浅谈银行业信息科技外包风险及管理

浅谈银行业信息科技外包风险及管理

发表时间：2018-08-13T11:29:51.117Z 来源：《基层建设》2018年第20期作者：蔡志刚

[导读] 摘要：随着社会经济的快速发展，信息技术扮演着越来越重要的作用，而且银行业也对信息技术的依赖不断加深，因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。

盘谷银行（中国）有限公司 200002

摘要：随着社会经济的快速发展，信息技术扮演着越来越重要的作用，而且银行业也对信息技术的依赖不断加深，因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。

关键词：银行信息；科技外包；风险；

一、银行信息科技外包策略及现状

随着经济的快速发展，我国银行近几年业务发展迅速，科技力量不足的矛盾日益突出，基于信息科技战略、外包市场环境、自身风险控制能力制定了“保持核心技术能力，适度引进外包，防控外包风险”的科技外包策略。具体来说，在开发外包方面，坚持核心银行系统自主开发，重要系统采用合作开发模式、内部管理系统购买业内成熟产品进行客户化，在安全及运维外包方面，优先考虑国产化的外包服务，如信息安全系统首选国内产品。网络、PC服务器及储存等设备在开发测试环境尝试使用国产化产品，逐步破解“核心技术受制于人”的难题，提高自主可控能力。

信息科技外包工作的开展，解决了银行自身信息科技人员不足的问题，使我行能够在较高的起点实施项目，从而实现信息化建设的跨越式发展提供了有力支撑。与此同时，我们也发现在外包管理工作中，存在信息科技外包管理体系有待完善、外包风险意识需要进一步加强、外包管理相对粗放、对服务商的约束机制还不到位等问题。

二、银行业信息科技外包所面临的风险

2.1 银行业务发展战略与外包服务不匹配的风险

如果银行在选择外包服务商时，并没有实践的进行考察和精密的评估，而任意选择一个外包商，这会致使外包项目以及银行业务想要发展的策略出现不匹配的现象，因此，会给银行的稳定发展带来一定影响，这样的外包项目如果外包出现，银行发现了存在的风险隐患，这时如果想要终止合同，银行就必须要给服务商赔偿很多的违约金作为赔偿，要想再跟服务商建立信息科技外包服务就一定要支付比以前更多的费用，服务商有可能会考虑再次合作的事宜，因此，如果外包与银行业务发展不匹配的战略风险会给银行今后的发展带来很大的影响。

2.2外包服务商提供服务无法达到标准的风险

外包商在提供服务的时候，往往会出现很多不同的问题，对这些存在的问题如果不积极采取有关措施会给银行业务带来风险，经常出现的业务有下文几种：

2.2.1当前，外包服务商的服务水平经常会受到物力和人力以及整体实力等因素的影响，不能达到银行合同标准的服务水平。

2.2.2如果银行没有给客户更优质的服务水平，会致使客户对银行的整体服务标准十分不满意，使银行丢失更多的客户。

2.2.3目前，有个别的服务商在接受工作后，并没有按照银行的要求去做，又或者去做一些违反法律法规的事，给银行的信誉造成很大的不良信誉，严重的导致银行遭受巨大的损失。

2.2.4很多服务商会因为技术问题，又或者是维护时的问题而发生一些不必要的矛盾，从而导致银行系统设备不能正常工作，致使银行的办事效率降低，这样会极大的引起客户的不满意。

2.3选择外包商的风险

该风险的出现主要是由于银行在选择外包商时没有经过充分考察、评估，以及对他们服务水平、技术水平、财力水平等都没有整体进行评估，而是单纯的只关注某一方面的特点，根本没有将IT外包的整体服务水平考虑进去，最后选择了服务水平质量不高的外包服务商。

2.4制定外包合同的风险

银行跟外包商签订合同的时候，一定要进行详细的了解并且实地进行全面的科学考察，如果没有经过全面、科学的考虑，银行将会在遇到意外或问题时处于非常被动的地位，因为这种片面的评估，将会使服务商的服务水平、服务标准以及在将会发生故障时得不到最好的服务。这同样也是我国目前大多银行在外包合同执行期间所面临的共同问题，服务商不能很好的执行服务，甚至有些技术根本就不能过关，对日常的检查也是不能按时执行，这些现象的发生将会在很大程度上导致银行的服务水平降低，工作效率也会出现明显的降低，来给银行的利益造成很大的损失。

2.5重要信息遭到泄露的风险

当前外包服务商受其整体综合实力不高的影响，没有完善的法律法规体系，致使有些工作人员在向银行提供服务时，把银行内部一些非常重要的机密信息泄露出去，给银行的声誉和发展造成巨大损失的潜在风险，即重要信息遭到泄露的风险。由于这种风险的涉及面非常广泛，并且不很难有效控制，因此相对而言其有较高的发生概率。

2.6知识产权的风险

这类风险主要包括以下几个方面：一是外包服务中开发技术的专利；二是版权的归属问题；三是源代码的归属问题，等等这些都是银行在和外包服务商签订协议时没有法律规定的，而且如果合同中存在一些不恰当的规定或者是没有进行详细的规定，这些问题都会给以后的合作过程带来很大的纠纷。

三、银行业信息科技外包风险管理

3.1建立信息科技外包服务管理机构

目前，银行业金融机构在外包过程中，仅当外包商选择或发生了法律纠纷时，才成立临时性机构来处理相关外包事务，管理机构的缺失给外包服务的管理和监督带来不便，无法充分保障外包服务的质量。

信息科技外包服务管理机构应该建立健全外包服务管理相关制度，做到对外包服务相关事务的处理有制度可依循，防范在外包立项、审批、采购、实施、服务过程中出现的各种风险。

控制外包服务项目预算经费；核查外包服务项目与金融机构发展趋势、信息科技外包战略是否一致；在筛选服务供应商时，国产供应

商优先，禁止与监管部门发布风险预警的外包服务商合作，避免与提供外包服务不满三年的供应商合作，避免与已签订其他外包项目的供应商合作；对重要的服务供应商开展尽职调查，必要时为保证公允，可聘请第三方机构协助调查，调查应关注供应商技术经验、行业声誉、内部控制力、企业管理能力、持续经营状况等。

3.2规范信息科技外包服务合同

银行在购买外包服务前，金融机构应与外包服务供应商签订合同，合同应根据外包服务需求、尽职调查结果确定详细程度和重点。

合同应合规，遵从法律法规及金融机构内部管理制度的要求；合同应明确服务范围、内容、方式、时限、责任分配等事宜；合同应明确供应商在安全和保密方面的责任，禁止使用、泄露金融机构非公开信息，明确加强安全保密的具体措施；合同应满足服务连续性要求，具有完善的灾难恢复设施和应急管理体系，若供应商由于其自身原因造成的服务中断可能时，需提前向金融机构提出事务应急方案，做好应急处理，做好过渡安排，保障业务连续性；合同应包括争端解决机制、违约及赔偿条款，明确信息安全、服务质量、知识产权等违约情况下的赔偿及解决办法；合同应包括报告条款，明确常规报告内容、频度、突发事件的报告流程、方式、时限要求等。

3.3落实信息科技风险评估

金融机构应定期开展信息科技外包风险评估，由牵头部门组织，信息科技部门技术配合开展系统、全面的信息科技外包风险评估工作。

信息科技外包风险评估应涵盖信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续行、服务质量、政策及市场变化等因素。

定期对重要的外包服务供应商进行风险评估，评估应涵盖供应商合规情况、服务的执行效果、供应商企业内部控制力等因素。

结束语：

综上所述，我国经济的快速发展带动了银行信息技术外包的发展，因此，银行高管要学会审时度势，制定出信息科技外包风险管理的有效措施，使银行能够得到更快更好的发展。

参考文献：

[1]银行业金融机构信息科技外包风险监管指引.中国银行业监督管理委员会.银监发[2013]5号.

[2]刘颖.银行业信息安全管理体系建设浅析.中国金融电脑，2012（4）.

[3]陶良华.银行业信息科技风险管理能力探究.网络安全技术与应用，2011（12）