伴随信息技术的飞速发展和技术专业化的要求,外包服务已成为商业银行长期战略成本管理的新兴工具,逐渐被越来越多的商业银行所采用。美国最大信用卡公司之一的万事达公司05年6月17日宣布,一个中间业务公司的安全漏洞导致万事达公司1390万用户的银行资料泄露,算上其他种类信用卡用户在内,这次泄密事件波及的卡民多达4000万人。这次事件是一起最大的信用卡信息泄密事件,该事件再次使信用卡安全问题同时也使外包服务成为关注的焦点。
最先发现泄密的是万事达信用卡国际公司的安全专家。他们在追踪一系列盗用信用卡进行金融欺诈的案件时发现,漏洞都指向位于亚利桑那州的信用卡系统解决方案公司。这家公司专门替银行和商家处理信用卡和其他支付方式的业务,其客户包括万事达公司,以及其他一些美国主要的信用卡公司。万事达公司17日晚发表声明称,一名“未经授权者”利用与电脑病毒类似的脚本程序,侵入信用卡业务系统,获取了包括用户姓名、银行账户在内的大批用户资料,这些资料可能导致用户账户内的资金被盗。这份声明说,“通过与包括发卡银行、收单银行、业务公司,以及执法部门在内的各方合作,万事达公司已经对泄密事件展开调查,并与泄密的业务公司合作修补了安全漏洞。”万事达公司表示,已要求信用卡系统解决方案公司在“有限时间内”改进系统安全,以达到万事达的安全要求。
外包服务是指将企业内部的某些周期性的、反复的活动或者职能通过合约的方式转移给外部服务提供商的过程。在整个转移企业内部活动过程中,生产要素和决策权也会随之转移。二十世纪八十年代以来,数据调查公司的研究显示,全球信息技术外包服务1990年只有90亿美元,而到1994年已达到280亿美元,年均增长率在25%以上。根据联合国贸发组织的研究显示,从1999年以来,全球业务流程外包年增长率平均为23%,成为外包服务中增长最快的业务,2004年全球业务流程外包服务市场总收入达到3000亿美元,2008年预计将增长到6825亿美元。
目前很多商业银行和金融机构如美国运通、花旗银行、德累斯顿银行、万事达国际组织等等,也把一些服务性业务外包出去。这样可以为公司节省约40%~50%的人力费用,并能得到更专业、更高质量的服务。企业能够以更少的资源达到集中精力发展核心业务、提高竞争力的目的。而近期发生的信用卡信息泄露事件恰恰发生在外包服务环节,目前我国很多商业银行也在采取外包方式来实现银行信息化,那么外包在提高企业效率的同时对安全性的影响又如何呢?
一、外包服务的经济学分析
从经济学观点看,可以认为,效率与安全是商业银行核心竞争力的基础。为达到资源配置的帕累托最优,可以通过一条效率与安全性的效用可能性曲线来表示。如图所示。
安全
E1
效用可能性曲线
E2
效率
从图中可以看出,效率与安全性是一对矛盾,高效率必然伴随安全性风险,而高安全性又是以低效率为代价的,绝对的安全是以无效率来达到的,这在实际中是不存在的。为达到帕累托最优,往往会根据需要进行选择。在现代商业银行竞争下,往往高效率成为商业银行追求的目标,而交换的效率要求经济中生产的所有商品都必须以有效的方式在个人之间加以分配,根据帕累托最优,处于竞争均衡的经济是帕累托有效的,且任何一个社会想要达到帕累托有效资源配置都可以通过市场机制来实现。因此外包成为商业银行与技术部门发挥各自优势达到最优的最好途径。
服务外包能够促进商业银行集中有限的资源和能力,专注于自身核心业务,以达到降低成本、保证质量的目的。有人认为,由于外包方与商业银行处于博弈的双方,其间可能存在信息不对称和信息扭曲等问题,从而导致委托方在实施外包过程中承担着种种风险,造成安全性的降低和委托方的损失。从短期过程来看外包方可能会忽视安全性防范的投入,造成安全隐患;但长期来看,在市场经济健全的环境下,这种可能性是可以避免的。正如万事达卡案件中,虽然表面上看是外包方的安全隐患,但此类信息泄露事件在此案件前早已侵袭到一些商业银行,只是由于是个案,未引起大家的重视。该事件由于涉及多家机构,牵扯范围广而引起轰动,事发后万事达公司已经与泄密的业务公司合作修补了安全漏洞,从另一个角度也为各家商业银行的安全风险敲了警钟。也就是说外包并不是产生该类损失的直接原因。
由于外包方和商业银行都处在市场经济中,对自己的行为是理性的,并且也知道对方也是理性的经济人,因此可以假设外包方与商业银行都是理性参与者,那么在双方的博弈中,双方都不会采用严格劣战略,即不采取任何安全措施来防范风险;并且在市场经济中,不安全的外包服务提供商自然会被市场淘汰。
假设在商业银行与外包方此两者的博弈中,参与者的战略空间为S1,S2;收益函数为U1,U2;可以用G={S1,S2;U1,U2}表示该博弈。如果令Si’和Si”表示参与者的两个可行战略,并且I选择Si’的收益都小于选择Si”的收益,也就是说战略Si’相对于战略Si”是严格劣战略:Ui(Si’)<Ui(Si”)。
理性参与者不会选择严格劣战略,因为他无法对他人的选择作出判断,因此两者必然会选择Si” ,也就是S1”和S2”。由纳什均衡可知,每位参与者所选择的战略一定是针对其他参与者选择战略的最优反应。
对银行来讲,服务外包的实质是将事务性和服务性的工作内容(即非银行核心功能的工作)通过合约外包给其他公司或社会机构来完成。其意义在于,银行可以专注于核心业务,提高竞争优势;能够提高工作效率,增强应对市场的反应能力;借助规模经营的专业机构或团体,可以降低成本、提高质量;能够规避后勤服务经营风险;能最大程度地节约人力资源,克服缺乏专业技术人员的困难。
服务外包有利于银行提高市场业绩,帮助银行通过租赁、直接购买服务等方式将有形的固定资产转化为费用支出。对银行来讲,经济增加值可用下面公式表示:
经济增加值=业务收入-费用成本-资本占用成本-风险补偿成本
从式中可以看出,有形的固定资产,如办公大楼、车辆、房产不再是一种获利资产,而是一种包袱和负债,每年提取大量的折旧、维护费用,要付出资本占用成本,有形资产越多,减项的数额越大,经济增加值越小。而采取外包可以减少一本设备和开发以及人员的投入,同时也减少了一部分资本占用成本,同时也会减少外包服务部分所投入一些风险补偿成本,而都转化为费用成本。可以看到采取外包,充分发挥外包企业的技术优势,达到资源的最优配置,提高了效率。
在对待安全性问题上,外包方和商业银行属于完全信息博弈,采取的策略可如下面矩阵所示,假设不采取安全策略的资金投入为0个资金单位,而采取的最完全安全策略的资金投入为10个资金单位:
|
|
|
商业银行 |
|
|
|
采取 |
不采取 |
|
外包方 |
采取 |
-6,-6 |
-10,0 |
|
不采取 |
0,-10 |
0,0 |
可见,在策略选择上,有这样几种方案:一为商业银行和外包方都不采取任何安全策略,在安全与风险防范上投资均为0;一为商业银行或外包方均采取最大安全性投资,各投入10个资金单位的投资,也就是最大投资来做安全与风险防范;一为外包方采取适当的安全策略,投入6个资金单位来投资,而商业银行因为采取外包而投入4个资金单位的投资用作系统安全和风险防范,同时投入2个资金单位用作对外包方所承包业务的风险跟踪。根据纳什均衡,商业银行和外包方均不会采取严格劣战略,即不投资,而每位参与者所选择的战略一定是针对其他参与者选择战略的最优反应,也就是投资6个资金单位的安全性投入。
不仅理论上如此,实证研究也是如此。在一个完全市场经济的社会中,商业银行和外包方都属于理性的投资者,对于风险的测度和衡量,对于系统安全性是双方关注的问题,因此出于商业利益不会对风险置之不理。商业银行采取外包服务的目的就是为了提高效率,因此对于外包部分不会再投入资金进行有关系统的风险防范投入,但是出于安全性考虑,一般会投入适当资金进行风险跟踪和安全性管理,比如在信用卡业务中,万事达卡国际组织对于信用卡交易的风险跟踪,因此这部分投入在上面的分析中假定为6个资金单位;而对于外包方,如果对于安全性完全不进行投入,会由于系统安全性过低而遭到市场的淘汰,因此外包方会投入适当的资金进行安全性管理,但同样出于利润最大化的驱使,和前面讨论的效率-安全效能曲线,通常不会投入最大额的资金,因此这部分资金也可假定为6个资金单位。(在实际中,会根据风险度量决定该部分资金的投入。)我们可以理解为商业银行和外包方都会都会采取安全策略,投入适当的资金进行风险防范以保证系统的安全性。
从上述分析可以看出,在市场经济条件下,采取外包是利润最大化的,同时其安全性也是较优的。
二、我国商业银行外包策略与外包风险防范
如前所述,在市场经济条件下,外包是商业银行和外包方双赢的局面,是系统效率达到帕累托最优的体现。目前我国处于向市场经济转轨的过程中,商业银行为了加强核心竞争力,纷纷采取外包的形式,但由于我国尚未形成完全的市场经济,因此外包方和商业银行还未完全成为理性参与者,特别是由于信息不对称等因素的影响,对于商业银行,在外包时,有可能产生服务外包风险。从经济学角度分析服务外包风险是指银行服务外包预期收益的变动程度。服务外包风险是由许多不确定因素造成的,在我国现阶段,外包风险通常体现为以下几种形式。
外包成本超过预期。银行要配合外包服务提供商的需求进行一些额外工作,这其中的协调成本可能会非常高。除此之外,签约金和监督外包厂商进展情况的支出,也可能远高于预期支出。合同风险是外包过程中要特别注意的一点,尤其在我国,相关法律还不够健全的情况下。在与外包服务提供商订立合同时,如果不谨慎,可能会让银行遭受极大的损失。例如服务内容的不确定性,外包方责任的模糊性,都会给商业银行带来风险。
服务外包如果监督不当会使商业银行失去对外包服务业务的控制,受制于服务商;由于服务外包,企业不可能像对自己的部门管理那样清楚知道外包部门的运作全过程,也得不到来自外包商服务人员的直接报告,因此容易对外包的内容和资源失去控制、从而增加经营风险和不确定性,进而有可能影响到商业银行整个业务的发展;同时如果没有具有可操作性而且严格的监控措施,外包服务商有可能不履行先前的承诺,服务资源也存在级别被降低的风险。
由于信息屏蔽和非市场因素而选错外包服务提供商,从而造成损失;或者由于外包服务提供商提供的服务不够好,银行还需要再次委托其他厂商完成,造成成本的增加和时间的延误。隐蔽信息的问题在企业选择外包服务商的过程中非常具有普遍性。由于信息不对称,服务商比企业更了解自己的资信、真实的技术实力、人员实力,并向企业提供不充分或不真实的信息。同时在企业方面,一些项目经理由于没有能力或没有严格设计和遵照招标规程去了解服务商的实际运作情况、背景、主导产品与核心业务情况,也没有对服务商的财务状况、非财务状况、稳定性等进行认真核查及分析,从而无法把握来自于服务商的风险;另外由于直接项目负责人存在个人倾向性,而导致企业误选了不适合自身实际情况的服务商。
外包已经成为一种能够提高商业银行效率,增强核心竞争力的手段,如何有效利用外包,防止外包风险,是商业银行实施外包的战略选择。在我国市场经济的转轨过程中,商业银行选择外包战略,加强市场透明度,减少信息不对称的影响是防范外包风险的必要途径,应该注重以下几个方面:
首先,要明确外包的技术需求与服务需求,明确外包服务商的责任,对于外包服务商所提供的外包服务应该具备一套合理且具有可操作性的评估方法。
其次,选择合适的外包服务商,应全面考虑外包服务商的财务、人力资源、信誉、管理控制及效率、服务质量,以及是否熟悉业务、价格水平等条件,尽量避免因“隐蔽信息”所带来的外包风险;在审慎分析外包服务商各方面因素后,认真签订外包合约,作为双方共同遵守及管理的依据。
第三,尽量做到外包合约的准确性和详尽性,对工作目标及预期效益、合作范畴、运作方式、责任划分、所有权归属、合约修改与终止、付款方式、赔偿问题等都要有明确的确认。
第四,对外包服务有一套严谨的监控体系和风险跟踪系统,虽然是最后一点,但在整个外包策略中,是最重要的一点,从万事达信用卡信息泄露案可看出监控体系的重要性。良好的监控体系可以及时发现安全隐患,将损失降低到最小,并可以将静态的外包合约逐步演化为动态合约的履行过程。
当前中国信用卡市场正处于发展初期,很多银行特别是中小银行的信用卡业务都采取外包形式,外包风险防范至关重要,而借鉴万事达卡风险监控机制对信用卡业务进行跟踪和监控,是增加市场透明度,减少信息不对称,减少外包风险的重要举措。随着市场机制的健全,社会信用制度的发展,推行服务外包必将成为银行业特别是信用卡业增强国际竞争力的重要举措。