商业银行外包风险管理指引分析及意义.doc

商业银行外包风险管理指引分析及意义华道数据行业研究中心 | 2008-02-19 | 吴庶 段明珠经过二十年左右的发展，外包已成为成熟的商业模式，而金融服务业一直是外包重镇。在我国，金融外包尤其是业务流程外包（BPO）已呈现蓬勃发展之势：市场容量迅速扩大，企业规模和数量急剧增长，前景颇为可观。但法律法规的缺失使得行业的不确定性大大增加，经济学智库（EIU）2006年对全球300名金融业高级管理人员的调研及深入访谈后出台的一份报告指出，“法规不明确”已经成为在中国推行业务流程转型的最主要的障碍。 依据巴塞尔协议，中国银监会在2005年开始允许国内金融机构外包，2006年发布电子银行业务管理办法（以下简称办法）与银行金融机构信息系统管理指引（以下简称信管指引，这两文件的某些章节对外包风险有所提及，但并不深入。 近日中国银监会发布商业银行外包风险管理指引（征求意见稿）（以下简称指引），共六章三十二条，分为总则、外包范围、组织架构、风险管理、监督管理和附则等六个部分。尽管该文件针对商业银行外包风险而制定的，但由于“风险控制”乃金融行业核心所在，指引涵盖了外包方方面面。可以说，这是我国第一份专门针对商业银行外包进行规范的文件。在此，我们将简单对比这几部文件中对外包的相关规定，以飨读者。外包定义最早的办法中，仅给出电子银行业务外包的涵义；信管指引中则介绍了什么是外包风险，并没有对商业银行外包做出定义。指引首次明确定义了商业银行外包的涵义：“是指商业银行将原本应由自身负责处理的某些事务或某些业务委托给服务提供商进行处理的经营行为。服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。”外包范围随着外包市场在中国的日益扩大，中国银监会对这一新兴领域的了解也越来越深入。办法与信管指引中对外包范围都未做明确规定，而仅表示要“合理确定外包的原则和范围”。最新指引中则提及“确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围”，其中对“重要业务”又给出了评估的因素和参考的事项。更为重要的是明确表示“商业银行涉及到战略管理和风险管理职能的业务不宜外包。商业银行涉及到内部审计职能的义务不宜外包给独立第三方”。但目前对于战略管理和风险管理等未做出进一步解释。发包方分工在前两部规定中均无考虑到商业银行作为发包方的分工职责，在这部指引中不仅首次提出“商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队”，而且分别明确各自的职责。承包方评估对于选择承包方，办法中规定要审查、评估外包服务供应商的经营状况、财务状况和实际风险控制与责任承担能力；信管指引中则增加了对诚信历史、安全资质、技术服务能力的考查，同时提出“评估工作可委托国家相应监管部门认定资质，具有相关专业经验的独立机构完成“。而最新指引在前两者基础上将评估分成了两部分：调查评估和审核评估。这就使对服务供应商的评估更加全面可靠。其中调查评估包括：财务稳健性；经营声誉和企业文化；技术实力和服务质量；突发事件应对能力；对银行业的熟悉程度；对其他银行提供服务的情况；商业银行认为重要的其他事项。审核评估包括：评价服务提供商的财务实力、技术能力以及存量与流量；评估服务提供商的风险控制、业绩标准、业务策略、管理程序、监督过程等方面；判断服务提供商与银行竞争对手是否存在外包安排；评估重要业务的业务连续性；其他关注事项。最后还特别提及“商业银行的外包活动涉及多个服务提供商时，应对这些服务提供商进行关联关系的调查”，从各角度考核外包服务供应商的能力。外包合同外包签订书面合同是中国银监会一直重视的部分。办法中提出签订书面合同，明确双方权利义务，外包商有保密的义务责任；信管指引在前者基础上增加了承包方有安全、知识产权的义务责任。最新指引则将合同内容落实，要求合同条款必须包括：外包服务的范围和标准；保密性和安全性；业务连续性；审计和检查；争端的解决安排；未履行责任的赔偿，补救和追索权；对于具有专业技术性的外包业务，可签订服务标准协议；如涉及分包或转包，外包合同协议中应明确设立服务提供商分包或转包的规则或限制。这一举措为今后签订外包合同提供了政策依据。外包管理措施外包的过程管理是整个活动的重中之重，华道数据认为中国银监会正在逐渐将其全面规范化。办法中零散提到对外包的一些管理，如建立风险防范措施、风险评估与检测程序、应急计划、联络、沟通和信息交流机制等；信管指引中加入“要提高本机构对外包管理的能力”建议性规定；最新指引中不仅有前者的系统化规定，同时增加了对分包、转包和跨境外包活动的管理规定。第三方监管早期的办法和信管指引只要求董事会或其他决策机构批准，实施前报银监会备案（信管指引中需报告的机构加入派出机构和法律法规规定需要报告的机构）。相比之下，最新指引加强了对商业银行外包活动管理的表现还体现在对第三方监督及监督事项有了更多规定。开展外包活动向所在地银行业监管机构报送外包活动的战略发展规划；风险管理制度；外包管理的组织架构；监管部门要求的其他事项。开展重要业务和跨境外包报送：外包合同的文本草案；对服务提供商的风险评估报告；业务连续性及突发事件应急预案；外包信息的安全及保密措施。其他需提交报告事项：合同期内终止合同；突发事件的发生；服务提供商违反法律、法规的情况。由以上的内容对比，华道数据认为：随着对外包认识实践的深入、行业的日渐成熟，一批