杜玉婷

信息化运维外包模式概述

运维外包模式定义 运维外包模式指的是银行保险机构将原本由信息技术活动的部分或全部内容委托给服务商，从而达到降低成本、提高效率、提升组织对市场环境迅速反应能力的目的。

信息化运维外包的模式 一是完全外包。银行、保险机构可以通过和信息技术外包提供商订立运维外包合同，将其全部信息技术数据的运维外包给其他机构。即外包机构向该组织提供全面的信息系统运维支持，而发包组织的技术机构则承担运维外包的管理。

二是部分外包模式。银行、保险机构在自行运维部分信息技术资源的同时，通过与外委服务公司订立运维外包合同，将部分信息技术资源的运维工作外包给其他机构。

信息化运维外包模式存在的问题

运维外包服务商选择不科学 银保机构事先对外包服务商的人员、技术及经营财务状况评估不到位，对于其综合服务能力及水平考评不全面，只关注局部的优缺点，缺乏从全局对服务商进行全面评估，使得最终选择的服务商的服务水平较为低劣。而选择水平低劣的外包服务商存在无法满足服务需求的风险，比如因为在技术或维修方面引发事故而冲击到银行系统，导致客户对银保机构的服务失去信任。此外，外包服务商还存在服务的及时性和质量控制方面的风险，因而导致银行、保险机构在管理上发生严重的失控，而且这种风险会由于外包服务自身的连续性特点在后期出现无限的放大。

信息安全得不到保障 银行、保险机构对客戶的信息有着严格的保密要求，银行、保险机构选择外包服务也会面临个人信息泄露的风险。这种风险主要体现在外包服务商由于不具备健全的信息保障能力和内控能力，在为银行、保险机构提供业务服务的时候有意识或无意识地泄露内部信息或商业秘密，危及银行、保险机构的信息安全。这种信息泄露涉及的面很广，同时发生的概率也很大，无论是基础的系统维护外包还是高层次的业务体系整体外包，都存在用户信息、企业经营状况泄露的风险。

企业角色缺位 企业的角色缺位主要表现两个方面，一种是外包业务和法包机构的不相匹配，另一种是过于依靠外包软件导致系统失控。一旦银行保险机构因未能对外包服务商做出全面的甄别而把服务盲目外包给服务商，将会导致外包项目与其所经营的战略不相符，从而不利于机构自身的经营和发展。当银行、保险机构意识到这一风险后再进行补救，无论是选择中途退出还是重新寻找新的外包服务商，都要承担高昂的试错成本，如处理不当还将导致机构在财政、形象以及客户资源上遭受很大的经济损失。

加强信息科技外包风险管控的对策

科学选择运维外包服务商 运维外包服务商与金融机构之间是一种合作关系，外包服务商的水平将很大程度上影响银行、保险机构对外提供服务的水平，因此科学地选择运维外包服务商对银行、保险机构至关重要。首先，银行保险机构要明确业务外包的目标是降低成本还是提升服务水平，然后根据业务目标制定选择外包商的依据；其次，要建立科学合理的运维外包服务商评价体系，从技术、信誉、人员、资质、财务状况、已有案例等多个维度对服务商进行系统评估，特别是运维服务商的能力和服务质量的可靠性是评价与选择服务商的关键，不能一味地追求低价格而导致外包服务的质量较差。

适当进行角色转变 银行、保险机构在信息科技外包过程中也要主动进行角色的转换，不拘泥于机构本身，多角度考虑外包服务的质量。首先，要站在用户的角度来感受外包服务的质量，重点关注用户在意的信息的保密程度、系统的流畅程度等内容，从而为外包服务商提供科学合理的建议；其次，要站在外包服务商的角度，考虑在提供服务过程中可能存在的风险与漏洞，在进行系统验收时重点关注相关问题，确保外包服务满足机构需求。

加强外包风险管控 银行、保险机构要建立风险防控机制，降低数字化转型过程中的风险。首先，通过金融机构高层领导的重视，在企业内全面营造注重风险防控的企业文化。通过在内部制定专门的风险防范措施，建立外包风险管理机制，将外包服务商管理纳入机构的风控管理体系，设定审理程序，定期对外包服务商进行考核，并持续进行监测和评估，并在内部指定风险防控的专责人，切实履行好外包服务的发风险管控主体责任。其次，金融机构的外包策略要与整体业务战略相匹配。机构的总体战略会影响到外包供应商的选择，还会影响到外包的内容、模式。最后要加强外包的应急管理机制。为应对各种意外突发情况，机构必须建立相应的应急措施，比如文件备份、对设备进行定期的测试等，尤其是对外包商的破产、不可抗力、外包服务商技术人员变动等影响外包合同履行的行为必须设计应急规划。

加强信息安全管理 银行、保险机构的信息安全会严重影响到机构的信誉及用户的评价机制，因此加强信息安全管理至关重要，特别要严格保护敏感信息。首先，可以通过与服务商签订保密协议来防止对用户信息进行泄露；其次要加强对外包服务过程中的信息保密管理，加强对技术人员的监督与管理。

强化重点维护管理 近年来，银行、保险机构积极开展数字化转型，在加强创新力度、更好地满足消费者需要的同时，对信息技术外包业务的依赖度日益增多。进一步做好金融机构的信息技术外包风险监管工作离不开内部监督的双重合力。在一系列相关政策的基础上，2022年银保监会颁布了《银行保险机构信息科技外包风险监管办法》，力求增强商业银行、保险机构的技术外包风险防范能力，稳妥有序地开展相关金融机构的数字化转型工作。有关法律规定的实施将推动银行、保险机构建立健全信息化外包管理框架，完善信息化外包风险管理制度建设，加强信息化外包风险控制。

作者单位：青海民族大学