金融机构信息技术外包的风险控制与监管研究.doc

1、金融机构信息技术外包的风险控制与监管研究A Study on Risk Management and Regulation of Financial Institutions IT Outsourcing 龚海峰（厦门大学法学院 福建 厦门361005）Gong Hai Feng(Department of Law，Xiamen University，Xiamen，China)摘要：信息技术外包已经成为金融机构降低运营成本，提升核心竞争力的重要手段之一。本文在探讨金融机构信息技术外包潜在风险的基础上，着重对国外有关金融机构信息技术外包风险的内部控制体系与外部监管制度进行了分析研究，并就完善我国

2、金融机构相应的风险控制与监管机制提出了若干建议。Abstract：IT outsourcing has become one of the important measures in reducing financial institutions cost and gaining core competitive advantages. This paper analyzes emphatically abroad financial institutions inside risk management system and outside regulation system, on the

3、 basis of discussing the risks of IT outsourcing, and then puts forward some proposals to Chinese financial institutions.关键词：信息技术外包；风险控制；监管；Keyword：IT Outsourcing；Risk Management；Regulation； 金融机构的信息技术外包(Information Technology Outsourcing，简称IT外包)是指金融机构将其信息处理系统的全部或部分委托给外部信息技术服务提供商，由它们来管理运作并提供金融机构所需的信息

4、服务与技术支持。由于信息技术外包大大改变了金融机构的传统运作模式，因此给金融机构带来了一些新的风险与责任，同时由于外包服务商不受传统金融监管体系的约束，在监管方面也给监管者出了新的难题。因而随着全球金融机构信息技术外包的蓬勃开展，加强对相关风险的识别控制与监管也已成为目前各国金融机构与监管当局的共同目标。一、金融机构信息技术外包的发展现状与风险综述金融机构信息技术外包是在以3C(Customers-Competence-Change)为特征的市场中孕育而生的，其最初目的是节约成本，提高绩效，使企业集中精力于核心业务。自1991年美国大陆银行与IBM公司签订了长达10年的信息技术外包合同至今，金

5、融机构信息技术外包历时已10余年，外包的动因由最初单一的节约成本逐步发展为利用IT外包商的专业技术与管理资源以削减开支、提升服务水平、抢占市场先机等多元化目的；外包的内容也由最初的非核心业务扩展到了核心业务；外包服务商的选择范围由局限于国内扩展到了全球；金融机构与IT外包服务商的关系也由最初的委托关系拓展为联盟伙伴关系。目前的国际金融界，如果某金融机构执意拒绝选择外包，那就意味着其已经失去了一个强有力的竞争利器。根据德勤（Deloitte&Touche）研究部门2004年关于金融服务的一份研究报告显示，33的被调查者已经外包了其IT业务，75的被调查者将在未来2年内尝试外包，该报告还预测到20

6、10年有关IT服务的离岸外包合同金额将超过4000亿美元。 Globl Financial Services Offshoring，尽管信息技术外包可以帮助金融机构提升核心竞争力，可谓益处多多，但事物总是辩证的，纵观信息技术外包的整个流程，在每个环节都存在有某些风险隐患，一旦金融机构处理不当将引发潜在的风险，这些风险主要有：（1）信誉风险。信誉是金融机构赖以生存的基石，而外包服务供应商可能的机会主义行为和低水准的服务将会对金融机构的的信誉产生致命性损害。例如外包后可能因硬件故障维修不及时或者软件系统上的安全漏洞等导致客户利益受损（包括服务上的不便利和资金、机会的损失等），即使这完全是由于IT外

7、包商的过错也同样会令客户对该金融机构的服务不满并“用脚投票”。（2）法律风险。主要体现为商业秘密泄漏和知识产权纠纷，IT外包过程中金融机构必须将自己的商业秘密和客户机密信息提供给外包商，这样就存在授权被滥用的道德风险，外包商及其员工极有可能出于道德风险而将商业秘密和客户信息泄漏给竞争对手，由此可能使金融机构蒙受巨大损失。此外IT外包商往往比金融机构更具有知识产权意识而将共同开发的项目成果抢注为己有，从而引发知识产权纠纷。（3）成本控制风险。在IT外包领域，随着外包期限的拉长，金融机构对IT外包商的依赖性会越来越强，而当合同到期后续约时外包商往往会提出涨价要求，此时金融机构就面临两难选择，若变更

8、服务商需要重新配制资源可能导致成本大涨，若不变更则只有接受涨价，成本同样上升且会遭遇客户流失的风险。因此不论如何都可能使得金融机构在成本方面失去足够的话语权与控制力。（4）其他风险。在实施IT技术外包过程中，还有很多其他因素都可能导致外包目的无法实现，即外包失败，譬如外包双方因企业文化与目标差异导致的不相容性；外包商及其员工在操作上的失误或欺诈行为；选择技术解决方案不当导致商业机会的丧失和后期维护成本过高；金融机构忽视与外包商的沟通而导致服务水平下降和某些核心控制权的丧失等。二、金融机构对于信息技术外包的风险控制体系研究正因为IT外包存在前述的风险，所以金融机构不仅应对外包风险有清醒的认识，还

9、应将其纳入到自身的风险控制体系中去，通过制定健全的内控策略和采取有效的内控手段来规避风险。通过对摩根大通、花旗和汇丰等金融巨头与外包先锋的内部风险控制体系的考察，可以发现它们的共同特点是将风险管理因素渗透到IT外包流程中的各个核心环节，主要从外包业务的选择、外包商的选择与评估、外包合同条款的协商、外包项目的执行与后续监控、应急计划的制定及合约终止安排等五个环节对外包风险进行有针对性的评估与防范。 （1）识别最适合外包的IT业务。确定金融机构的核心产品和核心业务是实现外包的前提与基础。金融机构在IT外包决策过程中应从自身竞争力和发展战略出发，确定哪些IT业务适合外包，哪些IT核心业务适合自己运作

10、。（2）IT外包商的选择。外包商的质素直接关系到IT外包活动的成败，因此在做出外包决策后，金融机构的管理层应按照自身需求找到最擅长该业务的相关企业，然后听取来自内部及外部的各方专家建议并通过内部员工的尽职调查分析和第三方的独立评估报告进行综合比较，选出最适合的外包商。（3）充分利用合同控制IT外包的风险。IT外包业务种类繁多且外包周期往往较长，因此利用合同条款控制外包风险是最有效的。要尽量通过谈判与外包商签订一个可操作性强的合同，对各方的权利、义务和责任有准确而清晰的表述。具体而言，合同中应明确约定如下内容：外包服务的范围；最低服务标准；保留与第三者合作的权利；合同分包的可否；数据与资料所有权

11、的保密、责任划分及追偿权；外包过程中持续监督的权利；外包产生知识产权的归属；纠纷解决机制与法律适用；协议终止与应急计划等。金融机构在合同协商中还应注意保持合同对未来变化环境的充分估计，留有必要的修改空间以应对可能发生的环境变化。（4）在IT外包过程中应重视对外包商的持续监督。在外包项目执行期间，金融机构应成立包括技术、财务、审计等专业人员组成的项目监管小组，定期和不定期地对IT外包商的业务能力、财务状况以及关键人员的变动情况等进行监督以及时发现问题，监管组还应与IT外包商的相关人员建立良好的沟通机制来共同解决某些突发问题。（5）设计必要的应急规划。针对外包商可能发生的不履行合同或者不能履行等紧

12、急情况，金融机构应该和外包商共同规划应急措施以保证自身业务的持续开展，在外包合同终止后金融机构也要保证外包商不会利用其曾经获得的信息与技术对其进行干扰，而这些都必须有赖于合同的特殊安排来确保。此外，根据巴塞尔银行监管委员会联合论坛于2005年发布的关于金融业外包监管的指引性文件金融服务外包（Outsourcing in Financial Services） Outsourcing in Financial Services ，www.bis.org/publ/joint12.pdf参考文献：1 金融机构信息技术外包的风险控制策略，张成虎 胡秋灵 杨蓬勃，当代经济科学， 2003年5期2 关于

13、商业银行事务外包的若干法律思考，李金泽，金融论坛，2003年6期3 金融服务外包风险控制及其监管研究，曾康霖 余保福，金融论坛，2006年6期4 Outsourcing in Financial Services，Joint Forum， www.bis.org/publ/joint12.pdf 作者简介：龚海峰（1979.01- ），男，厦门大学法学院2004级法律硕士研究生，研究方向：金融法。 联系方式：ghf311 13779969790 厦门大学海滨新区三号楼713 (361005)，应该由金融机构的董事会和高级管理层对与信息技术外包的风险进行全面掌控，应该通过建立具体责任追究制度、全

14、面尽职调查制度以及持续监督制度等来处理金融机构与外包第三方的关系，确保不会因与外包第三方的关系而影响金融机构的审慎经营目标。三、国外关于金融机构信息技术外包的监管制度研究自进入21世纪以来，金融机构信息技术外包一直呈现迅猛发展的态势，因而对外包风险的监管也被列入了各国监管当局的议事日程，金融业越发达的国家（地区）对此问题越为重视。从目前来看，各国监管当局往往通过监管指引（规章）的方式对IT外包风险进行监管，以下是对美、英、港三地相关监管措施的概述。（一）、美国根据银行服务公司法，美国银行监管当局有权对各类外包服务合同的内容以及外包商的资格进行合规审查。而1995年美联储通过监管公告明确了外包服

15、务安排的报告规则，即无论任何金融机构都应在首次签署外包服务合同或者履行合同后的30天内向合适的监管机构报告这种关系，报告的内容包括服务商名称、住所、外包内容、财务安排与合同期限等。另外，联邦金融机构检查委员会 (FFIEC)还通过一系列指引对金融机构管理IT外包风险的职责进行了阐明，例如FFIEC对外包技术服务的风险管理指引（2000年）提出了由董事会负责外包引入和风险管理的原则；FFIEC对技术服务商（TSP）监管手册(2003年) 概述了TSP的准入和监管方法；IT外包技术服务检查手册（2004年）则为监管人员的审计检查提供了程序指引。 （二）、英国英国金融服务局（FSA）) 2004年1

16、2月在其监管手册中增加了一节（SYSC 3A.7），对外包提出了专门的指引，FSA将外包的业务分为实质性业务和非实质性业务，实质性业务（如数据库操作系统）的外包是监管的重点，FSA手册规定金融机构将实质性业务外包前应通知监管机构，同时要求金融机构业在外包前必须充分考虑外包后是否能继续满足监管当局的要求并如何进行保证。针对外包供应商的某些不恰当行为，FSA还对金融机构与外包供应商的责任范围进行了一定的划分。（三）、香港 香港金管局(HKMA)在2001年12月发布的外判中明确表达了对银行业外包活动的监管态度，其明确了被监管机构必须具备周详的计划和妥善的管理且保证不会对客户利益造成损害才可进行外包

17、。而所谓“周详的计划和妥善的管理”则包括了一系列的监控措施，具体有：在选择IT外包商时，金融机构应审查其是否具备足够的资源与专业知识；而在外包关键技术时，还应由第三方做出有关IT外包商管理能力的独立评估报告，报告将提交金管局备案；为了防止外包风险的过于集中，应避免对于单一外部商的过度依赖；在同IT外包商签订协议时，应清楚载明外包服务的最低履行标准和质量水平；在外包安排存续期间，应允许金融机构及监管机构进行定期和不定期的审计检查；此外为了应对某些突发情况，金融机构还应制定应急计划等。四、完善我国金融机构信息技术外包风险控制体系与监管机制的若干建议随着中国金融业与世界的接轨，部分国内金融机构也开始

18、效仿外资金融机构将其部分业务外包出去。2004年2月国家开发银行与惠普签订的战略性IT外包服务合同是国内金融界的首家整体外包案例。同年8月光大银行也签订了国内首份信用卡全面外包合同，将信用卡业务外包给美国第一资讯公司（FDC）。此后选择信息技术外包的金融机构越来越多，尤以证券公司、基金公司和中小型商业银行最为积极。相信随着金融业的日益开放，我国金融机构信息技术外包的规模和范围都将有更大的发展。但与此同时我国金融机构的风险内控体系和监管机构的监管机制还很不成熟，为此，我国金融机构和监管当局应该借鉴国外金融机构和监管当局的先进经验，完善有关信息技术外包的风险控制体系与监管机制以促进IT外包的有序发

19、展，提升金融业的整体竞争力。笔者认为对此应优先从以下几个方面入手：（1）尽快制定相关的法律制度与操作细则。完善的法律可以保证IT外包的健康发展，我国目前尚未有专门针对IT外包的法律规范出台，为此，笔者认为监管部门应加快立法进程，早日通过立法明确以下事项：外包的范围；外包服务商准入机制；外包中金融机构和服务商的权利义务和责任划分；监管机构的监管权限与监管程序；外包出现纠纷时的处理程序和管辖机关。（2）加强不同监管部门之间的协作与规范。由于金融机构的监管涉及银监会、证监会和保监会等多个部门，因此一个良好的监管架构与协作机制是必不可少的，可以考虑由银监会、证监会和保监会共同组建联席小组专门负责外包监

20、管的沟通，以保证监管的一致性。（3）金融机构与外包商的关系处理。在外包过程中，金融机构必须审慎选择外包服务商，在订立合同时应该采取外聘律师与内部法律顾问相结合的双重审查机制，而在积极与外包商开展合作的同时，防火墙机制也必不可少，外包商与金融机构的权责划分须明确。（4）加快专业人才的培养。无论是金融机构的风险内控策略还是是监管机构的外部监管机制，最终都要通过人来操作，我国目前极缺业务经验和专业知识丰富的人才，因此建立良好的人才培养制度将是风险控制得以最终实现的关键。合同管理制度1 范围本标准规定了龙腾公司合同管理工作的管理机构、职责、合同的授权委托、洽谈、承办、会签、订阅、履行和变更、终止及争议

21、处理和合同管理的处罚、奖励；本标准适用于龙腾公司项目建设期间的各类合同管理工作，厂内各类合同的管理，厂内所属各具法人资格的部门，参照本标准执行。2 规范性引用中华人民共和国合同法龙腾公司合同管理办法3 定义、符号、缩略语无4 职责4.1 总经理：龙腾公司经营管理的法定代表人。负责对厂内各类合同管理工作实行统一领导。以法人代表名义或授权委托他人签订各类合法合同，并对电厂负责。4.2 工程部：是发电厂建设施工安装等工程合同签订管理部门；负责签订管理基建、安装、人工技术的工程合同。4.3 经营部：是合同签订管理部门，负责管理设备、材料、物资的订购合同。4.5 合同管理部门履行以下职责：4.5.1 建

22、立健全合同管理办法并逐步完善规范；4.5.2 参与合同的洽谈、起草、审查、签约、变更、解除以及合同的签证、公证、调解、诉讼等活动，全程跟踪和检查合同的履行质量；4.5.3 审查、登记合同对方单位代表资格及单位资质，包括营业执照、经营范围、技术装备、信誉、越区域经营许可等证件及履约能力（必要时要求对方提供担保），检查合同的履行情况；4.5.4 保管法人代表授权委托书、合同专用章，并按编号归口使用；4.5.5 建立合同管理台帐，对合同文本资料进行编号统计管理；4.5.6 组织对法规、制度的学习和贯彻执行，定期向有关领导和部门报告工作；4.5.7 在总经理领导下，做好合同管理的其他工作，4.6 工程技术部：专职合同管理员及材料、燃料供应部兼职合同管理员履行以下职责：4.6.1 在主任领导下，做好本部门负责的各项合同的管理工作，负责保管“法人授权委托书”；4.6.2 签订合同时，检查对方的有关证件，对合同文本内容依照法规进行检查，检查合同标的数量、金额、日期、地点、质量要求、安全责任、违约责任是否明确，并提出补充及修改意见。重大问题应及时向有关领导报告，提出解决方案；4.6.3 对专业对口的合同统一编号、登记、建立台帐，分类整理归档。对合同承办部门提供相关法规咨询和日常协作服务工作；4.6.4 工程技术部专职合同管理员负责收集整理各类合同，建立合同统计台帐，并负责- 6 -