商业银行业务外包的监管

1、国内外商业银行业务外包的监管比较比较了美国、加拿大、澳大利亚、欧盟等10余个国家和地区有关银行业务外包监管政策和 法规的差异.一、国外对银行业务外包的监管相同点：所谓业务外包是指银行将原本是其自身或其附属机构商业职能的部分基本交给其他商业 组织或者独立的第三方来提供服务、商品或者设备，与此相关的行为即为外包。外包在带来 降低成本和实现专业化管理等优势的同时也蕴含着风险。为此，巴塞尔银行监管委员会针对 业务外包提出了指导原则，美国、加拿大、澳大利亚、欧盟、英国、瑞士、荷兰、比利时、 日本、新加坡、台湾、香港等国家和地区都制定了商业银行业务外包的风险管理指引。本文 从以下几方面对各国的外包监管模式

2、进行比较。（一）告知义务澳大利亚金管局要求持牌存款机构在与他方达成将其核心业务外包的协议之前必须告知 监管机构，并阐述外包安排的主要风险以及它将如何降低风险的策略；监管机构有权要求持 牌存款机构和承包商向其提供所需的与评估外包安排风险有关的其他材料。英国金融服务局 规定，当一项外包业务从本质上影响到银行的系统和控制或影响其风险方面时，银行应通过 正常的监管渠道去通知监管机构。实际上，这种本质上的影响涉及到核心业务的内容。为此, 监管机构要求银行应告知关于外包供给商的任何关键性问题。（二）董事会和管理层的责任美国监管机构规定金融机构的董事会和高级管理层有对外包关系进行监管的职责董事 会和高级管理

3、层应不断发展并且实施全公司范围内的政策措施来管理外包业务过程。澳大利 亚监管机构规定，持牌存款机构的董事会和高级管理层应该为外包安排制定正式的策略应 该积极参与对所有核心业务的外包安排的评估活动，包括外包的决定、审议过程、对承包商 的评价和选择、过渡安排以及确保合理的退出战略。加拿大金融监管机构规定董事或董事 会应制定合适的风险管理政策，应该定期批准或重审适用于外包安排的政策（如风险态 度、实质性标准、风险管理程序和批准权限等），并定期复查。管理层的责任则在于为董事 制定外包政策，执行政策及任何相关的计划，定期检查效果和及时向董事传达与外包风险相关的信息。瑞士金融监管机构也规定了金融机构有对外

4、 包范围内的活动进行持续监督的责任和权力。（三）外部审计在美国，联邦金融机构检查委员会鼓励使用能够有效保障且建立在风险基础上的审计，以 便董事会、管理层和审计人员能够将其资源集中在最大的风险上，从而建立现在及未来监管 活动范围以及评估风险管理的质量，有利于有效使用管理资源。在澳大利亚，监管机构可以要求持牌存款机构的外部审计机构提供一份涉及 到诸如IT系统、数据安全、内部控制计划和商业连续性计划等与外包业务有关的风险管理的评价报告。在加拿大，监管机构要求银行应该确 保当外部审计员的标准与加拿大会计职业相关的审计独立标准相一致，并满足其他审计员独 立性要求。与上述国家相比，瑞士监管机构对外包审计的

5、相关规定则更为详细。一方面，规定发包金融机构的审计公司无论何时都必须完全掌 握和无限制地洞察与外包服务有关的各项内容和活动，并对其进行监控和稽查。另一方面，规 定服务提供商如果不接受监管机构监管的话，它必须和发包金融机构通过合同的形式来保证 向监管机构送交全部的信息和文件。（四）合同及服务水平标准各国都不约而同地重点强调，合同及服务水平标准这部分内容是各国监管指引的重要组成部 分。澳大利亚规定,所有的外包协议都必须通过签订书面的、具有法律约束力的契约来实现。该协议至少应该列名以下事项：服务水平和业绩要求、 审计和监督程序、业务连续性计划、业务记录（及相关的软件）的所有权、违约安排以及终止条款、

6、价格与服务费结构、对争议的处理、责任 与损失赔偿、信息的安全性及保密性等内容。加拿大的监管机构规定,要求实质性外包安排采取书 面合同形式,该合同包含安排的所有的基本内容，并且通过金融机构法律顾问的审查。具体包括：外包服务的种类和范围、绩效测量标准、报告要求、 差异的消除、责任疏忽和终止、所有权和获取方式、机密安全和产权分离、定价、保险等事项。美国联邦金融机构检查委员会特别规定了签订外 包合同的基本原则：一是确保合同明确地规定了双方的权利和义务。二是确保合同包括了足够的和可测量的服务标准协议。三是确保与附属机构 间的协议明确地体现了合适的距离和关系，并且费用和服务至少和通过一个非附属机构提供者提

7、供的费用和服务一样好。四是选择满足金融机构 要求的最恰当的定价方法。五是确保合约不包含对机构有显著的坏影响的条款和动机。六是 让合法的法律顾问检查合约。七是证实合同中阐述外包关系的准确性。八是确保合同明确地 书面记载并且包含足够的规定双方权利和义务的详细条款。九是让合法的法律顾问较早地加入到过程中来，以帮助准备和监督合同的制定。十是合同应当 包含的因素中，除了上述相关内容外，主要还包含:业绩标准、有限债务责任、转让、监管条 例、服务标准协议等。欧盟监管机构规定，所有的外包业务都应该有一个正式且完整的合同形式。外包机构必须保证书面合同包含以下事项：一是 外包出去的经营领域必须明确界定。二是与外包

8、服务相关的严格要求必须以书面的形式准确的界定,而且必须考虑到外包服务的目的。因此，监管 机构要求金融机构事前要从数量和质量两方面对外包服务提供商履行合同的能力进行评估。三是外包机构和外包服务提供商相应的责任和权利 必须要准确的界定和区分。四是合同还应包含一个有关相关的退出和终止合同的条款。五是合同应该保证，外包业务提供方的行为始终处在监管 和评估的范围内。六是外包机构在管理自己与服务提供商的关系时需要保证，制定一个规范服务水平标准的合同。而一个规范服务水平的合同形 式上应该包含相关服务目标在数量和质量上的要求以保证外包机构能够获知服务提供的状况。（五）风险管理目前，澳大利亚、荷兰、加拿大、美国

9、、欧盟、新加坡都在风险管理方面有十分细致的规定 和措施。澳大利亚降低外包风险的策略包括：一是在将核心业务外包时，持牌存款机构应该 考虑建立一个外包管理团队，该团队包含了原来从事这些业务的人员和有风险评估经验的人员，前者对外包安排提出建议，而后者则负责评估外 包的风险。二是应该准备一个详细的商业案例，详细论述与外包相关的潜在成本、收益和风险。荷兰监管机构规定，承包机构应该系统化地实施对外包业务风险的分析：一是该分析不仅在承包 机构的范围内进行，而且应在该公司不同业务部门的层面进行。二是外包指引中设定了谨慎的职责，并提出了有关操作层面的细则。加拿大的监管机构侧重于实质性外包安排的风险管理程序： 一

10、是监管机构要求金融机构制定适合所有金融集团外 包安排的风险管理计划，要做好尽职调查程序。二是金融机构应遵循外包风险管理政策，监 督和控制外包风险，并且注意监督风险的过程应该与外包业务安排的规模和复杂性相一致。金融机构应该复查其实质性外包安排以确保与外包风险政策和程序以及指引的一致性。三是管理层应 要求作出关于金融机构监督的报告，并写明外包业务风险管理计划的有效性。美国联邦金融机构检查委员会规定：一是由于金融机构和技术服务提供商的规模和专业性、业务活动特征和复杂性 及其风险状况的不同而不同。二是金融机构应当监控它们的技术服务提供商并且在选择它们的卖方时进行尽职调查，包括对技术服务提供商使用的风险

11、管理系统的复查。这些复查应当包括技术服务提供商采用的保护金融机构的客户的信息的 措施。作为这项监管的一部分，金融机构应当复查包括技术服务提供商服务标准报告、审计、内部控制测试结果和其他对技术服务提供商的相关评估方面的信息。新加坡外包风险的管理包括：一是银行的董事会和高级经理层必须清醒地认识到 将网络银行业务外包所面临的风险。在确定一家服务提供商之前，必须进行详细的核查。银行和服务提供商必须明确银行法规定的对银行保密机 制的要求。二是银行与服务提供商的合同或制度安排应该考虑为客户保密，以及遵守法律法规的规定。（六）对服务商的评估这是各国外包监管的又一个重要内容，许多国家都对评估的要求作了较为详细

12、的阐述。美国 监管机构认为，在和服务提供商候选人的初次沟通时，银行应弄清以下几点：一是服务提供商不能将与银行系统或商业计划有关的信息透露给 候选团体之外的第三者。二是服务提供商期望在选择期间的承诺在最后的协议中将具有约束 力。三是服务提供商确定所有的分包商、顾问或第三方并依靠它们对银行提供服务。英国监管机构在外包指引中规定了管理银行和供应商关系的原 则：一是银行应持续监控和管理两者的关系，以达到确保银行系统和控制的完整性的目标。二是 银行和供应商的协议中应确保银行对那些会对供应商完成外包业务产生实质影响的信息享有知 情权。荷兰监管机构在外包指引中提出了有关操作层面的细则，主要体现在对外部服务提

13、供商的 评估应包括流动性、商誉和其所提供服务的完整性和质量、内部的组织和控制、拥有可以胜任的人力资源，任何可能的转包、信息保密、其所在的 国家以及对承包机构、其外部审计和银行相关的其他可能事项。瑞士监管机构在外包指引中规定:一闩一是服务提供商的选择、指导和管理中有明确的规定。金融机构应该谨慎地选择、指导和管理服务提供商。选择服务提供商的标准以及相关的 与之合作的各个代理商应当在确立外包契约关系前予以确定。服务提供商的选择应该充分考虑和 审核它的专业服务能力以及财务状况和所拥有的员工资源。二是金融机构和服务提供商的权利义 务、资信能力以及有关法律责任应该在合同中列明条款予以准确说明。同时，还规定

14、外包领域内的活动必须纳入金融机构的内部监控体系之中；金融机构应当成立专门的部门来监控服务提供商的行为。三是发包给国外的机构需要相应充分的技术和组织措施，从而能够保证遵循瑞士法律中 的银行业保密和数据保护原则。新加坡监管机构规定，在确定一家服务提供商之前，必须进行详 细的核查，弄清其生存能力、业务能力、信誉度、信誉记录以及在业界的地位。合同中应以书 面的形式恰当、仔细地标明合同项目、条款用以约束各个服务提供商的功能、关系、义务以及 责任。当服务提供商是一个海外监管的金融机构时，服务提供商的监管机构应当递交书面证 明以保证：一是为指定的独立的审计人员提供通道，保证其能获得银行的文件、交易记录、由

15、服务提供商事先获得、存储和处理的信息。二是银行和由银行指定的审计人员应检查服务提 供商的环境、服务提供商处理的银行相关数据等，并报告全部检查结果。（七）商业持续计划这里的商业持续计划是一个国家监管机构对业务外包活动应对不可预测和应急风险的重 要举措。因此，各国监管机构都对金融机构在外包业务中的商业持续计划提出要求。美国监 管机构要求：一是每家金融机构都应当建立IT手册中规定的有效商业持续和监控计划，以确保 技术服务提供商能够全面地控制和其提供的信息服务相关的风险，包括信息安全方面。二是金融机构不仅对由其内部完成的业务继续计划部分负 有责任，还对由服务提供商或其他外部机构完成的该计划的其他部分负

16、有责任。在制定内部的计划和程序时，金融机构应当考虑到和技术服务提供 商相关的业务继续计划。新加坡的业务外包监管指引指出，金融机构应建立突发性事件的预防方案, 强调银行经理应要求服务提供商建立突发事件应对策略，规定自己在事故发生时的主要作用、责任以及保持持续经营所采取的措施。同时，还应 不断改善、测试和完善制订好的计划，建立应急机制，为信用危机发生而服务提供商无法弥补过失和无法实现做好准备。英国监管机构规定，金 融机构应建立包括日常操作和系统问题的专门突发事件计划。同时还规定，银行应获得供应商 自有突发事件安排的有关信息，当银行认为不够充分时,银行可以通过自身或外部合适的供应商进 行可供选择的应

17、急安排。欧盟监管机构认为，外包机构应对其外包业务制定详细的计划，包括 意外事件的应急机制及退出机制，应该对每一种外包的方式都制定一个内部的单位或个人专门来管理或监控。这一原则还应包括持续计划的一些方 式、明确的退出机制以及建立对这些计划的成本和收益的评估机制等相关事项。（八）对不能外包的业务限制外包业务无疑蕴含着巨大的风险，因此许多国家都对不可以进行的外包业务作了限制，如荷兰、瑞士和欧盟等。荷兰金融监管机构规定：是银行部门应确认外包服务的提供商必须和银行部门自己处理该业务一样。如果缺乏足够 的防护措施以使类似的商业活动以可控和健康的方式进行下去时,相关业务就不能外包出去。二是以下情形的外包是禁

18、止的：将内部审计职能外包给不属于集团的外部服务提供商；将 财务会计和预备年度账外包给外部机构的审计师，或者外包给与外部审计师有联系的事务所等。瑞士监管机构则规定，董事会的监督、终端管理和控制与其他管理层的核心管理任务不可以 外包，同时与商业关系的开始与终止有关的决策同样不可以外包。欧盟监管机构在与外包机构 有关的高级原则中也规定：策略性、核心的管理责任和功能不能被外包。一般认为,核心管理功能的外包行为与公司管理者管理公司的职 责是相违背的。因此，诸如战略监管、风险管理和战略控制等的管理职能是不宜外包的。二、国外对银行业务外包监管的异同点各个国家除了以上几个方面的共同之处外，一些国家还有自己与众

19、不同的条款。（一）技术外包的估价美国监管机构在技术外包方面做出了最为详尽的要求,例如在定价方法和打包方面规定:金融机构在对外包投资进行估价时有多种选 择；管理层应考虑到所有可以使用的估价方法，并选择对具体合同最适用的选择。不同的估价方法包括：一是成本加价向服务提供商支付实际发 生的成本外加，事先规定的利润或补偿（通常是实际成本的某一百分比）。二是固定价格服务提供商对整个合同期间的每一个结账周期制定相同的价格。这种方法的优点是机构能够准确 地知道服务提供商每个月要收取的账单。三是单位定价服务提供商对每一项服务标准制定一 个收费比率,然后根据机构使用状况收费。四是激励定价，即如果提供商的业绩良好则

20、提供奖 金。这种方式能够激励服务提供商以高水平完成服务。这项计划同样要求提供商在业绩没有 达到可接受水平时要接受惩罚。另外，在技术外包中，监管机构还对服务提供商为金融机构 的系统打包服务作出了规定。（二）数据处理加拿大监管机构在外包指引中有一项特别的条款:一是境外司法权限下的数据处理。根据加 拿大金融机构条例，金融机构在没有得到监管者预先批准的情况下，可以不处理（直接或间 接）境外记录维护的相关数据。监管者是否批准与指定信息是由第三方还是由金融机构、金融集 团的成员来处理无关，对于任何的数据处理安排，不管是否具备实质性,监管者做出外包安排 批复的决策取决于：合同或承诺是否允许监管者或其代表获得

21、金融机构所有记录和信息，该记录和信息由服务提供者和应急或灾害恢复提供商共同处 理。二是作为服务提供商恢复和应急计划的一部分，金融机构是否可获得灾害恢复服务提供 商模拟测试结果的副本，该结果涉及金融机构记录和数据的处理，或是模拟测试完全成功的证明。（三）服务提供者的选择和评估在美国，监管机构十分强调银行对服务提供商的选择与评估工作。这项工作主要体现在两个方面：一是银行对服务提供商的评估主要涉 及技术专长、操作控制、财务条件和管理水平等方面的内容。同时监管机构建议金融机构应当 米取足够的保护措施，而服务提供商的系统和金融机构间也要建立恰当的进入控制和监控。二是 评估准则在选择过程中是一个十分重要的

22、环节，采用良好标准的评估准则有助于选择过程。为此，美国监管机构给予金融机构一些评估标准建议。这些建议包括：一是服务提供商的洞察力/价 值主张和银行的相容性。二是行使洞察力/价值主张的能力。三是服务或计划的系统性和功能性。四是用类型、能量、模块、升级和更新的能力或刻度来表示的技术。五是以维修时间、响应时 间、解决时间、安全性、灾难计划和其他服务水平表示的服务和支持。六是成本/价格。七是提 供商的财务稳定性。业务外包的问责与处罚部分监管机构对银行业务外包都有明确的问责和检查的规定。如,2002年由于外包服务提供商没有保存好贷款文件引发的问题 美国监 管机构叫停了一家加州银行的经营业务，终止了与服务

23、提供商的合作，并对银行和服务提供商处以罚金。同时，服务提供商还收到未得到监管机 构批准不得为国内银行及分支机构提供服务的通知。另外，美国在银行业公司法案(Bank ServiceCompanyAct)授予联邦金融机构检查委员会对银行外包服务提供商进行检查的权力，主要是防范服务提供商集中引发的系统性风险。香港金 融管理局明确外包业务的问责性，认为商业银行的董事会和管理层对外包的业务负有最终责任； 外包安排只是将某项业务或者工作的日常管理责任而非问责性转移于供应服务商；商业银 行应继续保留外包业务的最终控制权。我国台湾地区在2001年颁布了金融机构作业委 托他人处理注意事项；2002年在监管回函中

24、又进一步强调，银行作业委托他人处理，应加 强控管并定期稽核，确实要求委托机构不得以银行名义执行业务，若有受委托机构张挂银行 名义之招牌或者告示，则以银行未经核准擅设分支机构，违反银行法第五十七条第一项处罚 。总体上看，各国和地区对外包业务的监管要求分为两种类型：一是一般性的风险指引，进行外包风险揭示，并提出有关监管要求;二是在风险指引的基础上对服务提供商违 约、或者以银行名义违规引发的问题追究银行的责任，并给予处罚。三、我国对银行业务外包的监管现状目前，中、外资银行业务外包的实际运作存在很大的差异，中资银行业务外包尚处在发展和 探索阶段，外包业务集中于IT技术、部分零售业务以及后勤服务等方面。外资银行业务外 包相对较为活跃，主要集中在后勤服务、人力资源、IT技术、数据处理及业务处理等方面。 其突出特点是专业化优势和集中操作的特性较为明显。目前中、外资银行业金融机构对业 务外包的认识、风险控制安排以及外包业务发展规划有着很大的差距。中资银行由于业务外 包的风险管控措施不够完善，在部分零售业务