银行业务外包的风险体现及对策研究
探讨人民银行业务外包风险及审计对策
探讨人民银行业务外包风险及审计对策摘要:本文以人民银行的业务外包活动作为研究切入点,分析了其可能存在的各类风险,并从加强内部审计出发,研究了通过加强内控,做好内部监督,减少和控制业务外包风险的管理策略,希望能通过本文的研究,为人民银行更好地做好业务外包的管理提供支持与帮助。
关键词:人民银行;业务外包;风险;审计对策人民银行部分业务实施外包,通过抓大放小,以集中管理力量,提高自身履职效能,但由此也带来了一定程度的业务外包风险,这些风险都集中在哪些方面?又应当采取怎样的措施去防范控制?以下本文就结合人民银行业务管理的一些具体问题,就这一课题展开详细探讨和解析。
一、人民银行业务外包风险分析(一)道德风险道德风险指的是具有契约关系的一方,不履行契约,没有尽到应有的义务,而由此对另一方造成的利益损失或权利遭受侵害的风险。
对银行业务外包活动来说,道德风险主要集中在三方面,一是外包业务的受委托方没有尽到应有的职责,工作中存在履职问题,从而导致银行声誉或形象受损的风险。
二是外包业务的受委托方在以人民银行名义进行对外联络和信息沟通时,擅自做出不合适的决定,代表人民银行发布不当言论,从而为人民银行带来风险的情况。
三是外包业务的受委托方,在其所负责的一些项目中,存在利用职务之便,侵占挪用客户资金,以盗窃和欺诈行为损害客户利益,从而为人民银行带来风险的现象。
(二)操作风险这一风险主要指的是在业务操作中因为失误或不当的操作行为而导致的风险。
这主要集中在三方面,一是接受人民银行业务外包的受委托方,因为对银行管理制度了解不足,对工作纪律与岗位风险认识不充分,从而导致在工作中出现违规行为,引发操作风险的情况。
二是受委托方在缔结外包合同后,人民银行的有关部门并未对其做好监管,使得外包业务陷于失控,从而使得业务领域出现违规操作,操作失误等现象,引发操作风险。
三是外包业务在应急管理上存在疏漏和不足,使得业务正常秩序被打破,从而引发操作风险。
商业银行业务外包的风险及其防范
商业银行业务外包的风险及其防范近年来,随着市场竞争的不断加剧,商业银行为了降低成本、提高效率,普遍选择将一些非核心业务进行外包。
然而,商业银行业务外包也带来了一定的风险。
本文将探讨商业银行业务外包的风险以及相应的防范措施。
首先,商业银行业务外包的风险之一是信息安全风险。
在业务外包过程中,商业银行需要将大量的关键信息交给第三方服务提供商,这其中包括客户的个人信息、交易数据等。
一旦第三方服务提供商没有足够的信息安全措施,就会存在信息泄露的风险,给银行和客户带来不可估量的损失。
此外,商业银行还需要与第三方服务提供商共享网络和系统资源,这也增加了系统受到黑客攻击的风险。
为了防范信息安全风险,在选择外包合作伙伴时,商业银行应该严格评估第三方服务提供商的信息安全能力,包括其技术设施、数据加密方式、员工培训情况等。
商业银行还应建立完善的合同和监管机制,明确第三方服务提供商的责任和义务,并建立信息安全审计机制,定期对第三方服务提供商进行安全合规性的检查。
其次,商业银行业务外包还存在操作风险。
外包的业务环节可能发生操作失误、延误等情况,导致业务无法按时完成或者出现错误。
这不仅会影响银行的声誉,还可能给客户带来财产损失。
为了防范操作风险,商业银行需要在选择外包合作伙伴时,重点考察其运营能力和质量管理水平。
商业银行还应与第三方服务提供商建立起严密的业务监控机制,及时发现和纠正问题,并与外包合作伙伴签署明确的服务水平协议,确保外包业务的质量和准确性。
此外,商业银行业务外包还会面临合规风险。
外包合作伙伴可能不符合相关法规和监管要求,或者在具体操作中存在漏洞,导致商业银行违反法规或监管规定,面临罚款或处罚的风险。
为了防范合规风险,商业银行应在选择外包合作伙伴时,仔细审核其合规性,包括是否具备相关许可证书、是否有良好的监管记录等。
商业银行还应与外包合作伙伴建立起定期报告和信息共享的机制,及时了解其合规情况,并建立内部合规管理团队,专门负责监督外包业务的合规性。
商业银行业务外包的风险及其防范
商业银行业务外包的风险及其防范一、前言随着信息技术的发展,商业银行为了降低成本、提高效率,开始将一部分业务进行外包。
然而,商业银行业务外包在降低成本的同时,也面临着一些风险。
本文将介绍商业银行业务外包的风险以及如何防范这些风险。
二、商业银行业务外包的风险2.1 数据泄露商业银行业务外包涉及到大量的数据交换,如果数据泄露,则将直接影响客户的利益和商业银行的信誉。
2.2 服务中断商业银行的业务外包是依赖于外包商提供的服务的,如果外包商的服务出现中断,则将直接影响商业银行的正常运营,同时也将影响客户的利益。
2.3 管理风险商业银行业务外包还涉及到管理风险,如果外包商的管理水平存在问题,则将直接影响合作关系的稳定和可持续性。
三、商业银行业务外包的防范3.1 选取靠谱的外包商商业银行在选择外包商时,必须要选择一家可靠的外包商。
商业银行必须对外包商的资质、品牌、企业文化等进行调查和分析,确保其信誉和服务能力可靠。
3.2 建立合同约束商业银行在签订合同时,必须要明确外包商要提供的服务内容和服务标准,并在合同中规定相应的责任和约束。
商业银行还可以在合同中规定违约赔偿条款,确保商业银行自身的利益不受损失。
3.3 加强监管和管理商业银行在与外包商合作时,必须要加强对合作方的监管和管理。
商业银行需对外包商的服务进行监督和评估,确保合作的稳定和可持续性。
四、总结商业银行业务外包可以降低成本、提高效率,但也存在着很多的风险。
商业银行在进行业务外包时,必须要进行风险评估和防范。
商业银行需要加强对外包商的管理和监管,确保双方的合作顺利进行,并为客户提供更加优质的服务。
商业银行业务外包的风险及其防范
商业银行业务外包的风险及其防范引言随着经济全球化的发展,商业银行业务外包越来越成为一种常见的策略。
商业银行通过外包将部分业务或功能交由专业的第三方机构来处理,以降低成本、提高效率、增强竞争力。
然而,商业银行业务外包也伴随着一定的风险。
这篇文档将探讨商业银行业务外包可能面临的风险,并提出相应的防范措施。
1. 风险一:信息安全风险商业银行业务外包可能面临的最大风险之一是信息安全风险。
在外包过程中,商业银行需要与第三方机构共享大量关键性的客户数据和机密信息。
如果第三方机构的信息安全措施不到位,可能导致客户数据泄漏、操纵或滥用,给商业银行和客户带来严重的损失。
防范措施:•选择可信赖的第三方机构:商业银行在选择外包合作伙伴时,应对其进行充分的尽职调查,了解其信息安全管理体系、技术能力和信誉度。
只选择那些能够提供高水平信息安全保障的机构。
•建立有效的合同和监管机制:商业银行与第三方机构之间应建立详细的合同并明确双方的信息安全责任。
同时,应建立监管机制,对第三方机构的信息安全措施进行定期审查和监督。
2. 风险二:业务连续性风险商业银行业务外包也存在业务连续性风险。
如果商业银行的第三方合作伙伴无法按时履行合同,或者由于不可抗力因素导致无法继续提供服务,可能会给商业银行带来巨大的经济损失,并影响到客户的资金流动和交易。
防范措施:•多样化合作伙伴:商业银行在选择外包合作伙伴时,应尽量选择多样化的机构进行合作,以避免过于依赖某一个机构而造成的业务中断。
•建立灵活的合作机制:商业银行与第三方机构之间应建立灵活的合作机制,包括制定紧急情况的应急方案和备份方案。
同时,商业银行应保留一些关键业务的内部操作能力,以便在必要时能够转移或内部处理。
3. 风险三:声誉风险商业银行业务外包如果出现问题,可能会给商业银行造成严重的声誉损失。
客户对商业银行的信任度和忠诚度可能受到影响,进而对商业银行的业务发展和品牌形象产生负面影响。
防范措施:•保持良好的沟通与协调:商业银行与第三方机构之间应保持良好的沟通与协调,及时解决可能出现的问题和矛盾。
浅谈银行IT业务外包风险与安全管理
浅谈银行IT业务外包风险与安全管理银行信息系统安全运营,与IT外包商提供的软硬件产品质量休戚相关,而IT业务外包风险贯穿于技术、产品、系统、服务、生产、采购、集成、运行、维护等整个产品供应链中的各个阶段,一旦风险与安全管理失控,则给银行信息系统建设带来损失。
因为IT业务外包是国内外商业银行普遍采取的科技发展战略,主机设备、操作系统、数据库基本采购国外知名IT公司产品,应用软件大型商业银行以自主研发为主,少部分外包采购,中小银行信息系统建设采取外包采购方式来完成。
因此,做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。
一、IT业务外包风险分析1、从宏观层面分析,产生系统性风险。
目前银行业使用的IT产品如计算机CPU、操作系统、基础应用软件、互联网等技术都来自国外公司,因某种原因,承包商所在国家发生战争等不可抗拒性事件时,会造成IT供应商及其供应链上的公司不能正常经营,如果IT业务外包的是一些重要的核心业务,则会对银行信息系统安全造成重大影响。
2、从供应商方面分析,产生依赖性风险。
目前,国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品,在熟悉供应商产品的同时,长期使用也形成了对某一供应商的依赖,也会因外包商自身或其供应链上某公司出现问题,造成外包商运营出现风险,如果银行没有自己掌握外包供应商产品技术,更换新外包商会带来成本高及影响银行业务正常运营。
3、从产品供应链分析,产生供应链风险。
目前,很多IT厂商特别是跨国IT供应商,把用户订单分包给其他外包商生产,当该公司供应链企业合作关系因某种原因出现问题时,则会产生IT外包供应链风险。
4、从采购方面分析,出现选择性风险。
在外包供应商招投标过程中,由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估,并受到来自各方面关系因素影响,选择的IT外包商各方面能力不能满足银行自身业务发展需要,容易出现项目失败,造成损失。
商业银行业务外包的风险体现及审计对策研究
商业银行业务外包的风险体现及审计对策研究一、商业银行业务外包的XXX业务外包是指“银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。
服务提供商包括独立第三方,银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。
”1[1]商业银行采取业务外包策略往往基于以下考虑:降低营运成本、转移操作风险;提高产品或服务质量和效率、提升客户满意度;克服资源有限性、增强银行核心竞争力等。
二、国内外商业银行外包业务现状国外的商业银行业务外包首先从信息技术外包开始,主要涉及银行通信网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等,更多属于业务处理环节的外包;第二阶段是分段业务流程的外包,将支持银行内部的运作或客户的后端服务切分成相对完整的流程段后整体外包,甚至包括整个IT系统的外包,而不仅限于某项具体的任务外包。
通过所谓业务流程的优化组合,银行保留优势核心的流程段、外包非优势外围的流程段,以获得更高商业价值、更有效率的运作模式。
当前,随着世界银行业的发展和银行业务的不断创新,各个层面上的专业专注组合构成了商业银行的核心竞争力,单一银行独立的业务全流程研发往往不足以确保竞争优势,导致很多银行尤其是中小银行将研发环节外包给专门的研发中心,即知识处理外包。
相对于国外,国内商业银行的外包业务起步较晚,初始阶段的尝试、摸索是从后勤服务剥离、信息技术开发部分模块外包开始的,如90年代现金社会化押运、2002年XXX灾难备份支援服务外包等。
至今,国内商业银行在以下方面已有了外包实践,大部分尚处于业务处理环节的外包阶段。
1.信息技术类外包。
具体为信息技术应用开发外包(指委托外包服务商对银行应用开发项目的设计、开发和推广实施)、信息系统运行维护外包(指委托外包服务商对银行应用系统日常的巡检、技术支持等运维工作)、信息技术基础设施运行维护外包(指委托外包服务商为银行信息技术基础设施提供日常的故障维修及巡检等运维工作)、自助银行设备保养(指委托外包服务商为银行自助设备提供日常的故障维修及软件升级等运维工作)。
浅谈银行IT服务外包的风险及管控措施
浅谈银行IT服务外包的风险及管控措施IT服务外包对于银行降低IT成本、提高IT应用水平、培育和发展核心竞争力具有重要的战略意义。
在IT外包给银行带来益处的同时,银行因外包引发的风险问题、安全事件也不容忽视。
在此情况下,如何在有效控制风险的前提下使用外包就显得尤为重要。
一、IT服务外包的内涵IT服务外包是发包方以合同的形式,将IT服务委托给专业化的公司去提供,以获得高质量、低成本的服务的一种业务模式。
随着IT服务外包的发展,业界学者们针对如何界定IT服务外包、IT服务外包内涵进行了深入的探讨。
国内外众多IT服务外包研究文献对于IT服务外包的概念阐述不尽相同。
有一部分学者强调IT服务外包是一种“转让”、“转移”的过程;有的学者强调IT服务外包中的契约关系。
我们认为,没有必要纠结于必须给IT外包的范围界定一个无可挑剔的标准,我们引入外包的目的是利用外部资源,补充产能缺口、引进先进成熟的方式方法。
比如,有的银行会将购买人力来满足开发需要的活动称为外部协作,简称“外协”,事情主体并未“包”给服务商,没有用外包的定义,但从外部获得服务资源的事实存在,因而外包管理活动同样适用。
2013年2月,中国银监会发布的《银行业金融机构信息科技外包风险监管指引》中将银行IT外包定义为“银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式”。
二、IT服务外包面临的主要风险1、外包商选择风险。
对外包商进行评价与选择是外包过程中的一个重要环节,如果对外包商的选择标准及过程不完善,或者缺乏对外包商综合服务能力和水平的全面评估,可能导致银行选择不当的外包商。
2、服务质量风险。
在签订合同时,如果银行没有充分考虑外包服务过程中的各个环节,缺乏明确详细的内容,在合同执行过程中缺乏有效的监督和管理,势必导致外包服务质量下降。
3、信息泄露风险。
在外包服务过程中,银行将信息系统研发、维护等工作委托给外包商来完成,期间外包商及其员工可能会有意或无意地将银行内部信息和商业机密泄露,使银行面临着潜在的风险。
我国银行外包战略风险与对策
(二)客观上还存在着诸多可能给银
(合作经济与科技)2008年8月号下(总第35l期)
万 方数据
毋掘|舀雅渊●l铭眨
行业务外包带来不利的来自于银行外部
的风险.(1)国家风险。指各种政治力量使 一个国家的商业环境发生剧烈变化,并影 响到外包机构外包目标实现的可能性。此 风险是针对离岸外包而言的。(2)声誉风 险。指服务商提供的服务差强人意。与客 户的互动不符合银行的整体标准,使得银 行的声誉受到损失,影响到银行与客户的 良好关系或可以进一步发展的关系的风 险。(3)环境风险。指由于外包市场不够发 达和完善,没有形成全行业的统一标准, 给银行的外包带来的风险,主要包括:外 包服务还没有科学、明确的行业标准,无 法进行综合评定,以测定外包商资质等级 等.(4)合规风险。指违反法律和规定,未 遵守银行的道德准则和内部规定所带来 的风险,主要包括:未遵守隐私法、未充分 遵守客户与谨慎管理的法规,外包提供者 的合规与控制能力不足等。(5)信用风险。 指外包服务商未能履行或未能很好地履 行与银行签订的合同条款,同时银行又没 有进行充分的监督,确保信用风险及时发 现并控制在可补救的范围的风险。 三、针对我国银行外包风险的对策 既然商业银行进行业务外包,会出现 如上所述的诸多内部及外部风险,且这些 风险无不影响着商业银行的盈利甚至稳 定。所以,针对这些风险,提出必要的防范 措施就显得尤为紧迫、重要。 (一)明确外包战略.在外包活动之 前,外包机构应建立外包决策的具体政策 和标准。这些应包括对有关活动是否适合 外包及外包范围的评定。进行业务外包 时,高级管理人员需要对自身的核心竞争 力、管理的优势与劣势、整体价值和长远 目标进行深入、客观的分析。明确将要外 包的业务在整个经营战略中的角色,以及 外包将给公司造成的影响。因此,在进行 外包之前,银行一定要明确选定的业务是 否适合外包,在多大程度上可以外包,将 风险控制在可以承受的范围之内。 在外包初期,银行一般选择非核心业 务进行外包,以利于集中精力做核心业 务,这是目前金融业竞争的要求。由于目 前我国银行业务外包还没有积累足够的 经验,所以在评定外包的范围时一定要谨 慎,不能将核心业务进行外包,只能外包 属于低附加值的业务,如操作、应用系统 的设计、信息技术、业务过程管理和后勤 的业务。涉及银行核心竞争业务、体现银 行独有的价值贡献,如投融资活动、贷款 业务、客户群的选定、金融业务创新等还 是要暂缓外包。 (二)慎重选择外包服务商.在选定外 包业务后,银行必须制定标准来评价服务 商有效、可靠并高标准完成外包活动的资 格和能力,以及某一特定服务商的潜在风 险。有名的外包服务商不一定是所有机构 的最优选择。他们可能对所需要的技术缺 乏有经验的员工,也可能对所要求的业务 领域不够熟悉。一般而言,银行在选择服 务商时首先考虑的是服务商提供服务的 能力和信誉状况,而后才是成本。此外,共 同的价值观、文化背景、管理思路、经营方 式都是双方未来合作的基础。银行在选择 服务商时要尽力去了解服务商的经营战 略、服务质量、人力资源状况、财务状况、 经营管理效率和业务扩张能力,同时要了 解服务商为其他银行提供服务的历史记 录,与服务商的其他客户进行沟通以发现 潜在问题。要同时在几个服务商当中进行 选择,这样既可以充分了解每个服务商的 服务特点,又可以在谈判时给服务商施加 一些压力,得到更为优惠的条件。服务商 的选择非常重要,一旦选择了不能胜任的 服务商,对银行经营、客户资源、信誉等方 面的潜在损失将是非常巨大的. (三)合同要反映所有与外包有关的 实质性内容.合同是双方行为的基础和约 束,合同中应该明确双方的期望,包括考 核措施和激励机制。合同是重要的风险管 理工具,可以避免在未来的合作中双方的 争议和纠纷。对于银行的外包服务一般时 间较长,通常是5~7年,有时候甚至lO 年,在此期间市场需求的变化、服务要求 的发展都应该考虑到,因此合同的签订要 足够灵活,以适应不断变化的环境。签订 合同时要注意以下几点:(1)合同要明确 外包对象以及对于服务商提供的服务水 平的要求.(2)对于重要的外包合同要写 明服务方主要负责人的姓名。(3)合同中 要明确规定对服务商的奖、惩措施。“)要 保留雇佣其他服务商的权利,以让服务商 感觉到竞争压力,保证服务质量。(5)如果 服务商要使用分包合同,则必须经过银行 的同意,合同应使服务提供商将业务外包 给第三方时,仍然能对风险进行有效的控 制。 (四)制定明晰、完整的外包风险控制 计划.一般一项外包风险管理计划应包括 对外包协议所有相关方面的监控和某些 事件发生时采取纠正措施的程序。风险计 划要明确银行对外包风险的管理和监控 水平以,及外包服务商控制潜在操作风险 的水平。对于信息和相关资产的安全控制 方式要在合同中明确规定。银行要制定服 务商必须遵循的原则,提供机密信息的保 护步骤,如不准单个人完成与机密信息相 关的交易。银行可以根据自己机构内部的 安全措施制定保护步骤,对外包商进行有 效的监督和控制,这样可以确保服务商具 有与银行一致的安全水平.外包对保证信 息的安全提出了新的挑战。瑞士银行
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行业务外包的风险体现及审计对策研究银监会自2005年开始允许国内金融机构业务外包,2006年发布的《电子银行业务管理办法》与《银行金融机构信息系统管理指引》两文件中对外包业务以及风险已有所提及。
今年6月7日,银监会正式发布并实施的《银行业金融机构外包风险管理指引》,涵盖了银行业外包的方方面面,是我国第一份专门针对商业银行外包进行规范的文件。
尤其是在总则中明确提到“银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包”、“定期安排内部审计,确保审计范围涵盖所有的外包安排”,反映了内部审计的重要性以及对外包业务风险控制应该发挥的作用。
笔者结合近年参与实施外包业务管理审计的认识,对商业银行的外包业务风险及审计对策进行了总结,供内部审计同仁参考。
一、商业银行业务外包的涵义商业银行业务外包是指“银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。
服务提供商包括独立第三方,银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。
”1[1]商业银行采取业务外包策略往往基于以下考虑:降低营运成本、转移操作风险;提高产品或服务质量和效率、提升客户满意度;克服资源有限性、增强银行核心竞争力等。
二、国内外商业银行外包业务现状国外的商业银行业务外包首先从信息技术外包开始,主要涉及银行通信网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等,更多属于业务处理环节的外包;第二阶段是分段业务流程的外包,将支持银行内部的运作或客户的后端服务切分成相对完整的流程段后整体外包,甚至包括整个IT系统的外包,而不仅限于某项具体的任务外包。
通过所谓业务流程的优化组合,银行保留优势核心的流程段、外包非优势外围的流程段,以获得更高商业价值、更有效率的运作模式。
当前,随着世界银行业的发展和银行业务的不断创新,各个层面上的专业专注组合构成了商业银行的核心竞争力,单一银行独立的业务全流程研发往往不足以确保竞争优势,导致很多银行尤其是中小银行将研发环节外包给专门的研发中心,即知识处理外包。
相对于国外,国内商业银行的外包业务起步较晚,初始阶段的尝试、摸索是从后勤服务剥离、信息技术开发部分模块外包开始的,如90年代现金社会化押运、2002年深圳发展银行灾难备份支援服务外包等。
至今,国内商业银行在以下方面已有了外包实践,大部分尚处于业务处理环节的外包阶段。
1.信息技术类外包。
具体为信息技术应用开发外包(指委托外包服务商对银行应用开发项目的设计、开发和推广实施)、信息系统运行维护外包(指委托外包服务商对银行应用系统日常的巡检、技术支持等运维工作)、信息技术基础设施运行维护外包(指委托外包服务商为银行信息技术基础设施提供日常的故障维修及巡检等运维工作)、自助银行设备保养(指委托外包服务商为银行自助设备提供日常的故障维修及软件升级等运维工作)。
2.营运业务类外包。
主要包括会计凭证影像信息采集、会计档案整理、对账单制作与寄递、会计资料运送、会计档案集中保管、后台信息录入和现金清分整点等。
3.专业性服务类外包。
主要包括现金押运、金库守押、报警服务、营业网点安保、法律事务等。
4.业务处理程序外包,主要包括个人信贷业务客户身份及亲笔签名的核对、信用卡客户资料的输入与装封、不良贷款催收、柜面服务质量监测、手机银行营销、特约商户发展、电话推广营销等。
5.其他类外包。
主要包括劳务派遣外包、后勤事务外包、物业管理外包、营业网点保洁服务等。
三、国内商业银行外包业务面临的主要风险随着国内商业银行经营集约化程度的提高,业务外包的种类和范围不断扩大,同时,由于目前我国外包监管制度尚不成熟,缺少大量外包实践经验和处理外包纠纷时有章可循的处理程序和制度,业务外包在促进商业银行业务发展的同时也呈现出较多的风险,具体体现在:1.商业银行缺少明确的外包战略发展规划,未确定与其风险管理水平相适宜的外包活动范围。
尽管中国银监会在《银行业金融机构外包风险管理指引》中提到“银行业金融机构的战略管理、以及内部审计等职能不宜外包。
”但目前对于战略管理和核心管理未做出进一步解释,商业银行也未能界定可以外包或不可以外包的具体范围,个别银行甚至违反银监会“各行不得进行银行卡委外发卡”的规定,将信用卡营销业务以及征信调查进行外包。
2.外包业务管理统一性和规范性不足。
对近年新推出的外包业务如手机银行营销、特约商户发展等外包业务缺乏规范的管理办法和实施细则;且由于外包业务管理和操作归属于各业务条线,管理分散、松散、零散,甚至同区域同类外包业务协议版本不统一,执行标准也不统一。
3.外包服务供应商准入风险。
业务外包服务供应商准入标准量化不够,业务外包时没有按照要求履行报批手续,准入标准的掌握不严格,将业务委托给注册资本低、风险承受能力差、管理经验不够、管理手段不完备、专业人员不足、保证制度不健全等专业及管理能力不符合要求的服务供应商处理,导致业务质量和效率较低,不能满足业务需要。
4.银行对垄断性的供应商缺乏制约措施,处于不利的谈判地位。
主要表现在如现金押运外包、报警服务外包以及自助银行设备维护保养外包等,受政策性准入门槛的约束,部分外包服务的供应商如现金押运公司利用垄断优势,并推行有利于自身的合同条款,甚至借口油价上涨等随意提价,违背合同条款约定,银行处于不利的被动地位。
5.人员流动性风险。
由于外包人员流动比率高,外包服务供应商对新聘人员培训不到位,加之,从完成培训到熟练掌握业务操作技能需一段时间,导致新聘人员业务处理熟练程度不高,业务质量和效率低;新聘人员不了解外包业务管理要求,增加管理难度。
外包人员构成复杂,有些业务如现金清分整点、会计凭证影像信息采集、自助银行设备保养等,人员频繁更换易引发道德风险。
6.信息泄密风险。
银行与服务供应商、服务供应商与外包人员之间未签订保密协议,或者有些银行虽签订了保密协议但协议条款不完备或未严格执行,协议条款对外包人员约束力不强,如外包人员错误投递客户对账单和其它客户资料、银监会通报的银行ATM监控系统外包维护人员利用盗取信息制作伪卡案件等,导致外包人员将银行内部信息、客户信息、账户信息泄密,存在潜在的资金、银行信誉及法律责任风险。
7.外包业务依赖性风险。
银行业务外包具有提升核心竞争力、降低经营管理成本等优势,但也造成了银行对外包供应商事实上的依赖性,一方面银行在制定新的经营管理决策时会受制于服务商的配合程度及完成能力,另外随着合作时间的延长,银行对外包商提供服务的依赖程度不断加大,受其服务质量的影响也逐渐加强,降低了银行经营管理的自主性和灵活性,如今年2月某商业银行因过度依赖外包商而银行本身未能及时做出反应而发生生产系统中断长达4小时。
8.外包合同管理风险。
银行实施外包业务时未及时与外包服务供应商签订外包合同,导致无法对外包服务供应商业务开展进行有效约束;由于外包经验缺少或未经上级法规部门审核,签订的外包合同不完备,特别是在合同中没有明确外包服务供应商业务差错赔付的标准和方式,外包人员处理业务出现差错、失误及重大违规,甚至发生案件,导致业务无法按时完成,对银行造成经济、声誉损失时,赔付没有保证,使银行无法获得合理的赔偿。
9.日常监管不到位风险。
普遍存在“重外包轻管理”、“以外包代管理”的现象,未对外包服务质量、履约情况和风险状况等进行监督检查和日常评估,不能及时发现外包业务操作差错,或者未与服务供应商建立有效的沟通机制,出现业务差错后得不到及时纠正。
如未对外包方提供的自助设备保养记录、月度维修巡检报告进行整理分析,未能发现同一人员同一时间对不同自助设备进行保养的虚假记录。
也未发现以维修代保养,个别设备长期未得到日常维护。
10.外包业务应急风险。
由于银行外包业务应急组织架构、应急预案、应急演练及应急措施等应急管理体系不健全,导致银行在出现突发性业务高峰、服务供应商非正常退出及其它紧急情况时,无法及时进行应急处理,影响业务正常开展,甚至出现业务中断,产生法律纠纷和社会负面影响。
四、国内商业银行外包业务审计对策根据银监会的《银行业金融机构外包风险管理指引》的要求,内部审计“应当定期对外包活动进行全面审计与评价”、“确保审计范围涵盖所有的外包安排”。
遵循以风险为导向的审计原则,国内商业银行的内部审计应当将外包业务纳入年度审计计划,积极关注银行外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险以及变化,适时调整审计策略。
1.积极发挥审计建设职能,督促银行管理层制定适合本行的外包战略,并确定与其风险管理水平相适宜的外包活动范围,循序渐进地推广银行业务外包,可以建议先将银行附加值较低、成本较高的非核心业务如信息技术外包,积累银行外包经验和风险识别能力,随着国内外包市场不断走向成熟,再制定长远的外包战略,逐步扩大外包业务范围,选择利润更高的业务流程外包和知识处理外包。
2.关注外包业务审批权限管理,在银行总行认定的范围,对业务采取外包方式的授权应该集中在一级分行层面,新的外包业务种类和方式,必须由总行审批。
严格对照具体外包业务管理办法中明确的服务供应商准入条件、量化的标准,审查是否严格外包服务商准入,审阅业务外包可行性分析报告,重点关注成本与效益分析,关注外包服务商确定中是否推行集中采购制度,外包后是否进行及时的后评估程序,有效控制外包费用。
3.审核在外包合同中是否明确约定各类业务外包人员流动比率上限,并按超过流动比率不同档次,分类制定处罚标准,对于因人员流动超出规定比例且对业务处理的质量和效率产生不利影响的,应按合同明确的相应标准进行处罚,以保证外包业务及岗位人员的稳定性。
并延伸审计检查外包供应商按照《劳动合同法》等相关法律规定给予外包人员的薪酬及福利待遇,以保证人员稳定,防范外包人员流动性风险。
4.检查合同中相关保密条款的约定、现场检查或抽调外包场所监控录像资料。
检查合同中相关保密条款的约定、现场检查或抽调外包场所监控录像资料。
重点关注外包业务合同是否完善,有无针对具体业务与服务供应商签订保密协议,要求服务供应商与外包作业人员签订保密协议,明确外包公司应对所属员工在职期间及离职以后一定时期内利用工作便利获取的银行商业秘密进行违法犯罪行为造成的后果承担赔偿责任。
必要时应针对外包业务购买保险或向银行支付保证金。
关注对外包人员身份管理以及在外包工作场所过程的管理和监控是否严格、能否有效防止外包人员携带重要秘密信息(纸质或电子)离开工作场所。
5.关注重外包、轻管理的现象。
检查是否设立外包业务管理专门岗位,统一负责外包业务的制度细化、业务指导、风险检查以及对外包服务商的评估、跟踪了解、日常考核、年度考评、外包业务洽谈、合作谈判、督促外包服务商做好业务上岗培训以及外包成果中知识产权保护等工作,定期组织开展外包后评估工作,根据风险变化更新相关业务外包的控制措施。