银行业IT外包的风险与挑战

一、金融IT外包背景与现状

　　IT 外包是计算机技术发展成熟和社会分工日益精细化、专业化的产物，最早可以追溯到1963年Blue Cross of Pennsylvania与EDS签订的数据处理整体外包协议。在其后的近半个世纪，微机、互联网、高性能大容量计算机处理技术进步日新月异，信息技术产业规模化发展成熟，IT外包也从单纯的电脑设备维护与操作外包、应用开发外包，发展到今天的企业IT 战略规划、基础设施运维、核心系统开发运营和数据分析处理外包等全方位、多元化的阶段。

　　金融行业是我国信息技术运用最早的领域，也是科技依赖度较高的行业，基于技术能力、成本、效率等多重因素考虑，银行业IT外包较为普遍。据统计，2012年银行业金融机构信息科技外包工作量达到14万人月，同比增长12%，其中中小银行外包项目在全行信息科技项目总数中的比例达到70%以上，大型银行虽然科技自主服务能力较强，但外包项目在全行科技项目中的占比也接近三分之一。外包已成为银行业信息科技服务的重要组成部分。随着中国经济转型升级和金融市场化改革进程加速，银行业面临着来自资本及同业市场、非金融机构等的更加残酷的竞争，银行机构将加快运用更深层次、更大范围的外包和技术合作战略来整合各方优势资源，以获取更大的竞争优势，实现金融服务稳健发展和价值链延伸。IT 外包服务在银行业信息科技中的重要性将不断提高，对银行业信息科技战略、运营管理和可持续发展将产生深远影响。

　　IT外包的分类方法比较多样，银行业IT外包可简单分为四类：基础设施类、系统服务类、人员服务类和咨询服务类，涵盖机房及配套基础设施服务、系统开发运维与数据处理、外购人力资源驻场服务和远程支持、科技战略或项目咨询等。上述四类外包服务中，系统服务类外包占比最高，达到60%，主要为信息系统开发建设服务项目。随着科技管理水平的提高，银行逐步以人力资源引入的方式，在第三方测试、程序代码编写等领域扩大外包范围，人力服务类外包占比达到28%。基础设施类和咨询服务类外包规模相对较小，占比分别为9%和3%。

二、银行业主要的IT外包风险

　　IT外包成为银行业普遍采用的商业模式和战略发展手段，在为银行带来巨大收益的同时，也由于银行内在职能和任务的“外部化”，银行与外包商的“委托-代理”关系和信息不对称，导致管理复杂度倍增。银行面临更大的科技风险和不确定性。当前，金融市场竞争加剧，银行业IT外包规模加速扩张，外包范围已从非核心领域向关键业务系统、数据中心等核心领域全面渗透，由此产生的潜在、系统性风险不断积聚，对银行业系统安全稳健运营带来挑战。

　　一是银行业IT 外包风险管理存在基础性体系缺失，系统稳定运行和安全风险加大。银行与IT 服务外包商是风险的共同体，银行机构的安全运营与外包商的履约质量和合规经营息息相关，虽然银行在IT 服务外包时也将风险同时分散了，转移给了外包商，但银行依然是全部的风险责任主体。而许多银行对此缺乏清醒的认识，对外包风险管理基本停留在项目采购层面，认为外包就是商品购买或人员雇佣，放弃了对外包活动的管理控制，只关注外包的业务目标达成而忽视了由此产生的系统运行、信息安全等外部风险。绝大多数银行未建立外包风险管理的组织架构，无外包管理牵头部门和外包风险管理策略，管理粗放，对外包服务质量约束不足，对外包服务机构缺乏明确的信息安全、运行规范等基本要求，监督检查和审计缺失，外包活动的科技风险基本游离在银行业科技风险的管控体系之外。

　　我国IT 外包服务行业尚处于发展初期，市场竞争不充分，有效的外部监管约束缺乏，企业良莠不齐，管理成熟度不高，风险防控能力薄弱，因外包中开发错误、操作失误等引致的银行业务系统中断事件频发；在系统集中托管和数据处理类外包服务中，外包商存贮了大量银行交易信息和客户敏感数据。同时，一些IT外包服务商安全体系建设滞后、保障措施匮乏，在银监会开展的现场核查中发现了大量数据泄露风险隐患和“低级”错误，对银行业安全运营带来重大影响，科技风险整体加大。

　　二是外包集中度过高，可能产生行业性、区域性系统服务失效风险。选择市场占有率高的外包服务商进行外包合作是银行规避风险的必然选择，但过高的外包集中度可能导致系统性风险。在中小银行的核心业务、银行卡、网银、数据中心等基础性金融服务领域，已形成事实上的外包高度集中。一方面，IT 外包服务商缺乏监管，安全管理能力不足，近年来已多次发生因系统故障导致多家银行服务同时中断的系统性风险事件；另一方面，中小银行机构数量大、社会服务面广、业务发展快，对外包服务依赖大、风险管理能力低，导致总体风险积聚。同时，在关键基础设施领域，银行业金融机构选用的基础软硬件设备如核心网络、主机、数据库、存储设备等大多集中在几家跨国大型公司手中，这些公司处于技术和市场的垄断地位，对银行业“高度重要”，带来巨大风险隐患。一方面其产品价格垄断可能导致银行业经营成本增加；另一方面其外包服务的安全、可靠和持续将直接影响银行业科技服务体系的运营秩序，一旦发生服务断供等突发事件，将直接影响社会、公众的基本金融服务，关系国计民生，影响国家金融稳定。另外，随着外包服务来源的多样化，外包风险也在演化，外包中蕴含的国别风险因素值得关注。外包公司由于国家经济或者政治原因出现经营或者安全问题，风险难以控制。目前，银行机构普遍缺乏国别风险防范意识，对于IT外包中蕴含的国别风险识别与管理还基本处于空白状态。在行业层面，尤其需要识别、监测、评估具有高集中度、托管银行机构敏感数据和重要系统的外包服务的国别风险，以避免出现大面积服务中断的系统性风险。

　　三是外包依赖度较高，银行业信息化自主发展能力受限。金融机构过度依赖外部资源可能导致失去科技控制及创新的能力，最终影响业务创新与发展。银行越是依赖外包服务，就越需要对外包风险进行有效管理。很多中小银行机构将系统大范围、深层次外包，但缺乏主动管理和知识积累，只关注系统建设交付而忽视自身能力建设，长此以往逐步丧失了对系统的控制权和议价能力。在监管部门开展的外包风险专项检查中也发现，银行对外包公司服务质量要求不明确，合约责任不清晰，谈判与议价能力不足，业务系统开发受制，大量系统建设不得不长期依赖单一供应商。由于核心人员流失、关键流程缺陷以及内外部协作效率低下等问题，使得银行业金融机构信息科技服务水平下降或出现项目延期等问题，未达到初始的外包目标，给金融机构带来损失。

　　追求低成本高回报是金融业最基本的商业法则，在经济全球化的今天，科技外包已经是金融业获取市场、赢得竞争的必然选择。但如何控制好风险，尤其是防范系统性的外包风险则是当前我们共同面临的挑战。IT外包不同于一般意义上的商品购买，它使得IT生产要素所有权、直接管理权和决策权向外包方转移，模糊了银行的管理边界，外包方与银行间的责、权、利难以清晰划分，外包双方共管的组织架构也使得银行原有信息科技治理过程发生结构性变化，风险管理形态也随之改变。另外，外包过程中外包服务商及其活动向银行原有组织、流程“内嵌”，更加剧了风险的变异性、复杂度和管理难度。为应对上述挑战，银行机构需要及时调整思路，进行战略思考和治理研究，加强外包价值评估、关系管理和风险监督控制体系建设，避免因引入外部资源和技术加大银行的信息安全、系统可用性及合规威胁。从另一个角度看，外包活动是银行业信息科技服务体系的有机组成部分，也是银行业科技风险监管的重要范畴，虽然外包企业不是银行业监管部门的直接监管对象、不受相关法规约束，但监管责任不应因科技活动的主体、形式和地点的迁移而削弱，尤其是在当前外包行业整体不成熟、竞争不充分，仅靠市场化治理机制难以有效控制风险的现实条件下，监管部门更应积极探索、创新方法，加强新形势下监管理论、工具和技术的研究，加强行业内、外部协同，共同防范和化解IT外包可能引发的行业性、系统性风险。

三、国外监管政策和实践

　　纵观全球金融市场，各国金融监管当局都非常重视外包风险监管，美国政府出台了一系列指引、办法，如美国联邦金融机构监管委员会（FFIEC）发布《技术服务外包风险管理指引》、《技术服务外包IT检查手册》；美国货币监理署（OCC）发布《第三方关系：风险管理原则》、《对技术外包商操作风险的管理工具: 服务水平协议》；美国联邦存款保险公司（FDIC）发布《管理多方外包商的技术》等，对银行业务、技术、系统、服务外包业务及银行在各种外包关系中应承担的风险管理责任等作出明确规定。“服务外包，责任不外包”是美国监管机构的重要监管理念，即金融机构可将服务外包给TSP，但风险管理的责任依旧由金融机构自身承担。根据美国银行服务公司法案（BankService Company Act）要求，美国的银行监管机构有对TSP的监管权力，在对金融机构的监督检查中，监管者重点检查其选择TSP的流程、与TSP签署的协议、外包项目的管理等内容，以确保银行在使用TSP过程中有效地实施了风险控制。当某一服务商为多个受不同监管当局监管的银行机构处理业务活动时，由多家监管机构对服务商实施联合检查。FFIEC采用统一的评级体系URSIT对服务商及受监管实体的IT相关风险进行评估及评级。根据外包服务商的风险状况，监管当局对其实施周期为18~36个月的检查，目前已对约160个外包服务商进行了跟踪检查，其中有130个服务商接受定期检查。随着TSP不断壮大，美国已出现了同时为多达几十家乃至上百家银行机构提供服务的大型TSP，即MDPS（目前美国有25 家），技术风险也因此集中于此类外包服务商，对MDPS的监管由FFIEC直接负责。

　　除美国外，加拿大、澳大利亚、欧盟、新加坡、香港等国家和地区都针对外包业务制定了监管指引，规范外包行为，这些指引对银行董事会和管理层的责任、外部审计、合同及服务水平标准、风险管理、服务商评估等均作了详细规定。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文