华夏银行股份有限公司信息技术部总经理 吴永飞

　　近年来，随着银行间竞争的加剧以及新业务的层出不穷，信息科技外包已成为金融机构减少IT 投资风险，获得竞争优势的重要策略之一。信息科技外包作为一把“双刃剑”，在提升银行核心竞争力的同时也带来了巨大的潜在风险。本文结合华夏银行根据银监会《银行业金融机构信息科技外包风险监管指引》(以下简称《外包指引》)采取的风险管控措施，重点探讨银行科技外包风险的应对策略。

　　一、信息科技外包的概念及其产生的动因

　　信息科技外包是指银行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等。

　　信息科技外包的动因已由单一的节约成本和集中精力于核心业务活动逐步发展为多元化目的：一是规避信息科技投资风险，通过信息科技外包来减少人力和资金的投入从而获得较大的经济效益;二是优化银行内部资源配置，通过专业IT 服务提供商的服务来释放内部资源，使银行能够集中精力关注核心业务应对本行业的竞争;三是获取IT 服务提供商的先进管理经验，提升银行科技队伍的管理及创新水平。

　　二、信息科技外包的风险

　　信息科技外包可能产生的风险会导致银行战略、声誉、合规等风险。

　　1.科技能力丧失

　　银行过度依赖外部资源导致失去对项目、技术、成本的控制及创新能力，影响业务创新与发展。最典型的案例就是，在系统开发方面由于过分依赖外包服务提供商，而外包商又不提供系统源代码，导致系统上线后运行维护和后续优化必须依赖于外包服务提供商。

　　2.业务中断

　　支持业务运营的外包服务无法持续提供导致业务中断，影响银行的业务连续性，无法满足业务持续运营的监管要求。

　　3.信息泄露

　　包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露，由此可能导致更为严重的声誉风险和法律风险，从而使银行蒙受巨大损失。

　　4.服务水平下降

　　由于外包服务质量问题或内外部协作效率低下，使得银行信息科技服务水平下降。例如，银行未在外包服务合同中明确外包服务提供商必须提供的最低服务水平，在合同执行过程中缺乏必要的事中监管，甚至将监管责任移交给服务提供商，势必导致服务水平下降。

　　三、信息科技外包风险的应对策略

　　2013 年以来，华夏银行按照《外包指引》及行内信息科技外包战略和风险管理等相关制度的规定，在信息科技外包制度建设、风险评估、外包服务商管理、外包人员管理、外包信息安全管理、外包应急管理和外包风险监督整改7 个管理环节，采取了一系列风险管控措施，提高了信息科技外包风险防范能力。

　　1.制度建设

　　为有效落实《外包指引》，华夏银行成立了落实《外包指引》工作组，逐条对《外包指引》与已有信息科技外包相关制度与细则进行了差异性分析，修订完善并下发了新的信息科技外包管理办法和实施细则，制定了外包服务提供商评价办法，规范并指导信息科技外包活动。

　　2. 风险评估

　　强化对外包服务商及外包服务的事前、事中、事后风险评估。在外包项目立项准备阶段，从战略风险、法律风险、声誉风险以及外包商服务水平、外包实施能力等方面进行风险识别与评估，出具风险评估报告;在项目实施里程碑阶段及后评价阶段，对项目存在的风险再次进行风险评估，并说明拟采取的应对措施、完成计划等内容。

　　3. 外包服务商管理

　　一是严格外包服务商准入。建立了严格的准入标准，积极推行以招标或竞争谈判的方式确定外包服务商。二是完善外包商信息库。细化了外包商信息库的版本控制，确保外包商信息库100% 覆盖与华夏银行合作的外包商。

　　三是加强外包服务商黑名单的管理，明确了外包服务商黑名单解禁的条件及流程。

　　四是建立与外包服务商的协调机制。组织召开信息科技外包工作协调会，针对外包服务商在项目实施过程中出现的开发质量、运维质量、人员与日常管理等方面的问题进行通报，并从安全运营和风险防控等方面对外包服务商提出具体要求。

　　五是关注集中度管理。定期对现有外包服务进行分析，将合同金额及驻场外包人员数量排列前10 名的外包服务商，列入机构集中度风险关注名单，在新增外包项目的招标工作中予以重点关注，并根据统计排名结果制定外包服务商替代方案。

　　六是强化外包合同及服务水平协议管理。对信息技术类格式合同文本及服务水平协议进行了修订并下发，确保目前信息技术类格式合同及服务水平协议模板符合监管要求。

　　七是通过制定外包服务提供商评价办法，完善对外包服务商的考核机制，细化评价指标与结果的运用。按照软件开发、基础设施、购买人力、维保等类别，定期从产品质量、服务水平、生产安全事件及合同履约情况等几个方面组织对外包公司进行考核评价。建立外包服务商考核评价情况的定期分析通报机制，定期将评价结果通报各外包服务商。

　　4. 外包人员管理

　　首先，严格外包人员资质审核。对入场外包人员资质进行严格审核，强化对外包人员信息档案的更新与管理。要求外包人员签署保密协议及服务承诺书，对外包人员的进、退场材料进行审查，审查合格后按照进、退场流程办理相关手续。

　　其次，强化考核，严格外包服务质量控制。在项目执行过程中，每6 个月对外包人员进行一次考核评价。同时，针对软件开发类项目，在项目结束后出具项目验收文档及后评价报告;针对维保类项目，定期提供服务评价报告;针对其他项目，在阶段性付款时，将阶段性评价报告作为付款依据。项目服务期结束后，对外包服务商的服务质量、履约能力、人员变更等内容进行定期考核评价并进行备案，对违反合同约束的外包服务商按照合同约定启动相关罚则。

　　5. 外包信息安全管理

　　一是强化法律约束。与外包人员签署保密协议，告知保密义务与责任。

　　二是采用技术措施，保障信息安全。建立了独立的终端开发环境，在开发测试过程中，实现开发用机的统一、封闭管理，不允许外包人员自带设备接入华夏银行的开发测试网，从源头上堵住敏感数据和文档的外泄;部署桌面管控系统，采用安全U 盘，控制移动存储设备的接入和文件的拷贝;实施“三网隔离”，控制互联网的接入，严格网络准入策略，仅允许安装赛门铁克防病毒软件且病毒特征码检查通过的用户设备接入华夏银行网络;加强账户管理，确保外包人员的账户停用后方可办理离场手续;部署操作审计系统，严格控制外包人员操作华夏银行生产系统;针对故障硬盘、磁带等存储设备，进行物理破坏和销磁后入库，严禁返厂维修。

　　6. 外包应急管理

　　华夏银行制定并下发了针对外包服务突发事件的应急预案，用于预防和处置外包服务的突发事件。重点对外包服务商出现重大资源损失、重大财务损失、重要人员变动以及外包协议意外终止等异常退出情况做出了明确应对要求，逐步完善技术部门、业务部门、外包服务商三方应急联动机制，将上述三方均纳入常规应急演练工作中，提升对突发事件的联动响应能力。

　　7. 外包风险监督整改

　　一是加强内部监督检查，总行层面，建立了外包项目投标前、中、后期的组织管理与监督检查机制，定期开展信息科技外包项目合同等专项审查;分行层面，开展信息科技外包风险管理的综合自查和专业现场检查。

　　二是强化问题整改，建立联动促改机制，针对内外部检查发现的问题，组织相关人员分析问题成因，制定整改计划，明确整改责任人和完成时限，持续进行跟踪，认真落实整改。

　　鉴于信息科技外包的重要意义和作用，如何正确全面地考察分析外包商的服务能力，做出正确的IT 外包决策，有效防范并消除各类风险，将是银行业关注的重要课题。