李坚宝 柯明通 李山河 唐宗

【摘要】本文从信息科技外包服务供需双方的角度，对目前商业银行信息科技外包现状进行了分析，全面识别了商业银行信息科技外包过程中可能面临的主要风险，结合已知風险因子和外包类型，形成了相应的外包风险预警指标体系，通过利用层次分析法，构建了可优化信息科技外包工作的商业银行外包风险评估模型。

【关键词】信息科技外包风险 风险评估 重点外包服务机构 优化控制

一、背景

随着信息科技技术应用的深入和信息科技外包服务的发展，近年来我国商业银行普遍将信息科技外包作为提高信息科技服务水平的重要手段，通过信息科技外包帮助银行提高管理和服务效率，节约信息科技建设和运维成本，实现战略升级。

随着外包服务范围的扩大和深入，商业银行对于信息科技外包商的依赖程度也逐渐加大，外包商自身的财务风险、经营风险、操作风险和道德风险都有可能传导至商业银行，引发商业银行的业务中断、信息泄露、系统失效、经济损失、声誉受损等一系列系统性风险；另一方面，由于银行自身外包管理能力的不善，也引发了一些外包风险事件的发生。

监管机构近年来高度重视信息科技外包风险，对商业银行外包管理提出了更明确的要求。因此，如何在信息科技外包过程中科学有效的评估外包商的风险，是商业银行目前信息科技外包风险管控迫待需要解决的问题。

二、商业银行信息科技外包风险评估模型建立

（一）商业银行信息科技外包风险识别

信息科技外包是一种通过将风险发生时所造成的全部或部分影响转移给第三方服务供应商的风险转移措施，它使商业银行通过风险转移在一定程度上降低了信息科技风险事件发生时对银行造成的损失。然而，在将信息科技活动风险转移给第三方的同时，也带来了外包活动的相关风险。据此，本文从风险来源的角度将商业银行信息科技外包风险划分为两类（见图1）。

图1 商业银行信息科技外包风险框架

对于A类风险（商业银行信息科技外包自有风险）与B类风险（外包商信息科技风险），本文识别了风险存在的领域，依据因子分析法进一步分解了各风险领域下的风险因子。

1.A类：商业银行信息科技外包自有风险。本文根据信息科技外包生命周期和管理主体，同时参考相关指引和通知，梳理了5个风险领域：外包管理组织架构及外包战略管理、外包风险管理、外包项目管理、外包商管理、监管报告管理。在每个风险领域下，根据因子分析法又分解了17个可能诱发风险事件的风险因子。

2.B类：外包商信息科技风险。本文参考了ISO27001、ITIL V3和积累的经验，结合国际知名咨询公司的风险知识库，共梳理出9个风险领域：运维管理、信息安全管理、服务管理、问题、事件管理、变更管理、业务连续性管理、转包分包管理、公司治理。在每个风险领域下，使用因子分析法进一步分解了34个风险因子。

（二）商业银行信息科技外包风险评估模型

信息科技外包风险事件大都产生于银行自身或外部服务提供商内部控制管理的不善、人员或系统外部事件引发的损失，因此外包风险常常被归类为操作风险的一个分支。目前管理操作风险主要有三大定性工具，包括风险控制自我评估（RCSA），损失数据收集（LDC）和关键风险（KRI）指标。

基于操作风险的三大工具，将信息科技外包风险评估模型分为为银行信息科技外包自有风险与外包商信息科技风险两块，通过识别风险领域及其风险因子，为每一个风险因子找到多个可应对它的控制活动，且通过控制活动识别关键风险考核指标，针对每个风险因子可能造成的财务、合规、声誉、资产安全、运营影响发生的可能，确定各风险因子的风险值。关键风险考核指标主要划分为是否型指标（定性考核）和数值性考核指标（定量考核）。评估者可利用风险因子的风险值权重乘上每个关键风险考核指标的考核值，加权平均得到各风险领域的得分，进而得到外包风险的评分。

信息科技外包风险评估计量模型如图2所示，信息科技外包活动中的风险权重（本文中以W为标识）与每项关键考核指标得分（本文中以Yn为标识）共同构成了信息科技外包风险管理得分的因子。

图2 信息科技外包风险评估模型

本文通过下面的计量公式得到信息科技外包风险管理总分：

其中，Sp表示信息科技外包风险管理总得分，Sp值越大，说明信息科技外包风险越高；W（A/B）表示A类或B类风险单个风险权重，由判断条件O1外包服务影响确定纳入计算范围的总体风险池，O1的选择不同将导致风险总数不同，进而导致单个风险权重不同；Ri是五个风险影响领域财务影响、合规影响、资产安全影响、声誉影响、运营影响的出现的平均次数得出的风险值；Y（A/B）n表示A类或B类风险单项关键考核指标得分，由判断条件O2考核指标级别确定纳入计算范围的关键考核指标池。Y（A/B）n取值越大，说明单项考核指标得分越高。

根据计算最终外包风险评估结果时，银行信息科技外包自有风险（A类）和外包商信息科技风险（B类）时α和β的权重确定方法不同，本文将信息科技外包险评估模型设计为单一权重信息科技外包风险评估模型和分层权重信息科技外包风险评估模型。

1.单一权重信息科技外包风险评估模型。在单一权重信息科技外包风险评估模型中，每个风险领域和风险因子都是用单一同样的风险权重，α和β的值分别为A类和B类各风险因子个数占总风险因子的占比。

单一权重信息科技外包风险评估模型的优点是计算简单，操作性较强，具有很强的实际操作价值。但也存在一定的缺点，例如存在一定的主观性，精度不够，导致风险因子间相对重要性得不到合理体现。

2.分层权重信息科技外包风险评估模型。分层权重信息科技外包风险评估模型主要依据层次分析法（AHP）确定各风险领域的权重。AHP法主要将目标结果分解成多个层次，通过两两比较下层元素对于上层元素的相对重要性，将人的主观判断用数量形式表达和处理以求得评估指标的权重。

本文创新性的采用了yaahp层次分析软件，建立了分层模型，并得到每个风险领域和因子的权重（具体见表1）。

表1 风险领域权重

基于APH法的分层信息科技外包风险评估模型主要将上述风险权重加入风险评分的计算中。AHP分析法最大的优点是实现了定量与定性相结合，精度高，能准确地确定评估指标的权重，因而使评估指标间相对重要性得到合理体现，评估结果可能更精准和科学。实际外包风险管控中，商业银行可根据自身的风险评估需求，选择单一权重信息科技外包风险评估模型或分层信息科技外包风险评估模型。

（三）信息科技外包风险评估模型的评级说明

银行信息科技外包自有风险与外包商信息科技风险评级分为1～5级。1级是最高评级表示银行信息科技外包风险管理方式最有力，需要最少的监管关注。5级是最低评级，表示银行信息科技外包风险管理方式最弱，因此需要最多的监管关注及管理层重视。根据银行信息科技外包自有风险与外包商信息科技风险评级的1～5分评级结果，可以得到总外包风险的评估等级。

图3 外包风险矩阵

三、外包风险评估实证研究

（一）银行信息科技外包自有风险管理

本文针对农村金融机构、城市商业银行、股份制商业银行与国有商业银行，并针对不同外包服务类型，包括驻场、非驻场集中式、非驻场独立式与跨境外包进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中银行信息科技外包自有风险管理的合理性。

选择某银行的驻场式外包管理进行模型验证，从A模型中筛选出5个风险领域、17个风险因子与40个关键考核指标，采用单一权重评分模型，并将A模型使用及评分方法发予该银行的外包服务管理部门进行自评，并对37条关键考核指标逐一进行控制活动设计与执行层面的测试。

由于模型与测试结果的偏离度大于5%，对模型进行了修正，降低对应的风险值的同时，调整了各项关键考核指标的划分。通过重复自评、验证、调整的步骤，保证模型与实际的偏离程度始终低于容差水平5%。

（二）外包商信息科技风险管理

本文针对不同外包服务机构，包括重点外包服务机构和非重点外包服务机构，并针对不同外包服务类型，包括应用系统托管、基础设施托管、系统软硬件平台维护、开发与人力外包、咨询服务类进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中外包商信息科技风险管理的合理性。

在模型矩阵中筛选出“应用系统托管”适用的9个风险领域，31个风险因子，56条关键考核指标，选择单一权重评分模型，并将模型使用及评分方法发予该重点外包服务机构的外包服务管理部门进行自评。并对55条关键考核指标逐一进行控制活动设计与执行层面的测试。

由于模型与测试结果的偏离度大于5%，对模型进行了修正，降低对应的风险值的同时，调整了各项关键考核指标的划分通过重复自评、验证、调整的步骤，保证模型与实际的偏离程度始终低于容差水平5%。

四、商业银行信息科技外包风险防范的建议

综合上述商业银行外包风险评估模型和实证研究结果，本文总结了进一步防范商业银行信息科技外包风险的建议，主要包括：

一是审慎选择信息科技外包项目。商业银行在确定是否外包时，应综合考虑业务需求、预期投入和未来成本效益分析，根据银行业务未来的发展方向和战略，选择外包项目。

二是建立严格的外包商准入评估机制。建议商业银行建立科学的外包商准入评估机制和方法，在准入前、项目过程和结项时对外包商做出科学的评价，并建立外包商信息库，更新外包商内部评级至信息库，作为下次外包服务的评价要素之一。

三是实施贯穿外包项目全生命周期的管理。建立外包项目的管理小组，明确管理小组的成员和职责，该管理小组监控外包项目进度，实施外包项目全生命周期的管理。并且此外包项目的管理小组需要真正的在每个里程碑及时监控和反馈项目情况。

四是建立信息科技外包项目的防火墙。需要建立真正的风险防火墙，分析传导范围，采取适当的控制措施，将风险传导范围控制在最小化的信息传递之内。

五是通过损失事件库的积累，科学评定风险发生的可能性和预计损失，实现外包风险的监控和计量。并根据每项业务的外包的依赖度，依据业务重要性水平，实现相关风险损失准备金的计提。

参考文献

[1]张金隆，叢国栋，陈涛.《基于交易成本理论的IT外包风险控制策略研究综述》.管理学报，2009年.

[2]郭亮.《商业银行IT外包项目风险评估的指标体系及方法》.上海交通大学（硕士论文），2012年.

[3]吴文忠.《IT外包模式选择与风险管控》.金融电子化，2011年.

[4]毛基业，李晓燕.《动态能力构建：基于离岸软件外包供应商的多案例研究》.管理科学学报，2010年.

[5]杜占河，廖貅武，魏泽龙.《IT外包中控制策略组合的演化研究——基于对美国、日本外包项目的比较》.科学学与科学技术管理，2013年.