银行信息科技外包风险防控实践

近年来，随着银行业务的快速发展，商业银行尤其是中小银行越来越多地采用信息科技外包服务来快速提升IT能力，以快速满足业务需求、节约成本和优化资源配置。信息科技外包业务的快速发展在提升商业银行竞争力的同时，也带来了信息泄密、业务中断、自主能力下降等外包风险。本文结合江苏银行信息科技外包管理现状，探讨商业银行信息科技外包风险的防控与实践。

一、信息科技外包风险识别

　　信息科技外包风险涉及多个方面，需从不同角度进行研究。信息科技外包面临的内部风险主要有决策风险、管理风险、声誉风险、法律风险、合规风险、财务风险、操作风险、合同风险等；信息科技外包面临的外部风险主要包括外包服务商风险、集中度风险、环境风险、国家风险、政策风险等。根据信息科技外包特点，可将信息科技外包分为研发咨询类外包、系统运行维护类外包与同业托管类外包。在此基础上，可从外包生命周期中规划与组织、获取与实施、交付与支持、升级与淘汰四阶段识别相应风险。在实践中，江苏银行从上述各角度、各类别出发，通过穷举法详细列出了信息科技外包中68个可能的风险点。

二、信息科技外包风险监测

　　信息科技外包风险监测是信息科技外包风险管理工作的重要部分，是信息科技外包风险管理不可缺少的重要手段。信息科技外包风险监测工作主要分为两部分，一部分是梳理确定合理有效的信息科技外包风险监测指标，确保指标的代表性、敏感性、全面性、可获取性；另一部分是建设监测平台，利用平台监测和分析预警信息科技外包风险。监测指标是基础，而监测指标的有效利用又必须通过监测平台来实现，二者缺一不可，密不可分。江苏银行从信息科技外包涉及的银行和外包商两个主体角度梳理提炼了关键监测指标，如表1所示。其中，银行内控角度的监测指标数据来源为银行内控结果，外包商角度的监测指标数据来源为外包商定期或不定期报告、以及对其进行实地检查和评估结果等。

　　信息科技外包风险监测的工作主要包括：风险指标数据的采集、分析和运用。江苏银行建设了内控合规与操作风险管理系统(GRC系统)，具有风险指标监测、分析和预警功能。外包管理人员可以将采集到的信息科技外包风险监测指标数据录入该系统，设定预警阀值，动态监测信息科技外包风险的变化。如果指标超出预警阀值，需要强化对应部分的内控管理措施，比如某外包商关键技术人员流失率大增，表明该公司稳定性不足或经营战略发生改变，需要做好其退出服务的准备。对于信息科技外包风险事件损失情况，可纳入全行风险事件损失监测管理。

三、信息科技外包风险评估

　　信息科技外包风险涉及的因素大多是非定量因素，为有效掌握信息科技外包风险态势，需要寻求科学的风险评估方法。经研究与实践，银行采用层次分析法，结合专家判断决策，将外包风险各因素进行权重量化，建立了量化评估模型。模型的部分结果如表2所示，其主要步骤如下。

　　步骤1：分析系统中各因素间的关系，构造“两两比较”的判断矩阵；

　　步骤2：通过判断矩阵计算被比较因素对于该准则的相对权重，并进行判断矩阵的一致性检验；

　　步骤3：计算各层次因素对于上一层次目标的权重分配，得到各因素对于总目标的重要性分布。

　　基于该模型，定期采用专家打分法确定各基础性风险指标的实际水平，通过计算可量化评估出相应时点的信息科技外包风险状况。多时点纵向比较，可反映出风险的变化趋势。

四、信息科技外包风险内控管理

　　江苏银行按照外部监管政策和内部管理要求，结合信息科技架构现状，从信息科技外包战略、治理、运营和持续改进四个层面建立了外包风险管理框架和管理体系，如图1所示。

　　 1．信息科技外包战略

　　 信息科技外包风险战略是一个简洁、高层次的规划，阐明银行的IT外包风险管理远景、原则和风险偏好。江苏银行通过制定信息科技外包战略，明确了信息科技自主可控、管理责任、创新发展、提升投入产出比等要求。

　　 2．信息科技外包治理

　　 信息科技外包管理的组织架构包括董事会、高级管理层、信息科技部门、风险管理部门、内审部门及支持保障部门。其中董事会负责外包治理层面相关工作；高级管理层负责外包项目的决策；信息科技部门风险管理部门、内审部门各司其职，共同形成信息科技外包风险管理的三道防线。

　　制度层面，一般遵循本行的外包风险管理政策，招标采购制度、项目管理制度、外包管理制度等。

　　3．信息科技外包运营

　　信息科技外包实施过程中涉及数据安全、业务连续性等多个风险领域，主要风险防范措施如下。

　　做好外包项目全生命周期管理，涵盖项目立项、项目采购、项目实施、项目后评价各阶段。项目立项与采购阶段，由需求部门提出业务需求，经过可行性分析、IT架构评审，对潜在的外包商进行尽职调查，经过外包项目审批机构审批立项，通过招标采购流程确定外包供应商；项目实施阶段，实现双项目经理制，外包商和行方均指定项目经理，外包人员进场前需对项目经理和外包人员进行考核，制定项目计划，落实技术设计、应用开发、系统测试、项目投产或推广、项目验收等各环节要求，完善各环节文档。项目实施完毕运行一段时间后，对外包商所提供产品质量、项目实施过程控制情况及外包服务水平进行后评价。

　　实现外包相关文档标准化管理，分类制订软件开发、人力服务等各类合同及保密协议模板，统一各类外包项目招标文件中的投标人准入条件、商务条款及评标办法等。

　　加强外包供应商管理。一是项目立项准备阶段做好潜在供应商尽职调查，由潜在供应商提供供应商基本信息表以及相关资质、财务情况、企业经营状况、成功案例、第三方审计结果等证明，通过同业或互联网途径了解供应商内部控制、管理能力和持续经营情况，提供潜在供应商选择理由，形成项目采购情况说明文档；二是建立供应商库，每年对所有库内供应商进行一次后评价；三是供应商分类管理并对重要供应商进行风险评估，根据供应商为银行提供的外包服务的重要性(系统重要性和系统数量)，兼顾监管要求、公司实力、同业情况等将供应商分为A、B、C类，对A类服务商定期开展风险评估(三年内覆盖)，对非驻场集中式外包商每年不少于一次开展实地检查和风险评估；四是对重要供应商运营状况等风险因素进行定期监测。

　　做好外包人员、外包场地管理。外包人员驻场前需通过行方考试，签署保密协议，定期进行考核；部署桌面安全系统，执行严格的安全准入策略实现网络准入和非法外联阻断，限制外部设备的接入；外包人员进行行内外数据交换时须使用行方项目经理提供的安全U盘，未注册的U盘在行方环境无法识别，由行方人员控制数据交换行为。

　　强化信息科技外包中断等风险的应对，加强自主可控能力建设，强化IT架构和平台化约束，加强源代码和版本控制，控制外包集中度。

五、总结

　　 本文简要介绍了商业银行信息科技外包风险识别、监测、评估与防控方面的一些实际做法。应当看到，信息科技外包风险问题归根结底属于发展中的问题，需要用动态、发展的眼光加以看待。只有重视商业银行信息科技工作，强化自主可控能力建设，持续提升外包风险管理水平，才可最终构筑抵御信息科技外包风险的有力长城，实现商业银行持续稳健发展。

（文章来源：《金融电子化》杂志）

扫码即可手机
阅读转发此文