前几日的推文中，为大家罗列了《网络借贷信息中介机构合规检查问题清单》（简称“108条”）的20个政策地带、5项重大变化以及重点难点的解读。今天，十字财经将着重分析机构如何自查以及完成相应的制度建设。

值得提醒的是，本轮自查很有可能是网贷机构的最后一次“登船”机会。合规检查的结果将直接决定机构是否能够被验收进入备案程序。严谨的自查一方面是对自己负责，另一反面也减轻了自律协会和监管部门的相应负担。在验收备案降临之际，这样的印象分必须靠网贷机构自己去争取。

与此同时，一旦被发现数据不真实、瞒报等情况，本轮合规检查采取的是“一票否决制”，侥幸心理有可能将会使机构走上覆灭的道路。因此，机构应立足实际情况，重视自查，才能做好“关键的第一步”。

8月29日，中国互联网金融协会（下文简称“中互金”）下发的《P2P网络借贷会员机构自查自纠问题清单》，针对监管与协会检查核查的重点，机构对清单中的每一项都应提供与之对应的备查文件、证明材料和具体制度。本文将根据该清单内容，对企业自查中的内控建设环节给予相关重点的指引。

1.风险控制和管理相关制度

包括不限于以下内容：借款人信息真实性审核、融资项目真实性和合法性审核、融资项目风险评级、反欺诈管理、授信管理、融资项目上线管理、债权债务转让管理、贷后管理、第三方担保管理(如有抵质押管理(如有)、债务催收管理、风控部门与人员管理关联方融资管理、道德风险管理,等等

（1）融资项目审核制度

本制度是与网贷机构业务最密切相关的制度之一。网贷机构资产端类型的区别，会影响融资项目审核的具体操作，如互联网基因较强的平台对大部分的融资项目可以通过线上审核完成，而如企业贷、车贷等涉及抵质押物等还需进行线下审核。因此，在我们的关于该制度的设计建议中，网贷机构应当根据实际情况分别借鉴线上审及线下审的内容。

（2）关联交易管理制度

对于关联方融资、关联方担保、关联方债权转让等，需要在相关项目信息展示中予以充分披露。关联交易制度中必备的内容应至少包括以下部分：

Ø规定关联方/关联人及关联交易的基本内涵，即关联关系的判断、关联方的范围、如何界定关联交易。

Ø明确关联交易的定价原则和定价方法、关联交易价格的执行以及如何识别、记录并核算公司关联交易情况必须予以明确。

Ø根据各网络借贷平台自身运营的实际情况及财务状况，确定网络借贷平台关联交易的审批主体及审批权限。

Ø为了保证关联交易执行的公允性，对于关联交易的审批程序也应加以明晰。

（3）反欺诈制度

“反欺诈”是金融领域长期面临的挑战。金融领域，如银行业、证券业、保险业等都有关于反欺诈的相关规定，金融机构（以及类金融机构）也均被要求制定自己的反欺诈制度。同样的，网贷机构的反欺诈义务属于监管明确要求的法定义务。网贷机构在制定该制度时应至少考虑以下要点：

Ø明确负责落实反欺诈工作的部门、组织架构及工作职责。

Ø外部不法分子、内部员工利用窃取或伪造的借款资料实施欺诈的主要形式。

Ø欺诈情况发生后的处理流程等。

2.出借人适当性管理相关制度

包括不限于以下内容:出借人信息真实性审核、出借人风险承受能力评估品风险分级管理、出借人风险承受能力与产品风险匹配管理自动投标授权管理,等等

网贷机构应当对注册的出借人进行风险承受能力评估，不得对未进行风险评估和风险评估不合格的出借人提供撮合交易服务。本制度的基本要点应当包括：

Ø明确网贷机构向出借人提供的产品或相关服务应按照本制度及其他业务规则及相关行业自律组织有关出借人评估及分类、适当性管理的规定，加强出借人评估及分类工作和加强出借人适当性管理；

Ø网贷机构向出借人提供产品或服务，应当履行的必要义务；

Ø借款人申请借款应当具备的基本条件；

Ø网贷机构受理借款人贷款申请后，履行尽职调查的内容；

Ø网贷机构不得从事或者接受委托从事的行为（部分与融资项目审核制度的禁入项目一致）；

Ø制定出借人风险评估问卷.

3.金融消费者保护相关制度

包括不限于以下内容：信息披露、出借人风险提示、借款人风险提示、逾期或违约提示、投诉管理、纠纷调解,等等

（1）风险提示有关制度

风险提示有关制度不仅包括单独制定风险提示函或在在《平台服务协议》、《借款合同》等协议中增加“风险提示条款”；还应包括平台对于风险提示的一系列操作。

我们认为，单独制定一份风险提示函更加符合监管的具体要求。风险提示函至少包括如下三部分内容：首先，明确列明出借人/借款人参与网络借贷活动中可能遇到的风险，如流动性风险、资信风险、维权风险等。其次，以醒目方式列明禁止性行为的范围。此外，我们还建议，为了保证出借人/借款人充分了解自己的出借/借贷行为，应列明有关承诺条款。

（2）客户投诉处理制度

针对客户投诉处理，建议平台应成立“客服中心投诉受理部门”，制定客户投诉管理制度并予以有效执行；客户投诉处理制度要求客户服务部门应全面落实“以用户为中心”的宗旨，通过依法、及时答复、处理客户投诉，提高公司的服务水平和合规水平。根据监管要求，平台制定客户投诉制度主要内容应包括处理投诉的基本原则以及具体的投诉处理方案两大部分内容。

4.内部控制管理制度

包括不限于以下内容:人事财务、审计、合同、印章、档案、资料、资金结算相关管理制度以及关键等等。

网贷机构首先应当建立一个纲领性的“内控制度”，该制度相当于所有制度的总纲领文件，其他具体的制度应当以该文件的总体要求进行建立健全。就该纲领性而言，应当包括以下要点：

Ø设立内控制度的目标，最重要的如“合理保证经营的合法合规及公司内部规章制度的贯彻执行”、“切实有效的风险控制系统，保障客户及公司资产的安全、完整”等。

Ø设立内控制度的目标基本原则，比如应强调“健全性原则”、“制衡性原则”等。

Ø确定内控制度的主要内容，主要包括环境控制、业务控制、会计系统控制、电子信息系统控制、信息传递控制等。

Ø内部控制效果的检查和评估。主要强调公司的治理机构（执行董事、董事会）应当建立内部控制效果的自我检查和评估制度，定期检查和评价公司各项内部控制制度的建立与执行情况。

5.信息科技管理相关制度

包括不限于以下内容：网络和信息安全管理、系统建设管理、系统运维管理、网站及APP运营管理、科技外包管理(如有),等等

（1）信息科技的管理、科技风险管控及科技审计制度

公司应设置特定部门承担和负责信息科技管理、科技风险管控及科技审计的工作和职责。一份合格的信息科技管理、科技风险管控和科技审计制度，应当至少包括如下章节内容：科技风险管控；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；信息科技管理职责的外包；以及科技内部审计与科技外部审计等。

（2）网络借贷业务活动数据和资料保存制度

网络借贷业务活动数据和资料保存制度旨在加强公司（平台）网络借贷业务活动数据和资料管理，规范数据资料的存储、处理、维护，保证在网络借贷业务活动中数据资料的可靠性、安全性与完整性。网络借贷业务活动数据和资料保存制度内容应至少包括如下要点：数据和资料保存期限、数据和资料的维护整合管理、电子数据备份、数据的分发传输和安全管理、数据和资料保密、数据资料的访问、提取和调阅以及数据资料清理等。

（3）网络安全设施、数据加密与灾难恢复管理制度

主要包括了三大部分，即网络安全设施、数据加密与灾难恢复。一份合格的网络安全设施、数据加密与灾难恢复管理制度，至少应当包括如下章节和内容：网络安全设施（网络安全设备口令选择规则、网络安全运行日志记录、网络安全设备的评审等）；数据加密（加密原则、加密信息调取、加密信息展示等）；灾难恢复（灾难恢复机构设置、灾难发生后的处置流程、灾难恢复培训等）。

6.客户信息与数据管理相关制度

包括不限于以下内容:客户身份资料、客户敏感信息、客户交易记录等信息和数据的收集、保存、加工、使用,等等

（1）客户身份资料和交易记录保存制度

本制度旨在预防洗钱和恐怖融资活动，防止数据的非法生成、变更、泄漏、丢失与被破坏，确保数据的有据性、准确性、完整性、及时性、保密性，规范网贷机构客户身份识别、客户身份资料和交易记录保存行为，维护金融秩序。本制度至少应包含以下要点：

Ø明确网贷机构应当保存的客户身份资料及交易记录内容；

Ø客户身份资料及交易记录的保存方式及期限；

Ø制定明确且可实际实施的信息数据管理规范等。

（2）客户信息安全保护制度

客户信息安全保护制度旨在加强平台客户信息安全保护工作，防范和减少客户信息失密泄密事件发生。提请注意，本制度应当首先确立客户信息安全保护的基本原则，需严格遵循“信息主体知悉并同意”、“信息采集与使用的必要性”以及“信息获取与对外提供的合法性”的原则。具体制度内容至少应当包括界定客户信息的范围；客户信息的采集及使用；如何保存、查阅、共享客户信息以及客户信息安全保护的职责等。

7.客户身份识别相关制度

《客户身份识别制度》是《反洗钱和反恐怖融资制度》的配套制度，网贷机构在制定该制度时，应当包含以下要点：

Ø明确客户身份识别的内容、措施；

Ø对不同客户的特点进行区分识别并划分风险等级；

Ø特定情形、法律关系下的客户身份识别措施；

Ø应当重新识别客户的情形等。

8.反洗钱及反恐怖融资相关制度

（1）反洗钱及反恐怖融资制度

根据监管要求，落实反洗钱和反恐怖融资工作亦是网贷机构的法定义务之一，网贷机构应当建立健全该制度，切实维护金融秩序，防范洗钱及恐怖融资风险。在制定并实施反洗钱和反恐怖融资制度时至少应关注以下要点：

Ø建立健全实施反洗钱和反恐怖融资活动的必备配套制度；

Ø设立负责落实反洗钱和反恐怖融资活动的主要部门及其工作职责；

Ø执行反洗钱和反恐怖融资活动的具体方式；

Ø积极开展反洗钱和反恐怖融资活动的培训与宣传等。

（2）可疑交易报告制度

本制度也属于《反洗钱和反恐怖融资制度》的配套组成部分，制定该制度的目的系为了规范网贷机构的可疑交易报告行为。根据监管的要求并结合网贷机构的运行实际情况，网贷机构在制定本制度时需考虑以下要点：

Ø明确应提交可疑交易报告的情形；

Ø交易检测标准及参考要素；

Ø确认可疑交易的流程及报送；

Ø实施本制度的内部管理措施等。

9.宣传营销管理相关制度

考虑制定《平台市场推广管理办法》并严格执行，明确各类宣传、推介渠道的具体行为准则。严格管理平台宣传物料，尤其针对纸质版物料更应严控，谨防不正当构陷与恶性竞争行为。

考虑制定《线下门店管理制度》与《员工行为规范指引》，从门店业务考核、员工行为准则等方面把控线下门店“违规”风险，在部分线下门店或员工因“业绩奖励”刺激而进行违规营销情形下，网贷机构一方面可实现内部管理惩戒，另一方面可依据该等规范进行“员工个人违规行为”抗辩。

10.舆情监测和应对制度

网贷机构应制定相应的舆情监测与品牌形象管理制度，并设置紧急情况下的应急预案。

11.监管和自律等数据报送制度

中央层面发布的108条中，用了多达18条的篇幅对网络借贷平台信息披露提出合规要求，信息披露制度对网络借贷平台的重要性不言而喻。

平台如建立一套完整而有效的信息披露制度，应当严格按照法律法规和公司章程规定的信息披露的内容和格式要求，遵循“真实、准确、完整、及时”的原则报送及披露信息。符合监管要求的信息披露制度应至少涵盖信息披露的基本原则、信息披露内容、信息披露程序及信息披露管理与责任。

（内容撰写：彭凯、三闲，编辑：陈智）