银行业务外包风险评估工作实施方案

　　银行业务外包风险评估工作实施方案

　　近年来，随着银行业务的快速发展、同业竞争的日益加剧，银行业务外包呈现较快的发展态势。业务外包可以有效解决用工压力、提高专业化服务水平，但同时也产生了外包风险。应如何加强业务外包管理，防范外包风险成为银行关注的热点问题。

　　业务风险需警惕

　　承包方业务处理不规范引发风险。承包方因业务处理不规范而出现重大差错、因人员管理不到位发生重大违规事件，这就会给银行造成经济损失。有的承包方在业务承接过程中侵犯他人知识产权，导致银行使用其产品后被第三人诉讼侵权，易引发法律纠纷。在业务外包过程中，如果承包方属于垄断行业或单一业务来源的，容易造成外包价格的不合理，导致其成本过高而难以发挥业务外包的优势。

　　承包方缺乏外包资质引发风险。主要表现为承包方因本身不具备独立法人资格，缺少具备专业资格的从业人员、缺乏从事相关项目的经验而无法完成所承接的外包业务。此外，一旦银行对承包方准入要求不严格，易使报价较低的承包方中标，这样就容易导致因外包业务质量不达标而无法满足银行的业务需要。承包方因缺乏资质极易引发违约风险，具体表现在，一方面因为承包方自身资历和能力有限无法按合同约定的要求，持续提供优质服务。另一方面承包方在履行合同期间因其经营管理、财务状况等发生重大变化导致丧失履约能力，无法继续提供合同约定的服务义务。

　　银行未规范评估体系引发风险。在操作过程中，银行尚未形成规范统一的评估体系、科学合理的定价机制和先进有效的管理模式。这也容易造成对外包人员的管理疏忽，如外包押运业务中，之前的提解人员是银行员工，言行举动等相关信息银行都能及时掌握，实行业务外包后，对人员管理、问题纠改的针对性不强，造成管理滞后;在现金清分整点外包过程中，对外包员工疏于管理，员工的责任心不强，在需要突击工作任务时无后备人员，存在大额整点差错等风险隐患。

　　客户信息被泄密引发风险。主要包括银企集中对账、贷记卡资料录入、贷记卡不良委托催收中因外包人员工作疏忽而导致的客户信息泄密。如，客户对账单在由第三方邮寄时，由外包方打印封装并邮递，对账单中写有客户个人重要信息，在贷记卡资料录入时，外包人员掌握申请客户的资料信息，这些环节一旦监管不善，易产生客户信息被泄密风险。

　　银行监管不全面引发风险。即对外包机构是否按照外包合同的约定履行义务，这点银行缺乏规范的监督和管理办法。如，对外包机构与外包服务人员订立书面劳动合同、薪酬支付、社会保险(放心保)费缴纳等履行义务事项的监督不到位;对外包公司的外包服务人员进行岗前公共职业培训的监督不到位等。再如外包协议明确规定外包人员劳动关系归属外包公司，工资福利保险均由外包公司发放缴纳，但在实践中也发现部分外包人员未与外包公司签订用工协议，外包公司没有全部替外包人员缴纳社会养老保险等非法用工情况的发生。

　　外包合同违约引发风险。一方面表现为承包方资历有限无法按合同约定要求持续提供优质服务等违约行为，致使银行业务优势在外包业务中难以发挥。另一方面表现为承包方在履行合同期间由于经营管理、财务状况等发生重大变化而丧失履约能力，无法继续提供合同约定的服务义务，银行若未采取有效应对措施，很有可能遭受重大损失。

　　风险防范对策

　　随着银行业务规模扩张和提高效率、降低成本等业务需求的增强，部分非核心业务的外包运作模式呈扩张趋势。对此，银行必须结合风险可控的管理要求，制定规范的操作办法，平稳有序的开展外包业务。

　　建立完善的外包业务制度。合理确定业务外包的范围，根据银监会发布的《商业银行外包风险管理办法》中规定的外包业务进行分类，以突出管控重点。同时明确业务外包的方式、条件、程序和实施等内容，在避免将核心业务外包的同时，还要确保方案的完整性和可持续性。在认真听取外部专业人员对业务外包的意见后，根据其合理化建议来完善实施方案。

　　加强业务开展前的调查工作。银行在业务开展前应深入调研，确保承包方的主体合法性。调查承包方的专业资质、技术实力及其从业人员的职业履历和专业技能。此外，要综合考虑内外部因素，对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析，合理确定外包价格，严格控制业务外包成本。同时严格按照规定的程序和权限从候选承包方中通过招标形式，择优做出选择，并建立严格的回避制度和监督处罚机制，避免相关人员在选择承包方过程中出现受贿和舞弊违法行为。

　　强化法律审查明确自身责任。在合同的内容和范围方面，明确承包方提供的服务类型，界定服务环节、服务要求、服务费用等。《合同法》作为界定双方权利义务的依据，明确银行有权督促承包方改进服务流程和方法，承包方有责任按照合同协议规定的方式和频率，对存在的问题进行限期整改;在强化合同的服务和质量标准方面，应当规定承包方最低的服务水平要求;在合同的保密事项方面，应具体约定对于涉及银行机密的业务和事项，承包方有责任履行保密义务的责任。

　　实施动态管理保障自身权益。严格审查承包方的履约能力，开展日常绩效评价和定期考核制度，一旦发现偏离合同目标等情况，应及时要求承包方调整改进。完善应急处理机制，避免业务外包失败造成经营活动的中断。一旦承包方存在违约行为，应及时终止合同，并按照法律规定向承包方索赔。加强对外包人员的守法教育，加强监督和风险排查的力度，避免违规行为的发生。

　　银行业务外包风险评估工作实施方案

　　银行业商业模式正在经历很大的变革，我国金融服务外包行业规模呈现爆发式增长，市场规模已达150亿元。然而，监管盲区长期存在，金融服务外包潜在风险也被市场所担忧。

　　《经济参考报》记者22日从银行业权威渠道获悉，近期，银监会对商业银行下发了一份《银行业金融机构信息科技外包风险管理指引(征求意见稿)》(以下简称《指引》)，首次对金融服务外包提出具体要求。《指引》明确指出，银监会有权要求服务提供商接受外部机构的审计，并且将与其派出机构对银行业金融机构信息科技外包工作进行监督检查，对服务提供商提供的外包服务活动风险情况进行延伸检查，监督检查结果应纳入对银行业金融机构的监管评级。据悉，目前已有地方银监局开始摸底商业银行的金融服务外包项目。

　　现状

　　金融服务外包行业规模达150亿元

　　“今年前三季度我国出口只增长了7 .4%，但与此形成鲜明对比的是我国服务外包产业保持着旺盛的生产活力。”商务部部长助理李荣灿对记者透露，“据初步统计显示，今年前三季度我国企业承接服务外包合同金额308亿美元，同比增长54%。其中承接国际服务外包合同资金金额213亿美元，同比增长46 .5%。”李荣灿认为，当前，我国金融行业结构调整势在必行，这要求金融企业专注于主营业务，开展精细化运作，而对于非主营业务则需要通过外包的方式降低成本，提高效益，不断提升自身的核心能力。因此，金融服务外包的兴起有其必然性。

　　早在90年代末，我国国内银行业建立起了一套自己的业务系统，业务系统之间的数据交互越来越形成一张网状，2007年到2012年，很多金融机构不但建设了自己的数据平台，而且还拥有一些商业智能分析的系统，但是，从我国整个银行业来看，并不是所有机构都有资源和能力创新数据系统以及后台操作系统，因此外包服务商借机进入金融市场，为其提供应用开发、后台系统处理、客服中心等一系列服务。

　　中国服务外包研究中心副主任金世和认为，尽管金融服务外包市场规模已达到了150亿元，但在全球金融服务外包市场份额的占比依然很小，仅占0.2%，这意味着，金融服务外包市场的发展潜力巨大。

　　但是，从市场需求来看，对于国内商业银行而言，国有大行基本上都拥有自己的IT团队和产品、系统研发团队，因此，金融外包服务提供商最大的合作机会是中小银行，中小银行为了自身发展需要，也对外包服务需求旺盛。“作为中小银行来说，应该说大部分业务都需要靠外包来完成。因为从自身的能力来看，无论是人力资源还是技术，都与大银行相比存在差距，因此只能走外包这条路，一方面是节约成本，另一方面也是通过这种分工提高效率。”上海银行信息技术部副总经理桑登云坦言，“但是，从目前我国金融服务外包市场的发展水平来看，也有局限性，我们也正在从一种被动式的外包转变到去思考它的运作模式和管理方法。”

　　在与金融外包服务提供商的合作项目上，光大银行信息科技部负责人姜健对《经济参考报》记者表示“从行业的角度来看，银行过去做IT建设方面常见的形式基本上是和合作伙伴共同开发建设一套系统，共同去运维某个项目，其实我们现在的外包项目中很多会选择对行业经验比较丰富的解决方案公司，或者是产品型的公司，对于专业的外包公司来说现阶段来讲其实合作得相对较少，主要是在人力资源的补充上。但如果是按照调结构的策略下，未来在自助的平台下，规范管理机制下可能对专业性的外包公司需求可能比以前有一个比较大的提升。”

　　风险

　　外包市场管理模式尚不成熟

　　事实上，我国银行业金融机构对外包服务提供商还未形成统一的评估体系、定价机制以及管理模式。银监会方面认为，银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，可能造成集中性的服务中断、质量下降、安全事件等。据了解，金融服务外包提供商和银行之间的合作基本上是靠双方制定的合同来约束，但事实上，最终出现风险之后大多依然由银行来承担。

　　在银监会下发的《指引》中可见对金融服务外包的风险提示，银监会认为，信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：第一，科技能力丧失，即银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展;第二，业务中断，即支持业务运营的外包服务无法持续提供导致业务中断;第三，信息泄露，即包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露;第四，服务水平下降，即由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

　　银监会在《指引》中所称信息科技外包是指银行业金融机构将原本由自身处理的信息科技活动委托给服务提供商进行处理的行为。包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。

　　从整个金融外包服务市场的环境来看，“服务提供商的水平普遍不高，除了市场原因以外，还有一个重要的原因，IT外包行业，或者是软件行业是一个典型的知识密集型行业，而我国的外包服务企业普遍比较重视从客户关系，对技能、方法论体系以及人才的培训机制基本上还没有有效地建立，所以一方面不能够满足目前客户的要求，另一方面银行参与其中如果涉及到后台系统的产品，必然也存在一定的操作和管理风险。”

　　有市场人士对《经济参考报》记者表示，“金融行业是一个特殊的行业领域，近年来，正是由于金融服务外包行业的快速发展，信息泄露等案件发生率增高，然而银行与服务外包商的合作过程中，监管规则存在缺失，因此面对这一银行有需求的新兴服务市场，监管部门的监管地位也比较尴尬。”

　　监管

　　银监会要求实施“名单制”管理

　　据银监会内部知情人士对《经济参考报》记者透露，针对银行与金融系统信息安全问题，银监会已酝酿新成立信息科技监管部，银监会主席尚福林也强调，各银行业金融机构要加强银行业信息科技监管督导和专项排查。

　　早在2009年6月1日，银监会发布的《商业银行信息科技风险管理指引》中，就对信息科技业务外包提出要求，比如涉及银行客户资料的外包在准备实施时应以书面材料正式报告银监会或其派出机构，并告知相关客户;又比如银行客户资料与外包服务商其他客户资料须有效隔离、按照“必须知道”和“最小授权”原则对外包服务商相关人员授权、要求外包服务商保证其相关人员遵守保密规定等。

　　此次，银监会针对金融服务外包提出了更具体的要求，包括“银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，并对服务提供商提供的外包服务活动风险情况进行延伸检查。银监会有权要求外包服务提供商接受外部机构的审计。监督检查结果应纳入到银行业金融机构的监管评级。”

　　另外，对于风险较高的信息科技外包服务，银监会或其派出机构可暂缓、中止服务。直至银行业金融机构、外包服务提供商有效改正。同时，为了防范因高机构集中度外包服务导致的行业性、区域性信息科技风险，银监会实行重点外包服务机构风险监测机制，定期对银行业发布重点外包服务机构名单，对其进行非现场风险监测和延伸现场检查。同时也对外包服务提供商制定“黑名单”管理机制。

　　“这意味着，监管层已经出手开始规范银行与外包服务提供商的合作，并且很有可能要深入监管到外包公司里面去，如果银行把主要业务、核心业务给到外包公司合作的话，那么，作为银行里面的审计部门就将成为第三道防线，这对银行研究外包服务提供商的准入门槛、评估体系都提出了一定的要求。”姜健对《经济参考报》记者说。

　　银行业务外包风险评估工作实施方案

　　根据总行《关于开展业务外包风险评价工作的通知》和省行要求，近日，工商银行淄博分行在全辖部署开展业务外包风险评价工作。

　　一、高度重视。成立了业务外包风险评价领导小组，由分管内控合规专业的行领导任组长，成员由内控合规部、个人金融部、办公室、运行管理部、风险管理部、公司业务部、财务会计部、信息科技部、人力资源部等部门的负责人为成员，领导小组下设办公室，办公室设在内控合规部。

　　二、认真培训。派员到省行参加了视频培训后，下发行文，要求各支行和市行部室认真学习总行《业务外包风险评价方案》，将业务外包风险评价工作作为提升全行业务外包风险管理水平，规范业务外包管理的重要手段，明确责任，注重实效。

　　三、开展评价。业务外包风险评价工作由内控合规部牵头负责组织实施，相关部室成立评价组，采取自评自纠的方式，严格按照总行评价方案各项要求，确保评价工作全面、完整、准确的完成。