随着世界各国金融机构业务外包的不断发展,包括巴塞尔委员会在内的一些国际监管组织和许多国家监管当局都认识到业务外包所隐含的风险,并制定了一些业务外包监管原则或指引。
伴随着国际金融一体化步伐的加快,各国的监管者们已经意识到,外包所带来的问题不仅是某个国家内部的,而且是国际性的。巴塞尔委员会协同欧洲银行监管委员会(CEBS)、欧洲证券监管委员会(CESR)、国际证券委员会组织(IOSCO)等国际性组织制定了《金融业务中的外包》这一咨询文件,以应对国际金融业务外包的飞速发展所带来的监管难题。
到目前为止,我国金融监管当局尚未出台针对金融机构业务外包的监管法规或指引文件。外包需要有关部门的事先审批,基本属于个案处理,这增加了我国金融机构业务外包的成本。此外,监管制度的落后使得监管人员对金融机构业务外包的监管缺乏可操作的法律依据,不利于对业务外包风险的监控,监管机构应参考国际监管组织制定的业务外包监管原则,借鉴发达国家监管当局的业务外包监管制度,尽快建立金融机构业务外包监管制度。
金融服务业务外包监管制度的国际比较
美国是最早开始对金融服务外包制定规则的国家。目前美国对银行、证券和保险业的外包分别进行了相关监管立法。
2004年6月,美国银行监管部门完成的新版《FFIEC技术外包IT检查手册》对如何评价一家金融机构建立、管理和监督IT外包关系的风险管理水平,提供了指导方针和检查办法,其内容涵盖董事会和管理层的责任、风险评估和要求、服务供应商选择、合同争端、即时监控、业务连续性和信息安全性监控计划、关联供应商关系处理、跨国外包的国家风险的评估与监控等。
纽约证券交易所在规则中规定,某些外包安排被完全禁止或仅允许外包给受监管实体,但证券公司内部传统的外包业务无须美国证券监管当局的批准。
美国保险监管机构依据各种司法授权对基本业务外包进行监管。这方面的法律涉及管理一般代理人及承包商管理人的法律,其他外包业务由现场市场行为检查程序来处理。此外,全国保险业协会(NAIC)的市场监管及消费者事务委员会成立了承包商卖方工作组,处理当前监管当局未涉足的有关保险公司业务外包的其他问题。
2004年12月,英国金融服务局(FSA)将银行业外包业务的监管规则纳入了《临时审慎监管手册》,建议银行应建立必要的外包程序,以最小化风险暴露和处理可能出现的问题。这些程序包括制定外包战略、尽职检查程序、合同和服务水平安排、变革管理、合同管理、退出战略和应急方案。每道程序都要求根据风险估计结果设计风险管理措施。FSA还在手册中创定了对银行及住房互助协会的业务外包指引。指引主要针对重要的外包业务,公司重要业务的外包须通知FSA。此指引也适用于保险公司。
英国金融服务局(FSA)对实质性业务和非实质性业务的外包都制定和发布了指引,但重点是实质性业务的外包。FSA针对业务外包操作风险制定了极为全面的指引,它为管理业务外包操作风险提供了指导。例如,它规定业务外包前必须通知监管当局、业务外包前必须考虑到的因素,与供应商讨论后同时必须注意的诸如外部审计、知识产权方面的事项以及一旦发生来自供应商重大服务损失时应采取的措施等内容。
2005年2月,巴塞尔委员会主导的联合论坛发布了《金融服务外包文件》,规定了九条原则,包括金融外包机构制定外包及方式评估政策;外包风险管理计划;外包监管保障;外包合同需明确的责任;承包商对金融机构保密承诺机制等内容。用以指导受监管的金融机构的外包活动,确立监管当局的管制责任和义务。
欧洲的金融外包监管明显落后于美国。各国具体的监管措施也不尽相同:在合格承包商的确定方面,美国和瑞士主要考虑外包安排与发包方的目标和战略的匹配性,而荷兰和英国则关注确保承包商完成外包所需资源的充足性;在告知义务方面,瑞士强调银行对客户的告知义务,而英国和澳大利亚则强调银行对金融监管当局的告知义务;在银行董事会和管理层的责任方面,美国关注二者的监管职责,加拿大关注二者的外包制定和审批职责,瑞士和澳大利亚强调二者应全程关注外包;在外包的审计方面,美国要求外包的审计工作由银行内部审计人员完成,而瑞士、英国和澳大利亚则要求外包业务的审计工作先由银行内部审计人员审计,再由外部审计人员审计;在服务水平协议方面,美国的法律法规比较完善,而其他国家则偏重某一方面;在风险管理方面,美国和加拿大倾向于建立一个实质性的外包风险管理程序,荷兰倾向于要求发包方和承包商达成应急计划,澳大利亚倾向于组建一个外包管理团队来评估外包的潜在风险,确保董事会的外包管理策略被遵守以及向管理层和董事会提出参考意见。
我国金融服务外包监管制度构建的重要性
我国金融机构应当建立外包决策的具体政策和标准,包括对相关业务是否适合以及在多大程度上适合外包的评估。风险集中、可接受的外包业务综合水平的限制以及将多项业务外包给同一服务供应商引起的风险都需要分析以利于管理层对外包的利弊有全面的认识,对组织的核心竞争力、管理上的优势和劣势以及组织未来的目标进行评估,制定政策,以确保其能够对外包业务进行有效的监控。发包方必须采取适当措施确保其能够遵守母国和东道国的法律以及监管法规。被监管机构的董事会(或相当的机构)对于确保其所有外包决策以及第三方所从事的外包业务符合其外包政策负全面的职责。内部审计应当在这方面发挥重要作用。
在建立外包风险管理计划时,对外包风险的评价包括以下几个方面:被监管机构的管理能力;对外包风险的监督和控制(包括对经营风险的综合管理);以及服务供应商管理和控制潜在经营风险的能力;建立风险管理计划,服务供应商违约对发包方的顾客和同行可能造成的潜在损失;业务外包对金融机构遵守监管法规及其变化的能力的影响等。概言之,全面的外包风险管理程序应当是对外包业务的所有相关方面进行监控,并在一定情况下提供正确的指导。
为了实现持续监管,可以借鉴国际监管组织制定的监管原则,要求金融机构在外包合同中制定相关条款,确保监管当局随时可获得监管所需的资料。此外,当多家金融机构同时将业务外包给一家或有限的几家服务供应商时,可能会形成系统性风险。对于这种情况,监管当局除了加强监管之外,可以做出必要的限制。
被监管机构及其服务供应商应当建立并维持应急计划,包括突发性灾难的补救计划以及支持系统的定期测试计划等。监管者在评价被监管机构时应当将其外包业务作为其整体业务不可缺少的一部分。对于明确规定可以外包的业务,只需经过备案程序即可。而对于规定之外的业务,则应该经过监管机构的审查与批准程序。对于不同的服务供应商,也应采取有差别的监管程序。如果服务供应商是金融机构系统的其他分支机构,只需经过适当备案程序即可。如果服务供应商是金融机构同一集团的关联公司,对于这种情况应当经过适当的审查与批准。如果服务供应商是完全独立于金融机构的第三方,监管当局必须进行严格的审查和批准。
业务外包是金融机构增强核心竞争力、提高经营效益的一种有效手段,作为一种迅速发展的竞争策略正在被越来越多地接受。在我国金融业向纵深发展之际,当然应对外包策略加以关注并正确运用,以获得其优势并避开其风险。这有赖于金融机构和监管机构的共同努力,从而实现我国金融业经营的市场化、专业化和社会化,应对日趋激烈的国际竞争。
(作者单位:天津工业大学管理学院)
《经济导刊》
