銀行业金融机构信息科技外包风险及监管对策.docVIP

银行业金融机构信息科技外包风险及监管对策 银行业信息科技外包是指银行以固定的价格,在一定的IT服务水平基础上，以合同的方式委托IT外包服务商向银行提供所需的部分或全部IT功能的一种信息服务。随着IT应用的深入和信息科技外包服务的发展，银行业金融机构普遍将信息科技外包作为提高信息科技服务水平的重要手段，帮助银行提高了银行的管理和服务效率，节约了信息科技建设和运维成本。但最近浙江银监局通过调研发现，随着信息科技外包的快速发展，潜在风险也逐步凸显，亟待引起关注。 一、辖内银行业信息科技外包的基本情况 （一）信息科技外包内容广泛。目前银行业科技外包的内容主要包括软件开发维护、主机设备维护、桌面计算机及外设的维护、数据中心机房等基础设施、部分业务系统（如贷记卡业务、网银）以及外围业务系统等，其中主机设备维护较为普遍。外包既有应用类的，也有维护类的；既有技术含量高的，也有技术含量低的。调查发现，无论大小银行都应用了外包服务，信息科技外包已成为银行科技管理的重要组成部分。 （二）国有银行和股份制银行分支机构外包以非核心业务为主。由于国有银行和股份制银行的业务系统大多由总行统一开发维护，数据中心和灾备中心也由总行集中管理，分行仅负责辖内特色业务和部分外围系统的开发应用及维护，一般都由自己完成，因此其外包以桌面和设备维护为主，主要分为三类：一是桌面计算机及外设的维修维护；二是与主机相关的核心设备维保，包括小型机、存储阵列、核心交换机等；三是自助终端设备的维保，包括ATM机、自助查询机及POS机等。除此之外，部分大型银行或股份制银行也将部分非核心业务系统外包，如影像系统、IP语音网建设、视频会议系统等。这类外包的特点是工作量大、技术含量较低，或者需要原厂商的技术支持和服务，目的是提高工作效率，降低组织成本。 （三）中小法人银行技术上对外包依赖较大。调查发现，辖内各城市商业银行和农信联社由于自身技术力量有限，外包服务偏向技术含量较高的工作，包括核心业务系统开发、外围业务系统、灾备建设、主机设备维护等。如中小银行核心业务系统开发都采用与公司合作外包的方式开发，即项目组中以公司人员为主，自身的科技人员补充，在上线后部分维护由自身完成的模式。在部分业务系统上，也有采用完全外包的方式。另外，还有部分机构将灾备中心及业务连续性建设咨询服务、灾备机房等外包给专业机构。与大型银行和股份制银行形成鲜明对比的是，中小银行将桌面计算机及外设维护外包的比例很低，大多数都由自身科技人员完成。 信息科技外包的主要风险点 （一）外包内容与银行业务发展战略不匹配。有的银行没有充分评估外包策略与业务总体发展战略的匹配性，将不恰当的内容外包，或者与外包商建立不合理的合作关系，造成自身核心竞争力的弱化以及未来业务发展受限。这类风险发生造成的后果很严重，当银行选择中途退出或者更改外包策略时要支付很大的战略退出成本，在重新建立信息系统和外包服务体系时可能需要支付比原来更高的费用，如果处理不当会使银行在财务、信誉、运作和潜在客户资源等方面蒙受极大的损失。 （二）外包服务商选择不当造成外包服务低劣。该风险主要源于银行选择外包服务商的政策流程不够全面有效，未能很好地评估其人员、技术、财务及其他状况，片面地考虑局部优势，而忽略了IT外包的总体服务水平，致使最终选择了低劣的服务商。外包服务商能力的不足造成服务商无法达到外包合同规定的服务水平，提供的服务质量低劣导致与客户交互过程不符合银行整体服务标准，从事不符合银行要求、损害银行利益的不当行为及信用恶化等一系列风险，严重的甚至造成银行信息系统瘫痪或者对外服务中断。 （三）外包合同风险与外包服务管理不到位。在外包合同制定中，有的银行只关注技术细节，而没有全面地考虑服务商的综合状况以及银行业务需求的发展和变化，未详细明确必须提供的最低服务水平、详细的服务范围和标准、发生故障时的服务级别及响应时间等，则银行在发生变化或意外故障时处于被动地位，无法对服务商形成有效约束。在外包合同执行期间，有的银行没有建立良好的外包服务运行监督管理机制和服务评价机制，忽视对服务商财务状况及支持IT外包业务的技术和关键人员的监督审计和日常检查，甚至将监管的责任移交给服务商，导致外包服务水平的下降。 （四）外包服务潜在信息泄密风险。信息泄密是指由于外包服务商不具有完备的守法体系与内控能力，在为银行提供服务时，有意或无意地将银行内部信息和商业机密泄露，从而使银行面临潜在的风险。这类风险涉及面很广，发生概率较大。无论是低层次的桌面计算机维护外包，还是高层次的业务系统整体外包，都有可能发生客户信息、银行经营数据泄密的风险，其中客户信息等个人隐私一旦泄漏将导致严重的信誉风险和法律风险。 （五）过度依赖外包服务商导致系统失控。有的银行信息科技外包的范围过大、层次过深，导致银行对