商业银行业务外包的风险体现及审计对策研究银监会自2005年开始允许国内金融机构业务外包,2006年发布的《电子银行业务管理办法》与《银行金融机构信息系统管理指引》两文件中对外包业务以及风险已有所提及。今年6月7日,银监会正式发布并实施的《银行业金融机构外包风险管理指引》,涵盖了银行业外包的方方面面,是我国第一份专门针对商业银行外包进行规范的文件。尤其是在总则中明确提到“银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包”、“定期安排内部审计,确保审计范围涵盖所有的外包安排”,反映了内部审计的重要性以及对外包业务风险控制应该发挥的作用。笔者结合近年参与实施外包业务管理审计的认识,对商业银行的外包业务风险及审计对策进行了总结,供内部审计同仁参考。
一、商业银行业务外包的涵义商业银行业务外包是指“银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。”1[1]商业银行采取业务外包策略往往基于以下考虑:降低营运成本、转移操作风险;提高产品或服务质量和效率、提升客户满意度;克服资源有限性、增强银行核心竞争力等。
二、国内外商业银行外包业务现状国外的商业银行业务外包首先从信息技术外包开始,主要涉及银行通信网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等,更多属于业务处理环节的外包;第二阶段是分段业务流程的外包,将支持银行内部的运作或客户的后端服务切分成相对完整的流程段后整体外包,甚至包括整个IT系统的外包,而不仅限于某项具体的任务外包。通过所谓业务流程的优化组合,银行保留优势核心的流程段、外包非优势外围的流程段,以获得更高商业价值、更有效率的运作模式。当前,随着世界银行业的发展和银行业务的不断创新,各个层面上的专业专注组合构成了商业银行的核心竞争力,单一银行独立的业务全流程研发往往不足以确保竞争优势,导致很多银行尤其是中小银行将研发环节外包给专门的研发中心,即知识处理外包。
相对于国外,国内商业银行的外包业务起步较晚,初始阶段的尝试、摸索是从后勤服务剥离、信息技术开发部分模块外包开始的,如90年代现金社会化押运、2002年深圳发展银行灾难备份支援服务外包等。至今,国内商业银行在以下方面已有了外包实践,大部分尚处于业务处理环节的外包阶段。
1.信息技术类外包。具体为信息技术应用开发外包(指委托外包服务商对银行应用开发项目的设计、开发和推广实施)、信息系统运行维护外包(指委托外包服务商对银行应用系统日常的巡检、技术支持等运维工作)、信息技术基础设施运行维护外包(指委托外包服务商为银行信息技术基础设施提供日常的故障维修及巡检等运维工作)、自助银行设备保养(指委托外包服务商为银行自助设备提供日常的故障维修及软件升级等运维工作)。
2.营运业务类外包。主要包括会计凭证影像信息采集、会计档案整理、对账单制作与寄递、会计资料运送、会计档案集中保管、后台信息录入和现金清分整点等。
3.专业性服务类外包。主要包括现金押运、金库守押、报警服务、营业网点安保、法律事务等。
4.业务处理程序外包,主要包括个人信贷业务客户身份及亲笔签名的核对、信用卡客户资料的输入与装封、不良贷款催收、柜面服务质量监测、手机银行营销、特约商户发展、电话推广营销等。