基于全面風險管理理論淺議商業銀行外包風險防控

□ 馬寧

近年來，商業銀行新業務層出不窮、與核心業務邊界不清，外包的形式和內容也隨之調整，監管部門務外包的關注度也大大提高。商業銀行外包活動任何一個小事件都可能引起聲譽風險，風險防控需要引起重視。由于外部監管及自身風險防控需要，全面風險管理理論在現代金融機構中被廣泛運用，各商業銀行均需建立符合監管要求及自身業務發展情況的全面風險管理體系。外包作為商業銀行業務發展的一部分，也應納入商業銀行全風險管理體系，采取有效防控措施對外包風險進行有效識別和持續管理。

一、基于全面風險管理理論研究商業銀行外包風險防控的必要性

（一）外部監管要求

2010年以來，我國監管部門針對銀行業金融機構的外包風險制定了《銀行業金融機構外包風險管理指引》、《銀行業金融機構全面風險管理指引》、《銀行保險機構信息科技外包風險監管辦法》等多個制度辦法。各制度辦法均要求：商業銀行應當確定與自身風險管理水平相適應的外包活動范圍，制定外包的風險管理框架以及相關制度；并將其納入全面風險管理體系，采取定性定量相結合的方法，關注并識別、計量、評估、監測、報告等外包各風險類型和風險因素，并通過制度性安排、合理的內控程序、恰當的風險管理措施，促進業務的健康穩健經營。

（二）商業銀行自身風險防控需要

2015年10月，銀監會發布了《關于近期信息科技外包風險事件的監管通報》（銀監辦便函〔2015〕1398號），該文件通報了兩起科技外包突發事件，因外包商服務問題對部分銀行業金融機構業務持續運營產生了較大的社會面影響，引起了商業銀行的聲譽風險。如，2015年7月9日，成都衛士通信息產業股份有限公司在對一家銀行省分行的加密機版本升級過程中，現場維護人員在生產機上使用了具有高風險特征的后臺維護密鑰導出工具軟件，對生產設備實施密鑰導出。但該工具軟件版本錯誤，導致加密機生產密鑰被銷毀。維護人員發現從主加密機導出主密鑰不正確后，繼續對備份加密機實施密鑰導出錯誤操作，造成主備兩臺生產加密機密鑰全部銷毀，直接導致該分行全省自助渠道業務中斷，三萬多臺自助終端無法提供服務，最長時間超20小時。

同時，筆者在銀保監會網站以“外包”為關鍵字搜索各級銀保監部門出具的行政處罰達45份，其中涉及銀行機構的行政處罰信息16份；包含“勞務派遣”關鍵字的行政處罰信息共61份，主要涉及保險機構；包含“合作機構”為關鍵字的行政處罰信息共30份，其中涉及銀行機構的有4份。而查詢中國裁判文書網，涉及“銀行外包”字樣的刑事案件達17件、民事案件達63件。

由上述外包引發的聲譽風險事件、外部監管處罰及法律訴訟方面的案件得知，金融機構特別是商業銀行在外包風險防控還需要采取更多的措施，以進一步提升自身整體風險管理能力。

二、基于全面風險管理理論識別分析商業銀行外包主要風險類型

（一）全面風險管理理論簡述

1.全面風險管理理論的發展歷程

美國COSO委員會于1992年9月正式發布了《內部框架——整合框架》，這份框架此后被納入到了國家政策和法規之中。世界各國數千家企業為了提升企業風險管理水平和核心競爭力、實現業務高速發展，都相繼采用了該框架來指導內部控制。澳大利亞和新西蘭于1995年聯合制訂了AS/NZS 4360，該文件對風險管理的標準程序進行了明確的定義，第一個國家風險管理標準隨之誕生。2004年9月，COSO又發布《企業風險管理——整合框架》，此框架聚焦于企業全面風險管理領域，拓展了企業內部控制的外延，慢慢被世界各國企業廣泛接受，并成為了企業內部風險管理領域的新的標準規范。

我國關于全面風險管理的研究始于上世紀80年代。2006年6月，國務院國有資產監督管理委員會（簡稱“國資委”）發布了我國第一個全面風險管理的指導性文件《中央企業全面風險管理指引》。該指引不僅借鑒了發達國家有關企業風險管理的法律法規制度規定，還參考了國外先進企業在風險管理方面的主要做法，并綜合考慮了國內有關企業內部控制建設方面的規定，對我國央企全面風險管理的原則、流程、組織體系、風險評估、管理策略、解決方案、監督與改進等各方面都提出了明確要求，對于我國企業建立健全風險管理機制，促進企業穩步發展具有非常重要的意義。

2.金融全面風險管理理論簡述

金融風險管理伴隨著人類社會經濟和金融活動的發展而發展。金融風險管理是一個過程，從金融機構戰略制定一直貫穿到金融機構的各項經營活動中。由于金融風險可以對經濟，甚至對國家安全產生巨大影響，世界各國政府、監管機構、金融機構及企業都在積極探索金融風險管理的先進技術和措施，以期對金融風險進行有效識別、準確計量和嚴格控制。隨著金融一體化和全球經濟一體化的發展，金融業務形式層出不窮，金融風險日趨復雜化和多樣化，金融風險管理的重要性愈加突出。

基于金融風險管理理論的發展，隨著不同時期經濟和金融環境，在金融環境中風險管理各種理論和管理手段不斷出現。而金融環境的全面風險管理模式是一種新型的管理模式。它在先進的企業全面風險管理理念基礎上，融入金融行業的元素，以金融企業全球風險管理體系、金融全面風險管理范圍和全員的風險管理文化為核心，被全球金融企業廣泛接受和采用。根據2004年9月COSO發布的目前國際上通行的《企業風險管理——整合框架》及我國發布的《中央企業全面風險管理指引》，銀行業金融機構應當通過構建全面風險管理體系，采用統一的標準對風險進行識別、計量、評估、監測、控制和緩釋，使得各業務類型風險策略保持相對一致，從而達到對可能會產生不利或負面影響的風險或潛在事項進行識別，實現業務穩健經營的目的。

（二）基于全面風險管理理論有效識別商業銀行外包主要風險類型

基于全面風險管理理論，商業銀行應當建立全面風險管理體系,應當關注外包活動的戰略風險、聲譽風險、合規風險、法律風險、國別風險、操作風險等風險。由于國別風險主要涉及商業銀行境外分支機構外包活動、操作風險與合規風險關系較為密切，本文主要從戰略風險、法律風險、聲譽風險、操作風險等四種風險類型開展分析研究。

1.外包戰略風險的主要內容

商業銀行基于自身的戰略發展規劃，根據各項業務發展的趨勢，區分核心業務和非核心業務、業務的核心環節和非核心環節。根據監管要求，核心業務或業務的核心環節不得以外包形式開展。對于非核心業務或業務非核心環節，商業銀行應制定適當的外包戰略發展規劃、風險管理政策、管理流程和內控制度，明確外包業務范圍和相對安排，定期安排內部審計進行有效監督。

2.外包法律風險的主要內容

2021年1月1日，《中華人民共和國民法典》正式實施。該法律對物權、合同、人格權、侵權責任等各項進行了明確規定，是我國市場經濟的基本法。同時，銀保監會也制定并施行了《銀行業金融機構外包風險管理指引》、《銀行保險機構信息科技外包風險監管辦法》等一系列規章制度，規范金融機構外包業務管理。商業銀行在開展外包活動時，應根據國家法律法規和監管部門有關制度規定，簽訂書面合同或協議,明確雙方的權利義務。特別要包括外包服務的范圍標準、保密性、安全性、業務連續性、服務的考核評價等內容，明確爭端解決機制及違約責任，防范法律風險。

3.外包操作風險的主要內容

商業銀行在將業務外包的過程中，由于外包合作機構的內部控制流程有問題、外包員工管理不到位、外包信息科技系統不完善，商業銀行對以上各方面管理監督不力給自身帶來的風險，都可以認為是商業銀行外包業務的操作風險。由于每個商業銀行經營理念、組織架構、操作流程、企業文化等存在較大的差異，與其它幾種風險相比，不同的商業銀行的外包操作風險因素有著較大的差異，需要結合各商業銀行的具體情況進行分析研判。

4.外包聲譽風險的主要內容

聲譽風險事關商業銀行的方方面面，由商業銀行外包管理、外包合作機構的經營管理及其他行為或外部事件導致利益相關方對商業銀行負面評價的風險，都可以認為是由外包帶來的聲譽風險。本文前述筆者查詢中國銀保監會網站，各級銀保監局對金融機構包含“外包”字樣的行政處罰信息共34條、包含“勞務派遣”字樣的行政處罰信息供61條。而查詢中國裁判文書網，涉及“銀行外包”字樣的刑事案件達17件、民事案件達63件。由此可見，由于業務外包或外包人員風險控制不到位，給商業銀行等金融機構帶來了巨大的聲譽風險。

三、外包風險對商業銀行整體風險的傳導機制

基于上述全面風險管理理論，對商業銀行外包主要風險類型進行識別分析，筆者嘗試從銀行外包戰略風險、法律風險、操作風險等各類型風險因素來分析外包風險對商業銀行整體風險的傳導機制（如圖1）。

圖1 外包風險對商業銀行整體風險的傳導機制圖

外包業務存在多種風險因素，如制度性因素、體制性因素、法規性因素、系統性因素、人員性因素等。商業銀行將業務外包給合作機構的過程中，各類型風險因素交織。如果在外包活動中內部控制任一環節沒有到位，將最終發展成為影響商業銀行整體風險的戰略風險、法律風險、國別風險、操作風險、聲譽風險等各風險類型。與此同時，在各風險要素逐漸演變為各類風險時，如果商業銀行建立了外包風險的預警機制、應急管理機制、溝通與協調機制，配合整體的風險處置措施，將會避免或減少對商業銀行整體聲譽及業務經營產生的不利影響。

四、外包主要風險計量方法

結合全面風險管理理論，縱觀商業銀行主要風險計量方法，目前各國商業銀行主要采用的是《巴塞爾協議》中推薦采用的風險計量方法。《巴塞爾協議》是巴塞爾銀行監管委員會指定的在全球范圍內主要的銀行資本和風險監管標準。1988年，巴塞爾銀行監管委員會發布了俗稱《巴塞爾協議Ⅰ》的《統一資本計量和資本標準的國際協議》；1997年再次發布了《統一資本計量和資本標準的國際協議：修訂框架》（俗稱巴塞爾協議Ⅱ）；2017年12月發布了《巴塞爾協議Ⅲ：后危機時代監管改革最終版》。由于疫情等因素，原計劃于2022年1月開始逐步實施的《巴塞爾協議Ⅲ》推遲，目前國際上各商業銀行執行的仍是《巴塞爾協議Ⅱ》。《巴塞爾協議Ⅱ》中主要包含了商業銀行的信用風險、市場風險和操作風險三大風險計量方法。由外包風險對商業銀行整體風險的傳導機制可知，外包基本不涉及商業銀行的信用風險、市場風險，本文主要對外包涉及的操作風險計量方法進行探討。

（一）《巴塞爾協議》推薦的操作風險計量方法

在《巴塞爾協議Ⅱ》框架下，商業銀行可以使用三種方法來計量操作風險的資本需求，分別是基本指標法（Basic Indicator Approach）、標準法（the Standardised Approach）與高級計量法（Advanced Measurement Approach ）。其中，《巴塞爾協議Ⅱ》要求使用基本指標法的商業銀行采用過去三年的平均總收入為標準, 乘以15%來確定操作風險所需要的資本準備。該方法簡單易行，但是指標過于簡單而無法反映復雜的操作風險狀況，實際上并不能鼓勵銀行改善操作風險管理水平。同時，采用高級計量法對于商業銀行操作風險內部損失報告制度和損失數據庫要求較高,且需要商業銀行配備掌握操作風險計量方法的專家隊伍等，因此目前我國商業銀行多采用標準法計量操作風險。

2017年發布并即將開始實施的《巴塞爾協議Ⅲ》中，簡化了操作風險框架，將原有三種計量方法全部刪除，要求未來全部采用新標準計量法（Risksensitive Standardised Approach）實現對操作風險的計量。該方法以商業銀行業務規模為基礎，并利用內部損失數據進行對業務調整。由于各商業銀行外包業務有所不同，較難直接橫向比較，本文嘗試采用依據商業銀行內部數據的新標準計量法對外包導致的操作風險進行計量。

（二）商業銀行外包操作風險新標準計量模型

新標準計量法的前提假設有兩個：一是操作風險與商業銀行的收入正相關，二是歷史上經歷過較大操作風險損失的商業銀行未來還可能遭受一定的操作風險損失。操作風險計量資本需求模型如下：

Operational Risk Capital = BIC×ILM

其中，BIC為Business Indicator Component，以依據于財務報表的BI指數（Business Indicator）為基礎算出(商業銀行級別的分類與BIC的計算通過下述來完成，其中數額單位均為十億歐元)；ILM為Internal Loss Multiplier，根據銀行歷史損失與BI指數共同計算得到。

圖2 新標準法Business Indicator Componentf計算模型

圖3 巴塞爾委員會給定的模型計算系數

而BI由ILDC、SC、FC直接相加而來，其中ILDC指的是利息、租賃與股息組成部分（Interest，Leases and Dividend Component），SC指的是服務組成部分（Service Component），FC指的是財務組成部分（financial componen)。計算公式如下：

ILDC=min{(利息收入-利息支出），2.25%×生息資產}+紅利收入

SC=max{其他營業收入，其他營業支出}+max{手續費收入,手續費支出}

FC=交易賬戶凈損益+銀行賬戶凈損益

同時，上述涉及的利息收入、利息支出等各指標均采取商業銀行最近三年的平均值。

操作風險計量資本需求模型中的ILM為內部損失乘數Internal Loss Multiplier，是BIC和LC（損失組成部分Loss Component）的函數。其中損失組成部分（Loss Component）等于過去十年每年操作風險損失數額總量平均數的15倍。如果商業銀行未獲取過去十年的數據，可以使用過去五年的數據，而如果未獲取過去五年的數據，也可直接以BIC（Business Indicator Component）為準。

由此我們可以得出：

圖4 操作風險計量資本需求模型

五、商業銀行外包風險的主要表現形式

（一）制度性安排缺失或業務調整不及時，潛藏戰略風險

商業銀行應根據自身業務發展情況，制定業務外包戰略發展總體規劃。同時，對于上年度業務外包實際情況進行后評價，調整和制定新年度業務外包計劃。而實際操作中，有些銀行業金融機構創新外包內容，將涉及客戶信息數據交換、云服務等科技類項目進行外包，或者未采取有力措施對外包合作機構的網絡安全或科技風險進行適時管控，導致被監管行政處罰。如，2020年9月貴州某商業銀行由于網絡安全和科技外包風險管控不力被貴州某銀保監局行政處罰罰款40萬元。同時，還有些商業銀行外包業務調整不及時，分支機構對于一些業務量極少或已經過時的業務仍進行外包，以此套取外包費用或利用原有外包名義形成新的業務外包。

（二）合同管理有名無實、流于形式，造成法律風險

我國《民法典》的正式施行，為訂立商業合同的雙方提供了最新的法律依據。商業銀行應該根據《民法典》的最新規定，對已簽訂的業務外包合同進行重新檢視。在實際情況中，有的銀行與外包合作機構簽訂的業務外包合同對于外包人員資質、雙方權利義務、保密、連續性安排等條款未做約定或約定過于簡單，合同執行環節有名無實、對于外包質量的考評流于形式，名為外包實為勞務派遣。一旦外包人員發生工傷、疾病、待遇等糾紛，商業銀行往往被動應對、賠償了事。如，查詢中國裁判文書網，2020年5月，因某國有大型商業銀行一分行在與某外包公司合同到期未續期情況下，繼續留用外包人員王某從事原崗位，經過一次仲裁、兩次一審均認定王某與該分行形成事實勞動關系，名為外包實為勞務派遣；在人員緊缺的情況下，該行為提高效益從員工個人收入中拿出一部分錢，讓派遣人員承擔超出派遣范圍的大堂引領、基金推銷等工作，王某對超期留用的勞動報酬不服導致二次上訴并申請再審，內蒙古某法院民事裁定書指定二審后再審本案。

（三）商業銀行及外包合作機構流程管控不力，隱匿操作風險

一方面有些商業銀行內部控制不完善，存在違規采購、合同管理不到位、項目后評價流于形式等問題；另一方面外包合作機構屬地化性質較高、信用資質難以評價，存在資質不夠、信息科技系統待完善、管理相對粗放、人員素質參差不齊等問題。如，2018年3月，上海銀保監局對某外資銀行（中國）有限公司就外包管理事項進行了行政處罰，該銀行于2015年至2017年網站外包管理失效，2017年9月，該行網站發生非法入侵等風險事件。

（四）外包人員利用職務便利牟利或泄密，形成聲譽風險

2021年11月，為了保護個人信息權益、規范個人信息處理活動、促進個人信息合理利用，《中華人民共和國個人信息保護法》開始實施。而商業銀行作為信用中介的性質，外包人員得以利用職務便利，接觸大量的企業和個人客戶，其中不僅涉及了銀行的商業秘密，也涉及了大量的客戶個人信息。近年來，有些商業銀行對員工和外包人員疏于管理，導致外包人員利用在銀行接觸大量客戶的工作便利，辦理各種資金業務、充當資金掮客；或外包人員通過與銀行內部工作人員內外勾結，泄露客戶個人信息，謀取私利……種種案例屢見不鮮。如，根據2020年10月湖南某地人民法院公布的刑事判決書顯示：2015年12月至2016年3月期間，某國有大型商業銀行一分行外包人員利用職務便利，通過盜用管理人員操作碼，查詢外地個人信用報告3678筆，并將客人客戶信息以10元/份的價格以WORD文檔的形式通過QQ郵箱倒賣給貸款公司，非法獲利3萬余元，由此被法院一審判處侵犯公民個人信息罪，有期徒刑三年、緩刑三年。

六、商業銀行外包風險防控建議

（一）以系統觀念為指導，強化制度性安排

一是商業銀行要嚴格落實外部監管要求，以系統觀念為指導，建立全面的外包風險管理體系，以指導外包業務及與合作機構的關系。要制定審慎穩健的外包戰略發展規劃和年度發展計劃，經本機構董事會或者高級管理層審核同意，并持續有效實施。二是商業銀行要根據本機構外包的發展變化情況，對于外包、特別是新形式和新內容的業務外包做出制度性安排和系統性指導，并根據業務發展變化適時動態評估調整，特別是要按監管要求對于核心業務或業務的核心部分不得外包，夯實商業銀行業務外包的制度基礎。三是商業銀行應當建立科學合理的業務績效考核指標體系和薪酬支付機制。業務合規經營類指標和風險管理類指標權重應當明顯高于其他類指標，從績效考核層面促進分支機構在外包業務經營、內部控制、合作機構管理、風險防控等方面提高管理水平。

（二）以法規制度為依據，健全履約及評價機制

一是商業銀行要系統深入開展對相關法律法規及監管制度的學習，按照法規要求簽訂書面業務外包合同協議。書面合同是重要的管理手段，恰當的合同條款能降低違約風險或減少在業務范圍、特性及服務質量方面的分歧。二是外包合同協議的特征及細節應該與外包業務的重要程度相一致。合同的關鍵條款應包括：商業銀行確保能夠從合作機構處獲得有關外包業務的賬簿、記錄及信息；要能對合作機構進行持續的監控，以便能及時采取整改措施；要對外包安排的特殊重要問題如業務連續性安排、保密等事項做針對性說明等重要約定。三是對照外包服務協議，合理確定外包崗位，嚴格限定外包人員服務范圍，嚴禁將服務內容以外事項，特別是涉及國家秘密、商業秘密和客戶敏感信息的工作事項交由外包人員承擔。四是切實健全對外包合作機構外包質量的考評機制，對于不符合要求或存在風險隱患的人員或環節，及時整改處理。

（三）以風險防控為目標，實施全流程管理

一是完善商業銀行內部控制體系，落實“前臺業務部門、中臺風險管理部門、后臺內控審計部門”的部門相互制約職能，以風險防控為目標，實施業務外包全流程風險管理。二是在外包合作機構管理方面，搭建信用評價體系平臺提高合作機構信用信息透明度。探索在商業銀行內部建立非單一來源的業務外包合作機構的信用評價體系，嘗試設立白名單或黑名單合作機構動態管理機制，為各級機構選擇資質優良、內控健全、管理規范的外包合作機構開展外包提供幫助。三是商業銀行也可委托外部合格第三方審計機構對已合作外包合作機構進行定期常規審計，督促供應商改善經驗管理、提高內控水平。

（四）以合規安全為底線，加大監督檢查力度

一是商業銀行要高度重視自身員工管理，定期對員工與重點崗位外包人員異常資金線索進行排查。同時，對于涉及員工與外包人員內外勾結的違法違規線索重點核實、嚴肅處理，提高員工及外包人員的合規安全意識。二是結合外包業務特點，建立健全對外包人員的前期背景調查和日常監測機制。要增強對外包合作機構外派至商業銀行的駐場外包人員背景調查，防止“帶病上崗”；還要常態化開展對外包人員服務范圍、服務質量審核等日常管理工作。通過加大對外包合作機構、服務人員的前期背景調查和常態化監督檢查力度，防范外包人員利用商業銀行營業場所謀取利益，共同筑牢商業銀行合規安全底線。