银行业金融机构信息科技外包风险及监管对策

银行业金融机构信息科技外包风险及监管对策银行业金融机构信息科技外包风险及监管对策银行业信息科技外包是指银行以固定的价格，在一定的IT服务水平基础上，以合同的方式委托IT夕卜包服务商向银行提供所需的部分或全部IT功能的一种信息服务。随着IT应用的深入和信息科技外包服务的发展，银行业金融机构普遍将信息科技外包作为提高信息科技服务水平的重要手段，帮助银行提高了银行的管理和服务效率，节约了信息科技建设和运维成本。但最近浙江银监局通过调研发现，随着信息科技外包的快速发展，潜在风险也逐步凸显，亟待引起关注。一、辖内银行业信息科技外包的基本情况（一） 信息科技外包内容广泛。目前银行业科技外包的内容主要包括软件开发维护、主机设备维护、桌面计算机及外设的维护、数据中心机房等基础设施、部分业务系统（如贷记卡业务、网银）以及外围业务系统等，其中主机设备维护较为普遍。夕卜包既有应用类的，也有维护类的；既有技术含量高的，也有技术含量低的。调查发现，无论大小银行都应用了外卜包服务，信息科技外包已成为银行科技管理的重要组成部分。（二） 国有银行和股份制银行分支机构夕卜包以非核心业务为主。由于国有银行和股份制银行的业务系统大多由总行统一开发维护，数据中心和灾备中心也由总行集中管理，分行仅负责辖内特色业务和部分外围系统的开发应用及维护，一般都由自己完成，因此其外包以桌面和设备维护为主，主要分为三类：一是桌面计算机及外设的维修维护；二是与主机相关的核心设备维保，包括小型机、存储阵列、核心交换机等；三是自助终端设备的维保，包括ATM机、自助查询机及POS机等。除此之外，部分大型银行或股份制银行也将部分非核心业务系统外包，如影像系统、IP语音网建设、视频会议系统等。这类夕卜包的特点是工作量大、技术含量较低，或者需要原厂商的技术支持和服务，目的是提高工作效率，降低组织成本。（三） 中小法人银行技术上对外包依赖较大。调查发现，辖内各城市商业银行和农信联社由于自身技术力量有限，夕卜包服务偏向技术含量较高的工作，包括核心业务系统开发、夕卜围业务系统、灾备建设、主机设备维护等。如中小银行核心业务系统开发都采用与公司合作外包的方式开发，即项目组中以公司人员为主，自身的科技人员补充，在上线后部分维护由自身完成的模式。在部分业务系统上，也有采用完全外包的方式。另外，还有部分机构将灾备中心及业务连续性建设咨询服务、灾备机房等外包给专业机构。与大型银行和股份制银行形成鲜明对比的是，中小银行将桌面计算机及外设维护夕卜包的比例很低，大多数都由自身科技人员完成。二、信息科技外包的主要风险点（一） 外包内容与银行业务发展战略不匹配。有的银行没有充分评估外包策略与业务总体发展战略的匹配性，将不恰当的内容外包，或者与外包商建立不合理的合作关系，造成自身核心竞争力的弱化以及未来业务发展受限。这类风险发生造成的后果很严重，当银行选择中途退出或者更改外包策略时要支付很大的战略退出成本，在重新建立信息系统和外包服务体系时可能需要支付比原来更高的费用，如果处理不当会使银行在财务、信誉、运作和潜在客户资源等方面蒙受极大的损失。（二） 夕卜包服务商选择不当造成外包服务低劣。该风险主要源于银行选择外包服务商的政策流程不够全面有效，未能很好地评估其人员、技术、财务及其他状况，片面地考虑局部优势，而忽略了IT夕卜包的总体服务水平，致使最终选择了低劣的服务商。夕卜包服务商能力的不足造成服务商无法达到外包合同规定的服务水平，提供的服务质量低劣导致与客户交互过程不符合银行整体服务标准，从事不符合银行要求、损害银行利益的不当行为及信用恶化等一系列风险，严重的甚至造成银行信息系统瘫痪或者对外服务中断。（三） 外包合同风险与外包服务管理不到位。在外包合同制定中，有的银行只关注技术细节，而没有全面地考虑服务商的综合状况以及银行业务需求的发展和变化，未详细明确必须提供的最低服务水平、详细的服务范围和标准、发生故障时的服务级别及响应时间等，则银行在发生变化或意外故障时处于被动地位，无法对服务商形成有效约束。在外包合同执行期间，有的银行没有建立良好的夕卜包服务运行监督管理机制和服务评价机制，忽视对服务商财务状况及支持IT夕卜包业务的技术和关键人员的监督审计和日常检查，甚至将监管的责任移交给服务商，导致外包服务水平的下降。（四） 夕卜包服务潜在信息泄密风险。信息泄密是指由于外包服务商不具有完备的守法体系与内控能力，在为银行提供服务时，有意或无意地将银行内部信息和商业机密泄露，从而使银行面临潜在的风险。这类风险涉及面很广，发生概率较大。无论是低层次的桌面计算机维护夕卜包，还是高层次的业务系统整体外包，都有可能发生客户信息、银行经营数据泄密的风险，其中客户信息等个人隐私一旦泄漏将导致严重的信誉风险和法律风险。（五） 过度依赖外包服务商导致系统失控。有的银行信息科技外包的范围过大、层次过深，导致银行对外包商服务的依赖程度越来越大。随着时间的推移，银行自身的科技人员将逐渐丧失对核心技术的掌握能力，从而导致外包商成为技术强势的一方。银行对于业务需求的任何变更都必须经由或取得外包服务商的同意，在服务要求和成本控制上无法对外包服务商形成有效约束。长此以往，银行信息科技工作的灵活性和自主性就会降低，从而削弱银行的核心竞争力，外包服务商反而成为银行整体发展的障碍。三、监管对策建议目前，我国银行业信息科技外包业务快速发展，但银行在外包风险管理方面刚刚起步，缺乏统一的标准，管理水平参差不齐，而国内信息技术服务提供商在服务规范、技术水平、管理实施等方面还存在许多不尽人意的地方，外包服务纠纷也时有发生。银监会作为银行业的监管部门，非常有必要在信息科技外包方面制定全国统一的指导性文件，引导外包服务的健康有序发展。在银行业信息科技外包服务监管方面有以下几点建议：（一）督促银行建立全面的外包政策和外包风险管理机制。一是要求银行的外包策略必须与其总体战略相匹配。二是督促银行切实履行外包业务风险管理的责任，不能将风险管理的责任进行外包。银行应建立适当的夕卜包风险管理机制，设定必要的批准程序，将外包服务商纳入银行的风险管理和内控体系，对外包商设定合理的考核评价标准，并进行持续的监测和评估活动，针对外包风险制定专门的风险防范措施。三是要规范外包应急机制的设计，对于信息科技服务外包的各种意外情形，建立必要的应急措施。（二） 明确信息科技外包服务的定义和范围。夕卜包服务的范围是监管制度关注的焦点，也是规范的难点。外卜包服务的范围原则上应限于非核心金融服务，对于属于核心业务能力的信息技术，银行应掌握在自己手里，避免外包导致的系统失控；对于非核心业务的信息技术，银行可酌情考虑外包。建议银监会明确规定允许金融机构进行外包的服务，对于其他事务的夕卜包则通过特别的审查与批准程序，在列举范围上，建议通过分类和列举结合起来。（三） 防范外包过于集中的风险。如果整个银行系统过于依赖某—家外包服务商，会导致风险过度集中，容易造成系统性风险。如关键网络和核心主机设备过于依赖国夕卜供应商、信用卡业务外包过于依赖银联数据公司、灾备外包过于集中在某一城市或区域，都会造成系统性的风险，不符合风险分散管理的原则。因此，建议银监会从全局的角度进行整体规划、提前安排，引导商业银行外包适度分散、合理分布。（四） 引导建立成熟的银行业信息科技外包服务市场。如果国内拥有一个成熟规范