关于商业银行信息科技外包风险的思考与建议

作者：中信银行审计部 左民玮 庞瑞江

伴随数字化转型的持续深入，银行经营与信息科技的关系愈发紧密，并促使银行不断加强信息科技投入以满足业务需求。信息科技外包作为弥补银行技术短板的专业力量，在银行科技发展中扮演着重要的角色。笔者在深入调研行业现状、总结梳理信息科技外包风险与挑战的基础上，尝试提出了可行的应对策略与发展建议。

一、现阶段信息科技外包的主要类型及优势

伴随着金融科技的快速发展，银行信息科技外包的服务定位也在持续变化，从为银行提供“一揽子”技术解决方案，逐步向提供人力辅助转变，尤其在头部互联网企业开始将自身积累的科技能力向银行输出的背景下，一种全新的信息科技外包服务业态逐步形成，信息科技外包的目标也逐步由成本压缩向价值赋能转变。经笔者梳理，面向银行提供信息科技外包服务的企业大致可分为四类。

一是头部互联网企业提供的服务。伴随互联网金融的蓬勃发展，在互联网企业入局C端金融服务的同时，部分头部互联网公司进一步扩展B端市场，开始面向银行输出技术能力与解决方案，以助力银行在云计算、大数据分析等领域迅速实现突破。此类外包服务的优势在于提供商拥有成熟的技术、高水平的服务人员，在部分业务领域甚至可以由技术服务延伸至场景合作，为银行拓客、活客创建新的渠道。

二是专业外包厂商提供的服务。传统的信息科技外包厂商作为外包市场的绝对主力，主要是以人天或人月为定价单位向银行输出信息科技领域的专业人力，并有部分厂商形成了较为成熟的原型系统和产品，可以为银行提供特定领域的信息系统解决方案。此类外包服务的优势主要体现在“物美价廉”，甚至已成为某些中小银行科技力量的重要组成部分。

三是银行系金融科技子公司提供的服务。自2015年兴业数金成立以来，银行系金融科技子公司逐步成为外包市场的重要参与者。此类外包服务提供商通常与发起行原有信息科技体系有着千丝万缕的联系，组建方式或直接由科技部门转制而来，或以发起行科技体系选派的“精兵强将”为基础，以外部招聘员工为补充构建，因此其往往更为熟悉银行业务，拥有成熟且经过实践验证的拳头产品。

四是外资大型软件企业提供的服务。外资大型软件企业和整体解决方案服务商曾经是银行业外包市场的主要提供者。时至今日，随着我国金融科技的快速发展，此类供应商的市场份额大不如前，但部分企业仍在为已售产品提供适配改造等服务，并在市场中占据着一席之地。

二、银行业信息科技外包风险分析

对于银行而言，银行与信息科技外包服务提供商的立场并不相同，且在一定程度上会产生类似于企业治理的代理人问题，即当委托人处于信息劣势或无法完全监督时，代理人有动机从自身利益出发做出不利于委托人的决策，进而引入一系列风险与困扰。为探索应对方案，笔者结合组织管理、外包策略、质量管控及日常监督等维度深入分析了相关风险。

一是在组织管理层面，避免存在“空白地带”。数字化转型背景下，信息科技外包与业务外包的分界线日益模糊，特别是伴随场景银行等新方式、新渠道的快速发展，银行在引入外部信息系统的同时，往往还开展业务层面的合作。依照2021年底银保监会发布的《银行保险机构信息科技外包风险监管办法》，市场拓展、业务运营、企业管理、资产处置、数据处理、数据利用等业务外包或第三方合作中涉及重要数据或客户个人信息处理的信息科技活动，均应纳入信息科技外包管理范畴，可见信息科技外包管理范围早已不局限于信息科技部门内部，急需搭建可全面覆盖上述外包管理内容的组织架构，避免出现脱离使用部门、科技部门、风险部门管控的“三不管”地带。

二是在策略选择层面，需严防信息外泄风险。伴随信息系统建设深入银行经营的方方面面，信息科技外包服务提供商可以接触到从技术架构到业务流程等各方面的内部信息，因而针对外包服务过程的保密措施即显得尤为重要。尤其是对于互联网金融企业、银行系金融科技子公司等外包市场的新生参与者而言，其母公司或关联公司本身也涉及对外金融服务，甚至在主营业务方面还可能与银行存在竞争关系，因此银行需要防范相关信息被用于未来竞争。

三是在科技建设层面，避免影响自身能力发展。如果信息科技系统的新技术运用与功能实现更多取决于外部产品的版本升级，而非银行自身业务发展需求，极可能限制银行在业务领域的创新与探索能力。特别是部分地方性银行一旦大量使用了外包提供商的成型产品，更是不利于银行打造特色化产品，发力细分领域与蓝海市场，以争取发展先机。此外，对于信息系统构建全权由多个外包提供商操控的小型银行而言，如果缺乏对全行系统架构等核心能力的规划与把控能力，可能会出现多个厂商系统胡乱拼接的情况。

四是在质量控制层面，谨防出现质效降低。对于部分主打人力输出的信息科技外包服务提供商而言，平均薪酬较低、岗位晋升困难等原因，导致其很难吸引高端人才，外包人员的整体素质正呈现持续下降趋势。虽然银行能够以较低的外包成本快速补充科技能力，但引入外包人员后的学习、沟通成本同样高企，从而影响外包人员的单位产能。此外，外包岗位吸引力降低也将导致人员流动加快，既会增加银行在外包人员选用、技能传递等方面的成本，同时也将加大商业机密外泄与数据安全风险。

五是在日常监督层面，外包人员管理的可控性相对有限。在信息科技外包市场中，规模上占据主要地位的是辅助人力外包，此类外包人员往往因特定银行服务需要而招募，长期服务于某家银行。与银行关注信息科技产品的质量与长期生命力不同，外包服务提供商更侧重压缩成本、实现短期收益最大化。目标上的差异决定了人员管理策略的不同，如部分外包服务提供商出于压缩成本考虑，对派出人员的工作能力、工作效率等并未设定精细化的考核标准，易导致外包人员存在“大锅饭”思想，进而影响银行科技工作的顺利开展。此外，部分外包服务提供商出于市场拓展等方面的需要，还可能将已为银行服务多年、能力相对优异的外包人员突然调离，从而影响银行科技队伍的稳定性。

六是在重大风险处置层面，服务中断风险不容忽视。信息科技外包服务的持续性一直是银行重点关注的内容。例如，一旦出现外包服务提供商停止服务或变更服务领域的情况，由其供应的外购信息系统或将无法更新，最终只能废弃重构。而对于部分外包服务高度集中于个别提供商，或是将基础设施全部托管于外部机构的银行而言，如果关键提供商突然停止服务，将可能造成科技资源的断崖式缩减，严重影响银行既定科技工作的有序开展，甚至威胁银行对外服务的连续性。更为重要的是，银行对于外包服务提供商的实际经营信息通常所知有限，也难以对其市场方向等重要决策施加影响。十年前的东南融通财务造假事件一直警示后人外部服务商停止服务往往具有突发性，近年来欧美等国家的软件企业出于各种原因突然停止对特定国家的支持服务的事件也屡见不鲜，因此，银行需要对关键外包服务提供商突然“停摆”做好充分准备，并提前采取措施防范可能由此引发的声誉风险，避免事后被动“躺枪”。

三、强化信息科技外包风险管理的几点建议

信息科技外包管理是一项横跨多项管理流程的工作。从国际标准与行业最佳实践来看，信息技术基础架构库(ITIL)的供应商管理流程、信息安全管理体系认证(ISO27001)的第三方服务安全管理程序等均可为信息科技外包管理提供思路。在深入研究上述流程制度的基础上，笔者对银行信息科技外包管理工作提出如下建议：

一是树策略，即根据自身需要确立基本的信息科技外包策略。银行应明确不可以外包的关键职能，并构建相应的自有专业化团队，增强对全行系统架构、核心系统等关键技术的掌控能力，防止核心技术受制于外部力量。

二是转理念，即推动信息科技外包由短期供求关系向长期合作伙伴关系转化。伴随金融科技的迭代革新，原先购买成型产品的方式已难以满足银行对新技术应用的时效性需求，未来或将是银行与头部互联网企业共同研发、推广金融科技，并在应用中共同完善相关技术与产品。与此同时，信息科技外包也将与业务发展进一步融合，如银行可利用互联网企业在用户、流量、消费场景、客户行为分析领域的积累，与互联网企业共建“场景银行”。在此模式下，银行与外包服务提供商之间将建立起长期的互惠合作关系，并促使双方利益诉求逐步趋向一致，进而有效解决代理人问题。

三是管供方，即构建信息科技外包提供商管理体系，做好提供商的精细化管理。首先，银行可尝试对外包服务提供商进行分级管理，根据服务提供商资质、行业口碑及过往合作情况等因素对其开展评级，形成服务提供商画像，如级别高且经营稳定的提供商可以更多参与银行关键、核心外包服务等；其次，可将整体信息科技外包策略拆分细化到单个提供商维度，根据每家服务提供商的业务侧重点、技术能力、公司产权关系以及银行自身的自主可控要求，明确与该提供商的合作策略，如对于母公司可能在金融服务主营领域与银行存在竞争关系的信息科技外包服务提供商，可在合作策略中限制与其在创新研发领域或主要竞争领域开展合作；再次，参考苹果公司的供应链管理理念，在至关重要的核心领域应避免服务提供商出现一家独大的情况，如可将订单分配至多家企业，并针对核心领域预先确定备选提供商，以满足应急需要；最后，可建立动态风险台账，强化对提供商风险的持续监控，并不断建立健全全行层面的黑白名单机制，对以往合作中有劣迹的服务提供商做好纵向跨总分行层级、横向跨部门条线的信息共享，有序提高外包服务提供商整体水平。

四是奖人员，即推动银行外包管理由“管公司”向“管人员”的方向转变。对于辅助人力外包而言，让外包人员对银行有归属感、看得见职业发展前景是激励人员、留住人员的关键。首先，银行可着力营造行内员工与外包人员平等合作的工作氛围，给予一致的办公环境；其次，可对照行内员工的职级发展路径，建立成体系的信息科技外包人员定级标准与晋级流程，并要求信息科技外包人员定期参加行内考评，将考评结果作为人员转场、再入场时重新定级的重要参考指标，如多次考核优异的人员可以得到快速晋升，对于评分低于平均水平的人员则在转场、再入场时进行降级处置；再次，可为表现极佳的外包人员提供转为行内员工的绿色通道，如适当降低学历等银行引进人才的硬性门槛，以特殊人才的方式吸收入行，使其长期为银行服务；在此基础上，还可将外包订单与选派人员的考评结果密切关联，如选派人员考评相对优异，可适当扩充订单比重等，促使外包服务提供商择优选派服务人员。

五是建组织，即建立健全有利于全行参与信息科技外包风险管理的组织机制。首先，银行需意识到信息科技外包管理的范畴已不再仅限于信息科技部门，应建立适当的企业级管理机制，如可由二道防线风险管理部门基于其跨部门管理的职责定位，牵头全行信息科技外包管理工作，组织梳理全行各层级、各条线的信息科技外包使用情况，督导各相关方做好风险管理；其次，信息科技部门应充分发挥在技术与安全领域的专业优势，以专家身份介入到信息科技外包管理过程之中，协助编写适用于银行的信息科技外包管理细则及工作文档模板，为信息科技外包使用部门提供技术支持与答疑服务，并对系统架构等技术问题进行重点把关；再次，遵循“谁使用，谁负责”的管理原则，在全行信息科技外包管理体系的总体框架下，明确承担具体外包服务管理的责任主体，如实际为分支行提供的外包服务，总行管理部门也应承担业务指导职能，并基于全行一体化的信息科技外包管理机制，做好事前、事中、事后的全流程风险管理。

六是保安全，即时刻关注新形势下的数据安全保护要求。《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》已正式颁布施行，银行在接受信息科技外包服务乃至开展场景银行等跨界合作时，应密切关注相关法律法规的要求变化，从外包服务提供商接触数据的范围、处理目的与方式、存储地点等方面入手，细致评估数据安全合规影响，深入探索隐私计算等技术的运用方式，视情况做好向个人的告知工作，以及确定是否存在数据出境的情况等，确保一切外包合作均在合法合规的前提下进行。

(本文系作者本人观点，与所在单位无关。)

本文刊于《中国金融电脑》2023年第5期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。