電子銀行業務外包監管論文

導語：電子銀行業務外包監管論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:電子銀行業務外包的出現,改變了銀行業傳統的經營方式與業務模式,在提高銀行效率的同時也加大了銀行的風險與監管的難度。針對電子銀行業務外包制定相應的監管規范并構筑有效的外包監管體系勢在必行。本文在借鑒和比較國內外電子銀行業務外包監管模式的基礎上,對我國電子銀行業務外包監管體系的健全也作一探討。

關鍵詞:電子銀行;外包;監管

近年來,在全球銀行業興起的電子銀行業務(ElectronicBankingBussiness)大大改變了銀行業的傳統經營方式與業務模式,不僅銀行效率得以提高,服務成本得以降低,而且商業銀行也被賦予了許多新的特征,例如服務內容的開放性和服務對象的全球性,傳統業務和網絡技術的緊密結合,以及銀行與外包第三方間的相互依存關系等。[1]雖然這些新特征并不必然帶來新的風險,但其無疑會增加和改變傳統銀行業務實踐中的風險結構。因此,各國銀行監管機構紛紛采取了一系列措施以加強相應的專門監管,而其中對電子銀行業務外包活動的監管則是各國共同關注的重點之一。

一、對電子銀行業務外包的優勢分析

外包(Outsourcing)是一個外來詞,其基本含義就是將自己本可以做的一些事情委托給其他人去做。由于電子銀行業務對信息技術及網絡安全都有著極高要求,而這就意味著巨大的資金投入,因此在以最小成本追求最大收益的商業規則下,銀行往往選擇將電子銀行業務中的軟件開發、信息處理、硬件維護等部分或全部外包給更為專業的第三方公司去做。從經濟學和管理學的角度來看,銀行之所以傾向于選擇電子銀行業務外包通常是基于如下的考慮:

1.提升核心競爭力的需要。電子銀行外包可以讓商業銀行轉而注重自己的核心業務,專注核心競爭力的培育。據調查,美國有68%的信用卡業務都是通過非商業銀行機構來實現,銀行的核心競爭力主要體現在業務本身而非后臺支持,因此銀行沒必要雇用大批的網絡高手來維護網絡,交給專門的網絡公司去做就行了。

2.更好地控制成本,優化資源配置。根據管理學理論,優秀企業通過將價值鏈中的不同環節外包給更為專業的公司,從而節省資源獲得規模經濟。例如,根據美國Forrest調查公司的一項統計,美國企業依靠自身力量建立并維護一個Web網站,頭年的費用是22萬美元,而將此工作外包給網絡公司僅需花費4.2萬美元。

3.獲得新技術和提高服務效率。IT技術的發展日新月異,而電子銀行的技術外包不僅可以使銀行內部技術人員獲得更多接觸新技術的機會,還可以使他們擺脫一些繁雜的日常事務,從而大大提高技術支持的響應速度與效率。四是發展戰略和風險規避的考慮。在全球金融一體化發展的背景下,銀行業的競爭日趨激烈,網絡技術的運用更給傳統的生活方式與商業模式帶來了新的挑戰與機遇,而通過與專業外包服務商的利益捆綁,銀行可以圍繞最新科技的發展趨勢來發展各項新興業務以搶占市場先機,并因此減少了很多系統維護管理和技術開發失敗的風險。

二、電子銀行業務外包的風險分析

電子銀行業務外包在提升銀行的核心競爭力的同時,也會給銀行帶來新的潛在風險,并且給傳統的銀行監管體系出了新的難題。撇開就業等社會問題不談,從經濟與法律角度分析,電子銀行業務外包本身也蘊涵著許多隱患。

1.信譽風險。銀行業最為核心的資產是信譽,而外包服務供應商提供的服務質量低下將會影響銀行的信譽。例如由于IT外包供應商的原因硬件設備出現故障維修不及時或軟件系統存在漏洞等致使銀行客戶受損(包括客戶在業務操作方面的不便利以及在資金、機會方面的損失等),即使這完全是由于IT外包供應商的過錯也同樣會大大影響銀行的社會形象與信譽。

2.技術風險。在技術選擇上,銀行必須選擇一種技術解決方案來支撐電子銀行業務的開展,因而當各種電子銀行的解決方案紛紛出臺時,商業銀行選擇與哪一家公司合作,采用哪一種解決方案都將是電子銀行存在的一種潛在風險,一旦選擇不當,將使銀行面臨巨大的機會損失與利益損失。同時由于核心技術由外包公司掌握,外包公司或其職員利用工作便利來從中獲利的道德風險也不可不防。

3.法律風險。由于電子商務和網上銀行在我國還處于起步階段,尚沒有形成完善的法律環境,再加上網絡的無國界性與各國監管機制的差異性使得電子銀行業務外包中存在著相當大的法律風險。例如,外包過程中銀行客戶的隱私權保護問題、商業秘密和技術專利的歸屬問題、跨國訴訟的司法管轄權問題等都可能對銀行的審慎經營造成巨大沖擊。

4.系統風險。銀行業是一國金融發展的核心,其對風險管理有著更加嚴格的要求。由于某些IT核心技術的壟斷,在IT外包行業也存在著若干寡頭公司,因而可能產生某一國(地區)的多家銀行過于集中依賴某些外包服務供應商的情況,一旦出現問題會造成連鎖效應。另外從長遠來看,過于依賴某些跨國公司的技術外包還可能不利于本土企業的技術創新,甚至可能威脅到國家的金融安全。

三、電子銀行業務外包監管的域外經驗

銀行業是個對風險管理有著異常嚴格要求的行業,而電子銀行業務的外包有可能把本屬銀行機構的風險、管理責任及合規要求轉移給不受監管當局監管的第三方。在此情況下,銀行機構如何有效控制外包帶來的運營風險?監管機構如何確保外包供應商在外包過程中履行了其監管要求?為了解決這些問題,很多發達國家和地區的銀行監管當局已經陸續對此作出反應,以監管報告、建議或指引方式將電子銀行業務的外包活動納入到其原有監管體系中。

1.美國。早在1990年1月,美聯儲就通過一份監管聲明提醒金融機構注意訂立電子數據處理(ElectronicDigitalPlatforms,EDP)服務合同的潛在風險,美聯儲最為關注的問題是金融機構所簽EDP服務合同中是否含有對其原有風險管理體系存在不利影響的條款,如責任免除條款等。而美聯儲紐約銀行1995年的一封監管信函則明確了外包服務安排報告規則,即無論任何銀行服務機構都應該在首次簽署外包服務合同或者履行合同后的30天內向合適的聯邦銀行機構報告這種關系。

另外,聯邦金融機構檢查委員會(FFIEC)還了一系列旨在闡明銀行管理IT外包風險方面職責的指引與公告,例如《FFIEC對外包技術服務的風險管理指引》(2000年)提出了由董事會負責外包引入和風險管理的原則;《FFIEC對技術服務商(TSP)監管手冊》(2003年)概述了TSP風險的監管流程與方法;《IT外包技術服務檢查手冊》(2004年)為監管人員的審計檢查提供了相應的程序指引。

2.香港。香港金融管理局(HKMA)2001年12月的《外判》對本地銀行業的的外包活動表達了相當明確的監管態度,它雖然并非專門針對電子銀行,但其中載明的一般監管方法及有關技術外包的管控措施等均對電子銀行外包具有參考價值。在《外判》指引中金融管理局明確只要被監管機構的外包安排具備周詳的計劃和妥善的管理且不會有導致損害客戶利益的情形發生,金融管理局就不會干涉。[2]

而所謂“周詳的計劃和妥善的管理”則包括了以系列的特殊管控措施。首先,在選擇外包服務商時,銀行應審查其是否具備足夠的資源與專業知識,而在將關鍵技術如數據中心操作外包時,還應由獨立第三方作出獨立評估報告,報告將提交金融管理局備案。其次,在同外包服務商簽訂協議時,金融管理局強調應清楚載明外包服務商的履行標準和服務水平。再次,在外包安排存續期間,銀行應對外包服務商實施持續充分的監控和制定有效的應急計劃。最后,為了防止外包風險的過于集中,銀行還應盡量避免過度依賴單一的外部服務商。

3.瑞士。1999年8月,瑞士聯邦銀行委員會(SFBC)了針對銀行與證券公司的《外包指引》,允許金融機構在未經SFBC明確同意的情況下實施外包。但該指引規定外包必須得到董事會的同意方可實施,必須訂立書面合同,并要求金融機構將外包業務納入內控體系,外包合同必須明確允許SFBC、金融機構及其內外部審計機構對外包服務商進行必要的監控,同時某些核心管理職能是不允許外包的。

此外,伴隨著國際金融一體化步伐的加快,各國監管者也逐漸意識到,外包所帶來的風險往往是超越國境的。因此巴塞爾銀行監管委員會于2003年先后了《電子銀行風險管理原則》及《跨境電子銀行業務的管理與監管》,為電子銀行業務(包括外包)的監管提供了高級指導。巴塞爾銀行監管委員會在綜合各國監管經驗的基礎上,指出電子銀行業務外包的風險控制首要原則是董事會和高級管理層應該對與電子銀行業務的有關風險進行有效的管理和監督,通過建立全面和持續的盡職調查制度與監管程序來處理銀行與外包第三方的相互關系。[3]

四、我國對電子銀行業務外包監管的實踐與法規建設

近年來,我國銀行業的外包勢頭也發展迅猛,各大商業銀行都相繼開設了電子銀行業務,其中四大商業銀行都選擇了自主開發核心技術與輔助業務外包相結合的道路,而光大銀行、民生銀行等股份制商業銀行則選擇將更多的信用卡業務、網絡銀行業務外包出去以降低運營成本。但在電子銀行業務蓬勃發展的同時我國對其的監管還處于逐漸發展和不斷探索中。目前我國電子銀行業務監管事宜主要由銀監會負責,關電子銀行監管的法律框架也已初步確立,主要由《電子簽名法》、《電子銀行業務管理辦法》、《電子銀行安全評估指引》和《銀行業信息資產風險監管暫行辦法》等組成,而其中2005年頒布的《電子銀行業務管理辦法》是我國首次出現“外包管理”字眼的法律文本,其對電子銀行業務外包的發展和監管可謂意義深遠。

《電子銀行業務管理辦法》(以下簡稱《辦法》)將網上銀行、電話銀行、手機銀行及自助銀行、ATM等均納入電子銀行業務范疇,擴大了對電子銀行業務的監管范圍,改變了長期以來部分電子銀行業務監管無據的狀況。[4]同時《辦法》突出強調了電子銀行系統的安全評估工作,要求金融機構聘請有資質的安全評估機構,至少每2年對電子銀行進行一次全面的安全評估。而為了應對新興的電子銀行業務外包風險,《辦法》還明確了許多具體的監管措施:(1)規定金融機構在選擇電子銀行業務外包服務供應商時,應充分審查、評估其經營狀況、財務狀況和實際風險控制與責任承擔能力。(2)規定金融機構應當與外包服務供應商簽訂書面合同,明確雙方的權利、義務。在合同中應明確規定外包服務供應商的保密義務和保密責任。(3)規定金融機構應建立針對電子銀行業務外包風險的應急計劃,并應制定在意外情況下能夠實現外包服務供應商順利變更,保證外包服務不間斷的應急預案。(4)規定金融機構對電子銀行業務處理系統、授權管理系統、數據備份系統等涉及機密數據管理與傳遞環節的系統進行外包時,應經過董事會或者法人代表批準,并應在外包實施前向銀監會報告。

筆者認為,《辦法》的上述規定已經吸收了很多國外監管的經驗,并對我國銀行業的發展情況有所考慮,它的出臺既是我國監管當局在金融全球化趨勢下對監管工作的一項適應性創新,也是一項有利于我國銀行業在改制上市及發展過程中提高自身風險管理水平的重要舉措。但是《辦法》仍存在一些不足,諸如要求金融機構對第三方認證機構的可靠性和公信力進行保證并不盡合理。此外對金融機構的責任規定也過于嚴苛。

五、健全我國電子銀行業務外包監管體系的思考

雖然我國已經對電子銀行業務外包的監管制定了比較明確的規章,但是對電子銀行業務的監管應該是一個完整的體

系,而且目前在我國的社會背景下,紙面上的法律要變為行動中的法律無疑還有較長的路要走。實踐中由于信息技術的發展以及很多監管人員對于電子銀行外包風險的認識不足,導致我國各地監管機構的監管理念和執法水平存在較大差異,所以筆者認為有必要進一步健全和完善我國有關電子銀行業務外包的監管體系,以促進電子銀行業務的良性發展。

1.在監管的價值取向上,銀監會應該綜合考慮監管的安全目標與金融機構的效率追求,實現金融安全與交易效率的平衡發展。銀行是基于提升效益目的而實施外包的,因此監管當局不能僅僅為了監管的安全價值而不顧銀行的效率價值。筆者認為,銀監會應在謹慎基礎上支持銀行業更多的外包活動,這也是應對入世后更為激烈的銀行競爭所必需的。當然銀監會應始終堅持以下兩個原則:第一,確保銀行業外包活動處于銀監會的有效監管之下;第二,確保銀行機構合理制訂外包計劃和妥善處理外包風險。

2.銀監會應進一步細化現有的電子銀行業務外包監管規則?，F有的外包監管規則總體而言仍偏于原則性,因而需要在既存原則框架之下盡快出臺更具操作性的監管細則對監管人員的監管范圍、權限和監管程序予以規范。此外,電子銀行外包的實踐是不斷發展變化的,因而密切關注電子銀行的最新發展動態,適當汲取國際上的先進經驗,豐富電子銀行業務外包風險管理的內容也極為必要。

3.監管部門還應加強有關客戶金融信息隱私保護的力度。在電子銀行業務外包活動中,最易遭到侵犯的客戶合法權益就是客戶的金融信息隱私權,例如2005年美國信用卡第三方服務商(CardsystemsSolutionsInc.)的系統被黑客侵入,造成包括MasterCard、VISA、AmericanExpres在內高達4000多萬信用卡用戶的數據資料被竊,給銀行和客戶帶來了巨大的損失。因此,監管當局應該盡快規范電子銀行隱私政策,督促銀行和外包商共同采取措施安全保障措施來防范此類風險。

總的來說,在構建與完善我國電子銀行業務外包監管體系的過程中,銀監會應當關注市場的新變化和電子銀行實踐中的新問題,充分征求市場各方主體意見和密切關注國內外最新研究成果的基礎上適時出臺明確的監管指引與清晰的操作規則,盡量減少監管的滯后或缺位。同時,銀監會還應貫徹技術中立原則,為市場創新留下充足空間,在安全與效率之間,在規范性與靈活性之間尋求合理的平衡點。