首页> 图书频道> 经管> 投资理财

7.1.2  商业银行IT外包风险概述

2025年09月26日
版权
7.1.2 商业银行IT外包风险概述

国际商业银行的外包业务大约始于20世纪70年代,经过40多年的发展,已经具有了信息技术外包(ITO)、业务流程外包(BPO)和知识流程外包(KPO)的不同类型。我国商业银行的服务外包始于20世纪90年代,已在IT技术外包和低端的业务流程外包方面取得一定的进展。国内各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司等金融及银行机构中均或多或少存在多种形式的IT外包。

1.商业银行IT外包的分类

在商业银行内,IT外包通常分为4类,即基础设施类、系统服务类、人员服务类和咨询服务类,涵盖机房及配套基础设施服务、系统开发、系统运行维护、数据处理、外购人力资源驻场服务和远程支持、科技战略或项目咨询等。

上述4类外包服务中,系统服务类外包占比最高,高达60%,主要为信息系统研发建设服务项目。随着科技管理水平的提高,商业银行逐步以人力资源引入的方式,在第三方测试、程序代码编写等领域扩大外包范围。人力服务类外包占比高达28%。基础设施类和咨询服务类外包规模相对较小,占比分别为9%和3%[58]。

银监会发布的《银行业金融机构信息科技外包风险监管指引》对商业银行IT外包的定义为:“银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。”该指引将IT外包分为以下类型:

1)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包。

2)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包。

3)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

2.商业银行IT外包风险

随着商业银行IT外包规模加速扩张,外包范围已从非核心领域向关键业务系统、数据中心等核心领域全面渗透,由此产生的潜在、系统性风险不断积聚,对商业银行系统安全稳健运营带来挑战。

(1)商业银行IT外包风险的类型 根据《银行业金融机构信息科技外包风险监管指引》,商业银行IT外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险。

1)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展。

2)业务中断:支持业务运营的外包服务无法持续提供导致业务中断。

3)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露。

4)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。

(2)商业银行IT外包风险管理存在的问题

首先,商业银行IT外包风险管理存在基础性不足,外包服务仍存在较大风险。在IT外包过程中,商业银行与IT服务外包商是风险的共同体。商业银行的安全运营与外包商的履约质量和合规经营紧密相关。虽然商业银行在IT服务外包时也将风险分散、转移给多个外包商,但商业银行依然需要承担风险发生时包括法律、信誉和战略风险在内的全部风险,面临信誉与经济等方面的实际损失。而目前仍有许多商业银行对此缺乏清醒的认识,对外包风险管理基本停留在项目采购层面,认为外包就是商品购买或人员雇佣,放弃了对外包活动的管理和控制,只关注外包的业务目标是否达成而忽略了由此产生的系统运行、信息安全等外部风险[59]。

其次,外包集中程度过高,可能产生行业性、区域性系统服务失效风险。选择市场占有率高的外包服务商进行外包合作是银行规避风险的必然选择,但过高的外包集中度可能导致系统性风险。在中小银行的核心业务、银行卡、网银、数据中心等基础性金融服务领域,已形成事实上的外包高度集中。一方面,IT外包服务商缺乏监管,安全管理能力不足,近年来已多次发生因系统故障导致多家银行服务同时中断的系统性风险事件;另一方面,中小银行机构数量大、社会服务面广、业务发展快,对外包服务依赖大、风险管理能力低,导致总体风险积聚。同时,在关键基础设施领域,商业银行金融机构选用的基础软硬件设备如核心网络、主机、数据库、存储设备等大多集中在几家跨国大型公司手中,这些公司处于技术和市场的垄断地位,对商业银行带来巨大风险隐患[60]。

最后,外包依赖度较高,导致商业银行信息化自主发展能力受限。金融机构过度依赖外部资源可能导致失去科技控制及创新的能力,特别是部分中小银行的IT服务主要依靠外包,将严重影响业务创新与发展。银行越是依赖外部服务,就越需要对外包风险进行有效管理。很多中小银行机构将系统大范围、深层次外包,但缺乏主动管理和知识积累,只关注系统建设交付而忽视自身能力建设,长此以往逐步丧失对系统的控制权和议价能力。

(3)商业银行IT外包风险的管理重点 在IT外包风险管理中需要时刻明确两个“不等于”:

1)IT外包不等于一般性服务采购事项。

2)IT外包中的活动转移不等于风险和责任的转移,银行仍需承担IT外包项目或系统带来的各种风险和责任。

为此,商业银行应将“确保外包商提供外包服务过程中达到(或高于)银行信息科技风险管理、信息安全管理、业务连续性管理等方面的要求和标准,从而降低信息科技外包风险”作为IT外包风险管理的重点。

(4)商业银行IT外包的管理原则 商业银行应确立IT外包风险管理的基本管理原则,可以根据自身实际情况建议从如下几个方面进行考虑:

1)涉及信息科技核心能力的职能不外包。其中,核心能力指战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能。

2)始终强化外包风险的全生命周期管理。加强外包风险的事前控制、持续管控,直至外包服务交付物下线。引入外包之前要做风险评估,针对风险,要有相应的风险管控措施;在外包实施过程中对外包风险进行持续的监控管理。

3)持续优化外包策略和措施。外包是一个不断发展变化的领域,需要商业银行根据最新监管要求,与时俱进地不断进行优化和完善[61]。