淺談電子銀行外包風險

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了一篇淺談電子銀行外包風險范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

淺談電子銀行外包風險:管理和控制電子銀行外包風險

電子銀行業務系統的成功運轉需要大量硬件設施與軟件程序的支持，這些硬件與軟件如果要完全依靠銀行機構的內部力量進行研究和開發，無疑需要銀行投入巨額的開發與維護資金，并引進大量的技術人員。除少數大型銀行機構外，大多數銀行并不具備如此強大的資金與技術實力。不僅如此，這種占據銀行機構內部大量資源的做法還可能造成銀行精力的分散，使之無法集中于核心業務的經營與處理之上，從而阻礙其服務品質的提高。有鑒于此，許多銀行為了控制成本，獲取必要的專業技術支持，擴展客戶產品的營銷渠道以及改善服務質量，往往會選擇將原本由銀行內部實現的一部分網上銀行業務功能外包給一個或多個技術服務供應商（TSPs），如硬件軟件銷售商、電信公司、專家公司和其他支持性經營者等，利用這些外包商所提供的服務來支持網上銀行業務系統的運轉?？梢?，通過尋求外部支持已成為許多銀行機構節約成本、提高其核心競爭力的一項重大戰略選擇。也正因為如此，伴隨著電子銀行業務的興起和蓬勃發展，與之相關的外包活動也日益頻繁起來。

盡管外包關系的建立具有一定的經濟合理性與必要性，但它給銀行機構帶來的各種特殊風險依然不可小覷，而在互聯網環境下，這些風險更是呈現出加重和擴大的趨勢。

總體看來，外包關系所帶來的風險大多源于兩個方面：一是銀行的規劃不合理或監督與控制不力；二是第三方外包商的執行或服務不達標。

就銀行而言，在做出網上銀行業務之提供是否需要借助外部第三方力量的決定之前，若沒有進行充分的風險評估、成本收益分析、目標兼容性調查及合法性與可行性研究，若未能采用針對第三方外包活動的適當風險管理機制與監督措施，若尚不具備實施監督所必需的足夠的專業技術能力與經驗，則極容易產生戰略性風險。

而從外包商的角度看，這些提供技術支持與服務的供應商或銷售商在網上銀行業務活動中通常是作為第三方出現的，不受管制的他們對網上銀行業務活動的介入無疑會對銀行機構的整體風險狀況產生重大影響，給銀行機構帶來額外的不穩定因素。例如，銀行可能由于外包商的不當或不法行為，如提供劣質服務、發生服務中斷、實施不適當推銷、違反信息安全操作規程、違反客戶隱私保護政策、違反消費者保護法等而被迫陷入訴訟，不但法律風險陡增，還可能遭受財產與信譽損失。尤其是當外包安排中需要外包商的職員直接同銀行客戶打交道時，銀行因外包商的產品或服務不符合銀行所制訂的政策與標準而遭到信譽損失的可能性更可能大大增加。為此，銀行對外包商所提供之產品與服務的品質與適當性進行密切監測實為必要。

電子銀行業務中日益突出的外包風險較之傳統銀行業務環境下更加突出、復雜和嚴重，更易迅速傳遞和擴散，對銀行機構的安全與穩健也具有更深刻的影響和更大的破壞性。在電子銀行業務最為發達的美國，2001年就曾發生這樣一起因外包安排而致使銀行遭受風險的案例。當時，雖然只是一家美國的主機公司（hostingcompany）受到黑客襲擊，但卻有超過300家銀行因此而受到損害。[1]電子銀行業務環境下外包風險的巨大沖擊力可見一斑。

如果銀行機構所利用的服務供應商位于另一個國家，則可能帶來更為復雜的跨境外包風險。這種因利用外國服務供應商而造成的風險既可能是因外國外包商不受銀行機構及其監管機關有效監控而產生的操作風險，也可能是因有關外包活動違反他國法律法規而引發的法律風險，甚至還可能是因外包商所在國的經濟、社會或政治等因素致使其無法履約而帶來的國家風險等。

有鑒于此，關注第三方或外包商所帶來的各種風險，尤其是其中的戰略風險、操作風險、法律風險與信譽風險，重新評價現有銀行業管制框架的有效性，并在第三方介入有關服務提供的情況下采取相應措施對外包關系及其風險加以有效管理十分必要。

電子銀行業務外包風險管理的國際經驗

為應對日益突出的電子銀行業務外包風險，有關國家與地區的監管當局以及一些重要的國際金融組織都紛紛著手研究外包活動及其風險的特殊性，探索對其實施有效管理與監控的基本原則與方法。企業家天地2011年第11期中旬刊管理Management有關國家和地區監管當局確立的主要原則與方法。

美國的實踐。以美國為例，在美國的電子銀行業務發展實踐中，大多數銀行都不愿自己進行技術設計和網絡系統的安裝與維護，而是選擇將這些工作外包出去。由于大量外包活動所帶來的風險很可能危及銀行機構的整體安全與穩健，負責銀行業機構監管的各個監管機構都意識到了這一問題的嚴重性，因而在對各種電子銀行業務風險進行監管時特別重視外包風險的管理和控制。

這些美國銀行監管機構曾在多部監管文件中確立了有關電子銀行外包風險管理的指南。例如，貨幣監理署（簡稱OCC）于1999年的《網上銀行業務———監理手冊》（簡稱《監理手冊》）就曾概括性地強調，銀行機構應加強對網上銀行業務外包之相關風險的控制。它明確要求：銀行應定期對其技術支持來源進行重新評估；應將技術提供者的技術服務同銀行自身戰略計劃程序相結合；銀行機構在選擇合作之供應商時應謹慎行事，事前簽定正式協議明確雙方權利義務；銀行還應監督供應商的經營狀況、財務狀況、該供應商所具備之技術是否能與不斷更新的技術保持一致以及是否具備良好的內部管理等等。[2]

除《監理手冊》外，聯邦金融機構審查理事會（FFIEC）于2000年11月的《外包技術服務風險管理指南》，OCC于2001年11月的《第三方關系：風險管理原則》，以及FFIEC于2003年8月的《電子銀行業務：信息技術審查手冊》等監管文件都就管理外包風險制訂了專門規則。根據這些文件，要有效防范和控制外包風險，銀行機構需要做到如下幾點：其一，慎重選擇合格的服務供應商，即要求銀行在選擇新的服務供應商時保持有效的合理謹慎，考慮其財務狀況、經驗、專業技能、技術兼容性以及客戶滿意度；其二，重視以書面合同形式明定各方權利、義務與責任，即要求銀行與供應商簽訂書面合同，并在其中載明囊括保護銀行數據的隱私與安全，銀行對數據的所有權，審查安全與控制的權利，監測服務質量的能力，限制銀行對服務供應商的行為可能承擔的責任，以及終止合同等方面內容的具體條款；其三，依合理程序對供應商實施持續監測，即要求銀行具備一套監測銷售商的業績表現、服務質量、安全控制、財務狀況和守約情況的適當程序；其四，對包括事故反應與通知在內的報告和預測進行監測。[3]

新加坡的實踐。在新加坡，對發展電子銀行業務所帶來的各種加重的風險，新加坡貨幣局（MAS）給予了高度重視。在MAS看來，更適當的做法應該是基于各銀行具體情形和戰略的不同采用以風險為本的監管方法（arisk-basedsupervisoryap-proach）。2003年6月，MAS了最新的《網上銀行業務技術風險管理指引》，要求各銀行切實遵行。該指引涵蓋的內容十分全面，其中尤值一提的是，它為銀行的外包活動及其管理確立了具體指南。MAS認為，銀行將其有關經營操作外包給第三方并不會消除或減輕銀行機構所承擔的職責與責任。它強調，銀行有責任確保其服務供應商的營業水平以及他們所提供的服務的可靠性與安全性達到銀行網上銀行業務所要求的水平。

針對如何管理外包風險的問題，該指引提出了以下三點具體要求：第一，要求銀行董事會與高級管理層充分認識將其網上銀行業務操作外包出去所產生的相關風險。具體說來，在將有關活動委托或承包給某個外部服務供應商之前，銀行應當合理審慎地確定此種安排的可行性以及外包商的素質能力、可靠性、歷史記錄和財務狀況等；并應以書面協議的形式細致和恰當地寫明有關合同各方當事人的地位、關系、義務與責任的具體合同條件與條款。第二，要求銀行遵守有關管制、審計或守法要求，切實實施審查或評估。具體而言，就是應當要求服務供應商向銀行指定的所有當事方提供利用銀行系統、業務、文件及設施的服務；不僅如此，銀行與服務供應商還應在其所訂協議中承認管制機關依《銀行業法》所擁有的對服務供應商的地位、職責、義務、功能、系統和設施實施檢查、監督或審查的權力。第三，要求銀行和服務供應商遵守《銀行業法》中關于銀行業的保密要求。換言之，銀行同服務供應商之間的合同與安全應當滿足保護客戶信息機密性的需要，也應符合所有現行法律法規的要求。

針對如何監測外包安排，該指引也做出了相應規定：其一，銀行應要求服務供應商執行與其自身操作同樣嚴格的安全政策、程序和控制；銀行應定期審查和監測服務供應商的安全做法與程序，如定期取得有關服務供應商操作方面的安全充足性與守法性的專家報告；為監督服務供應商是否持續達到約定的服務水平以及其操作的可行性，還應設立一道監測服務供應商的服務提供、履約可靠性及加工處理能力的程序。其二，隨著銀行的外包關系日益復雜和重要以及其對外包關系的依賴性日益增強，為確保銀行管理層不丟掉其保護銀行核心操作與服務的職責，應當采取一種強有力的風險管理方法。

我國香港特區的實踐。在香港，較為典型的銀行業外包活動主要表現為將原本由認可機構自行提供的數據處理、客戶服務（如熱線中心）及后勤支援等業務項目外包給香港或海外的服務供應商。電子銀行由于需要借助復雜的信息與網絡技術，其所涉及的與技術有關的外包活動愈加普遍。面對銀行業外包活動的日趨活躍，香港金融管理局（簡稱金管局）敏銳地洞察到其中潛藏的各種風險與問題，因而了一系列建議性文件，從不同角度提出了對外包活動尤其是外包風險實施監管的原則與指南。

2001年12月金管局制定的一份以《外判》為標題的文件可適用于所有認可機構的銀行業外包活動，這份文件雖然并非專門針對電子銀行，但其中載明的一般監管方法及有關技術外包的管控措施等均對電子銀行的外包活動具有重要的參考價值。

在《外判》指引中，金管局對認可機構從事的外包活動表達了相當明確的監管態度，即只要認可機構的外包安排具備周詳的計劃和妥善的管理，且不會導致損害客戶利益的情形發生，金管局就不會阻撓。[4]至于怎樣才算是具備了“周詳的計劃”和“妥善的管理”，則須由認可機構在實施其外包計劃之前事先同金管局進行商討。通常，認可機構須使金管局確信其能夠做到如下幾個方面：第一，認可機構繼續保留對外包業務的最終控制權，其董事會與管理層對外包出去的業務負有最終責任；第二，確保在推行外包計劃前后對外包安排實施全面持續的風險評估，并對有關風險進行妥善處理；第三，確保選定服務供應商之前已對其進行嚴格調查，選定之后又具備持續監察服務供應商的適當管控措施；第四，確保簽定的外包協議內容明確詳盡，并對該協議進行定期審查和評估；第五，確保外包安排中有關客戶資料的保密性；第六，確保具有有效的外包安排管控程序及應變計劃；第七，確保審查與審計所必需之外包信息的取用不受影響；第八，確保對跨國外包活動中風險的可控性；等等。

除對一般外包活動確定指南外，金管局還通過后來的《科技風險管理的一般原則》和《電子銀行的監管》確定了網上銀行技術外包監管中需采取的一些特殊管控措施。例如，在選擇適當的技術服務供應商時，應注意所選的供應商須具備足夠的資源與專業知識，能夠遵守認可機構信息技術管控政策的實質內容；而在將關鍵技術服務（如數據中心操作）外包的情況下，認可機構還應詳細評估技術服務供應商的信息技術管理環境，且該評估最好由獨立于服務供應商以外的一方做出，獨立評估報告應清楚列明評估的目的、范圍及結果，并提交金管局以供參考。

在同服務供應商簽訂外包協議時，金管局強調：首先，應清楚載明技術服務供應商的履行標準、明確有關軟硬件的所有權及服務供應商須承擔的其他責任。如技術服務供應商應確保其職員或人對取得的認可機構的信息嚴格保密，以及遵守認可機構有關信息技術的管控政策與程序等。其次，鑒于技術服務供應商可能進一步將有關服務分包給其他方負責，認可機構應考慮在協議中增加一項約定，即技術服務供應商對有關服務的重大部分實施分包時，必須向認可機構發出通知或獲得后者的核準，而且此時原技術服務供應商仍須就分包出去的服務負責。

在外包安排存續期間，為了對外包活動實施持續充分的監管和控制，除進行定期監察外，認可機構還應進行年度評估，以確保重要的技術服務供應商受到充分的信息技術管控。不僅如此，為了避免因未能預見的技術服務供應商問題（如服務供應商財務狀況惡化而無力償債，或因其他困難而無法繼續提供有關服務和支持等）而導致有關銀行業服務無法使用，認可機構還應就已外包的關鍵技術服務制定必要的應變計劃，包括制訂退出管理計劃及物色額外或候補的技術服務供應商等。[5]此外，為了防止外包風險過于集中，做出技術外包安排的認可機構應盡量避免過度依賴單一的外部服務供應商提供關鍵的技術服務。

在電子銀行外包活動中，除技術外包外，認可機構還可能通過外聘技術服務供應商的方式來提供與技術有關的支持與服務。對于這些外聘活動所引發的風險和問題，金管局指出，“認可機構應制定有關如何管理各類主要外聘科技服務供應商的指引?！倍朔N指引也應包括揀選服務供應商的程序，核準重大例外情況的程序，以及避免過度依賴單一技術服務供應商提供關鍵技術服務等主要內容。重要國際組織確立的指導性原則。一些國際金融組織也就外包風險及其管理問題展開了有益探索，并提煉總結出了對各國金融監管當局均頗具參考價值的重要經驗。例如，為了指導和協助銀行等金融機構及其監管者們有效地解決外包問題以及防范和控制外包風險，由巴塞爾銀行監管委員會、國際證券委員會組織、國際保險監管協會組成的聯合論壇就于2005年2月共同了可普遍適用于銀行、保險以及證券行業的受監管金融機構及外包服務商的題為《金融服務的外包》的最新指導性文件。[6]

該文件提出了9項高級原則：1、實施業務外包的受監管實體應具備一套全面的政策，以便對關于是否及如何適當開展外包活動的評估工作進行指導。董事會或相應機構不僅要對其外包政策負責，而且還要對根據該政策實施的活動承擔有關責任；2、受監管實體應制訂一套全面的外包風險管理計劃，以管理外包活動及處理其同服務供應商的關系；3、受監管實體應確保有關外包安排不會削弱其向客戶及監管者履行義務的能力以及不妨礙監管者的有效監管；4、受監管實體在選擇第三方服務供應商時應保持合理審慎；5、應以書面合同確定外包關系，合同中應清楚載明外包安排的所有實質性問題，包括各方當事人的權利、義務與預期；6、受監管實體及其服務供應商應制訂和保留包括災難恢復計劃和定期檢測備份設施在內的應急計劃；7、受監管實體應采取適當措施要求服務供應商保護受監管實體及其客戶的機密信息，以防有關信息被有意無意地披露給未經授權者；8、監管者應將外包活動作為其持續評估受監管實體時的組成部分。監管者應通過適當方法使自己確信有關外包安排不會導致受監管實體無法滿足其法定要求；9、監管者應認識到多個受監管實體將業務活動集中外包給少量服務供應商可能帶來的潛在風險。概括說來，在這些關于金融服務外包活動的原則之中，前七項涉及的是實施外包的受監管實體的責任問題，后兩項則涉及的是監管者的作用與職責問題。

國際經驗對我國內地電子銀行業務外包風險管理的啟示

就我國內地電子銀行發展的實踐來看，外包活動尤其是技術外包已逐漸進入人們的視野。2002年，深圳發展銀行和高陽公司簽訂了為期10年的災難備援外包服務合同，成為內地首個銀行IT系統外包合同。[7]前不久，國家開發銀行又與惠普公司簽訂了首份戰略性IT外包服務合同。[8]在我國，技術外包對那些不具備專業技術力量的中小銀行具有相當大的吸引力，因為只要通過適當的外包安排，中小銀行在電子銀行業務領域占有一席之地的可能性就會大大提高。不僅如此，外包作為一種優化企業資源配置的戰略也越來越得到銀行業界的認同?？梢?，外包在內地具有良好的市場前景。

外包活動的日趨頻繁及其帶來的各種風險需要我國內地的銀行業監管機構密切關注銀行業的外包實踐，制訂和完善相應監管制度，將外包風險納入電子銀行業務的審慎監管框架。而諸如巴塞爾委員會的《電子銀行業務風險管理原則》與《金融服務的外包》指南，美國貨幣監理署的《監理手冊》及其它關于外包風險管理專門文件，以及香港金管局出臺的《外判》、《科技風險管理的一般原則》及《電子銀行的監管》等，對于我國內地有關監管制度的確立顯然具有重大的啟示意義。事實上，在我國內地電子銀行業務監管法制的建設實踐中，也的確充分借鑒和參考了這些重要文件中蘊含的國際經驗與原則。

近些年來，我國內地相關部門因應電子銀行業務實踐的發展而不斷制訂和出臺一系列監管規則，目前已然初步確立起了電子銀行業務及其風險監管的整體框架。綜觀現行監管法律制度，大致由兩個方面內容構成：一是那些可同樣適用于新型電子銀行業務的傳統監管制度中的有關規定，主要指2004年2月1日起施行的《中華人民共和國中國人民銀行法（修正案）》、《中華人民共和國商業銀行法（修正案）》和《中華人民共和國銀行業監督管理法》，以及經2006年11月11日修訂后于同年12月11日正式施行的《外資銀行管理條例》及其《實施細則》等；二是新制訂的電子銀行業務專門性監管規章，目前主要指由中國人民銀行于2005年10月的《電子支付指引（第一號）》（簡稱《指引》），由中國銀行業監督管理委員會（簡稱銀監會）于2006年1月26日頒布并于2006年3月1日起施行的《電子銀行業務管理辦法》（簡稱《管理辦法》）、《電子銀行安全評估指引》（簡稱《評估指引》）以及《電子銀行安全評估機構業務資格認定工作規程》（簡稱《工作規程》）等。

起初，我國銀行監管部門中對于電子銀行業務的外包風險并未給予足夠重視，因而在中國人民銀行2001年制訂的《網上銀行業務管理暫行辦法》（簡稱《暫行辦法》）之中尚未有所涉及。但隨著電子銀行業務外包實踐的發展，外包風險的日漸突顯，以及國際社會相關監管經驗的不斷豐富，2006年銀監會制定的《管理辦法》就彌補了過去《暫行辦法》在這方面的缺憾和不足，專設一章規定了電子銀行業務外包和選擇外包方的基本要求以及對外包風險的管理原則，將外包風險真正納入了電子銀行審慎監管框架之中。

具體而言，對于因外包活動而產生的各種風險，《管理辦法》所確立的防范與管理原則主要包括：其一，確定合理的外包及外包風險控制戰略，即合理確定外包的原則與范圍，評估外包風險，建立健全規章制度，制定風險防范措施，將外包風險納入總體安全策略中；其二，謹慎選擇外包服務供應商，即應盡職調查和充分審查、評估外包供應商的狀況與能力；其三，簽訂書面合同，明晰雙方權利義務，規定外包服務供應商的保密義務與責任；其四，建立完整的外包風險評估與監測程序，審慎管理外包風險；其五，建立針對外包風險的應急計劃及保證外包服務的應急預案；其六，對涉及機密數據管理與傳遞環節的重大系統進行外包時應經過金融機構董事會或法人代表批準，并在外包前向中國銀監會報告。

與《暫行辦法》相比，這可以說是個重大進步，但其內容上的局限性仍然十分明顯，原則性有余操作性不足的問題依然存在。對此，筆者認為，今后銀監會應繼續關注國際社會有關外包風險管理原則的最新發展，并結合本國電子銀行業務外包實務的特點和需要適時推出更為詳盡、全面的電子銀行業務外包管理指南以及更具操作性的外包風險管理實施細則。

淺談電子銀行外包風險:電子銀行業務外包的監管問題探討

摘要:電子銀行業務外包的出現,改變了銀行業傳統的經營方式與業務模式,在提高銀行效率的同時也加大了銀行的風險與監管的難度。針對電子銀行業務外包制定相應的監管規范并構筑有效的外包監管體系勢在必行。本文在借鑒和比較國內外電子銀行業務外包監管模式的基礎上,對我國電子銀行業務外包監管體系的健全也作一探討。

關鍵詞:電子銀行;外包;監管

近年來,在全球銀行業興起的電子銀行業務(Electronic Banking Bussiness)大大改變了銀行業的傳統經營方式與業務模式,不僅銀行效率得以提高,服務成本得以降低,而且商業銀行也被賦予了許多新的特征,例如服務內容的開放性和服務對象的全球性,傳統業務和網絡技術的緊密結合,以及銀行與外包第三方間的相互依存關系等。[1]雖然這些新特征并不必然帶來新的風險,但其無疑會增加和改變傳統銀行業務實踐中的風險結構。因此,各國銀行監管機構紛紛采取了一系列措施以加強相應的專門監管,而其中對電子銀行業務外包活動的監管則是各國共同關注的重點之一。

一、對電子銀行業務外包的優勢分析

外包(Outsourcing)是一個外來詞,其基本含義就是將自己本可以做的一些事情委托給其他人去做。由于電子銀行業務對信息技術及網絡安全都有著極高要求,而這就意味著巨大的資金投入,因此在以最小成本追求最大收益的商業規則下,銀行往往選擇將電子銀行業務中的軟件開發、信息處理、硬件維護等部分或全部外包給更為專業的第三方公司去做。從經濟學和管理學的角度來看,銀行之所以傾向于選擇電子銀行業務外包通常是基于如下的考慮:

1.提升核心競爭力的需要。電子銀行外包可以讓商業銀行轉而注重自己的核心業務,專注核心競爭力的培育。據調查,美國有68%的信用卡業務都是通過非商業銀行機構來實現,銀行的核心競爭力主要體現在業務本身而非后臺支持,因此銀行沒必要雇用大批的網絡高手來維護網絡,交給專門的網絡公司去做就行了。

2.更好地控制成本,優化資源配置。根據管理學理論,優秀企業通過將價值鏈中的不同環節外包給更為專業的公司,從而節省資源獲得規模經濟。例如,根據美國Forrest調查公司的一項統計,美國企業依靠自身力量建立并維護一個Web網站,頭年的費用是22萬美元,而將此工作外包給網絡公司僅需花費4.2萬美元。

3.獲得新技術和提高服務效率。IT技術的發展日新月異,而電子銀行的技術外包不僅可以使銀行內部技術人員獲得更多接觸新技術的機會,還可以使他們擺脫一些繁雜的日常事務,從而大大提高技術支持的響應速度與效率。四是發展戰略和風險規避的考慮。在全球金融一體化發展的背景下,銀行業的競爭日趨激烈,網絡技術的運用更給傳統的生活方式與商業模式帶來了新的挑戰與機遇,而通過與專業外包服務商的利益捆綁,銀行可以圍繞最新科技的發展趨勢來發展各項新興業務以搶占市場先機,并因此減少了很多系統維護管理和技術開發失敗的風險。

二、電子銀行業務外包的風險分析

電子銀行業務外包在提升銀行的核心競爭力的同時,也會給銀行帶來新的潛在風險,并且給傳統的銀行監管體系出了新的難題。撇開就業等社會問題不談,從經濟與法律角度分析,電子銀行業務外包本身也蘊涵著許多隱患。

1.信譽風險。銀行業最為核心的資產是信譽,而外包服務供應商提供的服務質量低下將會影響銀行的信譽。例如由于IT外包供應商的原因?硬件設備出現故障維修不及時或軟件系統存在漏洞等?致使銀行客戶受損(包括客戶在業務操作方面的不便利以及在資金、機會方面的損失等),即使這完全是由于IT外包供應商的過錯也同樣會大大影響銀行的社會形象與信譽。

2.技術風險。在技術選擇上,銀行必須選擇一種技術解決方案來支撐電子銀行業務的開展,因而當各種電子銀行的解決方案紛紛出臺時,商業銀行選擇與哪一家公司合作,采用哪一種解決方案都將是電子銀行存在的一種潛在風險,一旦選擇不當,將使銀行面臨巨大的機會損失與利益損失。同時由于核心技術由外包公司掌握,外包公司或其職員利用工作便利來從中獲利的道德風險也不可不防。

3.法律風險。由于電子商務和網上銀行在我國還處于起步階段,尚沒有形成完善的法律環境,再加上網絡的無國界性與各國監管機制的差異性使得電子銀行業務外包中存在著相當大的法律風險。例如,外包過程中銀行客戶的隱私權保護問題、商業秘密和技術專利的歸屬問題、跨國訴訟的司法管轄權問題等都可能對銀行的審慎經營造成巨大沖擊。

4.系統風險。銀行業是一國金融發展的核心,其對風險管理有著更加嚴格的要求。由于某些IT核心技術的壟斷,在IT外包行業也存在著若干寡頭公司,因而可能產生某一國(地區)的多家銀行過于集中依賴某些外包服務供應商的情況,一旦出現問題會造成連鎖效應。另外從長遠來看,過于依賴某些跨國公司的技術外包還可能不利于本土企業的技術創新,甚至可能威脅到國家的金融安全。

三、電子銀行業務外包監管的域外經驗

銀行業是個對風險管理有著異常嚴格要求的行業,而電子銀行業務的外包有可能把本屬銀行機構的風險、管理責任及合規要求轉移給不受監管當局監管的第三方。在此情況下,銀行機構如何有效控制外包帶來的運營風險?監管機構如何確保外包供應商在外包過程中履行了其監管要求?為了解決這些問題,很多發達國家和地區的銀行監管當局已經陸續對此作出反應,以監管報告、建議或指引方式將電子銀行業務的外包活動納入到其原有監管體系中。

1.美國。早在1990年1月,美聯儲就通過一份監管聲明提醒金融機構注意訂立電子數據處理(Electronic Digital Platforms,EDP)服務合同的潛在風險,美聯儲最為關注的問題是金融機構所簽EDP服務合同中是否含有對其原有風險管理體系存在不利影響的條款,如責任免除條款等。而美聯儲紐約銀行1995年的一封監管信函則明確了外包服務安排報告規則,即無論任何銀行服務機構都應該在首次簽署外包服務合同或者履行合同后的30天內向合適的聯邦銀行機構報告這種關系。

另外,聯邦金融機構檢查委員會(FFIEC)還了一系列旨在闡明銀行管理IT外包風險方面職責的指引與公告,例如《FFIEC對外包技術服務的風險管理指引》(2000年)提出了由董事會負責外包引入和風險管理的原則;《FFIEC對技術服務商(TSP)監管手冊》(2003年)概述了TSP風險的監管流程與方法;《IT外包技術服務檢查手冊》(2004年)為監管人員的審計檢查提供了相應的程序指引。

2.香港。香港金融管理局(HKMA)2001年12月的《外判》對本地銀行業的的外包活動表達了相當明確的監管態度,它雖然并非專門針對電子銀行,但其中載明的一般監管方法及有關技術外包的管控措施等均對電子銀行外包具有參考價值。在《外判》指引中金融管理局明確只要被監管機構的外包安排具備周詳的計劃和妥善的管理且不會有導致損害客戶利益的情形發生,金融管理局就不會干涉。[2]

而所謂“周詳的計劃和妥善的管理”則包括了以系列的特殊管控措施。首先,在選擇外包服務商時,銀行應審查其是否具備足夠的資源與專業知識,而在將關鍵技術?如數據中心操作?外包時,還應由獨立第三方作出獨立評估報告,報告將提交金融管理局備案。其次,在同外包服務商簽訂協議時,金融管理局強調應清楚載明外包服務商的履行標準和服務水平。再次,在外包安排存續期間,銀行應對外包服務商實施持續充分的監控和制定有效的應急計劃。最后,為了防止外包風險的過于集中,銀行還應盡量避免過度依賴單一的外部服務商。

3.瑞士。1999年8月,瑞士聯邦銀行委員會(SFBC)了針對銀行與證券公司的《外包指引》,允許金融機構在未經SFBC明確同意的情況下實施外包。但該指引規定外包必須得到董事會的同意方可實施,必須訂立書面合同,并要求金融機構將外包業務納入內控體系,外包合同必須明確允許SFBC、金融機構及其內外部審計機構對外包服務商進行必要的監控,同時某些核心管理職能是不允許外包的。

此外,伴隨著國際金融一體化步伐的加快,各國監管者也逐漸意識到,外包所帶來的風險往往是超越國境的。因此巴塞爾銀行監管委員會于2003年先后了《電子銀行風險管理原則》及《跨境電子銀行業務的管理與監管》,為電子銀行業務(包括外包)的監管提供了高級指導。巴塞爾銀行監管委員會在綜合各國監管經驗的基礎上,指出電子銀行業務外包的風險控制首要原則是董事會和高級管理層應該對與電子銀行業務的有關風險進行有效的管理和監督,通過建立全面和持續的盡職調查制度與監管程序來處理銀行與外包第三方的相互關系。[3]

四、我國對電子銀行業務外包監管的實踐與法規建設

近年來,我國銀行業的外包勢頭也發展迅猛,各大商業銀行都相繼開設了電子銀行業務,其中四大商業銀行都選擇了自主開發核心技術與輔助業務外包相結合的道路,而光大銀行、民生銀行等股份制商業銀行則選擇將更多的信用卡業務、網絡銀行業務外包出去以降低運營成本。但在電子銀行業務蓬勃發展的同時我國對其的監管還處于逐漸發展和不斷探索中。目前我國電子銀行業務監管事宜主要由銀監會負責,關電子銀行監管的法律框架也已初步確立,主要由《電子簽名法》、《電子銀行業務管理辦法》、《電子銀行安全評估指引》和《銀行業信息資產風險監管暫行辦法》等組成,而其中2005年頒布的《電子銀行業務管理辦法》是我國首次出現“外包管理”字眼的法律文本,其對電子銀行業務外包的發展和監管可謂意義深遠。

《電子銀行業務管理辦法》(以下簡稱《辦法》)將網上銀行、電話銀行、手機銀行及自助銀行、ATM等均納入電子銀行業務范疇,擴大了對電子銀行業務的監管范圍,改變了長期以來部分電子銀行業務監管無據的狀況。[4]同時《辦法》突出強調了電子銀行系統的安全評估工作,要求金融機構聘請有資質的安全評估機構,至少每2年對電子銀行進行一次全面的安全評估。而為了應對新興的電子銀行業務外包風險,《辦法》還明確了許多具體的監管措施:(1)規定金融機構在選擇電子銀行業務外包服務供應商時,應充分審查、評估其經營狀況、財務狀況和實際風險控制與責任承擔能力。(2)規定金融機構應當與外包服務供應商簽訂書面合同,明確雙方的權利、義務。在合同中應明確規定外包服務供應商的保密義務和保密責任。(3)規定金融機構應建立針對電子銀行業務外包風險的應急計劃,并應制定在意外情況下能夠實現外包服務供應商順利變更,保證外包服務不間斷的應急預案。(4)規定金融機構對電子銀行業務處理系統、授權管理系統、數據備份系統等涉及機密數據管理與傳遞環節的系統進行外包時,應經過董事會或者法人代表批準,并應在外包實施前向銀監會報告。

筆者認為,《辦法》的上述規定已經吸收了很多國外監管的經驗,并對我國銀行業的發展情況有所考慮,它的出臺既是我國監管當局在金融全球化趨勢下對監管工作的一項適應性創新,也是一項有利于我國銀行業在改制上市及發展過程中提高自身風險管理水平的重要舉措。但是《辦法》仍存在一些不足,諸如要求金融機構對第三方認證機構的可靠性和公信力進行保證并不盡合理。此外對金融機構的責任規定也過于嚴苛。

五、健全我國電子銀行業務外包監管體系的思考

雖然我國已經對電子銀行業務外包的監管制定了比較明確的規章,但是對電子銀行業務的監管應該是一個完整的體

系,而且目前在我國的社會背景下,紙面上的法律要變為行動中的法律無疑還有較長的路要走。實踐中由于信息技術的發展以及很多監管人員對于電子銀行外包風險的認識不足,導致我國各地監管機構的監管理念和執法水平存在較大差異,所以筆者認為有必要進一步健全和完善我國有關電子銀行業務外包的監管體系,以促進電子銀行業務的良性發展。

1.在監管的價值取向上,銀監會應該綜合考慮監管的安全目標與金融機構的效率追求,實現金融安全與交易效率的平衡發展。銀行是基于提升效益目的而實施外包的,因此監管當局不能僅僅為了監管的安全價值而不顧銀行的效率價值。筆者認為,銀監會應在謹慎基礎上支持銀行業更多的外包活動,這也是應對入世后更為激烈的銀行競爭所必需的。當然銀監會應始終堅持以下兩個原則:第一,確保銀行業外包活動處于銀監會的有效監管之下;第二,確保銀行機構合理制訂外包計劃和妥善處理外包風險。

2.銀監會應進一步細化現有的電子銀行業務外包監管規則?，F有的外包監管規則總體而言仍偏于原則性,因而需要在既存原則框架之下盡快出臺更具操作性的監管細則對監管人員的監管范圍、權限和監管程序予以規范。此外,電子銀行外包的實踐是不斷發展變化的,因而密切關注電子銀行的最新發展動態,適當汲取國際上的先進經驗,豐富電子銀行業務外包風險管理的內容也極為必要。

3.監管部門還應加強有關客戶金融信息隱私保護的力度。在電子銀行業務外包活動中,最易遭到侵犯的客戶合法權益就是客戶的金融信息隱私權,例如2005年美國信用卡第三方服務商(Card systems SolutionsInc.)的系統被黑客侵入,造成包括MasterCard、VISA、American Expres在內高達4000多萬信用卡用戶的數據資料被竊,給銀行和客戶帶來了巨大的損失。因此,監管當局應該盡快規范電子銀行隱私政策,督促銀行和外包商共同采取措施安全保障措施來防范此類風險。

總的來說,在構建與完善我國電子銀行業務外包監管體系的過程中,銀監會應當關注市場的新變化和電子銀行實踐中的新問題,充分征求市場各方主體意見和密切關注國內外最新研究成果的基礎上適時出臺明確的監管指引與清晰的操作規則,盡量減少監管的滯后或缺位。同時,銀監會還應貫徹技術中立原則,為市場創新留下充足空間,在安全與效率之間,在規范性與靈活性之間尋求合理的平衡點。

淺談電子銀行外包風險:我國商業銀行IT外包適用性分析

內容摘要:本文從美國銀行業的發展經驗和理論兩個角度,并結合我國的實際情況分析得出:隨著我國商業銀行改制的深化以及經濟的發展,我國銀行的IT業務外包將是一種必然的趨勢。

關鍵詞:IT外包 美國銀行業 我國商業銀行

隨著銀行間競爭的加劇,以及新業務的層出不窮,銀行需要更多的信息系統滿足競爭和業務需要。對信息系統的需求越來越多,建設信息系統的投資越來越大,銀行內部技術部門有效管理這些系統也越來越困難,銀行不能通過無限制地增加對信息系統建設的投資,擴大內部信息技術部門的規模等方式解決上述問題。

就在人們越來越多地關注這個問題的時候,一種新的思路產生了,那就是IT外包。

自從1989年Kodak和IBM簽定第一份外包合同以來,IT(Information Technology)外包開始在世界各地尤其是美國的《財富》500強公司中盛行,90年代開始,世界各國的銀行紛紛采用外包這一金融電子化建設的新策略。例如我國銀行業目前采用的IT外包方式,國家發展銀行的網絡服務外包和設備租債外包,都取得了長足發展。盡管銀行業信息化發展運用外包已經成為一種必然的趨勢,但是處于體制轉軌和迅速發展中的我國商業銀行,在選擇外包策略時應該保持清醒的頭腦,切不可盲目跟從。

IT外包的定義

IT外包是指外部供應方對使用方組織中與全部或特定IT設施組成部分相關的實物或人力資源予以重要支持。該定義中的IT設施是指“致力于以計算機為基礎的系統的內部的人員和資源組織……不僅包括有形設備、員工和應用程序,也包括組織維持其提供系統服務所需的無形的組織、方法以及政策?！?Markus,M?L,1984),在這種外包情況下,供應方(vendor)可能為使用方(user)提供計算機資產,或者使用方的某些計算機資產的所有權可能轉交給供應方,同樣地,供應方可以使用自己公司的員工提供所需的服務也可以雇傭使用方現有的員工為使用方提供服務。IT設施的外包模式通常包括:應用程序開發(applications development)、數據中心(data center)、系統整合(systems intergration)、系統設計或規劃(systems design/planning)、通訊或網絡(telecommunications/network)以及時間共享(timesharing)。

計世資訊(目前我國IT產業權威市場調研和咨詢機構)將IT外包服務定義為:企業戰略性選擇外部專業技術和服務資源,以替代內部部門和人員來承擔企業IT系統或系統之上的業務流程的運營、維護和支持的IT服務。其內容主要包括:

維修維護外包。客戶將現有軟硬件在一定時期內的維修維護工作以合同形式整體交由外包商進行操作管理,并以精度、時間、效率等大量指標對外包商的服務能力和服務質量進行詳細的限定與評估。

IT系統外包。IT系統外包服務涉及長期的合同安排,其中服務提供商擁有管理所有(或部分)的客戶IT系統操作,并擁有基于協議的部分所有權和責任。IT系統外包合同一般包括數據中心操作和包括諸如桌面管理、局域和廣域網網絡操作管理、幫助軟件支持、應用軟件開發和維護以及有關的咨詢、系統集成活動等服務。

應用服務外包。用戶將套裝(或定制)IT系統的部署、管理和改進以合同的形式轉交給外部服務提供商。主要包括與管理系統應用或套裝應用軟件有關的全部專門活動和技能。合同的服務級別協議設為應用級別,內容包括負責應用程序的部署、管理和改進。

從美國的發展經驗看商業銀行IT外包

美國的銀行業在1984-1993這十年間發生了巨大的動蕩,1985-1991年間許多銀行倒閉。1984年,美國的銀行總數高達15126家,隨著許多銀行的倒閉和收購合并,美國商業銀行總數于1996年底降至9490家,許多資產在1億美元以下的微型銀行倒閉,商業銀行的效率和生產力普遍下降。主要原因是單純技術以及技術規模的變化,尤其是計算機技術和通訊技術的迅速提高,無論是大型商業銀行還是小型銀行都無法進行積極的技術改進。1994年9月,美國通過了《州際銀行法》(the Riegle-Neal Interstate Banking and Branching Efficiency Act),允許商業銀行自1997年6月1日起跨州經營金融業務設立分支機構,這一法案打破了70年以來單一銀行制度的限制。在此之前,美國銀行經營支行的能力受到了嚴格的限制,幾乎所有的銀行都被限制經營跨州支行網絡,在一些州禁止設立任何支行。在美國歷史上,該法案第一次真正地允許美國銀行從事跨州經營金融業務,至此,美國的銀行系統從小型銀行向大型銀行迅速過渡。到1995年,頒布《金融服務競爭法》,允許美國商業銀行分支機構介入證券業務,自此,對于資產在150億美元以下的銀行來說,規模和收益率之間的關系徹底改變了,開始成正相關。1999年,美國通過了《金融現代化法案》,廢除了1993年《格拉斯——斯第格爾法》關于銀行業、證券業、保險業分業經營分業管理的限制。允許銀行擴展所有的金融服務。過去的銀行持股公司也改名為金融持股公司(financial holding Companies)。在《金融現代化法》生效以后,2000年3月13日,美聯儲批準了116家銀行持股公司轉換為金融持股公司。銀行可以以金融持股公司的名義從事保險、證券發行和風險投資等業務。

1994年之后,美國銀行發展的主要特征有:

總分行制代替了單一銀行制,形成了遍及全美的銀行網絡,銀行數目不斷減少;全能制銀行代替分業制銀行,銀行業走向了綜合化的道路;以金融控股公司的形式向所有的銀行客戶提供不同的金融產品和全面的金融服務;電子銀行、網絡銀行迅速發展,金融服務的效率不斷提高;金融機構的資產負債結構發生變化,傳統的以存貸款為主的業務發展為新金融服務;銀行機構的收入從傳統的存貸款利差收入為主變為以各項金融服務費用收入為主;資產進一步證券化,金融機構的股票本位形成了對證券市場的過分依賴;銀行機構的兼并形成浪潮;在現代科技支持下,金融服務的手段不斷現代化,規模經濟的形成以及市場需求量的增加迫使銀行努力開發集約化和技術含量較高的經營和管理手段。

目前,我國的銀行業正處于改制轉型時期,隨著銀行股份制的深化,銀行的經營管制也相對放松,各家商業銀行逐漸走上了自負盈虧的道路,提高效率、降低成本被提上了日程,所以從美國的經驗來看,商業銀行業必須要提高核心競爭力,尋求開發集約化和技術含量較高的經營和管理手段,IT外包將是大勢所趨。

從理論基礎層面看商業銀行IT外包

Loh Venkatraman的實證研究表明IT外包的程度和經營成本以及IT成本正相關,和IT業績負相關。Teng,Cheon和Grover的研究證實了這一觀點,并指出IT業績的實際水平和期望水平之間的差距是IT外包的一個主要決定因素。同時實證的證據表明一家銀行適應政策的程度取決于政策本身的影響以及銀行的相對實力。最近,源自心理學的TAM理論(Technology Acceptance model)表明有用性的認知和易用性的認知對外包決策的經濟因素具有影響。,同時Madhu?T?Rao(2004)研究表明關于技術轉移、知識產權和版權的制度法規、隱私方面的法律等也會影響外包關系的成功。

隨著商業銀行競爭的日益白熱化,降低成本和提高金融服務效率的壓力不斷增加,同時現代技術的運用在銀行中起到越來越重要的作用,經營范圍的擴展對IT開發的質量和速度的要求也越來越高,無論從經營成本和IT成本還是從IT業績上來說,外包都是最佳的選擇。

在北美,率先開始將各種業務進行外包的是中小規模的銀行,據調查,美國有68%的信用卡業務都是通過非商業銀行機構來實現的,此舉可以為銀行減少15%-25%的成本。呼叫中心等業務流程外包(BPO)使他們的人力成本降低85%之多。

國內商業銀行IT外包情況分析

銀行業是我國較早建設并使用電子技術處理業務的行業,國內各家商業銀行都擁有自己的業務處理信息系統。與其他行業相比,銀行使用的信息系統具有安全性高、精確性強、建設成本高、維護成本重等特點。出于安全性、可靠性的考慮,國內商業銀行通常都自行開發核心業務系統,因此各商業銀行無一例外都具有獨立開發能力的技術力量。

根據銀行規模的不同和所使用系統復雜的不同,銀行內部技術隊伍的規模也不盡相同。大型國內銀行的科技部門有上百人,而小型商業銀行則通常只有一支幾十人的開發隊伍,但是幾乎所有的開發隊伍擁有核心業務系統的開發能力。

一直以來IT外包情況分析,國內商業銀行從核心業務到IT采購、人力資源管理、后勤保障等業務幾乎全部由自己承擔,而外包可以提高銀行的管理效率,使其關注核心業務,從這種意義上來說,IT業務外包是我國商業銀行戰略選擇的一種趨勢,但就目前來看:

在我國IT企業普遍的工資水平和外面是一個倒掛平臺,比外邊高,也沒有規模效益,不存在成本優勢。所以盡管有IT外包的需求但是由于IT市場還不夠成熟,所以無法實現降低成本、提高效率的目的。

目前我國信息技術應用水平普遍不高,信息技術產品市場也不規范,相應的業務外包市場尚未建立起來。

目前我國的信用機制尚未形成,與之相關的法律、法規不完善。同時銀行是高負債、高風險經營的企業,信息安全性占有十分重要的地位,所以在目前情況下,外包的安全性堪憂。

從自身實力來看,中小商業銀行和國有商業銀行在IT人員、IT技術實力、IT系統營運管理以及后勤維護上都有很大差別。國有銀行由于原先受到國家財政支持,所以擁有較為強大的IT實力,而中小商業銀行在這方面發展較不完善,因為資金有限,也無法大量投入資金于IT方面的開發和完善。

由以上四點,結合IT外包的影響因素理論可以得出:四大國有銀行應該繼續以自主開發為主,同時順應發展趨勢,積極探索外包開發的新途徑。比如采用系統維修維護外包和IT技術開發外包這些短期合作的外包形式,這樣既可以提高本身的效率,也可以隨時更新IT系統。中小商業銀行由于其實力有限,應當分析自身情況,區分業務性質,確定外包范圍,積極采用普通業務處理系統外包,如ATM業務外包、呼叫中心外包等,不僅能減少信息系統投入,而且縮短開發周期,使系統更快見到效益。