|
金融服务外包联合论坛巴塞尔银行监管委员会国际证监会组织国际保险监督官协会国际清算银行
2
005年2月发布目录一、 综述..... 3二、 定义..... 5三、 指引原则概述
.....5四、外包的动机及行业分布..... 6五、 外包发展趋势..... 8六、 监管发展..... 10七、外包的主要风险.....14八、 指引原则的相关问题..... 15九、 外包原则详解..... 16十、 附录1:案例分析.....21十一、附录2:缩写名称.....24一、综述全球金融服务机构越来越多地将原先自行承担的业务转交外包服务商完成。监管当局进行的行业调研显示,金融服务机构已将相当一部分的业务外包出去,外包的安排也日渐复杂。金融服务机构通过外包,可以将风险管理及合规等职责转交给不受监管且能进行离岸操作的服务商进行运作。在这种情况下,金融服务机构如何能对所负责的业务及风险控制保持信心?如何能知道自己的业务是否遵循了监管要求?当监管当局质询时,这些机构又怎样能表明自己确实在按章办事?为回答上述问题并指导受监管的金融服务机构(受监管实体),联合论坛[1]成立了一个工作组为外包制订高级指引原则。本文对有关主要问题及风险做了详细说明,并阐述了作为参考标准的高级原则。这些原则适用于银行、保险及证券业。每个行业[2]的国际委员会可根据这些原则制定更为详细和有针对性的规定。目前外包日益成为降低成本及实现战略目标的手段。其中涉及到的领域包括:信息技术(如应用开发,编程及译码)、专业运作(如某些金融、会计领域,后台业务及处理、管理活动)、执行合约功能(如客服中心)。行业报告及监管调查表明,在金融公司安排外包的过程中,其它公司(包括公司集团内的相关公司及服务商)发挥着重要作用[3]。一个受监管实体的职能与业务可通过多种方式来执行,有关职能可拆分为产品制造、市场营销、后台支持与分销等。如果各种职能的实施地点不同,但仍由本实体内部的部门来负责,则此类情况就不属于外包。该实体应在常规风险管理框架内防范有关风险。当前更为复杂的外包安排不断涌现。在每种安排中,无论服务商是否受到监管,但都要受到联合论坛原则的约束。各种行业及监管报告指出,外包涉及风险转移及管理方面(多与跨境业务相关)的问题。各行业与监管当局认为,受监管实体越来越多地依赖外包业务,可能会影响到其管理风险及服从监管要求的能力。另外,监管当局还担心:受监管实体采取适当措施管理风险及遵守监管要求的能力,可能因外包而难以有效向监管当局表明。在外包业务引起的这些问题之一是对外包业务的过分依赖会严重影响到受监管实体的可持续性及其履行客户责任的能力。
受监管实体
可以采取以下措施来降低风险:制定全面与清晰的外包政策、建立有效风险监管流程、要求外包公司制定应急计划、协商达成合理的外包合同、分析服务商的财务与基础设施状况。
监管当局
能够通过以下措施减少外包过程产生的问题:在评估单个公司时充分考虑业务外包情况、在分析系统风险时要考虑服务商的风险集中问题。
监管当局
特别关心的一个问题是,受监管实体如何能保持强有力的公司治理。监管当局也担忧业务外包会影响受监管实体履行监管义务。除非市场与监管当局的影响联合起来形成有效的约束力量,否则随着金融行业对外部服务商依赖程度的加深及IT技术的迅速发展,业务外包可能导致系统性问题。本文对以上问题做了详细分析,并为公司及监管当局制定了一套原则,以帮助它们在不影响公司效率与效能的前提下,更好地解决这些问题。二、定义本文所指的外包是指受监管实体持续地利用外包服务商(为集团内的附属实体或集团以外的实体)来完成以前由自身承担的业务活动。
外包
可以是将某项业务(或业务的一部分)从受监管实体转交给服务商操作,或由服务商进一步转移给另一服务商(有时被称为“转包”)。
受监管实体
将外包的高级原则运用到具体的外包业务时,应考虑以下问题:第一,应根据外包业务对受监管实体业务的重要性来应用。第二,外包实体与服务提供商之间的附属关系或其它关系。当需要对附属实体运用外包原则时,可做适当修改,使其体现出集团内部外包业务风险的差异。第三,服务商是否受独立监管当局的监管。按此定义,外包不包括购买合同。此处“购买”被定义为:从供应商取得服务、货物或设备,但买方不转移与客户有关的财产权信息或与其商业活动相关的未公开信息。
受监管实体
是指由监管当局授权从事受监管活动的机构。本文提出的原则即是针对这样的实体。
外包
服务商(或称服务商、第三方),是指代表受监管实体承担外包业务的实体。
监管当局
是指所有授权受监管实体从事任何受监管业务并对该业务进行监管的机构。三、指引原则概述联合论坛制定了九条高级指引原则,其中前7个原则涉及实施外包的受监管实体的义务,后两个涉及监管当局的角色与义务。以下是对这些原则的概述,后文的第九部分将有详细阐述。
1
.
从事业务外包的受监管实体应制定全面的政策以指导评估是否及如何进行业务外包。董事会或相关机构对外包政策及有关活动负有责任。
2
.
受监管实体应建立全面的外包风险管理程序以指导外包业务及与服务商的关系。
3
.
受监管实体应确保外包管理既不能影响履行对客户及监管当局的责任,也不能损害监管当局的监管效能。
4
.
受监管实体应尽职选择外包服务商。
5
.
外包书面合同应包括有关外包管理的所有重要因素,如权利、义务与各方预期等。外包关系受此书面合同制约。
6
.
受监管实体与服务商应建立应急计划,包括灾害恢复计划及备份设施的定期测试计划。
7
.
受监管实体应采取措施,确保外包服务商严守受监管实体及其客户的机密信息,不得故意或无意对未授权人士泄露。
8
.
监管当局应把外包业务作为对受监管实体评估的组成部分。
监管当局
应采取措施确保受监管实体履行监管要求的能力不受影响。
9
.
监管当局应认识到多个受监管实体将业务集中外包给少数几个的外包服务商可能带来的风险。四、外包的动机及行业分布大量证据表明近年来外包业务增长迅速。例如,德勤会计事务所(Deloitte)估计在2004年后的五年内,美国金融服务业将有3560亿美元(占到此行业成本的15%)的业务外包到境外[4]。外包研究所对各种公司及组织的外包活动进行了调查,在其公布的《第五次行业外包年度索引》中列出了各行业外包业务占总业务的比重(图1)。图1:各行业中外包业务所占比重资料来源:外包机构??第五次行业外包年度索引(2004)从图可见,信息技术行业的外包业务最多,这也与联合论坛成员的实际情况及其它方面研究相吻合。据估计2003年全球IT行业的支出高达3400亿美元,其中的1200亿美元为外包支出。图中的外包比重数据显示了外包正由特定业务外包转向战略性外包。诸多商业性原因促成了业务外包的出现,其中一个主要原因是为显著降低成本??通过将业务外包给某一领域中具有规模经济效应的经营者,或外包给能利用其它国家廉价劳动力的经营者。图2列出了业务外包的主要原因。图2:外包原因资料来源:外包机构??第五次外包年度索引(2004)欧洲中央银行对外包动机进行的调查显示了欧盟国家外包动机的具体情况(图3)。图3:欧洲中央银行对外包动机的调查资料来源:欧洲中央银行2004年报尽管外包在各金融行业都有相当增长,但每个行业的外包模式却不尽相同。特别是基金管理业及保险业有时会将核心业务外包,这包括:l投资管理:许多保险公司及基金管理人目前将投资管理外包给外部机构及/或相关实体。l基金单位定价及托管:在许多情况下,单位连接基金及产品的单位定价及托管安排等外包给服务商。l核保与索赔支付:核保人允许保险经纪人代其处理索偿,并要求后者承担某些核保风险。
外包
核心业务的原因包括进入市场时核心技能的重要性及规模经济的优势等。不过这样做也会出现一些问题(见附录1中的案例3)。五、外包发展趋势金融机构将业务外包已有多年历史。例如自1970年以来,证券行业的金融机构为节约成本,将一些准事务性业务(如打印及存储记录等)外包。二十世纪八十至九十年代,在成本因素及技术升级的推动下,外包交易的规模已相当可观并涉及整个IT行业。随后,外包出现在人力资源等更多的战略领域。同期出现了一种名为“业务处理外包(BPO)”的新形式,是一种点到点(end-to-end)的商业链外包。在BPO中,金融机构与服务商的关系也由传统的服务提供转变为战略合作。
外包
的另一个趋势是“离岸化”,即将业务外包到境外。许多跨国公司试图通过建立离岸交易及服务中心来提高本机构整体的效率。金融机构除将业务外包给服务商外,也会把一些业务交由海外附属机构来完成。
表
1
列出了在印度从事外包业务的若干金融机构及其人员规模。
表
1
在印度从事外包业务的若干金融机构(2003)
公司
人员规模
(
人
)
公司
人员规模
(
人
)
荷兰银行(ABN Amro) 超过300 美国运通(Amex) 超过1000金盛保险(Axa)
3
8
0 花旗集团(Citigroup)
3
000德意志银行(Deutsche Bank)
5
00 通用公司(GE)
1
1
000汇丰集团(HSBC)
2
000 JP摩根大通(JP Morgan Chase)
4
8
0梅隆金融(Mellon Financial)
2
4
0 美林集团(Merrill Lynch)
3
5
0渣打(Standard Chartered)
3
000资料来源:德勤会计事务所在美联储理事会会议上做的《银行的离岸及跨境外包》报告(2004年3月20日)。有证据表明,中国、马来西亚及菲律宾也被视为开展外包的理想地区。根据德勤会计事务所2004年的报告[5],离岸业务将在本世纪初的十年内持续增长。报告估计,在2003年全部金融服务公司中约76%拥有离岸机构,而2002年这一比例仅为29%。报告预测2005年的离岸业务市场产值将达到2100亿美元,2010年达到4000亿美元,占整个行业总产值的20%。报告指出,大公司具有离岸业务的比例显著高于小公司;越来越多的公司正在建立自己的离岸业务机构。离岸业务的增长产生了对“国家风险”进行监控的需要,即金融机构将业务外包给另一国家(地区)的服务商后,需要监视该国(地区)政府的政策、政治、社会、经济及法制状况;同时也应制定适当的应急计划与退出策略。另外,一家机构业应考虑商业持续性问题,即在极端情况下如何将外包业务迅速转回国内。六、监管发展
监管当局
已认识到外包带来的问题涉及国内及国际两个方面。联合论坛在制定适用所有金融行业的原则时,与多个国际工作组进行了合作。相关的国际合作包括:lIOSCO常设委员会制定了针对证券公司的一套专门的外包原则,该原则旨在为联合论坛制定的高级原则做补充。l巴塞尔委员会与IAIS关注新出现的外包业务及监管对策。l欧洲银行监管委员会(CEBS)推进了原来由联络组启动的工作。在2004年4月,CEBS发布了外包指导原则的征求意见稿。l欧洲证券监管委员会(CESR)依据《金融工具市场规则》(MIFID),为欧盟执行有关外包的法律提出意见。在咨询期结束后,MIFID预计将于2006年中期开始实施。l欧洲保险与职业年金监管委员会(CEIOPS)也可能对外包表示关注。一些国家的监管当局为外包设立标准及立法控制。表2是其中一些实际监管操作。
表
2
:各国对外包业务的监管操作
澳大利亚
2
002年7月1日,开始实施银行外包的审慎标准,监管当局希望保险公司也能遵循同样的标准。比利时
2
004年6月1日,基于CEBS的征求意见稿,比利时的银行、金融与保险委员会(CBFA)发布了针对银行及投资服务行业的共同指引。关于保险行业实施这一指引的问题,目前也在征求意见。加拿大
2
001年5月,金融机构管理署(OSFI)制定了关于外包的B-10指引。2003年12月公布了修订后的指引。所有受联邦监管的实体要从2004年12月15日开始执行。法国在2005年初,第97-02条例增加了涉及信贷机构及投资公司的内部控制条款。这些条款与外包业务有关,并对外包“核心”业务提出了特别规定。外包业务必须以书面合同订立,且合同中必须规定允许金融机构及银行委员会进行现场调查。外包及相关风险必须是向董事会报告的内容之一。德国
2
001年12月德国监管当局发布了包括所有信贷机构及金融服务机构的外包指引,要求外包业务不能在以下方面带来负面影响:(1)这些业务或服务的秩序;(2)管理者监控及管理这些业务的能力;(3)德国金融监管局根据其司法权限对信贷机构进行审计的权利及实施监控信贷机构的能力。日本
2
001年4月,日本银行发布了金融机构稳健操作文件,提出了对外包风险进行管理的要求。金融服务局颁布了金融机构检查手册,规定了外包风险管理的检查重点。荷兰
2
004年4月1日,荷兰银行(信贷机构的审慎监管当局)发布了《组织及控制规则》。该规则的第2.6节列出了对业务程序外包的规定。
2
004年2月1日,Pensionen-&Verzekeringskamer(荷兰养老金及保险监管局,保险公司及养老基金的审慎监管机构)发布了对保险公司的外包管理规则。瑞士
1
9
99年8月,瑞士联邦银行委员会(SFBC)公布了针对银行与证券公司的《外包指引》,允许公司在未经SFBC明确同意的情况下实施外包。该指引规定每年对公司进行一次年审。要求外包业务需以书面合同订立,并要求金融机构将外包业务纳入内控体系。外包合同必须明确允许SFBC、金融机构及其内外部审计机构对外包服务商进行监控。董事会的职能及金融机构的核心管理职能不可外包。英国英国金融服务局(SFA)在《临时审慎监管手册》中制定了对银行及住房互助协会的业务外包指引。指引的P3条款对保险也做出了同样规定。指引涵盖了重要与次要的外包业务,但主要针对重要的外包业务。在公司的对重要业务外包之前,须先通知SFA。
2
004年12月,SFA手册在增加的SYSC3A.7一节中提出了新的指引。美国(证券公司)一般来说,证券公司内部传统的业务在外包之前,证券监管当局不必提出反对。纽约证券交易所的第342、346及382条规则规定了(有些业务)应完全禁止外包或仅允许外包给受监管实体。
1
9
3
4
年的证券交易法规定,任何人或实体未在美国证券交易委员会注册之前,不得为其它机构进行证券交易。美国(银行)FFIEC(联邦金融机构检查委员会,美国五大金融监管机构的伞形组织)发布了一系列指引与公告,旨在阐明银行在管理IT外包风险方面的职责,同时也为监管机构提供指导。最近修订的指引又专门对服务商关系的信息安全做出规定。目前美国银行在外包方面的监管指引主要包括以下方面:
2
001-47OCC公告,服务商关系:风险管理原则(2001年11月)FFIEC对外包技术服务的风险管理指引(2000年11月);FDIC的三个技术指引是:(1)《挑选服务商的有效方法》;(2)《管理技术提供商执行风险管理的方法??服务水平协议》;(3)《管理多个服务商的技术手段》(2001年6月)FFIEC的IT手册:《技术服务商(TSP)监管手册》(2003年5月),概述了监督及管理TSP风险的监管方法。
2
004年中,美国银行监管机构公布了《IT外包技术服务检查手册》终稿,为监管人员检查提供了指引与检查程序,包括评估金融机构建立、管理及监控IT外包关系的风险管理程序。美国(保险公司)美国保险监管机构通过各种方式监管保险外包业务。监管机构根据各种司法授权对基本业务外包进行监管。这方面的法律涉及管理一般代理人及服务商管理人的法律(具体有:全国保险业协会(NAIC)的管理一般代理人规范法、服务商管理规范章程)。其它外包业务由现场市场行为检查程序来处理。例如索赔处理或投资管理、监管当局处理违规行为的权限情况、阻止不公平索赔及不公平交易行为。NAIC市场监管及消费者事务委员会成立了服务商卖方工作组,处理当前监管当局未涉足但与保险公司业务外包有关的问题。工作组希望其建议能被编入NAIC的市场行为监管手册。七、外包的主要风险尽管业务外包对金融机构有诸多益处,但金融机构也必须面对外包业务的风险。主要风险见表3。
表
3
:业务外包的主要风险
风险
风险
涉及领域战略风险服务商按照自己利益行事,从而可能有悖于受监管实体的整体战略目标未能对外包服务商实施适当监督缺乏充分的专业能力对服务商进行检查名誉风险服务商提供的服务差强人意与客户的互动不符合受监管实体的整体标准服务商的活动不符合受监管实体(在道德或其它方面)的规定合规风险未遵守隐私法未充分遵守客户与谨慎管理的法规
外包
提供者的合规与控制力不足操作风险技术失误缺乏足够财力以履行责任或提供补偿欺诈或失误实施检查的成本过高退出策略风险由不适当市场退出引起的风险对手风险不适当的承销或错误的信用评级应收账款质量恶化国家风险可能由政治,社会或法律因素引起商业持续性计划更为复杂合同风险履行合同的能力对于离岸业务,选择管辖法律至关重要获得信息风险
外包
协议影响受监管实体向监管当局及时提供数据及信息集中与系统风险 行业整体的风险集中于某一服务商。风险集中包括以下两方面:
(
1
)单个公司缺乏对服务商的控制
(
2
)对整个行业的系统性风险八、 指引原则的相关问题
定义
:联合论坛工作组(下称“工作组”)经过多次讨论,确定了外包定义。工作组主要的考虑是定义应尽量宽泛与简练,同时要避免包括与金融监管无关的内容[6]。为此CEBS与IOSCO做了相关辅助工作。其中CEBS帮助确定了应予以排除的主要购买性合同;而IOSCO提出了受监管实体应持续进行的活动。
附属机构
:工作组经过讨论,认为外包定义应涵盖对附属机构的外包。不过也有人提出:对于那些出于解决监管或其它法律问题而成立的附属机构,应制定监管原则。在咨询过程中,不断有人提出这方面问题,
业务的重要程度
:工作组不但讨论了区分重要与次要业务的好处,也探讨了按照重要程度划分合规程度的益处。经过咨询,联合论坛决定增加有关业务重要程度的解释内容,但具体的规定要由各国政府来决定。指引应旨在鼓励公司在制定风险管理流程时,考虑业务的重要程度,并为此提供了指导。
公司
管理层的责任:联合论坛一致认为,不论业务是否外包,指引原则应强调公司高管对所有业务负有的责任。
受禁止的特别业务
:一些讨论涉及禁止核心业务外包的作用与适用性。联合论坛考虑到了外包基础原则广泛适用性及及行业的差异性,认为具体受禁的外包业务不应由基础原则来规定,而应是各行业根据基本原则再具体规定。
系统性问题
:联合论坛认为,即使这些原则能在微观公司层面阻止外包风险发生,但外包还是可能引发系统性的风险。这促使工作组增加一项特别原则,协助监管当局监控服务商带来的风险集中问题及系统性风险问题。九、外包原则详解本部分对联合论坛的九条高级原则加以详细说明。
1
.
从事业务外包的受监管实体应制定全面的政策以指导评估是否及如何进行业务外包。董事会或相关机构对外包政策及有关活动负有责任。
在业务外包之前,受监管实体应制定有关外包决策的专门政策及标准,包括评估有关活动是否及在多大程度上适用外包。风险集中及外包业务的整体可接受水平等问题,也必须予以考虑。如果受监管实体希望将任一业务外包,管理层需全面了解成本及收益状况,这要求管理层对该实体的核心能力、管理能力及弱点、未来目标等进行评价。
受监管实体
应制定相关政策以确保有效监管外包业务(见原则2);在整个外包过程中及合同期间,受监管实体都应具有适当的治理结构,清晰界定自己的角色及职责。
受监管实体
应采取适当措施确保在母国及东道国都能遵守法律和监管要求。如果将某项业务外包会妨碍监管当局评价或监管受监管实体的业务(见原则3),则该活动不能外包。
受监管实体
的董事会(或相当机构)要全面负责,确保受监管实体的外包决策及服务商的活动符合外包政策。另外,内部审计也起到很重要的作用。
2
.
受监管实体应建立全面的外包风险管理程序以指导外包业务及与服务商的关系。
评估受监管实体的外包风险取决于如下因素:外包业务的范围及重要性、受监管实体的管理水平、外包风险的监控(包括对操作风险的一般管理)、服务商对潜在操作风险的管理与控制。下列因素有助于受监管实体判断风险管理流程中外包业务的重要性。l因服务商未能完成外包任务而对受监管实体的财务、声誉及经营造成的影响;l因服务商未能完成外包任务而对受监管实体的客户及对手带来的潜在损失;l外包业务对受监管实体遵守监管要求及其变化的能力的影响;l成本;l受监管实体中的外包业务与其它活动之间的关系;l受监管实体与服务商之间的隶属或其它关系;l服务商的受监管地位;l选择替代服务商或将外包的业务改由内部机构承担的难度及所需时间;l外包安排的复杂程度。如在多个服务商合作提供点到点外包服务的情况下,对风险进行控制的能力。数据保护、安全及其它风险可能因外包服务商所在地理位置而受到不利影响。为此,在评估及管理发生在本国境外的外包活动时,必须有专门的风险管理能力,以评估涉及政治及法制环境等方面的国家风险。更一般的讲,全面性的外包风险管理流程包括:对外包安排的各个方面进行持续监控;指导受监管实体在应对意外事件时采取纠正措施的程序。
3
.
受监管实体应确保外包管理既不能影响履行对客户及监管当局的责任,也不能损害监管当局的监管效能。
外包
安排不能影响客户对受监管实体的权利,包括客户根据有关法律获得适当赔偿的权利[7]等。
外包
安排不应损害监管当局对受监管实体进行合理监管的能力。
4
.
受监管实体应尽职选择外包服务商。
在选择服务商之前,受监管实体应制定标准以评估服务商是否具有有效、可靠及高标准履约的能力,及与特定服务商相关的潜在风险因素。
受监管实体
具体需尽职责包括:(1)选择合格且具有充分能力履行外包业务的服务商;(2)确保服务商能理解及满足受监管实体在特定活动中的要求;(3)确认服务商具有履行职能所需的稳健的财务状况。在未完成以上准备工作之前,受监管实体不可将有关业务外包。如果服务商不能完成外包业务,则需通过其它途径来处理这些外包业务,但这样做可能会付出高昂代价。因此受监管实体也应考虑到由此带来的损失及业务中断的可能。将业务外包到境外,还会引起其它的问题。例如,在突发事件中,受监管实体难以及时采取适当对应措施。因此受监管实体的高管也应评估境外经济、法律及政治环境的不利影响对服务商完成外包业务的冲击。
5
.
外包书面合同应明确涉及外包管理的多种重要因素,包括权利、义务与各方预期。外包关系受此书面合同制约。
外包
安排应以明确的书面合同确立,其特征及细节应与外包业务的重要程度相一致。书面合同是重要的管理手段;恰当的合同条款能降低违约风险或减少在业务范围、特性及服务质量方面的分歧。合同的关键条款应包括:l明确界定需要外包的业务,包括适当的服务及执行水平;事先评估服务商在数量及质量方面的履约能力;l合同既不能阻碍受监管实体履行监管义务,也不能妨碍监管当局行使监管权力;l受监管实体必须确保能够从服务商处获得有关外包业务的账簿、记录及信息;l规定受监管实体要能对服务商进行持续的监控,以便能及时采取整改措施;l在必要情况下,合同应包括终止条款及执行终止规定的最短期限。后者应允许外包服务能转包给其它服务商或并入受监管实体。此类条款应包括破产、公司性质改变的情况并明确规定合同终止后知识产权的处置(包括将信息转回受监管实体,见原则6)、其它在合同终止后仍然有效的职责;l对外包安排的特殊重要问题也应做针对性说明。如对海外服务商,合同应包括适用法律的规定、协议约定及司法约定,这些可确保有关各方在特定司法管辖下仲裁纠纷;l合同应包括服务商将全部或部分外包业务转包的前提条件。在适当的情况下,如服务商要将全部或部分外包进行分包,则应事先取得受监管实体的同意。且合同条款应保证受监管实体的风险控制力不能因分包而受到影响。
6
.
受监管实体与服务商应建立应急计划,包括灾害恢复计划及备份设施的定期测试计划。
受监管实体
应有关于应急计划的全面制度化的政策,每个外包合同都应有专门的应急计划。受监管实体应采取适当措施评估及解决因服务商业务中断或其它问题导致的可能后果。显然,这需要考虑服务商的应急计划、协调受监管实体与服务商的应急计划、制定服务商未履约情况下受监管实体的应急计划等。如果受监管实体及服务商缺乏全面应急计划而且外包业务反复出现问题,则可能导致意外的信用暴露、财务损失、错失商机及出现信誉与法律问题等。健全的信息技术安全必不可少的。信息技术能力的中断可能会损害受监管实体对其它市场参与者履行职责的能力、侵蚀客户的隐私权、损害受监管实体的声誉、并最终对受监管实体的整体操作风险状况造成不利影响。受监管实体应确保服务商保持恰当的信息技术安全及灾害恢复能力。应急计划必须包括替换表现欠佳的服务商的选择成本。如果受监管实体不满意服务商的表现,则可将其替换或自行承担此外包业务,甚至有时可取消此业务。这些做法代价高昂,往往是不得以而为之。当然,这些意外情况及相关成本应在协商过程中予以说明并在合同中明文规定。对现有的合同,这些条款应在合同延期时加以补充。
7
.
受监管实体应采取恰当措施,要求外包服务商严守受监管实体及其客户的机密信息,不得故意或无意对未授权人士泄露。
实施外包的受监管实体应采取恰当措施来保护客户的机密资料,并确保其不被滥用。此类措施包括,在与服务商的合同中禁止服务商或其代理人使用或披露受监管实体或其客户的专有信息(除非是约定服务且满足监管及法律所要求的条件)。根据监管及法律规定,受监管实体也应考虑是否有必要通知客户其资料可能被转移给了服务商
8
.
监管当局应把外包业务作为对受监管实体评估的组成部分。
监管当局
应采取措施确保受监管实体履行监管要求的能力不受影响。
监管当局
应将外包业务作为其对受监管实体综合风险评估的组成部分。为评估及监控受监管实体的外包政策及外包风险管理流程,监管当局应能及时获得有关外包业务的账簿与记录及其它资料。受监管实体能直接获得这些资料,而监管当局也应能通过直接或间接渠道获取。这包括要求账簿及记录必须保存在监管当局所在的国家、或服务商承诺能将账簿与记录的原件或复印件交至监管当局。为能从服务商取得外包业务的账簿、记录及相关信息,监管当局应考虑实施适当的规定及措施:(1)在合同中规定受监管实体具有取得服务商处理外包业务的账簿与记录的能力与检查权力;(2)获得任何子承包商的有关账簿与记录。合同还应规定,服务商应制备账簿、记录及其它资料,以便监管当局随时获取。
9
.
监管当局应认识到多个受监管实体将业务集中外包给少数几个的外包服务商可能带来的风险。
当有限数量(有时仅一个)的外包服务商为多个受监管实体提供服务时,操作风险相应集中,并可能带来系统性风险。另外,如果多个服务商的紧急业务援助人为同一援助公司(如同一受灾援助公司),当这些服务商都发生业务中断时,则该援助公司无法同时向这些服务商提供援助服务。在公司通过业务外包来提高效率及实现规模经济的过程中,势必会出现一些形式的风险集中问题。在评估及监控受监管实体的外包政策及风险管理流程时,监管当局应关注受监管实体业务集中产生风险的方式。有一些可以缓解风险集中问题的措施,其中最为重要的是受监管实体要制定合理的应急计划(见原则6)及其它方面的监管释缓措施,如实时监控、识别流程、适当的监管计划、风险评估等。十、附录1:案例分析
案例
1
:德国贷款工厂
越来越多的德国信贷机构将贷款业务外包给专门的且不受监管的服务商,这些服务商被形象地称为“贷款工厂”。贷款工厂为贷款及抵押提供专业化的后台支持服务,有时甚至可决定是否发放贷款。
2
003年,某一信贷机构不仅要将还贷业务外包,也想将发放贷款的决定权外包,这涉及250万欧元以下的常规零售贷款业务及非常规业务。但监管当局对此外包的评估结论是:在非常规业务中,信贷机构无法对贷款工厂发放的贷款进行监察。在本案例中,尽管发放贷款的决定权掌握在贷款工厂手中,但信贷机构仍需负责业务运营且承担由此带来的风险。本案例有以下应注意问题:l对于将产生新风险暴露的决定权外包,只有当这样做不会减弱管理层正确管理风险的能力时,方可实施。l只有在受监管实体严格要求服务商采用准确且经验证的评估标准,上述外包才能符合规定。就当前金融行业使用的系统而言,这只能在常规零售-贷款业务才可能实现。
案例
2
:澳大利亚监管当局调查银行业务外包
澳大利亚银行的外包业务包括信息技术、信用卡服务、采购、支票、其它电子清算服务、抵押贷款处理及薪酬等。这些外包存在的问题是:如果服务商运作出现问题或不能持续提供服务,那么就可能会给客户资料保密及银行的财务状况及声誉带来风险。
2
002年1月,澳大利亚审慎监管当局(Australian Prudential RegulationAuthority,APRA)完成了一项针对银行外包的调查,并从当年7月1日开始实施具体的审慎标准。APRA发现,对外包安排的管理有多种方式:较大的机构通常有专门的外包部门确保本机构外包政策得以执行;另外一些机构则将外包职责交由商业单位。在此情况下,没有专门部门负责监管外包安排,其中的风险也难以得到正确识别与评估。约有不到三分之一的受调查机构有正式的外包政策。多数受调查的银行能准确表述外包业务的类型或进行外包的原因,但没有标准化的做法。
案例
3
:将受管理的基金的单位定价业务外包
1
9
99年,澳大利亚一家主要的金融机构将其单位定价及托管安排外包给了同属一个集团的托管人。该托管人后被(集团)出售,而外包安排仍留在该托管人内。
2
004年1月,该机构发现有关基金在数年内无法申请减税优惠,这导致了基金单位价值被低估。当这一问题被发现后,该机构不得不向投资人支付约9000万澳元的补偿金。监管当局则令该机构对其系统进行全面的检查以确保不再发生类似事件。此案例暴露出的问题有:l该机构与服务商之间缺乏足够的控制及制约机制。l当托管人与该机构不再同属一个集团,该机构会产生难以对托管人产生有效影响的顾虑。l因将此类业务外包给服务商而承担了严重的声誉风险。
案例
4
:货币监理署对一家银行及其服务商采取制裁措施
2
002年,美国货币监理署(OCC)对一家加利福尼亚银行及其服务商采取了强制措施。此服务商为该银行在18个州及哥伦比亚特区的部分贷款提供发放及回收等服务。该服务商的问题是未能保全客户贷款资料??其工作人员于2002年将这些贷款资料丢弃。OCC宣称此举触犯了法律及监管规定。本案例表明当全国性银行将业务转交给服务商但又不能实施有效监管时,其自身面临的风险。OCC认为该银行未能安全及稳妥地处理与服务商之间的关系。该银行违反了《公平信贷机会法》、《真实贷款法》、《安全及稳健标准》、《Gramm-leach-Bliley隐私保护法》(该法规定了客户信息的安全及保密标准)。针对该银行触犯法律及进行的违规操作,OCC命令该银行支付民事罚款及终止与其服务商之间的关系。服务商也被勒令缴纳罚款,并且在未经OCC同意的情况下,不得为全国性银行或其分支机构提供服务。为保护客户隐私权,OCC还要求该银行将丢失贷款资料事通知有关客户,并在通知中建议客户采取哪些措施来处理可能发生的身份资料失窃问题。
案例
5
:美国对服务商的联合检查
根据《银行服务公司法》,美国联邦金融机构检查委员会(包括FFIEC)有权检查银行的服务商。该法规定银行服务公司(包括技术服务提供商(TSP))应接受其服务的银行的监管机构的检查与监管。另外一些FFIEC机构已经对TSP采取了强制措施。本案例说明FFIEC如何对银行服务商施用该法。对于以下两种情况,监管机构可考虑对服务商实施联合检查:(1)某一服务商为多个受不同监管当局监管的实体处理核心业务活动(由此形成高度的系统性风险);(2)服务商在位于不同地区的数据中心处理业务。这些监管机构在检查范围、时段及人员方面进行合作,而检查报告由这些机构、受检查的服务商及其受监管的客户共享。FFIEC采用全面及统一的评级体系(如信息技术(IT)统一评级系统(URSIT))对服务商及受监管实体的IT相关风险进行评估及评级。根据TSP风险状况,对IT的检查周期为18-36个月不等。当前正在对约160个服务商进行跟踪检查。而根据FFIEC检查者进行的风险评估,其中有130个服务商受到定期检查。
2
003年,FFIEC的成员机构联合参与了针对一家全球性服务商在美国各地的办公室的IT检查。对风险检查的范围集中在业务活动、交易处理服务、清算及结算、信息安全、业务持续计划、URSIT内容(管理、审计、开发、收购、技术支持、交货)等方面。检查结果以联合检查报告的形式对外发布(按照FFIEC对TSP的IT检查的统一格式)。对于分布在该机构主要服务中心地区以外的技术支持服务,联合检查也实施了小范围的检查。需要指出的是,国外监管当局已要求获得(为它们国家的受监管实体提供服务的)TSP检查报告。当局正在考虑是否与国外监管当局分享这些报告。十一、附录2:缩写名称APRA澳大利亚审慎监管当局BCBS巴塞尔银行监管委员会BIS 国际清算银行BPO 业务处理外包CBFA比利时银行、金融与保险委员会CEBS欧洲银行监管委员会CEIOPS 欧洲保险与职业年金监管委员会CESR欧洲证券监管委员会FFIEC 美国联邦金融机构检查委员会IAIS国际保险监督官协会IOSCO 国际证监会组织IT 信息技术MIFID《金融工具市场规则》NAIC 全美保险业协会OCC美国货币监理署OSFI 加拿大金融机构监管局SFA 英国金融服务局SFBC瑞士联邦银行委员会TSP 技术服务商中国人民银行国际司魏欣李文龙翻译[1]由巴塞尔银行监管委员会(BCBS)、国际证监会组织(IOSCO)、国际保险监督官协会(IAIS)及国际清算银行(BIS)组成。[2]包括BCBS、IOSCO及IAIS。[3]《银行信息技术秘书处(BITS)针对IT服务商关系的管理技术风险框架》,第二版,2003年11月第2页。[4]德勤会计事务所在美联储理事会会议上做的《银行业务离岸及跨境外包情况》报告(2004年3月20日)。[5]德勤会计事务所的第二份年度调查《巨人的把握》。[6]这些内容通常被金融监管当局认为是不属于外包范围,如购买饮用水及办公家具等。[7]受监管实体当然可以要求享有针对服务商的合理法律权利。
作者:cbrc
| 
