銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險及監(jiān)管對策

銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險及監(jiān)管對策銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險及監(jiān)管對策銀行業(yè)信息科技外包是指銀行以固定的價格，在一定的IT服務(wù)水平基礎(chǔ)上，以合同的方式委托IT夕卜包服務(wù)商向銀行提供所需的部分或全部IT功能的一種信息服務(wù)。隨著IT應(yīng)用的深入和信息科技外包服務(wù)的發(fā)展，銀行業(yè)金融機(jī)構(gòu)普遍將信息科技外包作為提高信息科技服務(wù)水平的重要手段，幫助銀行提高了銀行的管理和服務(wù)效率，節(jié)約了信息科技建設(shè)和運(yùn)維成本。但最近浙江銀監(jiān)局通過調(diào)研發(fā)現(xiàn)，隨著信息科技外包的快速發(fā)展，潛在風(fēng)險也逐步凸顯，亟待引起關(guān)注。一、轄內(nèi)銀行業(yè)信息科技外包的基本情況（一） 信息科技外包內(nèi)容廣泛。目前銀行業(yè)科技外包的內(nèi)容主要包括軟件開發(fā)維護(hù)、主機(jī)設(shè)備維護(hù)、桌面計算機(jī)及外設(shè)的維護(hù)、數(shù)據(jù)中心機(jī)房等基礎(chǔ)設(shè)施、部分業(yè)務(wù)系統(tǒng)（如貸記卡業(yè)務(wù)、網(wǎng)銀）以及外圍業(yè)務(wù)系統(tǒng)等，其中主機(jī)設(shè)備維護(hù)較為普遍。夕卜包既有應(yīng)用類的，也有維護(hù)類的；既有技術(shù)含量高的，也有技術(shù)含量低的。調(diào)查發(fā)現(xiàn)，無論大小銀行都應(yīng)用了外卜包服務(wù)，信息科技外包已成為銀行科技管理的重要組成部分。（二） 國有銀行和股份制銀行分支機(jī)構(gòu)夕卜包以非核心業(yè)務(wù)為主。由于國有銀行和股份制銀行的業(yè)務(wù)系統(tǒng)大多由總行統(tǒng)一開發(fā)維護(hù)，數(shù)據(jù)中心和災(zāi)備中心也由總行集中管理，分行僅負(fù)責(zé)轄內(nèi)特色業(yè)務(wù)和部分外圍系統(tǒng)的開發(fā)應(yīng)用及維護(hù)，一般都由自己完成，因此其外包以桌面和設(shè)備維護(hù)為主，主要分為三類：一是桌面計算機(jī)及外設(shè)的維修維護(hù)；二是與主機(jī)相關(guān)的核心設(shè)備維保，包括小型機(jī)、存儲陣列、核心交換機(jī)等；三是自助終端設(shè)備的維保，包括ATM機(jī)、自助查詢機(jī)及POS機(jī)等。除此之外，部分大型銀行或股份制銀行也將部分非核心業(yè)務(wù)系統(tǒng)外包，如影像系統(tǒng)、IP語音網(wǎng)建設(shè)、視頻會議系統(tǒng)等。這類夕卜包的特點(diǎn)是工作量大、技術(shù)含量較低，或者需要原廠商的技術(shù)支持和服務(wù)，目的是提高工作效率，降低組織成本。（三） 中小法人銀行技術(shù)上對外包依賴較大。調(diào)查發(fā)現(xiàn)，轄內(nèi)各城市商業(yè)銀行和農(nóng)信聯(lián)社由于自身技術(shù)力量有限，夕卜包服務(wù)偏向技術(shù)含量較高的工作，包括核心業(yè)務(wù)系統(tǒng)開發(fā)、夕卜圍業(yè)務(wù)系統(tǒng)、災(zāi)備建設(shè)、主機(jī)設(shè)備維護(hù)等。如中小銀行核心業(yè)務(wù)系統(tǒng)開發(fā)都采用與公司合作外包的方式開發(fā)，即項(xiàng)目組中以公司人員為主，自身的科技人員補(bǔ)充，在上線后部分維護(hù)由自身完成的模式。在部分業(yè)務(wù)系統(tǒng)上，也有采用完全外包的方式。另外，還有部分機(jī)構(gòu)將災(zāi)備中心及業(yè)務(wù)連續(xù)性建設(shè)咨詢服務(wù)、災(zāi)備機(jī)房等外包給專業(yè)機(jī)構(gòu)。與大型銀行和股份制銀行形成鮮明對比的是，中小銀行將桌面計算機(jī)及外設(shè)維護(hù)夕卜包的比例很低，大多數(shù)都由自身科技人員完成。二、信息科技外包的主要風(fēng)險點(diǎn)（一） 外包內(nèi)容與銀行業(yè)務(wù)發(fā)展戰(zhàn)略不匹配。有的銀行沒有充分評估外包策略與業(yè)務(wù)總體發(fā)展戰(zhàn)略的匹配性，將不恰當(dāng)?shù)膬?nèi)容外包，或者與外包商建立不合理的合作關(guān)系，造成自身核心競爭力的弱化以及未來業(yè)務(wù)發(fā)展受限。這類風(fēng)險發(fā)生造成的后果很嚴(yán)重，當(dāng)銀行選擇中途退出或者更改外包策略時要支付很大的戰(zhàn)略退出成本，在重新建立信息系統(tǒng)和外包服務(wù)體系時可能需要支付比原來更高的費(fèi)用，如果處理不當(dāng)會使銀行在財務(wù)、信譽(yù)、運(yùn)作和潛在客戶資源等方面蒙受極大的損失。（二） 夕卜包服務(wù)商選擇不當(dāng)造成外包服務(wù)低劣。該風(fēng)險主要源于銀行選擇外包服務(wù)商的政策流程不夠全面有效，未能很好地評估其人員、技術(shù)、財務(wù)及其他狀況，片面地考慮局部優(yōu)勢，而忽略了IT夕卜包的總體服務(wù)水平，致使最終選擇了低劣的服務(wù)商。夕卜包服務(wù)商能力的不足造成服務(wù)商無法達(dá)到外包合同規(guī)定的服務(wù)水平，提供的服務(wù)質(zhì)量低劣導(dǎo)致與客戶交互過程不符合銀行整體服務(wù)標(biāo)準(zhǔn)，從事不符合銀行要求、損害銀行利益的不當(dāng)行為及信用惡化等一系列風(fēng)險，嚴(yán)重的甚至造成銀行信息系統(tǒng)癱瘓或者對外服務(wù)中斷。（三） 外包合同風(fēng)險與外包服務(wù)管理不到位。在外包合同制定中，有的銀行只關(guān)注技術(shù)細(xì)節(jié)，而沒有全面地考慮服務(wù)商的綜合狀況以及銀行業(yè)務(wù)需求的發(fā)展和變化，未詳細(xì)明確必須提供的最低服務(wù)水平、詳細(xì)的服務(wù)范圍和標(biāo)準(zhǔn)、發(fā)生故障時的服務(wù)級別及響應(yīng)時間等，則銀行在發(fā)生變化或意外故障時處于被動地位，無法對服務(wù)商形成有效約束。在外包合同執(zhí)行期間，有的銀行沒有建立良好的夕卜包服務(wù)運(yùn)行監(jiān)督管理機(jī)制和服務(wù)評價機(jī)制，忽視對服務(wù)商財務(wù)狀況及支持IT夕卜包業(yè)務(wù)的技術(shù)和關(guān)鍵人員的監(jiān)督審計和日常檢查，甚至將監(jiān)管的責(zé)任移交給服務(wù)商，導(dǎo)致外包服務(wù)水平的下降。（四） 夕卜包服務(wù)潛在信息泄密風(fēng)險。信息泄密是指由于外包服務(wù)商不具有完備的守法體系與內(nèi)控能力，在為銀行提供服務(wù)時，有意或無意地將銀行內(nèi)部信息和商業(yè)機(jī)密泄露，從而使銀行面臨潛在的風(fēng)險。這類風(fēng)險涉及面很廣，發(fā)生概率較大。無論是低層次的桌面計算機(jī)維護(hù)夕卜包，還是高層次的業(yè)務(wù)系統(tǒng)整體外包，都有可能發(fā)生客戶信息、銀行經(jīng)營數(shù)據(jù)泄密的風(fēng)險，其中客戶信息等個人隱私一旦泄漏將導(dǎo)致嚴(yán)重的信譽(yù)風(fēng)險和法律風(fēng)險。（五） 過度依賴外包服務(wù)商導(dǎo)致系統(tǒng)失控。有的銀行信息科技外包的范圍過大、層次過深，導(dǎo)致銀行對外包商服務(wù)的依賴程度越來越大。隨著時間的推移，銀行自身的科技人員將逐漸喪失對核心技術(shù)的掌握能力，從而導(dǎo)致外包商成為技術(shù)強(qiáng)勢的一方。銀行對于業(yè)務(wù)需求的任何變更都必須經(jīng)由或取得外包服務(wù)商的同意，在服務(wù)要求和成本控制上無法對外包服務(wù)商形成有效約束。長此以往，銀行信息科技工作的靈活性和自主性就會降低，從而削弱銀行的核心競爭力，外包服務(wù)商反而成為銀行整體發(fā)展的障礙。三、監(jiān)管對策建議目前，我國銀行業(yè)信息科技外包業(yè)務(wù)快速發(fā)展，但銀行在外包風(fēng)險管理方面剛剛起步，缺乏統(tǒng)一的標(biāo)準(zhǔn)，管理水平參差不齊，而國內(nèi)信息技術(shù)服務(wù)提供商在服務(wù)規(guī)范、技術(shù)水平、管理實(shí)施等方面還存在許多不盡人意的地方，外包服務(wù)糾紛也時有發(fā)生。銀監(jiān)會作為銀行業(yè)的監(jiān)管部門，非常有必要在信息科技外包方面制定全國統(tǒng)一的指導(dǎo)性文件，引導(dǎo)外包服務(wù)的健康有序發(fā)展。在銀行業(yè)信息科技外包服務(wù)監(jiān)管方面有以下幾點(diǎn)建議：（一）督促銀行建立全面的外包政策和外包風(fēng)險管理機(jī)制。一是要求銀行的外包策略必須與其總體戰(zhàn)略相匹配。二是督促銀行切實(shí)履行外包業(yè)務(wù)風(fēng)險管理的責(zé)任，不能將風(fēng)險管理的責(zé)任進(jìn)行外包。銀行應(yīng)建立適當(dāng)?shù)南Σ钒L(fēng)險管理機(jī)制，設(shè)定必要的批準(zhǔn)程序，將外包服務(wù)商納入銀行的風(fēng)險管理和內(nèi)控體系，對外包商設(shè)定合理的考核評價標(biāo)準(zhǔn)，并進(jìn)行持續(xù)的監(jiān)測和評估活動，針對外包風(fēng)險制定專門的風(fēng)險防范措施。三是要規(guī)范外包應(yīng)急機(jī)制的設(shè)計，對于信息科技服務(wù)外包的各種意外情形，建立必要的應(yīng)急措施。（二） 明確信息科技外包服務(wù)的定義和范圍。夕卜包服務(wù)的范圍是監(jiān)管制度關(guān)注的焦點(diǎn)，也是規(guī)范的難點(diǎn)。外卜包服務(wù)的范圍原則上應(yīng)限于非核心金融服務(wù)，對于屬于核心業(yè)務(wù)能力的信息技術(shù)，銀行應(yīng)掌握在自己手里，避免外包導(dǎo)致的系統(tǒng)失控；對于非核心業(yè)務(wù)的信息技術(shù)，銀行可酌情考慮外包。建議銀監(jiān)會明確規(guī)定允許金融機(jī)構(gòu)進(jìn)行外包的服務(wù)，對于其他事務(wù)的夕卜包則通過特別的審查與批準(zhǔn)程序，在列舉范圍上，建議通過分類和列舉結(jié)合起來。（三） 防范外包過于集中的風(fēng)險。如果整個銀行系統(tǒng)過于依賴某—家外包服務(wù)商，會導(dǎo)致風(fēng)險過度集中，容易造成系統(tǒng)性風(fēng)險。如關(guān)鍵網(wǎng)絡(luò)和核心主機(jī)設(shè)備過于依賴國夕卜供應(yīng)商、信用卡業(yè)務(wù)外包過于依賴銀聯(lián)數(shù)據(jù)公司、災(zāi)備外包過于集中在某一城市或區(qū)域，都會造成系統(tǒng)性的風(fēng)險，不符合風(fēng)險分散管理的原則。因此，建議銀監(jiān)會從全局的角度進(jìn)行整體規(guī)劃、提前安排，引導(dǎo)商業(yè)銀行外包適度分散、合理分布。（四） 引導(dǎo)建立成熟的銀行業(yè)信息科技外包服務(wù)市場。如果國內(nèi)擁有一個成熟規(guī)范