商业银行业务外包风险体现及审计对策研究应用x
时间:2020-09-27 20:17:19 来源:勤学考试网 本文已影响 人 
商业银行业务外包风险表现及审计对策研究
林旺波
银监会自20XX年开始许可中国金融机构业务外包,20XX年公布《电子银行业务管理措施》和《银行金融机构信息系统管理指导》两文件中对外包业务和风险已经有所提及。今年6月7日,银监会正式公布并实施《银行业金融机构外包风险管理指导》,涵盖了银行业外包方方面面,是中国第一份专门针对商业银行外包进行规范文件。尤其是在总则中明确提到“银行业金融机构战略管理、关键管理和内部审计等职能不宜外包”、“定时安排内部审计,确保审计范围涵盖全部外包安排”,反应了内部审计关键性和对外包业务风险控制应该发挥作用。笔者结合多年参与实施外包业务管理审计认识,对商业银行外包业务风险及审计对策进行了总结,供内部审计同仁参考。
一、商业银行业务外包涵义
商业银行业务外包是指“银行业金融机构将原来由本身负责处理一些业务活动委托给服务提供商进行连续处理行为。服务提供商包含独立第三方,银行业金融机构母企业或其所属集团设置在中国境内、外子企业、关联企业或隶属机构。” [1]商业银行采取业务外包策略往往基于以下考虑:降低营运成本、转移操作风险;提升产品或服务质量和效率、提升用户满意度;克服资源有限性、增强银行关键竞争力等。
二、中国外商业银行外包业务现实状况
国外商业银行业务外包首先从信息技术外包开始,关键包含银行通信 网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统和数据分析系统、办公自动化系统等,更多属于业务处理步骤外包;第二阶段是分段业务步骤外包,将支持银行内部运作或用户后端服务切分成相对完整步骤段后整体外包,甚至包含整个IT系统外包,而不仅限于某项具体任务外包。经过所谓业务步骤优化组合,银行保留优势关键步骤段、外包非优势外围步骤段,以取得更高商业价值、更有效率运作模式。目前,伴随世界银行业发展和银行业务不停创新,各个层面上专业专注组合组成了商业银行关键竞争力,单一银行独立业务全步骤研发往往不足以确保竞争优势,造成很多银行尤其是中小银行将研发步骤外包给专门研发中心,即知识处理外包。
相对于国外,中国商业银行外包业务起步较晚,初始阶段尝试、探索是从后勤服务剥离、信息技术开发部分模块外包开始,如90年代现金社会化押运、20XX年深圳发展银行灾难备份支援服务外包等。至今,中国商业银行在以下方面已经有了外包实践,大部分尚处于业务处理步骤外包阶段。
1.信息技术类外包。具体为信息技术应用开发外包(指委托外包服务商对银行应用开发项目标设计、开发和推广实施)、信息系统运行维护外包(指委托外包服务商对银行应用系统日常巡检、技术支持等运维工作)、信息技术基础设施运行维护外包(指委托外包服务商为银行信息技术基础设施提供日常故障维修及巡检等运维工作)、自助银行设备保养(指委托外包服务商为银行自助设备提供日常故障维修及软件升级等运维工作)。
2.营运业务类外包。关键包含会计凭证影像信息采集、会计档案整理、对账单制作和寄递、会计资料运输、会计档案集中保管、后台信息录入和现金清分整点等。
3.专业性服务类外包。关键包含现金押运、金库守押、报警服务、营业网点安保、法律事务等。
4.业务处理程序外包,关键包含个人信贷业务用户身份及亲笔署名查对、信用卡用户资料输入和装封、不良贷款催收、柜面服务质量监测、手机银行营销、特约商户发展、电话推广营销等。
5.其它类外包。关键包含劳务派遣外包、后勤事务外包、物业管理外包、营业网点保洁服务等。
三、中国商业银行外包业务面临关键风险
伴随中国商业银行经营集约化程度提升,业务外包种类和范围不停扩大,同时,因为现在中国外包监管制度尚不成熟,缺乏大量外包实践经验和处理外包纠纷时有章可循处理程序和制度,业务外包在促进商业银行业务发展同时也展现出较多风险,具体表现在:
1.商业银行缺乏明确外包战略发展计划,未确定和其风险管理水平相适宜外包活动范围。尽管中国银监会在《银行业金融机构外包风险管理指导》中提到“银行业金融机构战略管理、和内部审计等职能不宜外包。”但现在对于战略管理和关键管理未做出深入解释,商业银行也未能界定能够外包或不能够外包具体范围,部分银行甚至违反银监会“各行不得进行银行卡委外发卡”要求,将信用卡营销业务和征信调查进行外包。
2.外包业务管理统一性和规范性不足。对多年新推出外包业务如手机银行营销、特约商户发展等外包业务缺乏规范管理措施和实施细则;且因为外包业务管理和操作归属于各业务条线,管理分散、松散、零碎,甚至同区域同类外包业务协议版本不统一,实施标准也不统一。
3.外包服务供给商准入风险。业务外包服务供给商准入标准量化不够,业务外包时没有根据要求推行报批手续,准入标准掌握不严格,将业务委托给注册资本低、风险承受能力差、管理经验不够、管理手段不完备、专业人员不足、确保制度不健全等专业及管理能力不符合要求服务供给商处理,造成业务质量和效率较低,不能满足业务需要。
4.银行对垄断性供给商缺乏制约方法,处于不利谈判地位。关键表现在如现金押运外包、报警服务外包和自助银行设备维护保养外包等,受政策性准入门槛约束,部分外包服务供给商如现金押运企业利用垄断优势,并推行有利于本身协议条款,甚至借口油价上涨等随意提价,违反协议条款约定,银行处于不利被动地位。
5.人员流动性风险。因为外包人员流动比率高,外包服务供给商对新聘人员培训不到位,加之,从完成培训到熟练掌握业务操作技能需一段时间,造成新聘人员业务处理熟练程度不高,业务质量和效率低;新聘人员不了解外包业务管理要求,增加管理难度。外包人员组成复杂,有些业务如现金清分整点、会计凭证影像信息采集、自助银行设备保养等,人员频繁更换易引发道德风险。
6.信息泄密风险。银行和服务供给商、服务供给商和外包人员之间未签署保密协议,或有些银行虽签署了保密协议但协议条款不完备或未严格实施,协议条款对外包人员约束力不强,如外包人员错误投递用户对账单和其它用户资料、银监会通报银行ATM监控系统外包维护人员利用盗取信息制作伪卡案件等,造成外包人员将银行内部信息、用户信息、账户信息泄密,存在潜在资金、银行信誉及法律责任风险。
7.外包业务依靠性风险。银行业务外包含有提升关键竞争力、降低经营管理成本等优势,但也造成了银行对外包供给商实际上依靠性,首先银行在制订新经营管理决议时会受制于服务商配合程度及完成能力,另外伴随合作时间延长,银行对外包商提供服务依靠程度不停加大,受其服务质量影响也逐步加强,降低了银行经营管理自主性和灵活性,现在年2月某商业银行因过分依靠外包商而银行本身未能立即做出反应而发生生产系统中止长达4小时。
8.外包协议管理风险。银行实施外包业务时未立即和外包服务供给商签署外包协议,造成无法对外包服务供给商业务开展进行有效约束;因为外包经验缺乏或未经上级法规部门审核,签署外包协议不完备,尤其是在协议中没有明确外包服务供给商业务差错赔付标准和方法,外包人员处理业务出现差错、失误及重大违规,甚至发生案件,造成业务无法按时完成,对银行造成经济、声誉损失时,赔付没有确保,使银行无法取得合理赔偿。
9.日常监管不到位风险。普遍存在“重外包轻管理”、“以外包代管理”现象,未对外包服务质量、履约情况和风险情况等进行监督检验和日常评定,不能立即发觉外包业务操作差错,或未和服务供给商建立有效沟通机制,出现业务差错后得不到立即纠正。如未对外包方提供自助设备保养统计、月度维修巡检汇报进行整理分析,未能发觉同一人员同一时间对不一样自助设备进行保养虚假统计。也未发觉以维修代保养,部分设备长久未得到日常维护。
10.外包业务应急风险。因为银行外包业务应急组织架构、应急预案、应急演练及应急方法等应急管理体系不健全,造成银行在出现突发性业务高峰、服务供给商非正常退出及其它紧急情况时,无法立即进行应急处理,影响业务正常开展,甚至出现业务中止,产生法律纠纷和社会负面影响。
四、中国商业银行外包业务审计对策
依据银监会《银行业金融机构外包风险管理指导》要求,内部审计“应该定时对外包活动进行全方面审计和评价” 、“确保审计范围涵盖全部外包安排”。遵照以风险为导向审计标准,中国商业银行内部审计应该将外包业务纳入年度审计计划,主动关注银行外包活动战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险和改变,适时调整审计策略。
1.主动发挥审计建设职能,督促银行管理层制订适合本行外包战略,并确定和其风险管理水平相适宜外包活动范围,循序渐进地推广银行业务外包,能够提议先将银行附加值较低、成本较高非关键业务如信息技术外包,积累银行外包经验和风险识别能力,伴随中国外包市场不停走向成熟,再制订长远外包战略,逐步扩大外包业务范围,选择利润更高业务步骤外包和知识处理外包。
2.关注外包业务审批权限管理,在银行总行认定范围,对业务采取外包方法授权应该集中在一级分行层面,新外包业务种类和方法,必需由总行审批。严格对照具体外包业务管理措施中明确服务供给商准入条件、量化标准,审查是否严格外包服务商准入,审阅业务外包可行性分析汇报,关键关注成本和效益分析,关注外包服务商确定中是否推行集中采购制度,外包后是否进行立即后评定程序,有效控制外包费用。
3.审核在外包协议中是否明确约定各类业务外包人员流动比率上限,并按超出流动比率不一样档次,分类制订处罚标准,对于因人员流动超出要求百分比且对业务处理质量和效率产生不利影响,应按协议明确对应标准进行处罚,以确保外包业务及岗位人员稳定性。并延伸审计检验外包供给商根据《劳动协议法》等相关法律要求给外包人员薪酬及福利待遇,以确保人员稳定,防范外包人员流动性风险。
4.检验协议中相关保密条款约定、现场检验或抽调外包场所监控录像资料。检验协议中相关保密条款约定、现场检验或抽调外包场所监控录像资料。关键关注外包业务协议是否完善,有没有针对具体业务和服务供给商签署保密协议,要求服务供给商和外包作业人员签署保密协议,明确外包企业应对所属职员在职期间及离职以后一定时期内利用工作便利获取银行商业秘密进行违法犯罪行为造成后果负担赔偿责任。必需时应针对外包业务购置保险或向银行支付确保金。关注对外包人员身份管理和在外包工作场所过程管理和监控是否严格、能否有效预防外包人员携带关键秘密信息(纸质或电子)离开工作场所。
5.关重视外包、轻管理现象。检验是否设置外包业务管理专门岗位,统一负责外包业务制度细化、业务指导、风险检验和对外包服务商评定、跟踪了解、日常考评、年度考评、外包业务洽谈、合作谈判、督促外包服务商做好业务上岗培训和外包结果中知识产权保护等工作,定时组织开展外包后评定工作,依据风险改变更新相关业务外包控制方法。尤其关键关注对外包服务商分包、转包和以银行名义开展活动风险管理情况。
6. 关注是否事先制订和建立外包突发事件应急预案和机制、审阅定时组织应急演练书面文档,审核外包应急替换方案。关注银行是否建立外包服务供给商后备机制,以备一旦外包服务供给商忽然退出,即可开启后备机制,平稳过渡。关注银行是否对关键外包业务如IT系统外包,借鉴“三叶草组织”理论[2]重视银行关键人才后备队伍建设,方便发生突发事件、服务供给商非正常退出时,银行能够立即投入关键人员接手业务处理,确保业务正常运转。
7.关注银行业务外包整个处理步骤纳入IT系统管理可行性,研究将包含需求、分析、外包方选择、协议拟订、协议审批、协议签署、实施、验收、付款和后续管理等步骤全部纳入系统管理,实现全步骤系统处理和控制。
8.主动开展审计调查,以访谈、调查问卷、穿行测试等多个形式直接搜集银行经营网点、一线职员和其它外包服务最终接收方对该类外包服务评价和提议,反应外包业务操作和管理中不合规现象,提醒外包业务中控制弱点和风险隐患,客观评价业务外包后成效,提出改善外包业务管理提议,促进银行外包业务连续、良性发展,充足发挥内部审计作用。
