淺談銀行業信息科技外包風險及管理

王昱元

【摘要】信息科技外包為銀行業金融機構提高經營效率，提升管理和服務水平，降低科技工作的建設和運維成本，有效減少了科技人員技術力量不足所帶來的壓力，增強金融機構的應變能力和核心競爭力。信息科技外包一方面為銀行業創造價值，另一方面也帶動了銀行業金融機構風險的轉移。

【關鍵詞】銀行業 信息科技外包 外包風險

一、銀行業信息科技外包

銀行業金融機構的信息科技外包服務以合同方式委托信息技術服務供應商提供所需的信息技術服務，銀行業信息科技外包類型可以概括為以下幾類說明如下：

銀行業信息科技外包：研發咨詢類外包：科技管理及科技治理等咨詢設計外包，規劃、需求、系統開發、測試外包。系統運行維護類外包：包括數據中心（災備中心）、機房配套設施、網絡、系統的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包。業務外包中的信息科技活動：市場拓展、業務操作、企業管理、資產設置等外包中的系統開發、運行維護和數據處理活動。

二、信息科技外包風險

銀行業金融機構得益于信息科技外包服務，科技水平顯著提高，憑借著外包供應商優質的軟硬件環境最大化了金融機構的競爭優勢，在得到極大優勢的同時必然要面臨相應的風險。

（一）跨境外包風險

金融機構購買某一國家服務供應商的信息產品、系統等相關外包服務，在合同期間該國家的經濟、政治、社會事件產生了國家級別的風險，從而導致該合作供應商不能正常經營，致使對金融機構造成重大影響。

（二）集中度風險

金融機構將信息科技外包服務集中交由少量服務供應商承接，在合同期間，該服務商或者其供應鏈上某公司出現無法正常運營的情況，導致金融機構出現集中性的服務中斷、一系列的安全事件。

（三）信息安全風險

首先服務供應商或者其供應鏈上某公司是額外增加的不可控的信息安全風險環節，其次服務供應商內部控制有出現漏洞的可能，致使金融機構遭受黑客攻擊、銀行客戶信息和資產被竊取等事件的發生，導致包含客戶信息在內的金融機構非公開數據被服務商、黑客等非法獲得。

（四）科技能力喪失風險

金融機構長期購買某些服務供應商的服務，熟悉供應商所提供的產品，形成了對供應商及其所提供的外部資源過渡依賴，導致金融機構失去科技控制力及創新能力，影響業務創新，掣肘機構發展。

（五）業務中斷風險

金融機構由于更換服務供應商、供應商更新或停止某項服務等原因造成無法持續享有外包服務，導致金融機構某項業務中斷。

（六）服務水平下降風險

供應商的服務能力有限，技術水平、研發能力不足，行業聲譽下降，內外部協作效率低下，不能迅速跟進技術應用、對產品及時升級改造，導致外包服務質量達不到合約預期目標，供應商對金融機構的科技服務質量下降。

三、信息科技外包風險管理

（一）建立信息科技外包服務管理機構

要對信息科技外包實施全面有效的管理，必須首先建立外包服務管理機構。目前，銀行業金融機構在外包過程中，僅當外包商選擇或發生了法律糾紛時，才成立臨時性機構來處理相關外包事務，管理機構的缺失給外包服務的管理和監督帶來不便，無法充分保障外包服務的質量。

信息科技外包服務管理機構應該建立健全外包服務管理相關制度，做到對外包服務相關事務的處理有制度可依循，防范在外包立項、審批、采購、實施、服務過程中出現的各種風險。

信息科技外包服務管理機構應做好外包服務商準入控制?？刂仆獍枕椖款A算經費；核查外包服務項目與金融機構發展趨勢、信息科技外包戰略是否一致；在篩選服務供應商時，國產供應商優先，禁止與監管部門發布風險預警的外包服務商合作，避免與提供外包服務不滿三年的供應商合作，避免與已簽訂其他外包項目的供應商合作；對重要的服務供應商開展盡職調查，必要時為保證公允，可聘請第三方機構協助調查，調查應關注供應商技術經驗、行業聲譽、內部控制力、企業管理能力、持續經營狀況等。

（二）規范信息科技外包服務合同

在購買外包服務前，金融機構應與外包服務供應商簽訂合同，合同應根據外包服務需求、盡職調查結果確定詳細程度和重點。

合同應合規，遵從法律法規及金融機構內部管理制度的要求；合同應明確服務范圍、內容、方式、時限、責任分配等事宜；合同應明確供應商在安全和保密方面的責任，禁止使用、泄露金融機構非公開信息，明確加強安全保密的具體措施；合同應滿足服務連續性要求，具有完善的災難恢復設施和應急管理體系，若供應商由于其自身原因造成的服務中斷可能時，需提前向金融機構提出事務應急方案，做好應急處理，做好過渡安排，保障業務連續性；合同應包括爭端解決機制、違約及賠償條款，明確信息安全、服務質量、知識產權等違約情況下的賠償及解決辦法；合同應包括報告條款，明確常規報告內容、頻度、突發事件的報告流程、方式、時限要求等。

（三）落實信息科技風險評估

金融機構應定期開展信息科技外包風險評估，由牽頭部門組織，信息科技部門技術配合開展系統、全面的信息科技外包風險評估工作。

信息科技外包風險評估應涵蓋信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續行、服務質量、政策及市場變化等因素。

定期對重要的外包服務供應商進行風險評估，評估應涵蓋供應商合規情況、服務的執行效果、供應商企業內部控制力等因素。

完成風險評估后應及時提交評估報告，并針對評估發現的問題立即整改，評估及整改情況宜留存信息科技外包服務管理機構，用于核定供應商續約等事務。

四、總結

建立信息科技外包服務管理機構，建立健全制度，落實外包服務商準入控制，規范外包合同，落實風險評估，在服務實施過程中進一步監督管控供應商，有力防范信息科技外包服務的跨境、集中度、信息安全、科技能力喪失、業務中斷、服務水平下降等風險。