中小商业银行信息科技外包风险评估和防范

2014-04-29黄庄庄叶明雷涛

时代金融 2014年32期

黄庄庄叶明雷涛

【摘要】本文从信息科技外包依赖度和外包管控力两个维度构建信息科技外包风险评估方法，通过对15家中小商业银行信息科技外包现状的调研，分析和评估中小商业银行的信息科技外包风险情况，并基于分析结果提出切实有效的应对措施。

【关键词】信息科技外包依赖度信息科技外包管控力信息科技外包风险评估中小商业银行

一、背景

随着国家不断放宽对中小银行的限制，鼓励中小银行加快发展，以城商行为代表的广大中小商业银行已建成具有较强竞争力的现代金融企业。在信息化和大数据时代，科技支撑作为中小银行发展的主要手段之一，已经大大滞后于现实需求，科技支撑与整个机构的战略目标实现的深层次问题也逐渐暴露出来。IT人力资源匮乏、自身IT力量对业务发展的支持力度不足、信息化建设滞后等问题制约了中小银行业务发展和创新能力。

为了有效弥补自身人力资源、技术和能力上的欠缺，同时满足对业务发展的支撑，与大银行缩短差距，中小银行都开始依赖于信息技术外包的方式满足自身发展需要。通过信息科技外包，可以有效降低IT部门的综合运营成本、实现资源优化配置、获得专业化团队的支持、加快IT应用的步伐、推动业务创新。目前，中小银行的信息科技服务外包需求旺盛，服务规模呈现爆发式增长，目前整个市场规模已突破150亿元。

然而，信息科技服务外包在有效加快中小银行信息化进程的同时，也带来了较大的信息科技服务外包潜在风险。中国银监会为加强对信息科技服务外包风险的防范和监管，在2013年2月出台了《银行业金融机构信息科技外包风险管理指引》（以下简称“《指引》”），《指引》中明确了信息科技服务外包风险的类型，金融机构在防范信息科技外包风险上的职责和工作，同时对服务外包商也提出了更具体的要求。

二、评估模型和标准构建

在信息科技外包风险管理中，信息科技外包风险评估至关重要。通过风险评估，可以有效识别总体外包风险水平和外包活动中所面临的主要风险，从而可以执行有效的风险处置措施，也有效保证信息科技外包战略目标的达成。本文提出的信息科技外包风险评估模型可以为中小商业银行评估和管理自身的外包风险提供参考和借鉴，为外包风险管理工作奠定基础。

信息科技外包风险评估是从信息科技外包依赖度和信息科技外包管控力两个维度进行，其中信息科技外包依赖度反映了固有风险水平，信息科技外包管控力反映了银行的控制能力。并将信息科技外包依赖度和管控力分成高、中、低三个层级，按照3分进行成熟度划分。高的信息科技外包依赖度引入较大的信息科技服务外包风险，需要更加成熟的信息科技外包管理能力与之相匹配。运用“风险热力图”的方法根据“依赖度-管控力”将信息科技外包风险化分为高风险、中风险、低风险，其中红色区域表示高风险，即信息科技外包管控力与外包依赖度难以匹配；黄色区域表示中风险，即信息科技外包管控力与外包依赖度较为匹配；蓝色区域表示低风险，即信息科技外包管控力与外包依赖度高度匹配，如图1所示。

信息科技外包依赖度评估是从业务流程外包程度、关键应用外包程度、应用开发外包程度、运维外包程度和信息科技咨询服务程度五个维度进行评估。针对评估维度，又设计了9个具体指标用于数据的收集、调研和评估，反映了中小商业银行信息科技外包的依赖程度（参见表1）。

表1 信息科技依赖度评估维度和指标

信息科技外包管控能力评估是从信息科技外包战略、外包商准入、外包服务合同的签订、外包日常管理、外包应急管理、外包商监控与评价、重要外包商安全管理和重要外包商服务水平八个维度进行评估，针对评估维度，设计了43个具体指标用于数据的收集、调研和评估，指标大都源于《指引》，反映了中小商业银行信息科技外包管控能力（具体参见表2）。

表2 信息科技管控力评估维度和指标

三、外包风险评估过程和结果

本文选取15家中小商业银行进行研究，其中资产规模在1000亿以上的4家，500亿到1000亿的5家，500亿以下的6家。实现跨区经营的有9家，未跨区经营的有6家。

通过调研，获取15家银行的信息科技外包依赖度指标数据，并分为高、中、低，再通过加权平均，形成五个维度的依赖度，可以有效反映出15家银行总体外包依赖度水平，具体如图2所示。从图中可以看出，

第一，业务流程外包、关键应用外包和应用开发外包依赖度较高，体现了目前存在大部分机构的应用系统和关键应用系统仍然依赖于外包开发，其中网银系统大部分完全托管于第三方，应用开发项目较多且大部分依赖与外包商。

第二，同时，也可以看到在系统运维依赖度上较低，目前调研的15家机构都具有很强的运维水平和实力，可以有效地保障系统的稳定运行。

第三，此外，由于中小商业自身IT资源匮乏、能力较为薄弱，而信息科技咨询服务程度较低，一定程度上体现了机构在提升信息科技治理、风险管理等软实力上的投入较少，还不够重视。

经过汇总，总体信息科技外包依赖度为2.11，达到中等水平，充分体现了目前中小商业银行的信息科技建设主要还是依赖于外包，但也可以看出已經有部分机构开始加大对自主研发的投入，增强自身研发实力。

图2 信息科技外包依赖度

通过调研，获取15家中小商业银行的信息科技外包管控力指标数据，并分为高、中、低，再通过加权平均，形成八个维度的管控力，可以有效反映出15家银行机构总体的管理力水平，具体如图3所示。从图中可以看出：

第一，在外包商准入、外包服务合同签订和外包商日常管理等方面管控工作开展比较到位，展现出在外包商管理的部分重要环节上具有较高的管理能力和水平，可以有效地防范外包风险。

第二，在信息科技外包战略方面还需要进一步完善，缺乏明晰的信息科技外包战略，未明确信息科技外包的范围，未建立信息科技外包风险和效益评估机制。

第三，在外包服务水平、外包商监控与评价和外包应急管理等重要环节方面还存在不足，如对重要外包商尽职调查开展不足，外包服务质量监控和考核指标的不够深入细化，未建立适当的信息科技外包应急预案和策略。

第四，在重要外包商安全管理方面比较薄弱，如未开展重要外包商实施前的监管报备、重要外包商信息安全风险评估以及对重要外包商的信息安全审计等。

经过汇总，总体信息科技外包管控能力符合度为2.23，充分体现了中小商业银行对信息科技外包风险管理的重视，展现了较为成熟的信息科技外包管理能力，但是与《指引》的要求相比，还存在一定的不足，需要进一步完善。

图3 信息科技外包管控能力

通过对15家中小商业银行信息科技外包依赖度和管控力的数据调研分析，整体信息科技外包依赖度為中，信息科技外包管控力也为中，信息科技外包管控力与依赖度基本匹配，参见图4中阴影部分。通过“信息科技外包风险热力图”，可以看出目前中小商业银行总体信息科技外包风险处于中风险水平。

图4 信息科技外包风险评估结果

四、信息科技外包风险应对措施

中小商业银行应充分参照银监会出台的《指引》中的相关规定，针对目前中小商业银行银行普遍缺乏明确的科技外包战略，自主研发团队匮乏、研发水平弱、外包依赖度高，外包日常管理不够完善，外包服务质量监控和考核不足，外包信息安全管理方面比较薄弱等现状和问题，制定信息科技外包风险应对措施，提高外包管控力，有效防范科技能力丧失、业务中断、信息泄露和服务水平下降等风险。具体措施包括：

（一）制定科技外包战略，逐步掌握科技核心技术

银行应制定与业务总体策略相匹配的信息科技外包战略，合理确定外包服务的范围，对于非核心业务的信息系统建设和投产可酌情外包，对于核心业务的信息技术，银行应掌握在自己手里。

（二）提高自主开发水平，合理降低外包依赖程度

银行应建立自己的研发团队，提升研发能力，加强对信息系统的自主研发。对于没有实力完全开发的系统，可以采用合作开发的方式，完成后逐步过渡到自己维护。

（三）严把外包服务准入，有效强化外包日常管理

银行应在外包服务选择时，应充分评估外包商资质水平、财务水平等，开展对外包商的尽职调查，并通过外包合同严格约束外包服务。在外包服务过程中，还应建立专门的管理或协调组织，加强对外包商的管理和外包人员管理。

（四）做好外包监控考核，持续提升外包服务质量

银行应建立服务水平监控评价机制，明确服务质量监控指标，定期对外包服务开展服务水平监控。同时，还应建立起科学的评价体系，对外包商定期开展考核，提升外包服务质量。

（五）严防外包信息安全，充分提升外包应急管理

银行可以通过与外包人员签订保密协议，禁止外包人员进入内网、接触敏感数据或访问生产系统，防止发生敏感信息泄露等风险。同时，也要针对外包服务的意外突发情况，如外包骨干人员变动等，做好相应的应急机制，提升应急处置能力。

参考文献

[1]李金洋.城市商业银行信息科技外包风险监管探究[J].电子制作，2013.