中国银行业监督管理委员会银行业信息科技监管部 骆絮飞

　　一、金融IT外包背景与现状

　　IT 外包是计算机技术发展成熟和社会分工日益精细化、专业化的产物， 最早可以追溯到1963 年Blue Cross of Pennsylvania 与EDS签订的数据处理整体外包协议。在其后的近半个世纪，微机、互联网、高性能大容量计算机处理技术进步日新月异，信息技术产业规模化发展成熟，IT 外包也从单纯的电脑设备维护与操作外包、应用开发外包，发展到今天的企业IT 战略规划、基础设施运维、核心系统开发运营和数据分析处理外包等全方位、多元化的阶段。

　　金融行业是我国信息技术运用最早的领域，也是科技依赖度较高的行业，基于技术能力、成本、效率等多重因素考虑，银行业IT 外包较为普遍。据统计，2012 年银行业金融机构信息科技外包工作量达到14 万人月，同比增长12%，其中中小银行外包项目在全行信息科技项目总数中的比例达到70% 以上，大型银行虽然科技自主服务能力较强，但外包项目在全行科技项目中的占比也接近三分之一。外包已成为银行业信息科技服务的重要组成部分。随着中国经济转型升级和金融市场化改革进程加速，银行业面临着来自资本及同业市场、非金融机构等的更加残酷的竞争，银行机构将加快运用更深层次、更大范围的外包和技术合作战略来整合各方优势资源，以获取更大的竞争优势，实现金融服务稳健发展和价值链延伸。IT 外包服务在银行业信息科技中的重要性将不断提高，对银行业信息科技战略、运营管理和可持续发展将产生深远影响。

　　IT 外包的分类方法比较多样，银行业IT 外包可简单分为四类：基础设施类、系统服务类、人员服务类和咨询服务类，涵盖机房及配套基础设施服务、系统开发运维与数据处理、外购人力资源驻场服务和远程支持、科技战略或项目咨询等。上述四类外包服务中，系统服务类外包占比最高，达到60%，主要为信息系统开发建设服务项目。随着科技管理水平的提高，银行逐步以人力资源引入的方式，在第三方测试、程序代码编写等领域扩大外包范围，人力服务类外包占比达到28%。基础设施类和咨询服务类外包规模相对较小，占比分别为9%和3%。

　　二、银行业主要的IT外包风险

　　IT 外包成为银行业普遍采用的商业模式和战略发展手段，在为银行带来巨大收益的同时，也由于银行内在职能和任务的 “外部化”，银行与外包商的“委托- 代理”关系和信息不对称，导致管理复杂度倍增。银行面临更大的科技风险和不确定性。当前，金融市场竞争加剧，银行业IT 外包规模加速扩张，外包范围已从非核心领域向关键业务系统、数据中心等核心领域全面渗透，由此产生的潜在、系统性风险不断积聚，对银行业系统安全稳健运营带来挑战。

　　一是银行业IT 外包风险管理存

　　在基础性体系缺失，系统稳定运行和安全风险加大。银行与IT 服务外包商是风险的共同体，银行机构的安全运营与外包商的履约质量和合规经营息息相关，虽然银行在IT 服务外包时也将风险同时分散了，转移给了外包商，但银行依然是全部的风险责任主体。而许多银行对此缺乏清醒的认识，对外包风险管理基本停留在项目采购层面，认为外包就是商品购买或人员雇佣，放弃了对外包活动的管理控制，只关注外包的业务目标达成而忽视了由此产生的系统运行、信息安全等外部风险。绝大多数银行未建立外包风险管理的组织架构，无外包管理牵头部门和外包风险管理策略，管理粗放，对外包服务质量约束不足，对外包服务机构缺乏明确的信息安全、运行规范等基本要求，监督检查和审计缺失，外包活动的科技风险基本游离在银行业科技风险的管控体系之外。

　　我国IT 外包服务行业尚处于发展初期，市场竞争不充分，有效的外部监管约束缺乏，企业良莠不齐，管理成熟度不高，风险防控能力薄弱，因外包中开发错误、操作失误等引致的银行业务系统中断事件频发;在系统集中托管和数据处理类外包服务中，外包商存贮了大量银行交易信息和客户敏感数据。同时，一些IT 外包服务商安全体系建设滞后、保障措施匮乏，在银监会开展的现场核查中发现了大量数据泄露风险隐患和“低级”错误，对银行业安全运营带来重大影响，科技风险整体加大。

　　二是外包集中度过高，可能产

　　生行业性、区域性系统服务失效风险。选择市场占有率高的外包服务商进行外包合作是银行规避风险的必然选择，但过高的外包集中度可能导致系统性风险。在中小银行的核心业务、银行卡、网银、数据中心等基础性金融服务领域，已形成事实上的外包高度集中。一方面，IT 外包服务商缺乏监管，安全管理能力不足，近年来已多次发生因系统故障导致多家银行服务同时中断的系统性风险事件;另一方面，中小银行机构数量大、社会服务面广、业务发展快，对外包服务依赖大、风险管理能力低，导致总体风险积聚。同时，在关键基础设施领域，银行业金融机构选用的基础软硬件设备如核心网络、主机、数据库、存储设备等大多集中在几家跨国大型公司手中，这些公司处于技术和市场的垄断地位，对银行业“高度重要”，带来巨大风险隐患。一方面其产品价格垄断可能导致银行业经营成本增加;另一方面其外包服务的安全、可靠和持续将直接影响银行业科技服务体系的运营秩序，一旦发生服务断供等突发事件，将直接影响社会、公众的基本金融服务，关系国计民生，影响国家金融稳定。另外，随着外包服务来源的多样化，外包风险也在演化，外包中蕴含的国别风险因素值得关注。外包公司由于国家经济或者政治原因出现经营或者安全问题，风险难以控制。目前，银行机构普遍缺乏国别风险防范意识，对于IT 外包中蕴含的国别风险识别与管理还基本处于空白状态。在行业层面，尤其需要识别、监测、评估具有高集中度、托管银行机构敏感数据和重要系统的外包服务的国别风险，以避免出现大面积服务中断的系统性风险。

　　三是外包依赖度较高，银行业信息化自主发展能力受限。金融机构过度依赖外部资源可能导致失去科技控制及创新的能力，最终影响业务创新与发展。银行越是依赖外包服务，就越需要对外包风险进行有效管理。很多中小银行机构将系统大范围、深层次外包，但缺乏主动管理和知识积累，只关注系统建设交付而忽视自身能力建设，长此以往逐步丧失了对系统的控制权和议价能力。在监管部门开展的外包风险专项检查中也发现，银行对外包公司服务质量要求不明确，合约责任不清晰，谈判与议价能力不足，业务系统开发受制，大量系统建设不得不长期依赖单一供应商。由于核心人员流失、关键流程缺陷以及内外部协作效率低下等问题，使得银行业金融机构信息科技服务水平下降或出现项目延期等问题，未达到初始的外包目标，给金融机构带来损失。

　　追求低成本高回报是金融业最基本的商业法则，在经济全球化的今天，科技外包已经是金融业获取市场、赢得竞争的必然选择。但如何控制好风险，尤其是防范系统性的外包风险则是当前我们共同面临的挑战。IT 外包不同于一般意义上的商品购买，它使得IT 生产要素所有权、直接管理权和决策权向外包方转移，模糊了银行的管理边界，外包方与银行间的责、权、利难以清晰划分，外包双方共管的组织架构也使得银行原有信息科技治理过程发生结构性变化，风险管理形态也随之改变。另外，外包过程中外包服务商及其活动向银行原有组织、流程“内嵌”，更加剧了风险的变异性、复杂度和管理难度。为应对上述挑战，银行机构需要及时调整思路，进行战略思考和治理研究，加强外包价值评估、关系管理和风险监督控制体系建设，避免因引入外部资源和技术加大银行的信息安全、系统可用性及合规威胁。从另一个角度看，外包活动是银行业信息科技服务体系的有机组成部分，也是银行业科技风险监管的重要范畴， 虽然外包企业不是银行业监管部门的直接监管对象、不受相关法规约束， 但监管责任不应因科技活动的主体、形式和地点的迁移而削弱， 尤其是在当前外包行业整体不成熟、竞争不充分，仅靠市场化治理机制难以有效控制风险的现实条件下， 监管部门更应积极探索、创新方法， 加强新形势下监管理论、工具和技术的研究，加强行业内、外部协同，共同防范和化解IT 外包可能引发的行业性、系统性风险。

　　三、国外监管政策和实践

　　纵观全球金融市场，各国金融监管当局都非常重视外包风险监管，美国政府出台了一系列指引、办法，如美国联邦金融机构监管委员会(FFIEC)发布《技术服务外包风险管理指引》、《技术服务外包IT检查手册》;美国货币监理署(OCC)发布《第三方关系：风险管理原则》、《对技术外包商操作风险的管理工具: 服务水平协议》;美国联邦存款保险公司(FDIC) 发布《管理多方外包商的技术》等，对银行业务、技术、系统、服务外包业务及银行在各种外包关系中应承担的风险管理责任等作出明确规定。“服务外包，责任不外包”是美国监管机构的重要监管理念，即金融机构可将服务外包给TSP，但风险管理的责任依旧由金融机构自身承担。根据美国银行服务公司法案(BankService Company Act)要求，美国的银行监管机构有对TSP 的监管权力，在对金融机构的监督检查中，监管者重点检查其选择TSP 的流程、与TSP 签署的协议、外包项目的管理等内容，以确保银行在使用TSP过程中有效地实施了风险控制。当某一服务商为多个受不同监管当局监管的银行机构处理业务活动时，由多家监管机构对服务商实施联合检查。FFIEC 采用统一的评级体系URSIT 对服务商及受监管实体的IT相关风险进行评估及评级。根据外包服务商的风险状况，监管当局对其实施周期为18~36 个月的检查，目前已对约160 个外包服务商进行了跟踪检查，其中有130 个服务商接受定期检查。随着TSP 不断壮大，美国已出现了同时为多达几十家乃至上百家银行机构提供服务的大型TSP，即MDPS(目前美国有25 家)，技术风险也因此集中于此类外包服务商，对MDPS 的监管由FFIEC 直接负责。

　　除美国外，加拿大、澳大利亚、欧盟、新加坡、香港等国家和地区都针对外包业务制定了监管指引，规范外包行为，这些指引对银行董事会和管理层的责任、外部审计、合同及服务水平标准、风险管理、服务商评估等均作了详细规定。

　　四、科技外包风险监管指引解读

　　针对金融外包发展形势和风险上升态势，2010 年银监会发布《银行业金融机构外包风险管理指引》，全面规范银行业金融机构外包行为，此前发布的《商业银行信息科技风险管理指引》中也对外包合同管理、服务水平、数据保护提出了明确要求。今年，结合外包最新发展态势和IT 外包风险特点，银监会印发了《银行业金融机构信息科技外包风险监管指引》(以下简称《外包指引》)，从加强金融机构对外包风险控制的角度，明确了金融机构建立信息科技外包战略和风险管理体系的要求，指导银行机构加强外包风险评估、供应商尽职调查、合同和外包过程监控，并着重强调对重要外包服务的管理。同时，通过银行业金融机构要求外包服务商建立规范化的科技服务管理和内部控制体系，推动银行业外包服务市场的规范化;加强外包风险集中度监管，防控行业系统性风险。

　　一是提出外包管理战略和基本原则，推动银行开展外包风险管理体系建设。《外包指引》明确了IT外包活动的基本原则，要求银行选择外包服务时，应以不妨碍核心能力建设、积极掌握关键技术为导向，明确外包管理战略，通过明确不能外包的职能及自身资源管理、对外包商的关系管理、分级管理，在外包中加强知识转移和技能提升，实现银行信息科技的主动管理和自身实力提升。银行在外包前应建立外包决策的具体政策和标准， 根据外包业务在经营战略中承担的角色以及外包可能对银行造成的影响，审慎开展外包。对外包风险，银行应当进行专门的管理并全面覆盖外包服务机构， 要建立外包风险管理体系， 董事会和高管层要承担责任， 要在管理结构上为外包设计必要的监督、控制机制，建立覆盖外包双方的跨结构管理团队， 加强协调， 强化对外包机构的风险管理约束。

　　二是明确对外包活动全流程的风险管控要求，并强调信息安全管理。《外包指引》明确了银行的风险管理责任，要求银行改变以往“重采购、轻管理”、“重业务、轻风险”的粗放式外包管理模式， 将风险管控措施落实在外包实施的前、中、后各个环节中， 包括外包风险评估与准入、供应商尽职调查、外包合同及要求、外包服务安全管理、外包服务监控与评价、外包服务中断与终止的全部流程。信息是金融业最重要的资产，《外包指引》要求银行重点加强对信息资产的安全保护， 对外包商的介入活动过程、对非驻场外包建立安全管理基准，加强外包检查，防范信息泄露风险。同时， 对于母行( 集团) 外包、跨境外包等特殊风险，要求关联外包的发包方掌握外包控制主动权，保持外包决策和管理的独立性，不因关联外包关系而降低风险管控要求，加强国别风险管理，鼓励中小型银行选择风险管控能力相对较好的同业托管机构作为外包服务提供商。三是加强重要外包服务管理，降低外包集中度，强化系统性外包风险防范。《外包指引》突出强调了包括商业银行和监管部门两道防线的系统性外包风险管理体系构建。作为外包风险管理的的第一道防线也是第一责任人，商业银行要识别本银行高依赖度、高集中度的外包服务及其供应商，并采取增强性管理措施，主要包括严格的准入，建立信息收集机制，对外包服务商财务、内控、安全管理情况持续监控，增强供应商监督频率与检查力度，并采取主动的外包集中度分散活动，引入必要的备份和竞争，提高自主研发或运行能力，减少对外包服务提供商的依赖。作为外包风险管理的的第二道防线，监管部门将联合银行机构，加强对银行业重点外包服务机构(系统重要性外包服务机构)的风险防控，明确承担核心系统集中运营服务、集中性客户数据处理、数据中心集中运营、银行间交易系统转接等银行业重点外包服务机构的管理基准和条件，建立联合监督检查工作平台，组织开展对重点外包服务的持续性风险管理、检查与监督，实施对银行业重点外包服务机构更严格的管理标准(信息安全管理、业务连续性管理、运行管理、技术保障水平)，防范银行业系统性外包风险;建立风险处置机制，加强风险预警和评估评级，明确对存在重大缺陷的外包服务供应商禁止其承担银行业金融机构信息科技服务活动;同时，探索构建银行业外包服务机构的行业自律组织，进一步规范外包机构的服务行为，规范行业秩序，加强外包服务机构的自我监督和行业自律，促进银行业与外包服务行业的协调，降低外包风险水平。

　　在此基础上，银监会还将加快推进关键基础设施国产化，提升银行业金融机构自主研发、自主维护能力，扭转对国外产品、外部技术力量的依赖局面。积极研究银行同业外包市场培育和规范化管理机制，加强政策引导，鼓励基础好、管理先进的大中型银行机构开展外包服务，支持中小银行机构联合共建、资源共享，破解中小银行信息科技发展难题。（FCC）