随着金融科技产业不断发展,金融机构合作方和关联公司不断增加,金融机构需要面对的外部风险也逐渐增多。这种情况下,一旦合作方业务运营连续性出现问题, 金融机构就将直接遭受声誉损失,甚至资金损失。我们认为,能否恰当进行广义外部委托方管理将会对金融机构业务的成功与否产生潜在影响。
延展的供应链——外部委托方管理局限
近年来,受当局方针政策等影响,金融机构加大了对外部委托方业务的管理力度,基层业务交由二次委托方进行管理也逐渐增多。即使如此,在当下的外部委托管理中,仍无法做到对受金融科技推动而不断扩大的商务战线进行全面管理。
原因有几点。首先,由于合作关系不同,金融机构对外部关联机构的监督态度也有所差异。从严格意义上来说,现在越来越多的"业务分包"合作方并不完全经由委托合同产生。因此,金融机构会借助不同的部门和方式对业务分包方和其他关联公司进行监督管理。从经营者的角度来看,由于管理态势不同,因此无法对各外部委托方进行全面比对。
其次,从实施部署的层面来讲,即使属于同一外部委托方范围内,由于公司采用筒仓型分割管理架构,导致其外部委托方管理缺乏全局性。各部门外部委托方管理角度各不相同,统筹管理部门采用的是企业财务角度,信息安全部门依据的是保证信息不泄露的角度,风险管理部门参照的是业务持续发展的角度。但是问题在于,所有观点并没有整合成综合考量结果并向经营层进行汇报。
与之相比,更大的问题在于"风险评估程序不健全"。从某种层面上来说,多数金融机构在这方面还算是比较认真, 会根据安全对策基准及检查指南进行核查和听证,不会在确认企业是否达到政府基准的问题上出现疏忽。但是,由于核查表格以前都是由当下外部委托方的管理部门进行记述,因而想要继续使用原有外部委托方的部门通常不会上报发现的问题。核查表本来是用来审查管控措施是否得到落实,但这样一来,其实并不能帮助金融机构确认合作方提供的业务机能里到底存在着怎样的风险。
基于风险的第三方管理
为了弥补这种对"延展供应链"的监管不足,有必要设置一个专门的供应商管理办公室或者指派专人进行统筹管理。对外部委托方与金融机构合作过程中的每一个阶段都进行实时、恰当的评估和监督。
通过与美国风险管理者的沟通我们了解到,美国通货监理局(Office of the Comptroller of the Currency)修改了有关指导意见,规定外部委托方的定义不仅限于被委托的契约关系,同样也包括金融机构运营涉及的其他合作关系(包括委托方的合作方、关联公司、子公司及合并公司。为与外部委托方作区分,称之为"第三方")。目前在日本,已经有一些金融机构在IT部门内设立了供应商管理办公室,但是像美国这样从公司全局角度把委托方监督范围扩大到第三方的例子还没有听说过。
新设置的供应商管理办公室最重要也是最根本的工作就是,对第三方进行概括性的风险评价。监管对象扩大到第三方后就会有大量的企业成为监管对象。供应商管理办公室要对其进行集中概括的风险评价,根据不同的风险等级区分各第三方的重要度。
关于风险评价,应该先由信息安全部、事业发展部等独立风险主管部门从固有风险和剩余风险两方面进行评价,然后由供应商管理办公室汇总划分各自的重要度。关于固有风险,评估的重点不是决定把业务交给什么样的第三方,而是向金融机构管理者说明哪些业务可以交由第三方。而实际上什么样的业务、机能可以交由第三方是由现场的IT部门、业务部门等与第三方直接接触的部门责任人确定的。此外,这些负责人还要判断这些业务及机能是否与通货监理局的判断一致,即是否属于 "重要活动"。下一步,就是确认承接该业务、机能的第三方的信息安全、事业发展等剩余风险范围的管控情况。供应商管理办公室会对这些信息进行汇总分析判断,将第三方划分为3至5个重要等级并进行分别管理。重要等级最高的第三方要由供应商管理办公室亲自到场进行缔结合同前的详细检查,服务开始后不仅要监察统筹情况,对于服务内容变化、风险变化的沟通也是必不可少的。
当我们向日本的金融机构人员介绍这种模式时,他们的回应大多是"需要做到这么严格吗?"。但事实是,即使是拥有一千家第三方合作方的金融机构,其关键第三方合作方也只有5到10家。风险评价贯彻始终能使之后的监督管理更加高效。当局落实基于风险的管理机制,乍一看是增加了外包管理的负担,但是从长远角度来看,这其实是金融机构进行长期高效外包管理的必经之路。
今后,我们认为有必要让供应商管理办公室更早地加入金融科技项目的探讨过程。最近,金融机构在与金融科技企业开始合作前,通常会利用概念验证或者模型产品来共同检验服务实现的可能性。假设当前服务中存在金融机构不愿意承担的风险,就需要花费时间和成本来削减这种风险。因此,在概念验证/模型产品的探讨初期引入供应商管理办公室及进行风险评价就显得尤为重要。监管沙盒机制应该算是试验项目进行风险评估的一种有效方式,而且项目方还能在早期就收到来自监管当局的意见回复。
从风险管理的角度来看,在近来金融机构和金融科技企业的合作中,对API审核表等统筹管控情况的核实过于关注细节。其实,借助风险基础管理机制、彻底革新外部委托方管理才是金融机构真正应该关心的问题。
责任编辑:陈爱
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。