關注中小銀行信息科技外包風險和安全管理

丁光華

信息科技外包是中小銀行機構降低IT投資風險，將精力集中于核心業(yè)務以提高核心競爭力的重要策略之一，但是信息科技外包作為一把“雙刃劍”，在提升銀行競爭優(yōu)勢的同時，也帶來了安全可控能力下降、業(yè)務同質化等風險，本文在分析區(qū)域中小銀行機構信息科技外包現(xiàn)狀及存在主要風險的基礎上，對如何做好信息科技外包安全管理提出相關對策和建議。

一、中小銀行信息科技外包現(xiàn)狀

隨著信息化和銀行業(yè)務的高度融合，信息系統(tǒng)已經成為銀行業(yè)務發(fā)展和創(chuàng)新的核心支撐，成為銀行生存發(fā)展的生命線。同國內的大銀行相比，中小銀行大多數底子薄、實力弱、技術水平較低，為快速提高核心競爭力，主要采用外包方式開展信息化建設管理。

通過對區(qū)域城市商業(yè)銀行、信用合作社（農商行）、村鎮(zhèn)銀行信息科技外包情況進行分析，目前中小銀行信息科技外包主要有以下幾種方式：一是系統(tǒng)建設和運行維護整體外包給科技公司，少數小銀行以托管的方式將信息系統(tǒng)外包給科技公司，由科技公司建設和運維，部分銀行將部分類別業(yè)務系統(tǒng)整體外包給科技公司；二是系統(tǒng)建設和運行維護整體外包給發(fā)起行，部分小銀行的信息系統(tǒng)主要采取托管形式，直接利用發(fā)起行的信息系統(tǒng)，系統(tǒng)建設和運行維護都主要由發(fā)起行負責；三是系統(tǒng)建設采用外包模式，運行維護自主實施，部分科技能力較強的中小銀行采用這種方式，即業(yè)務系統(tǒng)建設采取與外包公司合作建設或委托開發(fā)方式，運行維護全部自主開展，對外依賴程度相對較低。

二、中小銀行信息科技外包面臨的主要風險

信息科技外包是中小銀行機構快速適應激烈市場競爭的重要策略之一，但給銀行自身運營帶來安全可控能力下降、信息泄露、業(yè)務服務水平較低等風險，并對信息科技監(jiān)管帶來了新的問題和挑戰(zhàn)。

（一）銀行運營管理風險

中小銀行機構信息系統(tǒng)建設外包，或者是建設和運行維護整體外包，對外依賴程度較高，且內部安全管控體系建設不夠完善，運營管理存在風險，主要表現(xiàn)在：

1.業(yè)務運行風險防控能力較低。中小銀行外包服務機構服務水平差異化大，參差不齊，部分外包公司在中小銀行機構所在地未設辦事機構，也未安排工作人員，日常系統(tǒng)維護主要采取電話聯(lián)系、遠程處理，應急響應時間和處置效率不足。少數行將業(yè)務系統(tǒng)托管在外地，由于系統(tǒng)異地部署，維護外包，系統(tǒng)的安全運行基本上完全依賴托管方。

同時，中小銀行對外包服務管理能力不高，管理內容有疏漏，日常監(jiān)測管理不到位，存在因服務無法持續(xù)提供而影響業(yè)務連續(xù)性的風險，安全可控水平水平較低。

2.信息泄密風險認識不到位。外包單位在進行系統(tǒng)維護過程中，有機會接觸銀行客戶信息甚至核心數據，管理不當引起的信息泄露可能導致銀行業(yè)聲譽風險及法律風險，從而使銀行蒙受巨大損失。

對于信息泄露，主要采取簽訂保密協(xié)議強化管理，但存在未將保密責任落實到個人，對信息保密工作認識不到位的情況，特別是少數行未認識到發(fā)起行與本機構不同法人、不同法律主體下的區(qū)別，簡單將發(fā)起行視為同一機構，信息保密基本上依賴發(fā)起行，保密風險高度集中，且管理手段單一。

3.業(yè)務服務同質化且水平較低。中小銀行機構特別是小銀行過度依賴外部資源，系統(tǒng)上線、運行維護以及后續(xù)優(yōu)化均依賴于外包，失去對項目、技術的控制能力，影響業(yè)務發(fā)展，且當業(yè)務發(fā)展規(guī)劃、業(yè)務管理制度與發(fā)起行（管理行）體系出現(xiàn)差異的時候，信息科技系統(tǒng)無法適時進行調整。

由于對信息系統(tǒng)建設、技術問題不具備太多的主動權，在銀行業(yè)務與信息技術高度融合的趨勢下，中小銀行的業(yè)務往往與發(fā)起行（管理行）同質化明顯，制約了服務能力的持續(xù)改善與提升。

（二）信息科技監(jiān)管面臨風險

目前信息科技的監(jiān)管按照屬地管理原則開展，采取紙質材料審核，現(xiàn)場檢查和非現(xiàn)場檢查相結合的方式開展，中小銀行外包的普遍存在使信息科技監(jiān)管面臨了嚴峻挑戰(zhàn)。

1.監(jiān)管要求落實困難。由于外包，目前中小銀行信息系統(tǒng)存在異地部署，針對系統(tǒng)標準符合性和系統(tǒng)安全性檢查評估的重要關鍵內容，往往無法開展現(xiàn)場檢查核實，主要通過參考其他地方已通過檢查評估的，或者以關聯(lián)密切的行（如由同一發(fā)起行發(fā)起的其它行）提供的相關材料為依據進行核實，監(jiān)管要求有效落實存在困難。

2.日常監(jiān)管效率較低。目前中小銀行機構科技人員多數配備不足，從業(yè)人員運維實戰(zhàn)經驗不足，加之系統(tǒng)建設和運維由發(fā)起行或科技公司負責，在檢查對接、系統(tǒng)問題排查過程中往往效率不高，同時由于不能實施現(xiàn)場檢查而以非現(xiàn)場檢查為主進行監(jiān)管，可能存在監(jiān)管盲區(qū)。

三、信息科技外包安全管理對策與建議

（一）規(guī)范外包服務機構準入

按照行業(yè)信息科技特點及管理要求，從財務狀況、內控風險管理，IT服務水平、服務經驗、人員技能水平等方面，建立銀行業(yè)信息科技外包機構資質標準，梳理外包服務準入采購或商務談判流程，規(guī)范外包機構準入，從源頭控制提高外包服務水平，防范外包風險。

強化與工商管理部門、信息產業(yè)管理部門以及信息安全測評部門的溝通協(xié)調，共享信息，建立外包服務機構黑名單或推薦機構名單，多角度，多層次推動外包服務機構持續(xù)提升服務能力。

（二）規(guī)范中小銀行信息科技外包管理內容

建立中小銀行機構信息科技外包管理指南或標準，規(guī)范外包服務流程、監(jiān)測評估、應急處置管理內容，細化外包合同和保密管理要求。

按照“技術可以外包，責任不能外包”的原則指導中小銀行機構將信息科技外包管理納入全面風險管理體系，建立與本機構信息科技戰(zhàn)略目標相適應的外包管理體系，在開展綜合管理的同時引入審計系統(tǒng)等技術手段提升外包管理效能，全過程、全方位做好外包提供商和外包服務人員管理，有效控制或降低由于外包而引發(fā)的安全風險。

（三）探索強化整體監(jiān)管聯(lián)動

一是強化聯(lián)合監(jiān)管。對于信息系統(tǒng)由異地銀行業(yè)機構外包管理的，探索強化聯(lián)合監(jiān)管，確保檢查核實有效實施。可由中小銀行所在地監(jiān)管機構委托其信息系統(tǒng)所在地監(jiān)管機構開展檢查，由信息系統(tǒng)所在地監(jiān)管機構對負責外包的銀行系統(tǒng)及數據實施現(xiàn)場檢查，檢查結果反饋到中小銀行所在地監(jiān)管機構；另外，必要時，可由中小銀行所在地監(jiān)管機構和信息系統(tǒng)所在地監(jiān)管機構共同組成檢查小組開展現(xiàn)場檢查核實，通過雙線監(jiān)管，確保監(jiān)管無死角。

二是強化跨區(qū)域科技監(jiān)管信息交流。建立科技監(jiān)管信息共享機制，以各省區(qū)信息科技監(jiān)管活動為主要內容，搭建信息共享平臺，共享現(xiàn)場檢查和非現(xiàn)場檢查信息，提示安全風險，交流相關經驗。

三是強化與工商管理部門、信息產業(yè)管理部門以及信息安全測評部門的溝通協(xié)調，探索研究將提供銀行信息系統(tǒng)外包服務的科技公司納入監(jiān)管范圍。

（四）探索引進分級分類管理機制

按照金融機構服務范圍、信息科技外包模式的不同，引入分級分類管理模式，有的放矢，提升監(jiān)管針對性。

一是按照服務范圍，對于僅在本地服務的機構和跨地區(qū)服務的機構采取不同的管理要求，即跨地區(qū)服務的機構采取較高級別的要求，增加檢查頻度和檢查內容，適時引入第三方檢測評估機構識別防范安全管理風險。

二是按照外包模式，對服務提供商是發(fā)起行（管理行）還是科技公司采取不同的管理要求，即對服務提供商是科技公司的機構采取較高級別的管理要求，強調準入資質，理清權責，強調外包服務監(jiān)測評估，適時引入第三方檢測評估機構識別防范管理風險；鑒于發(fā)起行（管理行）與銀行機構是利益共同體，則對協(xié)同配合，安全內控管理提出更高要求。

（五）鼓勵持續(xù)提升安全可控能力建設

以不妨礙核心能力建設、積極掌握信息科技關鍵技術為導向，通過政策指引，鼓勵中小銀行機構提升科技專業(yè)隊伍能力建設，逐步提升系統(tǒng)研發(fā)能力，加強對信息系統(tǒng)特別是核心業(yè)務系統(tǒng)的自主研發(fā)。

對于暫時沒有實力完全開發(fā)的系統(tǒng)，可以采用合作開發(fā)的方式，完成后逐步過渡到自己維護，分步驟合理降低外包依賴程度。