我的合规困境:为什么金融科技的真正护城河是可审计的“监管信用”?
这一切的起点
在我成为风险投资人之前,我在Promontory Financial Group工作了三年半。这是一家风险与合规咨询公司,为全球许多最大的金融机构提供咨询服务。这是一门好生意,尤其是在2008年金融危机之后。基本上,来自SEC、OCC和FINRA的监管人员”下海”进入私营部门,然后由银行付费,请他们就如何遵守自己曾经参与制定的规则提供建议。
我们是”善后团队”。在同意令下达之后、监管检查出现偏差之后、OCC或CFPB认定你的BSA/AML项目不达标之后,我们就会被请进去。我曾参与过一个项目,负责清理金融服务史上最大的洗钱丑闻——通过爱沙尼亚的一家银行分行,在八年内发生了超过2000亿欧元的可疑活动。
这项工作至关重要且风险极高。同时,它也极其依赖人工。我们的许多项目都扎根于花费数百小时审查交易监控警报、抽样客户档案、以及在Excel中构建整改框架。我们做的几乎所有事情本都可以更高效地完成。模式识别是机械的,文档审查是重复的,异常分类遵循着清晰的规则。
但合适的工具并不存在,而且坦率地说,咨询模式本身也缺乏构建工具的激励。Promontory按小时收费(我可以告诉你,我们定价的合同赚得盆满钵满)。像许多服务公司一样,低效率是嵌入其商业模式中的。我离开时带着一种感觉:这项工作非常适合用技术来改造,最终会有人构建出合适的产品来改变它。讽刺的是,IBM收购Promontory的明确目的,正是为了利用Watson加速开发AI驱动的合规解决方案。剧透警告:这从未实现。
离开Promontory后,我在Affirm的第一年专注于与信任和安全相关的合作伙伴关系,这包括信贷、合规、身份、风险和欺诈。如果说有什么不同的话,那就是它让我在Promontory学到的许多东西更加清晰,因为我获得了前排座位,亲身体验了作为这些工具的实际买家是什么感觉。
为什么AI用于合规是显而易见的
当我加入BTV并开始全职投资金融科技时,合规是我最早想要深入研究的领域之一。随着过去几年AI和LLM的所有进步,我很大程度上确信,AI用于合规是整个金融科技领域最引人注目的用例之一。它也是最显而易见的用例之一(作为VC,这本身就是问题的一部分)。
市场规模巨大——仅全球金融犯罪合规一项就代表着每年超过2000亿美元的支出,而监管罚款每年也高达数十亿美元。这项工作荒谬地依赖人工且重复。想想合规审查实际包含什么:你要阅读数千页的法规,然后将其与公司所有的政策、程序和管控文件进行交叉引用,以确定纸面上的内容是否真正符合法规要求。这是一项艰苦的、逐文档进行的工作。机会在于,将本质上人工的流程提速十倍并做得更好。不仅如此——当你将技术分层应用到合规工作流中时,你会很快发现,很多写在政策里的东西,在遇到现实世界时是站不住脚的。团队为了满足那些没有实际意义的要求,把流程搞得七拐八绕。AI不仅能加速工作,它实际上还能发现差距并改善结果。
此外,合规团队只能随着人员数量线性扩展。监管机构期望银行的人员数量随着其增长而按比例增长,但更多的人员并不一定能解决根本问题。向合规部门投入资源与解决合规问题不是一回事。我最近与一家主办银行交流,他们描述说,预计在下次安全稳健性检查中,会被问到棘手的问题:如何在不大幅增加合规团队的情况下证明增长的合理性。这些团队永远处于”着火”状态,承受着持续的监管压力,完全没有余力。答案不能仅仅是增加人手。
那么,为什么这如此困难?
我在BTV已经四年多了。在这段时间里,我想我大概接触过超过100家合规初创公司的项目。我觉得看涨的理由很明显,但在这里投资需要应对真正的结构性挑战。
合规支出具有深刻的周期性。如果一家银行刚刚被罚款、收到MRA或同意令,合规就会成为炙手可热的优先事项。预算会打开,紧迫感是真实的,决策会迅速做出。但如果这种情况没有发生——这在大多数时候都是如此——合规在采购清单上的优先级就会低得多。金融科技公司的情况更糟:它们在被”咬”到之前不会优先考虑合规(其逻辑是:如果你没有客户,合规与否并不重要)。是的,在人员、工具、培训和审计方面总是有持续的维护性支出,但用于新工具的可自由支配预算更多地是跟随监管周期,而非实际需求。你要么是在恐慌中销售,要么是在漠不关心中销售,而这两个状态之间的窗口期很窄。
阅读规定性规则很容易,但对灰色地带的解读更有价值。法规的书面规定与银行实际执行方式之间存在巨大差距。AI可以消化所有法规并给出字面意义上的建议。但银行自己也能做到这一点。他们真正想知道的是:其他银行是如何遵守这条规定的?灰色地带在哪里?18个月后检查员会怎么说?这些信息存在于经验丰富的合规官的大脑中、存在于不公开的检查结果中、存在于机构与其监管机构之间不成文的默契中。义务清单很有用,但它们解决不了这个核心问题。
是的,一些合规工作是二元的、确定性的:你是否发送了正确的披露信息,你是否在截止日期前提交了文件,等等。AI在很大程度上可以解决这些问题。但更困难的问题是概率性的:这笔交易是否可疑到需要提交SAR,这份文案是否越过了UDAAP的界限,等等。问题不在于你是对是错,而在于你的方法能否经得起审查。大多数AI工具旨在给出确定的答案,但在一个并不总是存在确定答案的领域里。
平台与点解决方案是一个未解决的困境。让这件事如此困难的部分原因是,”合规”包含了数十种根本不同的活动,它们共享一个总括性的标签。想想看。确保客户是真实的?合规。确保虚假客户不会欺诈真实客户?合规。向监管机构报告可疑活动?合规。确保你的承销模型不会在信贷决策中引入偏见?合规。定期测试你的控制措施?也是合规。投诉审查、质量保证、营销审查、品牌监控和供应商准入也是如此。这些活动的工作方式根本不同,依赖不同的数据源,有不同的利益相关者,需要不同的领域专业知识。我非常怀疑一个工具能完成所有这一切。即使是在单一的合规活动中,正如我之前提到的,银行的政策和程序所说的他们将要做的事情,与他们日常实际做的事情之间也存在差距。这种脱节本身就是一种合规风险!
这就是为什么平台与点解决方案的困境在这个类别中如此尖锐。每家银行都想要一个平台,这也是他们倾向于选择大型厂商的原因之一。但这些平台根本不可能在如此多样化的活动中把每件事都做好,所以银行会再外挂点解决方案。显然,选择一个垂直领域的点解决方案可以获胜——Vanta通过SOC 2证明了这一点——但SOC 2可能只占银行总合规义务的2%。广义上的AML可能占20%。那么问题就变成了:合规的哪些细分领域足够大、足够独立,能够支撑起一个风险投资规模的企业?是否存在一个更好的分类标准来划分合规——不是按法规,而是按工作流类型、买家或数据依赖关系——从而揭示哪些集群实际上可以用一个产品来解决?每家合规公司的早期旅程中都存在一个关键选择:要么走窄路,冒着成为”功能”或无法追求风险投资规模市场的风险;要么走宽路,与资金雄厚的现有企业在截然不同的工作流中竞争。两者都非常困难。
“自保”效应是真实存在的。这与我在《服务不会变成软件》一文中写到的动态相同。银行愿意为像Promontory(致敬一下)、FS Vector、Klaros或Maquette Partners这样的老牌公司支付溢价——不仅仅是因为工作做得好,而是因为监管机构了解他们的工作,并且对其感到放心。这里面有”自保”的成分:没有人会因为雇佣[插入备受推崇的公司]而被解雇。但对于种子阶段的初创公司来说,情况就不同了。即使你的产品更好、更快、更便宜,合规官可能仍然会选择老牌公司,因为这样承担的职业风险更小。
我在Affirm时,我们选择与一家合规供应商合作,而不是另一家,尽管它的产品差得多,因为我们知道监管机构会对它感到放心。合规支出中有相当大的一部分与产出质量无关——它关乎责任转移、政治掩护和资质认证。真正与产出质量相关的部分,AI可以解决。而与”自保”相关的部分,可能比看起来更持久。
监管机构往往更关注人员数量而非效率。当一家银行增长时,检查人员期望合规人员数量按比例增长。如果监管机构看到一个10人的合规团队,凭借出色的工具,产出了相当于50人团队用糟糕工具才能达到的成果,他们不会印象深刻——他们会担心这个部门规模太小。投资AI工具在监管机构眼中不一定”算数”。在这种态度改变之前,这会抑制买家用软件增强人员的动力。
而且,与其他面临严重劳动力短缺的行业(如会计)不同,合规并没有一个结构性的强制因素来推动采用AI以提高效率。劳动力市场紧张,但并未崩溃。围绕在合规领域采用AI的主要情绪是恐惧——既害怕被取代,也害怕未经证实的技术在如此重要的事情上犯下大错。一个遗漏的SAR、一次搞砸的OFAC筛查、一个最终出现在检查工作底稿中的幻觉式政策解读,对于合规官来说都将是职业生涯的终结(或至少是严重阻碍)的错误。例外情况是,在一些银行,合规正被纳入收入讨论中,但这仍然是少数情况。
这个领域迅速变得非常拥挤。在过去几年里,为合规构建AI的初创公司数量激增,以至于很难看出任何特定产品或方法的独特之处。从早期投资者的角度来看,当一个类别如此迅速地变得如此拥挤时,就很难看出任何一家公司能够建立足够的差异化或足够坚定地执行以获胜。而且,竞争格局现在还包括基础模型公司本身。Anthropic刚刚为金融服务推出了一套智能体模板,其中包括一个KYC筛查工具,用于构建实体档案并打包升级以供合规审查。
最后一个难题:向金融科技公司销售和向银行销售看起来是同一门生意,但实际上并非如此。金融科技公司想要API、他们自己拥有的基础设施、他们可以自己集成的东西。年均合同价值较小,交易完成速度更快,如果有更好的东西出现,他们会换掉你。银行则相反。他们想要一个供应商,而不是一个工具。一个能够坐在检查员对面、承担责任、并在第三方风险审查中为自己辩护的人。年均合同价值大得多,采购周期需要9到18个月,一旦他们选择了你,更换的门槛非常高。一家初创公司必须选择一个赛道。你构建的产品、你雇佣的团队、你销售的方式,所有这些都根本不同。那些试图两者兼顾的公司,通常哪一样都做不好。
需要改变什么
在研究了四年这个领域(并在这个领域生活了五年多)之后,我认为最终获胜的公司将是那些能够改变”合规”在金融机构内部含义的公司。
现在,每个人都把合规视为成本中心。它是一个你因为不得不做而资助的部门。预算首先被削减,人员最后才增加。这就是为什么向合规部门销售如此艰难。你走进一个房间,里面没有人对开支票感到兴奋。
但合规实际上是一个收入推动器。没有它,你就无法销售金融产品。想提供存款账户?你需要Reg DD、Reg CC、Reg E以及更多法规。这些不是障碍,而是先决条件。没有合规,就没有产品可卖。
更重要的是:合规发生在客户层面。你的产品与最终用户的每一次互动都必须合规。合规本质上嵌入在产品之中。我们只是把它当作一个事后审查的后台职能。这是一种脱节!合规实际上是让你能够服务客户并建立业务的基础设施。
这改变了你在这个领域构建和销售的方式。成本中心定位意味着你向合规官推销成本削减,而他的预算是从风险部门划拨出来的。收入推动器定位意味着你向CPO和CRO推销增长,其价值主张是更快地推出产品,并在不被关闭的情况下进行扩展。
但你不可能仅仅通过谈话或推销就成为收入推动器。这种区别必须是架构性的。只有当合规被嵌入到产生收入的运营工具中时,它才能成为收入推动器。一个贷款发起平台,能够按正确顺序处理披露、同意书、TILA表格和APR计算,它不是一个合规产品,而是驱动你收入线的系统。它只是恰好被设计成合规的。这种情况之所以没有更多发生,是因为现有的运营技术栈(Fiserv、核心银行系统、传统CRM)是在合规是一个独立部门的时代构建的。这些工具并非旨在将合规作为产品的一个特性。重建这种基础设施既昂贵又困难,而这正是机会如此之大的原因。
这也是为什么我不担心基础模型会”吃掉”这个类别。基础模型将使阅读法规、映射控制措施和起草政策回应变得商品化。这没问题。它们无法商品化的是上层的应用层。合规官不会通过”氛围编程”来构建自己的BSA工具,也没有银行会将参考实现直接部署到生产环境中。合规软件不仅仅是软件,它是一种供应商关系,必须经得起检查员的考验。银行的第三方风险团队需要SOC 2报告、SLA、审计追踪,以及在检查出现问题时可以打电话联系的真人。基础模型的参考实现没有这些。合规官周末用提示词”召唤”出来的内部工具也没有。
合规需要的转变是从被动到主动。从事后手忙脚乱,到嵌入控制措施以在问题发生前预防。Vanta是最清晰的例子。正如我之前所说,也是众所周知的,Vanta销售的不是合规,而是市场准入。他们的宣传是:没有SOC 2你就无法与企业客户合作,我们可以在几周内帮你搞定,而不是几个月。
这也是为什么,尽管有上述所有犹豫,我仍然进行了合规投资。BTV投资组合中的两家公司正在以反映这种重新定位的方式构建。
Ethos建立在”风险即战略”的论点之上。从根本上说,获胜的金融机构敢于承担他人不愿承担的风险,并能定价他人无法定价的风险。大多数机构做不到,因为它们的风险和合规数据分散在电子表格、传统GRC工具和互不通信的系统中。合规部门不知道什么正在上线,产品部门不知道什么被标记,而领导层两者都看不到。Ethos是覆盖整个风险面的数据和工作流层,包括企业风险、运营风险、数字资产和AI。其目标是让风险成为业务实际运行的实时输入。
Palm帮助小企业免费处理其合规申报,并在此过程中建立直接关系,从源头收集第一方数据。如今每个KYB供应商都在抓取相同的下游注册信息,存在相同的缺口和相同的数据陈旧问题。Palm的数据在结构上更优。合规是楔子。最终目标是建立一个商业身份网络,在这个网络中,Palm成为小企业身份的权威来源,由企业自身拥有和更新。
这两家公司都反映了同一个洞察:合规是机制,而价值在于它能解锁什么。
如果你正以这种心态构建产品,我很乐意听到你的消息。
