淺談銀行業(yè)信息科技外包風險及管理

王昱元

【摘要】信息科技外包為銀行業(yè)金融機構提高經(jīng)營效率，提升管理和服務水平，降低科技工作的建設和運維成本，有效減少了科技人員技術力量不足所帶來的壓力，增強金融機構的應變能力和核心競爭力。信息科技外包一方面為銀行業(yè)創(chuàng)造價值，另一方面也帶動了銀行業(yè)金融機構風險的轉(zhuǎn)移。

【關鍵詞】銀行業(yè) 信息科技外包 外包風險

一、銀行業(yè)信息科技外包

銀行業(yè)金融機構的信息科技外包服務以合同方式委托信息技術服務供應商提供所需的信息技術服務，銀行業(yè)信息科技外包類型可以概括為以下幾類說明如下：

銀行業(yè)信息科技外包：研發(fā)咨詢類外包：科技管理及科技治理等咨詢設計外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包。系統(tǒng)運行維護類外包：包括數(shù)據(jù)中心（災備中心）、機房配套設施、網(wǎng)絡、系統(tǒng)的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包。業(yè)務外包中的信息科技活動：市場拓展、業(yè)務操作、企業(yè)管理、資產(chǎn)設置等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動。

二、信息科技外包風險

銀行業(yè)金融機構得益于信息科技外包服務，科技水平顯著提高，憑借著外包供應商優(yōu)質(zhì)的軟硬件環(huán)境最大化了金融機構的競爭優(yōu)勢，在得到極大優(yōu)勢的同時必然要面臨相應的風險。

（一）跨境外包風險

金融機構購買某一國家服務供應商的信息產(chǎn)品、系統(tǒng)等相關外包服務，在合同期間該國家的經(jīng)濟、政治、社會事件產(chǎn)生了國家級別的風險，從而導致該合作供應商不能正常經(jīng)營，致使對金融機構造成重大影響。

（二）集中度風險

金融機構將信息科技外包服務集中交由少量服務供應商承接，在合同期間，該服務商或者其供應鏈上某公司出現(xiàn)無法正常運營的情況，導致金融機構出現(xiàn)集中性的服務中斷、一系列的安全事件。

（三）信息安全風險

首先服務供應商或者其供應鏈上某公司是額外增加的不可控的信息安全風險環(huán)節(jié)，其次服務供應商內(nèi)部控制有出現(xiàn)漏洞的可能，致使金融機構遭受黑客攻擊、銀行客戶信息和資產(chǎn)被竊取等事件的發(fā)生，導致包含客戶信息在內(nèi)的金融機構非公開數(shù)據(jù)被服務商、黑客等非法獲得。

（四）科技能力喪失風險

金融機構長期購買某些服務供應商的服務，熟悉供應商所提供的產(chǎn)品，形成了對供應商及其所提供的外部資源過渡依賴，導致金融機構失去科技控制力及創(chuàng)新能力，影響業(yè)務創(chuàng)新，掣肘機構發(fā)展。

（五）業(yè)務中斷風險

金融機構由于更換服務供應商、供應商更新或停止某項服務等原因造成無法持續(xù)享有外包服務，導致金融機構某項業(yè)務中斷。

（六）服務水平下降風險

供應商的服務能力有限，技術水平、研發(fā)能力不足，行業(yè)聲譽下降，內(nèi)外部協(xié)作效率低下，不能迅速跟進技術應用、對產(chǎn)品及時升級改造，導致外包服務質(zhì)量達不到合約預期目標，供應商對金融機構的科技服務質(zhì)量下降。

三、信息科技外包風險管理

（一）建立信息科技外包服務管理機構

要對信息科技外包實施全面有效的管理，必須首先建立外包服務管理機構。目前，銀行業(yè)金融機構在外包過程中，僅當外包商選擇或發(fā)生了法律糾紛時，才成立臨時性機構來處理相關外包事務，管理機構的缺失給外包服務的管理和監(jiān)督帶來不便，無法充分保障外包服務的質(zhì)量。

信息科技外包服務管理機構應該建立健全外包服務管理相關制度，做到對外包服務相關事務的處理有制度可依循，防范在外包立項、審批、采購、實施、服務過程中出現(xiàn)的各種風險。

信息科技外包服務管理機構應做好外包服務商準入控制?？刂仆獍枕椖款A算經(jīng)費；核查外包服務項目與金融機構發(fā)展趨勢、信息科技外包戰(zhàn)略是否一致；在篩選服務供應商時，國產(chǎn)供應商優(yōu)先，禁止與監(jiān)管部門發(fā)布風險預警的外包服務商合作，避免與提供外包服務不滿三年的供應商合作，避免與已簽訂其他外包項目的供應商合作；對重要的服務供應商開展盡職調(diào)查，必要時為保證公允，可聘請第三方機構協(xié)助調(diào)查，調(diào)查應關注供應商技術經(jīng)驗、行業(yè)聲譽、內(nèi)部控制力、企業(yè)管理能力、持續(xù)經(jīng)營狀況等。

（二）規(guī)范信息科技外包服務合同

在購買外包服務前，金融機構應與外包服務供應商簽訂合同，合同應根據(jù)外包服務需求、盡職調(diào)查結(jié)果確定詳細程度和重點。

合同應合規(guī)，遵從法律法規(guī)及金融機構內(nèi)部管理制度的要求；合同應明確服務范圍、內(nèi)容、方式、時限、責任分配等事宜；合同應明確供應商在安全和保密方面的責任，禁止使用、泄露金融機構非公開信息，明確加強安全保密的具體措施；合同應滿足服務連續(xù)性要求，具有完善的災難恢復設施和應急管理體系，若供應商由于其自身原因造成的服務中斷可能時，需提前向金融機構提出事務應急方案，做好應急處理，做好過渡安排，保障業(yè)務連續(xù)性；合同應包括爭端解決機制、違約及賠償條款，明確信息安全、服務質(zhì)量、知識產(chǎn)權等違約情況下的賠償及解決辦法；合同應包括報告條款，明確常規(guī)報告內(nèi)容、頻度、突發(fā)事件的報告流程、方式、時限要求等。

（三）落實信息科技風險評估

金融機構應定期開展信息科技外包風險評估，由牽頭部門組織，信息科技部門技術配合開展系統(tǒng)、全面的信息科技外包風險評估工作。

信息科技外包風險評估應涵蓋信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機構集中度、服務連續(xù)行、服務質(zhì)量、政策及市場變化等因素。

定期對重要的外包服務供應商進行風險評估，評估應涵蓋供應商合規(guī)情況、服務的執(zhí)行效果、供應商企業(yè)內(nèi)部控制力等因素。

完成風險評估后應及時提交評估報告，并針對評估發(fā)現(xiàn)的問題立即整改，評估及整改情況宜留存信息科技外包服務管理機構，用于核定供應商續(xù)約等事務。

四、總結(jié)

建立信息科技外包服務管理機構，建立健全制度，落實外包服務商準入控制，規(guī)范外包合同，落實風險評估，在服務實施過程中進一步監(jiān)督管控供應商，有力防范信息科技外包服務的跨境、集中度、信息安全、科技能力喪失、業(yè)務中斷、服務水平下降等風險。