中小商業銀行信息科技外包風險評估和防范

黃莊莊 葉明 雷濤

【摘要】本文從信息科技外包依賴度和外包管控力兩個維度構建信息科技外包風險評估方法，通過對15家中小商業銀行信息科技外包現狀的調研，分析和評估中小商業銀行的信息科技外包風險情況，并基于分析結果提出切實有效的應對措施。

【關鍵詞】信息科技外包依賴度 信息科技外包管控力 信息科技外包風險評估 中小商業銀行

一、背景

隨著國家不斷放寬對中小銀行的限制，鼓勵中小銀行加快發展，以城商行為代表的廣大中小商業銀行已建成具有較強競爭力的現代金融企業。在信息化和大數據時代，科技支撐作為中小銀行發展的主要手段之一，已經大大滯后于現實需求，科技支撐與整個機構的戰略目標實現的深層次問題也逐漸暴露出來。IT人力資源匱乏、自身IT力量對業務發展的支持力度不足、信息化建設滯后等問題制約了中小銀行業務發展和創新能力。

為了有效彌補自身人力資源、技術和能力上的欠缺，同時滿足對業務發展的支撐，與大銀行縮短差距，中小銀行都開始依賴于信息技術外包的方式滿足自身發展需要。通過信息科技外包，可以有效降低IT部門的綜合運營成本、實現資源優化配置、獲得專業化團隊的支持、加快IT應用的步伐、推動業務創新。目前，中小銀行的信息科技服務外包需求旺盛，服務規模呈現爆發式增長，目前整個市場規模已突破150億元。

然而，信息科技服務外包在有效加快中小銀行信息化進程的同時，也帶來了較大的信息科技服務外包潛在風險。中國銀監會為加強對信息科技服務外包風險的防范和監管，在2013年2月出臺了《銀行業金融機構信息科技外包風險管理指引》（以下簡稱“《指引》”），《指引》中明確了信息科技服務外包風險的類型，金融機構在防范信息科技外包風險上的職責和工作，同時對服務外包商也提出了更具體的要求。

二、評估模型和標準構建

在信息科技外包風險管理中，信息科技外包風險評估至關重要。通過風險評估，可以有效識別總體外包風險水平和外包活動中所面臨的主要風險，從而可以執行有效的風險處置措施，也有效保證信息科技外包戰略目標的達成。本文提出的信息科技外包風險評估模型可以為中小商業銀行評估和管理自身的外包風險提供參考和借鑒，為外包風險管理工作奠定基礎。

信息科技外包風險評估是從信息科技外包依賴度和信息科技外包管控力兩個維度進行，其中信息科技外包依賴度反映了固有風險水平，信息科技外包管控力反映了銀行的控制能力。并將信息科技外包依賴度和管控力分成高、中、低三個層級，按照3分進行成熟度劃分。高的信息科技外包依賴度引入較大的信息科技服務外包風險，需要更加成熟的信息科技外包管理能力與之相匹配。運用“風險熱力圖”的方法根據“依賴度-管控力”將信息科技外包風險化分為高風險、中風險、低風險，其中紅色區域表示高風險，即信息科技外包管控力與外包依賴度難以匹配；黃色區域表示中風險，即信息科技外包管控力與外包依賴度較為匹配；藍色區域表示低風險，即信息科技外包管控力與外包依賴度高度匹配，如圖1所示。

信息科技外包依賴度評估是從業務流程外包程度、關鍵應用外包程度、應用開發外包程度、運維外包程度和信息科技咨詢服務程度五個維度進行評估。針對評估維度，又設計了9個具體指標用于數據的收集、調研和評估，反映了中小商業銀行信息科技外包的依賴程度（參見表1）。

表1 信息科技依賴度評估維度和指標

信息科技外包管控能力評估是從信息科技外包戰略、外包商準入、外包服務合同的簽訂、外包日常管理、外包應急管理、外包商監控與評價、重要外包商安全管理和重要外包商服務水平八個維 度進行評估，針對評估維度，設計了43個具體指標用于數據的收集、調研和評估，指標大都源于《指引》，反映了中小商業銀行信息科技外包管控能力（具體參見表2）。

表2 信息科技管控力評估維度和指標

三、外包風險評估過程和結果

本文選取15家中小商業銀行進行研究，其中資產規模在1000億以上的4家，500億到1000億的5家，500億以下的6家。實現跨區經營的有9家，未跨區經營的有6家。

通過調研，獲取15家銀行的信息科技外包依賴度指標數據，并分為高、中、低，再通過加權平均，形成五個維度的依賴度，可以有效反映出15家銀行總體外包依賴度水平，具體如圖2所示。從圖中可以看出，

第一，業務流程外包、關鍵應用外包和應用開發外包依賴度較高，體現了目前存在大部分機構的應用系統和關鍵應用系統仍然依賴于外包開發，其中網銀系統大部分完全托管于第三方，應用開發項目較多且大部分依賴與外包商。

第二，同時，也可以看到在系統運維依賴度上較低，目前調研的15家機構都具有很強的運維水平和實力，可以有效地保障系統的穩定運行。

第三，此外，由于中小商業自身IT資源匱乏、能力較為薄弱，而信息科技咨詢服務程度較低，一定程度上體現了機構在提升信息科技治理、風險管理等軟實力上的投入較少，還不夠重視。

經過匯總，總體信息科技外包依賴度為2.11，達到中等水平，充分體現了目前中小商業銀行的信息科技建設主要還是依賴于外包，但也可以看出已經有部分機構開始加大對自主研發的投入，增強自身研發實力。

圖2 信息科技外包依賴度

通過調研，獲取15家中小商業銀行的信息科技外包管控力指標數據，并分為高、中、低，再通過加權平均，形成八個維度的管控力，可以有效反映出15家銀行機構總體的管理力水平，具體如圖3所示。從圖中可以看出：

第一，在外包商準入、外包服務合同簽訂和外包商日常管理等方面管控工作開展比較到位，展現出在外包商管理的部分重要環節上具有較高的管理能力和水平，可以有效地防范外包風險。

第二，在信息科技外包戰略方面還需要進一步完善，缺乏明晰的信息科技外包戰略，未明確信息科技外包的范圍，未建立信息科技外包風險和效益評估機制。

第三，在外包服務水平、外包商監控與評價和外包應急管理等重要環節方面還存在不足，如對重要外包商盡職調查開展不足，外包服務質量監控和考核指標的不夠深入細化，未建立適當的信息科技外包應急預案和策略。

第四，在重要外包商安全管理方面比較薄弱，如未開展重要外包商實施前的監管報備、重要外包商信息安全風險評估以及對重要外包商的信息安全審計等。

經過匯總，總體信息科技外包管控能力符合度為2.23，充分體現了中小商業銀行對信息科技外包風險管理的重視，展現了較為成熟的信息科技外包管理能力，但是與《指引》的要求相比，還存在一定的不足，需要進一步完善。

圖3 信息科技外包管控能力

通過對15家中小商業銀行信息科技外包依賴度和管控力的數據調研分析，整體信息科技外包依賴度為中，信息科技外包管控力也為中，信息科技外包管控力與依賴度基本匹配，參見圖4中陰影部分。通過“信息科技外包風險熱力圖”，可以看出目前中小商業銀行總體信息科技外包風險處于中風險水平。

圖4 信息科技外包風險評估結果

四、信息科技外包風險應對措施

中小商業銀行應充分參照銀監會出臺的《指引》中的相關規定，針對目前中小商業銀行銀行普遍缺乏明確的科技外包戰略，自主研發團隊匱乏、研發水平弱、外包依賴度高，外包日常管理不夠完善，外包服務質量監控和考核不足，外包信息安全管理方面比較薄弱等現狀和問題，制定信息科技外包風險應對措施，提高外包管控力，有效防范科技能力喪失、業務中斷、信息泄露和服務水平下降等風險。具體措施包括：

（一）制定科技外包戰略，逐步掌握科技核心技術

銀行應制定與業務總體策略相匹配的信息科技外包戰略，合理確定外包服務的范圍，對于非核心業務的信息系統建設和投產可酌情外包，對于核心業務的信息技術，銀行應掌握在自己手里。

（二）提高自主開發水平，合理降低外包依賴程度

銀行應建立自己的研發團隊，提升研發能力，加強對信息系統的自主研發。對于沒有實力完全開發的系統，可以采用合作開發的方式，完成后逐步過渡到自己維護。

（三）嚴把外包服務準入，有效強化外包日常管理

銀行應在外包服務選擇時，應充分評估外包商資質水平、財務水平等，開展對外包商的盡職調查，并通過外包合同嚴格約束外包服務。在外包服務過程中，還應建立專門的管理或協調組織，加強對外包商的管理和外包人員管理。

（四）做好外包監控考核，持續提升外包服務質量

銀行應建立服務水平監控評價機制，明確服務質量監控指標，定期對外包服務開展服務水平監控。同時，還應建立起科學的評價體系，對外包商定期開展考核，提升外包服務質量。

（五）嚴防外包信息安全，充分提升外包應急管理

銀行可以通過與外包人員簽訂保密協議，禁止外包人員進入內網、接觸敏感數據或訪問生產系統，防止發生敏感信息泄露等風險。同時，也要針對外包服務的意外突發情況，如外包骨干人員變動等，做好相應的應急機制，提升應急處置能力。

參考文獻

[1]李金洋.城市商業銀行信息科技外包風險監管探究[J].電子制作，2013.

[2]李鳳梅.加強銀行業信息科技外包風險管理的思考[J].信息科技，2013.

[3]徐徽.業銀行信息科技外包風險管理的思考與實踐[J].中國金融電腦，2013.

[4]陳兵兵.我國商業銀行IT外包的風險管理研究-以A銀行為例[D].首都經濟貿易大學，2013.

[5]駱絮飛.銀行業IT外包的風險與挑戰[J].中國金融電腦，2013.