美章网 资料文库 管理和控制电子银行外包风险范文

管理和控制电子银行外包风险范文

本站小编为你精心准备了管理和控制电子银行外包风险参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

管理和控制电子银行外包风险

电子银行业务外包风险概述

电子银行业务系统的成功运转需要大量硬件设施与软件程序的支持,这些硬件与软件如果要完全依靠银行机构的内部力量进行研究和开发,无疑需要银行投入巨额的开发与维护资金,并引进大量的技术人员。除少数大型银行机构外,大多数银行并不具备如此强大的资金与技术实力。不仅如此,这种占据银行机构内部大量资源的做法还可能造成银行精力的分散,使之无法集中于核心业务的经营与处理之上,从而阻碍其服务品质的提高。有鉴于此,许多银行为了控制成本,获取必要的专业技术支持,扩展客户产品的营销渠道以及改善服务质量,往往会选择将原本由银行内部实现的一部分网上银行业务功能外包给一个或多个技术服务供应商(TSPs),如硬件软件销售商、电信公司、专家公司和其他支持性经营者等,利用这些外包商所提供的服务来支持网上银行业务系统的运转。可见,通过寻求外部支持已成为许多银行机构节约成本、提高其核心竞争力的一项重大战略选择。也正因为如此,伴随着电子银行业务的兴起和蓬勃发展,与之相关的外包活动也日益频繁起来。

尽管外包关系的建立具有一定的经济合理性与必要性,但它给银行机构带来的各种特殊风险依然不可小觑,而在互联网环境下,这些风险更是呈现出加重和扩大的趋势。

总体看来,外包关系所带来的风险大多源于两个方面:一是银行的规划不合理或监督与控制不力;二是第三方外包商的执行或服务不达标。

就银行而言,在做出网上银行业务之提供是否需要借助外部第三方力量的决定之前,若没有进行充分的风险评估、成本收益分析、目标兼容性调查及合法性与可行性研究,若未能采用针对第三方外包活动的适当风险管理机制与监督措施,若尚不具备实施监督所必需的足够的专业技术能力与经验,则极容易产生战略性风险。

而从外包商的角度看,这些提供技术支持与服务的供应商或销售商在网上银行业务活动中通常是作为第三方出现的,不受管制的他们对网上银行业务活动的介入无疑会对银行机构的整体风险状况产生重大影响,给银行机构带来额外的不稳定因素。例如,银行可能由于外包商的不当或不法行为,如提供劣质服务、发生服务中断、实施不适当推销、违反信息安全操作规程、违反客户隐私保护政策、违反消费者保护法等而被迫陷入诉讼,不但法律风险陡增,还可能遭受财产与信誉损失。尤其是当外包安排中需要外包商的职员直接同银行客户打交道时,银行因外包商的产品或服务不符合银行所制订的政策与标准而遭到信誉损失的可能性更可能大大增加。为此,银行对外包商所提供之产品与服务的品质与适当性进行密切监测实为必要。

电子银行业务中日益突出的外包风险较之传统银行业务环境下更加突出、复杂和严重,更易迅速传递和扩散,对银行机构的安全与稳健也具有更深刻的影响和更大的破坏性。在电子银行业务最为发达的美国,2001年就曾发生这样一起因外包安排而致使银行遭受风险的案例。当时,虽然只是一家美国的主机公司(hostingcompany)受到黑客袭击,但却有超过300家银行因此而受到损害。[1]电子银行业务环境下外包风险的巨大冲击力可见一斑。

如果银行机构所利用的服务供应商位于另一个国家,则可能带来更为复杂的跨境外包风险。这种因利用外国服务供应商而造成的风险既可能是因外国外包商不受银行机构及其监管机关有效监控而产生的操作风险,也可能是因有关外包活动违反他国法律法规而引发的法律风险,甚至还可能是因外包商所在国的经济、社会或政治等因素致使其无法履约而带来的国家风险等。

有鉴于此,关注第三方或外包商所带来的各种风险,尤其是其中的战略风险、操作风险、法律风险与信誉风险,重新评价现有银行业管制框架的有效性,并在第三方介入有关服务提供的情况下采取相应措施对外包关系及其风险加以有效管理十分必要。

电子银行业务外包风险管理的国际经验

为应对日益突出的电子银行业务外包风险,有关国家与地区的监管当局以及一些重要的国际金融组织都纷纷着手研究外包活动及其风险的特殊性,探索对其实施有效管理与监控的基本原则与方法。企业家天地2011年第11期中旬刊管理Management有关国家和地区监管当局确立的主要原则与方法。

美国的实践。以美国为例,在美国的电子银行业务发展实践中,大多数银行都不愿自己进行技术设计和网络系统的安装与维护,而是选择将这些工作外包出去。由于大量外包活动所带来的风险很可能危及银行机构的整体安全与稳健,负责银行业机构监管的各个监管机构都意识到了这一问题的严重性,因而在对各种电子银行业务风险进行监管时特别重视外包风险的管理和控制

这些美国银行监管机构曾在多部监管文件中确立了有关电子银行外包风险管理的指南。例如,货币监理署(简称OCC)于1999年的《网上银行业务———监理手册》(简称《监理手册》)就曾概括性地强调,银行机构应加强对网上银行业务外包之相关风险的控制。它明确要求:银行应定期对其技术支持来源进行重新评估;应将技术提供者的技术服务同银行自身战略计划程序相结合;银行机构在选择合作之供应商时应谨慎行事,事前签定正式协议明确双方权利义务;银行还应监督供应商的经营状况、财务状况、该供应商所具备之技术是否能与不断更新的技术保持一致以及是否具备良好的内部管理等等。[2]

除《监理手册》外,联邦金融机构审查理事会(FFIEC)于2000年11月的《外包技术服务风险管理指南》,OCC于2001年11月的《第三方关系:风险管理原则》,以及FFIEC于2003年8月的《电子银行业务:信息技术审查手册》等监管文件都就管理外包风险制订了专门规则。根据这些文件,要有效防范和控制外包风险,银行机构需要做到如下几点:其一,慎重选择合格的服务供应商,即要求银行在选择新的服务供应商时保持有效的合理谨慎,考虑其财务状况、经验、专业技能、技术兼容性以及客户满意度;其二,重视以书面合同形式明定各方权利、义务与责任,即要求银行与供应商签订书面合同,并在其中载明囊括保护银行数据的隐私与安全,银行对数据的所有权,审查安全与控制的权利,监测服务质量的能力,限制银行对服务供应商的行为可能承担的责任,以及终止合同等方面内容的具体条款;其三,依合理程序对供应商实施持续监测,即要求银行具备一套监测销售商的业绩表现、服务质量、安全控制、财务状况和守约情况的适当程序;其四,对包括事故反应与通知在内的报告和预测进行监测。[3]

新加坡的实践。在新加坡,对发展电子银行业务所带来的各种加重的风险,新加坡货币局(MAS)给予了高度重视。在MAS看来,更适当的做法应该是基于各银行具体情形和战略的不同采用以风险为本的监管方法(arisk-basedsupervisoryap-proach)。2003年6月,MAS了最新的《网上银行业务技术风险管理指引》,要求各银行切实遵行。该指引涵盖的内容十分全面,其中尤值一提的是,它为银行的外包活动及其管理确立了具体指南。MAS认为,银行将其有关经营操作外包给第三方并不会消除或减轻银行机构所承担的职责与责任。它强调,银行有责任确保其服务供应商的营业水平以及他们所提供的服务的可靠性与安全性达到银行网上银行业务所要求的水平。

针对如何管理外包风险的问题,该指引提出了以下三点具体要求:第一,要求银行董事会与高级管理层充分认识将其网上银行业务操作外包出去所产生的相关风险。具体说来,在将有关活动委托或承包给某个外部服务供应商之前,银行应当合理审慎地确定此种安排的可行性以及外包商的素质能力、可靠性、历史记录和财务状况等;并应以书面协议的形式细致和恰当地写明有关合同各方当事人的地位、关系、义务与责任的具体合同条件与条款。第二,要求银行遵守有关管制、审计或守法要求,切实实施审查或评估。具体而言,就是应当要求服务供应商向银行指定的所有当事方提供利用银行系统、业务、文件及设施的服务;不仅如此,银行与服务供应商还应在其所订协议中承认管制机关依《银行业法》所拥有的对服务供应商的地位、职责、义务、功能、系统和设施实施检查、监督或审查的权力。第三,要求银行和服务供应商遵守《银行业法》中关于银行业的保密要求。换言之,银行同服务供应商之间的合同与安全应当满足保护客户信息机密性的需要,也应符合所有现行法律法规的要求。

针对如何监测外包安排,该指引也做出了相应规定:其一,银行应要求服务供应商执行与其自身操作同样严格的安全政策、程序和控制;银行应定期审查和监测服务供应商的安全做法与程序,如定期取得有关服务供应商操作方面的安全充足性与守法性的专家报告;为监督服务供应商是否持续达到约定的服务水平以及其操作的可行性,还应设立一道监测服务供应商的服务提供、履约可靠性及加工处理能力的程序。其二,随着银行的外包关系日益复杂和重要以及其对外包关系的依赖性日益增强,为确保银行管理层不丢掉其保护银行核心操作与服务的职责,应当采取一种强有力的风险管理方法。

我国香港特区的实践。在香港,较为典型的银行业外包活动主要表现为将原本由认可机构自行提供的数据处理、客户服务(如热线中心)及后勤支援等业务项目外包给香港或海外的服务供应商。电子银行由于需要借助复杂的信息与网络技术,其所涉及的与技术有关的外包活动愈加普遍。面对银行业外包活动的日趋活跃,香港金融管理局(简称金管局)敏锐地洞察到其中潜藏的各种风险与问题,因而了一系列建议性文件,从不同角度提出了对外包活动尤其是外包风险实施监管的原则与指南。

2001年12月金管局制定的一份以《外判》为标题的文件可适用于所有认可机构的银行业外包活动,这份文件虽然并非专门针对电子银行,但其中载明的一般监管方法及有关技术外包的管控措施等均对电子银行的外包活动具有重要的参考价值。

在《外判》指引中,金管局对认可机构从事的外包活动表达了相当明确的监管态度,即只要认可机构的外包安排具备周详的计划和妥善的管理,且不会导致损害客户利益的情形发生,金管局就不会阻挠。[4]至于怎样才算是具备了“周详的计划”和“妥善的管理”,则须由认可机构在实施其外包计划之前事先同金管局进行商讨。通常,认可机构须使金管局确信其能够做到如下几个方面:第一,认可机构继续保留对外包业务的最终控制权,其董事会与管理层对外包出去的业务负有最终责任;第二,确保在推行外包计划前后对外包安排实施全面持续的风险评估,并对有关风险进行妥善处理;第三,确保选定服务供应商之前已对其进行严格调查,选定之后又具备持续监察服务供应商的适当管控措施;第四,确保签定的外包协议内容明确详尽,并对该协议进行定期审查和评估;第五,确保外包安排中有关客户资料的保密性;第六,确保具有有效的外包安排管控程序及应变计划;第七,确保审查与审计所必需之外包信息的取用不受影响;第八,确保对跨国外包活动中风险的可控性;等等。

除对一般外包活动确定指南外,金管局还通过后来的《科技风险管理的一般原则》和《电子银行的监管》确定了网上银行技术外包监管中需采取的一些特殊管控措施。例如,在选择适当的技术服务供应商时,应注意所选的供应商须具备足够的资源与专业知识,能够遵守认可机构信息技术管控政策的实质内容;而在将关键技术服务(如数据中心操作)外包的情况下,认可机构还应详细评估技术服务供应商的信息技术管理环境,且该评估最好由独立于服务供应商以外的一方做出,独立评估报告应清楚列明评估的目的、范围及结果,并提交金管局以供参考。

在同服务供应商签订外包协议时,金管局强调:首先,应清楚载明技术服务供应商的履行标准、明确有关软硬件的所有权及服务供应商须承担的其他责任。如技术服务供应商应确保其职员或人对取得的认可机构的信息严格保密,以及遵守认可机构有关信息技术的管控政策与程序等。其次,鉴于技术服务供应商可能进一步将有关服务分包给其他方负责,认可机构应考虑在协议中增加一项约定,即技术服务供应商对有关服务的重大部分实施分包时,必须向认可机构发出通知或获得后者的核准,而且此时原技术服务供应商仍须就分包出去的服务负责。

在外包安排存续期间,为了对外包活动实施持续充分的监管和控制,除进行定期监察外,认可机构还应进行年度评估,以确保重要的技术服务供应商受到充分的信息技术管控。不仅如此,为了避免因未能预见的技术服务供应商问题(如服务供应商财务状况恶化而无力偿债,或因其他困难而无法继续提供有关服务和支持等)而导致有关银行业服务无法使用,认可机构还应就已外包的关键技术服务制定必要的应变计划,包括制订退出管理计划及物色额外或候补的技术服务供应商等。[5]此外,为了防止外包风险过于集中,做出技术外包安排的认可机构应尽量避免过度依赖单一的外部服务供应商提供关键的技术服务。

在电子银行外包活动中,除技术外包外,认可机构还可能通过外聘技术服务供应商的方式来提供与技术有关的支持与服务。对于这些外聘活动所引发的风险和问题,金管局指出,“认可机构应制定有关如何管理各类主要外聘科技服务供应商的指引。”而此种指引也应包括拣选服务供应商的程序,核准重大例外情况的程序,以及避免过度依赖单一技术服务供应商提供关键技术服务等主要内容。重要国际组织确立的指导性原则。一些国际金融组织也就外包风险及其管理问题展开了有益探索,并提炼总结出了对各国金融监管当局均颇具参考价值的重要经验。例如,为了指导和协助银行等金融机构及其监管者们有效地解决外包问题以及防范和控制外包风险,由巴塞尔银行监管委员会、国际证券委员会组织、国际保险监管协会组成的联合论坛就于2005年2月共同了可普遍适用于银行、保险以及证券行业的受监管金融机构及外包服务商的题为《金融服务的外包》的最新指导性文件。[6]

该文件提出了9项高级原则:1、实施业务外包的受监管实体应具备一套全面的政策,以便对关于是否及如何适当开展外包活动的评估工作进行指导。董事会或相应机构不仅要对其外包政策负责,而且还要对根据该政策实施的活动承担有关责任;2、受监管实体应制订一套全面的外包风险管理计划,以管理外包活动及处理其同服务供应商的关系;3、受监管实体应确保有关外包安排不会削弱其向客户及监管者履行义务的能力以及不妨碍监管者的有效监管;4、受监管实体在选择第三方服务供应商时应保持合理审慎;5、应以书面合同确定外包关系,合同中应清楚载明外包安排的所有实质性问题,包括各方当事人的权利、义务与预期;6、受监管实体及其服务供应商应制订和保留包括灾难恢复计划和定期检测备份设施在内的应急计划;7、受监管实体应采取适当措施要求服务供应商保护受监管实体及其客户的机密信息,以防有关信息被有意无意地披露给未经授权者;8、监管者应将外包活动作为其持续评估受监管实体时的组成部分。监管者应通过适当方法使自己确信有关外包安排不会导致受监管实体无法满足其法定要求;9、监管者应认识到多个受监管实体将业务活动集中外包给少量服务供应商可能带来的潜在风险。概括说来,在这些关于金融服务外包活动的原则之中,前七项涉及的是实施外包的受监管实体的责任问题,后两项则涉及的是监管者的作用与职责问题。

国际经验对我国内地电子银行业务外包风险管理的启示

就我国内地电子银行发展的实践来看,外包活动尤其是技术外包已逐渐进入人们的视野。2002年,深圳发展银行和高阳公司签订了为期10年的灾难备援外包服务合同,成为内地首个银行IT系统外包合同。[7]前不久,国家开发银行又与惠普公司签订了首份战略性IT外包服务合同。[8]在我国,技术外包对那些不具备专业技术力量的中小银行具有相当大的吸引力,因为只要通过适当的外包安排,中小银行在电子银行业务领域占有一席之地的可能性就会大大提高。不仅如此,外包作为一种优化企业资源配置的战略也越来越得到银行业界的认同。可见,外包在内地具有良好的市场前景。

外包活动的日趋频繁及其带来的各种风险需要我国内地的银行业监管机构密切关注银行业的外包实践,制订和完善相应监管制度,将外包风险纳入电子银行业务的审慎监管框架。而诸如巴塞尔委员会的《电子银行业务风险管理原则》与《金融服务的外包》指南,美国货币监理署的《监理手册》及其它关于外包风险管理专门文件,以及香港金管局出台的《外判》、《科技风险管理的一般原则》及《电子银行的监管》等,对于我国内地有关监管制度的确立显然具有重大的启示意义。事实上,在我国内地电子银行业务监管法制的建设实践中,也的确充分借鉴和参考了这些重要文件中蕴含的国际经验与原则。

近些年来,我国内地相关部门因应电子银行业务实践的发展而不断制订和出台一系列监管规则,目前已然初步确立起了电子银行业务及其风险监管的整体框架。综观现行监管法律制度,大致由两个方面内容构成:一是那些可同样适用于新型电子银行业务的传统监管制度中的有关规定,主要指2004年2月1日起施行的《中华人民共和国中国人民银行法(修正案)》、《中华人民共和国商业银行法(修正案)》和《中华人民共和国银行业监督管理法》,以及经2006年11月11日修订后于同年12月11日正式施行的《外资银行管理条例》及其《实施细则》等;二是新制订的电子银行业务专门性监管规章,目前主要指由中国人民银行于2005年10月的《电子支付指引(第一号)》(简称《指引》),由中国银行业监督管理委员会(简称银监会)于2006年1月26日颁布并于2006年3月1日起施行的《电子银行业务管理办法》(简称《管理办法》)、《电子银行安全评估指引》(简称《评估指引》)以及《电子银行安全评估机构业务资格认定工作规程》(简称《工作规程》)等。

起初,我国银行监管部门中对于电子银行业务的外包风险并未给予足够重视,因而在中国人民银行2001年制订的《网上银行业务管理暂行办法》(简称《暂行办法》)之中尚未有所涉及。但随着电子银行业务外包实践的发展,外包风险的日渐突显,以及国际社会相关监管经验的不断丰富,2006年银监会制定的《管理办法》就弥补了过去《暂行办法》在这方面的缺憾和不足,专设一章规定了电子银行业务外包和选择外包方的基本要求以及对外包风险的管理原则,将外包风险真正纳入了电子银行审慎监管框架之中。

具体而言,对于因外包活动而产生的各种风险,《管理办法》所确立的防范与管理原则主要包括:其一,确定合理的外包及外包风险控制战略,即合理确定外包的原则与范围,评估外包风险,建立健全规章制度,制定风险防范措施,将外包风险纳入总体安全策略中;其二,谨慎选择外包服务供应商,即应尽职调查和充分审查、评估外包供应商的状况与能力;其三,签订书面合同,明晰双方权利义务,规定外包服务供应商的保密义务与责任;其四,建立完整的外包风险评估与监测程序,审慎管理外包风险;其五,建立针对外包风险的应急计划及保证外包服务的应急预案;其六,对涉及机密数据管理与传递环节的重大系统进行外包时应经过金融机构董事会或法人代表批准,并在外包前向中国银监会报告。

与《暂行办法》相比,这可以说是个重大进步,但其内容上的局限性仍然十分明显,原则性有余操作性不足的问题依然存在。对此,笔者认为,今后银监会应继续关注国际社会有关外包风险管理原则的最新发展,并结合本国电子银行业务外包实务的特点和需要适时推出更为详尽、全面的电子银行业务外包管理指南以及更具操作性的外包风险管理实施细则。