一、对电子银行业务外包的优势分析

外包(Outsourcing)是一个外来词,其基本含义就是将自己本可以做的一些事情委托给其他人去做。由于电子银行业务对信息技术及网络安全都有着极高要求,而这就意味着巨大的资金投入,因此在以最小成本追求最大收益的商业规则下,银行往往选择将电子银行业务中的软件开发、信息处理、硬件维护等部分或全部外包给更为专业的第三方公司去做。从经济学和管理学的角度来看,银行之所以倾向于选择电子银行业务外包通常是基于如下的考虑:

1.提升核心竞争力的需要。电子银行外包可以让商业银行转而注重自己的核心业务,专注核心竞争力的培育。据调查,美国有68%的信用卡业务都是通过非商业银行机构来实现,银行的核心竞争力主要体现在业务本身而非后台支持,因此银行没必要雇用大批的网络高手来维护网络,交给专门的网络公司去做就行了。

2.更好地控制成本,优化资源配置。根据管理学理论,优秀企业通过将价值链中的不同环节外包给更为专业的公司,从而节省资源获得规模经济。例如,根据美国Forrest调查公司的一项统计,美国企业依靠自身力量建立并维护一个Web网站,头年的费用是22万美元,而将此工作外包给网络公司仅需花费4.2万美元。

3.获得新技术和提高服务效率。IT技术的发展日新月异,而电子银行的技术外包不仅可以使银行内部技术人员获得更多接触新技术的机会,还可以使他们摆脱一些繁杂的日常事务,从而大大提高技术支持的响应速度与效率。四是发展战略和风险规避的考虑。在全球金融一体化发展的背景下,银行业的竞争日趋激烈,网络技术的运用更给传统的生活方式与商业模式带来了新的挑战与机遇,而通过与专业外包服务商的利益捆绑,银行可以围绕最新科技的发展趋势来发展各项新兴业务以抢占市场先机,并因此减少了很多系统维护管理和技术开发失败的风险。

二、电子银行业务外包的风险分析

电子银行业务外包在提升银行的核心竞争力的同时,也会给银行带来新的潜在风险,并且给传统的银行监管体系出了新的难题。撇开就业等社会问题不谈,从经济与法律角度分析,电子银行业务外包本身也蕴涵着许多隐患。

1.信誉风险。银行业最为核心的资产是信誉,而外包服务供应商提供的服务质量低下将会影响银行的信誉。例如由于IT外包供应商的原因硬件设备出现故障维修不及时或软件系统存在漏洞等致使银行客户受损(包括客户在业务操作方面的不便利以及在资金、机会方面的损失等),即使这完全是由于IT外包供应商的过错也同样会大大影响银行的社会形象与信誉。

2.技术风险。在技术选择上,银行必须选择一种技术解决方案来支撑电子银行业务的开展,因而当各种电子银行的解决方案纷纷出台时,商业银行选择与哪一家公司合作,采用哪一种解决方案都将是电子银行存在的一种潜在风险,一旦选择不当,将使银行面临巨大的机会损失与利益损失。同时由于核心技术由外包公司掌握,外包公司或其职员利用工作便利来从中获利的道德风险也不可不防。

3.法律风险。由于电子商务和网上银行在我国还处于起步阶段,尚没有形成完善的法律环境,再加上网络的无国界性与各国监管机制的差异性使得电子银行业务外包中存在着相当大的法律风险。例如,外包过程中银行客户的隐私权保护问题、商业秘密和技术专利的归属问题、跨国诉讼的司法管辖权问题等都可能对银行的审慎经营造成巨大冲击。

4.系统风险。银行业是一国金融发展的核心,其对风险管理有着更加严格的要求。由于某些IT核心技术的垄断,在IT外包行业也存在着若干寡头公司,因而可能产生某一国(地区)的多家银行过于集中依赖某些外包服务供应商的情况,一旦出现问题会造成连锁效应。另外从长远来看,过于依赖某些跨国公司的技术外包还可能不利于本土企业的技术创新,甚至可能威胁到国家的金融安全。

三、电子银行业务外包监管的域外经验

银行业是个对风险管理有着异常严格要求的行业,而电子银行业务的外包有可能把本属银行机构的风险、管理责任及合规要求转移给不受监管当局监管的第三方。在此情况下,银行机构如何有效控制外包带来的运营风险?监管机构如何确保外包供应商在外包过程中履行了其监管要求?为了解决这些问题,很多发达国家和地区的银行监管当局已经陆续对此作出反应,以监管报告、建议或指引方式将电子银行业务的外包活动纳入到其原有监管体系中。

1.美国。早在1990年1月,美联储就通过一份监管声明提醒金融机构注意订立电子数据处理(ElectronicDigitalPlatforms,EDP)服务合同的潜在风险,美联储最为关注的问题是金融机构所签EDP服务合同中是否含有对其原有风险管理体系存在不利影响的条款,如责任免除条款等。而美联储纽约银行1995年的一封监管信函则明确了外包服务安排报告规则,即无论任何银行服务机构都应该在首次签署外包服务合同或者履行合同后的30天内向合适的联邦银行机构报告这种关系。

另外,联邦金融机构检查委员会(FFIEC)还了一系列旨在阐明银行管理IT外包风险方面职责的指引与公告,例如《FFIEC对外包技术服务的风险管理指引》(2000年)提出了由董事会负责外包引入和风险管理的原则;《FFIEC对技术服务商(TSP)监管手册》(2003年)概述了TSP风险的监管流程与方法;《IT外包技术服务检查手册》(2004年)为监管人员的审计检查提供了相应的程序指引。

2.香港。香港金融管理局(HKMA)2001年12月的《外判》对本地银行业的的外包活动表达了相当明确的监管态度,它虽然并非专门针对电子银行,但其中载明的一般监管方法及有关技术外包的管控措施等均对电子银行外包具有参考价值。在《外判》指引中金融管理局明确只要被监管机构的外包安排具备周详的计划和妥善的管理且不会有导致损害客户利益的情形发生,金融管理局就不会干涉。[2]

而所谓“周详的计划和妥善的管理”则包括了以系列的特殊管控措施。首先,在选择外包服务商时,银行应审查其是否具备足够的资源与专业知识,而在将关键技术如数据中心操作外包时,还应由独立第三方作出独立评估报告,报告将提交金融管理局备案。其次,在同外包服务商签订协议时,金融管理局强调应清楚载明外包服务商的履行标准和服务水平。再次,在外包安排存续期间,银行应对外包服务商实施持续充分的监控和制定有效的应急计划。最后,为了防止外包风险的过于集中,银行还应尽量避免过度依赖单一的外部服务商。

3.瑞士。1999年8月,瑞士联邦银行委员会(SFBC)了针对银行与证券公司的《外包指引》,允许金融机构在未经SFBC明确同意的情况下实施外包。但该指引规定外包必须得到董事会的同意方可实施,必须订立书面合同,并要求金融机构将外包业务纳入内控体系,外包合同必须明确允许SFBC、金融机构及其内外部审计机构对外包服务商进行必要的监控,同时某些核心管理职能是不允许外包的。

此外,伴随着国际金融一体化步伐的加快,各国监管者也逐渐意识到,外包所带来的风险往往是超越国境的。因此巴塞尔银行监管委员会于2003年先后了《电子银行风险管理原则》及《跨境电子银行业务的管理与监管》,为电子银行业务(包括外包)的监管提供了高级指导。巴塞尔银行监管委员会在综合各国监管经验的基础上,指出电子银行业务外包的风险控制首要原则是董事会和高级管理层应该对与电子银行业务的有关风险进行有效的管理和监督,通过建立全面和持续的尽职调查制度与监管程序来处理银行与外包第三方的相互关系。[3]

四、我国对电子银行业务外包监管的实践与法规建设

近年来,我国银行业的外包势头也发展迅猛,各大商业银行都相继开设了电子银行业务,其中四大商业银行都选择了自主开发核心技术与辅助业务外包相结合的道路,而光大银行、民生银行等股份制商业银行则选择将更多的信用卡业务、网络银行业务外包出去以降低运营成本。但在电子银行业务蓬勃发展的同时我国对其的监管还处于逐渐发展和不断探索中。目前我国电子银行业务监管事宜主要由银监会负责,关电子银行监管的法律框架也已初步确立,主要由《电子签名法》、《电子银行业务管理办法》、《电子银行安全评估指引》和《银行业信息资产风险监管暂行办法》等组成,而其中2005年颁布的《电子银行业务管理办法》是我国首次出现“外包管理”字眼的法律文本,其对电子银行业务外包的发展和监管可谓意义深远。

《电子银行业务管理办法》(以下简称《办法》)将网上银行、电话银行、手机银行及自助银行、ATM等均纳入电子银行业务范畴,扩大了对电子银行业务的监管范围,改变了长期以来部分电子银行业务监管无据的状况。[4]同时《办法》突出强调了电子银行系统的安全评估工作,要求金融机构聘请有资质的安全评估机构,至少每2年对电子银行进行一次全面的安全评估。而为了应对新兴的电子银行业务外包风险,《办法》还明确了许多具体的监管措施:(1)规定金融机构在选择电子银行业务外包服务供应商时,应充分审查、评估其经营状况、财务状况和实际风险控制与责任承担能力。(2)规定金融机构应当与外包服务供应商签订书面合同,明确双方的权利、义务。在合同中应明确规定外包服务供应商的保密义务和保密责任。(3)规定金融机构应建立针对电子银行业务外包风险的应急计划,并应制定在意外情况下能够实现外包服务供应商顺利变更,保证外包服务不间断的应急预案。(4)规定金融机构对电子银行业务处理系统、授权管理系统、数据备份系统等涉及机密数据管理与传递环节的系统进行外包时,应经过董事会或者法人代表批准,并应在外包实施前向银监会报告。

笔者认为,《办法》的上述规定已经吸收了很多国外监管的经验,并对我国银行业的发展情况有所考虑,它的出台既是我国监管当局在金融全球化趋势下对监管工作的一项适应性创新,也是一项有利于我国银行业在改制上市及发展过程中提高自身风险管理水平的重要举措。但是《办法》仍存在一些不足,诸如要求金融机构对第三方认证机构的可靠性和公信力进行保证并不尽合理。此外对金融机构的责任规定也过于严苛。

五、健全我国电子银行业务外包监管体系的思考

虽然我国已经对电子银行业务外包的监管制定了比较明确的规章,但是对电子银行业务的监管应该是一个完整的体

系,而且目前在我国的社会背景下,纸面上的法律要变为行动中的法律无疑还有较长的路要走。实践中由于信息技术的发展以及很多监管人员对于电子银行外包风险的认识不足,导致我国各地监管机构的监管理念和执法水平存在较大差异,所以笔者认为有必要进一步健全和完善我国有关电子银行业务外包的监管体系,以促进电子银行业务的良性发展。

1.在监管的价值取向上,银监会应该综合考虑监管的安全目标与金融机构的效率追求,实现金融安全与交易效率的平衡发展。银行是基于提升效益目的而实施外包的,因此监管当局不能仅仅为了监管的安全价值而不顾银行的效率价值。笔者认为,银监会应在谨慎基础上支持银行业更多的外包活动,这也是应对入世后更为激烈的银行竞争所必需的。当然银监会应始终坚持以下两个原则:第一,确保银行业外包活动处于银监会的有效监管之下;第二,确保银行机构合理制订外包计划和妥善处理外包风险。

2.银监会应进一步细化现有的电子银行业务外包监管规则。现有的外包监管规则总体而言仍偏于原则性,因而需要在既存原则框架之下尽快出台更具操作性的监管细则对监管人员的监管范围、权限和监管程序予以规范。此外,电子银行外包的实践是不断发展变化的,因而密切关注电子银行的最新发展动态,适当汲取国际上的先进经验,丰富电子银行业务外包风险管理的内容也极为必要。

3.监管部门还应加强有关客户金融信息隐私保护的力度。在电子银行业务外包活动中,最易遭到侵犯的客户合法权益就是客户的金融信息隐私权,例如2005年美国信用卡第三方服务商(CardsystemsSolutionsInc.)的系统被黑客侵入,造成包括MasterCard、VISA、AmericanExpres在内高达4000多万信用卡用户的数据资料被窃,给银行和客户带来了巨大的损失。因此,监管当局应该尽快规范电子银行隐私政策,督促银行和外包商共同采取措施安全保障措施来防范此类风险。

总的来说,在构建与完善我国电子银行业务外包监管体系的过程中,银监会应当关注市场的新变化和电子银行实践中的新问题,充分征求市场各方主体意见和密切关注国内外最新研究成果的基础上适时出台明确的监管指引与清晰的操作规则,尽量减少监管的滞后或缺位。同时,银监会还应贯彻技术中立原则,为市场创新留下充足空间,在安全与效率之间,在规范性与灵活性之间寻求合理的平衡点。

摘要:电子银行业务外包的出现,改变了银行业传统的经营方式与业务模式,在提高银行效率的同时也加大了银行的风险与监管的难度。针对电子银行业务外包制定相应的监管规范并构筑有效的外包监管体系势在必行。本文在借鉴和比较国内外电子银行业务外包监管模式的基础上,对我国电子银行业务外包监管体系的健全也作一探讨。

关键词:电子银行;外包;监管