设为首页
加入收藏
银行服务外包风险监管的国际比较及借鉴
添加时间 : 2019-03-07[返回]
银行服务外包风险监管的国际比较及借鉴(本文发表于《国际经贸探索》)
陈斌彬 厦大经济学院博士后、律师
外包,顾名思义就是将自己的一些事情“包”给他人去做。银行服务外包,是指银行将原本由其自身负责处理的某些事务或服务,委托给第三方代为处理的一种经营方式。这种外包既包括核心服务如银行信息技术、清算和结算服务、内部审计和抵押贷款等外包;也包括非核心服务如后台业务操作、电话答录服务、银行卡客户资料的保存和整理等的外包。近年来,随着全球金融竞争的日益白热化,服务外包更是以其具有降低经营成本、提升组织效率和强化核心竞争力的优势而备受各国银行业的青睐与采用,发展势头十分迅猛。然而,外包是一把双刃剑,其在成为银行竞争利器的同时也给银行带来种种潜在风险。因此,各国监管当局都十分关注银行服务外包的风险监管。
一、银行服务外包的风险概况
依据巴塞尔银行监督管理委员会(BCBS)在2005年2月所颁布的《金融服务外包文件》(Outsourcing in Financial Services),金融外包风险可概括为如下几种:
第一,系统失控风险。银行将某项服务特别是核心服务外包给第三方,很可能因为疏于对外包服务运行状况的追踪与评估,或者缺乏充分的专业能力而无法对服务商提供的服务进行有效的专业检查,在外包进程中形成“路径依赖”,对自身外包服务项目的技术、成本和发展动向无法形成有效的把握,从而被服务商“牵着鼻子走路”。纵使服务商打着设计、改进外包项目技术的幌子而为自己的利益行事,银行也难以在服务外包设施投资和成本支出方面对服务商形成硬约束。
第二,对手风险。这种风险主要源自承接银行服务的服务商,既包括服务商由于人力、物力、财力发生变化而无力提供外包合同原先规定的服务水平所引发的风险,也包括其提供的服务质量低劣,与客户互动不符银行所需的整体标准,和其从事不符合银行要求的损害银行利益的不当行为及信用恶化等因素所引起的一系列风险。
第三,信息泄漏风险。这主要是银行在有些服务外包中需要将保密性数据、战略性技术或者自身的账簿、交易记录交由服务商处理时,由于服务商不具有完备的守法体系与控制能力致使其雇员没办法保证做到遵守隐私方面的法律,包括消费者保护法、审慎法规要求或双方的保密协议而出现上述信息泄漏的现象。
第四,战略风险。资产的专用性和技术的依赖性使得开展外包的银行通常都缺乏足够的底气对与之长期合作的服务商说“不”。因为银行一旦对服务商的服务水平不满,无论是选择中途退出或者期满后终止外包合同,都要支付很大的战略退出成本。这不仅是银行另选新的服务商需要支付比原来更高的费用,而且还可能出现外包服务连续性无法保证的问题,处理不好会使银行在财务、信誉、运作和潜在客户资源等方面蒙受极大的损失。
第五,法律风险。外包双方在签订合同时是不可能完全预测未来合同执行可能出现的各种情况,以及相应的解决办法。囿于信息不对称,银行对完成外包服务所需技术支持的了解肯定不如服务商,故很可能会出现合同上的一些解决条款因缺乏可证实性而不利于银行。此外,该风险还表现为因合同法律适用选择不当致使银行败诉而无法维护自身的合法利益。
二、银行服务外包风险监管的法律比较
其一,针对系统失控风险,由于该风险主要来源于核心服务的外包,故适当控制核心服务外包已成为各国、各地区监管当局的******。当然,何谓“核心服务”不同国家或地区界定不一。如美国银行联邦金融机构检查委员会(FFIEC)禁止银行将内部审计、财务会计、预备年度帐等内部业务外包给银行集团外的公司。加拿大金融监管局(OSFI)也禁止与银行内部的会计控制、财务系统或FRE财务声明相关的内部审计服务外包。英国金融服务局(FSA)则对银行业务的外包施以直接管制,不管外包的服务核心与否,只要风险过大,可能导致银行失控,则当局都可不予批准。我国台湾地区则明确列举银行可开展数据处理、信用卡相关作业、保金作业、汽车货款预期缴款之寻车作业、不动产鉴价作业、窗体凭证等资料保管作业、应收债权催收作业可以外包外,其他种类的服务外包都须经财政部核准。
其二,针对对手风险,各国各地区金融监管当局注重事前防范,强调银行应慎重选择服务商,即要求服务商不仅应为合法注册的法人企业,而且还能有充足的资源准时完成银行所需的外包任务。不过,在服务商的选择标准上,各国或地区侧重点并不一样:美国金融监管局要求银行从服务商的洞察力或价值主张是否与银行外包服务的性质相容基础上,再结合操作能力、财务能力、提供专业化服务、地理位置及该服务商完成与其他服务商现存服务水平对比等指标来确定服务商。英国和加拿大的金融监管当局则要求银行须审查服务商提供的服务或计划的系统性和功能性是否完备,并要求其呈递相应的外包风险控制步骤。我国香港和台湾地区则要求银行应综合财务状况、信誉、管理技巧、技术能力、规模和对银行业的熟悉程度及创新能力这几个方面来选择和评估服务商。而除了财务能力和技术能力的考量之外,日本和欧盟则强调服务商提供的服务不应影响银行履行对客户和监管当局义务的能力及阻碍当局对其的有效监管。
其三,针对信息泄漏风险,各国都注重对客户和银行信息的保护,要求服务商在处理外包数据时须严格遵守有关本国银行的保密法规,强化内控机制和员工的保密纪律。不过在具体要求上也不尽相同,如美国、加拿大和瑞士均要求服务商向境内监管当局许诺保证数据资料的机密性,并采取特殊的技术、人员或组织措施来保证数据资料的安全;我国的香港和台湾地区则明确要求服务商应有严密的保护措施确保其员工在接触银行资料时不外泄和不从事其他不当利用行为。欧盟则规定服务商只有在其注册国的法律已被欧盟确认能够为个人资料提供充分保护时,才能被允许在欧盟境内承接涉及银行客户信息的外包服务,而且在客户咨询时,银行还有义务告知服务商的具体资料。
其四,针对战略风险,由于该风险是银行服务外包必不可少的代价,除非禁止外包,否则不能彻底消弭。但各国的监管当局也没有坐视不管,为尽可能减少该项风险,他们均不同程度要求本国银行在外包前提交必要的应急计划,包括灾难恢复计划和定期测试备份系统计划,以使在服务商不履行或履行不能时银行有应急措施可循,避免承担过大的调整成本。
最后,针对法律风险,各国的外包监管指引都给予高度重视。上述提及的国家和地区无不明确规定外包应采用书面合同形式。合同除了载明外包的内容要求、明确规定双方权利义务与争议解决等必备条款之外,不同国家或地区还有不同的专门要求。如美国、加拿大还要求外包合同必须包含恰当和可衡量的服务水平协议(SLA)条款,单方面赋予银行能随时获得外包业务的所有帐册、记录和相关信息的权利。英国和澳大利亚则要求合同还应包括终止条款,以确保外包商需要将外包服务转移至其他服务商时,相关信息、知识产权等所有权得到保护。香港为保护银行利益则明确外包合同的法律应选择适用银行所在地的法律。而台湾地区则规定服务商要将已承接外包转包,除了满足合同规定的条件之外,还需经过开展这项服务外包的银行同意,并报监管当局备案。
三、我国银行服务外包风险监管的立法评析及完善
与上述国家或地区相比,我国银行开展的外包业务量并不大,并且主要集中于电子银行、信用卡发行、管理和后勤事务外包等几个传统有限的领域。加上我国监管当局对银行服务外包风险历来没有给予足够的重视,有关规范银行服务外包的法规长期处于空白状态。直至2006年1月26日,银监会才在其颁布的《电子银行业务管理办法》中对我国银行开展电子银行业务外包的相关事项做了粗线条的规定。然而,这些规定对其他类型的服务外包并无法律约束力,无法全面规范和约束我国现有的银行服务外包。
再者,从 2006年12月12日起,伴随着入世5年过渡期的终结和外资银行在华业务范围的全面渗透,我国金融市场与国际金融市场实现真正意义上的全面接轨。可以预见,日益激烈的金融市场竞争压力必驱使我国银行业寻求更大范围和更多种类的服务外包。根据权威专家的预测,像 IT,不良资产处置、人力资源管理、档案管理,内部审计及市场调研和有关研发等服务领域将是我国银行业今后开展外包的重点。
可见,无论是从银行业服务外包的现状还是从未来的发展趋势来看,仅有电子银行服务外包法规是远远不够的。如果不将其他类型的服务外包尽快纳入法制轨道,则一方面会使银行怠于对其他类型服务外包风险的控制与管理,另一方面也容易诱发银行将本为电子银行服务外包的业务变相转移或混合到其他类型服务外包中去,从而达到规避现有法律监管的目的。然而,在我国银行服务外包的立法架构上,我国不应分门别类对银行其他类型的服务外包一一做出规定。因为立法方式会制造出大量庞杂、内容重叠交叉的规范性文件,使银监会穷于应付。因此,从立法的前瞻性出发,我国应借鉴发达国家或地区的做法,舍逐一立法规范的思维方式,选择统一的监管规则作为立法架构,以顺应我国银行服务外包多样化的发展态势。
参鉴上述发达国家或地区的监管规范,我国今后外包监管规章的制定应着重注意以下几点:
1、明晰服务外包的范围。这是防范银行出现系统失控风险的第一步。在此,笔者认为资可借鉴台湾地区的立法技术,即采用分类和列举的方式,既正面规定银行可以自主决定的服务外包的种类范围,又对列举范围之外的服务外包,要求其须事先经过监管当局的批准。当然,对我国银监会的审查要求与具体的批准程序,监管规章尚需补充说明。
2、制定合理的外包监管标准。银行开展服务外包旨在追逐效益、增强自身的竞争力。因此银监会在确定外包风险监管标准时既不能过分强调安全性而忽略外包的逐利性,但也不能为满足银行获利的冲动而任其随心所欲地开展各种服务外包。为追求外包安全与效益之间的良好平衡,我国银监会对于银行服务外包的监管应着眼于整个银行业系统性的安全与风险控制机制的保障上,而对于银行具体的外包细节不应给予过多的干预。但为确保随时获得所需的第一手监管材料,银监会必要时可以对各银行办理外包的具体记录加以稽核或现场检查,对其中可能存在的不当行为予以纠正和制裁。
3、慎重选择服务商。服务商的优劣直接决定着银行服务外包的成败。因此,我国的外包监管规章须就银行如何选择合格服务商的基本程序和机制提出原则性要求,包括要求银行应须经过内部的适当授权程序、严格审查服务商的相关业务经验、财务状况、履行外包合同的能力和信用状况、经营管理水平等。
4、确保外包信息的安全。监管规章首先应该重申合同双方在外包过程中应严格遵守《中华人民共和国商业银行法》、《中华人民共和国反不正当竞争法》以及各种涉及个人数据保护有关的行政规章;其次,要求银行采取适当措施,在涉及客户信息披露的问题时及时告知客户并征得客户同意,再次,对服务商而言,也要求其确保所接触客户信息和银行商业秘密的安全性,不得有意或无意对外泄漏,否则应承担相应的法律责任。
5、强化外包应急计划的制定。监管规章必须明确要求银行和服务商就外包过程中的各种意外情形建立必要的应急措施。尤其是要求银行事先针对服务商发生破产、遇到不可抗力或发生其他潜在问题,如服务商内部技术或者骨干人员的变动等无法完成外包事务或影响外包合同履行的情形,事先设计好相应的应急计划和定期的测试备份系统计划,以保证银行基本的灾难恢复能力。同时,这种应急计划应成为银行开展该项服务外包获得银监会批准的必要条件。
6、课以外包银行监控服务商的责任。银行将自身的服务外包并不意味着银行对服务管理权的放弃。虑及服务商“非银行机构”的身份,银监会在无法律授权下不便对其施以直接的监管,故监控服务商行为的重任就应落在开展外包的银行身上。参鉴发达国家的做法,我国的监管规章可明确规定银行在外包中有义务对服务商的表现和潜在变化加以监控,监控内容包括:服务商是否严格履行服务水平协议和外包合同条款;服务商的财务状况,外部环境变化造成的潜在变化等,并将监控结果随时向银监会汇报。
7、适当控制银行服务的离岸外包。银行业是风险高度集中的特许行业,而离岸外包又是将本国银行服务外包到其他国家或地区,这势必加大了本国银行对离岸服务商的监控难度,间接削弱一国监管当局的内部审慎监管效果。目前国际上对离案外包监管的通行惯例是涉及到本国银行机密信息和可能有损一国金融安全的服务外包要经当局批准,而且原则上离岸外包合同的法律适用应以银行国地法律为准,并尽可能选择在银行国地法院或仲裁机构裁决纠纷。对此,我国也可资予参考,对离岸外包的服务范围、外包管理、合同的法律适用、争议解决方式做出不同于在岸外包的规定。(厦门大学经济学院)
[参考文献]
[1]李金泽.关于商业银行事务外包的若干法律思考[J],金融论坛,2003(6).
[2]曹康霖.余保福.金融服务外包的风险控制及其监管研究[J],金融论坛,2006(6).
[3]刘澜飚. 彭砚.银行金融服务外包国际监管的比较研究[J],国际金融研究,2006(2).
[4]金子财.杜胜.建立我国金融机构业务外包监管制度[J],西安金融,2005(2).
[5]陆小斌. 国外规范金融外包情况简介[N],金融时报,2005-2-23.
[6]巴塞尔银行监督管理委员会.金融服务外包文件
[EB/OL].http://www.cbrc.gov.cn/Chinese/module/viewinfo.jsp?infoID=1495,2007-7-22.
联系电子信箱:xmucbb@sina.com
