銀行業金融機構信息科技外包風險及監管對策銀行業金融機構信息科技外包風險及監管對策銀行業信息科技外包是指銀行以固定的價格，在一定的IT服務水平基礎上，以合同的方式委托IT夕卜包服務商向銀行提供所需的部分或全部IT功能的一種信息服務。隨著IT應用的深入和信息科技外包服務的發展，銀行業金融機構普遍將信息科技外包作為提高信息科技服務水平的重要手段，幫助銀行提高了銀行的管理和服務效率，節約了信息科技建設和運維成本。但最近浙江銀監局通過調研發現，隨著信息科技外包的快速發展，潛在風險也逐步凸顯，亟待引起關注。一、轄內銀行業信息科技外包的基本情況（一） 信息科技外包內容廣泛。目前銀行業科技外包的內容主要包括軟件開發維護、主機設備維護、桌面計算機及外設的維護、數據中心機房等基礎設施、部分業務系統（如貸記卡業務、網銀）以及外圍業務系統等，其中主機設備維護較為普遍。夕卜包既有應用類的，也有維護類的；既有技術含量高的，也有技術含量低的。調查發現，無論大小銀行都應用了外卜包服務，信息科技外包已成為銀行科技管理的重要組成部分。（二） 國有銀行和股份制銀行分支機構夕卜包以非核心業務為主。由于國有銀行和股份制銀行的業務系統大多由總行統一開發維護，數據中心和災備中心也由總行集中管理，分行僅負責轄內特色業務和部分外圍系統的開發應用及維護，一般都由自己完成，因此其外包以桌面和設備維護為主，主要分為三類：一是桌面計算機及外設的維修維護；二是與主機相關的核心設備維保，包括小型機、存儲陣列、核心交換機等；三是自助終端設備的維保，包括ATM機、自助查詢機及POS機等。除此之外，部分大型銀行或股份制銀行也將部分非核心業務系統外包，如影像系統、IP語音網建設、視頻會議系統等。這類夕卜包的特點是工作量大、技術含量較低，或者需要原廠商的技術支持和服務，目的是提高工作效率，降低組織成本。（三） 中小法人銀行技術上對外包依賴較大。調查發現，轄內各城市商業銀行和農信聯社由于自身技術力量有限，夕卜包服務偏向技術含量較高的工作，包括核心業務系統開發、夕卜圍業務系統、災備建設、主機設備維護等。如中小銀行核心業務系統開發都采用與公司合作外包的方式開發，即項目組中以公司人員為主，自身的科技人員補充，在上線后部分維護由自身完成的模式。在部分業務系統上，也有采用完全外包的方式。另外，還有部分機構將災備中心及業務連續性建設咨詢服務、災備機房等外包給專業機構。與大型銀行和股份制銀行形成鮮明對比的是，中小銀行將桌面計算機及外設維護夕卜包的比例很低，大多數都由自身科技人員完成。二、信息科技外包的主要風險點（一） 外包內容與銀行業務發展戰略不匹配。有的銀行沒有充分評估外包策略與業務總體發展戰略的匹配性，將不恰當的內容外包，或者與外包商建立不合理的合作關系，造成自身核心競爭力的弱化以及未來業務發展受限。這類風險發生造成的后果很嚴重，當銀行選擇中途退出或者更改外包策略時要支付很大的戰略退出成本，在重新建立信息系統和外包服務體系時可能需要支付比原來更高的費用，如果處理不當會使銀行在財務、信譽、運作和潛在客戶資源等方面蒙受極大的損失。（二） 夕卜包服務商選擇不當造成外包服務低劣。該風險主要源于銀行選擇外包服務商的政策流程不夠全面有效，未能很好地評估其人員、技術、財務及其他狀況，片面地考慮局部優勢，而忽略了IT夕卜包的總體服務水平，致使最終選擇了低劣的服務商。夕卜包服務商能力的不足造成服務商無法達到外包合同規定的服務水平，提供的服務質量低劣導致與客戶交互過程不符合銀行整體服務標準，從事不符合銀行要求、損害銀行利益的不當行為及信用惡化等一系列風險，嚴重的甚至造成銀行信息系統癱瘓或者對外服務中斷。（三） 外包合同風險與外包服務管理不到位。在外包合同制定中，有的銀行只關注技術細節，而沒有全面地考慮服務商的綜合狀況以及銀行業務需求的發展和變化，未詳細明確必須提供的最低服務水平、詳細的服務范圍和標準、發生故障時的服務級別及響應時間等，則銀行在發生變化或意外故障時處于被動地位，無法對服務商形成有效約束。在外包合同執行期間，有的銀行沒有建立良好的夕卜包服務運行監督管理機制和服務評價機制，忽視對服務商財務狀況及支持IT夕卜包業務的技術和關鍵人員的監督審計和日常檢查，甚至將監管的責任移交給服務商，導致外包服務水平的下降。（四） 夕卜包服務潛在信息泄密風險。信息泄密是指由于外包服務商不具有完備的守法體系與內控能力，在為銀行提供服務時，有意或無意地將銀行內部信息和商業機密泄露，從而使銀行面臨潛在的風險。這類風險涉及面很廣，發生概率較大。無論是低層次的桌面計算機維護夕卜包，還是高層次的業務系統整體外包，都有可能發生客戶信息、銀行經營數據泄密的風險，其中客戶信息等個人隱私一旦泄漏將導致嚴重的信譽風險和法律風險。（五） 過度依賴外包服務商導致系統失控。有的銀行信息科技外包的范圍過大、層次過深，導致銀行對外包商服務的依賴程度越來越大。隨著時間的推移，銀行自身的科技人員將逐漸喪失對核心技術的掌握能力，從而導致外包商成為技術強勢的一方。銀行對于業務需求的任何變更都必須經由或取得外包服務商的同意，在服務要求和成本控制上無法對外包服務商形成有效約束。長此以往，銀行信息科技工作的靈活性和自主性就會降低，從而削弱銀行的核心競爭力，外包服務商反而成為銀行整體發展的障礙。三、監管對策建議目前，我國銀行業信息科技外包業務快速發展，但銀行在外包風險管理方面剛剛起步，缺乏統一的標準，管理水平參差不齊，而國內信息技術服務提供商在服務規范、技術水平、管理實施等方面還存在許多不盡人意的地方，外包服務糾紛也時有發生。銀監會作為銀行業的監管部門，非常有必要在信息科技外包方面制定全國統一的指導性文件，引導外包服務的健康有序發展。在銀行業信息科技外包服務監管方面有以下幾點建議：（一）督促銀行建立全面的外包政策和外包風險管理機制。一是要求銀行的外包策略必須與其總體戰略相匹配。二是督促銀行切實履行外包業務風險管理的責任，不能將風險管理的責任進行外包。銀行應建立適當的夕卜包風險管理機制，設定必要的批準程序，將外包服務商納入銀行的風險管理和內控體系，對外包商設定合理的考核評價標準，并進行持續的監測和評估活動，針對外包風險制定專門的風險防范措施。三是要規范外包應急機制的設計，對于信息科技服務外包的各種意外情形，建立必要的應急措施。（二） 明確信息科技外包服務的定義和范圍。夕卜包服務的范圍是監管制度關注的焦點，也是規范的難點。外卜包服務的范圍原則上應限于非核心金融服務，對于屬于核心業務能力的信息技術，銀行應掌握在自己手里，避免外包導致的系統失控；對于非核心業務的信息技術，銀行可酌情考慮外包。建議銀監會明確規定允許金融機構進行外包的服務，對于其他事務的夕卜包則通過特別的審查與批準程序，在列舉范圍上，建議通過分類和列舉結合起來。（三） 防范外包過于集中的風險。如果整個銀行系統過于依賴某—家外包服務商，會導致風險過度集中，容易造成系統性風險。如關鍵網絡和核心主機設備過于依賴國夕卜供應商、信用卡業務外包過于依賴銀聯數據公司、災備外包過于集中在某一城市或區域，都會造成系統性的風險，不符合風險分散管理的原則。因此，建議銀監會從全局的角度進行整體規劃、提前安排，引導商業銀行外包適度分散、合理分布。（四） 引導建立成熟的銀行業信息科技外包服務市場。如果國內擁有一個成熟規范