供应商风险排查合集12篇

时间：2023-07-07 09:22:22

供应商风险排查

供应商风险排查篇1

尽管外包关系的建立具有一定的经济合理性与必要性，但它给银行机构带来的各种特殊风险依然不可小觑，而在互联网环境下，这些风险更是呈现出加重和扩大的趋势。

总体看来，外包关系所带来的风险大多源于两个方面：一是银行的规划不合理或监督与控制不力；二是第三方外包商的执行或服务不达标。

就银行而言，在做出网上银行业务之提供是否需要借助外部第三方力量的决定之前，若没有进行充分的风险评估、成本收益分析、目标兼容性调查及合法性与可行性研究，若未能采用针对第三方外包活动的适当风险管理机制与监督措施，若尚不具备实施监督所必需的足够的专业技术能力与经验，则极容易产生战略性风险。

而从外包商的角度看，这些提供技术支持与服务的供应商或销售商在网上银行业务活动中通常是作为第三方出现的，不受管制的他们对网上银行业务活动的介入无疑会对银行机构的整体风险状况产生重大影响，给银行机构带来额外的不稳定因素。例如，银行可能由于外包商的不当或不法行为，如提供劣质服务、发生服务中断、实施不适当推销、违反信息安全操作规程、违反客户隐私保护政策、违反消费者保护法等而被迫陷入诉讼，不但法律风险陡增，还可能遭受财产与信誉损失。尤其是当外包安排中需要外包商的职员直接同银行客户打交道时，银行因外包商的产品或服务不符合银行所制订的政策与标准而遭到信誉损失的可能性更可能大大增加。为此，银行对外包商所提供之产品与服务的品质与适当性进行密切监测实为必要。

电子银行业务中日益突出的外包风险较之传统银行业务环境下更加突出、复杂和严重，更易迅速传递和扩散，对银行机构的安全与稳健也具有更深刻的影响和更大的破坏性。在电子银行业务最为发达的美国，2001年就曾发生这样一起因外包安排而致使银行遭受风险的案例。当时，虽然只是一家美国的主机公司（hostingcompany）受到黑客袭击，但却有超过300家银行因此而受到损害。[1]电子银行业务环境下外包风险的巨大冲击力可见一斑。

如果银行机构所利用的服务供应商位于另一个国家，则可能带来更为复杂的跨境外包风险。这种因利用外国服务供应商而造成的风险既可能是因外国外包商不受银行机构及其监管机关有效监控而产生的操作风险，也可能是因有关外包活动违反他国法律法规而引发的法律风险，甚至还可能是因外包商所在国的经济、社会或政治等因素致使其无法履约而带来的国家风险等。

有鉴于此，关注第三方或外包商所带来的各种风险，尤其是其中的战略风险、操作风险、法律风险与信誉风险，重新评价现有银行业管制框架的有效性，并在第三方介入有关服务提供的情况下采取相应措施对外包关系及其风险加以有效管理十分必要。

电子银行业务外包风险管理的国际经验

为应对日益突出的电子银行业务外包风险，有关国家与地区的监管当局以及一些重要的国际金融组织都纷纷着手研究外包活动及其风险的特殊性，探索对其实施有效管理与监控的基本原则与方法。企业家天地2011年第11期中旬刊管理Management有关国家和地区监管当局确立的主要原则与方法。

美国的实践。以美国为例，在美国的电子银行业务发展实践中，大多数银行都不愿自己进行技术设计和网络系统的安装与维护，而是选择将这些工作外包出去。由于大量外包活动所带来的风险很可能危及银行机构的整体安全与稳健，负责银行业机构监管的各个监管机构都意识到了这一问题的严重性，因而在对各种电子银行业务风险进行监管时特别重视外包风险的管理和控制。

这些美国银行监管机构曾在多部监管文件中确立了有关电子银行外包风险管理的指南。例如，货币监理署（简称OCC）于1999年的《网上银行业务———监理手册》（简称《监理手册》）就曾概括性地强调，银行机构应加强对网上银行业务外包之相关风险的控制。它明确要求：银行应定期对其技术支持来源进行重新评估；应将技术提供者的技术服务同银行自身战略计划程序相结合；银行机构在选择合作之供应商时应谨慎行事，事前签定正式协议明确双方权利义务；银行还应监督供应商的经营状况、财务状况、该供应商所具备之技术是否能与不断更新的技术保持一致以及是否具备良好的内部管理等等。[2]

除《监理手册》外，联邦金融机构审查理事会（FFIEC）于2000年11月的《外包技术服务风险管理指南》，OCC于2001年11月的《第三方关系：风险管理原则》，以及FFIEC于2003年8月的《电子银行业务：信息技术审查手册》等监管文件都就管理外包风险制订了专门规则。根据这些文件，要有效防范和控制外包风险，银行机构需要做到如下几点：其一，慎重选择合格的服务供应商，即要求银行在选择新的服务供应商时保持有效的合理谨慎，考虑其财务状况、经验、专业技能、技术兼容性以及客户满意度；其二，重视以书面合同形式明定各方权利、义务与责任，即要求银行与供应商签订书面合同，并在其中载明囊括保护银行数据的隐私与安全，银行对数据的所有权，审查安全与控制的权利，监测服务质量的能力，限制银行对服务供应商的行为可能承担的责任，以及终止合同等方面内容的具体条款；其三，依合理程序对供应商实施持续监测，即要求银行具备一套监测销售商的业绩表现、服务质量、安全控制、财务状况和守约情况的适当程序；其四，对包括事故反应与通知在内的报告和预测进行监测。[3]

新加坡的实践。在新加坡，对发展电子银行业务所带来的各种加重的风险，新加坡货币局（MAS）给予了高度重视。在MAS看来，更适当的做法应该是基于各银行具体情形和战略的不同采用以风险为本的监管方法（arisk-basedsupervisoryap-proach）。2003年6月，MAS了最新的《网上银行业务技术风险管理指引》，要求各银行切实遵行。该指引涵盖的内容十分全面，其中尤值一提的是，它为银行的外包活动及其管理确立了具体指南。MAS认为，银行将其有关经营操作外包给第三方并不会消除或减轻银行机构所承担的职责与责任。它强调，银行有责任确保其服务供应商的营业水平以及他们所提供的服务的可靠性与安全性达到银行网上银行业务所要求的水平。

针对如何管理外包风险的问题，该指引提出了以下三点具体要求：第一，要求银行董事会与高级管理层充分认识将其网上银行业务操作外包出去所产生的相关风险。具体说来，在将有关活动委托或承包给某个外部服务供应商之前，银行应当合理审慎地确定此种安排的可行性以及外包商的素质能力、可靠性、历史记录和财务状况等；并应以书面协议的形式细致和恰当地写明有关合同各方当事人的地位、关系、义务与责任的具体合同条件与条款。第二，要求银行遵守有关管制、审计或守法要求，切实实施审查或评估。具体而言，就是应当要求服务供应商向银行指定的所有当事方提供利用银行系统、业务、文件及设施的服务；不仅如此，银行与服务供应商还应在其所订协议中承认管制机关依《银行业法》所拥有的对服务供应商的地位、职责、义务、功能、系统和设施实施检查、监督或审查的权力。第三，要求银行和服务供应商遵守《银行业法》中关于银行业的保密要求。换言之，银行同服务供应商之间的合同与安全应当满足保护客户信息机密性的需要，也应符合所有现行法律法规的要求。

针对如何监测外包安排，该指引也做出了相应规定：其一，银行应要求服务供应商执行与其自身操作同样严格的安全政策、程序和控制；银行应定期审查和监测服务供应商的安全做法与程序，如定期取得有关服务供应商操作方面的安全充足性与守法性的专家报告；为监督服务供应商是否持续达到约定的服务水平以及其操作的可行性，还应设立一道监测服务供应商的服务提供、履约可靠性及加工处理能力的程序。其二，随着银行的外包关系日益复杂和重要以及其对外包关系的依赖性日益增强，为确保银行管理层不丢掉其保护银行核心操作与服务的职责，应当采取一种强有力的风险管理方法。

我国香港特区的实践。在香港，较为典型的银行业外包活动主要表现为将原本由认可机构自行提供的数据处理、客户服务（如热线中心）及后勤支援等业务项目外包给香港或海外的服务供应商。电子银行由于需要借助复杂的信息与网络技术，其所涉及的与技术有关的外包活动愈加普遍。面对银行业外包活动的日趋活跃，香港金融管理局（简称金管局）敏锐地洞察到其中潜藏的各种风险与问题，因而了一系列建议性文件，从不同角度提出了对外包活动尤其是外包风险实施监管的原则与指南。

2001年12月金管局制定的一份以《外判》为标题的文件可适用于所有认可机构的银行业外包活动，这份文件虽然并非专门针对电子银行，但其中载明的一般监管方法及有关技术外包的管控措施等均对电子银行的外包活动具有重要的参考价值。

在《外判》指引中，金管局对认可机构从事的外包活动表达了相当明确的监管态度，即只要认可机构的外包安排具备周详的计划和妥善的管理，且不会导致损害客户利益的情形发生，金管局就不会阻挠。[4]至于怎样才算是具备了“周详的计划”和“妥善的管理”，则须由认可机构在实施其外包计划之前事先同金管局进行商讨。通常，认可机构须使金管局确信其能够做到如下几个方面：第一，认可机构继续保留对外包业务的最终控制权，其董事会与管理层对外包出去的业务负有最终责任；第二，确保在推行外包计划前后对外包安排实施全面持续的风险评估，并对有关风险进行妥善处理；第三，确保选定服务供应商之前已对其进行严格调查，选定之后又具备持续监察服务供应商的适当管控措施；第四，确保签定的外包协议内容明确详尽，并对该协议进行定期审查和评估；第五，确保外包安排中有关客户资料的保密性；第六，确保具有有效的外包安排管控程序及应变计划；第七，确保审查与审计所必需之外包信息的取用不受影响；第八，确保对跨国外包活动中风险的可控性；等等。

除对一般外包活动确定指南外，金管局还通过后来的《科技风险管理的一般原则》和《电子银行的监管》确定了网上银行技术外包监管中需采取的一些特殊管控措施。例如，在选择适当的技术服务供应商时，应注意所选的供应商须具备足够的资源与专业知识，能够遵守认可机构信息技术管控政策的实质内容；而在将关键技术服务（如数据中心操作）外包的情况下，认可机构还应详细评估技术服务供应商的信息技术管理环境，且该评估最好由独立于服务供应商以外的一方做出，独立评估报告应清楚列明评估的目的、范围及结果，并提交金管局以供参考。

在同服务供应商签订外包协议时，金管局强调：首先，应清楚载明技术服务供应商的履行标准、明确有关软硬件的所有权及服务供应商须承担的其他责任。如技术服务供应商应确保其职员或人对取得的认可机构的信息严格保密，以及遵守认可机构有关信息技术的管控政策与程序等。其次，鉴于技术服务供应商可能进一步将有关服务分包给其他方负责，认可机构应考虑在协议中增加一项约定，即技术服务供应商对有关服务的重大部分实施分包时，必须向认可机构发出通知或获得后者的核准，而且此时原技术服务供应商仍须就分包出去的服务负责。

在外包安排存续期间，为了对外包活动实施持续充分的监管和控制，除进行定期监察外，认可机构还应进行年度评估，以确保重要的技术服务供应商受到充分的信息技术管控。不仅如此，为了避免因未能预见的技术服务供应商问题（如服务供应商财务状况恶化而无力偿债，或因其他困难而无法继续提供有关服务和支持等）而导致有关银行业服务无法使用，认可机构还应就已外包的关键技术服务制定必要的应变计划，包括制订退出管理计划及物色额外或候补的技术服务供应商等。[5]此外，为了防止外包风险过于集中，做出技术外包安排的认可机构应尽量避免过度依赖单一的外部服务供应商提供关键的技术服务。

在电子银行外包活动中，除技术外包外，认可机构还可能通过外聘技术服务供应商的方式来提供与技术有关的支持与服务。对于这些外聘活动所引发的风险和问题，金管局指出，“认可机构应制定有关如何管理各类主要外聘科技服务供应商的指引。”而此种指引也应包括拣选服务供应商的程序，核准重大例外情况的程序，以及避免过度依赖单一技术服务供应商提供关键技术服务等主要内容。重要国际组织确立的指导性原则。一些国际金融组织也就外包风险及其管理问题展开了有益探索，并提炼总结出了对各国金融监管当局均颇具参考价值的重要经验。例如，为了指导和协助银行等金融机构及其监管者们有效地解决外包问题以及防范和控制外包风险，由巴塞尔银行监管委员会、国际证券委员会组织、国际保险监管协会组成的联合论坛就于2005年2月共同了可普遍适用于银行、保险以及证券行业的受监管金融机构及外包服务商的题为《金融服务的外包》的最新指导性文件。[6]

该文件提出了9项高级原则：1、实施业务外包的受监管实体应具备一套全面的政策，以便对关于是否及如何适当开展外包活动的评估工作进行指导。董事会或相应机构不仅要对其外包政策负责，而且还要对根据该政策实施的活动承担有关责任；2、受监管实体应制订一套全面的外包风险管理计划，以管理外包活动及处理其同服务供应商的关系；3、受监管实体应确保有关外包安排不会削弱其向客户及监管者履行义务的能力以及不妨碍监管者的有效监管；4、受监管实体在选择第三方服务供应商时应保持合理审慎；5、应以书面合同确定外包关系，合同中应清楚载明外包安排的所有实质性问题，包括各方当事人的权利、义务与预期；6、受监管实体及其服务供应商应制订和保留包括灾难恢复计划和定期检测备份设施在内的应急计划；7、受监管实体应采取适当措施要求服务供应商保护受监管实体及其客户的机密信息，以防有关信息被有意无意地披露给未经授权者；8、监管者应将外包活动作为其持续评估受监管实体时的组成部分。监管者应通过适当方法使自己确信有关外包安排不会导致受监管实体无法满足其法定要求；9、监管者应认识到多个受监管实体将业务活动集中外包给少量服务供应商可能带来的潜在风险。概括说来，在这些关于金融服务外包活动的原则之中，前七项涉及的是实施外包的受监管实体的责任问题，后两项则涉及的是监管者的作用与职责问题。

国际经验对我国内地电子银行业务外包风险管理的启示

就我国内地电子银行发展的实践来看，外包活动尤其是技术外包已逐渐进入人们的视野。2002年，深圳发展银行和高阳公司签订了为期10年的灾难备援外包服务合同，成为内地首个银行IT系统外包合同。[7]前不久，国家开发银行又与惠普公司签订了首份战略性IT外包服务合同。[8]在我国，技术外包对那些不具备专业技术力量的中小银行具有相当大的吸引力，因为只要通过适当的外包安排，中小银行在电子银行业务领域占有一席之地的可能性就会大大提高。不仅如此，外包作为一种优化企业资源配置的战略也越来越得到银行业界的认同。可见，外包在内地具有良好的市场前景。

外包活动的日趋频繁及其带来的各种风险需要我国内地的银行业监管机构密切关注银行业的外包实践，制订和完善相应监管制度，将外包风险纳入电子银行业务的审慎监管框架。而诸如巴塞尔委员会的《电子银行业务风险管理原则》与《金融服务的外包》指南，美国货币监理署的《监理手册》及其它关于外包风险管理专门文件，以及香港金管局出台的《外判》、《科技风险管理的一般原则》及《电子银行的监管》等，对于我国内地有关监管制度的确立显然具有重大的启示意义。事实上，在我国内地电子银行业务监管法制的建设实践中，也的确充分借鉴和参考了这些重要文件中蕴含的国际经验与原则。

近些年来，我国内地相关部门因应电子银行业务实践的发展而不断制订和出台一系列监管规则，目前已然初步确立起了电子银行业务及其风险监管的整体框架。综观现行监管法律制度，大致由两个方面内容构成：一是那些可同样适用于新型电子银行业务的传统监管制度中的有关规定，主要指2004年2月1日起施行的《中华人民共和国中国人民银行法（修正案）》、《中华人民共和国商业银行法（修正案）》和《中华人民共和国银行业监督管理法》，以及经2006年11月11日修订后于同年12月11日正式施行的《外资银行管理条例》及其《实施细则》等；二是新制订的电子银行业务专门性监管规章，目前主要指由中国人民银行于2005年10月的《电子支付指引（第一号）》（简称《指引》），由中国银行业监督管理委员会（简称银监会）于2006年1月26日颁布并于2006年3月1日起施行的《电子银行业务管理办法》（简称《管理办法》）、《电子银行安全评估指引》（简称《评估指引》）以及《电子银行安全评估机构业务资格认定工作规程》（简称《工作规程》）等。

供应商风险排查篇2

申请欺诈是指使用虚假身份或未经同意冒用他人身份申领并取得信用卡，进而进行交易获取商品或服务的欺骗。当发卡行证实该卡项下有交易发生，而持卡人申明从未申领过银行卡，或发卡行证实持卡人提交的信息被伪造，即被认定为申请欺诈。

由于申请欺诈带来的损失通常占信用卡欺诈损失金额的50%以上，有效防范申请欺诈会拦截大量的欺诈行为，从而最大程度地避免欺诈损失。本文对比中美发卡机构对申请欺诈防范的不同方法，探讨欺诈风险的有效防范措施。

美国的主要方法

美国信用卡行业的量化管理手段和技术都非常成熟，在申请欺诈防范方面主要依靠三种手段：信用机构提供的身份核查系统、量化的欺诈风险模型对潜在的欺诈风险进行打分和人工电话调查。

值得一提的是，在美国完善的征信系统中，包含着巨大的信息。以Experian防申请欺诈系统为例，其数据库中包含2200万单位企业信息和2.2亿单位的个人信息。征信信息的内容包括企业、个人的注册名、曾用名、历史地址信息、征税号、电话号码等。根据风险模型的评分和市场情况，信用卡公司可灵活调整策略，以一个评分为起点进行更详尽的人工调查和电话核查，而对风险评分低的申请件完全实现自动审批。欺诈模型的维护由征信提供商负责，定期的分析提供了准确率的保证。同时，征信提供商的信息来源不限于某一家公司，从而更大程度地保证了对市场风险的全面把控。

我国的两种模式

相对于国外健全的征信系统，我国缺少系统、全面的个人和企业信用记录，在二级城市存在征信信息缺乏甚至没有的情况，如何准确甄别信用卡申请中存在的隐藏自身真实信息或盗用他人身份的情况，成为所有商业银行的关注重点和难点。目前，风险防范的基本手段主要包括第三方信息核实、欺诈系统规则提示以及直接通告申请人。欺诈调查的效率与风险识别率成为信用卡业务竞争中决定成败的重要因素。

目前，国内各商业银行对信用卡申请欺诈风险的防范措施主要包括以下两种模式：

模式一：以中国民生银行为代表，欺诈调查团队负责欺诈侦测模型和欺诈规则维护的同时，逐笔开展对提示的欺诈风险点排查。欺诈风险排查后，由信审人员进行信用风险的把控，并由信审人员进行终审，如图1所示。

在这种模式下，欺诈侦测模型的作用在于对关键可疑点的提示。欺诈调查团队针对提示的风险点运用第三方信息核查（社保、国政通、114电话、网查等手段）以及特殊的通告手段，对欺诈风险进行排查。欺诈调查完毕后，申请件才能回到正常的审批流程。

欺诈调查团队对欺诈侦测模型的维护主要基于其自身开展的欺诈调查工作，根据欺诈调查工作中发现的欺诈行为，对欺诈规则进行优化。

模式二：以招商银行和中信银行为代表，欺诈调查团队专职负责欺诈侦测模型的维护。在信用卡的申请审核阶段，信审人员根据欺诈风险点提示进行欺诈排查，并进行申请件的终审，如图2所示。

在第二种模式中，欺诈调查团队不直接参与信用卡申请件的审核，由信审人员开展欺诈风险的排查工作，欺诈调查团队的工作不直接影响申请件的审批周期。

此外，欺诈调查团队在对欺诈侦测模型进行维护时，将充分结合对客户用卡行为侦测和监控时发现的申请环节欺诈，从而确保欺诈规则的准确性。

国内两种模式的优劣

无论哪种模式，直接影响排查有效性与效率的关键在于欺诈调查规则的准确性，以及欺诈排查流程的效率与准确性。

第一种模式下，由欺诈调查团队直接参与申请件的欺诈风险排查，可以最大程度地在第一时间发现欺诈风险，降低银行损失。进一步地，由于欺诈调查人员通常比信审人员具备更强的欺诈风险排查能力，在调查的深度和广度上比信审人员更加专业，因此在欺诈调查的准确性上将优于信审人员。

但是，欺诈调查团队直接参与申请件的风险排查，将影响申请件的审批周期，造成客户等待。特别是对调查后没有发现欺诈行为的客户，审批周期的延长将降低其客户体验。

相比第一种模式，在第二种模式下，欺诈调查团队不直接参与信用卡申请件审核，而是由信审人员开展欺诈风险排查工作的操作模式，将减少欺诈调查工作对审批周期的影响，提升客户体验。

然而，由于信审人员对欺诈风险的把控能力可能弱于欺诈调查人员，因此其开展欺诈风险的排查工作可能造成欺诈行为，特别是比较隐蔽的欺诈行为无法被有效发现。尽管通过后期的用卡行为分析可以进一步识别和发现申请阶段的欺诈行为，但此时往往已经造成银行的财务损失。

启示

如何充分发挥业务优势，在有效防范风险的同时降低无效劳动，提高审批效率，是各银行面临的难题。结合美国和中国银行的风险防范经验，在国内信用卡申请风险防范方面，应进一步注意如下两点：

一是加大对欺诈侦测模型的维护力度。无论哪种欺诈风险排查模式，保证欺诈模型识别的准确性将是提高欺诈调查工作效率的最有效方式。目前，对欺诈调查模型维护的量化手段需要增强。具体来看，就是要根据以往欺诈规则识别有效与否的历史数据进行分析，改进无效的提示，将有效提示规则的分值上调。除欺诈风险分析人员外，还应投入数据分析人员参与欺诈规则的维护，并有效保证科技部门对基础数据的及时提供。

供应商风险排查篇3

在商业活动实现网络化之前，采购是面对面或通过纸质文件进行的，有迹可查，即使是电子交易，其设备结构是专用的，一般只限于已知用户使用，任何外部用户必须是已知的、身份明确的、可追踪的；系统通常是主机结构方式，相对易于监督、控制和审计。与传统商业相比，万维网客户/服务器系统的特点是高度分散，资源共享、服务分散、顾客透明度高等，而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产，财务报告不能充分提供企业的状况和价值方面的信息，特别是网络企业的无形资产，如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法，需要一些新的核查和审计方法，更有效地评价无形资产，如知识、品牌等。因此，电子商务系统审计就成为历史的必然。由于，电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险，都可能会影响其生存和发展。风险因素包括：商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此，进行必要和客观的审计，才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。

二、网络风险和风险管理

网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估，风险评估就是要分析和衡量风险事件发生的概率及后果，引起风险的因素及其关联因素，出现风险的关键点采取什么方法能够减缓风险，风险出现造成后果如何，以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率，计算各种风险的影响后果，根据影响和后果排序，对高风险因素作进一步的分析。

通过风险评估，可以认识到潜在风险（威胁）及其影响，以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本，主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。

三、电子商务系统审计中网站的合法性证明

网络终端用户都会关注网站是否来自一个真实的、可靠的机构，提供的信息是否准确真实，机构背景是否正当合法，个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平，必须用于某一特定、公开的目的，必须取得该个人的同意并受到保护，本人必须有权进入系统进行修改或删除，信息的越域流动和将来的使用、披露必须予以安全保证和限制等。

解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明，以使网络终端用户能对网站提供的电子商务放心。如Verisign， TRUSTe，BBB Online ，Web Trust ，SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录，获得确认被访问网站的名称、有效状态、服务器标识等信息。

四、内部审计和电子商务系统审计

美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性，建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计，电子商务的实时性要求审计人员应对其进行连续不断的评估，按特定的审核标准对已发生的交易进行追踪，而系统内设置的自动登录记录可作为相应的审计轨迹，在系统内部实施对事件监督和控制。

尽管当前许多人认为核实查证通常与外部审计人员相关，内部审计人员则在公司内部出具审计报告。然而，国际内部审计师协会对电子商务系统审计的要求则是：审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如，内部审计对网络企业控制水平的独立评价，使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如，企业目标是建立电子商务以降低成本、提高市场占有率，那么电子商务风险是随着网络交易的增加而增加，以至于不能确保交易的安全性或分辨用户的可靠性，因此，所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。

供应商风险排查篇4

二、网络风险和风险管理

三、电子商务系统审计中网站的合法性证明

解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明，以使网络终端用户能对网站提供的电子商务放心。如Verisign，TRUSTe，BBBOnline，WebTrust，SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录，获得确认被访问网站的名称、有效状态、服务器标识等信息。

四、内部审计和电子商务系统审计

供应商风险排查篇5

但是，由于自然垄断、外部性和信息不对称等问题的存在，不受监督的服务供应商会因为利益的趋势而发生道德风险行为，造成银行业服务外包市场的失灵，给银行的整体战略和运营带来了极大的风险，对金融体系的稳定和监管构成严峻挑战.

而政府监管能够有效地限制供应商的道德风险行为，具有纠正市场失灵的作用.

现有银行业服务外包监管制度的比较银行业服务外包的政府监管制度是监管当局为维护公平、有序、健康的服务外包市场而制定的一系列约束发包方和供应商的规范和行为准则.

国外银行业服务外包的监管概况全球经济、金融一体化步伐的加快，使银行业服务外包所带来的问题从国家个体内部演变为国际性问题.

1999年，纽约联邦储备银行发表了防范金融服务外包风险的报告。美国银行联邦金融机构检查委员会(ffiec)了一系列指导方针和公告，2004年6月，美国银行监管部门完成的新版《ffiec技术外包it检查手册》对金融机构建立、管理和监督it外包关系的风险管理水平，提供了指导方针和检查办法.

2004年12月，英国金融服务局(fsa)将银行业外包业务的监管规则纳入了《临时审慎监管手册》，建议银行应建立必要的外包程序，以最小化风险暴露和处理可能出现的问题。这些程序包括制定外包战略、尽职检查程序、合同和服务水平安排、变革管理、合同管理、退出战略和应急方案.

2005年2月，巴塞尔银行监管委员会、国际证监会组织、国际保险监督官协会、国际清算银行联合论坛了《金融服务外包文件》，规定了9条原则，用以指导受监管的金融机构的外包活动，确立监管当局的管制责任和义务.

2006年4月6日，欧洲银行监管委员会(cebs)了针对欧盟内银行的业务外包的《外包标准》(建议稿)；巴塞尔委员会电子银行小组准备对其成员的it业务外包情况进行评估，并考虑出台新的关于业务外包的规则，等等。分别从不层面对银行服务外包的风险管理做出了相关规定.

各国监管制度的比较分析各国和国际组织的监管制度具有以下主要特征：核心业务外包限制。不同国家或地区对核心服务的界定不一。如美国银行联邦金融机构检查委员会(ffiec)禁止银行将内部审计、财务会计、预备年度账等内部业务外包给银行集团外的公司；英国金融服务局(fsa)则对银行业务的外包施以直接管制，不管外包的服务核心与否，只要风险过大，可能导致银行失控，则当局都可不予批准.

供应商选择。各国各地区金融监管当局都强调银行应慎重选择供应商。要求供应商不仅应为合法注册的法人企业，而且还能有充足的资源保证完成银行的外包任务.

风险管理及应急计划。各国均要求本国银行在外包前提交必要的应急计划，包括灾难恢复计划和定期测试备份系统计划，以使在供应商不履行或履行不能时银行有应急措施可循，避免承担过大的调整成本.

规范的合同约束。各国和地区均明确规定外包应采用书面合同形式。合同除了载明外包的内容要求、明确规定双方权利义务与争议解决等必备条款之外，不同国家或地区还有不同的专门要求.

现有监管制度的特点和不足各国的监管制度形式主要通过指引的形式进行颁布。在监管的途径方面，主要通过银行自身的内部控制和监管当局的外部监管两种途径进行；在监管内容方面，主要集中于金融服务外包的范围、发包方内部控制、供应商的选择、客户合法权益的保护、发包方和供应商的应急机制等方面，也对银行服务外包的监管程序、内容与权限等方面进行了规范.

比较而言，美国和英国的监管制度较为全面，美国的监管制度包括供应商选择、合同争端、即时监控、关联供应商关系处理等内容；英国的监管制度涵盖了尽职检查程序、合同和服务水平安排、变革管理、合同管理、退出战略和应急方案等内容。而其他国家和地区现有的监管制度对外部监管的具体规定还较笼统，不够系统和深入.

但是，从外部监管的角度来看，对比国际上金融服务外包立法的发展，我国关于银行业务外包的规定太笼统，可操作性不强。我国还缺乏普遍、系统的银行业服务外包监管法律体系，使得监管人员对银行业务外包的监管缺乏可操作的法律依据，从而不利于对业务外包风险的监控，监管制度的落后在一定程度上制约了我国银行业服务外包的发展.

政府监管制度建设的政策建议通过上述分析可知，政府监管机构应充分认识到银行业服务外包的潜在风险，应采取必要措施：

（1）制订普遍的银行服务外包风险监管法规和合理的监管标准.

有必要制订普遍的银行业服务外包监管法。普遍的银行服务外包立法应该注意几个问题：第一，注意刚性条款和弹性条款相结合，从而处理好监管和鼓励银行外包之间的平衡关系。第二，监管标准上，应区分外包业务重要性的不同规定不同的监管标准。第三，应注意对外包的全程监管.

第四，应明确银行外包机构以及金融监管部门二者的监管责任。

（2）合理确定银行业服务外包范围.

外包范围是监管制度关注的重点。监管当局应对银行业服务外包的范围做出适当规定，明确规定一些辅助性的环节和操作程序可以外包。同时，实施有差别的监管.

（3）加强银行服务外包的全流程风险管理监管当局应建立全面的外包风险监控程序和风险管理计划，对外包风险进行评价，对外包业务的范围、银行对外包的管理能力、外包风险的监督和控制、供应商管理和控制潜在经营风险的能力、供应商违约对银行的顾客和同行可能造成的潜在损失进行管理。

供应商风险排查篇6

档案是机关工作和生产活动中产生的文书材料和技术文件等在办理完毕后，为了满足日后查考利用的需要而归档保存的，并且任何档案都是适应机关工作和生产的客观需要形成的，不是人们凭主观愿望随意编写的，更不是按照档案人员的要求产生的。档案在不同阶段具有不同的价值形态，对社会具有不同的具体作用。

商业银行档案外包是指银行在档案管理人员、存储设备不足或管理成本不经济条件下，整合利用外部优质专业化档案管理资源，将银行档案委托外包单位管理，从而达到降低档案保管成本，提高管理效率的一种档案管理模式。

档案外包商应具有以下特征：

第一，是一种实体性管理机构；

第二，是一种社会化、集约化和专业化程度高的档案管理机构；

第三，有较大的规模，服务对象也较多；

第四，对其保管的文件只有保管权，而无所有权；

第五，是介于文件形成者与档案馆之间的一个中间性机构，它要对双方负责，作为一个过渡性的、中间性的档案管理机构，文件中心首先要尊重文件形成者的利益和要求，同时又要担负起为档案馆积累档案的重任；

第六，可以承担文件管理咨询与培训的职能。

一、银行档案外包的背景

二战后，美国大量的文件需要归档保存，文件中心应运而生。1950年，美国《联邦文件法》以法令形式肯定了文件中心这种新型管理机构。把使用次数不多，但又必须保管一段时期的文件集中存放在造价较低的专门库房里，受到人们的认可。

从某种意义上讲，商业银行就是“经营风险”的金融机构，以“经营风险”为其盈利的根本手段。商业银行是否愿意承担风险，是否能够妥善控制和管理风险，将决定商业银行的经营成败。随着业务发展和竞争加剧，商业银行面临的风险也呈现出复杂多变的特征，对这些风险进行识别、分析、计量、监测并采取科学的控制手段和方法，是商业银行保持稳健经营的根本所在。健全的风险管理体系在银行可持续发展过程中具有重要的战略地位，具备领先的风险管理能力和水平，成为商业银行最重要的核心竞争力。利用先进的风险管理技术，最大限度地减少银行档案外包可能造成的损失，是商业银行档案外包风险管理目的。

二、商业银行档案外包的风险管理重点

风险是一个常用而宽泛的词汇，频繁出现在经济、政治、社会等领域。就银行风险的定义主要有以下三种：

一是风险是未来结果的不确定性（或称变化）；

二是风险是损失的可能性；

三是风险是未来结果对期望的偏离，即波动性。风险是一个明确的事前概念，反映的是损失前事物的发展状态。

从风险的定义上可以看到，风险是对未来结果的不确定性，是可能存在的损失，银行档案做为银行经营活动的历史记录，是传承银行社会记忆，再现银行历史面貌的凭证，为银行经营、管理提供信息支持，并为银行业务相伴产生的法律风险提供原始的凭证依据，其重要性不言而喻。因此，防范银行档案外包过程中可能产生的风险，是确保银行档案外包安全的首要工作，银行档案外包风险管理的重点是：

（一）档案外包风险的评估

商业银行在制定档案外包政策时，应当评估以下风险要素：

1.外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险因素；

2.影响外包活动的外部因素，因外包供应商的过错而造成的服务中断或撤销而引发的风险；

3.银行对外包活动的风险管控能力；

4.外包供应商的技术能力、业务策略和业务规模、业务连续性及破产风险，风险控制能力及外包服务的集中度；

（二）外包供应商的尽职调查

1.外包供应商的主体资质、经营管理能力、经营声誉、行业地位；

2.财务稳健性、技术实力和服务质量、对银行业的熟悉程度；

3.对银行托管档案客户信息的安全性；

4.外包供应商对突发事件的应对能力；

5.外包供应商的关联关系；

（三）外包合同的审查要素

1.外包合同中的服务内容、范围、标准、期限；

2.外包服务的业务连续性安排；

3.外包服务的保密性和安全性的安排；

4.外包服务的结算、支付方式；

5.外包服务的审计和检查；

6.外包争端的解决机制；

7.外包合同或f议变更或终止的过渡安排、违约责任；

8.外包供应商的应急管理；

三、商业银行档案外包的风险评价标准

商业银行档案在外包后，定期对档案外包商进行风险评估，做到早发现早预防。将银行档案外包风险纳入银行日常管理并持续监控、评价，就能及时发现档案外包风险，并在发现风险后及时采取有效处置措施，将损失减少到最低程度。

日常工作中可采用平衡计分卡方式设计评分标准，可按月、季、半年、年度要求进行档案外包业务检查，检查内容包括：

（一）外包供应商的评估：

1.资质：是否符合专业资质；

2.财务：收费是否合理，程序是否完善；

3.日常经营：是否出现异常；

4.及时性：是否能及时办理档案的收、取、查阅流程，在办理过程中有无差错发生；

5.差错性：资料能否及时、准准、无差错地领取、归还，不存在遗失情况；

6.沟通性：沟通是否顺畅，是否对银行服务需要的反应能迅速、及时、有效完成；

7.保密性：无违反保密原则，业务合作期间能保护好银行信息及银行商业秘密；

8.监督检查：是否能积极配合商业银行开展外包监督工作，及时报送外包工作情况；

9.违规性：是否存在违规行为，是否存在隐瞒事实，阻挡、抗拒检查、伪造、隐匿、篡改、毁灭违规证据行为。

（二）外包人员的评估

1.人员：有符合要求的档案管理人员，能够高效完成各项工作；

2.外包I务人员能够妥善保管商业银行委托保管的各类客户资料、档案资料；

3.服从银行管理，无主观故意，通过内外勾结、恶意操作等措施规避银行风险控制措施；

4.无擅自向客户做出不实承诺行为，向客户提供虚假资料或误导性宣传；

5.无假借银行名义进行客户约谈行为，无冒用银行商誉的行为；

6.无利用职务之便，窃取客户资料等进行违反职业操守及银行管理规定的其他行为；

（三）突发事件的应急预案及演练

1.是否事先制定建立档案外包风险突发事件应急预案和机制，确保档案外包业务活动的正常经营；

2.是否建立替代方案，寻求合同项下的保险安排等措施；

3.是否定期组织外包商开展演练，建立外包业务连续性计划，确保业务活动的正常经营；

四、商业银行档案外包的前景及展望

银行将部份档案外包是弥补人手不够，存储场地、设备受限、管理成本不经济的有效办法，但外包不等于不管，恰恰相反，银行档案外包工作必须在银行档案室的控制下，以保证方向正确，成果符合要求。银行档案外包风险应对策略的目的是力图将风险降低到可以接受和控制的程度。

自商业银行诞生之初，风险就与之相伴。通过对银行档案外包风险的识别、计量、监测、控制，采取分散、转移、规避和补偿等措旋，确保外包风险能及时发现。通过对风险诱因的分析，及时发现档案外包中存在的问题，决定采取何种有效措施。通过识别和评估档案外包风险，采用合理的技术、方法对档案外包加以防范和控制，以最小的成本使档案外包风险所致损失降到最低程度。银行档案外包做为银行档案管理的一个部份，是随着银行近年业务的发展而成长起来的新兴行业，具有广阔的市场前景。相信在银行档案工作者的辛勤努力下，将银行档案外包风险纳入日常管理并持续监控、评价，就能做到早发现早预防，确保银行档案外包业务的连续性，为银行档案外包业务健康稳定发展做出积极贡献！

参考文献

[1]刘平，戴硕，张铁.《风险管理》.中国金融出版社[M].2007.08.

[2]冯惠玲.《电子文件风险管理》.中国人民大学出版社，2008.4.

供应商风险排查篇7

中图分类号：F832.4 文献标识码：A 文章编号：1009-914X（2016）18-0125-01

一、短期商业贷款信贷风险控制策略

1、防止借款人提供虚假资料

防范借款人提供虚假资料的最有效的办法是客户经理亲自参与办理重要的法律手续。对于担保贷款，客户经理对担保人提供的担保（包括保证、抵（质）押、质押）资料应到担保人单位实地当面核对，以确保担保行为的真实性，若担保人为有限责任公司或股份有限公司，应根据其章程要求公司董事会会股东大会出具同意担保或同意抵（质）押的决议，并对董事会成员签字的合法性进行确认。若抵（质）押物系国有企业所有，客户经理还必须当面取得有权部门出具的同意抵（质）押的函件。若抵（质）押为借款人与他人共同所有，客户经理必须当面取得共有所有人出具的同意为其抵（质）押的书面证明。最后，对于抵（质）押财产，客户经理还应与借款企业相关人员共同到抵（质）押登记部门能力登记手续。这样客户经理便能在一定程度上有效防范借款人提供的虚假资料。

2、在发放贷款前要求借款人落实第一还款来源

在任何情况下，银行都应充分重视第一还款来源，因为以保证或抵（质）押担保方式降低的风险并不是绝对的。在信贷实务中，保证或者抵（质）押担保贷款往往存在许多问题和不可预测性。如企业经营状况发生变化，无力偿还贷款，或因经济纠纷不愿偿还贷款，使得银行债务悬空；再如在诉讼过程中收到外部干扰，不能正常执行或执行结果对银行不利；又如，如果法院对抵（质）押物进行拍卖时，重新评估价比原价低，加上拍卖费、印花税、措施建设税等，银行还是会遭受一定的损失。因此，银行必须重视第一还款来源，根据借款人的经营管理状况、领导人水平的高低及企业发展潜力综合考虑是否发放贷款。

3、辨认虚假用途的借款申请

根据短期商业贷款的使用特点，如果企业编造虚假用途的贷款合同，客户经理可以有针对性的采取措施予以辨别。对于制造业，可以了解企业的生产经营情况，客户经理可以下到车间，随机找人交谈，以掌握企业产品销路是否畅通，最近是否会扩大规模等，因为如果企业管理层有这些打算，一般会在各种场合进行宣传。对于批发企业及零售企业，辨认方法是要求客户提供“商品购销合同”，并对合同的真实性进行调查了解。对于服务企业，如果客户经理从其账上看不出应收账款的明显增加，或与有关人员交谈时了解到企业并无扩大规模的愿望及能力，则贷款用途大多不真实。

4、认真落实贷款保证或抵（质）押物担保措施

现阶段，银行一般很少会向客户提供信用贷款，通常会要求解开企业以自有财产进行抵（质）押或要求借款人提供担保资产好具有担保能力的保证。如果贷款保证或抵（质）押物担保措施落实，就能够有效防范风险。客户经理落实贷款保证或抵（质）押担保措施时要特别做好以下几方面的工作。

（1）对担保人的担保资格和经济实力进行审核。

（2）对抵（质）押物的权属证明进行审核。

（3）确定合理的抵（质）押率。

（4）督促借款人办妥抵（质）押财产的各项法律手续。

5、通过各种培训提高客户经理的综合素质，严格奖惩制度

银行通过培训提高客户经理的职业道德修养，树立正确的人生观和道德观；根据对客户经理的知识结构要求，有针对性地进行业务培训，提高客户经理的业务水平。同时，银行还应建立严格的奖惩制度，对于违反制度规定造成银行资金风险的人进行严厉处罚，以示警戒；对于工作认真细致，办理业务时从不出现差错，也没有出现过问题贷款的客户经理，给予一定奖励，培养高素质客户经理对银行的忠诚度和归属感。只有建立起一支素质高、能力强的客户经理队伍，银行才能发掘到更多好客户，从根本上方法信贷风险。

二、中长期商业贷款信贷风险控制策略

由于中长期商业贷款多为项目投资建设贷款，从项目论证到贷款发放，周期长、参与方众多，在短期商业贷款中常见的虚假借款人、虚假借款用途、虚假财务报表的粉饰等风险极少发生。对于中长期商业贷款风险控制，一方面要按照银行的风险管理程序，通过信贷风险管理的各个步骤、各种方法加以预防和消除。另一方面要根据中长期商业贷款的特殊性，有针对性地采取一些行之有效的方法。

1、谨慎选择中长期商业贷款项目

由于中长期商业贷款风险大而且一旦真正发生风险，对银行的影响重大而深远，因此必须以非常审慎的思维来选择贷款项目。要做到谨慎选择贷款项目，必须要有相应的信贷政策或指导原则作保障。具体来说，就是要有一套严格的贷款项目选择标准，依照标准及时地把潜在风险大的贷款项目淘汰出局，对于可贷不可贷的项目、把握不准、心里不踏实的项目，坚决拒之门外。一般来说，商业银行选择中长期商业贷款项目时至少要考虑以下几项标准。

（1）贷款项目是否符合国家产业政策、行业发展规划及相关法律制度，是否符合国家货币信贷政策和融资管理要求。

（2）项目借款人经验业绩是否良好，经济实力是否强大，资信度是否可靠。

（3）项目借款人是否有较高素质的管理团队，是否具有较强的管理能力。

（4）项目投资和资金筹措计划是否落实，资本金比例是否达到规定要求。

（5）拟采用的工艺技术和设备是否先进适用。

（6）项目投产后一定时间内产品是否适销对路，有无竞争优势和实力。

（7）项目财务效益和经济效益是否显著，有无综合还贷能力。

（8）项目所在地区政治经济文化社会环境是否良好等。

2、提高中长期商业贷款审查、审批水平和质量

中长期商业贷款的审查与审批难度相对较大，中长期商业贷款项目涉及知识的多样性、项目技术的专业性和复杂性，银行信贷调查和审批人员具有更多的专门知识和更丰富的经验。此外，由于时间、人力和物力的限制，银行也难以对每个贷款项目进行深入、全面和正确的评估和判断。由于中长期商业贷款的复杂性与银行信贷审批人员专业素养等方面的局限性之间的矛盾，客观上不可避免地出现由于审查水平不高而导致出现信贷风险。正因为如此，提高银行贷款审查、审批的水平和质量，就成为有效控制贷款项目的一个重要环节。提高信贷审查人员信贷审查、审批水平的一个重要方式就是实行信用审查人员项目审查专业化分工，也就是同一个信用审查人员长期专门从事一个或几个行业的项目审查，这样，信用审查人员在该行业中的信用审查水平或专业经验就会得到极大提高，成为某一个或几个行业领域的专家，有利于提高项目风险的判断水平，作出正确决策。

3、合理安排贷款结构，采取有效措施降低风险

所谓贷款结构，是指贷款金额、还款期限、还款方式、贷款支持、利率及其他方面限制性条件等要素的安排。良好的贷款结构安排是具有艺术性的控制贷款风险的有效手段，它要求在过于苛刻和过于宽松的结构性之间保持一种良好的平衡。过于苛刻的贷款条件会使借款人缺乏所需要的资金，并导致企业无法按其原定的计划来发展，除非它获得更多的资金或更长的还款期限；相反，过于宽松的贷款条件又会使银行无法保证借款人很好地使用资金并按时偿还债务。对于大型贷款项目而言，贷款结构的安排过程可能是一个非常复杂和漫长的过程。然而，这个环节对拟同意贷款项目的风险控制是十分有意义的。

贷款结构安排及其他措施的主要内容包括以下几个方面：

（1）强化贷款支持保障程度。可以要求项目借款人增大资本金比例，尽可能设定完善的抵押，或要求信用较高的政府等机构担保，要求借款人对投资项目购买充足的保险，如设备保险、停工保险、实施赔偿责任险等。

（2）采取有效措施降低工程完工风险。可以要求借款人选择管理水平高、技术手段先进的知名施工企业，选择信誉高的工程监理机构，并要求借款人提供工程质量和完工担保等。

（3）可以采取银团贷款方式分散和减低贷款风险。建设大型项目需要大量资金，一家银行出于实力或风险考虑，可以牵头组织银团或参与银团向借款人提供中长期贷款。

银行贷款结构安排和贷款条件的设定要在相关法律合同、协议、承诺、备忘录等文件中明文规定。银行要对规定的执行情况进行严密的监督检查，这样才能把各项措施落到实处并取得应有的效果。

参考文献

[1] 岳清华.商业银行信贷风险与会计防范[J].商贸流通， 2011， 24（6）： 116-117.

[2] 漆腊应.中国商业银行信用风险管理体系研究[M].湖北人民出版社，2009.

供应商风险排查篇8

档案外包商应具有以下特征：

第一，是一种实体性管理机构；

第二，是一种社会化、集约化和专业化程度高的档案管理机构；

第三，有较大的规模，服务对象也较多；

第四，对其保管的文件只有保管权，而无所有权；

第六，可以承担文件管理咨询与培训的职能。

一、银行档案外包的背景

二、商业银行档案外包的风险管理重点

风险是一个常用而宽泛的词汇，频繁出现在经济、政治、社会等领域。就银行风险的定义主要有以下三种：

一是风险是未来结果的不确定性（或称变化）；

二是风险是损失的可能性；

三是风险是未来结果对期望的偏离，即波动性。风险是一个明确的事前概念，反映的是损失前事物的发展状态。

（一）档案外包风险的评估

商业银行在制定档案外包政策时，应当评估以下风险要素：

1.外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险因素；

2.影响外包活动的外部因素，因外包供应商的过错而造成的服务中断或撤销而引发的风险；

3.银行对外包活动的风险管控能力；

4.外包供应商的技术能力、业务策略和业务规模、业务连续性及破产风险，风险控制能力及外包服务的集中度；

（二）外包供应商的尽职调查

1.外包供应商的主体资质、经营管理能力、经营声誉、行业地位；

2.财务稳健性、技术实力和服务质量、对银行业的熟悉程度；

3.对银行托管档案客户信息的安全性；

4.外包供应商对突发事件的应对能力；

5.外包供应商的关联关系；

（三）外包合同的审查要素

1.外包合同中的服务内容、范围、标准、期限；

2.外包服务的业务连续性安排；

3.外包服务的保密性和安全性的安排；

4.外包服务的结算、支付方式；

5.外包服务的审计和检查；

6.外包争端的解决机制；

7.外包合同或?f议变更或终止的过渡安排、违约责任；

8.外包供应商的应急管理；

三、商业银行档案外包的风险评价标准

日常工作中可采用平衡计分卡方式设计评分标准，可按月、季、半年、年度要求进行档案外包业务检查，检查内容包括：

（一）外包供应商的评估：

1.资质：是否符合专业资质；

2.财务：收费是否合理，程序是否完善；

3.日常经营：是否出现异常；

4.及时性：是否能及时办理档案的收、取、查阅流程，在办理过程中有无差错发生；

5.差错性：资料能否及时、准准、无差错地领取、归还，不存在遗失情况；

6.沟通性：沟通是否顺畅，是否对银行服务需要的反应能迅速、及时、有效完成；

7.保密性：无违反保密原则，业务合作期间能保护好银行信息及银行商业秘密；

8.监督检查：是否能积极配合商业银行开展外包监督工作，及时报送外包工作情况；

9.违规性：是否存在违规行为，是否存在隐瞒事实，阻挡、抗拒检查、伪造、隐匿、篡改、毁灭违规证据行为。

（二）外包人员的评估

1.人员：有符合要求的档案管理人员，能够高效完成各项工作；

2.外包?I务人员能够妥善保管商业银行委托保管的各类客户资料、档案资料；

3.服从银行管理，无主观故意，通过内外勾结、恶意操作等措施规避银行风险控制措施；

4.无擅自向客户做出不实承诺行为，向客户提供虚假资料或误导性宣传；

5.无假借银行名义进行客户约谈行为，无冒用银行商誉的行为；

6.无利用职务之便，窃取客户资料等进行违反职业操守及银行管理规定的其他行为；

（三）突发事件的应急预案及演练

1.是否事先制定建立档案外包风险突发事件应急预案和机制，确保档案外包业务活动的正常经营；

2.是否建立替代方案，寻求合同项下的保险安排等措施；

3.是否定期组织外包商开展演练，建立外包业务连续性计划，确保业务活动的正常经营；

供应商风险排查篇9

[作者简介]何海，任职于中国出口信用保险公司南宁营业管理部，复旦大学经济学院硕士研究生；刘春林，上海浦东发展银行股份有限公司南宁分行副行长，广西南宁530022

[中图分类号]D922.28

[文献标识码]A

[文章编号]1672-2728(2010)03-0014-06

近年来，在国家相关监管部门的大力治理下，商业银行的信贷风险状况有了很大改善，不良资产率逐步降低(见图1)。但是，我们不能仅仅凭不良资产率下降就对银行的风险管理能力高枕无忧。―个不可否认的事实是：信贷资产大量增加，分母变大使得银行不良资产率有较大下降，而我国商业银行在市场环境变化日趋频繁的今天，风险控制能力，特别是在国际贸易融资和国际项目贷款中国内银行的风险控制能力和风险管理经验都亟待提高。

一、外向型企业面临的信用风险

2008年爆发的美国次贷危机引发了全球金融风暴，给广大外向型企业敲响了风险控制的警钟。截至2009年12月31日，美国已经有121家银行倒闭。对于改革开放才30年的中国企业而言，国外市场的情况不但复杂多变，而且会计和法律体系与我国有很大不同，“走出去”企业对各种风险的识别能力和处理经验尤显不足。作为企业债权人的银行，发放的国际贸易融资和国外项目贷款同样将面临较大的风险。特别是当系统性风险发生时，银行如果不能有效地把贷款风险“外移”，就只能自身承担巨额损失。因此，通过制度创新和技术创新，运用信用保险分散、化解银行潜在风险，建立和完善银行自身的风险管理体系，将成为今后国内商业银行风险管理的一个重要课题。

按照巴塞尔协议的分类，商业银行面临的三大风险包括信用风险、市场风险和操作风险。操作风险可以归为内部风险，保险在商业银行操作风险的规避中也能发挥应有的作用。信用风险和市场风险可以归为外部风险。市场风险可以转化、体现为信用风险。市场风险发生时，往往就会发生系统性的信用风险。信用保险可以帮助企业，进而帮助银行规避或降低信用风险和市场风险。

具体来说，“走出去”企业所面临的信用风险包括商业风险和政治风险。企业面临风险，银行的信贷资金就不安全，因此全面分析和规避“走出去”企业面临的风险对于保证信贷资金的安全是必不可少的。

商业风险指在商业信用付款条件下国外买方或在信用证付款条件下国外开证行或保兑行由于出现信用问题致使被保险人发生收汇损失。主要包括：买方或开证行破产或者无力偿付债务；买方或开证行拖欠货款；买方拒绝接受货物、开证行拒绝承兑。

据麦肯锡调查，1917年的100强企业，70年后。已经有61个走向了死亡，而在39个幸存者中，仅有18个仍然存在于1987年的排行榜中，而这18家公司在股市上的表现结果却降低了20％。只有两家企业――GE和柯达在70年间仍然运作良好，但10年后，柯达已经从100强中消失。如图2所示，2006年以来，美国的商业风险也呈上升趋势。

政治风险是指在买卖双方均无法控制的情况下，国外债务人(在商业信用付款条件下是国外买方；在信用证付款条件下是国外开证行或保兑行)所在国家或地区的政治、经济环境发生变动，造成国外债务人不能按时支付货款。包括在被保险人和买方均无法控制的情况下，债务人所在国或地区禁止或限制汇兑、禁止买方所购的货物进口、撤销进口许可证、颁布延期付款令、发生战争、暴动等政治事件等。

中国是遭受反倾销调查和制裁最多的国家。在1995～2008年6月间，中国遭到各国的反倾销立案调查640起，制裁441起，分别占全球调查和制裁总数的19.4％和21.0％，是98个被调查和制裁国家中平均数的18.9和18.8倍。由图3可见。

二、现代商业银行信用风险管理现状

现代商业银行的信用风险管理是建立在先进的信息技术基础之上的。花旗、大通、美洲、汇丰等银行都拥有各自的全球信息系统。其数据均能做到每日更新。实时处理数据的能力很强，而且具有很强的统计及查询功能，能为行业、区域、产品、信贷组合等日常检查及风险评级工作提供全面支持，为其高水平的信用风险管理提供了有力的技术保证。JP摩根银行的统计分析表明，在贷款决策前预见风险并采取预控措施，对降低实际损失的贡献率为50％至60％。在贷后管理过程中监测风险并迅速补救，对降低风险损失的贡献率为25％至30％，而当风险暴露后才进行事后处理，其效率低于20％。因此，西方现代商业银行十分重视对信用风险预警系统的建设，力求尽早地发现风险。

以美国为代表的西方现代商业银行十分注重对信用风险的量化研究。20世纪90年代以来，信用风险管理数理模型的研究在国际上得到了高度重视和快速发展，在实证的基础上建立了很多信用风险量化模型，比较有代表性的有：一是JP摩根银行于1997年推出的信用度量制模型(Credit Met―riea)，是一个基于Vail(Value at risk，也可译为“风险价值”或“受险价值”)方法的模型，其最大的特点在于从资产组合而不是从单一资产的角度看待信用风险，使用了转移矩阵反映公司信用等级的变动；二是KMV公司基于期权理论的KMV模型，该模型用授信企业股票的市场价格波动状况来确定企业的信用等级，它采用结构方法，使用期权定价公式来求公司资产价值及其波动；第三是CSFP的Credit Risk+方法，该方法使用保险精算的计算框架来推导投资组合的损失，它只对违约风险进行建模，而不考虑信用等级的变化。在信用风险量化的基础上，采用信用保险手段把风险外移，在西方商业银行已经非常成熟。

反观中国，银行业监督委员会强制要求商业银行从2004年1月1日起，全面采用五级分类法，并了一些对商业银行具有强制约束力的文件，包括风险报告制度、贷款发放流程、贷后管理制度等，有助于提高国内商业银行的信贷管理水平。很多商业银行成立了风险管理部门，风险管理逐步实现了专业化。但是，到目前为止，国内还没有任何一家商业银行对信用风险进行量化。而在巴塞尔新资本协议中，所推荐使用的信用风险测量方法都要求对信用风险进行量化。最为关键的是，国内商业银行还无法建立全球信息系统，信息不对称使得银行在国际贸易融资和国际信贷中的信用风险控制中处于不利地位。与信用保险机构进行分摊协作的模式必须尽快建立。

三、出口信用保险在国际信贷风险管理中的运用

信用保险是指信用保险机构(Export Credit A-gency，ECA)对企业投保的货物、服务、技术和资本产生的应收账款提供安全保障机制的一种保险。它以贸易中的买方信用风险为保险标的，保险人承保在经营出口业务过程中因买方的商业风险或买方所在国(地区)方面的政治风险而遭受的损失。信用保险对于促进一国出口具有非常明显的作用，得到各国政府的重视。信用保险可以帮助银行降低所面临的外部信用风险和市场风险。

从传统意义上讲，保险在经济体系中的作用更多体现为经济补偿功能，但从发展的角度看，保险的资金融通和社会管理功能，特别是社会风险专业管理的功能将发挥越来越重要的作用，并受到社会的广泛关注和认同。信用保险所关注的就是信用风险，它的社会风险专业管理功能应该在银行的信贷风险管理中发挥更重要的作用。

下面我们分别对贸易融资和国际项目贷款中银行与信用保险机构的协作方式进行说明。

如前所述，融资企业将面临市场风险、信用风险和操作风险，在信用保险参与的情况下，银行可以把市场风险和信用保险外移给信用保险机构，通过“信保机构主内银行主外”的合作模式，共同监控企业的操作风险。因为信用保险的理念就是与企业风险共担，银行的贷款也要一对一的对企业进行评估控制企业操作风险，双方可以互为第三者监督角色，降低信保机构和银行的风险。

首先，在贷款发放以前，信保机构可以通过专业的买家资信调查，全面评估买家风险，核定买方的授信额度。其次，在贷款发放后，信保机构还能凭借专业的风险管理能力和庞大的数据网络对买家的风险进行跟踪，从而把风险降到最低。此外，银行专注于对融资企业的授信调查，在信贷审批时还能通过信保机构获取融资企业全面的海外买家信息，为客户的还款能力提供保障，形成科学审批“硬指标”，充当信贷审批的好助手；采用合适的产品给融资企业进行产品配备，审查单据真伪和进行专业的资金监管，具体见图4。

在国际项目融资中，国内企业面临的风险更为多样化。我们可以把它们分为政治风险、商业风险、履约风险和自然灾害与工程风险。

信保机构在政治风险的识别和处理上具有天然的专业优势和人才优势，完全能够也理所应当承担政治风险造成的损失。但是，影响项目的商业风险却不胜枚举，需要各个参与方都尽己所能，银行仅能“外移”部分给信用保险机构，因为第一还款来源不足的风险只能尽量减小而不能完全规避，这也导致了目前国内银行过分依赖第二还款来源。对于履约风险，需要银行利用自己的专业能力进行一对一的考察，对于出口商或者承包商的经验、能力、管理人员素质进行判断，并且监督出口商把自然灾害和工程风险转嫁外移给其他的保险公司。如图5所示。

四、银行国际信贷风险管理和出口信用保险协作的误区

第一，对信用保险融资功能的理解比较片面，合作存在障碍。在信用保险参与的国际贸易融资中，目前信保机构、银行和融资企业对出口信用保险的融资功能仅仅理解为：通过信用保险机构对应收账款信用风险的承保，使原来风险较高的应收账款成为风险较低的优质资产，据此获得银行融资。这种理解仅仅着眼于投保后的应收账款本身，没有全面考察投保行为对出口企业风险状况的影响，进而对银行信贷资金安全的影响。这不仅离三方共赢合作模式的目标相去甚远，而且也存在着运行不畅的问题，同时造成信用保险项下的融资成本居高不下。

第二，风险管理与信用保险合作层次较低，利益冲突较大。当前银行逐单叙做的贸易融资模式体现了银行目前的风险管理层次较低：一方面是着眼于贸易融资中相关单据和合同审查环节的业务品种风险管理层面；另一方面是着眼于对信保机构和出口企业作为合作方的职能风险管理层面。而没有意识到信用保险可以通过全面监控融资企业的买家风险异动来帮助银行监控融资企业本身的风险，在买家风险和融资企业风险之间筑起一道防火墙。而且，逐笔融资做出口信用保险融资的模式，使出口信用保险的保费直接体现为逐笔融资的成本，这导致出口企业使用出口信用保险融资产生的融资成本与使用其他信贷形式产生的融资成本不具比较优势。较低的风险管理层次无法使合作各方同时实现成本一收益均衡，加剧了合作三方的利益冲突。

第三，银行制度层次对信用保险的支持缺位。银行及其监管部门对出口信用保险的风险管理作用认识不到位，将融资企业投保行为与信贷定价联系起来的政策制度支持缺位。这些制度的缺位不仅导致全面投保合作模式缺乏，难以推行，而且使当前的贸易融资模式也存在运行障碍。逐单叙做的贸易融资模式使银行根本谈不上将全面投保信用保险作为衡量出口企业风险状况的重要因素纳入贷款定价体系中来考虑。仅仅着眼于投保后的应收账款作为担保进行融资的模式难以在合作三方中形成稳固的共同利益，合作范围难以扩大。

五、政策建议

银行信贷风险管理和信用保险应建立一种“金融共生”关系，达到相互依存、相互促进、共同发展的目的。一方面，信用保险机构通过专业的风险控制技术和风险损失分散机制，为银行信贷风险管理提供有价值的服务和切实保障；另一方面，银行业在获得服务和价值的同时，能够为信用保险提供更大的客户群体。实现风险分散以及业务的跨越式发展。

银行国际信贷风险管理和出口信用保险要建立“金融共生”关系，必须通过三大模式：

一是利益捆绑。通过为信贷项目安排信用保险的方式，将部分损失风险转移给信用保险公司，从而双方实现了利益捆绑。可是，这是一种不稳固的、浅层次的合作关系，不能够充分满足银行信贷风险管理的需求。

二是角色参与。一般来说，保险公司应银行要求，参与银行信贷风险管理是一种简单的合同关系，即为项目提供保险服务。尽管在承保过程中，信用保险公司也要进行资信调查、限额审批等步骤，评估项目风险，但是信用保险机构的角色还是一个普通的保险服务提供商。在建立共生关系的愿景下，通过制度安排，使得信用保险能够参与银行贷款决策的全过程，在贷前、贷中、贷后都能发挥自身作用，即在银行的信贷风险管理体系中充当“第三方监理”的角色，再以一定的利益相关联。这样信用保险就可以在信贷项目的操作中对银行起到有效的监督和制衡作用，特别是对内部欺诈问题。

三是专业的风险管理制度。尽管银行自身也注重信贷风险管理，但是信用保险机构在风险管理的角色中仍有特殊作用。关键是对待风险的态度方面，银行与信用保险机构是不同的。银行侧重于风险外移与交易，风险管理是相对静态的；而信用保险机构却侧重于风险的管理与吸纳，风险管理是动态的。这种差异在这次次贷危机引发的金融风暴中得到了充分的印证和体现。信用保险在风险管理方面具有相当强大的信息和技术优势，信用保险机构掌握了较多的风险信息和数据，有利于风险的定性定量分析，为银行信贷的风险定价风险控制提供有力支持。

同时，银监会、保监会等监管机构充分认识到信用保险与银行信贷风险的共生关系，并且进行相应的制度安排，也是必要的保证。

供应商风险排查篇10

以科学发展观为指导，以稳中求进为总基调，全面排查风险隐患，及时堵塞风险漏洞，健全完善风险防控长效机制，努力提高我县地方金融机构规范运作水平，促进我县地方金融业稳健运行、科学发展。

二、总体目标

通过排查，掌握全县金融风险真实情况和金融风险管理机制建设情况；增强风险防控意识，防范化解风险隐患；完善地方金融机构法人治理机构，实现“产权明晰、资本充足，管理科学、内控严密，运营安全、风险可控”的目标；建立健全地方风险监测、评估、预警体系和处置机制，牢牢守住不发生系统性、区域性风险的底线；建立健全风险防控长效机制，促进地方金融机构规范健康发展。

三、排查范围

风险排查的对象为全县地方金融机构和民间融资组织。其中，银行业排查的对象主要是银行、农村信用社、村镇银行、资金互助社及财务公司。民间金融组织是指依法取得行政许可，在工商管理部门登记注册且在辖区范围内从事经营活动的融资性担保公司、非融资性担保公司、小额贷款公司、投资咨询公司、信托投资公司、期货公司、财产公司、典当行、融资租赁公司等。

四、排查内容

（一）银行业金融机构风险排查内容

重点检查法人治理结构是否完善,管理层和高管人员内部控制能力是否具备；内控机制是否健全,各项基础性、系统性建设是否存在缺陷；规章制度是否健全落实,风险管控措施是否到位；业务经营和财务管理是否依法合规等。

（二）民间融资风险排查内容

重点检查融资性担保公司、小额贷款公司及各类投资咨询担保公司等是否存在非法集资、高利贷、非法经营、偷逃税款、暴力追债等严重危害公共利益与金融安全的不法行为。

1、市场主体资格问题。机构方面，是否持证执业；所持证照是否齐全、有效（许可是否过期）；实际经营状况与登记注册事项是否一致，是否存在出租、出借、转让营业执照的违规违法行为。执业人员方面，是否持证执业、挂牌上岗；人员数量是否符合中介机构开办要求；身份是否符合规定；党政领导干部、现职公务员、依法授权行使管理职能的人员是否在中介机构“兼、挂、靠”领取报酬的问题。

2、经营行为规范问题。是否有超范围提供中介服务行为；是否有超范围提供中介服务行为；是否存在虚假出资、违规注资、抽逃资本金行为；是否存在吸收或变相吸收公众存款、非法集资、违法放贷、恶性竞争行为；是否存在虚假广告、提供虚假信息，是否存在低于成本价服务，诋毁竞争对手、商业贿赂等不正当竞争行为；是否存在自立收费项目、自定收费标准或者擅自提高收费标准、扩大收费范围、增加收费频次、超越时限收费等问题；保证金缴存是否符合监管比例，是否超限额提供担保；是否存在做假帐、逃税漏税、暴力追债等违法问题。

3、行政监管问题。登记机关、行业主管部门日常监管措施是否到位，有无不作为、乱作为、失职渎职造成不良社会影响的问题。行业主管部门是否依法监督投资担保公司在营业场所公示资质证书、营业执照、执业人员资格证书，服务内容、服务标准、服务流程、收费项目、收费标准、收费依据，部门投诉电话等内容；是否健全内部管理制度和执业行为规范；是否建立业务台帐和中介业务档案。

五、组织领导和任务分工

县政府成立县地方金融风险排查工作领导小组，下设办公室，办公室设在县金融办，具体负责整个风险排查工作的组织、协调和指导。县行业监管、主管部门要按照谁审批谁负责、谁监管谁负责、谁主管谁负责的原则，严格落实工作职责，加强对本行业风险排查工作的组织、指导和督查，确保各项任务落到实处。

县金融办：在发挥好领导小组办公室职能作用的同时，具体负责本辖区内小额贷款公司、融资性担保机构风险排查工作的方案制定和组织实施。

人民银行支行：负责全县银行业金融机构的风险排查工作，给予政策指导，技术支持。监测担保机构大额以及可疑资金交易活动，会同公安部门联合打击洗钱活动；督促担保公司保证金账户资金足额到位，对担保公司偿债能力进行定期分析评估；对超额担保行为进行预警、整治、受理、移交社会公众投诉举报；完成领导小组交办的其他事项。

银监局办事处：牵头负责全县银行业金融机构的风险排查工作；负责对县内投资、咨询公司、理财公司涉嫌非法融资等非法活动进行调查；对担保公司相关违法违规活动进行立项调查，依法实施职权范围内的行政处罚；对已认定的非法金融业务活动予以取缔；严禁银行从业人员参与民间借贷活动，严防信贷资金流入民间借贷领域；受理社会公众投诉举报；完成领导小组交办的其他事项。

县商务局：对典当机构与担保公司的非法交易进行调查取证；依法实施职权范围内的行政处罚；完成领导小组交办的其他事项。

县工商局：对投资、担保公司等从事超范围经营、违法宣传行为进行查处；依法实施职权范围内的行政处罚；会同其他部门对资金融通相关中介机构进行调查；受理社会公众投诉举报；为各成员单位查处担保机构业务提供相关工商登记资料；配合各成员单位查处未经许可经营的担保行为；完成领导小组交办的其他事项。

县公安局：对发现涉嫌非法经营的担保机构，组织开展立案侦查工作；对违法经营数额巨大、可能引发群体性挤提事件、影响社会稳定的担保机构，按照法律程序对其主要负责人以及直接责任人采取强制措施；严厉打击担保公司在催收账款中的非法行为，会同银监办打击担保公司非法从事金融活动，联合人民银行打击洗钱犯罪行为；会同县文广新局剖析担保机构违规经营典型案件，通过媒体开展警示教育，正确引导公众投资行为；受理社会公众投诉举报；完成领导小组交办的其他事项。

其他相关部门：按照法律法规规定行使相应职责。

六、方法步骤

这次排查采取自查和现场检查相结合的方式进行。具体分为五个阶段：

（一）动员部署阶段。县领导小组召集全体成员会，安排部署清理整顿工作。县政府制定并印发工作实施方案，明确部门职责；公布举报电话、邮箱，接受群众投诉；成员单位明确人员及职责，制定所属投资担保公司具体整顿方案；金融办组织做好调查摸底、建档造册；宣传部、金融办编印宣传提纲，通过新闻媒体加强对清理整顿法律法规、工作要求、工作进展的宣传报道，形成浓厚的舆论氛围。

（二）自查自纠阶段。县领导小组责成全县所有投资担保机构及小额贷款公司，开展自查自纠活动。各法人机构对照排查内容和标准，进行拉网式风险自查，全面查找风险隐患和薄弱环节。自查活动结束后，形成具体的自查整改报告；金融办对各公司自查中发现的案件线索，分类进行汇总统计，提出初步处理意见后提交领导小组。本次风险排查工作结束前，县工商局不得受理新设投资咨询类公司及非融资性担保公司的注册申请，工商、质监部门不得对原有投资担保咨询中介公司办理营业执照和组织机构代码证年审手续。

供应商风险排查篇11

中图分类号：F830.94文献标识码：A文章编号：1006-1428（2007）10-0046-03

一、全球金融业务外包监管的发展

为应对迅速发展的金融业务外包趋势，防范由此带来的各种风险，世界主要发达国家的监管机构已经出台了关于外包业务的标准和法律控制措施。

但是伴随着国际金融一体化步伐的加快，各国的监管者们已经意识到，外包所带来的问题不仅是某个国家内部的，而且是国际性的。因此巴塞尔委员会才协同欧洲银行监管委员会(CEBS)、欧洲证券监管委员会(CESR)、国际证券委员会组织(IOSCO)等国际性组织制定了《金融业务中的外包》这一咨询文件，以应对国际金融业务外包的飞速发展所带来的监管难题。

随着世界各国金融机构业务外包的不断发展，包括巴塞尔委员会在内的一些国际监管组织和许多国家监管当局都认识到业务外包所隐含的风险，并制定了一些业务外包监管原则或指引。

到目前为止，我国金融监管当局尚未出台针对金融机构业务外包的监管法规或指引文件。监管制度的落后在一定程度上制约了我国金融机构业务外包的发展，因为我国没有出台相应的法律法规，外包需要有关部门的事先审批，基本属于个案处理，这增加了我国金融机构业务外包的成本。此外。监管制度的落后使得监管人员对金融机构业务外包的监管缺乏可操作的法律依据，从而不利于对业务外包风险的监控。因此，为了规范和促进我国金融机构业务外包的发展，监管机构应参考国际监管组织制定的业务外包监管原则，借鉴发达国家监管当局的业务外包监管制度，尽快建立金融机构业务外包监管制度。

二、金融服务业务外包监管制度的国际比较

1、美国监管制度。

美国是最早开始就金融服务外包制定规则的国家。目前美国对银行、证券和保险业的外包分别进行了相关监管立法。

2004年6月，美国银行监管部门完成的新版《FFIEC技术外包IT检查手册》对如何评价一家金融机构建立、管理和监督IT外包关系的风险管理水平，提供了指导方针和检查办法，其内容涵盖董事会和管理层的责任、风险评估和要求、服务供应商选择、合同争端、即时监控、业务连续性和信息安全性监控计划、关联供应商关系处理、跨国外包的国家风险的评估与监控等。

纽约证券交易所第342、346及382条规则的规定，某些外包安排被完全禁止或仅允许外包给受监管实体，但证券公司内部传统的外包业务无须美国证券监管当局的批准。

美国保险监管机构依据各种司法授权对基本业务外包进行监管。这方面的法律涉及管理一般人及承包商管理人的法律，其他外包业务由现场市场行为检查程序来处理。此外，全国保险业协会(NAIC)的市场监管及消费者事务委员会成立了承包商卖方工作组，处理当前监管当局未涉足的有关保险公司业务外包的其他问题。

2、英国监管制度。

2004年12月，英国金融服务局(FSA)将银行业外包业务的监管规则纳入了《临时审慎监管手册》，建议银行应建立必要的外包程序，以最小化风险暴露和处理可能出现的问题。这些程序包括制定外包战略、尽职检查程序、合同和服务水平安排、变革管理、合同管理、退出战略和应急方案。每道程序都要求根据风险估计结果设计风险管理措施。FSA还在手册中创定了对银行及住房互助协会的业务外包指引。指引涵盖了重要与次要的外包业务，但主要针对重要的外包业务。公司重要业务的外包须通知FSA。此指引也适用于保险公司。

英国金融服务局(FSA)对实质性业务和非实质性业务的外包都制定和了指引，但重点是实质性业务的外包。尤其值得一提的是，FSA针对业务外包操作风险制定了极为全面的指引，它为管理业务外包操作风险提供了指导。

例如，它规定业务外包前必须通知监管当局、业务外包前必须考虑到的因素，与供应商讨论后同时必须注意的诸如外部审计、知识产权方面的事项以及一旦发生来自供应商重大服务损失时应采取的措施等的内容。

3、国际组织的监管制度。

2005年2月，巴塞尔委员会主导的联合论坛了《金融服务外包文件》，规定了九条原则，用以指导受监管的金融机构的外包活动，确立监管当局的管制责任和义务。这九条原则为：（1）需要实行业务外包的金融机构应制定一个对业务外包及其方式的恰当性进行评估的总体性的外包政策。董事会或其同等权力部门对外包政策以及根据这一政策开展业务外包全权负责；（2）金融机构应制定全面的外包风险管理计划来妥善处理外包业务以及其和承包商的关系；（3）金融机构应确保业务外包不削弱其履行对客户和监管当局的义务的能力，也不阻碍监管当局对其进行有效的监管；（4）金融机构在选择承包商时应尽责；（5）外包各方的关系必须以书面合同的形式予以确定。合同应明确规定各方的权利、责任及各项要求；（6）金融机构及其承包者均应制定应急计划，包括灾难恢复计划和定期测试备份系统的计划；（7）金融机构应采取恰当措施要求承包商为金融机构及其客户保密，避免它们的机密信息被故意或无意地泄露给未经授权者；（8）金融监管当局应将外包纳入对金融机构的持续监管，以适当方式确保金融机构的外包安排不影响其达到监管要求的能力；（9）当多家金融机构同时将业务外包给有限的几家承包商时，监管当局应关注其潜在的风险。

4、各国监管制度的比较分析。

主要发达国家已基本建立起了金融服务外包监管制度，但它们的监管水平不一，欧洲的金融外包监管明显落后于美国。各国具体的监管措施也不尽相同：在合格承包商的确定方面，美国和瑞士主要考虑外包安排与发包方的目标和战略的匹配性，而荷兰和英国则关注确保承包商完成外包所需资源的充足性；在告知义务方面，瑞士强调银行对客户的告知义务，而英国和澳大利亚则强调银行对金融监管当局的告知义务；在银行董事会和管理层的责任方面，美国关注二者的监管职责，加拿大关注二者的外包制定和审批职责，瑞士和澳大利亚强调二者应全程关注外包；在外包的审计方面，美国要求外包的审计工作由银行内部审计人员完成，而瑞士、英国和澳大利亚则要求外包业务的审计工作先由银行内部审计人员审计，再由外部审计人员审计；在服务水平协议方面，美国的法律法规比较完善，而其他国家则偏重某一方面；在风险管理方面，美国和加拿大倾向于建立一个实质性的外包风险管理程序，荷兰倾向于要求发包方和承包商达成应急计划，澳大利亚倾向于组建一个外包管理团队来评估外包的潜在风险，确保董事会的外包管理策略被遵守以及向管理层和董事会提出参考意见。

但各国和国际组织的监管机制也具有一些共同特征：各国对金融服务外包的监管规范主要以监管指引的形式颁布，各国对金融服务外包的监管主要通过发包方自身的内部控制和监管当局的外部监管两种途径来进行，监管内容主要集中于外包金融服务的范围、发包方内部控制、承包商的选择、客户合法权益的保护、发包方和承包商的应急机制等方面。此外监管指引还注意对金融服务外包的监管程序、内容与权限等方面进行规范。

三、国外金融服务外包监管的发展对我国的启示

我国应充分认识金融服务外包监管制度构建的重要性和迫切性，尽快建立我国金融外包规制体系。

1、金融机构自身应切实加强对外包业务的监管工作，完善内部监控设计。

在业务外包之前，金融机构应当建立外包决策的具体政策和标准，包括对相关业务是否适合以及在多大程度上适合外包的评估。风险集中、可接受的外包业务综合水平的限制以及将多项业务外包给同一服务供应商引起的风险都必须考虑。管理层应当对外包的利弊有全面的认识，要对组织的核心竞争力、管理上的优势和劣势以及组织未来的目标进行评估。还必须制定政策，以确保其能够对外包业务进行有效的监控。发包方必须采取适当措施确保其能够遵守母国和东道国的法律以及监管法规。被监管机构的董事会（或相当的机构）对于确保其所有外包决策以及第三方所从事的外包业务符合其外包政策负全面的职责。内部审计应当在这方面发挥重要作用。

2、无论是监管机构还是被监管机构都应当建立全面的外包风险监控程序。

在建立外包风险管理计划时，对外包风险的评价包括以下几个方面：外包业务的范围和重要性；被监管机构的管理能力；对外包风险的监督和控制（包括对经营风险的综合管理）；以及服务供应商管理和控制潜在经营风险的能力；明确外包业务的重要性和建立风险管理计划，应当考虑服务供应商未能适当履行外包业务时对发包方可能产生的财务、声誉以及经营等方面的影响；服务供应商违约对发包方的顾客和同行可能造成的潜在损失；业务外包对金融机构遵守监管法规及其变化的能力的影响等。概言之，全面的外包风险管理程序应当是对外包业务的所有相关方面进行监控，并在一定情况下提供正确的指导。

3、金融监管当局应注意对外包业务的持续监管和系统性风险监管。

为了实现持续监管，可以借鉴国际监管组织制定的监管原则，要求金融机构在外包合同中制定相关条款，确保监管当局随时可获得监管所需的资料。此外，当多家金融机构同时将业务外包给一家或有限的几家服务供应商时，可能会形成系统性风险。对于这种情况，监管当局除了加强监管之外，可以做出必要的限制。

4、监管机构应做好外包业务的外部监管。

如要求被监管机构应当保证其外包安排不会减弱其对顾客和监管者履行义务的能力，也不会妨碍监管者的有效监管；外包关系应当用书面合同来规范，该合同应当清楚地规定外包安排的所有实质内容，包括各方的权利、义务以及期待等；被监管机构及其服务供应商应当建立并维持应急计划，包括突发性灾难的补救计划以及支持系统的定期测试计划等。监管者在评价被监管机构时应当将其外包业务作为其整体业务不可缺少的一部分。总之，监管者应当采取适当措施以确保任何外包安排均未妨碍被监管机构满足监管要求的能力。同时，当多家被监管机构的外包业务集中于有限的几个服务供应商时，监管者应当意识到其潜在风险。

业务外包是金融机构增强核心竞争力、提高经营效益的一种有效手段，作为一种迅速发展的竞争策略正在被越来越多地接受。在我国金融业向纵深发展之际，当然应对外包策略加以关注并正确运用，以获得其优势并避开其风险。这有赖于金融机构和监管机构的共同努力，从而实现我国金融业经营的市场化、专业化和社会化，应对日趋激烈的国际竞争。

5、金融机构及其服务提供者均应制定应急计划。

金融机构应该尽力要求供应商制定应急计划，保证信息技术的安全性，以及发生意外情况时的灾难恢复能力。对于业务外包的各种意外情形，比如：外包商发生破产、遇到不可抗力无法完成外包事务、外包商在内部技术或者骨干人员的变动等影响外包合同履行等，应该设计必要的应急计划。当然，如果意外情况导致金融机构必须更换供应商或收回外包业务自己做，这些可能性和相应的成本应该在合同条款中说明。

6、金融监管当局针对不同业务和外包服务供应商应采取不同的监管程序。

对于明确规定可以外包的业务，只需经过备案程序即可。而对于规定之外的业务，则应该经过监管机构的审查与批准程序。对于不同的服务供应商，也应采取有差别的监管程序。如果服务供应商是金融机构系统的其他分支机构，只需经过适当备案程序即可。如果服务供应商是金融机构同一集团的关联公司，对于这种情况应当经过适当的审查与批准。如果服务供应商是完全独立于金融机构的第三方，监管当局必须进行严格的审查和批准。

参考文献：

[1]丁敏，曹伟.对金融领域业务外包的冷思考.特区经济，2005；1

[2]金子财，杜胜.建立我国金融机构业务外包监管制度.西安金融，2005；5

供应商风险排查篇12

会计操作是反映商业银行资金或资本运动的基础和核心环节，其风险的防范在现代商业银行经营中的地位日益重要：业务发展、产品创新加快，需会计操作风险管理加以跟进；网点建设力度加大、新进员工较多，而目前会计操作仍较多属柜面操作，由此伴随会计操作风险管理重要性凸显；随着国际国内形势的变化，尤其在经济下行期，案件防控的形势将更加严峻，开户、存款、转账等业务已成为银行案件重灾区，控制会计风险将有助于商业银行加强操作风险管理。鉴于此，本文以C银行为例对会计操作风险管理现状进行梳理，分析管理机制中存在的不足，并尝试提出改进建议，为促进提高管理效果提供参考。

一、商业银行会计操作风险管理现状

（一）会计操作风险管理模式

组织管理架构方面，目前对会计操作风险的管理主要分为两条线，一是会计及营运管理条线对会计操作风险的具体管理，二是风险条线基于全面风险管理职责，对操作风险的整体管理。同时，越到基层行，管理部门越少，操作管理职责更加集中。凡涉及柜面业务操作、核算，均由会计部门管理。

主要管理措施方面，一是通过规章制度、业务处理系统以及开展评价评估等建立操作管理基础平台；二是借鉴国外主流银行关于流程银行建设的做法，全面推行核心业务系统的前后台分离，逐步上线柜面业务集中处理系统；三是开发业务监测系统、推行基层机构关键风险点监控检查以及建立委派会计主管、风险主管、纪检监察特派员三位一体的监管体系，加强稽核、检查控制。

（二）存在的主要不足

1、制度繁多而分散，操作使用性不强

会计操作涉及多项业务、多个产品及环节，但相关操作管理控制要求散见于多项制度中。一方面，对于具体操作人员来讲不易系统掌握和及时、方便查询；另一方面，随着业务的快速发展、系统的不断优化，有关制度要求与业务发展的匹配性、实际可操作性等方面存在的不足不能及时进行统一更新、直观展现，只能采取“补丁”方式以更多制度出现，使制度体系不断膨胀。

2、管理职责不够明确，合力未能得到有效发挥

一是处于业务条线管理和大会计管理并行阶段，流程管理被分割，部门间职责界限不明晰。目前，公司业务条线较多关注的是公司类信贷业务；个人银行业务条线涉及前台管理部分仅限于柜面服务和某些产品营销；中间业务综合性较强，在管理上也存在分散的现象。由于职责不清，加之缺乏有效的协调和运作机制，信息传导不顺畅，易出现脱节和管理漏洞，也易导致部门间相互推诿，一旦出现问题无法及时得到解决。

二是在业务经营管理日趋集中的模式下，基层行与上级行的管理范围及职责边界不够清晰。目前，上级行集中管理能力尚有欠缺，较多工作停留在表面，而基层行由于资源和手段有限，以及在业务发展压力下，难以有效实施管理控制。因各自管理重点和风险控制职责未细化、明确，可能使一些关键控制环节成为管理盲点。而在逐级负责的管理体制中信息不对称的情况较多出现，特别是在垂直管理方式下，一定程度存在权力上收、责任下放的情况。

3、对人员管理缺乏有效措施

一是员工培训效果不足。一方面上岗前培训不足，既涉及新入行人员，也存在因轮岗而到新岗位人员，由于对相关操作要求不熟悉，办理业务违规操作、关键风险点控制不到位，而随着网点建设力度加大、新进人员较多，该矛盾更加突出；另一方面，后续培训不足，培训方式较单一，培训对象较局限条线内人员，未统筹考虑实际操作需要。

二是在防范道德风险方面，主要是由监察部门发起，通过调查问卷的方式进行员工行为排查，效果和可操作性较差。目前虽设有纪检监察特派员，但其履责的有效性及能发挥的效果还有待评估。

三是在激励约束机制方面，目前对网点人员业务量、核算质量的考核未实行买单或定量考核，造成部份柜员重产品营销、轻前台操作风险控制。同时，一项业务的完成是流程上各部门及人员共同努力的结果，但在绩效考核分配时往往主要考虑一线经营部门，未能进行一定合理分配，影响会计人员的工作积极性和配合程度。

4、检查频繁但效果不佳

一是检查缺乏针对性。目前的检查项目较多是作为一项任务安排或临时要求，未针对不同分支机构的风险特点来确定检点和检查力度，造成对部分区域风险关注不够或投入资源过多。而基于资源、时间局限性开展的诸多自查，虽强调自查质量，但事实上由于多种原因，自查流于形式的情况屡见不鲜。

二是检复。在一定范围内，检查频率与控制水平成正比，但存在一个临界点，超过临界点不但会造成高昂的检查成本和低下的检查效率，而且会形成“管理疲劳”。检复归根结底是分割式管理的结果，没有将检查管理有效嵌入业务流程之中。从三道防线看，各防线间应是补漏而不是重复，但实际操作过程中未能体现出层次性差别。

三是检查手段滞后。在激烈竞争的情况下，促成银行通过创新产品、流程、业务运行系统提高竞争力，但在业务快速发展的同时，检查手段却相对滞后，特别是基层行，目前仍较多采取现场检查和抽查监控录像的方式进行检查。

四是对待检查发现的问题处理方式简单。各级管理部门组织检查后较多是对检查发现的问题进行通报、罚款、积分管理等，未对问题原因予以深入剖析和后续监督。同时，整改工作基本是由被检查机构本身来完成，整改重心低，不能抓住问题的关键成因，由于业务具有反复性以致同类问题屡查屡犯。被检查单位一方面平衡违规成本，另一方面存在侥幸心理，更不用提举一反三整改。

二、加强商业银行会计操作风险管理的改进建议

（一）梳理、整合现有制度体系

对现有制度性文件进行清理、识别、整合，并建立起结构化、层次性的制度体系。制度体系可分为程序/规定、作业指导书/规范、岗位操作手册三层。程序/规定是描述各项活动的过程和顺序或阐述某方面规定的文件，是对部门层次同类业务活动或管理活动的总和描述，如会计核算规定等；作业指导书/规范是反映各项业务和管理活动的流程、风险点及控制措施、记录，以产品、业务流程出发，如对公负债类产品作业指导书、资金证明业务操作规范等；岗位操作手册是反映各级机构、部门、岗位的职责，如针对会计主管、综合柜员等岗位确定的基本操作要求、关键控制环节及风险提示等。

同时，搭建制度文件管理系统平台，集中存放，对重点之处突出标示，便于操作和查询。并建立制度后评估机制，就制度的运行情况通过一定的渠道或平台，广泛征集操作人员的意见，及时进行更新和动态管理。

（二）理顺、明晰职责，加强条线间沟通、融合度

一是调整柜面业务管理职能，将对私营业网点柜面交易、人员管理及风险控制等管理职责由会计部门移交个人金融部门。同时，鉴于国际业务与人民币业务在核算、操作上存在较大差异，明确国际结算（含个人外汇业务核算）管理职责由国际业务部门负责。会计部门主要负责对公业务核算操作管理，牵头管理会计核算政策、制度的制定等。由此，降低沟通协调成本，也避免可能产生的管理盲点。

二是业务条线应加强与会计条线的沟通协调，避免本位主义，在培训、制度、信息传递等方面兼顾产品线上涉及的部门需要，共同促进规范操作和业务发展。

（三）加强人员管理，充分利用资源

一是加强岗前培训和后续培训。把握培训对象需求，分层次、按不同对象实施针对性培训。针对新上岗人员、发生差错较多人员等开展短小培训，利用晨会时间进行重点提示和强调，特别是操作要求和风险应对措施。同时，建立岗位人员储备机制，确定多岗位适岗学习要求，鼓励开展二岗学习，并在日常培训学习时加以引导或提供相应机会。

二是加强员工行为管理。完善员工行为管理和排查手段，开发运行员工行为排查系统，改善排查效果，并对排查发现有异常行为的，及时采取有效处置措施。在问责方面，应克服单纯的“惩办”主义，把保护和奖励合规、抑制和惩戒违规与主动纠错从轻问责或免于问责等制度的建立结合起来。

三是加强人力资源利用。前台人员直接与客户打交道，为客户提供结算服务，掌握着客户最基本也最重要的资金流动情况，可为业务部门开展营销和后续维护以及贷款管理等提供诸多信息。因此，可充分利用会计人员队伍，赋予其相应职责，并在利益分配上给予充分考虑，通过发挥整体合力促进业务发展和有效管理。同时，从考核机制上对产品营销和前台操作进行分离，形成真正的制约机制。

（四）提高检查效率和效果

1、加强检查的计划性和针对性

尽量减少临时性检查，针对不同地区和不同层级的业务及风险特征来确定检点、检查频率和检查深度，实行差别化监管和监管资源的有效配置，如加大对岗位制约、授权管理、重要单证和物品管理、账户管理等关键环节以及问题较多行的检查力度等。同时，结合会计操作模式变化，分析、确定风险点和关键控制环节。

2、整合检查资源、改进检查方法

加强沟通协调和统筹安排，按照重要性和风险导向原则，合理确定检查内容和检查方式，充分利用系统进行非现场检查。同时，区分三道防线层次，加强对控制较薄弱的业务的持续监督，努力发挥各自作为风险管理团队成员的协同效应、互补效应和增援效应。

3、采取有效措施促进提高自查质量

充分运用激励与约束机制，对主动发现、暴露问题的行给予肯定并作为正向激励，反之，对自查未发现、未反映问题的情况，追究相关管理责任。通过提高每次自查质量，促使切实履行职责，减少违规问题的发生。

4、进一步加强系统控制建设