金融服務外包

　　目錄

　　一、 綜述． 3二、 定義． 5三、 指引原則概述． 5四、 外包的動機及行業分布． 6五、 外包發展趨勢． 8六、監管發展．10七、 外包的主要風險． 14八、 指引原則的相關問題． 15九、 外包原則詳解． 16十、 附錄1：案例分析．21十一、附錄2：縮寫名稱．24一、綜述全球金融服務機構越來越多地將原先自行承擔的業務轉交外包服務商完成。監管

當局進行的行業調研顯示，金融服務機構已將相當一部分的業務外包出去，外包的安排也日漸復雜。金融服務機構通過外包，可以將風險管理及合規等職責轉交給不受監管且能進行離岸操作的服務商進行運作。在這種情況下，金融服務機構如何能對所負責的業務及風險控制保持信心？如何能知道自己的業務是否遵循了監管要求？當監管當局質詢時，這些機構又怎樣能表明自己確實在按章辦事？為回答上述問題并指導受監管的金融服務機構(受監管實體)，聯合論壇[1]成立了一個工作組為外包制訂高級指引原則。本文對有關主要問題及風險做了詳細說明，并闡述了作為參考標準的高級原則。這些原則適用于銀行、保險及證券業。每個行業[2]的國際委員會可根據這些原則制定更為詳細和有針對性的規定。目前外包日益成為降低成本及實現戰略目標的手段。其中涉及到的領域包括：信息技術(如應用開發，編程及譯碼)、專業運作(如某些金融、會計領域，后臺業務及處理、管理活動)、執行合約功能(如客服中心)。行業報告及監管調查表明，在金融公司安排外包的過程中，其它公司(包括公司集團內的相關公司及服務商)發揮著重要作用[3]。一個受監管實體的職能與業務可通過多種方式來執行，有關職能可拆分為產品制造、市場營銷、后臺支持與分銷等。如果各種職能的實施地點不同，但仍由本實體內部的部門來負責，則此類情況就不屬于外包。該實體應在常規風險管理框架內防范有關風險。當前更為復雜的外包安排不斷涌現。在每種安排中，無論服務商是否受到監管，但都要受到聯合論壇原則的約束。各種行業及監管報告指出，外包涉及風險轉移及管理方面(多與跨境業務相關)的問題。各行業與監管當局認為，受監管實體越來越多地依賴外包業務，可能會影響到其管理風險及服從監管要求的能力。另外，監管當局還擔心：受監管實體采取適當措施管理風險及遵守監管要求的能力，可能因外包而難以有效向監管當局表明。在外包業務引起的這些問題之一是對外包業務的過分依賴會嚴重影響到受監管實體的可持續性及其履行客戶責任的能力。

　　受監管實體

　　可以采取以下措施來降低風險：制定全面與清晰的外包政策、建立有效風險監管流程、要求外包公司制定應急計劃、協商達成合理的外包合同、分析服務商的財務與基礎設施狀況。

　　監管當局

　　能夠通過以下措施減少外包過程產生的問題：在評估單個公司時充分考慮業務外包情況、在分析系統風險時要考慮服務商的風險集中問題。

　　監管當局

　　特別關心的一個問題是，受監管實體如何能保持強有力的公司治理。監管當局也擔憂業務外包會影響受監管實體履行監管義務。除非市場與監管當局的影響聯合起來形成有效的約束力量，否則隨著金融行業對外部服務商依賴程度的加深及IT技術的迅速發展，業務外包可能導致系統性問題。本文對以上問題做了詳細分析，并為公司及監管當局制定了一套原則，以幫助它們在不影響公司效率與效能的前提下，更好地解決這些問題。二、定義本文所指的外包是指受監管實體持續地利用外包服務商(為集團內的附屬實體或集團以外的實體)來完成以前由自身承擔的業務活動。

　　外包

　　可以是將某項業務(或業務的一部分)從受監管實體轉交給服務商操作，或由服務商進一步轉移給另一服務商(有時被稱為“轉包”)。

　　受監管實體

　　將外包的高級原則運用到具體的外包業務時，應考慮以下問題：第一，應根據外包業務對受監管實體業務的重要性來應用。第二，外包實體與服務提供商之間的附屬關系或其它關系。當需要對附屬實體運用外包原則時，可做適當修改，使其體現出集團內部外包業務風險的差異。第三，服務商是否受獨立監管當局的監管。按此定義，外包不包括購買合同。此處“購買”被定義為：從供應商取得服務、貨物或設備，但買方不轉移與客戶有關的財產權信息或與其商業活動相關的未公開信息。

　　受監管實體

　　是指由監管當局授權從事受監管活動的機構。本文提出的原則即是針對這樣的實體。

　　外包

　　服務商(或稱服務商、第三方)，是指代表受監管實體承擔外包業務的實體。

　　監管當局

　　是指所有授權受監管實體從事任何受監管業務并對該業務進行監管的機構。三、指引原則概述聯合論壇制定了九條高級指引原則，其中前7個原則涉及實施外包的受監管實體的義務，后兩個涉及監管當局的角色與義務。以下是對這些原則的概述，后文的第九部分將有詳細闡述。

　　1

　　．

　　從事業務外包的受監管實體應制定全面的政策以指導評估是否及如何進行業務外包。董事會或相關機構對外包政策及有關活動負有責任。

　　2

　　．

　　受監管實體應建立全面的外包風險管理程序以指導外包業務及與服務商的關系。

　　3

　　．

　　受監管實體應確保外包管理既不能影響履行對客戶及監管當局的責任，也不能損害監管當局的監管效能。

　　4

　　．

　　受監管實體應盡職選擇外包服務商。

　　5

　　．

　　外包書面合同應包括有關外包管理的所有重要因素，如權利、義務與各方預期等。外包關系受此書面合同制約。

　　6

　　．

　　受監管實體與服務商應建立應急計劃，包括災害恢復計劃及備份設施的定期測試計劃。

　　7

　　．

　　受監管實體應采取措施，確保外包服務商嚴守受監管實體及其客戶的機密信息，不得故意或無意對未授權人士泄露。

　　8

　　．

　　監管當局應把外包業務作為對受監管實體評估的組成部分。

　　監管當局

　　應采取措施確保受監管實體履行監管要求的能力不受影響。

　　9

　　．

　　監管當局應認識到多個受監管實體將業務集中外包給少數幾個的外包服務商可能帶來的風險。四、外包的動機及行業分布大量證據表明近年來外包業務增長迅速。例如，德勤會計事務所(Deloitte)估計在2004年后的五年內，美國金融服務業將有3560億美元(占到此行業成本的15％)的業務外包到境外[4]。外包研究所對各種公司及組織的外包活動進行了調查，在其公布的《第五次行業外包年度索引》中列出了各行業外包業務占總業務的比重(圖1)。圖1：各行業中外包業務所占比重資料來源：外包機構??第五次行業外包年度索引(2004)從圖可見，信息技術行業的外包業務最多，這也與聯合論壇成員的實際情況及其它方面研究相吻合。據估計2003年全球IT行業的支出高達3400億美元，其中的1200億美元為外包支出。圖中的外包比重數據顯示了外包正由特定業務外包轉向戰略性外包。諸多商業性原因促成了業務外包的出現，其中一個主要原因是為顯著降低成本??通過將業務外包給某一領域中具有規模經濟效應的經營者，或外包給能利用其它國家廉價勞動力的經營者。圖2列出了業務外包的主要原因。圖2：外包原因資料來源：外包機構??第五次外包年度索引(2004)歐洲中央銀行對外包動機進行的調查顯示了歐盟國家外包動機的具體情況(圖3)。圖3：歐洲中央銀行對外包動機的調查資料來源：歐洲中央銀行2004年報盡管外包在各金融行業都有相當增長，但每個行業的外包模式卻不盡相同。特別是基金管理業及保險業有時會將核心業務外包，這包括：l投資管理：許多保險公司及基金管理人目前將投資管理外包給外部機構及/或相關實體。l基金單位定價及托管：在許多情況下，單位連接基金及產品的單位定價及托管安排等外包給服務商。l核保與索賠支付：核保人允許保險經紀人代其處理索償，并要求后者承擔某些核保風險。

　　外包

　　核心業務的原因包括進入市場時核心技能的重要性及規模經濟的優勢等。不過這樣做也會出現一些問題(見附錄1中的案例3)。五、外包發展趨勢金融機構將業務外包已有多年歷史。例如自1970年以來，證券行業的金融機構為節約成本，將一些準事務性業務(如打印及存儲記錄等)外包。二十世紀八十至九十年代，在成本因素及技術升級的推動下，外包交易的規模已相當可觀并涉及整個IT行業。隨后，外包出現在人力資源等更多的戰略領域。同期出現了一種名為“業務處理外包(BPO)”的新形式，是一種點到點(end-to-end)的商業鏈外包。在BPO中，金融機構與服務商的關系也由傳統的服務提供轉變為戰略合作。

　　外包

　　的另一個趨勢是“離岸化”，即將業務外包到境外。許多跨國公司試圖通過建立離岸交易及服務中心來提高本機構整體的效率。金融機構除將業務外包給服務商外，也會把一些業務交由海外附屬機構來完成。

　　表

　　1

　　列出了在印度從事外包業務的若干金融機構及其人員規模。

　　表

　　1

　　在印度從事外包業務的若干金融機構(2003)

　　公司

　　人員規模

　　(

　　人

　　)

　　公司

　　人員規模

　　(

　　人

　　)

　　荷蘭銀行(ABN Amro) 超過300 美國運通(Amex) 超過1000金盛保險(Axa)

　　3

　　8

　　0 花旗集團(Citigroup)

　　3

　　000德意志銀行(Deutsche Bank)

　　5

　　00 通用公司(GE)

　　1

　　1

　　000匯豐集團(HSBC)

　　2

　　000 JP摩根大通(JP Morgan Chase)

　　4

　　8

　　0梅隆金融(Mellon Financial)

　　2

　　4

　　0 美林集團(Merrill Lynch)

　　3

　　5

　　0渣打(Standard Chartered)

　　3

　　000資料來源：德勤會計事務所在美聯儲理事會會議上做的《銀行的離岸及跨境外包》報告(2004年3月20日)。有證據表明，中國、馬來西亞及菲律賓也被視為開展外包的理想地區。根據德勤會計事務所2004年的報告[5]，離岸業務將在本世紀初的十年內持續增長。報告估計，在2003年全部金融服務公司中約76%擁有離岸機構，而2002年這一比例僅為29％。報告預測2005年的離岸業務市場產值將達到2100億美元，2010年達到4000億美元，占整個行業總產值的20％。報告指出，大公司具有離岸業務的比例顯著高于小公司；越來越多的公司正在建立自己的離岸業務機構。離岸業務的增長產生了對“國家風險”進行監控的需要，即金融機構將業務外包給另一國家(地區)的服務商后，需要監視該國(地區)政府的政策、政治、社會、經濟及法制狀況；同時也應制定適當的應急計劃與退出策略。另外，一家機構業應考慮商業持續性問題，即在極端情況下如何將外包業務迅速轉回國內。六、監管發展

　　監管當局

　　已認識到外包帶來的問題涉及國內及國際兩個方面。聯合論壇在制定適用所有金融行業的原則時，與多個國際工作組進行了合作。相關的國際合作包括：lIOSCO常設委員會制定了針對證券公司的一套專門的外包原則，該原則旨在為聯合論壇制定的高級原則做補充。l巴塞爾委員會與IAIS關注新出現的外包業務及監管對策。l歐洲銀行監管委員會(CEBS)推進了原來由聯絡組啟動的工作。在2004年4月，CEBS發布了外包指導原則的征求意見稿。l歐洲證券監管委員會(CESR)依據《金融工具市場規則》(MIFID)，為歐盟執行有關外包的法律提出意見。在咨詢期結束后，MIFID預計將于2006年中期開始實施。l歐洲保險與職業年金監管委員會(CEIOPS)也可能對外包表示關注。一些國家的監管當局為外包設立標準及立法控制。表2是其中一些實際監管操作。

　　表

　　2

　　：各國對外包業務的監管操作

　　澳大利亞

　　2

　　002年7月1日，開始實施銀行外包的審慎標準，監管當局希望保險公司也能遵循同樣的標準。比利時

　　2

　　004年6月1日，基于CEBS的征求意見稿，比利時的銀行、金融與保險委員會(CBFA)發布了針對銀行及投資服務行業的共同指引。關于保險行業實施這一指引的問題，目前也在征求意見。加拿大

　　2

　　001年5月，金融機構管理署(OSFI)制定了關于外包的B-10指引。2003年12月公布了修訂后的指引。所有受聯邦監管的實體要從2004年12月15日開始執行。法國在2005年初，第97-02條例增加了涉及信貸機構及投資公司的內部控制條款。這些條款與外包業務有關，并對外包“核心”業務提出了特別規定。外包業務必須以書面合同訂立，且合同中必須規定允許金融機構及銀行委員會進行現場調查。外包及相關風險必須是向董事會報告的內容之一。德國

　　2

　　001年12月德國監管當局發布了包括所有信貸機構及金融服務機構的外包指引，要求外包業務不能在以下方面帶來負面影響：(1)這些業務或服務的秩序；(2)管理者監控及管理這些業務的能力；(3)德國金融監管局根據其司法權限對信貸機構進行審計的權利及實施監控信貸機構的能力。日本

　　2

　　001年4月，日本銀行發布了金融機構穩健操作文件，提出了對外包風險進行管理的要求。金融服務局頒布了金融機構檢查手冊，規定了外包風險管理的檢查重點。荷蘭

　　2

　　004年4月1日，荷蘭銀行(信貸機構的審慎監管當局)發布了《組織及控制規則》。該規則的第2．6節列出了對業務程序外包的規定。

　　2

　　004年2月1日,Pensionen-&Verzekeringskamer(荷蘭養老金及保險監管局,保險公司及養老基金的審慎監管機構)發布了對保險公司的外包管理規則。瑞士

　　1

　　9

　　99年8月，瑞士聯邦銀行委員會(SFBC)公布了針對銀行與證券公司的《外包指引》，允許公司在未經SFBC明確同意的情況下實施外包。該指引規定每年對公司進行一次年審。要求外包業務需以書面合同訂立，并要求金融機構將外包業務納入內控體系。外包合同必須明確允許SFBC、金融機構及其內外部審計機構對外包服務商進行監控。董事會的職能及金融機構的核心管理職能不可外包。英國英國金融服務局(SFA)在《臨時審慎監管手冊》中制定了對銀行及住房互助協會的業務外包指引。指引的P3條款對保險也做出了同樣規定。指引涵蓋了重要與次要的外包業務，但主要針對重要的外包業務。在公司的對重要業務外包之前，須先通知SFA。

　　2

　　004年12月，SFA手冊在增加的SYSC3A．7一節中提出了新的指引。美國(證券公司)一般來說，證券公司內部傳統的業務在外包之前，證券監管當局不必提出反對。紐約證券交易所的第342、346及382條規則規定了(有些業務)應完全禁止外包或僅允許外包給受監管實體。

　　1

　　9

　　3

　　4

　　年的證券交易法規定，任何人或實體未在美國證券交易委員會注冊之前，不得為其它機構進行證券交易。美國(銀行)FFIEC(聯邦金融機構檢查委員會，美國五大金融監管機構的傘形組織)發布了一系列指引與公告，旨在闡明銀行在管理IT外包風險方面的職責，同時也為監管機構提供指導。最近修訂的指引又專門對服務商關系的信息安全做出規定。目前美國銀行在外包方面的監管指引主要包括以下方面：

　　2

　　001-47OCC公告，服務商關系：風險管理原則(2001年11月)FFIEC對外包技術服務的風險管理指引(2000年11月)；FDIC的三個技術指引是：(1)《挑選服務商的有效方法》；(2)《管理技術提供商執行風險管理的方法??服務水平協議》；(3)《管理多個服務商的技術手段》(2001年6月)FFIEC的IT手冊：《技術服務商(TSP)監管手冊》(2003年5月),概述了監督及管理TSP風險的監管方法。

　　2

　　004年中，美國銀行監管機構公布了《IT外包技術服務檢查手冊》終稿,為監管人員檢查提供了指引與檢查程序，包括評估金融機構建立、管理及監控IT外包關系的風險管理程序。美國(保險公司)美國保險監管機構通過各種方式監管保險外包業務。監管機構根據各種司法授權對基本業務外包進行監管。這方面的法律涉及管理一般代理人及服務商管理人的法律(具體有：全國保險業協會(NAIC)的管理一般代理人規范法、服務商管理規范章程)。其它外包業務由現場市場行為檢查程序來處理。例如索賠處理或投資管理、監管當局處理違規行為的權限情況、阻止不公平索賠及不公平交易行為。NAIC市場監管及消費者事務委員會成立了服務商賣方工作組，處理當前監管當局未涉足但與保險公司業務外包有關的問題。工作組希望其建議能被編入NAIC的市場行為監管手冊。七、外包的主要風險盡管業務外包對金融機構有諸多益處，但金融機構也必須面對外包業務的風險。主要風險見表3。

　　表

　　3

　�。簶I務外包的主要風險

　　風險

　　風險

　　涉及領域戰略風險服務商按照自己利益行事，從而可能有悖于受監管實體的整體戰略目標未能對外包服務商實施適當監督缺乏充分的專業能力對服務商進行檢查名譽風險服務商提供的服務差強人意與客戶的互動不符合受監管實體的整體標準服務商的活動不符合受監管實體(在道德或其它方面)的規定合規風險未遵守隱私法未充分遵守客戶與謹慎管理的法規

　　外包

　　提供者的合規與控制力不足操作風險技術失誤缺乏足夠財力以履行責任或提供補償欺詐或失誤實施檢查的成本過高退出策略風險由不適當市場退出引起的風險對手風險不適當的承銷或錯誤的信用評級應收賬款質量惡化國家風險可能由政治，社會或法律因素引起商業持續性計劃更為復雜合同風險履行合同的能力對于離岸業務，選擇管轄法律至關重要獲得信息風險

　　外包

　　協議影響受監管實體向監管當局及時提供數據及信息集中與系統風險 行業整體的風險集中于某一服務商。風險集中包括以下兩方面：

　　(

　　1

　　)單個公司缺乏對服務商的控制

　　(

　　2

　　)對整個行業的系統性風險八、 指引原則的相關問題

　　定義

　�。郝摵险搲�工作組(下稱“工作組”)經過多次討論，確定了外包定義。工作組主要的考慮是定義應盡量寬泛與簡練，同時要避免包括與金融監管無關的內容[6]。為此CEBS與IOSCO做了相關輔助工作。其中CEBS幫助確定了應予以排除的主要購買性合同；而IOSCO提出了受監管實體應持續進行的活動。

　　附屬機構

　�。汗ぷ鹘M經過討論，認為外包定義應涵蓋對附屬機構的外包。不過也有人提出：對于那些出于解決監管或其它法律問題而成立的附屬機構，應制定監管原則。在咨詢過程中，不斷有人提出這方面問題，

　　業務的重要程度

　�。汗ぷ鹘M不但討論了區分重要與次要業務的好處，也探討了按照重要程度劃分合規程度的益處。經過咨詢，聯合論壇決定增加有關業務重要程度的解釋內容，但具體的規定要由各國政府來決定。指引應旨在鼓勵公司在制定風險管理流程時，考慮業務的重要程度，并為此提供了指導。

　　公司

　　管理層的責任：聯合論壇一致認為，不論業務是否外包，指引原則應強調公司高管對所有業務負有的責任。

　　受禁止的特別業務

　　：一些討論涉及禁止核心業務外包的作用與適用性。聯合論壇考慮到了外包基礎原則廣泛適用性及及行業的差異性，認為具體受禁的外包業務不應由基礎原則來規定，而應是各行業根據基本原則再具體規定。

　　系統性問題

　�。郝摵险搲�認為，即使這些原則能在微觀公司層面阻止外包風險發生，但外包還是可能引發系統性的風險。這促使工作組增加一項特別原則，協助監管當局監控服務商帶來的風險集中問題及系統性風險問題。九、外包原則詳解本部分對聯合論壇的九條高級原則加以詳細說明。

　　1

　　．

　　從事業務外包的受監管實體應制定全面的政策以指導評估是否及如何進行業務外包。董事會或相關機構對外包政策及有關活動負有責任。

　　在業務外包之前，受監管實體應制定有關外包決策的專門政策及標準，包括評估有關活動是否及在多大程度上適用外包。風險集中及外包業務的整體可接受水平等問題，也必須予以考慮。如果受監管實體希望將任一業務外包，管理層需全面了解成本及收益狀況，這要求管理層對該實體的核心能力、管理能力及弱點、未來目標等進行評價。

　　受監管實體

　　應制定相關政策以確保有效監管外包業務(見原則2)；在整個外包過程中及合同期間，受監管實體都應具有適當的治理結構，清晰界定自己的角色及職責。

　　受監管實體

　　應采取適當措施確保在母國及東道國都能遵守法律和監管要求。如果將某項業務外包會妨礙監管當局評價或監管受監管實體的業務(見原則3)，則該活動不能外包。

　　受監管實體

　　的董事會(或相當機構)要全面負責，確保受監管實體的外包決策及服務商的活動符合外包政策。另外，內部審計也起到很重要的作用。

　　2

　　．

　　受監管實體應建立全面的外包風險管理程序以指導外包業務及與服務商的關系。

　　評估受監管實體的外包風險取決于如下因素：外包業務的范圍及重要性、受監管實體的管理水平、外包風險的監控(包括對操作風險的一般管理)、服務商對潛在操作風險的管理與控制。下列因素有助于受監管實體判斷風險管理流程中外包業務的重要性。l因服務商未能完成外包任務而對受監管實體的財務、聲譽及經營造成的影響；l因服務商未能完成外包任務而對受監管實體的客戶及對手帶來的潛在損失；l外包業務對受監管實體遵守監管要求及其變化的能力的影響；l成本；l受監管實體中的外包業務與其它活動之間的關系；l受監管實體與服務商之間的隸屬或其它關系；l服務商的受監管地位；l選擇替代服務商或將外包的業務改由內部機構承擔的難度及所需時間；l外包安排的復雜程度。如在多個服務商合作提供點到點外包服務的情況下，對風險進行控制的能力。數據保護、安全及其它風險可能因外包服務商所在地理位置而受到不利影響。為此，在評估及管理發生在本國境外的外包活動時，必須有專門的風險管理能力，以評估涉及政治及法制環境等方面的國家風險。更一般的講，全面性的外包風險管理流程包括：對外包安排的各個方面進行持續監控；指導受監管實體在應對意外事件時采取糾正措施的程序。

　　3

　　．

　　受監管實體應確保外包管理既不能影響履行對客戶及監管當局的責任，也不能損害監管當局的監管效能。

　　外包

　　安排不能影響客戶對受監管實體的權利，包括客戶根據有關法律獲得適當賠償的權利[7]等。

　　外包

　　安排不應損害監管當局對受監管實體進行合理監管的能力。

　　4

　　．

　　受監管實體應盡職選擇外包服務商。

　　在選擇服務商之前，受監管實體應制定標準以評估服務商是否具有有效、可靠及高標準履約的能力，及與特定服務商相關的潛在風險因素。

　　受監管實體

　　具體需盡職責包括：(1)選擇合格且具有充分能力履行外包業務的服務商；(2)確保服務商能理解及滿足受監管實體在特定活動中的要求；(3)確認服務商具有履行職能所需的穩健的財務狀況。在未完成以上準備工作之前，受監管實體不可將有關業務外包。如果服務商不能完成外包業務，則需通過其它途徑來處理這些外包業務，但這樣做可能會付出高昂代價。因此受監管實體也應考慮到由此帶來的損失及業務中斷的可能。將業務外包到境外，還會引起其它的問題。例如，在突發事件中，受監管實體難以及時采取適當對應措施。因此受監管實體的高管也應評估境外經濟、法律及政治環境的不利影響對服務商完成外包業務的沖擊。

　　5

　　．

　　外包書面合同應明確涉及外包管理的多種重要因素，包括權利、義務與各方預期。外包關系受此書面合同制約。

　　外包

　　安排應以明確的書面合同確立，其特征及細節應與外包業務的重要程度相一致。書面合同是重要的管理手段；恰當的合同條款能降低違約風險或減少在業務范圍、特性及服務質量方面的分歧。合同的關鍵條款應包括：l明確界定需要外包的業務，包括適當的服務及執行水平；事先評估服務商在數量及質量方面的履約能力；l合同既不能阻礙受監管實體履行監管義務，也不能妨礙監管當局行使監管權力；l受監管實體必須確保能夠從服務商處獲得有關外包業務的賬簿、記錄及信息；l規定受監管實體要能對服務商進行持續的監控，以便能及時采取整改措施；l在必要情況下，合同應包括終止條款及執行終止規定的最短期限。后者應允許外包服務能轉包給其它服務商或并入受監管實體。此類條款應包括破產、公司性質改變的情況并明確規定合同終止后知識產權的處置(包括將信息轉回受監管實體，見原則6)、其它在合同終止后仍然有效的職責；l對外包安排的特殊重要問題也應做針對性說明。如對海外服務商，合同應包括適用法律的規定、協議約定及司法約定，這些可確保有關各方在特定司法管轄下仲裁糾紛；l合同應包括服務商將全部或部分外包業務轉包的前提條件。在適當的情況下，如服務商要將全部或部分外包進行分包，則應事先取得受監管實體的同意。且合同條款應保證受監管實體的風險控制力不能因分包而受到影響。

　　6

　　．

　　受監管實體與服務商應建立應急計劃，包括災害恢復計劃及備份設施的定期測試計劃。

　　受監管實體

　　應有關于應急計劃的全面制度化的政策，每個外包合同都應有專門的應急計劃。受監管實體應采取適當措施評估及解決因服務商業務中斷或其它問題導致的可能后果。顯然，這需要考慮服務商的應急計劃、協調受監管實體與服務商的應急計劃、制定服務商未履約情況下受監管實體的應急計劃等。如果受監管實體及服務商缺乏全面應急計劃而且外包業務反復出現問題，則可能導致意外的信用暴露、財務損失、錯失商機及出現信譽與法律問題等。健全的信息技術安全必不可少的。信息技術能力的中斷可能會損害受監管實體對其它市場參與者履行職責的能力、侵蝕客戶的隱私權、損害受監管實體的聲譽、并最終對受監管實體的整體操作風險狀況造成不利影響。受監管實體應確保服務商保持恰當的信息技術安全及災害恢復能力。應急計劃必須包括替換表現欠佳的服務商的選擇成本。如果受監管實體不滿意服務商的表現，則可將其替換或自行承擔此外包業務，甚至有時可取消此業務。這些做法代價高昂，往往是不得以而為之。當然，這些意外情況及相關成本應在協商過程中予以說明并在合同中明文規定。對現有的合同，這些條款應在合同延期時加以補充。

　　7

　　．

　　受監管實體應采取恰當措施，要求外包服務商嚴守受監管實體及其客戶的機密信息，不得故意或無意對未授權人士泄露。

　　實施外包的受監管實體應采取恰當措施來保護客戶的機密資料，并確保其不被濫用。此類措施包括，在與服務商的合同中禁止服務商或其代理人使用或披露受監管實體或其客戶的專有信息(除非是約定服務且滿足監管及法律所要求的條件)。根據監管及法律規定，受監管實體也應考慮是否有必要通知客戶其資料可能被轉移給了服務商

　　8

　　．

　　監管當局應把外包業務作為對受監管實體評估的組成部分。

　　監管當局

　　應采取措施確保受監管實體履行監管要求的能力不受影響。

　　監管當局

　　應將外包業務作為其對受監管實體綜合風險評估的組成部分。為評估及監控受監管實體的外包政策及外包風險管理流程，監管當局應能及時獲得有關外包業務的賬簿與記錄及其它資料。受監管實體能直接獲得這些資料，而監管當局也應能通過直接或間接渠道獲取。這包括要求賬簿及記錄必須保存在監管當局所在的國家、或服務商承諾能將賬簿與記錄的原件或復印件交至監管當局。為能從服務商取得外包業務的賬簿、記錄及相關信息，監管當局應考慮實施適當的規定及措施：(1)在合同中規定受監管實體具有取得服務商處理外包業務的賬簿與記錄的能力與檢查權力；(2)獲得任何子承包商的有關賬簿與記錄。合同還應規定，服務商應制備賬簿、記錄及其它資料，以便監管當局隨時獲取。

　　9

　　．

　　監管當局應認識到多個受監管實體將業務集中外包給少數幾個的外包服務商可能帶來的風險。

　　當有限數量(有時僅一個)的外包服務商為多個受監管實體提供服務時，操作風險相應集中，并可能帶來系統性風險。另外，如果多個服務商的緊急業務援助人為同一援助公司(如同一受災援助公司)，當這些服務商都發生業務中斷時，則該援助公司無法同時向這些服務商提供援助服務。在公司通過業務外包來提高效率及實現規模經濟的過程中，勢必會出現一些形式的風險集中問題。在評估及監控受監管實體的外包政策及風險管理流程時，監管當局應關注受監管實體業務集中產生風險的方式。有一些可以緩解風險集中問題的措施，其中最為重要的是受監管實體要制定合理的應急計劃(見原則6)及其它方面的監管釋緩措施，如實時監控、識別流程、適當的監管計劃、風險評估等。十、附錄1：案例分析

　　案例

　　1

　　：德國貸款工廠

　　越來越多的德國信貸機構將貸款業務外包給專門的且不受監管的服務商,這些服務商被形象地稱為“貸款工廠”。貸款工廠為貸款及抵押提供專業化的后臺支持服務，有時甚至可決定是否發放貸款。

　　2

　　003年，某一信貸機構不僅要將還貸業務外包，也想將發放貸款的決定權外包，這涉及250萬歐元以下的常規零售貸款業務及非常規業務。但監管當局對此外包的評估結論是：在非常規業務中，信貸機構無法對貸款工廠發放的貸款進行監察。在本案例中，盡管發放貸款的決定權掌握在貸款工廠手中，但信貸機構仍需負責業務運營且承擔由此帶來的風險。本案例有以下應注意問題：l對于將產生新風險暴露的決定權外包，只有當這樣做不會減弱管理層正確管理風險的能力時，方可實施。l只有在受監管實體嚴格要求服務商采用準確且經驗證的評估標準，上述外包才能符合規定。就當前金融行業使用的系統而言，這只能在常規零售－貸款業務才可能實現。

　　案例

　　2

　　：澳大利亞監管當局調查銀行業務外包

　　澳大利亞銀行的外包業務包括信息技術、信用卡服務、采購、支票、其它電子清算服務、抵押貸款處理及薪酬等。這些外包存在的問題是：如果服務商運作出現問題或不能持續提供服務，那么就可能會給客戶資料保密及銀行的財務狀況及聲譽帶來風險。

　　2

　　002年1月，澳大利亞審慎監管當局(Australian Prudential RegulationAuthority,APRA)完成了一項針對銀行外包的調查，并從當年7月1日開始實施具體的審慎標準。APRA發現，對外包安排的管理有多種方式：較大的機構通常有專門的外包部門確保本機構外包政策得以執行；另外一些機構則將外包職責交由商業單位。在此情況下，沒有專門部門負責監管外包安排，其中的風險也難以得到正確識別與評估。約有不到三分之一的受調查機構有正式的外包政策。多數受調查的銀行能準確表述外包業務的類型或進行外包的原因，但沒有標準化的做法。

　　案例

　　3

　　：將受管理的基金的單位定價業務外包

　　1

　　9

　　99年，澳大利亞一家主要的金融機構將其單位定價及托管安排外包給了同屬一個集團的托管人。該托管人后被(集團)出售，而外包安排仍留在該托管人內。

　　2

　　004年1月，該機構發現有關基金在數年內無法申請減稅優惠，這導致了基金單位價值被低估。當這一問題被發現后，該機構不得不向投資人支付約9000萬澳元的補償金。監管當局則令該機構對其系統進行全面的檢查以確保不再發生類似事件。此案例暴露出的問題有：l該機構與服務商之間缺乏足夠的控制及制約機制。l當托管人與該機構不再同屬一個集團，該機構會產生難以對托管人產生有效影響的顧慮。l因將此類業務外包給服務商而承擔了嚴重的聲譽風險。

　　案例

　　4

　　：貨幣監理署對一家銀行及其服務商采取制裁措施

　　2

　　002年，美國貨幣監理署(OCC)對一家加利福尼亞銀行及其服務商采取了強制措施。此服務商為該銀行在18個州及哥倫比亞特區的部分貸款提供發放及回收等服務。該服務商的問題是未能保全客戶貸款資料??其工作人員于2002年將這些貸款資料丟棄。OCC宣稱此舉觸犯了法律及監管規定。本案例表明當全國性銀行將業務轉交給服務商但又不能實施有效監管時，其自身面臨的風險。OCC認為該銀行未能安全及穩妥地處理與服務商之間的關系。該銀行違反了《公平信貸機會法》、《真實貸款法》、《安全及穩健標準》、《Gramm-leach-Bliley隱私保護法》(該法規定了客戶信息的安全及保密標準)。針對該銀行觸犯法律及進行的違規操作，OCC命令該銀行支付民事罰款及終止與其服務商之間的關系。服務商也被勒令繳納罰款，并且在未經OCC同意的情況下，不得為全國性銀行或其分支機構提供服務。為保護客戶隱私權，OCC還要求該銀行將丟失貸款資料事通知有關客戶，并在通知中建議客戶采取哪些措施來處理可能發生的身份資料失竊問題。

　　案例

　　5

　　：美國對服務商的聯合檢查

　　根據《銀行服務公司法》，美國聯邦金融機構檢查委員會(包括FFIEC)有權檢查銀行的服務商。該法規定銀行服務公司(包括技術服務提供商(TSP))應接受其服務的銀行的監管機構的檢查與監管。另外一些FFIEC機構已經對TSP采取了強制措施。本案例說明FFIEC如何對銀行服務商施用該法。對于以下兩種情況，監管機構可考慮對服務商實施聯合檢查：(1)某一服務商為多個受不同監管當局監管的實體處理核心業務活動(由此形成高度的系統性風險)；(2)服務商在位于不同地區的數據中心處理業務。這些監管機構在檢查范圍、時段及人員方面進行合作，而檢查報告由這些機構、受檢查的服務商及其受監管的客戶共享。FFIEC采用全面及統一的評級體系(如信息技術(IT)統一評級系統(URSIT))對服務商及受監管實體的IT相關風險進行評估及評級。根據TSP風險狀況，對IT的檢查周期為18－36個月不等。當前正在對約160個服務商進行跟蹤檢查。而根據FFIEC檢查者進行的風險評估，其中有130個服務商受到定期檢查。

　　2

　　003年，FFIEC的成員機構聯合參與了針對一家全球性服務商在美國各地的辦公室的IT檢查。對風險檢查的范圍集中在業務活動、交易處理服務、清算及結算、信息安全、業務持續計劃、URSIT內容(管理、審計、開發、收購、技術支持、交貨)等方面。檢查結果以聯合檢查報告的形式對外發布(按照FFIEC對TSP的IT檢查的統一格式)。對于分布在該機構主要服務中心地區以外的技術支持服務，聯合檢查也實施了小范圍的檢查。需要指出的是，國外監管當局已要求獲得(為它們國家的受監管實體提供服務的)TSP檢查報告。當局正在考慮是否與國外監管當局分享這些報告。十一、附錄2：縮寫名稱APRA澳大利亞審慎監管當局BCBS巴塞爾銀行監管委員會BIS 國際清算銀行BPO 業務處理外包CBFA比利時銀行、金融與保險委員會CEBS歐洲銀行監管委員會CEIOPS 歐洲保險與職業年金監管委員會CESR歐洲證券監管委員會FFIEC 美國聯邦金融機構檢查委員會IAIS國際保險監督官協會IOSCO 國際證監會組織IT 信息技術MIFID《金融工具市場規則》NAIC 全美保險業協會OCC美國貨幣監理署OSFI 加拿大金融機構監管局SFA 英國金融服務局SFBC瑞士聯邦銀行委員會TSP技術服務商該文件由聯合論壇(JointForum,屬于巴塞爾銀行監管委員會、國際證監會組織、國際保險監督官協會的共同下屬機構)于2005年2月共同發布[1]由巴塞爾銀行監管委員會(BCBS)、國際證監會組織(IOSCO)、國際保險監督官協會(IAIS)及國際清算銀行(BIS)組成。[2]包括BCBS、IOSCO及IAIS。[3]《銀行信息技術秘書處(BITS)針對IT服務商關系的管理技術風險框架》，第二版，2003年11月第2頁。[4]德勤會計事務所在美聯儲理事會會議上做的《銀行業務離岸及跨境外包情況》報告(2004年3月20日)。[5]德勤會計事務所的第二份年度調查《巨人的把握》。[6]這些內容通常被金融監管當局認為是不屬于外包范圍，如購買飲用水及辦公家具等。[7]受監管實體當然可以要求享有針對服務商的合理法律權利。

　　作者：cbrc