《管理和控制电子银行外包风险论文.doc》由会员分享,可在线阅读,更多相关《管理和控制电子银行外包风险论文.doc(15页珍藏版)》请在金锄头文库上搜索。
1、管理和控制电子银行外包风险论文管理和控制电子银行外包风险论文电子银行业务外包风险概述电子银行业务系统的成功运转需要大量硬件设施与软件程序的支持,这些硬件与软件假如要完全依靠银行机构的内部力量进展研究和开发,无疑需要银行投入巨额的开发与维护资金,并引进大量的技术人员。除少数大型银行机构外,大多数银行并不具备如此强大的资金与技术实力。不仅如此,这种占据银行机构内部大量资的做法还可能造成银行精力的分散,使之无法集中于核心业务的经营与处理之上,从而阻碍其效劳品质的进步。有鉴于此,许多银行为了控制本钱,获取必要的专业技术支持,扩展客户产品的营销渠道以及改善效劳质量,往往会选择将本来由银行内部实现的一局部
2、网上银行业务功能外包给一个或多个技术效劳供给商(TSPs),如硬件软件销售商、电信公司、专家公司和其他支持性经营者等,利用这些外包商所提供的效劳来支持网上银行业务系统的运转。可见,通过寻求外部支持已成为许多银行机构节约本钱、进步其核心竞争力的一项重大战略选择。也正因为如此,伴随着电子银行业务的兴起和蓬勃开展,与之相关的外包活动也日益频繁起来。尽管外包关系的建立具有一定的经济合理性与必要性,但它给银行机构带来的各种特殊风险仍然不可小觑,而在互联网环境下,这些风险更是呈现出加重和扩大的趋势。总体看来,外包关系所带来的风险大多于两个方面:一是银行的规划不合理或监视与控制不力;二是第三方外包商的执行或
3、效劳不达标。就银行而言,在做出网上银行业务之提供是否需要借助外部第三方力量的决定之前,假设没有进展充分的风险评估、本钱收益分析p 、目的兼容性调查及合法性与可行性研究,假设未能采用针对第三方外包活动的适当风险管理机制与监视措施,假设尚不具备施行监视所必需的足够的专业技术才能与经历,那么极容易产生战略性风险。而从外包商的角度看,这些提供技术支持与效劳的供给商或销售商在网上银行业务活动中通常是作为第三方出现的,不受管制的他们对网上银行业务活动的介入无疑会对银行机构的整体风险状况产生重大影响,给银行机构带来额外的不稳定因素。例如,银行可能由于外包商的不当或不法行为,如提供劣质效劳、发生效劳中断、施行
4、不适当推销、违背信息平安操作规程、违背客户隐私保护政策、违背消费者保护法等而被迫陷入诉讼,不但法律风险陡增,还可能遭受财产与信誉损失。尤其是当外包安排中需要外包商的职员直接同银行客户打交道时,银行因外包商的产品或效劳不符合银行所制订的政策与标准而遭到信誉损失的可能性更可能大大增加。为此,银行对外包商所提供之产品与效劳的品质与适当性进展亲密监测实为必要。电子银行业务中日益突出的外包风险较之传统银行业务环境下更加突出、复杂和严重,更易迅速传递和扩散,对银行机构的平安与稳健也具有更深入的影响和更大的破坏性。在电子银行业务最为兴旺的美国,2023年就曾发生这样一起因外包安排而致使银行遭受风险的案例。当
5、时,虽然只是一家美国的主机公司(hostingpany)受到电脑高手袭击,但却有超过300家银行因此而受到损害。1电子银行业务环境下外包风险的宏大冲击力可见一斑。假如银行机构所利用的效劳供给商位于另一个国家,那么可能带来更为复杂的跨境外包风险。这种因利用外国效劳供给商而造成的风险既可能是因外国外包商不受银行机构及其监管机关有效监控而产生的操作风险,也可能是因有关外包活动违背他国法律法规而引发的法律风险,甚至还可能是因外包商所在国的经济、社会或政治等因素致使其无法履约而带来的国家风险等。有鉴于此,关注第三方或外包商所带来的各种风险,尤其是其中的战略风险、操作风险、法律风险与信誉风险,重新评价现有
6、银行业管制框架的有效性,并在第三方介入有关效劳提供的情况下采取相应措施对外包关系及其风险加以有效管理非常必要。电子银行业务外包风险管理的国际经历为应对日益突出的电子银行业务外包风险,有关国家与地区的监管当局以及一些重要的国际金融组织都纷纷着手研究外包活动及其风险的特殊性,探究对其施行有效管理与监控的根本原那么与方法。企业家天地2023年第11期中旬刊管理Management有关国家和地区监管当局确立的主要原那么与方法。美国的理论。以美国为例,在美国的电子银行业务开展理论中,大多数银行都不愿自己进展技术设计和网络系统的安装与维护,而是选择将这些工作外包出去。由于大量外包活动所带来的风险很可能危及
7、银行机构的整体平安与稳健,负责银行业机构监管的各个监管机构都意识到了这一问题的严重性,因此在对各种电子银行业务风险进展监管时特别重视外包风险的管理和控制。这些美国银行监管机构曾在多部监管文件中确立了有关电子银行外包风险管理的指南。例如,货币监理署(简称OCC)于1999年发布的网上银行业务监理手册(简称监理手册)就曾概括性地强调,银行机构应加强对网上银行业务外包之相关风险的控制。它明确要求:银行应定期对其技术支持来进展重新评估;应将技术提供者的技术效劳同银行自身战略方案程序相结合;银行机构在选择合作之供给商时应慎重行事,事前签定正式协议明确双方权利义务;银行还应监视供给商的经营状况、财务状况、
8、该供给商所具备之技术是否能与不断更新的技术保持一致以及是否具备良好的内部管理等等。2除监理手册外,联邦金融机构审查理事会(FFIEC)于2000年11月发布的外包技术效劳风险管理指南,OCC于2023年11月发布的第三方关系:风险管理原那么,以及FFIEC于2023年8月发布的电子银行业务:信息技术审查手册等监管文件都就管理外包风险制订了专门规那么。根据这些文件,要有效防范和控制外包风险,银行机构需要做到如下几点:其一,慎重选择合格的效劳供给商,即要求银行在选择新的效劳供给商时保持有效的合理慎重,考虑其财务状况、经历、专业技能、技术兼容性以及客户满意度;其二,重视以书面合同形式明定各方权利、义
9、务与责任,即要求银行与供给商签订书面合同,并在其中载明囊括保护银行数据的隐私与平安,银行对数据的所有权,审查平安与控制的权利,监测效劳质量的才能,限制银行对效劳供给商的行为可能承当的责任,以及终止合同等方面内容的详细条款;其三,依合理程序对供给商施行持续监测,即要求银行具备一套监测销售商的业绩表现、效劳质量、平安控制、财务状况和守约情况的适当程序;其四,对包括事故反响与通知在内的报告和预测进展监测。3新加坡的理论。在新加坡,对开展电子银行业务所带来的各种加重的风险,新加坡货币局(MAS)给予了高度重视。在MAS看来,更适当的做法应该是基于各银行详细情形和战略的不同采用以风险为本的监管方法(ar
10、isk-basedsupervisoryap-proach)。2023年6月,MAS发布了最新的网上银行业务技术风险管理指引,要求各银行实在遵行。该指引涵盖的内容非常全面,其中尤值一提的是,它为银行的外包活动及其管理确立了详细指南。MAS认为,银行将其有关经营操作外包给第三方并不会消除或减轻银行机构所承当的职责与责任。它强调,银行有责任确保其效劳供给商的营业程度以及他们所提供的效劳的可靠性与平安性到达银行网上银行业务所要求的程度。针对如何管理外包风险的问题,该指引提出了以下三点详细要求:第一,要求银行董事会与高级管理层充分认识将其网上银行业务操作外包出去所产生的相关风险。详细说来,在将有关活动
11、委托或承包给某个外部效劳供给商之前,银行应当合理审慎地确定此种安排的可行性以及外包商的素质才能、可靠性、历史记录和财务状况等;并应以书面协议的形式细致和恰当地写明有关合同各方当事人的地位、关系、义务与责任的详细合同条件与条款。第二,要求银行遵守有关管制、审计或守法要求,实在施行审查或评估。详细而言,就是应当要求效劳供给商向银行指定的所有当事方提供利用银行系统、业务、文件及设施的效劳;不仅如此,银行与效劳供给商还应在其所订协议中成认管制机关依银行业法所拥有的对效劳供给商的地位、职责、义务、功能、系统和设施施行检查、监视或审查的权利。第三,要求银行和效劳供给商遵守银行业法中关于银行业的保密要求。换
12、言之,银行同效劳供给商之间的合同与平安应当满足保护客户信息机密性的需要,也应符合所有现行法律法规的要求。针对如何监测外包安排,该指引也做出了相应规定:其一,银行应要求效劳供给商执行与其自身操作同样严格的平安政策、程序和控制;银行应定期审查和监测效劳供给商的平安做法与程序,如定期获得有关效劳供给商操作方面的平安充足性与守法性的专家报告;为监视效劳供给商是否持续到达约定的效劳程度以及其操作的可行性,还应设立一道监测效劳供给商的效劳提供、履约可靠性及加工处理才能的程序。其二,随着银行的外包关系日益复杂和重要以及其对外包关系的依赖性日益增强,为确保银行管理层不丢掉其保护银行核心操作与效劳的职责,应当采
13、取一种强有力的风险管理方法。我国_特区的理论。在_,较为典型的银行业外包活动主要表现为将本来由认可机构自行提供的数据处理、客户效劳(如_中心)及后勤支援等业务工程外包给_或海外的效劳供给商。电子银行由于需要借助复杂的信息与网络技术,其所涉及的与技术有关的外包活动愈加普遍。面对银行业外包活动的日趋活泼,_金融管理局(简称金管局)敏锐地洞察到其中潜藏的各种风险与问题,因此发布了一系列建议性文件,从不同角度提出了对外包活动尤其是外包风险施行监管的原那么与指南。2023年12月金管局制定的一份以外判为标题的文件可适用于所有认可机构的银行业外包活动,这份文件虽然并非专门针对电子银行,但其中载明的一般监管
14、方法及有关技术外包的管控措施等均对电子银行的外包活动具有重要的参考价值。在外判指引中,金管局对认可机构从事的外包活动表达了相当明确的监管态度,即只要认可机构的外包安排具备周详的方案和妥善的管理,且不会导致损害客户利益的情形发生,金管局就不会阻挠。4至于怎样才算是具备了“周详的方案”和“妥善的管理”,那么须由认可机构在施行其外包方案之前事先同金管局进展商讨。通常,认可机构须使金管局确信其可以做到如下几个方面:第一,认可机构继续保存对外包业务的最终控制权,其董事会与管理层对外包出去的业务负有最终责任;第二,确保在推行外包方案前后对外包安排施行全面持续的风险评估,并对有关风险进展妥善处理;第三,确保
15、选定效劳供给商之前已对其进展严风格查,选定之后又具备持续监察效劳供给商的适当管控措施;第四,确保签定的外包协议内容明确详尽,并对该协议进展定期审查和评估;第五,确保外包安排中有关_的保密性;第六,确保具有有效的外包安排管控程序及应变方案;第七,确保审查与审计所必需之外包信息的取用不受影响;第八,确保对跨国外包活动中风险的可控性;等等。除对一般外包活动确定指南外,金管局还通过后来发布的科技风险管理的一般原那么和电子银行的监管确定了网上银行技术外包监管中需采取的一些特殊管控措施。例如,在选择适当的技术效劳供给商时,应注意所选的供给商须具备足够的资与专业知识,可以遵守认可机构信息技术管控政策的本质内
16、容;而在将关键技术效劳(如数据中心操作)外包的情况下,认可机构还应详细评估技术效劳供给商的信息技术管理环境,且该评估最好由独立于效劳供给商以外的一方做出,独立评估报告应清楚列明评估的目的、范围及结果,并提交金管局以供参考。在同效劳供给商签订外包协议时,金管局强调:首先,应清楚载明技术效劳供给商的履行标准、明确有关软硬件的所有权及效劳供给商须承当的其他责任。如技术效劳供给商应确保其职员或代理人对获得的认可机构的信息严格保密,以及遵守认可机构有关信息技术的管控政策与程序等。其次,鉴于技术效劳供给商可能进一步将有关效劳分包给其他方负责,认可机构应考虑在协议中增加一项约定,即技术效劳供给商对有关效劳的重大局部施行分包时,必须向认可机构发出通知或获得后者的核准,而且此时原技术效劳供给商仍须就分包出去的效劳负责。在外包安排存续期间,为了对外包活动施行持续充分的监管和控制,除进展定期监
