關注中小銀行信息科技外包風險和安全管理

丁光華

信息科技外包是中小銀行機構降低IT投資風險，將精力集中于核心業務以提高核心競爭力的重要策略之一，但是信息科技外包作為一把“雙刃劍”，在提升銀行競爭優勢的同時，也帶來了安全可控能力下降、業務同質化等風險，本文在分析區域中小銀行機構信息科技外包現狀及存在主要風險的基礎上，對如何做好信息科技外包安全管理提出相關對策和建議。

一、中小銀行信息科技外包現狀

隨著信息化和銀行業務的高度融合，信息系統已經成為銀行業務發展和創新的核心支撐，成為銀行生存發展的生命線。同國內的大銀行相比，中小銀行大多數底子薄、實力弱、技術水平較低，為快速提高核心競爭力，主要采用外包方式開展信息化建設管理。

通過對區域城市商業銀行、信用合作社（農商行）、村鎮銀行信息科技外包情況進行分析，目前中小銀行信息科技外包主要有以下幾種方式：一是系統建設和運行維護整體外包給科技公司，少數小銀行以托管的方式將信息系統外包給科技公司，由科技公司建設和運維，部分銀行將部分類別業務系統整體外包給科技公司；二是系統建設和運行維護整體外包給發起行，部分小銀行的信息系統主要采取托管形式，直接利用發起行的信息系統，系統建設和運行維護都主要由發起行負責；三是系統建設采用外包模式，運行維護自主實施，部分科技能力較強的中小銀行采用這種方式，即業務系統建設采取與外包公司合作建設或委托開發方式，運行維護全部自主開展，對外依賴程度相對較低。

二、中小銀行信息科技外包面臨的主要風險

信息科技外包是中小銀行機構快速適應激烈市場競爭的重要策略之一，但給銀行自身運營帶來安全可控能力下降、信息泄露、業務服務水平較低等風險，并對信息科技監管帶來了新的問題和挑戰。

（一）銀行運營管理風險

中小銀行機構信息系統建設外包，或者是建設和運行維護整體外包，對外依賴程度較高，且內部安全管控體系建設不夠完善，運營管理存在風險，主要表現在：

1.業務運行風險防控能力較低。中小銀行外包服務機構服務水平差異化大，參差不齊，部分外包公司在中小銀行機構所在地未設辦事機構，也未安排工作人員，日常系統維護主要采取電話聯系、遠程處理，應急響應時間和處置效率不足。少數行將業務系統托管在外地，由于系統異地部署，維護外包，系統的安全運行基本上完全依賴托管方。

同時，中小銀行對外包服務管理能力不高，管理內容有疏漏，日常監測管理不到位，存在因服務無法持續提供而影響業務連續性的風險，安全可控水平水平較低。

2.信息泄密風險認識不到位。外包單位在進行系統維護過程中，有機會接觸銀行客戶信息甚至核心數據，管理不當引起的信息泄露可能導致銀行業聲譽風險及法律風險，從而使銀行蒙受巨大損失。

對于信息泄露，主要采取簽訂保密協議強化管理，但存在未將保密責任落實到個人，對信息保密工作認識不到位的情況，特別是少數行未認識到發起行與本機構不同法人、不同法律主體下的區別，簡單將發起行視為同一機構，信息保密基本上依賴發起行，保密風險高度集中，且管理手段單一。

3.業務服務同質化且水平較低。中小銀行機構特別是小銀行過度依賴外部資源，系統上線、運行維護以及后續優化均依賴于外包，失去對項目、技術的控制能力，影響業務發展，且當業務發展規劃、業務管理制度與發起行（管理行）體系出現差異的時候，信息科技系統無法適時進行調整。

由于對信息系統建設、技術問題不具備太多的主動權，在銀行業務與信息技術高度融合的趨勢下，中小銀行的業務往往與發起行（管理行）同質化明顯，制約了服務能力的持續改善與提升。

（二）信息科技監管面臨風險

目前信息科技的監管按照屬地管理原則開展，采取紙質材料審核，現場檢查和非現場檢查相結合的方式開展，中小銀行外包的普遍存在使信息科技監管面臨了嚴峻挑戰。

1.監管要求落實困難。由于外包，目前中小銀行信息系統存在異地部署，針對系統標準符合性和系統安全性檢查評估的重要關鍵內容，往往無法開展現場檢查核實，主要通過參考其他地方已通過檢查評估的，或者以關聯密切的行（如由同一發起行發起的其它行）提供的相關材料為依據進行核實，監管要求有效落實存在困難。

2.日常監管效率較低。目前中小銀行機構科技人員多數配備不足，從業人員運維實戰經驗不足，加之系統建設和運維由發起行或科技公司負責，在檢查對接、系統問題排查過程中往往效率不高，同時由于不能實施現場檢查而以非現場檢查為主進行監管，可能存在監管盲區。

三、信息科技外包安全管理對策與建議

（一）規范外包服務機構準入

按照行業信息科技特點及管理要求，從財務狀況、內控風險管理，IT服務水平、服務經驗、人員技能水平等方面，建立銀行業信息科技外包機構資質標準，梳理外包服務準入采購或商務談判流程，規范外包機構準入，從源頭控制提高外包服務水平，防范外包風險。

強化與工商管理部門、信息產業管理部門以及信息安全測評部門的溝通協調，共享信息，建立外包服務機構黑名單或推薦機構名單，多角度，多層次推動外包服務機構持續提升服務能力。

（二）規范中小銀行信息科技外包管理內容

建立中小銀行機構信息科技外包管理指南或標準，規范外包服務流程、監測評估、應急處置管理內容，細化外包合同和保密管理要求。

按照“技術可以外包，責任不能外包”的原則指導中小銀行機構將信息科技外包管理納入全面風險管理體系，建立與本機構信息科技戰略目標相適應的外包管理體系，在開展綜合管理的同時引入審計系統等技術手段提升外包管理效能，全過程、全方位做好外包提供商和外包服務人員管理，有效控制或降低由于外包而引發的安全風險。

（三）探索強化整體監管聯動

一是強化聯合監管。對于信息系統由異地銀行業機構外包管理的，探索強化聯合監管，確保檢查核實有效實施?？捎芍行°y行所在地監管機構委托其信息系統所在地監管機構開展檢查，由信息系統所在地監管機構對負責外包的銀行系統及數據實施現場檢查，檢查結果反饋到中小銀行所在地監管機構；另外，必要時，可由中小銀行所在地監管機構和信息系統所在地監管機構共同組成檢查小組開展現場檢查核實，通過雙線監管，確保監管無死角。

二是強化跨區域科技監管信息交流。建立科技監管信息共享機制，以各省區信息科技監管活動為主要內容，搭建信息共享平臺，共享現場檢查和非現場檢查信息，提示安全風險，交流相關經驗。

三是強化與工商管理部門、信息產業管理部門以及信息安全測評部門的溝通協調，探索研究將提供銀行信息系統外包服務的科技公司納入監管范圍。

（四）探索引進分級分類管理機制

按照金融機構服務范圍、信息科技外包模式的不同，引入分級分類管理模式，有的放矢，提升監管針對性。

一是按照服務范圍，對于僅在本地服務的機構和跨地區服務的機構采取不同的管理要求，即跨地區服務的機構采取較高級別的要求，增加檢查頻度和檢查內容，適時引入第三方檢測評估機構識別防范安全管理風險。

二是按照外包模式，對服務提供商是發起行（管理行）還是科技公司采取不同的管理要求，即對服務提供商是科技公司的機構采取較高級別的管理要求，強調準入資質，理清權責，強調外包服務監測評估，適時引入第三方檢測評估機構識別防范管理風險；鑒于發起行（管理行）與銀行機構是利益共同體，則對協同配合，安全內控管理提出更高要求。

（五）鼓勵持續提升安全可控能力建設

以不妨礙核心能力建設、積極掌握信息科技關鍵技術為導向，通過政策指引，鼓勵中小銀行機構提升科技專業隊伍能力建設，逐步提升系統研發能力，加強對信息系統特別是核心業務系統的自主研發。

對于暫時沒有實力完全開發的系統，可以采用合作開發的方式，完成后逐步過渡到自己維護，分步驟合理降低外包依賴程度。