金融科技时代的信息科技外包风险管理

栏目编辑：梁丽雯 E-mail:liven_01@

金融科技时代的信息科技外包风险管理

■ 广东华兴银行　李　燕

作者简介： 李　燕（1979-），女，湖南浏阳人，管理科学与工程硕士，电子技术工程师、经济师，供职于广东华兴银行，信息科技部 总经理助理，研究方向：信息科技管理、信息安全、金融科技。收稿日期： 2019-03-25

金融机构业务的迅速发展和市场竞争的日益激烈，大大提高了对科技支持能力的要求。金融机构特别是中小型机构普遍存在信息科技人力资源匮乏、技术能力欠缺等问题，人员数量和质量均不能满足业务发展对科技的要求。因此，大部分金融机构大量采用信息科技外包的方式，作为自身科技力量的补充。但凡事均有两面性，信息科技外包是一把“双刃剑”，在给金融机构带来专业化能力、推动科技创新、提高科技效率、实现科技对业务支持的同时，也会引发一系列的外包风险。近年来，金融行业陆续出现的外包风险事件给金融机构和监管机构敲响了警钟。信息科技外包风险管理，成为金融机构信息科技风险管理的重要组成部分，也成为金融行业监管的工作重点

之一。

金融科技时代，随着新技术的发展和新业务、新产品的涌现，信息科技的治理架构、技术架构和运维模式不断演化，金融机构与外包商的合作模式和合作关系也发生了变化。新的机遇意味着新的风险，因此，除了传统外包安全管理手段外，还需要结合新时代的特点，做好外包商合作关系管理和风险管理。

一、外包风险管理的必要性

根据中国银保监会发布的《银行业金融机构信息科技外包风险监管指引》，信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

摘要：

随着新技术的发展和新业务、新产品的涌现，信息科技的治理架构、技术架构和运维模式不断演化，金融机构与外包商的合作模式和合作关系也发生了变化，出现了新的机遇，同时也引发了新的风险。本文阐述了外包风险管理的必要性，总结了金融行业外包的3种模式（与“互联网”金融科技公司合作、与“金融系”金融科技公司合作、与中小型金融科技企业合作），分析了信息科技外包的常见风险，并提出了金融科技规划必须同步考虑风险防控规划、金融机构必须承担外包风险管理的主体责任、要通过技术手段防范风险等建议。

关键词：

金融科技；外包；风险管理

栏目编辑：梁丽雯 E-mail:liven_01@

将信息科技工作外包给其他服务提供商承担，相较于由金融机构自身的员工开展，存在着特殊的风险。因此，信息科技外包风险防控，已成为金融行业信息科技风险防范的主要任务之一，金融机构必须采取各种措施，加强对信息科技外包的安全管理。

（一）外包管理是“刚需”，外包安全管理是必须“支付”的对价

在金融机构所有的外包活动中，信息科技外包所占比重最大。金融机构信息科技外包的目的主要有两方面：一是弥补自身人力资源的不足，将自身有限的资源投入至最重要的业务系统和最核心的技术上，其余资源通过外包方式补充；二是充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势，实现对市场变化和业务需求的快速响应。

既然信息科技外包是大势所趋和无法避免的选择，那么信息科技外包风险管理也就成了金融机构必须“支付”的对价，是必须且非常重要的工作。金融机构不能“一包了之”“包治百病”，而应该承担起外包风险管理的责任，必须认识到外包的风险，并对外包风险进行分析评估，加强外包安全管理，采取风险缓释、转移、规避等措施，将外包风险控制到合理、可接受的程度，避免信息技术及服务受制于人。可以说，做不好外包安全管理，就做不好信息系统管理，进而无法实现对金融机构系统和业务的保驾护航。

（二）金融机构面临的外包风险形势严峻

近年来，金融机构信息科技外包发展势头迅猛，涉及的范围逐步扩大，涵盖了信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。如果外包商经营出现风险、外包商服务质量下降，或者外包商出现不当行为，都有可能对金融机构信息系统的稳定运行及业务服务的安全造成严重影响。

近年来，金融机构由于外包引发的信息系统中断、敏感信息泄露等问题较多，外包风险作为金融机构信息科技风险的重要组成部分，必须认真对待。

（三）监管机构对信息科技外包的监管要求趋严趋紧

针对日益严峻的信息科技外包风险形势和层出不穷的外包风险事件，监管机构高度重视，监管要求逐步加强。

1. 中国银保监会于2010年出台了《银行业金融机构外包风险管理指引》，对外包的组织架构、风险评估、外包商尽职调查、合同协议约定等方面提出了具体要求。

2. 中国银保监会于2013年印发了《银行业金融机构信息科技外包风险监管指引》，专门针对信息科技外包这一比重最大的外包领域提出了很多细化的安全管控要求，定义了信息科技外包的几种类型，规范了银行信息科技外包风险管理的组织架构和战略内容，细化了信息科技外包活动各阶段、各环节的风险控制及管理要求，并针对重要外包商、机构集中度外包商、跨境外包商、非驻场外包商、银行业重点外包服务机构等特殊类型的外包商提出了相应的管理要求，可以作为银行业信息科技外包工作的一个“纲领性”文件。监管要求明确不得将信息科技管理责任外包，引导银行将信息科技外包管理纳入全面风险管理体系。

3. 2017年，中国证监会发布《证券基金经营机构信息技术管理办法》（征求意见稿），其中规定了对“信息技术服务机构”即外包机构的要求，包括“不得将重要信息系统的运行、维护或日常安全管理交由信息技术服务机构独立实施”的规定，以及审慎选择信息技术服务机构时应该关注的重点事项、合同约束要求、内部审查要求、部分服务机构的备案要求、应急处置机制、严禁行为等。

各类监管要求从战略规划的高度和战术执行的细度，为金融机构建立信息科技外包管理体系、战略方针和工作机制提供了规范性的要求，既是指导又是约束。金融机构必须遵循监管要求，在监管要求的框架下搭建自身的外包风险管控体系，解决基础性、体