基于全面風(fēng)險(xiǎn)管理理論淺議商業(yè)銀行外包風(fēng)險(xiǎn)防控

□ 馬寧

近年來，商業(yè)銀行新業(yè)務(wù)層出不窮、與核心業(yè)務(wù)邊界不清，外包的形式和內(nèi)容也隨之調(diào)整，監(jiān)管部門務(wù)外包的關(guān)注度也大大提高。商業(yè)銀行外包活動(dòng)任何一個(gè)小事件都可能引起聲譽(yù)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)防控需要引起重視。由于外部監(jiān)管及自身風(fēng)險(xiǎn)防控需要，全面風(fēng)險(xiǎn)管理理論在現(xiàn)代金融機(jī)構(gòu)中被廣泛運(yùn)用，各商業(yè)銀行均需建立符合監(jiān)管要求及自身業(yè)務(wù)發(fā)展情況的全面風(fēng)險(xiǎn)管理體系。外包作為商業(yè)銀行業(yè)務(wù)發(fā)展的一部分，也應(yīng)納入商業(yè)銀行全風(fēng)險(xiǎn)管理體系，采取有效防控措施對(duì)外包風(fēng)險(xiǎn)進(jìn)行有效識(shí)別和持續(xù)管理。

一、基于全面風(fēng)險(xiǎn)管理理論研究商業(yè)銀行外包風(fēng)險(xiǎn)防控的必要性

（一）外部監(jiān)管要求

2010年以來，我國(guó)監(jiān)管部門針對(duì)銀行業(yè)金融機(jī)構(gòu)的外包風(fēng)險(xiǎn)制定了《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》、《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引》、《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》等多個(gè)制度辦法。各制度辦法均要求：商業(yè)銀行應(yīng)當(dāng)確定與自身風(fēng)險(xiǎn)管理水平相適應(yīng)的外包活動(dòng)范圍，制定外包的風(fēng)險(xiǎn)管理框架以及相關(guān)制度；并將其納入全面風(fēng)險(xiǎn)管理體系，采取定性定量相結(jié)合的方法，關(guān)注并識(shí)別、計(jì)量、評(píng)估、監(jiān)測(cè)、報(bào)告等外包各風(fēng)險(xiǎn)類型和風(fēng)險(xiǎn)因素，并通過制度性安排、合理的內(nèi)控程序、恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理措施，促進(jìn)業(yè)務(wù)的健康穩(wěn)健經(jīng)營(yíng)。

（二）商業(yè)銀行自身風(fēng)險(xiǎn)防控需要

2015年10月，銀監(jiān)會(huì)發(fā)布了《關(guān)于近期信息科技外包風(fēng)險(xiǎn)事件的監(jiān)管通報(bào)》（銀監(jiān)辦便函〔2015〕1398號(hào)），該文件通報(bào)了兩起科技外包突發(fā)事件，因外包商服務(wù)問題對(duì)部分銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)持續(xù)運(yùn)營(yíng)產(chǎn)生了較大的社會(huì)面影響，引起了商業(yè)銀行的聲譽(yù)風(fēng)險(xiǎn)。如，2015年7月9日，成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司在對(duì)一家銀行省分行的加密機(jī)版本升級(jí)過程中，現(xiàn)場(chǎng)維護(hù)人員在生產(chǎn)機(jī)上使用了具有高風(fēng)險(xiǎn)特征的后臺(tái)維護(hù)密鑰導(dǎo)出工具軟件，對(duì)生產(chǎn)設(shè)備實(shí)施密鑰導(dǎo)出。但該工具軟件版本錯(cuò)誤，導(dǎo)致加密機(jī)生產(chǎn)密鑰被銷毀。維護(hù)人員發(fā)現(xiàn)從主加密機(jī)導(dǎo)出主密鑰不正確后，繼續(xù)對(duì)備份加密機(jī)實(shí)施密鑰導(dǎo)出錯(cuò)誤操作，造成主備兩臺(tái)生產(chǎn)加密機(jī)密鑰全部銷毀，直接導(dǎo)致該分行全省自助渠道業(yè)務(wù)中斷，三萬多臺(tái)自助終端無法提供服務(wù)，最長(zhǎng)時(shí)間超20小時(shí)。

同時(shí)，筆者在銀保監(jiān)會(huì)網(wǎng)站以“外包”為關(guān)鍵字搜索各級(jí)銀保監(jiān)部門出具的行政處罰達(dá)45份，其中涉及銀行機(jī)構(gòu)的行政處罰信息16份；包含“勞務(wù)派遣”關(guān)鍵字的行政處罰信息共61份，主要涉及保險(xiǎn)機(jī)構(gòu)；包含“合作機(jī)構(gòu)”為關(guān)鍵字的行政處罰信息共30份，其中涉及銀行機(jī)構(gòu)的有4份。而查詢中國(guó)裁判文書網(wǎng)，涉及“銀行外包”字樣的刑事案件達(dá)17件、民事案件達(dá)63件。

由上述外包引發(fā)的聲譽(yù)風(fēng)險(xiǎn)事件、外部監(jiān)管處罰及法律訴訟方面的案件得知，金融機(jī)構(gòu)特別是商業(yè)銀行在外包風(fēng)險(xiǎn)防控還需要采取更多的措施，以進(jìn)一步提升自身整體風(fēng)險(xiǎn)管理能力。

二、基于全面風(fēng)險(xiǎn)管理理論識(shí)別分析商業(yè)銀行外包主要風(fēng)險(xiǎn)類型

（一）全面風(fēng)險(xiǎn)管理理論簡(jiǎn)述

1.全面風(fēng)險(xiǎn)管理理論的發(fā)展歷程

美國(guó)COSO委員會(huì)于1992年9月正式發(fā)布了《內(nèi)部框架——整合框架》，這份框架此后被納入到了國(guó)家政策和法規(guī)之中。世界各國(guó)數(shù)千家企業(yè)為了提升企業(yè)風(fēng)險(xiǎn)管理水平和核心競(jìng)爭(zhēng)力、實(shí)現(xiàn)業(yè)務(wù)高速發(fā)展，都相繼采用了該框架來指導(dǎo)內(nèi)部控制。澳大利亞和新西蘭于1995年聯(lián)合制訂了AS/NZS 4360，該文件對(duì)風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)程序進(jìn)行了明確的定義，第一個(gè)國(guó)家風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)隨之誕生。2004年9月，COSO又發(fā)布《企業(yè)風(fēng)險(xiǎn)管理——整合框架》，此框架聚焦于企業(yè)全面風(fēng)險(xiǎn)管理領(lǐng)域，拓展了企業(yè)內(nèi)部控制的外延，慢慢被世界各國(guó)企業(yè)廣泛接受，并成為了企業(yè)內(nèi)部風(fēng)險(xiǎn)管理領(lǐng)域的新的標(biāo)準(zhǔn)規(guī)范。

我國(guó)關(guān)于全面風(fēng)險(xiǎn)管理的研究始于上世紀(jì)80年代。2006年6月，國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)（簡(jiǎn)稱“國(guó)資委”）發(fā)布了我國(guó)第一個(gè)全面風(fēng)險(xiǎn)管理的指導(dǎo)性文件《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》。該指引不僅借鑒了發(fā)達(dá)國(guó)家有關(guān)企業(yè)風(fēng)險(xiǎn)管理的法律法規(guī)制度規(guī)定，還參考了國(guó)外先進(jìn)企業(yè)在風(fēng)險(xiǎn)管理方面的主要做法，并綜合考慮了國(guó)內(nèi)有關(guān)企業(yè)內(nèi)部控制建設(shè)方面的規(guī)定，對(duì)我國(guó)央企全面風(fēng)險(xiǎn)管理的原則、流程、組織體系、風(fēng)險(xiǎn)評(píng)估、管理策略、解決方案、監(jiān)督與改進(jìn)等各方面都提出了明確要求，對(duì)于我國(guó)企業(yè)建立健全風(fēng)險(xiǎn)管理機(jī)制，促進(jìn)企業(yè)穩(wěn)步發(fā)展具有非常重要的意義。

2.金融全面風(fēng)險(xiǎn)管理理論簡(jiǎn)述

金融風(fēng)險(xiǎn)管理伴隨著人類社會(huì)經(jīng)濟(jì)和金融活動(dòng)的發(fā)展而發(fā)展。金融風(fēng)險(xiǎn)管理是一個(gè)過程，從金融機(jī)構(gòu)戰(zhàn)略制定一直貫穿到金融機(jī)構(gòu)的各項(xiàng)經(jīng)營(yíng)活動(dòng)中。由于金融風(fēng)險(xiǎn)可以對(duì)經(jīng)濟(jì)，甚至對(duì)國(guó)家安全產(chǎn)生巨大影響，世界各國(guó)政府、監(jiān)管機(jī)構(gòu)、金融機(jī)構(gòu)及企業(yè)都在積極探索金融風(fēng)險(xiǎn)管理的先進(jìn)技術(shù)和措施，以期對(duì)金融風(fēng)險(xiǎn)進(jìn)行有效識(shí)別、準(zhǔn)確計(jì)量和嚴(yán)格控制。隨著金融一體化和全球經(jīng)濟(jì)一體化的發(fā)展，金融業(yè)務(wù)形式層出不窮，金融風(fēng)險(xiǎn)日趨復(fù)雜化和多樣化，金融風(fēng)險(xiǎn)管理的重要性愈加突出。

基于金融風(fēng)險(xiǎn)管理理論的發(fā)展，隨著不同時(shí)期經(jīng)濟(jì)和金融環(huán)境，在金融環(huán)境中風(fēng)險(xiǎn)管理各種理論和管理手段不斷出現(xiàn)。而金融環(huán)境的全面風(fēng)險(xiǎn)管理模式是一種新型的管理模式。它在先進(jìn)的企業(yè)全面風(fēng)險(xiǎn)管理理念基礎(chǔ)上，融入金融行業(yè)的元素，以金融企業(yè)全球風(fēng)險(xiǎn)管理體系、金融全面風(fēng)險(xiǎn)管理范圍和全員的風(fēng)險(xiǎn)管理文化為核心，被全球金融企業(yè)廣泛接受和采用。根據(jù)2004年9月COSO發(fā)布的目前國(guó)際上通行的《企業(yè)風(fēng)險(xiǎn)管理——整合框架》及我國(guó)發(fā)布的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)通過構(gòu)建全面風(fēng)險(xiǎn)管理體系，采用統(tǒng)一的標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別、計(jì)量、評(píng)估、監(jiān)測(cè)、控制和緩釋，使得各業(yè)務(wù)類型風(fēng)險(xiǎn)策略保持相對(duì)一致，從而達(dá)到對(duì)可能會(huì)產(chǎn)生不利或負(fù)面影響的風(fēng)險(xiǎn)或潛在事項(xiàng)進(jìn)行識(shí)別，實(shí)現(xiàn)業(yè)務(wù)穩(wěn)健經(jīng)營(yíng)的目的。

（二）基于全面風(fēng)險(xiǎn)管理理論有效識(shí)別商業(yè)銀行外包主要風(fēng)險(xiǎn)類型

基于全面風(fēng)險(xiǎn)管理理論，商業(yè)銀行應(yīng)當(dāng)建立全面風(fēng)險(xiǎn)管理體系,應(yīng)當(dāng)關(guān)注外包活動(dòng)的戰(zhàn)略風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、國(guó)別風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)等風(fēng)險(xiǎn)。由于國(guó)別風(fēng)險(xiǎn)主要涉及商業(yè)銀行境外分支機(jī)構(gòu)外包活動(dòng)、操作風(fēng)險(xiǎn)與合規(guī)風(fēng)險(xiǎn)關(guān)系較為密切，本文主要從戰(zhàn)略風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)等四種風(fēng)險(xiǎn)類型開展分析研究。

1.外包戰(zhàn)略風(fēng)險(xiǎn)的主要內(nèi)容

商業(yè)銀行基于自身的戰(zhàn)略發(fā)展規(guī)劃，根據(jù)各項(xiàng)業(yè)務(wù)發(fā)展的趨勢(shì)，區(qū)分核心業(yè)務(wù)和非核心業(yè)務(wù)、業(yè)務(wù)的核心環(huán)節(jié)和非核心環(huán)節(jié)。根據(jù)監(jiān)管要求，核心業(yè)務(wù)或業(yè)務(wù)的核心環(huán)節(jié)不得以外包形式開展。對(duì)于非核心業(yè)務(wù)或業(yè)務(wù)非核心環(huán)節(jié)，商業(yè)銀行應(yīng)制定適當(dāng)?shù)耐獍鼞?zhàn)略發(fā)展規(guī)劃、風(fēng)險(xiǎn)管理政策、管理流程和內(nèi)控制度，明確外包業(yè)務(wù)范圍和相對(duì)安排，定期安排內(nèi)部審計(jì)進(jìn)行有效監(jiān)督。

2.外包法律風(fēng)險(xiǎn)的主要內(nèi)容

2021年1月1日，《中華人民共和國(guó)民法典》正式實(shí)施。該法律對(duì)物權(quán)、合同、人格權(quán)、侵權(quán)責(zé)任等各項(xiàng)進(jìn)行了明確規(guī)定，是我國(guó)市場(chǎng)經(jīng)濟(jì)的基本法。同時(shí)，銀保監(jiān)會(huì)也制定并施行了《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》、《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》等一系列規(guī)章制度，規(guī)范金融機(jī)構(gòu)外包業(yè)務(wù)管理。商業(yè)銀行在開展外包活動(dòng)時(shí)，應(yīng)根據(jù)國(guó)家法律法規(guī)和監(jiān)管部門有關(guān)制度規(guī)定，簽訂書面合同或協(xié)議,明確雙方的權(quán)利義務(wù)。特別要包括外包服務(wù)的范圍標(biāo)準(zhǔn)、保密性、安全性、業(yè)務(wù)連續(xù)性、服務(wù)的考核評(píng)價(jià)等內(nèi)容，明確爭(zhēng)端解決機(jī)制及違約責(zé)任，防范法律風(fēng)險(xiǎn)。

3.外包操作風(fēng)險(xiǎn)的主要內(nèi)容

商業(yè)銀行在將業(yè)務(wù)外包的過程中，由于外包合作機(jī)構(gòu)的內(nèi)部控制流程有問題、外包員工管理不到位、外包信息科技系統(tǒng)不完善，商業(yè)銀行對(duì)以上各方面管理監(jiān)督不力給自身帶來的風(fēng)險(xiǎn)，都可以認(rèn)為是商業(yè)銀行外包業(yè)務(wù)的操作風(fēng)險(xiǎn)。由于每個(gè)商業(yè)銀行經(jīng)營(yíng)理念、組織架構(gòu)、操作流程、企業(yè)文化等存在較大的差異，與其它幾種風(fēng)險(xiǎn)相比，不同的商業(yè)銀行的外包操作風(fēng)險(xiǎn)因素有著較大的差異，需要結(jié)合各商業(yè)銀行的具體情況進(jìn)行分析研判。

4.外包聲譽(yù)風(fēng)險(xiǎn)的主要內(nèi)容

聲譽(yù)風(fēng)險(xiǎn)事關(guān)商業(yè)銀行的方方面面，由商業(yè)銀行外包管理、外包合作機(jī)構(gòu)的經(jīng)營(yíng)管理及其他行為或外部事件導(dǎo)致利益相關(guān)方對(duì)商業(yè)銀行負(fù)面評(píng)價(jià)的風(fēng)險(xiǎn)，都可以認(rèn)為是由外包帶來的聲譽(yù)風(fēng)險(xiǎn)。本文前述筆者查詢中國(guó)銀保監(jiān)會(huì)網(wǎng)站，各級(jí)銀保監(jiān)局對(duì)金融機(jī)構(gòu)包含“外包”字樣的行政處罰信息共34條、包含“勞務(wù)派遣”字樣的行政處罰信息供61條。而查詢中國(guó)裁判文書網(wǎng)，涉及“銀行外包”字樣的刑事案件達(dá)17件、民事案件達(dá)63件。由此可見，由于業(yè)務(wù)外包或外包人員風(fēng)險(xiǎn)控制不到位，給商業(yè)銀行等金融機(jī)構(gòu)帶來了巨大的聲譽(yù)風(fēng)險(xiǎn)。

三、外包風(fēng)險(xiǎn)對(duì)商業(yè)銀行整體風(fēng)險(xiǎn)的傳導(dǎo)機(jī)制

基于上述全面風(fēng)險(xiǎn)管理理論，對(duì)商業(yè)銀行外包主要風(fēng)險(xiǎn)類型進(jìn)行識(shí)別分析，筆者嘗試從銀行外包戰(zhàn)略風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)等各類型風(fēng)險(xiǎn)因素來分析外包風(fēng)險(xiǎn)對(duì)商業(yè)銀行整體風(fēng)險(xiǎn)的傳導(dǎo)機(jī)制（如圖1）。

圖1 外包風(fēng)險(xiǎn)對(duì)商業(yè)銀行整體風(fēng)險(xiǎn)的傳導(dǎo)機(jī)制圖

外包業(yè)務(wù)存在多種風(fēng)險(xiǎn)因素，如制度性因素、體制性因素、法規(guī)性因素、系統(tǒng)性因素、人員性因素等。商業(yè)銀行將業(yè)務(wù)外包給合作機(jī)構(gòu)的過程中，各類型風(fēng)險(xiǎn)因素交織。如果在外包活動(dòng)中內(nèi)部控制任一環(huán)節(jié)沒有到位，將最終發(fā)展成為影響商業(yè)銀行整體風(fēng)險(xiǎn)的戰(zhàn)略風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、國(guó)別風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)等各風(fēng)險(xiǎn)類型。與此同時(shí)，在各風(fēng)險(xiǎn)要素逐漸演變?yōu)楦黝愶L(fēng)險(xiǎn)時(shí)，如果商業(yè)銀行建立了外包風(fēng)險(xiǎn)的預(yù)警機(jī)制、應(yīng)急管理機(jī)制、溝通與協(xié)調(diào)機(jī)制，配合整體的風(fēng)險(xiǎn)處置措施，將會(huì)避免或減少對(duì)商業(yè)銀行整體聲譽(yù)及業(yè)務(wù)經(jīng)營(yíng)產(chǎn)生的不利影響。

四、外包主要風(fēng)險(xiǎn)計(jì)量方法

結(jié)合全面風(fēng)險(xiǎn)管理理論，縱觀商業(yè)銀行主要風(fēng)險(xiǎn)計(jì)量方法，目前各國(guó)商業(yè)銀行主要采用的是《巴塞爾協(xié)議》中推薦采用的風(fēng)險(xiǎn)計(jì)量方法。《巴塞爾協(xié)議》是巴塞爾銀行監(jiān)管委員會(huì)指定的在全球范圍內(nèi)主要的銀行資本和風(fēng)險(xiǎn)監(jiān)管標(biāo)準(zhǔn)。1988年，巴塞爾銀行監(jiān)管委員會(huì)發(fā)布了俗稱《巴塞爾協(xié)議Ⅰ》的《統(tǒng)一資本計(jì)量和資本標(biāo)準(zhǔn)的國(guó)際協(xié)議》；1997年再次發(fā)布了《統(tǒng)一資本計(jì)量和資本標(biāo)準(zhǔn)的國(guó)際協(xié)議：修訂框架》（俗稱巴塞爾協(xié)議Ⅱ）；2017年12月發(fā)布了《巴塞爾協(xié)議Ⅲ：后危機(jī)時(shí)代監(jiān)管改革最終版》。由于疫情等因素，原計(jì)劃于2022年1月開始逐步實(shí)施的《巴塞爾協(xié)議Ⅲ》推遲，目前國(guó)際上各商業(yè)銀行執(zhí)行的仍是《巴塞爾協(xié)議Ⅱ》。《巴塞爾協(xié)議Ⅱ》中主要包含了商業(yè)銀行的信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)三大風(fēng)險(xiǎn)計(jì)量方法。由外包風(fēng)險(xiǎn)對(duì)商業(yè)銀行整體風(fēng)險(xiǎn)的傳導(dǎo)機(jī)制可知，外包基本不涉及商業(yè)銀行的信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)，本文主要對(duì)外包涉及的操作風(fēng)險(xiǎn)計(jì)量方法進(jìn)行探討。

（一）《巴塞爾協(xié)議》推薦的操作風(fēng)險(xiǎn)計(jì)量方法

在《巴塞爾協(xié)議Ⅱ》框架下，商業(yè)銀行可以使用三種方法來計(jì)量操作風(fēng)險(xiǎn)的資本需求，分別是基本指標(biāo)法（Basic Indicator Approach）、標(biāo)準(zhǔn)法（the Standardised Approach）與高級(jí)計(jì)量法（Advanced Measurement Approach ）。其中，《巴塞爾協(xié)議Ⅱ》要求使用基本指標(biāo)法的商業(yè)銀行采用過去三年的平均總收入為標(biāo)準(zhǔn), 乘以15%來確定操作風(fēng)險(xiǎn)所需要的資本準(zhǔn)備。該方法簡(jiǎn)單易行，但是指標(biāo)過于簡(jiǎn)單而無法反映復(fù)雜的操作風(fēng)險(xiǎn)狀況，實(shí)際上并不能鼓勵(lì)銀行改善操作風(fēng)險(xiǎn)管理水平。同時(shí)，采用高級(jí)計(jì)量法對(duì)于商業(yè)銀行操作風(fēng)險(xiǎn)內(nèi)部損失報(bào)告制度和損失數(shù)據(jù)庫要求較高,且需要商業(yè)銀行配備掌握操作風(fēng)險(xiǎn)計(jì)量方法的專家隊(duì)伍等，因此目前我國(guó)商業(yè)銀行多采用標(biāo)準(zhǔn)法計(jì)量操作風(fēng)險(xiǎn)。

2017年發(fā)布并即將開始實(shí)施的《巴塞爾協(xié)議Ⅲ》中，簡(jiǎn)化了操作風(fēng)險(xiǎn)框架，將原有三種計(jì)量方法全部刪除，要求未來全部采用新標(biāo)準(zhǔn)計(jì)量法（Risksensitive Standardised Approach）實(shí)現(xiàn)對(duì)操作風(fēng)險(xiǎn)的計(jì)量。該方法以商業(yè)銀行業(yè)務(wù)規(guī)模為基礎(chǔ)，并利用內(nèi)部損失數(shù)據(jù)進(jìn)行對(duì)業(yè)務(wù)調(diào)整。由于各商業(yè)銀行外包業(yè)務(wù)有所不同，較難直接橫向比較，本文嘗試采用依據(jù)商業(yè)銀行內(nèi)部數(shù)據(jù)的新標(biāo)準(zhǔn)計(jì)量法對(duì)外包導(dǎo)致的操作風(fēng)險(xiǎn)進(jìn)行計(jì)量。

（二）商業(yè)銀行外包操作風(fēng)險(xiǎn)新標(biāo)準(zhǔn)計(jì)量模型

新標(biāo)準(zhǔn)計(jì)量法的前提假設(shè)有兩個(gè)：一是操作風(fēng)險(xiǎn)與商業(yè)銀行的收入正相關(guān)，二是歷史上經(jīng)歷過較大操作風(fēng)險(xiǎn)損失的商業(yè)銀行未來還可能遭受一定的操作風(fēng)險(xiǎn)損失。操作風(fēng)險(xiǎn)計(jì)量資本需求模型如下：

Operational Risk Capital = BIC×ILM

其中，BIC為Business Indicator Component，以依據(jù)于財(cái)務(wù)報(bào)表的BI指數(shù)（Business Indicator）為基礎(chǔ)算出(商業(yè)銀行級(jí)別的分類與BIC的計(jì)算通過下述來完成，其中數(shù)額單位均為十億歐元)；ILM為Internal Loss Multiplier，根據(jù)銀行歷史損失與BI指數(shù)共同計(jì)算得到。

圖2 新標(biāo)準(zhǔn)法Business Indicator Componentf計(jì)算模型

圖3 巴塞爾委員會(huì)給定的模型計(jì)算系數(shù)

而BI由ILDC、SC、FC直接相加而來，其中ILDC指的是利息、租賃與股息組成部分（Interest，Leases and Dividend Component），SC指的是服務(wù)組成部分（Service Component），F(xiàn)C指的是財(cái)務(wù)組成部分（financial componen)。計(jì)算公式如下：

ILDC=min{(利息收入-利息支出），2.25%×生息資產(chǎn)}+紅利收入

SC=max{其他營(yíng)業(yè)收入，其他營(yíng)業(yè)支出}+max{手續(xù)費(fèi)收入,手續(xù)費(fèi)支出}

FC=交易賬戶凈損益+銀行賬戶凈損益

同時(shí)，上述涉及的利息收入、利息支出等各指標(biāo)均采取商業(yè)銀行最近三年的平均值。

操作風(fēng)險(xiǎn)計(jì)量資本需求模型中的ILM為內(nèi)部損失乘數(shù)Internal Loss Multiplier，是BIC和LC（損失組成部分Loss Component）的函數(shù)。其中損失組成部分（Loss Component）等于過去十年每年操作風(fēng)險(xiǎn)損失數(shù)額總量平均數(shù)的15倍。如果商業(yè)銀行未獲取過去十年的數(shù)據(jù)，可以使用過去五年的數(shù)據(jù)，而如果未獲取過去五年的數(shù)據(jù)，也可直接以BIC（Business Indicator Component）為準(zhǔn)。

由此我們可以得出：

圖4 操作風(fēng)險(xiǎn)計(jì)量資本需求模型

五、商業(yè)銀行外包風(fēng)險(xiǎn)的主要表現(xiàn)形式

（一）制度性安排缺失或業(yè)務(wù)調(diào)整不及時(shí)，潛藏戰(zhàn)略風(fēng)險(xiǎn)

商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)發(fā)展情況，制定業(yè)務(wù)外包戰(zhàn)略發(fā)展總體規(guī)劃。同時(shí)，對(duì)于上年度業(yè)務(wù)外包實(shí)際情況進(jìn)行后評(píng)價(jià)，調(diào)整和制定新年度業(yè)務(wù)外包計(jì)劃。而實(shí)際操作中，有些銀行業(yè)金融機(jī)構(gòu)創(chuàng)新外包內(nèi)容，將涉及客戶信息數(shù)據(jù)交換、云服務(wù)等科技類項(xiàng)目進(jìn)行外包，或者未采取有力措施對(duì)外包合作機(jī)構(gòu)的網(wǎng)絡(luò)安全或科技風(fēng)險(xiǎn)進(jìn)行適時(shí)管控，導(dǎo)致被監(jiān)管行政處罰。如，2020年9月貴州某商業(yè)銀行由于網(wǎng)絡(luò)安全和科技外包風(fēng)險(xiǎn)管控不力被貴州某銀保監(jiān)局行政處罰罰款40萬元。同時(shí)，還有些商業(yè)銀行外包業(yè)務(wù)調(diào)整不及時(shí)，分支機(jī)構(gòu)對(duì)于一些業(yè)務(wù)量極少或已經(jīng)過時(shí)的業(yè)務(wù)仍進(jìn)行外包，以此套取外包費(fèi)用或利用原有外包名義形成新的業(yè)務(wù)外包。

（二）合同管理有名無實(shí)、流于形式，造成法律風(fēng)險(xiǎn)

我國(guó)《民法典》的正式施行，為訂立商業(yè)合同的雙方提供了最新的法律依據(jù)。商業(yè)銀行應(yīng)該根據(jù)《民法典》的最新規(guī)定，對(duì)已簽訂的業(yè)務(wù)外包合同進(jìn)行重新檢視。在實(shí)際情況中，有的銀行與外包合作機(jī)構(gòu)簽訂的業(yè)務(wù)外包合同對(duì)于外包人員資質(zhì)、雙方權(quán)利義務(wù)、保密、連續(xù)性安排等條款未做約定或約定過于簡(jiǎn)單，合同執(zhí)行環(huán)節(jié)有名無實(shí)、對(duì)于外包質(zhì)量的考評(píng)流于形式，名為外包實(shí)為勞務(wù)派遣。一旦外包人員發(fā)生工傷、疾病、待遇等糾紛，商業(yè)銀行往往被動(dòng)應(yīng)對(duì)、賠償了事。如，查詢中國(guó)裁判文書網(wǎng)，2020年5月，因某國(guó)有大型商業(yè)銀行一分行在與某外包公司合同到期未續(xù)期情況下，繼續(xù)留用外包人員王某從事原崗位，經(jīng)過一次仲裁、兩次一審均認(rèn)定王某與該分行形成事實(shí)勞動(dòng)關(guān)系，名為外包實(shí)為勞務(wù)派遣；在人員緊缺的情況下，該行為提高效益從員工個(gè)人收入中拿出一部分錢，讓派遣人員承擔(dān)超出派遣范圍的大堂引領(lǐng)、基金推銷等工作，王某對(duì)超期留用的勞動(dòng)報(bào)酬不服導(dǎo)致二次上訴并申請(qǐng)?jiān)賹?，?nèi)蒙古某法院民事裁定書指定二審后再審本案。

（三）商業(yè)銀行及外包合作機(jī)構(gòu)流程管控不力，隱匿操作風(fēng)險(xiǎn)

一方面有些商業(yè)銀行內(nèi)部控制不完善，存在違規(guī)采購、合同管理不到位、項(xiàng)目后評(píng)價(jià)流于形式等問題；另一方面外包合作機(jī)構(gòu)屬地化性質(zhì)較高、信用資質(zhì)難以評(píng)價(jià)，存在資質(zhì)不夠、信息科技系統(tǒng)待完善、管理相對(duì)粗放、人員素質(zhì)參差不齊等問題。如，2018年3月，上海銀保監(jiān)局對(duì)某外資銀行（中國(guó)）有限公司就外包管理事項(xiàng)進(jìn)行了行政處罰，該銀行于2015年至2017年網(wǎng)站外包管理失效，2017年9月，該行網(wǎng)站發(fā)生非法入侵等風(fēng)險(xiǎn)事件。

（四）外包人員利用職務(wù)便利牟利或泄密，形成聲譽(yù)風(fēng)險(xiǎn)

2021年11月，為了保護(hù)個(gè)人信息權(quán)益、規(guī)范個(gè)人信息處理活動(dòng)、促進(jìn)個(gè)人信息合理利用，《中華人民共和國(guó)個(gè)人信息保護(hù)法》開始實(shí)施。而商業(yè)銀行作為信用中介的性質(zhì)，外包人員得以利用職務(wù)便利，接觸大量的企業(yè)和個(gè)人客戶，其中不僅涉及了銀行的商業(yè)秘密，也涉及了大量的客戶個(gè)人信息。近年來，有些商業(yè)銀行對(duì)員工和外包人員疏于管理，導(dǎo)致外包人員利用在銀行接觸大量客戶的工作便利，辦理各種資金業(yè)務(wù)、充當(dāng)資金掮客；或外包人員通過與銀行內(nèi)部工作人員內(nèi)外勾結(jié)，泄露客戶個(gè)人信息，謀取私利……種種案例屢見不鮮。如，根據(jù)2020年10月湖南某地人民法院公布的刑事判決書顯示：2015年12月至2016年3月期間，某國(guó)有大型商業(yè)銀行一分行外包人員利用職務(wù)便利，通過盜用管理人員操作碼，查詢外地個(gè)人信用報(bào)告3678筆，并將客人客戶信息以10元/份的價(jià)格以WORD文檔的形式通過QQ郵箱倒賣給貸款公司，非法獲利3萬余元，由此被法院一審判處侵犯公民個(gè)人信息罪，有期徒刑三年、緩刑三年。

六、商業(yè)銀行外包風(fēng)險(xiǎn)防控建議

（一）以系統(tǒng)觀念為指導(dǎo)，強(qiáng)化制度性安排

一是商業(yè)銀行要嚴(yán)格落實(shí)外部監(jiān)管要求，以系統(tǒng)觀念為指導(dǎo)，建立全面的外包風(fēng)險(xiǎn)管理體系，以指導(dǎo)外包業(yè)務(wù)及與合作機(jī)構(gòu)的關(guān)系。要制定審慎穩(wěn)健的外包戰(zhàn)略發(fā)展規(guī)劃和年度發(fā)展計(jì)劃，經(jīng)本機(jī)構(gòu)董事會(huì)或者高級(jí)管理層審核同意，并持續(xù)有效實(shí)施。二是商業(yè)銀行要根據(jù)本機(jī)構(gòu)外包的發(fā)展變化情況，對(duì)于外包、特別是新形式和新內(nèi)容的業(yè)務(wù)外包做出制度性安排和系統(tǒng)性指導(dǎo)，并根據(jù)業(yè)務(wù)發(fā)展變化適時(shí)動(dòng)態(tài)評(píng)估調(diào)整，特別是要按監(jiān)管要求對(duì)于核心業(yè)務(wù)或業(yè)務(wù)的核心部分不得外包，夯實(shí)商業(yè)銀行業(yè)務(wù)外包的制度基礎(chǔ)。三是商業(yè)銀行應(yīng)當(dāng)建立科學(xué)合理的業(yè)務(wù)績(jī)效考核指標(biāo)體系和薪酬支付機(jī)制。業(yè)務(wù)合規(guī)經(jīng)營(yíng)類指標(biāo)和風(fēng)險(xiǎn)管理類指標(biāo)權(quán)重應(yīng)當(dāng)明顯高于其他類指標(biāo)，從績(jī)效考核層面促進(jìn)分支機(jī)構(gòu)在外包業(yè)務(wù)經(jīng)營(yíng)、內(nèi)部控制、合作機(jī)構(gòu)管理、風(fēng)險(xiǎn)防控等方面提高管理水平。

（二）以法規(guī)制度為依據(jù)，健全履約及評(píng)價(jià)機(jī)制

一是商業(yè)銀行要系統(tǒng)深入開展對(duì)相關(guān)法律法規(guī)及監(jiān)管制度的學(xué)習(xí)，按照法規(guī)要求簽訂書面業(yè)務(wù)外包合同協(xié)議。書面合同是重要的管理手段，恰當(dāng)?shù)暮贤瑮l款能降低違約風(fēng)險(xiǎn)或減少在業(yè)務(wù)范圍、特性及服務(wù)質(zhì)量方面的分歧。二是外包合同協(xié)議的特征及細(xì)節(jié)應(yīng)該與外包業(yè)務(wù)的重要程度相一致。合同的關(guān)鍵條款應(yīng)包括：商業(yè)銀行確保能夠從合作機(jī)構(gòu)處獲得有關(guān)外包業(yè)務(wù)的賬簿、記錄及信息；要能對(duì)合作機(jī)構(gòu)進(jìn)行持續(xù)的監(jiān)控，以便能及時(shí)采取整改措施；要對(duì)外包安排的特殊重要問題如業(yè)務(wù)連續(xù)性安排、保密等事項(xiàng)做針對(duì)性說明等重要約定。三是對(duì)照外包服務(wù)協(xié)議，合理確定外包崗位，嚴(yán)格限定外包人員服務(wù)范圍，嚴(yán)禁將服務(wù)內(nèi)容以外事項(xiàng)，特別是涉及國(guó)家秘密、商業(yè)秘密和客戶敏感信息的工作事項(xiàng)交由外包人員承擔(dān)。四是切實(shí)健全對(duì)外包合作機(jī)構(gòu)外包質(zhì)量的考評(píng)機(jī)制，對(duì)于不符合要求或存在風(fēng)險(xiǎn)隱患的人員或環(huán)節(jié)，及時(shí)整改處理。

（三）以風(fēng)險(xiǎn)防控為目標(biāo)，實(shí)施全流程管理

一是完善商業(yè)銀行內(nèi)部控制體系，落實(shí)“前臺(tái)業(yè)務(wù)部門、中臺(tái)風(fēng)險(xiǎn)管理部門、后臺(tái)內(nèi)控審計(jì)部門”的部門相互制約職能，以風(fēng)險(xiǎn)防控為目標(biāo)，實(shí)施業(yè)務(wù)外包全流程風(fēng)險(xiǎn)管理。二是在外包合作機(jī)構(gòu)管理方面，搭建信用評(píng)價(jià)體系平臺(tái)提高合作機(jī)構(gòu)信用信息透明度。探索在商業(yè)銀行內(nèi)部建立非單一來源的業(yè)務(wù)外包合作機(jī)構(gòu)的信用評(píng)價(jià)體系，嘗試設(shè)立白名單或黑名單合作機(jī)構(gòu)動(dòng)態(tài)管理機(jī)制，為各級(jí)機(jī)構(gòu)選擇資質(zhì)優(yōu)良、內(nèi)控健全、管理規(guī)范的外包合作機(jī)構(gòu)開展外包提供幫助。三是商業(yè)銀行也可委托外部合格第三方審計(jì)機(jī)構(gòu)對(duì)已合作外包合作機(jī)構(gòu)進(jìn)行定期常規(guī)審計(jì)，督促供應(yīng)商改善經(jīng)驗(yàn)管理、提高內(nèi)控水平。

（四）以合規(guī)安全為底線，加大監(jiān)督檢查力度

一是商業(yè)銀行要高度重視自身員工管理，定期對(duì)員工與重點(diǎn)崗位外包人員異常資金線索進(jìn)行排查。同時(shí)，對(duì)于涉及員工與外包人員內(nèi)外勾結(jié)的違法違規(guī)線索重點(diǎn)核實(shí)、嚴(yán)肅處理，提高員工及外包人員的合規(guī)安全意識(shí)。二是結(jié)合外包業(yè)務(wù)特點(diǎn)，建立健全對(duì)外包人員的前期背景調(diào)查和日常監(jiān)測(cè)機(jī)制。要增強(qiáng)對(duì)外包合作機(jī)構(gòu)外派至商業(yè)銀行的駐場(chǎng)外包人員背景調(diào)查，防止“帶病上崗”；還要常態(tài)化開展對(duì)外包人員服務(wù)范圍、服務(wù)質(zhì)量審核等日常管理工作。通過加大對(duì)外包合作機(jī)構(gòu)、服務(wù)人員的前期背景調(diào)查和常態(tài)化監(jiān)督檢查力度，防范外包人員利用商業(yè)銀行營(yíng)業(yè)場(chǎng)所謀取利益，共同筑牢商業(yè)銀行合規(guī)安全底線。