銀行業(yè)金融機構信息科技外包風險及監(jiān)管對策銀行業(yè)金融機構信息科技外包風險及監(jiān)管對策銀行業(yè)信息科技外包是指銀行以固定的價格，在一定的IT服務水平基礎上，以合同的方式委托IT夕卜包服務商向銀行提供所需的部分或全部IT功能的一種信息服務。隨著IT應用的深入和信息科技外包服務的發(fā)展，銀行業(yè)金融機構普遍將信息科技外包作為提高信息科技服務水平的重要手段，幫助銀行提高了銀行的管理和服務效率，節(jié)約了信息科技建設和運維成本。但最近浙江銀監(jiān)局通過調(diào)研發(fā)現(xiàn)，隨著信息科技外包的快速發(fā)展，潛在風險也逐步凸顯，亟待引起關注。一、轄內(nèi)銀行業(yè)信息科技外包的基本情況（一） 信息科技外包內(nèi)容廣泛。目前銀行業(yè)科技外包的內(nèi)容主要包括軟件開發(fā)維護、主機設備維護、桌面計算機及外設的維護、數(shù)據(jù)中心機房等基礎設施、部分業(yè)務系統(tǒng)（如貸記卡業(yè)務、網(wǎng)銀）以及外圍業(yè)務系統(tǒng)等，其中主機設備維護較為普遍。夕卜包既有應用類的，也有維護類的；既有技術含量高的，也有技術含量低的。調(diào)查發(fā)現(xiàn)，無論大小銀行都應用了外卜包服務，信息科技外包已成為銀行科技管理的重要組成部分。（二） 國有銀行和股份制銀行分支機構夕卜包以非核心業(yè)務為主。由于國有銀行和股份制銀行的業(yè)務系統(tǒng)大多由總行統(tǒng)一開發(fā)維護，數(shù)據(jù)中心和災備中心也由總行集中管理，分行僅負責轄內(nèi)特色業(yè)務和部分外圍系統(tǒng)的開發(fā)應用及維護，一般都由自己完成，因此其外包以桌面和設備維護為主，主要分為三類：一是桌面計算機及外設的維修維護；二是與主機相關的核心設備維保，包括小型機、存儲陣列、核心交換機等；三是自助終端設備的維保，包括ATM機、自助查詢機及POS機等。除此之外，部分大型銀行或股份制銀行也將部分非核心業(yè)務系統(tǒng)外包，如影像系統(tǒng)、IP語音網(wǎng)建設、視頻會議系統(tǒng)等。這類夕卜包的特點是工作量大、技術含量較低，或者需要原廠商的技術支持和服務，目的是提高工作效率，降低組織成本。（三） 中小法人銀行技術上對外包依賴較大。調(diào)查發(fā)現(xiàn)，轄內(nèi)各城市商業(yè)銀行和農(nóng)信聯(lián)社由于自身技術力量有限，夕卜包服務偏向技術含量較高的工作，包括核心業(yè)務系統(tǒng)開發(fā)、夕卜圍業(yè)務系統(tǒng)、災備建設、主機設備維護等。如中小銀行核心業(yè)務系統(tǒng)開發(fā)都采用與公司合作外包的方式開發(fā)，即項目組中以公司人員為主，自身的科技人員補充，在上線后部分維護由自身完成的模式。在部分業(yè)務系統(tǒng)上，也有采用完全外包的方式。另外，還有部分機構將災備中心及業(yè)務連續(xù)性建設咨詢服務、災備機房等外包給專業(yè)機構。與大型銀行和股份制銀行形成鮮明對比的是，中小銀行將桌面計算機及外設維護夕卜包的比例很低，大多數(shù)都由自身科技人員完成。二、信息科技外包的主要風險點（一） 外包內(nèi)容與銀行業(yè)務發(fā)展戰(zhàn)略不匹配。有的銀行沒有充分評估外包策略與業(yè)務總體發(fā)展戰(zhàn)略的匹配性，將不恰當?shù)膬?nèi)容外包，或者與外包商建立不合理的合作關系，造成自身核心競爭力的弱化以及未來業(yè)務發(fā)展受限。這類風險發(fā)生造成的后果很嚴重，當銀行選擇中途退出或者更改外包策略時要支付很大的戰(zhàn)略退出成本，在重新建立信息系統(tǒng)和外包服務體系時可能需要支付比原來更高的費用，如果處理不當會使銀行在財務、信譽、運作和潛在客戶資源等方面蒙受極大的損失。（二） 夕卜包服務商選擇不當造成外包服務低劣。該風險主要源于銀行選擇外包服務商的政策流程不夠全面有效，未能很好地評估其人員、技術、財務及其他狀況，片面地考慮局部優(yōu)勢，而忽略了IT夕卜包的總體服務水平，致使最終選擇了低劣的服務商。夕卜包服務商能力的不足造成服務商無法達到外包合同規(guī)定的服務水平，提供的服務質(zhì)量低劣導致與客戶交互過程不符合銀行整體服務標準，從事不符合銀行要求、損害銀行利益的不當行為及信用惡化等一系列風險，嚴重的甚至造成銀行信息系統(tǒng)癱瘓或者對外服務中斷。（三） 外包合同風險與外包服務管理不到位。在外包合同制定中，有的銀行只關注技術細節(jié)，而沒有全面地考慮服務商的綜合狀況以及銀行業(yè)務需求的發(fā)展和變化，未詳細明確必須提供的最低服務水平、詳細的服務范圍和標準、發(fā)生故障時的服務級別及響應時間等，則銀行在發(fā)生變化或意外故障時處于被動地位，無法對服務商形成有效約束。在外包合同執(zhí)行期間，有的銀行沒有建立良好的夕卜包服務運行監(jiān)督管理機制和服務評價機制，忽視對服務商財務狀況及支持IT夕卜包業(yè)務的技術和關鍵人員的監(jiān)督審計和日常檢查，甚至將監(jiān)管的責任移交給服務商，導致外包服務水平的下降。（四） 夕卜包服務潛在信息泄密風險。信息泄密是指由于外包服務商不具有完備的守法體系與內(nèi)控能力，在為銀行提供服務時，有意或無意地將銀行內(nèi)部信息和商業(yè)機密泄露，從而使銀行面臨潛在的風險。這類風險涉及面很廣，發(fā)生概率較大。無論是低層次的桌面計算機維護夕卜包，還是高層次的業(yè)務系統(tǒng)整體外包，都有可能發(fā)生客戶信息、銀行經(jīng)營數(shù)據(jù)泄密的風險，其中客戶信息等個人隱私一旦泄漏將導致嚴重的信譽風險和法律風險。（五） 過度依賴外包服務商導致系統(tǒng)失控。有的銀行信息科技外包的范圍過大、層次過深，導致銀行對外包商服務的依賴程度越來越大。隨著時間的推移，銀行自身的科技人員將逐漸喪失對核心技術的掌握能力，從而導致外包商成為技術強勢的一方。銀行對于業(yè)務需求的任何變更都必須經(jīng)由或取得外包服務商的同意，在服務要求和成本控制上無法對外包服務商形成有效約束。長此以往，銀行信息科技工作的靈活性和自主性就會降低，從而削弱銀行的核心競爭力，外包服務商反而成為銀行整體發(fā)展的障礙。三、監(jiān)管對策建議目前，我國銀行業(yè)信息科技外包業(yè)務快速發(fā)展，但銀行在外包風險管理方面剛剛起步，缺乏統(tǒng)一的標準，管理水平參差不齊，而國內(nèi)信息技術服務提供商在服務規(guī)范、技術水平、管理實施等方面還存在許多不盡人意的地方，外包服務糾紛也時有發(fā)生。銀監(jiān)會作為銀行業(yè)的監(jiān)管部門，非常有必要在信息科技外包方面制定全國統(tǒng)一的指導性文件，引導外包服務的健康有序發(fā)展。在銀行業(yè)信息科技外包服務監(jiān)管方面有以下幾點建議：（一）督促銀行建立全面的外包政策和外包風險管理機制。一是要求銀行的外包策略必須與其總體戰(zhàn)略相匹配。二是督促銀行切實履行外包業(yè)務風險管理的責任，不能將風險管理的責任進行外包。銀行應建立適當?shù)南Σ钒L險管理機制，設定必要的批準程序，將外包服務商納入銀行的風險管理和內(nèi)控體系，對外包商設定合理的考核評價標準，并進行持續(xù)的監(jiān)測和評估活動，針對外包風險制定專門的風險防范措施。三是要規(guī)范外包應急機制的設計，對于信息科技服務外包的各種意外情形，建立必要的應急措施。（二） 明確信息科技外包服務的定義和范圍。夕卜包服務的范圍是監(jiān)管制度關注的焦點，也是規(guī)范的難點。外卜包服務的范圍原則上應限于非核心金融服務，對于屬于核心業(yè)務能力的信息技術，銀行應掌握在自己手里，避免外包導致的系統(tǒng)失控；對于非核心業(yè)務的信息技術，銀行可酌情考慮外包。建議銀監(jiān)會明確規(guī)定允許金融機構進行外包的服務，對于其他事務的夕卜包則通過特別的審查與批準程序，在列舉范圍上，建議通過分類和列舉結合起來。（三） 防范外包過于集中的風險。如果整個銀行系統(tǒng)過于依賴某—家外包服務商，會導致風險過度集中，容易造成系統(tǒng)性風險。如關鍵網(wǎng)絡和核心主機設備過于依賴國夕卜供應商、信用卡業(yè)務外包過于依賴銀聯(lián)數(shù)據(jù)公司、災備外包過于集中在某一城市或區(qū)域，都會造成系統(tǒng)性的風險，不符合風險分散管理的原則。因此，建議銀監(jiān)會從全局的角度進行整體規(guī)劃、提前安排，引導商業(yè)銀行外包適度分散、合理分布。（四） 引導建立成熟的銀行業(yè)信息科技外包服務市場。如果國內(nèi)擁有一個成熟規(guī)范