银行业金融机构外包风险管理有规可循.doc

银行业金融机构外包风险管理有规可循发布于: 2011-03-23 14:50:40作者: 仝云丽来源: 花桥金融外包研究中心我国金融服务外包由于起步较晚，近几年虽发展迅猛，相关监管法规与行业规范建设尚且落后。 2008年初，银监会发布银行业金融机构外包风险管理指引（征求意见稿），曾引起业界广泛关注。然而银监会 2010年6月7日才在征求意见稿的基础上，正式发布银行业金融机构外包风险管理指引（银监发201044号，下称“指引”），要求各地各级银行业金融机构遵照执行，目的即在规范银行业金融机构的外包活动，保障其业务持续经营。指引不仅为中国银行业金融机构提供了急需的外包管理框架和方向，促进其加强外包风险防范意识与提高外包管理水平，也为监管当局监督检查提供了标准，同时其带来的相关影响更要求广大金融外包服务供应商积极制订相应举措。从内容来看，该指引主要从组织结构、风险管理、监督管理等多个方面对银行业金融机构的业务外包提出严格具体的要求。下面对指引进行详细解读。明确银行业金融机构对外包的内部管理架构，重视内部审计“银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任”，指引在总则中率先将外包风险的最终责任承担者予以明确，在第二章第八条提出，“银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队”，明确三者各自的具体职责所在，构建外包管理组织的核心竞力。其中，尤其强调董事会必须定期审阅本机构外包活动相关报告，定期安排内部审计，确保审计范围涵盖所有的外包安排，从而充分发挥内部审计对防范外包风险的重要作用。强调对金融机构集团内部服务供应商的严格管控鉴于部分银行业金融机构将业务外包给集团内部子公司或分支机构后，其监管力度和重视程度远远比不上对第三方外包商的严格管控，存在一定的外包风险，指引将服务供应商重新界定：“服务供应商应包括总行或母行及集团全资拥有的境内或境外子公司和分支机构。”力促金融机构将外包商管理流程与管控同样应用于集团内部的外包业务，加强外包风险防范。而针对更为特殊的境外服务供应商，指引则在第三章第十九条提出，“选择境外服务提供商时，应当明确其所在国家或地区监管当局已与我国银行业监督管理机构签订谅解备忘录或双方认可的其他约定。”及时调整并放宽外包范围限定，强调审慎经营指引（征求意见稿）中曾专门辟出第二章明确规定需审慎对待金融机构重要业务的外包，并给出了其评估因素和参考事项，其中参考事项包括业务操作环节、数据处理、信息技术等。随着金融服务外包领域的蓬勃发展，这些业务均已是金融机构外包业务的主要组成部分，因此最新指引在这一问题上做了调整，明确表示“银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包”，但将控制权交予银行业金融机构，强调其应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。对外包风险管理全过程予以规范，针对性和可操性作强指引强调外包风险的事前防范，就金融机构对服务提供商的选择与筛选提出了更为严格的要求和筛选程序，在进行外包决策时即要求对包括服务提供商的技术能力及专业能力、业务策略和业务规模等在内的多种风险因素进行评估，并围绕供应商的管理能力和行业地位、财务稳健性和外包业务承接状况等展开充分而详尽的尽职调查，全面对服务供应商进行评估，慎重选择。针对外包合同的具体内容或协议，监管机构充分考虑到外包服务可能对银行业金融机构整体的业务连续性造成重大影响，在指引中要求双方必须写明对外包服务的业务连续性安排，将服务供应商纳入定期的业务连续性测试，并要求银行业金融机构从自身做起，事先制定和建立外包突发事件应急预案和机制，通过采取替代方案、寻求合同项下的保险安排等措施，确保业务活动的正常连续经营。至于金融外包服务行业愈来愈常见的分包和转包现象，指引第十七条也作了明确规定。不过，如果银行业金融机构用考核主外包方的风险评估标准来衡量分包商，并将这种权利放入服务主合同条款中，相信可以更有效地杜绝外包业务的分包风险。这也为未来相关法规的进一步具体和完善留下了空间。指引强调银行业金融机构对外包活动过程的即时监控，以及定期审计和检查，在第二十一条予以强调。这非常有助于发包方在外包服务过程中及时发现业务活动存在的缺陷并采取及时有效的措施，防范风险。虽然整体来看，指引可谓对外包风险管理全过程予以规范，针对性和可操性作强，但是对于银行业金融机构而言，在执行过程中恐怕还面临现有体系并未包括所有新指引的要求，需要有针对性地进行调整和完善，并在合规前提下优化外包流程的挑战。借鉴国际经验完善外包监管在监管层面，指引从两个方面来规范监管机构对银行业金融机构外包活动的监督管理。一方面要求金融机构的外包管理层应在开展外包活动时定期向当地监管机构进行沟通并递交外包业务评估报告，遇有重大影响事件及时报告，另一方面要求银行业监督管理机构及其派出机构根据需要对外包活动进行现场检查，采集外包活动过程中数据信息和相关资料，并将检查结果纳入对该机构的监管评级，列举出何种情况下银行业监督机构可以要求银行业金融机构纠正或采取替代方案，并视情况予以问责。不过，对银行业监督机构如何保证能随时获得监管所需资料，对多家金融机构同时将业务外包给一家或有限的几家服务供应商应有哪些必要的限制，以防形成系统性风险，指引并未具体指出。国际金融服务外包业发达国家或地区的先进发展实践和经验皆表明，完备的监管法规和成熟的行业规范，银行业金融机构与接包企业在风险管理方面共同合作的日益完善，能有效降低金融机构由于选择服务外包而产生的风险。在中国银行业金融机构在服务外包领域不断开放，金融服务外包新产品不断涌现的背景下，指引的出台不可不谓及时。尽管包括银行业金融机构、银行业监督机构、外包服务供应商在内的相关各方，在执行过程中还面临诸多现实挑战，我们相信随着外包风险管理的严格执行，随着行业实践在未来的纵深发展，银行业金融机构通过外包获得核心竞争力提升的同时一定可以更有效地规避风险，这有赖于金融机构、监管机构和外包服务供应商的共同努力。政策原文银行业金融机构外包风险管理指引银监发201044号第一章 总则第一条 为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等有关法律法规，制定本指引。第二条 在中华人民共和国境内设立的银行业金融机构适用本指引。第三条 本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。第四条 银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。第五条 银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。第七条 银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。第二章 组织结构第八条 银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。第九条 董事会的职责主要包括以下方面：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。第十条 高级管理层的职责主要包括以下方面：（一）制定外包战略发展规划；（二）制定外包风险管理的政策、操作流程和内控制度；（三）确定外包业务的范围及相关安排；（四）确定外包管理团队职责，并对其行为进行有效监督。第十一条 外包管理团队的职责主要包括以下方面：（一）执行外包风险管理的政策、操作流程和内控制度；（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；（三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；（四）在发现外包服务提供的业务活动存在缺陷时，采取及时有效的措施；（五）高级管理层确定的其他职责。第三章 风险管理第十二条 银行业金融机构在制定外包活动政策时，应当评估以下风险因素：（一）银行业金融机构应当关注外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险；（二）影响外包活动的外部因素；（三）本机构对外包活动的风险管控能力；（四）服务提供商的技术能力及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度；（五）其他关注的事项。第十三条 银行业金融机构在进行外包活动时应当对服务提供商进行尽职调查，尽职调查应当包括以下事项：（一）管理能力和行业地位；（二）财务稳健性；（三）经营声誉和企业文化；（四）技术实力和服务质量；（五）突发事件应对能力；（六）对银行业的熟悉程度；（七）对其他银行业金融机构提供服务的情况；（八）银行业金融机构认为重要的其他事项。银行业金融机构的外包活动涉及多个服务提供商时，应当对这些服务提供商进行关联关系的调查。第十四条 银行业金融机构开展外包活动时应当签订书面合同或协议，明确双方的权利义务。合同或协议应当包括但不限于以下内容：（一）外包服务的范围和标准；（二）外包服务的保密性和安全性的安排；（三）外包服务的业务连续性的安排；（四）外包服务的审计和检查；（五）外包争端的解决机制；（六）合同或协议变更或终止的过渡安排；（七）违约责任。对于具有专业技术性的外包活动，可签订服务标准协议。第十五条 银行业金融机构在外包活动中应当建立严格的客户信息保密制度，并依法履行告知义务。第十六条 银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项：（一）定期通报外包活动的有关事项；（二）及时通报外包活动的突发性事件；（三）配合银行业金融机构接受银行业监督管理机构的检查；（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，银行业金融机构有权随时终止外包合同；（五）不得以银行业金融机构的名义开展活动；（六）银行业金融机构认为应当承诺的其他事项。第十七条 银行业金融机构应当关注外包服务提供商分包的风险，并在合同中明确以下事项：（一）服务提供商分包的规则；（二）分包服务提供商应当严格遵守主服务提供商与银行业金融机构确定的外包合同或协议中的相关条款；（三）主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责；（四）不得将外包活动的主要业务分包。第十八条 银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。第十九条 银行业金融机构在开展跨境外包活动时，应当遵守以下原则：（一）审慎评估法律和管制风险；（二）确保客户信息的安全；（三）选择境外服务提供商时，应当明确其所在国家或地区监管当局已与我国银行业监督管理机构签订谅解备忘录或双方认可的其他约定。第二十条 银行业金融机构应当事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施，确保业务活动的正常经营。第二十一条 银行业金融机构应当定期对外包活动进行全面审计与评价。第四章 监督管理第二十二条 银行业金融机构在开展外包活动时，应当定期向所在地银行业监督管理机构递交本机构外包活动的评估报告。第二十三条 银行业金融机构在开展外包活动时如遇到对本机构的业务经营、客户信息安全、声誉等产生重大影响事件，应当及时向所在地银行业监督管理机构报告。第二十四条 银行业监督管理机构及其派出机构根据需要对外包活动进行现场检查，采集外包活动过程中数据信息和相关资料，并将检查结