論中小銀行信息技術外包自主可控

曾晨

摘 要：近年來，信息技術外包已成為中小銀行信息化建設的重要手段，從而其信息技術外包自主可控是中小銀行信息化建設的必要措施。其內容包括信息化建設過程自主可控、信息技術外包成果自主可控和信息系統運維自主可控。為此，必須統一思想認識，把自主可控擺在信息技術外包過程的戰略位置;創建三層監控體制，努力構筑信息技術外包自主可控平臺;完善相關制度，切實構建信息技術外包自主可控機制。

關鍵詞：中小銀行;信息技術外包;自主可控

中圖分類號：F832.4 文獻標識碼：A 文章編號：1005-6432（2022）04-0040-02

DOI：10.13939/j.cnki.zgsc.2022.04.040

近年來，信息技術外包已成為中小銀行信息化建設的重要手段[1]。誠然，信息技術外包可以節省成本，增加收益，但由于外包合作雙方的信息不對稱等原因，也存在諸多風險[2-3]。國家銀監會主席尚福林在一次重要會議上明確指出，銀行業信息科技發展必須做到自主可控[4]。筆者以為，這為銀行在信息技術外包過程中加強風險防范指明了方向。文章就此展開論述。

1 信息技術外包自主可控的概念和文章論題

關于信息技術外包自主可控，學界在這方面的研究，目前限于如下兩個層面。其一，國家信息安全戰略層面。學者們認為，自主可控是信息安全的“本質”[5] ;信息技術自主可控是國家信息安全戰略的重要舉措[6]。其二，信息技術應用層面。例如“電子政務系統自主可控的研究與實踐”[7]“檢察院信息安全系統的自主可控”[8]“醫療衛生行業信息系統自主可控”[9]、一般辦公軟件的“自主可控”等研究[10]。通過上述文獻可知，所謂“自主”，指單位和企業信息化建設使用的硬件和軟件國產化;所謂“可控”，是單位和企業信息系統的安全可控（例如防范黑客攻擊），是指單位和企業通過信息化建設中推行硬件和軟件國產化，從而達到信息系統的安全可控的目的。

文章所要研究的自主可控是在上述兩個層面之外的第三個層面，目前學界尚未論及。這個層面的自主可控與信息技術外包過程相聯系，指的是需求企業在外包過程中所采取的行為策略。其中，所謂自主，指需求企業在與信息技術供應商合作進行信息化建設的過程中把握主導權;所謂可控，指通過對整個信息技術外包過程的全方位掌控，達到信息化建設進程可控、信息化建設質量可控、信息化建設成果可控，以及信息技術外包過程的風險可控，由此從根本上擺脫對信息技術供應商的過度依賴，保證企業信息化建設順利、安全和可持續進行。[11]

2 中小銀行信息技術外包自主可控的主要內容

第一，信息化建設過程自主可控。首先，要做到信息化建設規劃自主可控。規劃是對信息化建設的方向性決策，對于整個信息化建設發展起指導性作用，直接影響具體項目的建設與實施。如果連信息化建設規劃都要依賴信息技術供應商，那就談不上自主可控了。其次，要做到信息技術文檔自主可控。技術文檔是信息技術項目的靈魂，沒有文檔的項目注定是失敗的項目[12]。在這方面的具體要求是：一要掌控文檔的規范性，文檔規范應由銀行為主編寫，并要求供應商所編寫的文檔，嚴格執行，保證文檔的針對性、正確性、準確性、完整性、簡潔性、統一性、易讀性;二要掌控文檔的技術性，以銀行為主編寫的文檔規范，對文檔要有相關技術要求，從而使供應商提供的文檔所涉的方案能滿足業務的需求，所設計的系統具備高可用性及可擴展性。最后，要做到信息化技術流程自主可控，主要是保證開發、測試上線的標準化，確保項目各環節嚴格按設計實施。

第二，信息技術外包成果自主可控。首先，要收集整理相關技術成果。在外包過程中會產生各種階段性成果，最初大都散落在供應商的技術人員手里，需要銀行科技人員收集整理，其中包括對各種技術文檔的收集整理，對系統源碼的收集整理，各種技術標準和管理制度的收集整理。其次，銀行要組織本行科技人員進行學習。認真學習貫穿在成果中的技術細節、原理、技術標準，以及運行維護的制度與管理規范，做到“知其然”和“知其所以然”，從而切實提升銀行科技人員的信息化技術能力。最后，還要組織本行信息化建設管理層認真學習外包商成功的管理制度和管理經驗，從而提升銀行信息化建設管理水平。

第三，信息系統運維自主可控。信息技術外包成果裝機運行后，需要在運行中進行維護和管理。在這方面，不能全盤交給外包商負責了事。首先，要明確主次。運維必須以銀行科技人員為主，信息技術供應商協助，從而做到一旦供應商撤離，銀行科技人員能夠自主掌控。其次，掌控運維流程。包括流程的制定、違規處罰、對流程執行的監督審查、對流程的持續優化等，銀行都要做到自主可控。最后，掌控運維保障體系及其持續完善。要督促信息技術供應商完善運維保障體系，其中包括機房建設管理、容災備份管理、網絡管理、終端維護管理的持續改善，以及應急切換演練制度、突發事故處理機制的完善等，組織銀行科技人員參與并掌控。

3 中小銀行實現信息技術外包自主可控必須采取的主要措施

3.1 統一思想認識，把自主可控擺在信息技術外包過程的戰略位置

思想是行為的先導。要實現信息技術外包的自主可控，首先要切實提高認識。一是要深入認識銀行業信息化建設的特點，堅持把風險控制當作銀行業信息化建設必須重視的課題。二是要深入認識銀行信息技術外包實現自主可控的必要性和可能性，從而把自主可控當作銀行信息化建設的戰略，當作信息技術外包過程的綱領，貫徹到各項具體工作中。三是要深入認識銀行信息技術外包必須實施自主可控的重點環節和主要內容，從而把自主可控的工作落到實處。

3.2 創建三層監控體制，努力構筑信息技術外包自主可控平臺

自主，必須有人去做主;可控，必須有人去施控。實現自主可控，關鍵是通過體制建設，構筑完整有效的自主可控平臺。通過對信息技術外包過程進行分析，筆者以為，必須創建宏觀、中觀和微觀三層監控體制，由此構筑信息技術外包自主可控平臺。

首先，建立并完善信息化建設管理委員會。這是宏觀層面的監控體制。該管理委員會職責是：制定和不斷完善信息化戰略規劃，對信息化建設的重大問題做出決策，審定信息技術外包實施方案，審議和批準信息技術外包合約，完善信息技術外包自主可控的體制機制?？傊?，管理委員會要在總體上對信息化建設和實施信息技術外包自主可控戰略負總責。

其次，創建信息技術外包監控專家組。這是中觀層面的監控體制。監控專家組，由銀行相關部門的技術骨干組成。專家組在管理委員會領導下，具體負責信息技術外包的談判、簽約、驗收、評價等工作。顯然，供應商是信息技術專家。據了解，目前許多銀行在信息技術外包過程中，與供應商談判、簽約、驗收、評價等工作，均由信息化建設管理委員會包攬。然而，很明顯，信息化建設管理委員會的成員大多是領導，事務性工作繁多，而且一般不具有信息科技專業知識，這樣不能達到自主可控的要求。為改變這種狀況，擬在管理委員會領導下，組建由相關部門技術骨干參與的信息技術外包監控專家組，由此實現決策和執行的分工，即重大問題由管理委員會決策，具體工作由專家組負責實施。這樣，必將增強在信息技術外包過程中的監控能力，使信息技術外包真正實現自主可控。

最后，創建信息技術外包銀行方項目經理體制。這是微觀層面的監控體制?？刂菩畔⒓夹g外包項目，是實現信息技術外包自主可控的基礎。凡信息技術外包的具體項目，不能僅有供應商派出的項目經理，銀行方也應有人參與項目工作，且該人員不能是對項目的決策無職無權的普通項目人員，這樣不能起到監控作用，必須是在項目建設團隊中有實際決策稽查權的銀行方項目經理。其實，銀行的信息技術外包本質上是銀行與供應商的合作，銀行既有權力也有責任派出專業骨干充當銀行方項目經理。其主要職責是：監督供應商嚴格按照合約的規定保質保量完成項目，掌控由供應商完成的信息技術外包成果。這樣，銀行方才能切實擺脫對供應商的過度依賴風險，從而使信息技術外包自主可控戰略真正落到實處。

3.3 完善相關制度，切實構建信息技術外包自主可控機制

制度是體制順暢運行的保證。有了一個好的體制，如果沒有相應的制度，那么，體制也不可能真正發揮作用。因此，必須完善相關制度，構建信息技術外包自主可控機制。制度是多方面，但最重要的是如下三個方面：一是各種體制的運行制度，包括管理委員會、監控專家組和項目經理，都要明確其成員的任職資格和運行規則、程序，使之有效有序運轉。二是各種工作制度。包括文檔制度、與供應商協商溝通制度、項目成果驗收和評價制度等，從而保證信息化建設和信息技術外包成果的質量。三是相關的獎懲制度。尤其是對監控專家組成員和項目經理，要明確各自的職責、任務和工作標準，對有貢獻者給予獎勵，對因工作失誤造成損失者給予處罰。總之，要通過這些制度建設，切實形成本行信息技術外包自主可控機制。

參考文獻：

[1]李響.IT 外包成為中小銀行信息化的必由之路[J].金卡工程，2007（3）.

[2]洪岢.銀行業IT外包的分析與探討[J].中國農業銀行武漢培訓學院學報，2010（6）.

[3]付森.論IT 戰略下外包決策的動力與風險[J].中國管理信息化，2013（3）.

[4]尚福林.在中國銀行業信息科技風險管理2012年會暨銀行業信息科技風險管理高層指導委員會全體會議上的講話[J].金融科技治理與研究，2013（1）.

[5]倪光南.信息安全“本質”是自主可控[J].中國經濟和信息化，2013（5）.

[6]蔡紅.全力構筑自主可控的信息安全保障體系[J].信息安全與通信保密，2004（5）.

[7]梁明君，張莉莉.電子政務系統自主可控的研究與實踐[J].信息網絡安全，2010（5）.

[8]何月.做好基層檢察院信息安全系統的自主可控[J].信息網絡安全，2010（5）.

[9]王暉.醫療衛生行業信息系統自主可控的需求與實踐[J].信息網絡安全，2010（5）.

[10]胡雪琴.辦公軟件“自主可控”才能保障信息安全[J].中國經濟周刊，2008（45）.

[11]李政.銀行 IT 風險管理和信息安全發展概況[J].計算機安全，2011（3）.

[12]李兵.淺談IT軟件系統建設中的項目文檔實踐[J].科技傳播，2010（20）.

3922501908293