商業銀行信息科技外包風險評估模型

李堅寶 柯明通 李山河 唐宗

【摘要】本文從信息科技外包服務供需雙方的角度，對目前商業銀行信息科技外包現狀進行了分析，全面識別了商業銀行信息科技外包過程中可能面臨的主要風險，結合已知風險因子和外包類型，形成了相應的外包風險預警指標體系，通過利用層次分析法，構建了可優化信息科技外包工作的商業銀行外包風險評估模型。

【關鍵詞】信息科技外包風險 風險評估 重點外包服務機構 優化控制

一、背景

隨著信息科技技術應用的深入和信息科技外包服務的發展，近年來我國商業銀行普遍將信息科技外包作為提高信息科技服務水平的重要手段，通過信息科技外包幫助銀行提高管理和服務效率，節約信息科技建設和運維成本，實現戰略升級。

隨著外包服務范圍的擴大和深入，商業銀行對于信息科技外包商的依賴程度也逐漸加大，外包商自身的財務風險、經營風險、操作風險和道德風險都有可能傳導至商業銀行，引發商業銀行的業務中斷、信息泄露、系統失效、經濟損失、聲譽受損等一系列系統性風險；另一方面，由于銀行自身外包管理能力的不善，也引發了一些外包風險事件的發生。

監管機構近年來高度重視信息科技外包風險，對商業銀行外包管理提出了更明確的要求。因此，如何在信息科技外包過程中科學有效的評估外包商的風險，是商業銀行目前信息科技外包風險管控迫待需要解決的問題。

二、商業銀行信息科技外包風險評估模型建立

（一）商業銀行信息科技外包風險識別

信息科技外包是一種通過將風險發生時所造成的全部或部分影響轉移給第三方服務供應商的風險轉移措施，它使商業銀行通過風險轉移在一定程度上降低了信息科技風險事件發生時對銀行造成的損失。然而，在將信息科技活動風險轉移給第三方的同時，也帶來了外包活動的相關風險。據此，本文從風險來源的角度將商業銀行信息科技外包風險劃分為兩類（見圖1）。

圖1 商業銀行信息科技外包風險框架

對于A類風險（商業銀行信息科技外包自有風險）與B類風險（外包商信息科技風險），本文識別了風險存在的領域，依據因子分析法進一步分解了各風險領域下的風險因子。

1.A類：商業銀行信息科技外包自有風險。本文根據信息科技外包生命周期和管理主體，同時參考相關指引和通知，梳理了5個風險領域：外包管理組織架構及外包戰略管理、外包風險管理、外包項目管理、外包商管理、監管報告管理。在每個風險領域下，根據因子分析法又分解了17個可能誘發風險事件的風險因子。

2.B類：外包商信息科技風險。本文參考了ISO27001、ITIL V3和積累的經驗，結合國際知名咨詢公司的風險知識庫，共梳理出9個風險領域：運維管理、信息安全管理、服務管理、問題、事件管理、變更管理、業務連續性管理、轉包分包管理、公司治理。在每個風險領域下，使用因子分析法進一步分解了34個風險因子。

（二）商業銀行信息科技外包風險評估模型

信息科技外包風險事件大都產生于銀行自身或外部服務提供商內部控制管理的不善、人員或系統外部事件引發的損失，因此外包風險常常被歸類為操作風險的一個分支。目前管理操作風險主要有三大定性工具，包括風險控制自我評估（RCSA），損失數據收集（LDC）和關鍵風險（KRI）指標。

基于操作風險的三大工具，將信息科技外包風險評估模型分為為銀行信息科技外包自有風險與外包商信息科技風險兩塊，通過識別風險領域及其風險因子，為每一個風險因子找到多個可應對它的控制活動，且通過控制活動識別關鍵風險考核指標，針對每個風險因子可能造成的財務、合規、聲譽、資產安全、運營影響發生的可能，確定各風險因子的風險值。關鍵風險考核指標主要劃分為是否型指標（定性考核）和數值性考核指標（定量考核）。評估者可利用風險因子的風險值權重乘上每個關鍵風險考核指標的考核值，加權平均得到各風險領域的得分，進而得到外包風險的評分。

信息科技外包風險評估計量模型如圖2所示，信息科技外包活動中的風險權重（本文中以W為標識）與每項關鍵考核指標得分（本文中以Yn為標識）共同構成了信息科技外包風險管理得分的因子。

圖2 信息科技外包風險評估模型

本文通過下面的計量公式得到信息科技外包風險管理總分：

其中，Sp表示信息科技外包風險管理總得分，Sp值越大，說明信息科技外包風險越高；W（A/B）表示A類或B類風險單個風險權重，由判斷條件O1外包服務影響確定納入計算范圍的總體風險池，O1的選擇不同將導致風險總數不同，進而導致單個風險權重不同；Ri是五個風險影響領域財務影響、合規影響、資產安全影響、聲譽影響、運營影響的出現的平均次數得出的風險值；Y（A/B）n表示A類或B類風險單項關鍵考核指標得分，由判斷條件O2考核指標級別確定納入計算范圍的關鍵考核指標池。Y（A/B）n取值越大，說明單項考核指標得分越高。

根據計算最終外包風險評估結果時，銀行信息科技外包自有風險（A類）和外包商信息科技風險（B類）時α和β的權重確定方法不同，本文將信息科技外包險評估模型設計為單一權重信息科技外包風險評估模型和分層權重信息科技外包風險評估模型。

1.單一權重信息科技外包風險評估模型。在單一權重信息科技外包風險評估模型中，每個風險領域和風險因子都是用單一同樣的風險權重，α和β的值分別為A類和B類各風險因子個數占總風險因子的占比。

單一權重信息科技外包風險評估模型的優點是計算簡單，操作性較強，具有很強的實際操作價值。但也存在一定的缺點，例如存在一定的主觀性，精度不夠，導致風險因子間相對重要性得不到合理體現。

2.分層權重信息科技外包風險評估模型。分層權重信息科技外包風險評估模型主要依據層次分析法（AHP）確定各風險領域的權重。AHP法主要將目標結果分解成多個層次，通過兩兩比較下層元素對于上層元素的相對重要性，將人的主觀判斷用數量形式表達和處理以求得評估指標的權重。

本文創新性的采用了yaahp層次分析軟件，建立了分層模型，并得到每個風險領域和因子的權重（具體見表1）。

表1 風險領域權重

基于APH法的分層信息科技外包風險評估模型主要將上述風險權重加入風險評分的計算中。AHP分析法最大的優點是實現了定量與定性相結合，精度高，能準確地確定評估指標的權重，因而使評估指標間相對重要性得到合理體現，評估結果可能更精準和科學。實際外包風險管控中，商業銀行可根據自身的風險評估需求，選擇單一權重信息科技外包風險評估模型或分層信息科技外包風險評估模型。

（三）信息科技外包風險評估模型的評級說明

銀行信息科技外包自有風險與外包商信息科技風險評級分為1～5級。1級是最高評級表示銀行信息科技外包風險管理方式最有力，需要最少的監管關注。5級是最低評級，表示銀行信息科技外包風險管理方式最弱，因此需要最多的監管關注及管理層重視。根據銀行信息科技外包自有風險與外包商信息科技風險評級的1～5分評級結果，可以得到總外包風險的評估等級。

圖3 外包風險矩陣

三、外包風險評估實證研究

（一）銀行信息科技外包自有風險管理

本文針對農村金融機構、城市商業銀行、股份制商業銀行與國有商業銀行，并針對不同外包服務類型，包括駐場、非駐場集中式、非駐場獨立式與跨境外包進行模型打分和訪談測試兩個步驟來驗證銀行信息科技風險管理評估模型中銀行信息科技外包自有風險管理的合理性。

選擇某銀行的駐場式外包管理進行模型驗證，從A模型中篩選出5個風險領域、17個風險因子與40個關鍵考核指標，采用單一權重評分模型，并將A模型使用及評分方法發予該銀行的外包服務管理部門進行自評，并對37條關鍵考核指標逐一進行控制活動設計與執行層面的測試。

由于模型與測試結果的偏離度大于5%，對模型進行了修正，降低對應的風險值的同時，調整了各項關鍵考核指標的劃分。通過重復自評、驗證、調整的步驟，保證模型與實際的偏離程度始終低于容差水平5%。

（二）外包商信息科技風險管理

本文針對不同外包服務機構，包括重點外包服務機構和非重點外包服務機構，并針對不同外包服務類型，包括應用系統托管、基礎設施托管、系統軟硬件平臺維護、開發與人力外包、咨詢服務類進行模型打分和訪談測試兩個步驟來驗證銀行信息科技風險管理評估模型中外包商信息科技風險管理的合理性。

在模型矩陣中篩選出“應用系統托管”適用的9個風險領域，31個風險因子，56條關鍵考核指標，選擇單一權重評分模型，并將模型使用及評分方法發予該重點外包服務機構的外包服務管理部門進行自評。并對55條關鍵考核指標逐一進行控制活動設計與執行層面的測試。

由于模型與測試結果的偏離度大于5%，對模型進行了修正，降低對應的風險值的同時，調整了各項關鍵考核指標的劃分通過重復自評、驗證、調整的步驟，保證模型與實際的偏離程度始終低于容差水平5%。

四、商業銀行信息科技外包風險防范的建議

綜合上述商業銀行外包風險評估模型和實證研究結果，本文總結了進一步防范商業銀行信息科技外包風險的建議，主要包括：

一是審慎選擇信息科技外包項目。商業銀行在確定是否外包時，應綜合考慮業務需求、預期投入和未來成本效益分析，根據銀行業務未來的發展方向和戰略，選擇外包項目。

二是建立嚴格的外包商準入評估機制。建議商業銀行建立科學的外包商準入評估機制和方法，在準入前、項目過程和結項時對外包商做出科學的評價，并建立外包商信息庫，更新外包商內部評級至信息庫，作為下次外包服務的評價要素之一。

三是實施貫穿外包項目全生命周期的管理。建立外包項目的管理小組，明確管理小組的成員和職責，該管理小組監控外包項目進度，實施外包項目全生命周期的管理。并且此外包項目的管理小組需要真正的在每個里程碑及時監控和反饋項目情況。

四是建立信息科技外包項目的防火墻。需要建立真正的風險防火墻，分析傳導范圍，采取適當的控制措施，將風險傳導范圍控制在最小化的信息傳遞之內。

五是通過損失事件庫的積累，科學評定風險發生的可能性和預計損失，實現外包風險的監控和計量。并根據每項業務的外包的依賴度，依據業務重要性水平，實現相關風險損失準備金的計提。

參考文獻

[1]張金隆，叢國棟，陳濤.《基于交易成本理論的IT外包風險控制策略研究綜述》.管理學報，2009年.

[2]郭亮.《商業銀行IT外包項目風險評估的指標體系及方法》.上海交通大學（碩士論文），2012年.

[3]吳文忠.《IT外包模式選擇與風險管控》.金融電子化，2011年.

[4]毛基業，李曉燕.《動態能力構建：基于離岸軟件外包供應商的多案例研究》.管理科學學報，2010年.

[5]杜占河，廖貅武，魏澤龍.《IT外包中控制策略組合的演化研究——基于對美國、日本外包項目的比較》.科學學與科學技術管理，2013年.