商业银行业务外包的风险体现及审计对策研究

商业银行业务外包的风险体现及审计对策研究林旺波银监会自2005年开始允许国内金融机构业务外包，2006年发布的《电子银行业务管理办法》与《银行金融机构信息系统管理指引》两文件中对外包业务以及风险已有所提及。今年6月7日，银监会正式发布并实施的《银行业金融机构外包风险管理指引》，涵盖了银行业外包的方方面面，是我国第一份专门针对商业银行外包进行规范的文件。尤其是在总则中明确提到“银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包”、“定期安排内部审计，确保审计范围涵盖所有的外包安排”，反映了内部审计的重要性以及对外包业务风险控制应该发挥的作用。笔者结合近年参与实施外包业务管理审计的认识，对商业银行的外包业务风险及审计对策进行了总结，供内部审计同仁参考。一、商业银行业务外包的涵义商业银行业务外包是指“银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。”1[1]商业银行采取业务外包策略往往基于以下考虑：降低营运成本、转移操作风险；提高产品或服务质量和效率、提升客户满意度；克服资源有限性、增强银行核心竞争力等。二、国内外商业银行外包业务现状国外的商业银行业务外包首先从信息技术外包开始，主要涉及银行通信网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等，更多属于业务处理环节的外包；第二阶段是分段业务流程的外包，将支持银行内部的运作或客户的后端服务切分成相对完整的流程段后整体外包，甚至包括整个IT系统的外包，而不仅限于某项具体的任务外包。通过所谓业务流程的优化组合，银行保留优势核心的流程段、外包非优势外围的流程段，以获得更高商业价值、更有效率的运作模式。当前，随着世界银行业的发展和银行业务的不断创新，各个层面上的专业专注组合构成了商业银行的核心竞争力，单一银行独立的业务全流程研发往往不足以确保竞争优势，导致很多银行尤其是中小银行将研发环节外包给专门的研发中心，即知识处理外包。相对于国外，国内商业银行的外包业务起步较晚，初始阶段的尝试、摸索是从后勤服务剥离、信息技术开发部分模块外包开始的，如90年代现金社会化押运、2002年深圳发展银行灾难备份支援服务外包等。至今，国内商业银行在以下方面已有了外包实践，大部分尚处于业务处理环节的外包阶段。1．信息技术类外包。具体为信息技术应用开发外包（指委托外包服务商对银行应用开发项目的设计、开发和推广实施）、信息系统运行维护外包（指委托外包服务商对银行应用系统日常的巡检、技术支持等运维工作）、信息技术基础设施运行维护外包（指委托外包服务商为银行信息技术基础设施提供日常的故障维修及巡检等运维工作）、自助银行设备保养（指委托外包服务商为银行自助设备提供日常的故障维修及软件升级等运维工作）。2．营运业务类外包。主要包括会计凭证影像信息采集、会计档案整理、对账单制作与寄递、会计资料运送、会计档案集中保管、后台信息录入和现金清分整点等。3．专业性服务类外包。主要包括现金押运、金库守押、报警服务、营业网点安保、法律事务等。4．业务处理程序外包，主要包括个人信贷业务客户身份及亲笔签名的核对、信用卡客户资料的输入与装封、不良贷款催收、柜面服务质量监测、手机银行营销、特约商户发展、电话推广营销等。5．其他类外包。主要包括劳务派遣外包、后勤事务外包、物业管理外包、营业网点保洁服务等。三、国内商业银行外包业务面临的主要风险随着国内商业银行经营集约化程度的提高，业务外包的种类和范围不断扩大，同时，由于目前我国外包监管制度尚不成熟，缺少大量外包实践经验和处理外包纠纷时有章可循的处理程序和制度，业务外包在促进商业银行业务发展的同时也呈现出较多的风险，具体体现在：1．商业银行缺少明确的外包战略发展规划，未确定与其风险管理水平相适宜的外包活动范围。尽管中国银监会在《银行业金融机构外包风险管理指引》中提到“银行业金融机构的战略管理、以及内部审计等职能不宜外包。”但目前对于战略管理和核心管理未做出进一步解释，商业银行也未能界定可以外包或不可以外包的具体范围，个别银行甚至违反银监会“各行不得进行银行卡委外发卡”的规定，将信用卡营销业务以及征信调查进行外包。2．外包业务管理统一性和规范性不足。对近年新推出的外包业务如手机银行营销、特约商户发展等外包业务缺乏规范的管理办法和实施细则；且由于外包业务管理和操作归属于各业务条线，管理分散、松散、零散，甚至同区域同类外包业务协议版本不统一，执行标准也不统一。3．外包服务供应商准入风险。业务外包服务供应商准入标准量化不够，业务外包时没有按照要求履行报批手续，准入标准的掌握不严格，将业务委托给注册资本低、风险承受能力差、管理经验不够、管理手段不完备、专业人员不足、保证制度不健全等专业及管理能力不符合要求的服务供应商处理，导致业务质量和效率较低，不能满足业务需要。4．银行对垄断性的供应商缺乏制约措施，处于不利的谈判地位。主要表现在如现金押运外包、报警服务外包以及自助银行设备维护保养外包等，受政策性准入门槛的约束，部分外包服务的供应商如现金押运公司利用垄断优势，并推行有利于自身的合同条款，甚至借口油价上涨等随意提价，违背合同条款约定，银行处于不利的被动地位。5．人员流动性风险。由于外包人员流动比率高，外包服务供应商对新聘人员培训不到位，加之，从完成培训到熟练掌握业务操作技能需一段时间，导致新聘人员业务处理熟练程度不高，业务质量和效率低；新聘人员不了解外包业务管理要求，增加管理难度。外包人员构成复杂，有些业务如现金清分整点、会计凭证影像信息采集、自助银行设备保养等，人员频繁更换易引发道德风险。6．信息泄密风险。银行与服务供应商、服务供应商与外包人员之间未签订保密协议，或者有些银行虽签订了保密协议但协议条款不完备或未严格执行，协议条款对外包人员约束力不强，如外包人员错误投递客户对账单和其它客户资料、银监会通报的银行ATM监控系统外包维护人员利用盗取信息制作伪卡案件等，导致外包人员将银行内部信息、客户信息、账户信息泄密，存在潜在的资金、银行信誉及法律责任风险。7．外包业务依赖性风险。银行业务外包具有提升核心竞争力、降低经营管理成本等优势,但也造成了银行对外包供应商事实上的依赖性，一方面银行在制定新的经营管理决策时会受制于服务商的配合程度及完成能力，另外随着合作时间的延长,银行对外包商提供服务的依赖程度不断加大,受其服务质量的影响也逐渐加强,降低了银行经营管理的自主性和灵活性，如今年2月某商业银行因过度依赖外包商而银行本身未能及时做出反应而发生生产系统中断长达4小时。8．外包合同管理风险。银行实施外包业务时未及时与外包服务供应商签订外包合同，导致无法对外包服务供应商业务开展进行有效约束；由于外包经验缺少或未经上级法规部门审核，签订的外包合同不完备，特别是在合同中没有明确外包服务供应商业务差错赔付的标准和方式，外包人员处理业务出现差错、失误及重大违规，甚至发生案件，导致业务无法按时完成，对银行造成经济、声誉损失时，赔付没有保证，使银行无法获得合理的赔偿。9.日常监管不到位风险。普遍存在“重外包轻管理”、“以外包代管理”的现象，未对外包服务质量、履约情况和风险状况等进行监督检查和日常评估，不能及时发现外包业务操作差错，或者未与服务供应商建立有效的沟通机制，出现业务差错后得不到及时纠正。如未对外包方提供的自助设备保养记录、月度维修巡检报告进行整理分析，未能发现同一人员同一时间对不同自助设备进行保养的虚假记录。也未发现以维修代保养，个别设备长期未得到日常维护。10.外包业务应急风险。由于银行外包业务应急组织架构、应急预案、应急演练及应急措施等应急管理体系不健全，导致银行在出现突发性业务高峰、服务供应商非正常退出及其它紧急情况时，无法及时进行应急处理，影响业务正常开展，甚至出现业务中断，产生法律纠纷和社会负面影响。四、国内商业银行外包业务审计对策根据银监会的《银行业金融机构外包风险管理指引》的要求，内部审计“应当定期对外包活动进行全面审计与评价”、“确保审计范围涵盖所有的外包安排”。遵循以风险为导向的审计原则，国内商业银行的内部审计应当将外包业务纳入年度审计计划，积极关注银行外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险以及变化，适时调整审计策略。1．积极发挥审计建设职能，督促银行管理层制定适合本行的外包战略，并确定与其风险管理水平相适宜的外包活动范围，循序渐进地推广银行业务外包，可以建议先将银行附加值较低、成本较高的非核心业务如信息技术外包,积累银行外包经验和风险识别能力，随着国内外包市场不断走向成熟,再制定长远的外包战略,逐步扩大外包业务范围,选择利润更高的业务流程外包和知识处理外包。2．关注外包业务审批权限管理，在银行总行认定的范围，对业务采取外包方式的授权应该集中在一级分行层面，新的外包业务种类和方式，必须由总行审批。严格对照具体外包业务管理办法中明确的服务供应商准入条件、量化的标准，审查是否严格外包服务商准入，审阅业务外包可行性分析报告，重点关注成本与效益分析，关注外包服务商确定中是否推行集中采购制度，外包后是否进行及时的后评估程序，有效控制外包费用。3．审核在外包合同中是否明确约定各类业务外包人员流动比率上限，并按超过流动比率不同档次，分类制定处罚标准，对于因人员流动超出规定比例且对业务处理的质量和效率产生不利影响的，应按合同明确的相应标准进行处罚，以保证外包业务及岗位人员的稳定性。并延伸审计检查外包供应商按照《劳动合同法》等相关法律规定给予外包人员的薪酬及福利待遇，以保证人员稳定，防范外包人员流动性风险。4．检查合同中相关保密条款的约定、现场检查或抽调外包场所监控录像资料。检查合同中相关保密条款的约定、现场检查或抽调外包场所监控录像资料。重点关注外包业务合同是否完善，有无针对具体业务与服务供应商签订保密协议，要求服务供应商与外包作业人员签订保密协议，明确外包公司应对所属员工在职期间及离职以后一定时期内利用工作便利获取的银行商业秘密进行违法犯罪行为造成的后果承担赔偿责任。必要时应针对外包业务购买保险或向银行支付保证金。关注对外包人员身份管理以及在外包工作场所过程的管理和监控是否严格、能否有效防止外包人员携带重要秘密信息（纸质或电子）离开工作场所。5．关注重外包、轻管理的现象。检查是否设立外包业务管理专门岗位，统一负责外包业务的制度细化、业务指导、风险检查以及对外包服务商的评估、跟踪了解、日常考核、年度考评、外包业务洽谈、合作谈判、督促外包服务商做好业务上岗培训以及外包成果中知识产权保护等工作，定期组织开展外包后评估工作，根据风险变化更新相关业务外包的控制措施。尤其重点关注对外包服务商分包、转包以及以银行名义开展活动的风险管理情况。6.关注是否事先制定和建立外包突发事件应急预案和机制、审阅定期组织应急演练的书面文档，审核外包应急替代方案。关注银行是否建立外包服务供应商后备机制，以备一旦外包服务供应商突然退出，即可启动后备机制，平稳过渡。关注银行是否对重要外包业务如IT系统外包，借鉴“三叶草组织”理论2[2]注重银行核心人才后备队伍建设，以便发生突发事件、服务供应商非正常退出时，银行能够及时投入核心人员接手业务处理，保证业务的正常运转。7．关注银行业务外包整个处理流程纳入IT系统管理的可行性，研究将包括需求、分析、外包方选择、合同拟订、合同审批、合同签订、实施、验收、付款和后续管理等流程全部纳入系统管理，实现全流程的系统处理和控制。8．积极开展审计调查，以访谈、调查问卷、穿行测试等多种形式直接收集银行经营网点、一线员工以及其他外包服务最终接受方对该类外包服务的评价和建议，反映外包业务操作和管理中的不合规现象,提示外包业务中的控制弱点和风险隐患，客观评价业务外包后的成效，提出改善外包业务管理建议，促进银行外包业务的持续、良性发展，充分发