银行业金融机构IT外包集中度风险研究及审计对策
◆ 王东 刘强 徐尚悦
银行业金融机构为了增强自身核心竞争力,应对复杂的国际金融环境、稳定国内的金融秩序同时面对同行业的竞争,需要专注于自身金融核心业务的创新和发展,因此部分银行业金融机构选择了将自身的IT技术领域部分或者全部外包给IT外包公司,利用其IT技术领域的专长,作为自身运营、创新、发展的科技支撑。
经过多年的实践证明,IT外包公司的引入,对银行业金融机构的发展起到了积极的作用:一是降低了银行在IT建设上投入的综合运营成本,包括硬件成本、软件成本、系
一、IT外包集中度风险分析研究
银行业金融机构对IT外包商的引入,对推动自身发展起到的积极作用是显而易见的。然而,凡事都有
两面性,尤其是在“金融无小事”的银行业金融机构,要多角度看待同一个问题,随着银行业金融机构对IT外包依赖的程度不断增高和IT外包范围的不断扩大,IT外包给银行正常运营和发展带来的风险也越来越多,风险表现的形式也越来越复杂多样,尤其以IT外包集中度风险最具代表性、风险系数最高、风险影响最大。
此外,银监会《银行业金融机构
关系,有具有法律效力的合同或协议等约定的战略伙伴、合作伙伴、协作伙伴等。二是纵向关系,向上从股权来源上,控股股东或上级主办单位是单位或企业法人的(具备独立法人资格);向下从投资股权运作上,对其投资或主办的子企业(具备独立法人资格)股权比例大于等于51%,形成控股的。当然,这种关系可据此继续上钻和下钻。
对IT外包商集团进行定义时,通常着重参考其纵向关系,并且对这种关系的参考层次暂且定为三个层次,即以IT外包商集团为基准层面,以股权构成为主线的上游股东层面,以投资股权为主线的下游子公司层面,暂不考虑或根据需要的情况下再行据此关系为基础上的继续上钻和下钻。
2.银行业金融机构IT外包集中度:是指单一IT外包商或IT外包商集团,正在提供的或者已签订合同准备提供的全部IT服务项目规模总和(合同金额之和)占银行业金融机构所有IT外包项目规模总和(已外包出的签订合同的金额总和)的比重。
目前尚无业界标准和相关的法律
法规提供和界定这种集中度的阈值。
3.银行业金融机构IT外包集中
统演进及更新成本、人才投入成本、外包风险管理指引》中也明确银行
时间成本等。二是可使银行专注于应关注外包服务的集中度,对外包创新、发展其金融领域的核心竞争活动涉及多个外包商时,应对这些力,避免在IT方面投入过多的精力。外包商进行关联关系的调查。金融的创新、发展是核心,技术实现
(一)解析定义是手段,并且可利用IT外包公司间技术实力、服务水平的竞争机制,从侧面推动自身的发展,提高自身的运行效率。三是使银行在运营、创新、发展的同时获得了专业的技术支持,IT外包公司以其IT技术领域的专长,善于应用前卫的科技战略理念和转化的科技成果,并将其应用到为银行提供的服务中,为银行提供专业的技术支撑。
1.IT外包商集团:是指由几个或多个存在关联关系的IT外包商构成的IT外包商群体组织。这里的集团可以是经过法律核准的、登记注册的独立的法人组织,也可以是由银行业金融机构从管理上依据多个IT外包商之间特定关系或联系而定义的法人群体。IT外包商之间特定关系或联系可分为两种:一是横向
国内部审计中
.
度风险:是指由于IT外包集中度过高或者过低引发的一系列风险,大多数情况下,是由于IT外包集中度过高而引发的风险。本文重点研究银行业金融机构IT外包集中度过高带来的风险及应对策略。
当银行业金融机构IT外包集中
限公司的股东以其认购的股份为限对公司承担责任。”由此可见,IT外包商在和银行开展商业合作活动的同时,对银行承担的法律责任仅是其公司财产金额而不是其股东拥有的全部资产金额。当IT外包集中度过高,外包商与银行签订合同所提
分金融业务需求的技术实现过程被外包公司需求业务解析能力和投入的IT技术成本所影响。三是银行业金融产品创新理念对IT技术的应用实践被外包公司IT提供的技术细节所影响。四是IT外包公司自身技术实施过程屈从于其商务成本运作,从而影响合同执行的细节和产品质量。五是银行为保证其正常运营在管理控制风险上的成本投入也将无限制的增加。比如,曾经知名的IT企业东南融通公司因其自身经营原因在2011年5月出现问题到8月解体,只用了短短3个月时间,留给为其提供服务的国内各金融机构应急处理时间也只有短短几个月。各金融机构不得不花费更大的成本和精力选择、引进、协调其他IT外包商完成东南融通遗留下来的新签、正在实施和其他运维项目。东南融通的解体给各金融机构造成的实际损失和负面影响是不可估量的。
3.累积及衍生风险。当银行业金融机构的IT外包集中度过高时,
(金额)大度过低,IT外包厂商分布相对零散,供外包服务的项目总规模
银行业金融机构用于管理上的成本于其公司财产金额时,将存在巨大投入就越多,且由于各IT外包商之间的技术能力和内部控制水平参差不齐、企业文化差异较大,这些均会带来许多不确定性,从而给IT知识产权积累及迭代、系统的演进及升级等造成很大的风险。当银行业金融机构IT外包集中度过高,银行对单一IT外包商或IT外包商集团依赖的程度就过高,所累积的IT外包风险和衍生的其他金融风险发生的概率就过高,风险表象形式就愈加复杂多样,产生的负面影响就随之增大,银行业金融机构规避、降低、控制风险的成本投入也随之增加。(二)银行业金融机构IT外包集中度风险主要表象
1.法律责任风险。目前,针对
的法律责任风险。如果由于外包商的自身经营原因、市场运作原因或其他不可预见的原因致其经营不善或资不抵债导致歇业、破产,或其所提供的服务质量未满足合同约定的要求,银行所受到的损失是无法依照法律得到完全补偿的,负面影响也是巨大的。
目前仅能从IT外包商自身提供的财务报表、委托第三方具有法定资质的会计师事务所出具的财务报表或参考IT外包商营业执照载明的注册资本获得其财产金额数据。
2.管理控制风险。在银行业金融机构与IT外包商间的合作实际运
作过程中,当IT外包集中度过高时,原归集在单个IT外包商的提供单个就会产生IT外包商对银行IT业务的IT外包服务项目上的单属性可控风垄断,这种垄断一旦形成,将打破以
险,如知识产权风险、IT服务人员流动风险、数据及信息风险、合同执行及实施风险、产品及服务质量风险、元数据遗失风险等随着IT外包集中度的过高将在多个IT服务项目中彼此相互交错、相互影响、相互作用,从而形成多属性的累积风险或衍生出其他不可预见的风险,这也将使银行针对原有风险可控的风险管理控制措施和手段在这种累积风险和衍生风险前变得部分或者全部不能适用。因此,银行业金融机构不得不被动地加大面对累积风险或衍生风险管理控制上的成本投入,以降低
IT外包商的选择、管理和风险控制,提供服务为本位的IT外包商与以享
国内的法律法规和业界规章制度尚有服务为本位的银行业金融机构间无直接明确的条文可供依据和借鉴,的平衡,将使银行与IT外包商间的
协作、运作在没有平衡制约的仅从IT外包商的法人资格和商业活对话、动上有《公司法》、《合同法》作为依据,但在实际运作过程中,IT外包商的法律责任存在一些漏洞。比如,当前国内大多数IT外包商的组织形式
条件下进行,从而引发一系列的银行管理控制风险,这种对风险的管理控制也将从主动实施变为被动应付。这种风险在银行的实际运作过
是有限责任公司和股份有限公司,程中主要表现在以下细节:一是银
并且依据《公司法》设立。“公司以行的金融业务发展和计划对IT技术其全部财产对公司的债务承担责任。的应用要求被IT外包公司经营战
IT技术实力、股权结构变更和实有限责任公司的股东以其认缴的出略、资额为限对公司承担责任;股份有
际经营状况所影响。二是银行业部
.8中国内部审计
59
此种风险可能带来的影响。
根据事实列举以上IT外包风险尤其是IT外包集中度风险对银行业金融机构的运营带来的许多巨大风险和潜在影响,主旨并不是要取消银行的IT外包,而是要在银行IT外
部门应对IT外包商的合法依据、从业资质进行严格审查,包括:营业执从业资质等法定营业证照载明信息的合法性、有效性、明确性、一致性等,并进行备案登记管理,尤其重点
一类项目总规模或跨类别转换项目规模时,具有参考意义。(3)IT外包业金融机构采购管理部门与IT外包
管理部门参考承受者的经营状况、企业财报、技术能力、技术方向、同业评价、注册资本等要素,并充分考虑内部审计部门的审计意见和建议,规模或者针对某一类IT外包服务项目规模,授予的项目规模中包含拟签合同额、新签合同额、已实施项目
照、组织机构代码证、税务登记证、服务项目规模(金额)的授予。银行
包集中度风险变得可规避、可降低、关注IT外包商的组织形式、注册资
可控制为前提和背景下,在银行业本、注册地址、法定代表人、营业期金融机构与IT外包商之间建立一种服务享有者和服务提供者的本位平达到双方共同发展共赢的目的。
IT工作人员等关键信息,发生任何衡,从而规避和降低银行运营风险,变更后的结果及证照年度检验后的
结果,都应将变更内容、年度检验结
限、经营范围、股权构成、投资股权、授予承受者主体IT外包服务项目总
二、IT外包集中度风险的审计对策
稳步管理、妥善控制、全面审计”四个层面上入手解决。“严格准入、全面审计”是管控手段,着重在于提示
果备案登记。内部审计部门结合IT合同额等。(4)IT外包服务项目规模
外包商的经营状况、企业财报、技术(金额)的授予具有两个特点。一是
IT外包服务项目规模额度授予及使用原则:对单一IT外包商授予的各
子类项目规模之和不得大于对其授予的项目总规模,对其授予的项目总规模不得大于其财产总额。项目规模授予后,所有项目合同签订额之和(包含在合同执行完毕前,已实施项目)不得大于承受者项目总规模,更不得大于其财产总额;对IT外包商集团的各子类项目规模之和不得大于对其授予的项目总规模,对其授予的项目总规模不得大于归属其范畴内的各独立法人财产总额之和,IT外包商集团范畴内的各独立法人分别使用项目规模之和不得大于对IT外包商集团授予的项目总规模。二是IT外包服务项目规模额度调整及转换原则:IT外包服务项目规模可根据实际运营情况,适时适度调整。银行业金融机构采购管理部门与IT外包管理部门可根据承受者的经营状况、市场状况、注册资本变更、股权构成变更、投资股权变更、IT服务质量、交付物质量等因服务项目规模额度;IT外包服务项
本、股权构成、投资股权等要素依法或者依照合同规定开展第一方、第二方、第三方审计,依据审计结果给
同业评价、技术方向、注册资简单来说,可以从“严格准入、能力、
和规避风险;“稳步管理、妥善控制”出准入或退出建议。
2.授予IT外包服务项目规模是核心内容,着重在于降低、控制风。授予IT外包服务项目规模险。其中,“全面审计”必须进驻和(金额)是严格准入的核心内容,是贯穿于其他三个层面的每一个环节,(金额)重中之重,由采购管理部门与IT外起到全局监管、审查的重要作用。
包管理部门共同参与。其中,授予
(一)严格准入
严格准入是指银行业金融机构
的采购管理部门与IT外包管理部门依照法律、法规、业界规章制度、业界标准等依据,结合IT外包商的合法依据、从业资质、注册资本、企业
者——银行业金融机构采购管理部门
与IT外包管理部门;承受者——通过选择的单一IT外包商或IT外包商集团。IT外包服务项目规模:特指外包项目可签订的合同金额,包含以下几方面内容:(1)IT外包服务项目规
规模、技术能力、同业评价等因素,模(金额)承受者主体的认定方法且
通过综合评判并授予其相应的IT外承受者必须统一,即单一IT外包商包服务项目规模(金额),严格把好或IT外包商集团。(2)银行业金融选择IT外包商的入口关。严格准入包括两方面内容:一是IT外包商的选择。二是授予IT外包服务项目规模(金额)。其中,授予IT外包服务项目规模(金额)是严格准入的核心内容。
1.IT外包商的选择。采购管理
机构外包项目的分类及权重。银行
业金融机构根据外包项目的重要程度和紧迫程度进行分类,定义相应的权重数值,并根据拟定的预算项目规模,结合项目类别和权重得出项目分类和权重对于授予承受者某
此类项目总规模或全部项目总规模。素,向上或向下调整授予的IT外包
国内部审计中
.
目规模可根据实际运营情况、IT外内部审计部门也必须介入和贯穿其包商自身发展及银行需求的需要,中,包括IT外包人员审计、IT外包可跨项目类别转换。对于首次进行
安全审计、管理控制流程审计、项目
据可以共享、参考,评价结果的准确性、权威性受到一定影响,全局上还
需要金融监管部门协调同业银行业
跨项目类别提供服务的IT外包商,实施流程审计、合同执行情况审计、金融机构将IT外包商数据共享、交银行业金融机构采购管理部门与IT项目规模授予后的落地执行情况审流,才能使评价结果的准确性、权威外包管理部门可根据其原有项目类别的项目规模及类别权重与其首次所跨项目类别权重进行综合换算评定,给出首次所跨项目类别的项目规模额度;IT外包服务项目规模可根据实际运营情况循环使用。项目合同执行完毕后,银行业金融机构采购管理部门与IT外包管理部门可根据承受者合同执行情况、IT服务质量、交付物质量,将此合同签订占用的项目规模回归到承受者的项目总规模中。
(二)稳步管理及妥善控制稳步管理及妥善控制是应对IT外包集中度风险的核心内容,着重在于降低、控制风险。它是指逐步将IT外包集中度风险单元化、模块化细分为单属性可控的风险点,并针对其风险特点加强并深化管理,制定应对措施和完善控制手段。妥善控制是在稳步管理基础上的补充,都是要降低、控制风险影响,如知识产权管理、IT服务人员管理、数据及信息管理、合同执行及实施管理、产品及服务质量管理、元数据管理、应急预案准备情况、灾备情况、运维情况、后备服务商等,最大限度上消除和降低由于IT外包集中度的过高将在多个IT服务项目中彼此相互交错、相互影响、相互作用形成的多属性的累积风险或衍生出其他不可预见的风险,降低银行业金融机构的成本投入。
在稳步管理及妥善控制实施中,
计、承受者提供服务期间的法定证照合法性、企业变更、年度检验情况审计等,起到全局监管、审查的重要作用。
在众多应对IT外包集中度风险的策略中,对单一IT外包商或IT外包商集团授予IT外包服务项目规模
性得到提升,为众多同业银行业金
融机构规避、降低、控制IT外包集中度风险作出应有的贡献。
为了规避、降低、控制IT外包集中度风险和其他风险,银行业金融机构还需加大内部审计力量投入,
使内部审计部门成为防范风险的
是最核心的内容,是从源头上规避IT外包集中度风险最有效的方法。[作者单位:北京京北方信息技术有限公司、国家开发银行、安永是某个银行依据为其自身服务IT外(中国)企业咨询有限公司北京分公司,包商数据而得出的评价结果,目前邮政编码:100089,电子邮箱:尚无银行同业机构间的IT外包商数
wangdongf@cdb.com.cn]
但这种方法存在一定局限性,这只
.8中国内部审计
61
,请把【付款记录详情】截图给客服,同时把您购买的文章【网址】发给客服。客服会在24小时内把文档发送给您。
