基于全面风险管理理论浅议商业银行外包风险防控

□ 马宁

近年来，商业银行新业务层出不穷、与核心业务边界不清，外包的形式和内容也随之调整，监管部门务外包的关注度也大大提高。商业银行外包活动任何一个小事件都可能引起声誉风险，风险防控需要引起重视。由于外部监管及自身风险防控需要，全面风险管理理论在现代金融机构中被广泛运用，各商业银行均需建立符合监管要求及自身业务发展情况的全面风险管理体系。外包作为商业银行业务发展的一部分，也应纳入商业银行全风险管理体系，采取有效防控措施对外包风险进行有效识别和持续管理。

一、基于全面风险管理理论研究商业银行外包风险防控的必要性

（一）外部监管要求

2010年以来，我国监管部门针对银行业金融机构的外包风险制定了《银行业金融机构外包风险管理指引》、《银行业金融机构全面风险管理指引》、《银行保险机构信息科技外包风险监管办法》等多个制度办法。各制度办法均要求：商业银行应当确定与自身风险管理水平相适应的外包活动范围，制定外包的风险管理框架以及相关制度；并将其纳入全面风险管理体系，采取定性定量相结合的方法，关注并识别、计量、评估、监测、报告等外包各风险类型和风险因素，并通过制度性安排、合理的内控程序、恰当的风险管理措施，促进业务的健康稳健经营。

（二）商业银行自身风险防控需要

2015年10月，银监会发布了《关于近期信息科技外包风险事件的监管通报》（银监办便函〔2015〕1398号），该文件通报了两起科技外包突发事件，因外包商服务问题对部分银行业金融机构业务持续运营产生了较大的社会面影响，引起了商业银行的声誉风险。如，2015年7月9日，成都卫士通信息产业股份有限公司在对一家银行省分行的加密机版本升级过程中，现场维护人员在生产机上使用了具有高风险特征的后台维护密钥导出工具软件，对生产设备实施密钥导出。但该工具软件版本错误，导致加密机生产密钥被销毁。维护人员发现从主加密机导出主密钥不正确后，继续对备份加密机实施密钥导出错误操作，造成主备两台生产加密机密钥全部销毁，直接导致该分行全省自助渠道业务中断，三万多台自助终端无法提供服务，最长时间超20小时。

同时，笔者在银保监会网站以“外包”为关键字搜索各级银保监部门出具的行政处罚达45份，其中涉及银行机构的行政处罚信息16份；包含“劳务派遣”关键字的行政处罚信息共61份，主要涉及保险机构；包含“合作机构”为关键字的行政处罚信息共30份，其中涉及银行机构的有4份。而查询中国裁判文书网，涉及“银行外包”字样的刑事案件达17件、民事案件达63件。

由上述外包引发的声誉风险事件、外部监管处罚及法律诉讼方面的案件得知，金融机构特别是商业银行在外包风险防控还需要采取更多的措施，以进一步提升自身整体风险管理能力。

二、基于全面风险管理理论识别分析商业银行外包主要风险类型

（一）全面风险管理理论简述

1.全面风险管理理论的发展历程

美国COSO委员会于1992年9月正式发布了《内部框架——整合框架》，这份框架此后被纳入到了国家政策和法规之中。世界各国数千家企业为了提升企业风险管理水平和核心竞争力、实现业务高速发展，都相继采用了该框架来指导内部控制。澳大利亚和新西兰于1995年联合制订了AS/NZS 4360，该文件对风险管理的标准程序进行了明确的定义，第一个国家风险管理标准随之诞生。2004年9月，COSO又发布《企业风险管理——整合框架》，此框架聚焦于企业全面风险管理领域，拓展了企业内部控制的外延，慢慢被世界各国企业广泛接受，并成为了企业内部风险管理领域的新的标准规范。

我国关于全面风险管理的研究始于上世纪80年代。2006年6月，国务院国有资产监督管理委员会（简称“国资委”）发布了我国第一个全面风险管理的指导性文件《中央企业全面风险管理指引》。该指引不仅借鉴了发达国家有关企业风险管理的法律法规制度规定，还参考了国外先进企业在风险管理方面的主要做法，并综合考虑了国内有关企业内部控制建设方面的规定，对我国央企全面风险管理的原则、流程、组织体系、风险评估、管理策略、解决方案、监督与改进等各方面都提出了明确要求，对于我国企业建立健全风险管理机制，促进企业稳步发展具有非常重要的意义。

2.金融全面风险管理理论简述

金融风险管理伴随着人类社会经济和金融活动的发展而发展。金融风险管理是一个过程，从金融机构战略制定一直贯穿到金融机构的各项经营活动中。由于金融风险可以对经济，甚至对国家安全产生巨大影响，世界各国政府、监管机构、金融机构及企业都在积极探索金融风险管理的先进技术和措施，以期对金融风险进行有效识别、准确计量和严格控制。随着金融一体化和全球经济一体化的发展，金融业务形式层出不穷，金融风险日趋复杂化和多样化，金融风险管理的重要性愈加突出。

基于金融风险管理理论的发展，随着不同时期经济和金融环境，在金融环境中风险管理各种理论和管理手段不断出现。而金融环境的全面风险管理模式是一种新型的管理模式。它在先进的企业全面风险管理理念基础上，融入金融行业的元素，以金融企业全球风险管理体系、金融全面风险管理范围和全员的风险管理文化为核心，被全球金融企业广泛接受和采用。根据2004年9月COSO发布的目前国际上通行的《企业风险管理——整合框架》及我国发布的《中央企业全面风险管理指引》，银行业金融机构应当通过构建全面风险管理体系，采用统一的标准对风险进行识别、计量、评估、监测、控制和缓释，使得各业务类型风险策略保持相对一致，从而达到对可能会产生不利或负面影响的风险或潜在事项进行识别，实现业务稳健经营的目的。

（二）基于全面风险管理理论有效识别商业银行外包主要风险类型

基于全面风险管理理论，商业银行应当建立全面风险管理体系,应当关注外包活动的战略风险、声誉风险、合规风险、法律风险、国别风险、操作风险等风险。由于国别风险主要涉及商业银行境外分支机构外包活动、操作风险与合规风险关系较为密切，本文主要从战略风险、法律风险、声誉风险、操作风险等四种风险类型开展分析研究。

1.外包战略风险的主要内容

商业银行基于自身的战略发展规划，根据各项业务发展的趋势，区分核心业务和非核心业务、业务的核心环节和非核心环节。根据监管要求，核心业务或业务的核心环节不得以外包形式开展。对于非核心业务或业务非核心环节，商业银行应制定适当的外包战略发展规划、风险管理政策、管理流程和内控制度，明确外包业务范围和相对安排，定期安排内部审计进行有效监督。

2.外包法律风险的主要内容

2021年1月1日，《中华人民共和国民法典》正式实施。该法律对物权、合同、人格权、侵权责任等各项进行了明确规定，是我国市场经济的基本法。同时，银保监会也制定并施行了《银行业金融机构外包风险管理指引》、《银行保险机构信息科技外包风险监管办法》等一系列规章制度，规范金融机构外包业务管理。商业银行在开展外包活动时，应根据国家法律法规和监管部门有关制度规定，签订书面合同或协议,明确双方的权利义务。特别要包括外包服务的范围标准、保密性、安全性、业务连续性、服务的考核评价等内容，明确争端解决机制及违约责任，防范法律风险。

3.外包操作风险的主要内容

商业银行在将业务外包的过程中，由于外包合作机构的内部控制流程有问题、外包员工管理不到位、外包信息科技系统不完善，商业银行对以上各方面管理监督不力给自身带来的风险，都可以认为是商业银行外包业务的操作风险。由于每个商业银行经营理念、组织架构、操作流程、企业文化等存在较大的差异，与其它几种风险相比，不同的商业银行的外包操作风险因素有着较大的差异，需要结合各商业银行的具体情况进行分析研判。

4.外包声誉风险的主要内容

声誉风险事关商业银行的方方面面，由商业银行外包管理、外包合作机构的经营管理及其他行为或外部事件导致利益相关方对商业银行负面评价的风险，都可以认为是由外包带来的声誉风险。本文前述笔者查询中国银保监会网站，各级银保监局对金融机构包含“外包”字样的行政处罚信息共34条、包含“劳务派遣”字样的行政处罚信息供61条。而查询中国裁判文书网，涉及“银行外包”字样的刑事案件达17件、民事案件达63件。由此可见，由于业务外包或外包人员风险控制不到位，给商业银行等金融机构带来了巨大的声誉风险。

三、外包风险对商业银行整体风险的传导机制

基于上述全面风险管理理论，对商业银行外包主要风险类型进行识别分析，笔者尝试从银行外包战略风险、法律风险、操作风险等各类型风险因素来分析外包风险对商业银行整体风险的传导机制（如图1）。

图1 外包风险对商业银行整体风险的传导机制图

外包业务存在多种风险因素，如制度性因素、体制性因素、法规性因素、系统性因素、人员性因素等。商业银行将业务外包给合作机构的过程中，各类型风险因素交织。如果在外包活动中内部控制任一环节没有到位，将最终发展成为影响商业银行整体风险的战略风险、法律风险、国别风险、操作风险、声誉风险等各风险类型。与此同时，在各风险要素逐渐演变为各类风险时，如果商业银行建立了外包风险的预警机制、应急管理机制、沟通与协调机制，配合整体的风险处置措施，将会避免或减少对商业银行整体声誉及业务经营产生的不利影响。

四、外包主要风险计量方法

结合全面风险管理理论，纵观商业银行主要风险计量方法，目前各国商业银行主要采用的是《巴塞尔协议》中推荐采用的风险计量方法。《巴塞尔协议》是巴塞尔银行监管委员会指定的在全球范围内主要的银行资本和风险监管标准。1988年，巴塞尔银行监管委员会发布了俗称《巴塞尔协议Ⅰ》的《统一资本计量和资本标准的国际协议》；1997年再次发布了《统一资本计量和资本标准的国际协议：修订框架》（俗称巴塞尔协议Ⅱ）；2017年12月发布了《巴塞尔协议Ⅲ：后危机时代监管改革最终版》。由于疫情等因素，原计划于2022年1月开始逐步实施的《巴塞尔协议Ⅲ》推迟，目前国际上各商业银行执行的仍是《巴塞尔协议Ⅱ》。《巴塞尔协议Ⅱ》中主要包含了商业银行的信用风险、市场风险和操作风险三大风险计量方法。由外包风险对商业银行整体风险的传导机制可知，外包基本不涉及商业银行的信用风险、市场风险，本文主要对外包涉及的操作风险计量方法进行探讨。

（一）《巴塞尔协议》推荐的操作风险计量方法

在《巴塞尔协议Ⅱ》框架下，商业银行可以使用三种方法来计量操作风险的资本需求，分别是基本指标法（Basic Indicator Approach）、标准法（the Standardised Approach）与高级计量法（Advanced Measurement Approach ）。其中，《巴塞尔协议Ⅱ》要求使用基本指标法的商业银行采用过去三年的平均总收入为标准, 乘以15%来确定操作风险所需要的资本准备。该方法简单易行，但是指标过于简单而无法反映复杂的操作风险状况，实际上并不能鼓励银行改善操作风险管理水平。同时，采用高级计量法对于商业银行操作风险内部损失报告制度和损失数据库要求较高,且需要商业银行配备掌握操作风险计量方法的专家队伍等，因此目前我国商业银行多采用标准法计量操作风险。

2017年发布并即将开始实施的《巴塞尔协议Ⅲ》中，简化了操作风险框架，将原有三种计量方法全部删除，要求未来全部采用新标准计量法（Risksensitive Standardised Approach）实现对操作风险的计量。该方法以商业银行业务规模为基础，并利用内部损失数据进行对业务调整。由于各商业银行外包业务有所不同，较难直接横向比较，本文尝试采用依据商业银行内部数据的新标准计量法对外包导致的操作风险进行计量。

（二）商业银行外包操作风险新标准计量模型

新标准计量法的前提假设有两个：一是操作风险与商业银行的收入正相关，二是历史上经历过较大操作风险损失的商业银行未来还可能遭受一定的操作风险损失。操作风险计量资本需求模型如下：

Operational Risk Capital = BIC×ILM

其中，BIC为Business Indicator Component，以依据于财务报表的BI指数（Business Indicator）为基础算出(商业银行级别的分类与BIC的计算通过下述来完成，其中数额单位均为十亿欧元)；ILM为Internal Loss Multiplier，根据银行历史损失与BI指数共同计算得到。

图2 新标准法Business Indicator Componentf计算模型

图3 巴塞尔委员会给定的模型计算系数

而BI由ILDC、SC、FC直接相加而来，其中ILDC指的是利息、租赁与股息组成部分（Interest，Leases and Dividend Component），SC指的是服务组成部分（Service Component），FC指的是财务组成部分（financial componen)。计算公式如下：

ILDC=min{(利息收入-利息支出），2.25%×生息资产}+红利收入

SC=max{其他营业收入，其他营业支出}+max{手续费收入,手续费支出}

FC=交易账户净损益+银行账户净损益

同时，上述涉及的利息收入、利息支出等各指标均采取商业银行最近三年的平均值。

操作风险计量资本需求模型中的ILM为内部损失乘数Internal Loss Multiplier，是BIC和LC（损失组成部分Loss Component）的函数。其中损失组成部分（Loss Component）等于过去十年每年操作风险损失数额总量平均数的15倍。如果商业银行未获取过去十年的数据，可以使用过去五年的数据，而如果未获取过去五年的数据，也可直接以BIC（Business Indicator Component）为准。

由此我们可以得出：

图4 操作风险计量资本需求模型

五、商业银行外包风险的主要表现形式

（一）制度性安排缺失或业务调整不及时，潜藏战略风险

商业银行应根据自身业务发展情况，制定业务外包战略发展总体规划。同时，对于上年度业务外包实际情况进行后评价，调整和制定新年度业务外包计划。而实际操作中，有些银行业金融机构创新外包内容，将涉及客户信息数据交换、云服务等科技类项目进行外包，或者未采取有力措施对外包合作机构的网络安全或科技风险进行适时管控，导致被监管行政处罚。如，2020年9月贵州某商业银行由于网络安全和科技外包风险管控不力被贵州某银保监局行政处罚罚款40万元。同时，还有些商业银行外包业务调整不及时，分支机构对于一些业务量极少或已经过时的业务仍进行外包，以此套取外包费用或利用原有外包名义形成新的业务外包。

（二）合同管理有名无实、流于形式，造成法律风险

我国《民法典》的正式施行，为订立商业合同的双方提供了最新的法律依据。商业银行应该根据《民法典》的最新规定，对已签订的业务外包合同进行重新检视。在实际情况中，有的银行与外包合作机构签订的业务外包合同对于外包人员资质、双方权利义务、保密、连续性安排等条款未做约定或约定过于简单，合同执行环节有名无实、对于外包质量的考评流于形式，名为外包实为劳务派遣。一旦外包人员发生工伤、疾病、待遇等纠纷，商业银行往往被动应对、赔偿了事。如，查询中国裁判文书网，2020年5月，因某国有大型商业银行一分行在与某外包公司合同到期未续期情况下，继续留用外包人员王某从事原岗位，经过一次仲裁、两次一审均认定王某与该分行形成事实劳动关系，名为外包实为劳务派遣；在人员紧缺的情况下，该行为提高效益从员工个人收入中拿出一部分钱，让派遣人员承担超出派遣范围的大堂引领、基金推销等工作，王某对超期留用的劳动报酬不服导致二次上诉并申请再审，内蒙古某法院民事裁定书指定二审后再审本案。

（三）商业银行及外包合作机构流程管控不力，隐匿操作风险

一方面有些商业银行内部控制不完善，存在违规采购、合同管理不到位、项目后评价流于形式等问题；另一方面外包合作机构属地化性质较高、信用资质难以评价，存在资质不够、信息科技系统待完善、管理相对粗放、人员素质参差不齐等问题。如，2018年3月，上海银保监局对某外资银行（中国）有限公司就外包管理事项进行了行政处罚，该银行于2015年至2017年网站外包管理失效，2017年9月，该行网站发生非法入侵等风险事件。

（四）外包人员利用职务便利牟利或泄密，形成声誉风险

2021年11月，为了保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用，《中华人民共和国个人信息保护法》开始实施。而商业银行作为信用中介的性质，外包人员得以利用职务便利，接触大量的企业和个人客户，其中不仅涉及了银行的商业秘密，也涉及了大量的客户个人信息。近年来，有些商业银行对员工和外包人员疏于管理，导致外包人员利用在银行接触大量客户的工作便利，办理各种资金业务、充当资金掮客；或外包人员通过与银行内部工作人员内外勾结，泄露客户个人信息，谋取私利……种种案例屡见不鲜。如，根据2020年10月湖南某地人民法院公布的刑事判决书显示：2015年12月至2016年3月期间，某国有大型商业银行一分行外包人员利用职务便利，通过盗用管理人员操作码，查询外地个人信用报告3678笔，并将客人客户信息以10元/份的价格以WORD文档的形式通过QQ邮箱倒卖给贷款公司，非法获利3万余元，由此被法院一审判处侵犯公民个人信息罪，有期徒刑三年、缓刑三年。

六、商业银行外包风险防控建议

（一）以系统观念为指导，强化制度性安排

一是商业银行要严格落实外部监管要求，以系统观念为指导，建立全面的外包风险管理体系，以指导外包业务及与合作机构的关系。要制定审慎稳健的外包战略发展规划和年度发展计划，经本机构董事会或者高级管理层审核同意，并持续有效实施。二是商业银行要根据本机构外包的发展变化情况，对于外包、特别是新形式和新内容的业务外包做出制度性安排和系统性指导，并根据业务发展变化适时动态评估调整，特别是要按监管要求对于核心业务或业务的核心部分不得外包，夯实商业银行业务外包的制度基础。三是商业银行应当建立科学合理的业务绩效考核指标体系和薪酬支付机制。业务合规经营类指标和风险管理类指标权重应当明显高于其他类指标，从绩效考核层面促进分支机构在外包业务经营、内部控制、合作机构管理、风险防控等方面提高管理水平。

（二）以法规制度为依据，健全履约及评价机制

一是商业银行要系统深入开展对相关法律法规及监管制度的学习，按照法规要求签订书面业务外包合同协议。书面合同是重要的管理手段，恰当的合同条款能降低违约风险或减少在业务范围、特性及服务质量方面的分歧。二是外包合同协议的特征及细节应该与外包业务的重要程度相一致。合同的关键条款应包括：商业银行确保能够从合作机构处获得有关外包业务的账簿、记录及信息；要能对合作机构进行持续的监控，以便能及时采取整改措施；要对外包安排的特殊重要问题如业务连续性安排、保密等事项做针对性说明等重要约定。三是对照外包服务协议，合理确定外包岗位，严格限定外包人员服务范围，严禁将服务内容以外事项，特别是涉及国家秘密、商业秘密和客户敏感信息的工作事项交由外包人员承担。四是切实健全对外包合作机构外包质量的考评机制，对于不符合要求或存在风险隐患的人员或环节，及时整改处理。

（三）以风险防控为目标，实施全流程管理

一是完善商业银行内部控制体系，落实“前台业务部门、中台风险管理部门、后台内控审计部门”的部门相互制约职能，以风险防控为目标，实施业务外包全流程风险管理。二是在外包合作机构管理方面，搭建信用评价体系平台提高合作机构信用信息透明度。探索在商业银行内部建立非单一来源的业务外包合作机构的信用评价体系，尝试设立白名单或黑名单合作机构动态管理机制，为各级机构选择资质优良、内控健全、管理规范的外包合作机构开展外包提供帮助。三是商业银行也可委托外部合格第三方审计机构对已合作外包合作机构进行定期常规审计，督促供应商改善经验管理、提高内控水平。

（四）以合规安全为底线，加大监督检查力度

一是商业银行要高度重视自身员工管理，定期对员工与重点岗位外包人员异常资金线索进行排查。同时，对于涉及员工与外包人员内外勾结的违法违规线索重点核实、严肃处理，提高员工及外包人员的合规安全意识。二是结合外包业务特点，建立健全对外包人员的前期背景调查和日常监测机制。要增强对外包合作机构外派至商业银行的驻场外包人员背景调查，防止“带病上岗”；还要常态化开展对外包人员服务范围、服务质量审核等日常管理工作。通过加大对外包合作机构、服务人员的前期背景调查和常态化监督检查力度，防范外包人员利用商业银行营业场所谋取利益，共同筑牢商业银行合规安全底线。