丁光華

信息科技外包是中小銀行機(jī)構(gòu)降低IT投資風(fēng)險(xiǎn)，將精力集中于核心業(yè)務(wù)以提高核心競(jìng)爭(zhēng)力的重要策略之一，但是信息科技外包作為一把“雙刃劍”，在提升銀行競(jìng)爭(zhēng)優(yōu)勢(shì)的同時(shí)，也帶來了安全可控能力下降、業(yè)務(wù)同質(zhì)化等風(fēng)險(xiǎn)，本文在分析區(qū)域中小銀行機(jī)構(gòu)信息科技外包現(xiàn)狀及存在主要風(fēng)險(xiǎn)的基礎(chǔ)上，對(duì)如何做好信息科技外包安全管理提出相關(guān)對(duì)策和建議。

一、中小銀行信息科技外包現(xiàn)狀

隨著信息化和銀行業(yè)務(wù)的高度融合，信息系統(tǒng)已經(jīng)成為銀行業(yè)務(wù)發(fā)展和創(chuàng)新的核心支撐，成為銀行生存發(fā)展的生命線。同國(guó)內(nèi)的大銀行相比，中小銀行大多數(shù)底子薄、實(shí)力弱、技術(shù)水平較低，為快速提高核心競(jìng)爭(zhēng)力，主要采用外包方式開展信息化建設(shè)管理。

通過對(duì)區(qū)域城市商業(yè)銀行、信用合作社（農(nóng)商行）、村鎮(zhèn)銀行信息科技外包情況進(jìn)行分析，目前中小銀行信息科技外包主要有以下幾種方式：一是系統(tǒng)建設(shè)和運(yùn)行維護(hù)整體外包給科技公司，少數(shù)小銀行以托管的方式將信息系統(tǒng)外包給科技公司，由科技公司建設(shè)和運(yùn)維，部分銀行將部分類別業(yè)務(wù)系統(tǒng)整體外包給科技公司；二是系統(tǒng)建設(shè)和運(yùn)行維護(hù)整體外包給發(fā)起行，部分小銀行的信息系統(tǒng)主要采取托管形式，直接利用發(fā)起行的信息系統(tǒng)，系統(tǒng)建設(shè)和運(yùn)行維護(hù)都主要由發(fā)起行負(fù)責(zé)；三是系統(tǒng)建設(shè)采用外包模式，運(yùn)行維護(hù)自主實(shí)施，部分科技能力較強(qiáng)的中小銀行采用這種方式，即業(yè)務(wù)系統(tǒng)建設(shè)采取與外包公司合作建設(shè)或委托開發(fā)方式，運(yùn)行維護(hù)全部自主開展，對(duì)外依賴程度相對(duì)較低。

二、中小銀行信息科技外包面臨的主要風(fēng)險(xiǎn)

信息科技外包是中小銀行機(jī)構(gòu)快速適應(yīng)激烈市場(chǎng)競(jìng)爭(zhēng)的重要策略之一，但給銀行自身運(yùn)營(yíng)帶來安全可控能力下降、信息泄露、業(yè)務(wù)服務(wù)水平較低等風(fēng)險(xiǎn)，并對(duì)信息科技監(jiān)管帶來了新的問題和挑戰(zhàn)。

（一）銀行運(yùn)營(yíng)管理風(fēng)險(xiǎn)

中小銀行機(jī)構(gòu)信息系統(tǒng)建設(shè)外包，或者是建設(shè)和運(yùn)行維護(hù)整體外包，對(duì)外依賴程度較高，且內(nèi)部安全管控體系建設(shè)不夠完善，運(yùn)營(yíng)管理存在風(fēng)險(xiǎn)，主要表現(xiàn)在：

1.業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)防控能力較低。中小銀行外包服務(wù)機(jī)構(gòu)服務(wù)水平差異化大，參差不齊，部分外包公司在中小銀行機(jī)構(gòu)所在地未設(shè)辦事機(jī)構(gòu)，也未安排工作人員，日常系統(tǒng)維護(hù)主要采取電話聯(lián)系、遠(yuǎn)程處理，應(yīng)急響應(yīng)時(shí)間和處置效率不足。少數(shù)行將業(yè)務(wù)系統(tǒng)托管在外地，由于系統(tǒng)異地部署，維護(hù)外包，系統(tǒng)的安全運(yùn)行基本上完全依賴托管方。

同時(shí)，中小銀行對(duì)外包服務(wù)管理能力不高，管理內(nèi)容有疏漏，日常監(jiān)測(cè)管理不到位，存在因服務(wù)無法持續(xù)提供而影響業(yè)務(wù)連續(xù)性的風(fēng)險(xiǎn)，安全可控水平水平較低。

2.信息泄密風(fēng)險(xiǎn)認(rèn)識(shí)不到位。外包單位在進(jìn)行系統(tǒng)維護(hù)過程中，有機(jī)會(huì)接觸銀行客戶信息甚至核心數(shù)據(jù)，管理不當(dāng)引起的信息泄露可能導(dǎo)致銀行業(yè)聲譽(yù)風(fēng)險(xiǎn)及法律風(fēng)險(xiǎn)，從而使銀行蒙受巨大損失。

對(duì)于信息泄露，主要采取簽訂保密協(xié)議強(qiáng)化管理，但存在未將保密責(zé)任落實(shí)到個(gè)人，對(duì)信息保密工作認(rèn)識(shí)不到位的情況，特別是少數(shù)行未認(rèn)識(shí)到發(fā)起行與本機(jī)構(gòu)不同法人、不同法律主體下的區(qū)別，簡(jiǎn)單將發(fā)起行視為同一機(jī)構(gòu)，信息保密基本上依賴發(fā)起行，保密風(fēng)險(xiǎn)高度集中，且管理手段單一。

3.業(yè)務(wù)服務(wù)同質(zhì)化且水平較低。中小銀行機(jī)構(gòu)特別是小銀行過度依賴外部資源，系統(tǒng)上線、運(yùn)行維護(hù)以及后續(xù)優(yōu)化均依賴于外包，失去對(duì)項(xiàng)目、技術(shù)的控制能力，影響業(yè)務(wù)發(fā)展，且當(dāng)業(yè)務(wù)發(fā)展規(guī)劃、業(yè)務(wù)管理制度與發(fā)起行（管理行）體系出現(xiàn)差異的時(shí)候，信息科技系統(tǒng)無法適時(shí)進(jìn)行調(diào)整。

由于對(duì)信息系統(tǒng)建設(shè)、技術(shù)問題不具備太多的主動(dòng)權(quán)，在銀行業(yè)務(wù)與信息技術(shù)高度融合的趨勢(shì)下，中小銀行的業(yè)務(wù)往往與發(fā)起行（管理行）同質(zhì)化明顯，制約了服務(wù)能力的持續(xù)改善與提升。

（二）信息科技監(jiān)管面臨風(fēng)險(xiǎn)

目前信息科技的監(jiān)管按照屬地管理原則開展，采取紙質(zhì)材料審核，現(xiàn)場(chǎng)檢查和非現(xiàn)場(chǎng)檢查相結(jié)合的方式開展，中小銀行外包的普遍存在使信息科技監(jiān)管面臨了嚴(yán)峻挑戰(zhàn)。

1.監(jiān)管要求落實(shí)困難。由于外包，目前中小銀行信息系統(tǒng)存在異地部署，針對(duì)系統(tǒng)標(biāo)準(zhǔn)符合性和系統(tǒng)安全性檢查評(píng)估的重要關(guān)鍵內(nèi)容，往往無法開展現(xiàn)場(chǎng)檢查核實(shí)，主要通過參考其他地方已通過檢查評(píng)估的，或者以關(guān)聯(lián)密切的行（如由同一發(fā)起行發(fā)起的其它行）提供的相關(guān)材料為依據(jù)進(jìn)行核實(shí)，監(jiān)管要求有效落實(shí)存在困難。

2.日常監(jiān)管效率較低。目前中小銀行機(jī)構(gòu)科技人員多數(shù)配備不足，從業(yè)人員運(yùn)維實(shí)戰(zhàn)經(jīng)驗(yàn)不足，加之系統(tǒng)建設(shè)和運(yùn)維由發(fā)起行或科技公司負(fù)責(zé)，在檢查對(duì)接、系統(tǒng)問題排查過程中往往效率不高，同時(shí)由于不能實(shí)施現(xiàn)場(chǎng)檢查而以非現(xiàn)場(chǎng)檢查為主進(jìn)行監(jiān)管，可能存在監(jiān)管盲區(qū)。

三、信息科技外包安全管理對(duì)策與建議

（一）規(guī)范外包服務(wù)機(jī)構(gòu)準(zhǔn)入

按照行業(yè)信息科技特點(diǎn)及管理要求，從財(cái)務(wù)狀況、內(nèi)控風(fēng)險(xiǎn)管理，IT服務(wù)水平、服務(wù)經(jīng)驗(yàn)、人員技能水平等方面，建立銀行業(yè)信息科技外包機(jī)構(gòu)資質(zhì)標(biāo)準(zhǔn)，梳理外包服務(wù)準(zhǔn)入采購(gòu)或商務(wù)談判流程，規(guī)范外包機(jī)構(gòu)準(zhǔn)入，從源頭控制提高外包服務(wù)水平，防范外包風(fēng)險(xiǎn)。

強(qiáng)化與工商管理部門、信息產(chǎn)業(yè)管理部門以及信息安全測(cè)評(píng)部門的溝通協(xié)調(diào)，共享信息，建立外包服務(wù)機(jī)構(gòu)黑名單或推薦機(jī)構(gòu)名單，多角度，多層次推動(dòng)外包服務(wù)機(jī)構(gòu)持續(xù)提升服務(wù)能力。

（二）規(guī)范中小銀行信息科技外包管理內(nèi)容

建立中小銀行機(jī)構(gòu)信息科技外包管理指南或標(biāo)準(zhǔn)，規(guī)范外包服務(wù)流程、監(jiān)測(cè)評(píng)估、應(yīng)急處置管理內(nèi)容，細(xì)化外包合同和保密管理要求。

按照“技術(shù)可以外包，責(zé)任不能外包”的原則指導(dǎo)中小銀行機(jī)構(gòu)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，在開展綜合管理的同時(shí)引入審計(jì)系統(tǒng)等技術(shù)手段提升外包管理效能，全過程、全方位做好外包提供商和外包服務(wù)人員管理，有效控制或降低由于外包而引發(fā)的安全風(fēng)險(xiǎn)。

（三）探索強(qiáng)化整體監(jiān)管聯(lián)動(dòng)

一是強(qiáng)化聯(lián)合監(jiān)管。對(duì)于信息系統(tǒng)由異地銀行業(yè)機(jī)構(gòu)外包管理的，探索強(qiáng)化聯(lián)合監(jiān)管，確保檢查核實(shí)有效實(shí)施?？捎芍行°y行所在地監(jiān)管機(jī)構(gòu)委托其信息系統(tǒng)所在地監(jiān)管機(jī)構(gòu)開展檢查，由信息系統(tǒng)所在地監(jiān)管機(jī)構(gòu)對(duì)負(fù)責(zé)外包的銀行系統(tǒng)及數(shù)據(jù)實(shí)施現(xiàn)場(chǎng)檢查，檢查結(jié)果反饋到中小銀行所在地監(jiān)管機(jī)構(gòu)；另外，必要時(shí)，可由中小銀行所在地監(jiān)管機(jī)構(gòu)和信息系統(tǒng)所在地監(jiān)管機(jī)構(gòu)共同組成檢查小組開展現(xiàn)場(chǎng)檢查核實(shí)，通過雙線監(jiān)管，確保監(jiān)管無死角。

二是強(qiáng)化跨區(qū)域科技監(jiān)管信息交流。建立科技監(jiān)管信息共享機(jī)制，以各省區(qū)信息科技監(jiān)管活動(dòng)為主要內(nèi)容，搭建信息共享平臺(tái)，共享現(xiàn)場(chǎng)檢查和非現(xiàn)場(chǎng)檢查信息，提示安全風(fēng)險(xiǎn)，交流相關(guān)經(jīng)驗(yàn)。

三是強(qiáng)化與工商管理部門、信息產(chǎn)業(yè)管理部門以及信息安全測(cè)評(píng)部門的溝通協(xié)調(diào)，探索研究將提供銀行信息系統(tǒng)外包服務(wù)的科技公司納入監(jiān)管范圍。

（四）探索引進(jìn)分級(jí)分類管理機(jī)制

按照金融機(jī)構(gòu)服務(wù)范圍、信息科技外包模式的不同，引入分級(jí)分類管理模式，有的放矢，提升監(jiān)管針對(duì)性。

一是按照服務(wù)范圍，對(duì)于僅在本地服務(wù)的機(jī)構(gòu)和跨地區(qū)服務(wù)的機(jī)構(gòu)采取不同的管理要求，即跨地區(qū)服務(wù)的機(jī)構(gòu)采取較高級(jí)別的要求，增加檢查頻度和檢查內(nèi)容，適時(shí)引入第三方檢測(cè)評(píng)估機(jī)構(gòu)識(shí)別防范安全管理風(fēng)險(xiǎn)。

二是按照外包模式，對(duì)服務(wù)提供商是發(fā)起行（管理行）還是科技公司采取不同的管理要求，即對(duì)服務(wù)提供商是科技公司的機(jī)構(gòu)采取較高級(jí)別的管理要求，強(qiáng)調(diào)準(zhǔn)入資質(zhì)，理清權(quán)責(zé)，強(qiáng)調(diào)外包服務(wù)監(jiān)測(cè)評(píng)估，適時(shí)引入第三方檢測(cè)評(píng)估機(jī)構(gòu)識(shí)別防范管理風(fēng)險(xiǎn)；鑒于發(fā)起行（管理行）與銀行機(jī)構(gòu)是利益共同體，則對(duì)協(xié)同配合，安全內(nèi)控管理提出更高要求。

（五）鼓勵(lì)持續(xù)提升安全可控能力建設(shè)

以不妨礙核心能力建設(shè)、積極掌握信息科技關(guān)鍵技術(shù)為導(dǎo)向，通過政策指引，鼓勵(lì)中小銀行機(jī)構(gòu)提升科技專業(yè)隊(duì)伍能力建設(shè)，逐步提升系統(tǒng)研發(fā)能力，加強(qiáng)對(duì)信息系統(tǒng)特別是核心業(yè)務(wù)系統(tǒng)的自主研發(fā)。

對(duì)于暫時(shí)沒有實(shí)力完全開發(fā)的系統(tǒng)，可以采用合作開發(fā)的方式，完成后逐步過渡到自己維護(hù)，分步驟合理降低外包依賴程度。