从“万事达卡”事件看信用卡风险防范机制
on Mechanism of Risk Prevention of the Credit Card from the Case of Master Card
2003年被卡界称为“中国信用卡元年”,具有循环信贷功能的信用卡发卡量从155万张增长到544万张,增长率为350%。2004年信用卡的发行增量呈井喷态势,2005年各商业银行发卡量继续呈现上升态势。各家商业银行纷纷推出自己的信用卡产品。而信用卡业务本身是一个高收益高风险的金融产品,面对蓬勃发展的中国信用卡产业,如何防范风险,培育一个健康良好的市场势在必行。美国最大信用卡公司之一的万事达公司05年6月17日宣布,一个中间业务公司的安全漏洞导致万事达公司1390万用户的银行资料泄露,算上其他种类信用卡用户在内,这次泄密事件波及的卡民多达4000万人。这一事件的发生,给发展初期的中国信用卡市场带来了警示。
一、信用卡服务外包的经济学分析
信用卡产品在给持卡人带来消费便利和循环信贷的同时,给商家带来了潜在的无限商机,而对于商业银行,其信贷消费的高额利润也成为商业银行的竞争点。信用卡产业的网络外部性特征表现为,受理信用卡的商户越多,信用卡对消费者的价值就越大;同时持卡消费的人数越多,消费金额越高,则商户和发卡行的利润就越高。同时面对入世后外资银行的竞争,争夺信用卡市场这块“蛋糕”已成为商业银行的重头戏。很多商业银行采取"跑马圈地"的方式,拼命扩大发卡量以求在信用卡市场中能够占有一席之地,为提高竞争力,很多银行将数据处理等一些业务进行了外包,而此次万事达卡泄密事件正是外包过程中出现的问题。该事件再次使信用卡安全问题同时也使外包服务成为关注的焦点。
外包服务是指将企业内部的某些周期性的、反复的活动或者职能通过合约的方式转移给外部服务提供商的过程。在整个转移企业内部活动过程中,生产要素和决策权也会随之转移。二十世纪八十年代以来,数据调查公司的研究显示,全球信息技术外包服务1990年只有90亿美元,而到1994年已达到280亿美元,年均增长率在25%以上。根据联合国贸发组织的研究显示,从1999年以来,全球业务流程外包年增长率平均为23%,成为外包服务中增长最快的业务,2004年全球业务流程外包服务市场总收入达到3000亿美元,2008年预计将增长到6825亿美元。
目前很多商业银行和金融机构如美国运通、花旗银行、德累斯顿银行、万事达国际组织等等,也把一些服务性业务外包出去。这样可以为公司节省约40%~50%的人力费用,并能得到更专业、更高质量的服务。企业能够以更少的资源达到集中精力发展核心业务、提高竞争力的目的。而近期发生的信用卡信息泄露事件恰恰发生在外包服务环节,目前我国很多商业银行也在采取外包方式来实现银行信息化,那么外包在提高企业效率的同时对安全性的影响又如何呢?
从经济学观点看,可以认为,效率与安全是商业银行核心竞争力的基础。效率与安全性是一对矛盾,高效率必然伴随安全性风险,而高安全性又是以低效率为代价的,绝对的安全是以无效率来达到的,这在实际中是不存在的。为达到资源配置的帕累托最优,往往会根据需要进行选择。在现代商业银行竞争下,往往高效率成为商业银行追求的目标,而交换的效率要求经济中生产的所有商品都必须以有效的方式在个人之间加以分配,根据帕累托最优,处于竞争均衡的经济是帕累托有效的,且任何一个社会想要达到帕累托有效资源配置都可以通过市场机制来实现。因此外包成为商业银行与技术部门发挥各自优势达到最优的最好途径。
服务外包能够促进商业银行集中有限的资源和能力,专注于自身核心业务,以达到降低成本、保证质量的目的。有人认为,由于外包方与商业银行处于博弈的双方,其间可能存在信息不对称和信息扭曲等问题,从而导致委托方在实施外包过程中承担着种种风险,造成安全性的降低和委托方的损失。从短期过程来看外包方可能会忽视安全性防范的投入,造成安全隐患;但长期来看,在市场经济健全的环境下,这种可能性是可以避免的。正如万事达卡案件中,虽然表面上看是外包方的安全隐患,但此类信息泄露事件在此案件前早已侵袭到一些商业银行,只是由于是个案,未引起大家的重视。该事件由于涉及多家机构,牵扯范围广而引起轰动,事发后万事达公司已经与泄密的业务公司合作修补了安全漏洞,从另一个角度也为各家商业银行的安全风险敲了警钟。也就是说外包并不是产生该类损失的直接原因。
由于外包方和商业银行都处在市场经济中,对自己的行为是理性的,并且也知道对方也是理性的经济人,因此可以假设外包方与商业银行都是理性参与者,那么在双方的博弈中,双方都不会采用严格劣战略,即不采取任何安全措施来防范风险;并且在市场经济中,不安全的外包服务提供商自然会被市场淘汰。
对信用卡服务来讲,服务外包的实质是将事务性和服务性的工作内容(即非核心功能的工作)通过合约外包给其他公司或社会机构来完成。其意义在于,银行可以专注于信用卡核心业务,提高竞争优势;能够提高工作效率,增强应对市场的反应能力;借助规模经营的专业机构或团体,可以降低成本、提高质量;能够规避后勤服务经营风险;能最大程度地节约人力资源,克服缺乏专业技术人员的困难。
服务外包有利于银行提高市场业绩,帮助银行通过租赁、直接购买服务等方式将有形的固定资产转化为费用支出。
不仅理论上如此,实证研究也是如此。在一个完全市场经济的社会中,商业银行和外包方都属于理性的投资者,对于风险的测度和衡量,对于系统安全性是双方关注的问题,因此出于商业利益不会对风险置之不理。商业银行信用卡业务采取外包服务的目的就是为了提高效率,因此对于外包部分不会再投入资金进行有关系统的风险防范投入,但是出于安全性考虑,一般会投入适当资金进行风险跟踪和安全性管理,比如万事达卡国际组织对于信用卡交易的风险跟踪;而对于外包方,如果对于安全性完全不进行投入,会由于系统安全性过低而遭到市场的淘汰,因此外包方会投入适当的资金进行安全性管理,但同样出于利润最大化的驱使,通常不会投入最大额的资金。我们可以理解为商业银行和外包方都会都会采取安全策略,投入适当的资金进行风险防范以保证系统的安全性。
从上述分析可以看出,在市场经济条件下,采取外包是利润最大化的,同时其安全性也是较优的。
二、信用卡外包服务的风险分析
风险是人们因对未来行为的决策及客观条件的不确定性而可能引起的后果与预定目标发生多种负偏离的综合。服务外包风险,从经济学角度分析则是指服务外包实施结果相对于预期结果的变动程度,即银行服务外包预期收益的变动程度。在这里,风险是指一个事件或一个行动对组织实现其战略目标或成功实施其战略的能力产生的负面影响。信用卡外包服务的风险特性实际上是一种不确定性。
信用卡风险防范是指采取措施减少信用卡风险发生的可能性。信用卡风险控制是指发卡银行对持卡人的交易活动和特约商户是否遵守协议和规定实行监督,及时采取措施防范各种风险和案件的发生,一旦发生风险和案件就及时处理,最大限度地减少发卡银行所受的损失。信用卡的风险防范和控制主要包括对持卡人、特约商户和银行自身的风险防范和控制三个方面。
对持卡人的风险防范和控制可通过对持卡人的资信定期复查和评估以及对信用卡账户的交易情况进行每天监督,以及时发现风险隐患,防止恶性透支,减少风险 ;对特约商户和特约营业机构的风险防范和控制可通过监督特约商户的交易活动和资信情况,以提高风险防范能力。而不论持卡人还特约商户的交易数据乃至信用档案记录都是信用卡交易数据的一部分。因此信用卡交易数据的分析与管理是商业银行信用卡内部管理的风险防范和控制的重要举措。
伴随信息技术的飞速发展和技术专业化的要求,信用卡数据处理外包服务已成为商业银行长期战略成本管理的新兴工具,逐渐被越来越多的商业银行所采用。信用卡外包服务在带来高效率的同时,如果管理不当,也存在安全隐患。
信用卡服务外包风险是由许多不确定因素造成的。比如,银行要配合外包服务提供商的需求进行一些额外工作,这其中的协调成本可能会比较高。除此之外,签约金和监督外包厂商进展情况的支出,也可能远高于预期支出。而且,如果外包服务提供商提供的服务不够好,银行还需要再次委托其他厂商完成。另外,还有一些合同风险——在与外包服务提供商订立合同时,如果不仔细分析条约,一纸条约就可能会让银行遭受极大的损失。
如果管理不当,外包常常会使银行失去对一些产品或服务的控制,从而增加了银行风险和不确定性。银行有可能丧失对外包的控制,进而影响到银行整个业务的发展。银行业对系统的安全性是非常敏感的。在外包的系统中,由于没有银行内部科技人员的全程跟踪,一般业务部门容易忽视程序漏洞,难以发现后门程序。同时,在后期的维护过程中,为了解决问题,有时需要银行提供足够的信息,这些信息可能就会在无意中形成资金安全的隐患。上面的分析也指出,尽管外包方会投入适当的资金进行安全性管理,但同样出于利润最大化的驱使,通常不会投入最大额的资金。
万事达信用卡泄密事件中,最先发现泄密的是万事达信用卡国际公司的安全专家。他们在追踪一系列盗用信用卡进行金融欺诈的案件时发现,漏洞都指向位于亚利桑那州的信用卡系统解决方案公司。这家公司专门替银行和商家处理信用卡和其他支付方式的业务,其客户包括万事达公司,以及其他一些美国主要的信用卡公司。万事达公司17日晚发表声明称,一名“未经授权者”利用与电脑病毒类似的脚本程序,侵入信用卡业务系统,获取了包括用户姓名、银行账户在内的大批用户资料,这些资料可能导致用户账户内的资金被盗。这份声明说,“通过与包括发卡银行、收单银行、业务公司,以及执法部门在内的各方合作,万事达公司已经对泄密事件展开调查,并与泄密的业务公司合作修补了安全漏洞。”万事达公司表示,已要求信用卡系统解决方案公司在“有限时间内”改进系统安全,以达到万事达的安全要求。
由于现实的经济环境是动态的,签订服务外包合同的双方都不可能完全预测到未来执行合同时可能出现的各种情况以及相应的解决办法,太详尽的合同条款会限制双方对环境变化的应变能力,而合同条款不够详尽又会带来服务的更加不确定,因此由于合同契约的不完全性,使得服务外包所产生的收益分配具有不确定性。这可能会导致银行承担盈利风险。例如,在信用卡信息系统外包中,软件的成本核算包括开发的可见成本和后期的维护成本。在使用软件的过程中,不可避免地会遇到一些问题,这些都有可能直接或间接地增加维护难度和维护成本。
在选择外包服务商时,由于信息不对称和隐蔽信息而误选外包服务商,也是外包风险的隐患之一。
三、我国商业银行外包策略与外包风险防范
如前所述,在市场经济条件下,外包是商业银行和外包方双赢的局面,是系统效率达到帕累托最优的体现。目前我国处于向市场经济转轨的过程中,商业银行为了加强核心竞争力,纷纷采取外包的形式,但由于我国尚未形成完全的市场经济,因此外包方和商业银行还未完全成为理性参与者,特别是由于信息不对称等因素的影响,对于商业银行,在外包时,有可能产生服务外包风险。从经济学角度分析服务外包风险是指银行服务外包预期收益的变动程度。服务外包风险是由许多不确定因素造成的,在我国现阶段,外包风险通常体现为以下几种形式。
外包成本超过预期。银行要配合外包服务提供商的需求进行一些额外工作,这其中的协调成本可能会非常高。除此之外,签约金和监督外包厂商进展情况的支出,也可能远高于预期支出。合同风险是外包过程中要特别注意的一点,尤其在我国,相关法律还不够健全的情况下。在与外包服务提供商订立合同时,如果不谨慎,可能会让银行遭受极大的损失。例如服务内容的不确定性,外包方责任的模糊性,都会给商业银行带来风险。
服务外包如果监督不当会使商业银行失去对外包服务业务的控制,受制于服务商;由于服务外包,企业不可能像对自己的部门管理那样清楚知道外包部门的运作全过程,也得不到来自外包商服务人员的直接报告,因此容易对外包的内容和资源失去控制、从而增加经营风险和不确定性,进而有可能影响到商业银行整个业务的发展;同时如果没有具有可操作性而且严格的监控措施,外包服务商有可能不履行先前的承诺,服务资源也存在级别被降低的风险。从万事达卡事件中也可以看到商业银行监控机制的重要。
由于信息屏蔽和非市场因素而选错外包服务提供商,从而造成损失;或者由于外包服务提供商提供的服务不够好,银行还需要再次委托其他厂商完成,造成成本的增加和时间的延误。隐蔽信息的问题在企业选择外包服务商的过程中非常具有普遍性。由于信息不对称,服务商比企业更了解自己的资信、真实的技术实力、人员实力,并向企业提供不充分或不真实的信息。同时在企业方面,一些项目经理由于没有能力或没有严格设计和遵照招标规程去了解服务商的实际运作情况、背景、主导产品与核心业务情况,也没有对服务商的财务状况、非财务状况、稳定性等进行认真核查及分析,从而无法把握来自于服务商的风险;另外由于直接项目负责人存在个人倾向性,而导致企业误选了不适合自身实际情况的服务商。
外包已经成为一种能够提高商业银行效率,增强核心竞争力的手段,如何有效利用外包,防止外包风险,是商业银行实施外包的战略选择。在我国市场经济的转轨过程中,商业银行选择外包战略,加强市场透明度,减少信息不对称的影响是防范外包风险的必要途径,应该注重以下几个方面:
首先,要明确外包的技术需求与服务需求,明确外包服务商的责任,对于外包服务商所提供的外包服务应该具备一套合理且具有可操作性的评估方法。
其次,选择合适的外包服务商,应全面考虑外包服务商的财务、人力资源、信誉、管理控制及效率、服务质量,以及是否熟悉业务、价格水平等条件,尽量避免因“隐蔽信息”所带来的外包风险;在审慎分析外包服务商各方面因素后,认真签订外包合约,作为双方共同遵守及管理的依据。
第三,尽量做到外包合约的准确性和详尽性,对工作目标及预期效益、合作范畴、运作方式、责任划分、所有权归属、合约修改与终止、付款方式、赔偿问题等都要有明确的确认。
第四,对外包服务有一套严谨的监控体系和风险跟踪系统,虽然是最后一点,但在整个外包策略中,是最重要的一点,从万事达信用卡信息泄露案可看出监控体系的重要性。良好的监控体系可以及时发现安全隐患,将损失降低到最小,并可以将静态的外包合约逐步演化为动态合约的履行过程。
当前中国信用卡市场正处于发展初期,很多银行特别是中小银行的信用卡业务都采取外包形式,外包风险防范至关重要,而借鉴万事达卡风险监控机制对信用卡业务进行跟踪和监控,是增加市场透明度,减少信息不对称,减少外包风险的重要举措。随着市场机制的健全,社会信用制度的发展,妥善利用外包服务,在提高效益的同时,建立积极的风险防御机制,让服务外包真正成为银行业特别是信用卡业增强国际竞争力的重要举措。
参考文献:
斯蒂格里茨 经济学 中国人民大学出版社 1997年 P323