营环境下中小商业银行的不良资产均高于其他类型的商业银行机构，根本在于中小商业银行机构个人业务素质和个人主观行为带来的道德修养上的差异，中小商业银行的道德风险成为当前最突出的风险之一[6]。

(三)关于中小商业银行的风险形成原因的研究

中小商业银行风险形成的影响因素很多，因规模小而衍生出若干风险成为公认因素。陆岷峰(2021)认为主要是由于中小商业银行目前管理体系不封闭，存在灰色地带，管理行政化及内部人控制情况明显，管理者不注重全面性、长远性目标，导致整个团队出现问题，近年来陆续出现这类案件充分说明了这一点[7]。曹梦石等(2021)认为地方中小商业银行虽有公司治理形式，但并无公司治理实质，监事会流于形式，决策管理者对其经营成果缺乏责任制，董事长不抓战略抓业务现象普遍[8]。陆岷峰等(2021)认为中小商业银行的监督管理体系不力是重要原因，内审机构独立性、权威性不高，金融监管存在滞后性，前瞻性、主动性不够，与商业银行数字化金融发展配套的监管科技投入不足[9]。陆岷峰(2021)还认为中小商业银行风险意识不强也是重要原因，经营者对风险毫无敬畏之心，认为银行出了问题会由政府背书或买单，使商业银行成为捞取政治资本的工具[7]。

(四)关于中小商业银行风险管理对策的研究

中小商业银行风险管理主要是基于监管部门出台的全面风险管理思路。陆岷峰(2021)认为必须强化中小商业银行的公司治理，切实加强中小商业银行党的全面领导，提高各级经营管理者的政治站位，要实行党组织与三会一层有机地对接，加强对高管个人行为监督与管理同时积极实行分支机构纪检监督机构同步委派制，要充分发挥股东大会及各战略委员会的作用，形成公司治理的有效制衡[10]。陆岷峰等(2021)认为加强清廉文化教育，要通过多种多样的清廉文化建设，树立良好的共产主义道德情操，从而实现行为人不想违规违章[11]。陆岷峰等(2021)认为要加强各种风险管理必须执法必严，对于违规违纪行为既要追究机构责任，也要追究个人责任，更要加大对违规违法者的处罚力度，形成强大的政策威慑力，使行为人不敢违规违法[12]。

上述研究对于中小商业银行的风险管理现状普遍表示了担忧，对风险形成的原因也进行了深入的探究，对加强中小商业银行的风险管理方法进行了有效的思考，并提出了诸多解决措施[13]。现行的研究成果和具体实践的不足体现在基于人性向善的前提假设下制定风险管理措施，即充分信任当事人自身趋于选择合法或基本合法经营，而对人性潜在向恶的可能性预估不充分，且过多相信监管本身，监管方和经营者自主裁量权过大。因而，尽管风险管理制度体系越来越完善，但并不能有效地制止行为人的违规违法行为[14]。本文的创新点在于必须打破以自然人能遵纪守法为前提假设，而认为自然人完全可能突破现行制度约束为背景，积极推进法律制度数字化建设，搭建以金融科技和监管科技为核心的技术风险管控体系，构建一道基于法律制度的新型风险技术“防火墙”，全面覆盖中小商业银行“二元化”风险，是坚决遏制当前中小商业银行风险的根本之策。

三、构建以数字技术为切口的中小商业银行风险技术“防火墙”

预防性风险管理、存款保险制度、紧急救援制度被称为商业银行内部控制的三道防线，这是商业银行为了防范内部风险而设置的内部制衡与监督机制，其共同特点是以制度为核心。然而，实践证明，制度仅仅明确了能做什么，不能做什么，并不能让行为人想做违规行为而不能做，解决这个问题重要方法之一就是要以数字技术为切口构建中小商业银行合规经营、强化风险管理的技术“防火墙”。

(一)中小商业银行风险“二元化”现象的底层逻辑

法律制度、经营行为、数字技术之间有着密不可分的联系，法律制度是一种要求，经营行为是经营者的行动轨迹，有合规与不合规之分，其中不合规常常是造成商业银行各类风险的重要原因，而数字技术则解决了许多正常经营逻辑或思维情况下无法解决的问题，诸如信息不对称、行为者行为轨迹不端等等，具有非主观意识、客观性、科学性、高效性、传播性等多种特征，是数字经济时代进行科学管理的最有效工具之一。

1.法律制度设计前提的脆弱性与行为人的“穿墙”行为

中小商业银行风险从可控程度可分为可控和不可控的“二元”风险类别，不可控风险诸如自然灾害等造成的风险损失，诸如当前的新冠肺炎疫情造成的众多中小微企业退出市场带来的金融风险；可控风险主要是经营者本可避免但由于经营者严重违反法律制度所造成的风险，诸如乱用职权滥放贷款造成的损失等等。从法律制度来看，所有的法律制度本身设计往往是无懈可击，不仅系统严密，而且穷尽各种可能出台若干条款，即使有些法律制度有一定的时滞性，也在随着监管制度体系不断完善，尤如构建了一堵约束行为人的制度之墙。然而，制度的有效性只有在行为人有意愿自觉执行制度的情况下边际效用才最高，而对于敢于“破墙”的人往往无能为力。目前，中小商业银行出现的大量风险事件，基本上都属于这一种类型，即行为人不仅知道法律制度的规定，而且知道违反法律制度带来的后果，对于这类敢于“破墙”的行为人，仅仅依靠法律制度约束是不够的，往往只能处于事后处理的被动境地。因此，解决这个问题的办法就是要在法律制度上增加一道“防火墙”，即将法律制度的意图通过一定的技术手段予以固化，从而让所有行为人必须在“防火墙”内行动，无法采取任何“破墙”行为，从根本上规避违规违制[15]。

2.法律制度数字化是构建行为人新型的“防火墙”

法律制度数字化有二层含义，一是指在制定法律和制度过程中要积极应用数字技术，提高法律制度形成的科学性、合理性；二是指已经形成的法律制度采用数字技术手段，将其核心要义体现在业务处理流程中，形成制度约束的技术化。本文所述的法律制度的数字化特指第二层含义。法律制度数字化通过数字技术的应用，将法律制度的条款、要求、约束内嵌于平台系统当中，任何违反法律制度的行为，系统将拒绝执行命令，从而形成一种刚性的约束。这种约束最大的优点在于不能人为地发挥作用，具有执行政策的客观性、反应问题实时性，是基于法律制度构筑的一道新型的风险“防火墙”。关于这方面的实践已经有所探索，诸如前台的业务授权行为，工作人员超过一定的操作权限，系统会自动限制操作，只有经由授权后才能操作[16]，但目前只应用于一般性操作岗位，并没有在中小商业银行进行系统的法律制度数字化的顶层设计。

3.现行数字技术为中小商业银行法律制度技术化的可行性分析

数字技术是以大数据、区块链、人工智能、物联网以及元宇宙、5G等新一代信息技术的总称。目前，数字技术已经广泛应用到商业银行的业务经营活动过程当中，数字技术改变了商业银行的经营模式，优化了业务处理流程，提高了风险管理水平，节约了经营成本，成为商业银行业务经营的基因。数字技术实现将各类法律制度通过数字技术手段在业务流程中得以体现，如大数据可以将每个职员的个人资金划转完整地展示，并对可疑往来款项进行识别，区块链可以将高管人员的关系人及其与他人之间的资金往来全面反映出来，而人工智能可以按照规定要求，基于大数据将行为人的可疑信息进行反映，物联网可以对行为人的轨迹进行完整的描述，也就是说，商业银行的管理系统完全可以将法律制度提出的要求在系统中体现出来，从而实现法律制度的数字化[17]。

(二)构建中小商业银行法律制度数字化的具体措施

目前，我国的经济金融法律制度已经形成较为完善的体系，对于规范行业管理发挥了极为重要的作用，现在的问题是如何将现有的法律制度内嵌入于商业银行的经营管理系统当中，充分体现管理规范的要求，采用技术手段使得极少数敢于“破墙”的违规违纪行为人无法实施其行为，就是要通过系统的构建形成有效的技术“防火墙”，让法律制度全面地渗透到技术运营的系统当中。

1.构建体现法律、制度体系的计算机内控系统

目前，中小商业银行的核心系统对于基础政策性是予以体现的，诸如存贷款利率、安全保密、反洗钱监测、业务流程等等都已经体现了关于经济、金融的最基本的法律制度要求；甚至通过大数据、AI等新兴关键技术应用，实现千人千面的资产配置服务流程，为客户带来“懂你”体验或“有温度”的服务。但是，从现有的系统技术应用来看，更多是立足于客户的需求和服务的角度，而对于内部操作和管理人员各种可能违法违规行为产生操作风险角度思考得不多，因而，为中小商业银行中违法违规行为者提供了可乘之机。

因此，各家中小商业银行在设计核心系统过程中，不仅要基于客户需求服务于客户、简化业务操作处理流程、提升工作效率等角度考虑，还要从有利于强化内部控制的角度进行思考和设计，从系统的底层技术设计上就要充分反映现行的法律制度体系，如在系统中设置法律制度自动校验、核实功能模块，对于违规违制的业务操作行为系统不予通过，从而通过技术系统手段强制规避可能存在的人为操作性风险[18]。

2.构建真正的现代化公司治理管理系统

包商银行因出现严重信用风险被人民银行、银保监会联合接管，成为我国金融发展史上一个重大事件，其中反映出公司治理失败的惨痛教训令人警醒。表面上来看，包商银行内部治理结构完善，“三会一层”架构健全、职责明确，相应规章制度也应有尽有，但实际上“大股东控制”和“内部人控制”以及地方监管的渎职，导致包商银行空有形式的治理架构完全无法发挥治理作用。纵观中小商业银行的风险事件，其背后根源大多与公司治理失灵有关。一是家长制作风，导致一人说了算，系统执行无障碍，使公司治理流于形式；二是公司治理中，分工成了分家、分权，一人各管一块，各自分管的部分成了各人私域，导致有些中小商业银行高管层出现集体腐败；三是实行分级授权管理，各个层级和岗位都存在寻租的可能性。

因此，从技术上解决这些问题就是把权力控制在制度的笼子中，一是设立公司治理管理平台，中小商业银行党委、三会一层如果都是一个平台信息来源、同样决策方法，决策结果应当是一致的；二是要对行务进行公开，对于各种规定政策通过系统进行公开，而不应当只成为行内政策，特别涉及到客户、权益的事项进行全面公开，系统公开是最好的公众监督与约束力，哪些能为、哪些不能为应明确透明；三是构建纵横勾稽的管理系统，形成权力制衡和决策制约，即使上层有决策、有批示，对于违规违纪行为，系统拒绝通过[19]。如果要改变系统约束，必须上溯两级、横延多个业务关联部门、监督管理部门共同修正，否则不得通过，形成一种共同决策的强约束力。

3.构建自动化、系统性的决策系统

面对复杂多变的客户需求以及日益激烈的同业竞争，中小商业银行在日常经营管理中如果缺乏长远的战略规划和风险控制意识，就会因决策不当产生操作性风险。现在各家中小商业银行的行政管理者、关键业务岗位个人决策裁量权过大，一方面容易导致决策的客观性、预判性不足；另一方面易产生“内部人”内外勾结，成为渎职腐败的突破口。

中小商业银行应当逐步推进决策标准化、流程化、系统化建设，可以借助个贷标准化产品决策系统，进行流水作业，而对于大额信贷业务以及资源性决策，要借助于数字技术模型进行技术性决策；同时，可以通过线上借助于外部专业机构、专家团队，协同形成“远程顾问”决策模式，将内外部决策作为固化制度予以执行，并实现相互验证，不断提升决策的科学性、客观性，从而减少个人主观意愿在决策中的主导作用。

4.构建自然人终身关联人权益信息系统

中小商业银行历经数年的快速发展，为实体经济和金融体系发展做出积极贡献的同时也积累了大量的经营风险，充分暴露其合规经营意识淡薄、刻意钻监管空子，对风险把控缺乏基本的敬畏之心等短板问题。部分中小商业银行在经营过程中，重扩张、轻风控，重短期利益、轻长期发展，习惯于打监管擦边球，公然违规违法经营，究其根本原因在于个别中小商业银行管理者对于贪腐行为及后果存有侥幸心理，认为非法所得难以追踪[20]。

要从根本上解决这个问题，必须配合组织上的个人事项申报制度，对所有中小商业银行从业者个人、家庭以及特定关系人，运用数字技术手段开展个人账户信息全关联管理、终身个人财富来源及动向监控管理，这在大数据时代和现行的技术手段下完全是可行的，以实时掌握每个金融从业者的个人财富的变化情况，并设置预警系统，从而使所有的金融从业者断掉贪腐念想，同时也便于对违法非法所得进行清缴。

5.构建中小商业银行系统运行大数据控制中心

目前，中小商业银行的核心系统都是各自为政，形成独立封闭的孤岛，缺乏信息流动及信息共享平台，因此，对于中小商业银行内部违规违法经营行为和活动，外部难以实时发现与觉察，同时，其关键数据的处理最终权往往为所辖高管掌握，为其违纪违法行为提供了技术上、流程上的便利[21]。

中小商业银行作为公众公司，其所有的经营行为至少要在投资人代表的监管之下，因此，有必要对于中小商业银行的主要经营指标，进行系统集中管理，即构建中小商业银行系统运行大数据控制中心，同时，通过安装智能数字机器人，提高各中小商业银行对于各类信息的分析处理能力，并将分析的结果实时报送至各级管理部门，从而切实把问题或漏洞消灭在萌芽状态。

6.构建数字化金融监管系统

随着金融科技浪潮的愈演愈烈，众多中小商业银行一方面运用大数据、物联网、图像识别等科技手段加强内部金融产品创新，另一方面也纷纷联手蚂蚁金服、百度金融等金融科技企业，积极探索金融和科技深度融合，金融服务打破时间、空间局限，进一步突破传统的业务、地域以及客户边界，极大提高了中小商业银行核心竞争力。然而金融科技带来一系列金融产品和金融服务模式创新的同时，由于数字化、智能化提升了交易的便捷性，商业银行交易规模、交易频次都得到几何量级增长，尤其是本身主要服务于长尾客户、小微企业的中小商业银行机构，客户层面的信息不透明、信用等级相对较低，客户为了成功获得贷款额度，往往刻意隐瞒授信信息，造成信息不对称，使得金融风险也急剧上升且更为隐蔽，给金融行业监管带来新的挑战，也提出了更高要求。

因此，要通过大力发展监管科技、提升金融监管能力与水平，以适应新形势新业态下金融监管要求。得力于监管科技的发展，通过在风控流程应用大数据、人工智能等技术，一方面能够增强风险监控的有效性、准确性和时效性；另一方面，也是面对中小商业银行日益提升的数字化程度必须采取的措施。对于监管系统要实行全系统联网，设立监管预警指标体系，只要出现预警提示，各级监管部门都能及时接收到相关信息，避免监管信息被人为堵截、消化。诸如包商银行前期人民来信的反映，由于属地监管部门被权力寻租，导致存在的问题迟迟得不到暴露。此外，金融监管平台应联合审计、监察等职能部门、行业协会以及举报平台等共建、共享中小商业银行信息平台，并利用区块链技术对平台数据信息进行分权审查、分权管理，任何操作行为都有留痕，避免信息出现沉淀或被人为隐藏，从而才能从细节中发现潜在隐患，形成强大的数字化风险防范监督管理能力。

四、结论与建议

总而言之，面对中小商业银行风险“二元”性特征，对于不可控风险只能尽量降低并尽可能化解，而对于可控风险的防范除了要提升法律制度建设的数字化水平，提高数字技术手段防范、监控风险管理能力外，还要进一步强化中小商业银行合规经营管理理念，增强中小商业银行市场风险管理能力，做好金融行业法律制度体系的完善，加强中小商业银行从业人员思想政治道德建设和清廉文化传播。此外，对于在金融合作过程中的非法违规行为要进行系统通报，建立客户灰名单制度，从多个维度将中小商业银行违法违纪经营风险降到最低限度，促进中小商业银行稳健发展，为小微企业提供有效金融服务支持，为地方经济、三农经济发展贡献力量。