浅谈电子银行外包风险
浅谈电子银行外包风险:管理和控制电子银行外包风险
电子银行业务系统的成功运转需要大量硬件设施与软件程序的支持,这些硬件与软件如果要完全依靠银行机构的内部力量进行研究和开发,无疑需要银行投入巨额的开发与维护资金,并引进大量的技术人员。除少数大型银行机构外,大多数银行并不具备如此强大的资金与技术实力。不仅如此,这种占据银行机构内部大量资源的做法还可能造成银行精力的分散,使之无法集中于核心业务的经营与处理之上,从而阻碍其服务品质的提高。有鉴于此,许多银行为了控制成本,获取必要的专业技术支持,扩展客户产品的营销渠道以及改善服务质量,往往会选择将原本由银行内部实现的一部分网上银行业务功能外包给一个或多个技术服务供应商(TSPs),如硬件软件销售商、电信公司、专家公司和其他支持性经营者等,利用这些外包商所提供的服务来支持网上银行业务系统的运转。可见,通过寻求外部支持已成为许多银行机构节约成本、提高其核心竞争力的一项重大战略选择。也正因为如此,伴随着电子银行业务的兴起和蓬勃发展,与之相关的外包活动也日益频繁起来。
尽管外包关系的建立具有一定的经济合理性与必要性,但它给银行机构带来的各种特殊风险依然不可小觑,而在互联网环境下,这些风险更是呈现出加重和扩大的趋势。
总体看来,外包关系所带来的风险大多源于两个方面:一是银行的规划不合理或监督与控制不力;二是第三方外包商的执行或服务不达标。
就银行而言,在做出网上银行业务之提供是否需要借助外部第三方力量的决定之前,若没有进行充分的风险评估、成本收益分析、目标兼容性调查及合法性与可行性研究,若未能采用针对第三方外包活动的适当风险管理机制与监督措施,若尚不具备实施监督所必需的足够的专业技术能力与经验,则极容易产生战略性风险。
而从外包商的角度看,这些提供技术支持与服务的供应商或销售商在网上银行业务活动中通常是作为第三方出现的,不受管制的他们对网上银行业务活动的介入无疑会对银行机构的整体风险状况产生重大影响,给银行机构带来额外的不稳定因素。例如,银行可能由于外包商的不当或不法行为,如提供劣质服务、发生服务中断、实施不适当推销、违反信息安全操作规程、违反客户隐私保护政策、违反消费者保护法等而被迫陷入诉讼,不但法律风险陡增,还可能遭受财产与信誉损失。尤其是当外包安排中需要外包商的职员直接同银行客户打交道时,银行因外包商的产品或服务不符合银行所制订的政策与标准而遭到信誉损失的可能性更可能大大增加。为此,银行对外包商所提供之产品与服务的品质与适当性进行密切监测实为必要。
电子银行业务中日益突出的外包风险较之传统银行业务环境下更加突出、复杂和严重,更易迅速传递和扩散,对银行机构的安全与稳健也具有更深刻的影响和更大的破坏性。在电子银行业务最为发达的美国,2001年就曾发生这样一起因外包安排而致使银行遭受风险的案例。当时,虽然只是一家美国的主机公司(hostingcompany)受到黑客袭击,但却有超过300家银行因此而受到损害。[1]电子银行业务环境下外包风险的巨大冲击力可见一斑。
如果银行机构所利用的服务供应商位于另一个国家,则可能带来更为复杂的跨境外包风险。这种因利用外国服务供应商而造成的风险既可能是因外国外包商不受银行机构及其监管机关有效监控而产生的操作风险,也可能是因有关外包活动违反他国法律法规而引发的法律风险,甚至还可能是因外包商所在国的经济、社会或政治等因素致使其无法履约而带来的国家风险等。
有鉴于此,关注第三方或外包商所带来的各种风险,尤其是其中的战略风险、操作风险、法律风险与信誉风险,重新评价现有银行业管制框架的有效性,并在第三方介入有关服务提供的情况下采取相应措施对外包关系及其风险加以有效管理十分必要。
电子银行业务外包风险管理的国际经验
为应对日益突出的电子银行业务外包风险,有关国家与地区的监管当局以及一些重要的国际金融组织都纷纷着手研究外包活动及其风险的特殊性,探索对其实施有效管理与监控的基本原则与方法。企业家天地2011年第11期中旬刊管理Management有关国家和地区监管当局确立的主要原则与方法。
美国的实践。以美国为例,在美国的电子银行业务发展实践中,大多数银行都不愿自己进行技术设计和网络系统的安装与维护,而是选择将这些工作外包出去。由于大量外包活动所带来的风险很可能危及银行机构的整体安全与稳健,负责银行业机构监管的各个监管机构都意识到了这一问题的严重性,因而在对各种电子银行业务风险进行监管时特别重视外包风险的管理和控制。
这些美国银行监管机构曾在多部监管文件中确立了有关电子银行外包风险管理的指南。例如,货币监理署(简称OCC)于1999年的《网上银行业务———监理手册》(简称《监理手册》)就曾概括性地强调,银行机构应加强对网上银行业务外包之相关风险的控制。它明确要求:银行应定期对其技术支持来源进行重新评估;应将技术提供者的技术服务同银行自身战略计划程序相结合;银行机构在选择合作之供应商时应谨慎行事,事前签定正式协议明确双方权利义务;银行还应监督供应商的经营状况、财务状况、该供应商所具备之技术是否能与不断更新的技术保持一致以及是否具备良好的内部管理等等。[2]
除《监理手册》外,联邦金融机构审查理事会(FFIEC)于2000年11月的《外包技术服务风险管理指南》,OCC于2001年11月的《第三方关系:风险管理原则》,以及FFIEC于2003年8月的《电子银行业务:信息技术审查手册》等监管文件都就管理外包风险制订了专门规则。根据这些文件,要有效防范和控制外包风险,银行机构需要做到如下几点:其一,慎重选择合格的服务供应商,即要求银行在选择新的服务供应商时保持有效的合理谨慎,考虑其财务状况、经验、专业技能、技术兼容性以及客户满意度;其二,重视以书面合同形式明定各方权利、义务与责任,即要求银行与供应商签订书面合同,并在其中载明囊括保护银行数据的隐私与安全,银行对数据的所有权,审查安全与控制的权利,监测服务质量的能力,限制银行对服务供应商的行为可能承担的责任,以及终止合同等方面内容的具体条款;其三,依合理程序对供应商实施持续监测,即要求银行具备一套监测销售商的业绩表现、服务质量、安全控制、财务状况和守约情况的适当程序;其四,对包括事故反应与通知在内的报告和预测进行监测。[3]
新加坡的实践。在新加坡,对发展电子银行业务所带来的各种加重的风险,新加坡货币局(MAS)给予了高度重视。在MAS看来,更适当的做法应该是基于各银行具体情形和战略的不同采用以风险为本的监管方法(arisk-basedsupervisoryap-proach)。2003年6月,MAS了最新的《网上银行业务技术风险管理指引》,要求各银行切实遵行。该指引涵盖的内容十分全面,其中尤值一提的是,它为银行的外包活动及其管理确立了具体指南。MAS认为,银行将其有关经营操作外包给第三方并不会消除或减轻银行机构所承担的职责与责任。它强调,银行有责任确保其服务供应商的营业水平以及他们所提供的服务的可靠性与安全性达到银行网上银行业务所要求的水平。
针对如何管理外包风险的问题,该指引提出了以下三点具体要求:第一,要求银行董事会与高级管理层充分认识将其网上银行业务操作外包出去所产生的相关风险。具体说来,在将有关活动委托或承包给某个外部服务供应商之前,银行应当合理审慎地确定此种安排的可行性以及外包商的素质能力、可靠性、历史记录和财务状况等;并应以书面协议的形式细致和恰当地写明有关合同各方当事人的地位、关系、义务与责任的具体合同条件与条款。第二,要求银行遵守有关管制、审计或守法要求,切实实施审查或评估。具体而言,就是应当要求服务供应商向银行指定的所有当事方提供利用银行系统、业务、文件及设施的服务;不仅如此,银行与服务供应商还应在其所订协议中承认管制机关依《银行业法》所拥有的对服务供应商的地位、职责、义务、功能、系统和设施实施检查、监督或审查的权力。第三,要求银行和服务供应商遵守《银行业法》中关于银行业的保密要求。换言之,银行同服务供应商之间的合同与安全应当满足保护客户信息机密性的需要,也应符合所有现行法律法规的要求。
针对如何监测外包安排,该指引也做出了相应规定:其一,银行应要求服务供应商执行与其自身操作同样严格的安全政策、程序和控制;银行应定期审查和监测服务供应商的安全做法与程序,如定期取得有关服务供应商操作方面的安全充足性与守法性的专家报告;为监督服务供应商是否持续达到约定的服务水平以及其操作的可行性,还应设立一道监测服务供应商的服务提供、履约可靠性及加工处理能力的程序。其二,随着银行的外包关系日益复杂和重要以及其对外包关系的依赖性日益增强,为确保银行管理层不丢掉其保护银行核心操作与服务的职责,应当采取一种强有力的风险管理方法。
我国香港特区的实践。在香港,较为典型的银行业外包活动主要表现为将原本由认可机构自行提供的数据处理、客户服务(如热线中心)及后勤支援等业务项目外包给香港或海外的服务供应商。电子银行由于需要借助复杂的信息与网络技术,其所涉及的与技术有关的外包活动愈加普遍。面对银行业外包活动的日趋活跃,香港金融管理局(简称金管局)敏锐地洞察到其中潜藏的各种风险与问题,因而了一系列建议性文件,从不同角度提出了对外包活动尤其是外包风险实施监管的原则与指南。
2001年12月金管局制定的一份以《外判》为标题的文件可适用于所有认可机构的银行业外包活动,这份文件虽然并非专门针对电子银行,但其中载明的一般监管方法及有关技术外包的管控措施等均对电子银行的外包活动具有重要的参考价值。
在《外判》指引中,金管局对认可机构从事的外包活动表达了相当明确的监管态度,即只要认可机构的外包安排具备周详的计划和妥善的管理,且不会导致损害客户利益的情形发生,金管局就不会阻挠。[4]至于怎样才算是具备了“周详的计划”和“妥善的管理”,则须由认可机构在实施其外包计划之前事先同金管局进行商讨。通常,认可机构须使金管局确信其能够做到如下几个方面:第一,认可机构继续保留对外包业务的最终控制权,其董事会与管理层对外包出去的业务负有最终责任;第二,确保在推行外包计划前后对外包安排实施全面持续的风险评估,并对有关风险进行妥善处理;第三,确保选定服务供应商之前已对其进行严格调查,选定之后又具备持续监察服务供应商的适当管控措施;第四,确保签定的外包协议内容明确详尽,并对该协议进行定期审查和评估;第五,确保外包安排中有关客户资料的保密性;第六,确保具有有效的外包安排管控程序及应变计划;第七,确保审查与审计所必需之外包信息的取用不受影响;第八,确保对跨国外包活动中风险的可控性;等等。
除对一般外包活动确定指南外,金管局还通过后来的《科技风险管理的一般原则》和《电子银行的监管》确定了网上银行技术外包监管中需采取的一些特殊管控措施。例如,在选择适当的技术服务供应商时,应注意所选的供应商须具备足够的资源与专业知识,能够遵守认可机构信息技术管控政策的实质内容;而在将关键技术服务(如数据中心操作)外包的情况下,认可机构还应详细评估技术服务供应商的信息技术管理环境,且该评估最好由独立于服务供应商以外的一方做出,独立评估报告应清楚列明评估的目的、范围及结果,并提交金管局以供参考。
在同服务供应商签订外包协议时,金管局强调:首先,应清楚载明技术服务供应商的履行标准、明确有关软硬件的所有权及服务供应商须承担的其他责任。如技术服务供应商应确保其职员或人对取得的认可机构的信息严格保密,以及遵守认可机构有关信息技术的管控政策与程序等。其次,鉴于技术服务供应商可能进一步将有关服务分包给其他方负责,认可机构应考虑在协议中增加一项约定,即技术服务供应商对有关服务的重大部分实施分包时,必须向认可机构发出通知或获得后者的核准,而且此时原技术服务供应商仍须就分包出去的服务负责。
在外包安排存续期间,为了对外包活动实施持续充分的监管和控制,除进行定期监察外,认可机构还应进行年度评估,以确保重要的技术服务供应商受到充分的信息技术管控。不仅如此,为了避免因未能预见的技术服务供应商问题(如服务供应商财务状况恶化而无力偿债,或因其他困难而无法继续提供有关服务和支持等)而导致有关银行业服务无法使用,认可机构还应就已外包的关键技术服务制定必要的应变计划,包括制订退出管理计划及物色额外或候补的技术服务供应商等。[5]此外,为了防止外包风险过于集中,做出技术外包安排的认可机构应尽量避免过度依赖单一的外部服务供应商提供关键的技术服务。
在电子银行外包活动中,除技术外包外,认可机构还可能通过外聘技术服务供应商的方式来提供与技术有关的支持与服务。对于这些外聘活动所引发的风险和问题,金管局指出,“认可机构应制定有关如何管理各类主要外聘科技服务供应商的指引。”而此种指引也应包括拣选服务供应商的程序,核准重大例外情况的程序,以及避免过度依赖单一技术服务供应商提供关键技术服务等主要内容。重要国际组织确立的指导性原则。一些国际金融组织也就外包风险及其管理问题展开了有益探索,并提炼总结出了对各国金融监管当局均颇具参考价值的重要经验。例如,为了指导和协助银行等金融机构及其监管者们有效地解决外包问题以及防范和控制外包风险,由巴塞尔银行监管委员会、国际证券委员会组织、国际保险监管协会组成的联合论坛就于2005年2月共同了可普遍适用于银行、保险以及证券行业的受监管金融机构及外包服务商的题为《金融服务的外包》的最新指导性文件。[6]
该文件提出了9项高级原则:1、实施业务外包的受监管实体应具备一套全面的政策,以便对关于是否及如何适当开展外包活动的评估工作进行指导。董事会或相应机构不仅要对其外包政策负责,而且还要对根据该政策实施的活动承担有关责任;2、受监管实体应制订一套全面的外包风险管理计划,以管理外包活动及处理其同服务供应商的关系;3、受监管实体应确保有关外包安排不会削弱其向客户及监管者履行义务的能力以及不妨碍监管者的有效监管;4、受监管实体在选择第三方服务供应商时应保持合理审慎;5、应以书面合同确定外包关系,合同中应清楚载明外包安排的所有实质性问题,包括各方当事人的权利、义务与预期;6、受监管实体及其服务供应商应制订和保留包括灾难恢复计划和定期检测备份设施在内的应急计划;7、受监管实体应采取适当措施要求服务供应商保护受监管实体及其客户的机密信息,以防有关信息被有意无意地披露给未经授权者;8、监管者应将外包活动作为其持续评估受监管实体时的组成部分。监管者应通过适当方法使自己确信有关外包安排不会导致受监管实体无法满足其法定要求;9、监管者应认识到多个受监管实体将业务活动集中外包给少量服务供应商可能带来的潜在风险。概括说来,在这些关于金融服务外包活动的原则之中,前七项涉及的是实施外包的受监管实体的责任问题,后两项则涉及的是监管者的作用与职责问题。
国际经验对我国内地电子银行业务外包风险管理的启示
就我国内地电子银行发展的实践来看,外包活动尤其是技术外包已逐渐进入人们的视野。2002年,深圳发展银行和高阳公司签订了为期10年的灾难备援外包服务合同,成为内地首个银行IT系统外包合同。[7]前不久,国家开发银行又与惠普公司签订了首份战略性IT外包服务合同。[8]在我国,技术外包对那些不具备专业技术力量的中小银行具有相当大的吸引力,因为只要通过适当的外包安排,中小银行在电子银行业务领域占有一席之地的可能性就会大大提高。不仅如此,外包作为一种优化企业资源配置的战略也越来越得到银行业界的认同。可见,外包在内地具有良好的市场前景。
外包活动的日趋频繁及其带来的各种风险需要我国内地的银行业监管机构密切关注银行业的外包实践,制订和完善相应监管制度,将外包风险纳入电子银行业务的审慎监管框架。而诸如巴塞尔委员会的《电子银行业务风险管理原则》与《金融服务的外包》指南,美国货币监理署的《监理手册》及其它关于外包风险管理专门文件,以及香港金管局出台的《外判》、《科技风险管理的一般原则》及《电子银行的监管》等,对于我国内地有关监管制度的确立显然具有重大的启示意义。事实上,在我国内地电子银行业务监管法制的建设实践中,也的确充分借鉴和参考了这些重要文件中蕴含的国际经验与原则。
近些年来,我国内地相关部门因应电子银行业务实践的发展而不断制订和出台一系列监管规则,目前已然初步确立起了电子银行业务及其风险监管的整体框架。综观现行监管法律制度,大致由两个方面内容构成:一是那些可同样适用于新型电子银行业务的传统监管制度中的有关规定,主要指2004年2月1日起施行的《中华人民共和国中国人民银行法(修正案)》、《中华人民共和国商业银行法(修正案)》和《中华人民共和国银行业监督管理法》,以及经2006年11月11日修订后于同年12月11日正式施行的《外资银行管理条例》及其《实施细则》等;二是新制订的电子银行业务专门性监管规章,目前主要指由中国人民银行于2005年10月的《电子支付指引(第一号)》(简称《指引》),由中国银行业监督管理委员会(简称银监会)于2006年1月26日颁布并于2006年3月1日起施行的《电子银行业务管理办法》(简称《管理办法》)、《电子银行安全评估指引》(简称《评估指引》)以及《电子银行安全评估机构业务资格认定工作规程》(简称《工作规程》)等。
起初,我国银行监管部门中对于电子银行业务的外包风险并未给予足够重视,因而在中国人民银行2001年制订的《网上银行业务管理暂行办法》(简称《暂行办法》)之中尚未有所涉及。但随着电子银行业务外包实践的发展,外包风险的日渐突显,以及国际社会相关监管经验的不断丰富,2006年银监会制定的《管理办法》就弥补了过去《暂行办法》在这方面的缺憾和不足,专设一章规定了电子银行业务外包和选择外包方的基本要求以及对外包风险的管理原则,将外包风险真正纳入了电子银行审慎监管框架之中。
具体而言,对于因外包活动而产生的各种风险,《管理办法》所确立的防范与管理原则主要包括:其一,确定合理的外包及外包风险控制战略,即合理确定外包的原则与范围,评估外包风险,建立健全规章制度,制定风险防范措施,将外包风险纳入总体安全策略中;其二,谨慎选择外包服务供应商,即应尽职调查和充分审查、评估外包供应商的状况与能力;其三,签订书面合同,明晰双方权利义务,规定外包服务供应商的保密义务与责任;其四,建立完整的外包风险评估与监测程序,审慎管理外包风险;其五,建立针对外包风险的应急计划及保证外包服务的应急预案;其六,对涉及机密数据管理与传递环节的重大系统进行外包时应经过金融机构董事会或法人代表批准,并在外包前向中国银监会报告。
与《暂行办法》相比,这可以说是个重大进步,但其内容上的局限性仍然十分明显,原则性有余操作性不足的问题依然存在。对此,笔者认为,今后银监会应继续关注国际社会有关外包风险管理原则的最新发展,并结合本国电子银行业务外包实务的特点和需要适时推出更为详尽、全面的电子银行业务外包管理指南以及更具操作性的外包风险管理实施细则。
浅谈电子银行外包风险:电子银行业务外包的监管问题探讨
摘要:电子银行业务外包的出现,改变了银行业传统的经营方式与业务模式,在提高银行效率的同时也加大了银行的风险与监管的难度。针对电子银行业务外包制定相应的监管规范并构筑有效的外包监管体系势在必行。本文在借鉴和比较国内外电子银行业务外包监管模式的基础上,对我国电子银行业务外包监管体系的健全也作一探讨。
关键词:电子银行;外包;监管
近年来,在全球银行业兴起的电子银行业务(Electronic Banking Bussiness)大大改变了银行业的传统经营方式与业务模式,不仅银行效率得以提高,服务成本得以降低,而且商业银行也被赋予了许多新的特征,例如服务内容的开放性和服务对象的全球性,传统业务和网络技术的紧密结合,以及银行与外包第三方间的相互依存关系等。[1]虽然这些新特征并不必然带来新的风险,但其无疑会增加和改变传统银行业务实践中的风险结构。因此,各国银行监管机构纷纷采取了一系列措施以加强相应的专门监管,而其中对电子银行业务外包活动的监管则是各国共同关注的重点之一。
一、对电子银行业务外包的优势分析
外包(Outsourcing)是一个外来词,其基本含义就是将自己本可以做的一些事情委托给其他人去做。由于电子银行业务对信息技术及网络安全都有着极高要求,而这就意味着巨大的资金投入,因此在以最小成本追求最大收益的商业规则下,银行往往选择将电子银行业务中的软件开发、信息处理、硬件维护等部分或全部外包给更为专业的第三方公司去做。从经济学和管理学的角度来看,银行之所以倾向于选择电子银行业务外包通常是基于如下的考虑:
1.提升核心竞争力的需要。电子银行外包可以让商业银行转而注重自己的核心业务,专注核心竞争力的培育。据调查,美国有68%的信用卡业务都是通过非商业银行机构来实现,银行的核心竞争力主要体现在业务本身而非后台支持,因此银行没必要雇用大批的网络高手来维护网络,交给专门的网络公司去做就行了。
2.更好地控制成本,优化资源配置。根据管理学理论,优秀企业通过将价值链中的不同环节外包给更为专业的公司,从而节省资源获得规模经济。例如,根据美国Forrest调查公司的一项统计,美国企业依靠自身力量建立并维护一个Web网站,头年的费用是22万美元,而将此工作外包给网络公司仅需花费4.2万美元。
3.获得新技术和提高服务效率。IT技术的发展日新月异,而电子银行的技术外包不仅可以使银行内部技术人员获得更多接触新技术的机会,还可以使他们摆脱一些繁杂的日常事务,从而大大提高技术支持的响应速度与效率。四是发展战略和风险规避的考虑。在全球金融一体化发展的背景下,银行业的竞争日趋激烈,网络技术的运用更给传统的生活方式与商业模式带来了新的挑战与机遇,而通过与专业外包服务商的利益捆绑,银行可以围绕最新科技的发展趋势来发展各项新兴业务以抢占市场先机,并因此减少了很多系统维护管理和技术开发失败的风险。
二、电子银行业务外包的风险分析
电子银行业务外包在提升银行的核心竞争力的同时,也会给银行带来新的潜在风险,并且给传统的银行监管体系出了新的难题。撇开就业等社会问题不谈,从经济与法律角度分析,电子银行业务外包本身也蕴涵着许多隐患。
1.信誉风险。银行业最为核心的资产是信誉,而外包服务供应商提供的服务质量低下将会影响银行的信誉。例如由于IT外包供应商的原因?硬件设备出现故障维修不及时或软件系统存在漏洞等?致使银行客户受损(包括客户在业务操作方面的不便利以及在资金、机会方面的损失等),即使这完全是由于IT外包供应商的过错也同样会大大影响银行的社会形象与信誉。
2.技术风险。在技术选择上,银行必须选择一种技术解决方案来支撑电子银行业务的开展,因而当各种电子银行的解决方案纷纷出台时,商业银行选择与哪一家公司合作,采用哪一种解决方案都将是电子银行存在的一种潜在风险,一旦选择不当,将使银行面临巨大的机会损失与利益损失。同时由于核心技术由外包公司掌握,外包公司或其职员利用工作便利来从中获利的道德风险也不可不防。
3.法律风险。由于电子商务和网上银行在我国还处于起步阶段,尚没有形成完善的法律环境,再加上网络的无国界性与各国监管机制的差异性使得电子银行业务外包中存在着相当大的法律风险。例如,外包过程中银行客户的隐私权保护问题、商业秘密和技术专利的归属问题、跨国诉讼的司法管辖权问题等都可能对银行的审慎经营造成巨大冲击。
4.系统风险。银行业是一国金融发展的核心,其对风险管理有着更加严格的要求。由于某些IT核心技术的垄断,在IT外包行业也存在着若干寡头公司,因而可能产生某一国(地区)的多家银行过于集中依赖某些外包服务供应商的情况,一旦出现问题会造成连锁效应。另外从长远来看,过于依赖某些跨国公司的技术外包还可能不利于本土企业的技术创新,甚至可能威胁到国家的金融安全。
三、电子银行业务外包监管的域外经验
银行业是个对风险管理有着异常严格要求的行业,而电子银行业务的外包有可能把本属银行机构的风险、管理责任及合规要求转移给不受监管当局监管的第三方。在此情况下,银行机构如何有效控制外包带来的运营风险?监管机构如何确保外包供应商在外包过程中履行了其监管要求?为了解决这些问题,很多发达国家和地区的银行监管当局已经陆续对此作出反应,以监管报告、建议或指引方式将电子银行业务的外包活动纳入到其原有监管体系中。
1.美国。早在1990年1月,美联储就通过一份监管声明提醒金融机构注意订立电子数据处理(Electronic Digital Platforms,EDP)服务合同的潜在风险,美联储最为关注的问题是金融机构所签EDP服务合同中是否含有对其原有风险管理体系存在不利影响的条款,如责任免除条款等。而美联储纽约银行1995年的一封监管信函则明确了外包服务安排报告规则,即无论任何银行服务机构都应该在首次签署外包服务合同或者履行合同后的30天内向合适的联邦银行机构报告这种关系。
另外,联邦金融机构检查委员会(FFIEC)还了一系列旨在阐明银行管理IT外包风险方面职责的指引与公告,例如《FFIEC对外包技术服务的风险管理指引》(2000年)提出了由董事会负责外包引入和风险管理的原则;《FFIEC对技术服务商(TSP)监管手册》(2003年)概述了TSP风险的监管流程与方法;《IT外包技术服务检查手册》(2004年)为监管人员的审计检查提供了相应的程序指引。
2.香港。香港金融管理局(HKMA)2001年12月的《外判》对本地银行业的的外包活动表达了相当明确的监管态度,它虽然并非专门针对电子银行,但其中载明的一般监管方法及有关技术外包的管控措施等均对电子银行外包具有参考价值。在《外判》指引中金融管理局明确只要被监管机构的外包安排具备周详的计划和妥善的管理且不会有导致损害客户利益的情形发生,金融管理局就不会干涉。[2]
而所谓“周详的计划和妥善的管理”则包括了以系列的特殊管控措施。首先,在选择外包服务商时,银行应审查其是否具备足够的资源与专业知识,而在将关键技术?如数据中心操作?外包时,还应由独立第三方作出独立评估报告,报告将提交金融管理局备案。其次,在同外包服务商签订协议时,金融管理局强调应清楚载明外包服务商的履行标准和服务水平。再次,在外包安排存续期间,银行应对外包服务商实施持续充分的监控和制定有效的应急计划。最后,为了防止外包风险的过于集中,银行还应尽量避免过度依赖单一的外部服务商。
3.瑞士。1999年8月,瑞士联邦银行委员会(SFBC)了针对银行与证券公司的《外包指引》,允许金融机构在未经SFBC明确同意的情况下实施外包。但该指引规定外包必须得到董事会的同意方可实施,必须订立书面合同,并要求金融机构将外包业务纳入内控体系,外包合同必须明确允许SFBC、金融机构及其内外部审计机构对外包服务商进行必要的监控,同时某些核心管理职能是不允许外包的。
此外,伴随着国际金融一体化步伐的加快,各国监管者也逐渐意识到,外包所带来的风险往往是超越国境的。因此巴塞尔银行监管委员会于2003年先后了《电子银行风险管理原则》及《跨境电子银行业务的管理与监管》,为电子银行业务(包括外包)的监管提供了高级指导。巴塞尔银行监管委员会在综合各国监管经验的基础上,指出电子银行业务外包的风险控制首要原则是董事会和高级管理层应该对与电子银行业务的有关风险进行有效的管理和监督,通过建立全面和持续的尽职调查制度与监管程序来处理银行与外包第三方的相互关系。[3]
四、我国对电子银行业务外包监管的实践与法规建设
近年来,我国银行业的外包势头也发展迅猛,各大商业银行都相继开设了电子银行业务,其中四大商业银行都选择了自主开发核心技术与辅助业务外包相结合的道路,而光大银行、民生银行等股份制商业银行则选择将更多的信用卡业务、网络银行业务外包出去以降低运营成本。但在电子银行业务蓬勃发展的同时我国对其的监管还处于逐渐发展和不断探索中。目前我国电子银行业务监管事宜主要由银监会负责,关电子银行监管的法律框架也已初步确立,主要由《电子签名法》、《电子银行业务管理办法》、《电子银行安全评估指引》和《银行业信息资产风险监管暂行办法》等组成,而其中2005年颁布的《电子银行业务管理办法》是我国首次出现“外包管理”字眼的法律文本,其对电子银行业务外包的发展和监管可谓意义深远。
《电子银行业务管理办法》(以下简称《办法》)将网上银行、电话银行、手机银行及自助银行、ATM等均纳入电子银行业务范畴,扩大了对电子银行业务的监管范围,改变了长期以来部分电子银行业务监管无据的状况。[4]同时《办法》突出强调了电子银行系统的安全评估工作,要求金融机构聘请有资质的安全评估机构,至少每2年对电子银行进行一次全面的安全评估。而为了应对新兴的电子银行业务外包风险,《办法》还明确了许多具体的监管措施:(1)规定金融机构在选择电子银行业务外包服务供应商时,应充分审查、评估其经营状况、财务状况和实际风险控制与责任承担能力。(2)规定金融机构应当与外包服务供应商签订书面合同,明确双方的权利、义务。在合同中应明确规定外包服务供应商的保密义务和保密责任。(3)规定金融机构应建立针对电子银行业务外包风险的应急计划,并应制定在意外情况下能够实现外包服务供应商顺利变更,保证外包服务不间断的应急预案。(4)规定金融机构对电子银行业务处理系统、授权管理系统、数据备份系统等涉及机密数据管理与传递环节的系统进行外包时,应经过董事会或者法人代表批准,并应在外包实施前向银监会报告。
笔者认为,《办法》的上述规定已经吸收了很多国外监管的经验,并对我国银行业的发展情况有所考虑,它的出台既是我国监管当局在金融全球化趋势下对监管工作的一项适应性创新,也是一项有利于我国银行业在改制上市及发展过程中提高自身风险管理水平的重要举措。但是《办法》仍存在一些不足,诸如要求金融机构对第三方认证机构的可靠性和公信力进行保证并不尽合理。此外对金融机构的责任规定也过于严苛。
五、健全我国电子银行业务外包监管体系的思考
虽然我国已经对电子银行业务外包的监管制定了比较明确的规章,但是对电子银行业务的监管应该是一个完整的体
系,而且目前在我国的社会背景下,纸面上的法律要变为行动中的法律无疑还有较长的路要走。实践中由于信息技术的发展以及很多监管人员对于电子银行外包风险的认识不足,导致我国各地监管机构的监管理念和执法水平存在较大差异,所以笔者认为有必要进一步健全和完善我国有关电子银行业务外包的监管体系,以促进电子银行业务的良性发展。
1.在监管的价值取向上,银监会应该综合考虑监管的安全目标与金融机构的效率追求,实现金融安全与交易效率的平衡发展。银行是基于提升效益目的而实施外包的,因此监管当局不能仅仅为了监管的安全价值而不顾银行的效率价值。笔者认为,银监会应在谨慎基础上支持银行业更多的外包活动,这也是应对入世后更为激烈的银行竞争所必需的。当然银监会应始终坚持以下两个原则:第一,确保银行业外包活动处于银监会的有效监管之下;第二,确保银行机构合理制订外包计划和妥善处理外包风险。
2.银监会应进一步细化现有的电子银行业务外包监管规则。现有的外包监管规则总体而言仍偏于原则性,因而需要在既存原则框架之下尽快出台更具操作性的监管细则对监管人员的监管范围、权限和监管程序予以规范。此外,电子银行外包的实践是不断发展变化的,因而密切关注电子银行的最新发展动态,适当汲取国际上的先进经验,丰富电子银行业务外包风险管理的内容也极为必要。
3.监管部门还应加强有关客户金融信息隐私保护的力度。在电子银行业务外包活动中,最易遭到侵犯的客户合法权益就是客户的金融信息隐私权,例如2005年美国信用卡第三方服务商(Card systems SolutionsInc.)的系统被黑客侵入,造成包括MasterCard、VISA、American Expres在内高达4000多万信用卡用户的数据资料被窃,给银行和客户带来了巨大的损失。因此,监管当局应该尽快规范电子银行隐私政策,督促银行和外包商共同采取措施安全保障措施来防范此类风险。
总的来说,在构建与完善我国电子银行业务外包监管体系的过程中,银监会应当关注市场的新变化和电子银行实践中的新问题,充分征求市场各方主体意见和密切关注国内外最新研究成果的基础上适时出台明确的监管指引与清晰的操作规则,尽量减少监管的滞后或缺位。同时,银监会还应贯彻技术中立原则,为市场创新留下充足空间,在安全与效率之间,在规范性与灵活性之间寻求合理的平衡点。
浅谈电子银行外包风险:我国商业银行IT外包适用性分析
内容摘要:本文从美国银行业的发展经验和理论两个角度,并结合我国的实际情况分析得出:随着我国商业银行改制的深化以及经济的发展,我国银行的IT业务外包将是一种必然的趋势。
关键词:IT外包 美国银行业 我国商业银行
随着银行间竞争的加剧,以及新业务的层出不穷,银行需要更多的信息系统满足竞争和业务需要。对信息系统的需求越来越多,建设信息系统的投资越来越大,银行内部技术部门有效管理这些系统也越来越困难,银行不能通过无限制地增加对信息系统建设的投资,扩大内部信息技术部门的规模等方式解决上述问题。
就在人们越来越多地关注这个问题的时候,一种新的思路产生了,那就是IT外包。
自从1989年Kodak和IBM签定第一份外包合同以来,IT(Information Technology)外包开始在世界各地尤其是美国的《财富》500强公司中盛行,90年代开始,世界各国的银行纷纷采用外包这一金融电子化建设的新策略。例如我国银行业目前采用的IT外包方式,国家发展银行的网络服务外包和设备租债外包,都取得了长足发展。尽管银行业信息化发展运用外包已经成为一种必然的趋势,但是处于体制转轨和迅速发展中的我国商业银行,在选择外包策略时应该保持清醒的头脑,切不可盲目跟从。
IT外包的定义
IT外包是指外部供应方对使用方组织中与全部或特定IT设施组成部分相关的实物或人力资源予以重要支持。该定义中的IT设施是指“致力于以计算机为基础的系统的内部的人员和资源组织……不仅包括有形设备、员工和应用程序,也包括组织维持其提供系统服务所需的无形的组织、方法以及政策。”(Markus,M•L,1984),在这种外包情况下,供应方(vendor)可能为使用方(user)提供计算机资产,或者使用方的某些计算机资产的所有权可能转交给供应方,同样地,供应方可以使用自己公司的员工提供所需的服务也可以雇佣使用方现有的员工为使用方提供服务。IT设施的外包模式通常包括:应用程序开发(applications development)、数据中心(data center)、系统整合(systems intergration)、系统设计或规划(systems design/planning)、通讯或网络(telecommunications/network)以及时间共享(timesharing)。
计世资讯(目前我国IT产业权威市场调研和咨询机构)将IT外包服务定义为:企业战略性选择外部专业技术和服务资源,以替代内部部门和人员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。其内容主要包括:
维修维护外包。客户将现有软硬件在一定时期内的维修维护工作以合同形式整体交由外包商进行操作管理,并以精度、时间、效率等大量指标对外包商的服务能力和服务质量进行详细的限定与评估。
IT系统外包。IT系统外包服务涉及长期的合同安排,其中服务提供商拥有管理所有(或部分)的客户IT系统操作,并拥有基于协议的部分所有权和责任。IT系统外包合同一般包括数据中心操作和包括诸如桌面管理、局域和广域网网络操作管理、帮助软件支持、应用软件开发和维护以及有关的咨询、系统集成活动等服务。
应用服务外包。用户将套装(或定制)IT系统的部署、管理和改进以合同的形式转交给外部服务提供商。主要包括与管理系统应用或套装应用软件有关的全部专门活动和技能。合同的服务级别协议设为应用级别,内容包括负责应用程序的部署、管理和改进。
从美国的发展经验看商业银行IT外包
美国的银行业在1984-1993这十年间发生了巨大的动荡,1985-1991年间许多银行倒闭。1984年,美国的银行总数高达15126家,随着许多银行的倒闭和收购合并,美国商业银行总数于1996年底降至9490家,许多资产在1亿美元以下的微型银行倒闭,商业银行的效率和生产力普遍下降。主要原因是单纯技术以及技术规模的变化,尤其是计算机技术和通讯技术的迅速提高,无论是大型商业银行还是小型银行都无法进行积极的技术改进。1994年9月,美国通过了《州际银行法》(the Riegle-Neal Interstate Banking and Branching Efficiency Act),允许商业银行自1997年6月1日起跨州经营金融业务设立分支机构,这一法案打破了70年以来单一银行制度的限制。在此之前,美国银行经营支行的能力受到了严格的限制,几乎所有的银行都被限制经营跨州支行网络,在一些州禁止设立任何支行。在美国历史上,该法案第一次真正地允许美国银行从事跨州经营金融业务,至此,美国的银行系统从小型银行向大型银行迅速过渡。到1995年,颁布《金融服务竞争法》,允许美国商业银行分支机构介入证券业务,自此,对于资产在150亿美元以下的银行来说,规模和收益率之间的关系彻底改变了,开始成正相关。1999年,美国通过了《金融现代化法案》,废除了1993年《格拉斯——斯第格尔法》关于银行业、证券业、保险业分业经营分业管理的限制。允许银行扩展所有的金融服务。过去的银行持股公司也改名为金融持股公司(financial holding Companies)。在《金融现代化法》生效以后,2000年3月13日,美联储批准了116家银行持股公司转换为金融持股公司。银行可以以金融持股公司的名义从事保险、证券发行和风险投资等业务。
1994年之后,美国银行发展的主要特征有:
总分行制代替了单一银行制,形成了遍及全美的银行网络,银行数目不断减少;全能制银行代替分业制银行,银行业走向了综合化的道路;以金融控股公司的形式向所有的银行客户提供不同的金融产品和全面的金融服务;电子银行、网络银行迅速发展,金融服务的效率不断提高;金融机构的资产负债结构发生变化,传统的以存贷款为主的业务发展为新金融服务;银行机构的收入从传统的存贷款利差收入为主变为以各项金融服务费用收入为主;资产进一步证券化,金融机构的股票本位形成了对证券市场的过分依赖;银行机构的兼并形成浪潮;在现代科技支持下,金融服务的手段不断现代化,规模经济的形成以及市场需求量的增加迫使银行努力开发集约化和技术含量较高的经营和管理手段。
目前,我国的银行业正处于改制转型时期,随着银行股份制的深化,银行的经营管制也相对放松,各家商业银行逐渐走上了自负盈亏的道路,提高效率、降低成本被提上了日程,所以从美国的经验来看,商业银行业必须要提高核心竞争力,寻求开发集约化和技术含量较高的经营和管理手段,IT外包将是大势所趋。
从理论基础层面看商业银行IT外包
Loh Venkatraman的实证研究表明IT外包的程度和经营成本以及IT成本正相关,和IT业绩负相关。Teng,Cheon和Grover的研究证实了这一观点,并指出IT业绩的实际水平和期望水平之间的差距是IT外包的一个主要决定因素。同时实证的证据表明一家银行适应政策的程度取决于政策本身的影响以及银行的相对实力。最近,源自心理学的TAM理论(Technology Acceptance model)表明有用性的认知和易用性的认知对外包决策的经济因素具有影响。,同时Madhu•T•Rao(2004)研究表明关于技术转移、知识产权和版权的制度法规、隐私方面的法律等也会影响外包关系的成功。
随着商业银行竞争的日益白热化,降低成本和提高金融服务效率的压力不断增加,同时现代技术的运用在银行中起到越来越重要的作用,经营范围的扩展对IT开发的质量和速度的要求也越来越高,无论从经营成本和IT成本还是从IT业绩上来说,外包都是最佳的选择。
在北美,率先开始将各种业务进行外包的是中小规模的银行,据调查,美国有68%的信用卡业务都是通过非商业银行机构来实现的,此举可以为银行减少15%-25%的成本。呼叫中心等业务流程外包(BPO)使他们的人力成本降低85%之多。
国内商业银行IT外包情况分析
银行业是我国较早建设并使用电子技术处理业务的行业,国内各家商业银行都拥有自己的业务处理信息系统。与其他行业相比,银行使用的信息系统具有安全性高、精确性强、建设成本高、维护成本重等特点。出于安全性、可靠性的考虑,国内商业银行通常都自行开发核心业务系统,因此各商业银行无一例外都具有独立开发能力的技术力量。
根据银行规模的不同和所使用系统复杂的不同,银行内部技术队伍的规模也不尽相同。大型国内银行的科技部门有上百人,而小型商业银行则通常只有一支几十人的开发队伍,但是几乎所有的开发队伍拥有核心业务系统的开发能力。
一直以来IT外包情况分析,国内商业银行从核心业务到IT采购、人力资源管理、后勤保障等业务几乎全部由自己承担,而外包可以提高银行的管理效率,使其关注核心业务,从这种意义上来说,IT业务外包是我国商业银行战略选择的一种趋势,但就目前来看:
在我国IT企业普遍的工资水平和外面是一个倒挂平台,比外边高,也没有规模效益,不存在成本优势。所以尽管有IT外包的需求但是由于IT市场还不够成熟,所以无法实现降低成本、提高效率的目的。
目前我国信息技术应用水平普遍不高,信息技术产品市场也不规范,相应的业务外包市场尚未建立起来。
目前我国的信用机制尚未形成,与之相关的法律、法规不完善。同时银行是高负债、高风险经营的企业,信息安全性占有十分重要的地位,所以在目前情况下,外包的安全性堪忧。
从自身实力来看,中小商业银行和国有商业银行在IT人员、IT技术实力、IT系统营运管理以及后勤维护上都有很大差别。国有银行由于原先受到国家财政支持,所以拥有较为强大的IT实力,而中小商业银行在这方面发展较不完善,因为资金有限,也无法大量投入资金于IT方面的开发和完善。
由以上四点,结合IT外包的影响因素理论可以得出:四大国有银行应该继续以自主开发为主,同时顺应发展趋势,积极探索外包开发的新途径。比如采用系统维修维护外包和IT技术开发外包这些短期合作的外包形式,这样既可以提高本身的效率,也可以随时更新IT系统。中小商业银行由于其实力有限,应当分析自身情况,区分业务性质,确定外包范围,积极采用普通业务处理系统外包,如ATM业务外包、呼叫中心外包等,不仅能减少信息系统投入,而且缩短开发周期,使系统更快见到效益。
