论我国银行的业务外包

商业银行业务外包的风险体现及审计对策研究银监会自2005年开始允许国内金融机构业务外包，2006年发布的《电子银行业务管理办法》与《银行金融机构信息系统管理指引》两文件中对外包业务以及风险已有所提及。今年6月7日，银监会正式发布并实施的《银行业金融机构外包风险管理指引》，涵盖了银行业外包的方方面面，是我国第一份专门针对商业银行外包进行规范的文件。尤其是在总则中明确提到“银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包”、“定期安排内部审计，确保审计范围涵盖所有的外包安排”，反映了内部审计的重要性以及对外包业务风险控制应该发挥的作用。笔者结合近年参与实施外包业务管理审计的认识，对商业银行的外包业务风险及审计对策进行了总结，供内部审计同仁参考。

一、商业银行业务外包的涵义商业银行业务外包是指“银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。”1[1]商业银行采取业务外包策略往往基于以下考虑：降低营运成本、转移操作风险；提高产品或服务质量和效率、提升客户满意度；克服资源有限性、增强银行核心竞争力等。

二、国内外商业银行外包业务现状国外的商业银行业务外包首先从信息技术外包开始，主要涉及银行通信网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等，更多属于业务处理环节的外包；第二阶段是分段业务流程的外包，将支持银行内部的运作或客户的后端服务切分成相对完整的流程段后整体外包，甚至包括整个IT系统的外包，而不仅限于某项具体的任务外包。通过所谓业务流程的优化组合，银行保留优势核心的流程段、外包非优势外围的流程段，以获得更高商业价值、更有效率的运作模式。当前，随着世界银行业的发展和银行业务的不断创新，各个层面上的专业专注组合构成了商业银行的核心竞争力，单一银行独立的业务全流程研发往往不足以确保竞争优势，导致很多银行尤其是中小银行将研发环节外包给专门的研发中心，即知识处理外包。

相对于国外，国内商业银行的外包业务起步较晚，初始阶段的尝试、摸索是从后勤服务剥离、信息技术开发部分模块外包开始的，如90年代现金社会化押运、2002年深圳发展银行灾难备份支援服务外包等。至今，国内商业银行在以下方面已有了外包实践，大部分尚处于业务处理环节的外包阶段。

1．信息技术类外包。具体为信息技术应用开发外包（指委托外包服务商对银行应用开发项目的设计、开发和推广实施）、信息系统运行维护外包（指委托外包服务商对银行应用系统日常的巡检、技术支持等运维工作）、信息技术基础设施运行维护外包（指委托外包服务商为银行信息技术基础设施提供日常的故障维修及巡检等运维工作）、自助银行设备保养（指委托外包服务商为银行自助设备提供日常的故障维修及软件升级等运维工作）。

2．营运业务类外包。主要包括会计凭证影像信息采集、会计档案整理、对账单制作与寄递、会计资料运送、会计档案集中保管、后台信息录入和现金清分整点等。

3．专业性服务类外包。主要包括现金押运、金库守押、报警服务、营业网点安保、法律事务等。

4．业务处理程序外包，主要包括个人信贷业务客户身份及亲笔签名的核对、信用卡客户资料的输入与装封、不良贷款催收、柜面服务质量监测、手机银行营销、特约商户发展、电话推广营销等。

5．其他类外包。主要包括劳务派遣外包、后勤事务外包、物业管理外包、营业网点保洁服务等。

三、国内商业银行外包业务面临的主要风险随着国内商业银行经营集约化程度的提高，业务外包的种类和范围不断扩大，同时，由于目前我国外包监管制度尚不成熟，缺少大量外包实践经验和处理外包纠纷时有章可循的处理程序和制度，业务外包在促进商业银行业务发展的同时也呈现出较多的风险，具体体现在：

1．商业银行缺少明确的外包战略发展规划，未确定与其风险管理水平相适宜的外包活动范围。尽管中国银监会在《银行业金融机构外包风险管理指引》中提到“银行业金融机构的战略管理、以及内部审计等职能不宜外包。”但目前对于战略管理和核心管理未做出进一步解释，商业银行也未能界定可以外包或不可以外包的具体范围，个别银行甚至违反银监会“各行不得进行银行卡委外发卡”的规定，将信用卡营销业务以及征信调查进行外包。

2．外包业务管理统一性和规范性不足。对近年新推出的外包业务如手机银行营销、特约商户发展等外包业务缺乏规范的管理办法和实施细则；且由于外包业务管理和操作归属于各业务条线，管理分散、松散、零散，甚至同区域同类外包业务协议版本不统一，执行标准也不统一。

3．外包服务供应商准入风险。业务外包服务供应商准入标准量化不够，业务外包时没有按照要求履行报批手续，准入标准的掌握不严格，将业务委托给注册资本低、风险承受能力差、管理经验不够、管理手段不完备、专业人员不足、保证制度不健全等专业及管理能力不符合要求的服务供应商处理，导致业务质量和效率较低，不能满足业务需要。

4．银行对垄断性的供应商缺乏制约措施，处于不利的谈判地位。主要表现在如现金押运外包、报警服务外包以及自助银行设备维护保养外包等，受政策性准入门槛的约束，部分外包服务的供应商如现金押运公司利用垄断优势，并推行有利于自身的合同条款，甚至借口油价上涨等随意提价，违背合同条款约定，银行处于不利的被动地位。

5．人员流动性风险。由于外包人员流动比率高，外包服务供应商对新聘人员培训不到位，加之，从完成培训到熟练掌握业务操作技能需一段时间，导致新聘人员业务处理熟练程度不高，业务质量和效率低；新聘人员不了解外包业务管理要求，增加管理难度。外包人员构成复杂，有些业务如现金清分整点、会计凭证影像信息采集、自助银行设备保养等，人员频繁更换易引发道德风险。

6．信息泄密风险。银行与服务供应商、服务供应商与外包人员之间未签订保密协议，或者有些银行虽签订了保密协议但协议条款不完备或未严格执行，协议条款对外包人员约束力不强，如外包人员错误投递客户对账单和其它客户资料、银监会通报的银行ATM监控系统外包维护人员利用盗取信息制作伪卡案件等，导致外包人员将银行内部信息、客户信息、账户信息泄密，存在潜在的资金、银行信誉及法律责任风险。

7．外包业务依赖性风险。银行业务外包具有提升核心竞争力、降低经营管理成本等优势,但也造成了银行对外包供应商事实上的依赖性，一方面银行在制定新的经营管理决策时会受制于服务商的配合程度及完成能力，另外随着合作时间的延长,银行对外包商提供服务的依赖程度不断加大,受其服务质量的影响也逐渐加强,降低了银行经营管理的自主性和灵活性，如今年2月某商业银行因过度依赖外包商而银行本身未能及时做出反应而发生生产系统中断长达4小时。

8．外包合同管理风险。银行实施外包业务时未及时与外包服务供应商签订外包合同，导致无法对外包服务供应商业务开展进行有效约束；由于外包经验缺少或未经上级法规部门审核，签订的外包合同不完备，特别是在合同中没有明确外包服务供应商业务差错赔付的标准和方式，外包人员处理业务出现差错、失误及重大违规，甚至发生案件，导致业务无法按时完成，对银行造成经济、声誉损失时，赔付没有保证，使银行无法获得合理的赔偿。