四川银行审计部总经理 任健

四川银行审计部 苟元胜

  近年来，随着信息科技的快速发展，银行业数字化转型不断提速。在此过程中，信息科技外包作为弥补自身科技力量不足的重要手段，为众多中小银行实现系统快速投产、人力资源快速扩充、业务需求快速响应等提供了必要助力。然而，信息科技外包在为中小银行带来诸多便利的同时，也带来了敏感信息泄露、信息系统服务中断等一系列风险隐患。对此，金融监管部门先后出台了一系列指导性文件，要求银行加强信息科技外包管理，严守信息科技外包风险底线。与此同时，在新的时代背景下，从维护自身利益的角度出发，中小银行做好信息科技外包管理也已经刻不容缓。

  一、基于审计视角的银行信息科技外包管理要点

  一般情况下，银行信息科技外包是指银行将本应由自身负责的信息科技活动委托给外部信息科技服务商实施的行为。而从审计视角来看，内审人员更为关注银行在外包机制、外包准入、外包风险和外包服务等方面的管理成效。

  1.外包机制管理

  在信息科技外包机制管理上，内审人员主要关注信息科技外包管理组织架构是否健全、外包战略是否与组织目标一致、外包分级分类是否清晰等内容。例如，在组织架构方面，银行应建立自上而下、分工明确、职责清晰的信息科技外包管理部门，确保信息科技外包工作的高效运转。在战略管理方面，银行应根据总体业务战略制定可支撑本行发展并契合自身资源禀赋的信息科技外包战略，确保信息科技外包战略与业务战略方向一致。在分级分类方面，银行应根据重要程度和影响范围将信息科技外包分为重要外包和一般外包两个等级，并在其全生命周期中采取差异化的管控措施;同时，银行应根据外包内容将信息科技外包活动进行分类，并结合各类外包活动特点在管理过程中有所侧重。

  2.外包准入管理

  在信息科技外包准入管理上，内审人员主要关注信息科技外包服务商尽职调查是否充分、外包人员资质是否满足要求、外包合同管理是否到位等内容。例如，在外包服务商尽职调查方面，银行应建立外包服务商尽职调查机制，明确调查范围、粒度、评分规则、开展频率等内容，并根据尽职调查风险评估决定是否与其合作。在外包人员资质管理方面，银行应根据外包需求注明外包人员需具备的资质和能力，在简历筛选和人员面试过程中严格落实，确保选出符合岗位要求的外包人员。在外包合同管理方面，银行应根据信息科技外包活动类型制定不同的合同模板和关键条款要求，做到合同内容清晰、详实，并确保合同签署时关键要素不留空白。

  3.外包风险管理

  在信息科技外包风险管理上，内审人员主要关注银行是否会出现业务中断、是否会发生敏感信息泄露等风险事件。例如，在业务连续性风险管理方面，银行应制定信息科技外包退出策略，通过持续关注外包服务商经营状况、每年组织外包服务商共同开展业务连续性演练、在合同中明确外包服务商保障业务连续性的具体举措等方式，防止因外包服务突然终止而造成银行业务中断。在信息安全风险管理方面，银行应通过开展外包人员信息安全意识培训、签署保密协议、实施网络安全管控、及时回收离场人员账号和清理数据等方式，严格防范敏感信息泄露。

  4.外包服务管理

  在信息科技外包服务管理上，内审人员主要关注银行是否开展外包服务监控与评价、是否及时完成外包服务考核及考核结果的应用情况。例如，在外包服务监控与评价管理方面，银行应在签署合同时一并与外包服务商签署清晰、明确、可量化的服务水平协议，并在服务实施过程中持续监控和评价外包服务商服务水平，对未达到要求的外包服务商和外包人员及时提醒和处理，避免对银行造成更为严重的影响。在外包服务考核管理方面，银行应制定外包服务考核标准并对外包服务商及外包人员进行宣贯，以及在服务实施过程中按规定频率开展外包服务考核，同时将考核结果作为给外包服务商和外包人员付费及开展后续合作的重要参考。

  二、中小银行信息科技外包管理存在的主要问题

  当前，受限于信息科技外包管理能力不足等原因，中小银行在管理机制、外包准入、信息安全、服务质量等方面均存在较大的提升空间。

  1.外包管理机制不健全

  中小银行在信息科技外包管理中普遍存在重结果导向、轻机制建设的现象，易造成外包管理缺乏全面性和系统性。究其原因，一是外包管理组织架构不完整，未全面覆盖信息科技外包管理部门和人员，或存在职责边界不清晰的情况，进而造成重复管理或产生“真空地带”;二是外包管理制度未根据监管最新要求和自身实际情况及时更新，导致相关制度框架、执行标准不一致;三是外包管理制度执行不到位，在外包服务准入等关键环节未严格落实相关标准;四是外包管理工具缺失，如在外包管理过程中过多采用手工台账等方式，易导致外包信息不准确、不一致或更新不及时等问题发生。

  2.外包准入管控不严格

  中小银行一旦前期对信息科技外包风险评估失误或管控不严，则在后期的外包选择和议价环节极易处于被动地位，甚至频繁出现被外包商“绑架”或“套牢”的情形。究其原因，一是对新技术、新业务了解有限，如在未进行信息科技外包风险充分论证的情形下购买相关服务，则易在后续合作中因无法替代现有服务而不得不支付高额费用;二是部分中小银行因资金有限或预算不足，会选择前期免费或低成本的信息科技外包服务开展业务，但却要在后期支付高额的维护费用;三是因自有科技人员无法独自维护外包商承建的信息系统，中小银行往往更倾向于同时购买后续维护服务，从而造成单一来源外包占比居高不下。

  3.敏感信息泄露形势严峻

  银行拥有大量高价值的客户敏感数据，若发生信息泄露事件将对其造成严重影响，而中小银行因自身科技能力不足等原因，在信息安全领域的形势尤为严峻。究其原因，一是自有科技人员信息安全意识欠缺，存在未要求外包人员签署保密协议、未组织外包人员进行安全意识培训等情况;二是信息安全管理存在盲区，如外包人员账号权限分配不当、开发环境与生产环境网络未有效隔离、离场外包人员账号未及时清理等情形均容易造成信息泄露;三是信息安全管控手段单一，如未在外包人员工作终端安装数据防泄露软件或启用桌面水印等;四是未严格执行数据安全管控，如个别给外包服务商的文件未进行加密处理，极有可能造成客户敏感信息泄露和滥用。

  4.外包服务质量不及预期

  中小银行如未能对外包服务过程进行有效管控，或将因外包服务不达标而面临资金浪费风险。究其原因，一是部分外包服务商采用低价竞标策略，在中标后为追求利益最大化而故意降低服务标准;二是中小银行自身未明确外包服务验收标准或未签订服务水平协议，导致在出现服务质量不达标时不能有效保护自身权益;三是未能及时发现外包服务商的经营风险，照常为未达标服务支付费用，最终造成银行资金浪费。

  5.银行自身科技能力并未得到提升

  中小银行如果长期使用大量外包服务，而自身信息科技能力并未随之提升，将出现对外包服务商高度依赖的情况。究其原因，一是未明确信息科技发展战略，存在“走一步、看一步”的心理;二是未理清自身科技发展与信息科技外包间的关系，未意识到信息科技外包只是暂时补充，核心科技能力无法通过外包获得;三是自有科技人员与外包人员的比例失衡，自有科技人员对一些核心实现环节未充分参与，进而造成知识和能力未能较好转移。

  三、中小银行强化信息科技外包管理的对策建议

  为更好地借助外部力量赋能自身发展，中小银行在使用外部服务时应秉持对自身负责、对客户负责的态度，持续加强信息科技外包管理，切实提升信息科技外包管理水平。

  1.加强外包管理体系建设，提升外包管理能力

  为实现信息科技外包高效管理的目标，中小银行应全面加强自身信息科技外包管理体系建设，打造覆盖架构、制度、流程、工具的全方位管理机制。首先，建立权责清晰、运转高效、制衡充分的信息科技外包管理组织架构，全面涵盖董事会、高级管理层及信息科技外包主管部门，并明确人员组成和相应职责，确保信息科技外包管理有序开展;其次，根据监管动态和自身管理需求，制定信息科技外包管理配套制度，如信息科技外包战略、信息科技外包管理办法、信息科技外包管理实施细则、信息科技外包考核评价指引等，为信息科技外包管理工作提供参考和指引;再次，建立清晰、高效的信息科技外包管理流程，保障信息科技外包管理在申请、审批、使用等各环节顺畅运转，提升信息科技外包管理效率;最后，构建信息科技外包管理系统，推动信息科技外包管理线上化，避免出现信息更新不及时、信息不一致等风险问题，并持续加强对信息科技外包数据的分析和应用，为后续开展信息科技外包决策提供数据支持。

  2.加强外包准入管理控制，降低业务中断风险

  在采购信息科技外包服务时，中小银行应将外包服务的可替代性和替代成本作为外包准入的重要参考，提前做好外包服务替代预案，避免外包服务商退出造成自身业务中断。首先，在开展信息科技外包活动前，对外包服务进行全方位风险评估，包括来源是否充足、是否为垄断产品、是否拥有外包交付物知识产权等，并充分考虑可能存在的外包替代风险;其次，尽量避免使用单一来源的外包服务，避免被外包服务商“绑架”而丧失议价权，同时高度关注某些外包服务商提供的免费产品，防止后期被收取高额维护费用;最后，在与外包服务商签订合同前，要明确相关服务、产品的著作权和版本归属，确保可拿到全套代码和文档，避免后期无法对代码进行改造。

  3.加强外包敏感信息管理，守住信息安全底线

  为避免发生敏感信息泄露等安全事件，中小银行应不断加强对外包服务的信息安全管理，守住安全经营底线。首先，在外包人员入场时签署保密协议，并进行信息安全宣贯，让其知晓行内信息安全相关规定和触犯后果，同时要求外包人员使用行内提供的终端设备开展工作，并确保终端设备只能连接行内开发或测试环境网络，严格落实信息安全管控要求;其次，按“必须知道、最小授权”的原则管控外包人员账号权限，杜绝多人共用同一账号的情况发生，避免发生信息安全事件时无法追责，并严控为外包人员分配的生产环境账号，以防止类似删库跑路等情形发生;再次，对外包服务交付物进行严格检测，防止交付物中存在后门、漏洞等信息安全缺陷，并定期检查离场人员的终端和账号是否被他人使用;最后，通过定期开展信息安全培训、信息安全考核、信息安全警示教育等举措，加强外包人员信息安全意识，并严禁外包服务商将敏感信息另作他用。

  4.加强外包服务水平监控，避免银行资金浪费

  在信息科技外包实施过程中，中小银行应对外包服务水平和服务质量进行持续监控，并及时处置不符合要求的外包合作。首先，根据信息科技外包活动等级和类型制定不同的服务水平协议和验收标准，并将服务水平协议作为合同的重要附件一同签署，同时向外包服务商和外包人员明确未达标服务的惩罚举措;其次，避免将服务价格作为是否中标的唯一标准，防止个别外包服务商采用低价恶意竞争策略，在中标后为节约成本而降低服务标准;再次，定期开展外包服务评价，并将评价结果应用到外包服务商后续合作、外包人员等级调整中，如对未达到服务标准的外包服务商和外包人员进行及时提醒，以及对在提醒后仍无法达标的外包服务终止合作等;最后，建立外包服务商和外包人员黑灰名单机制，并将黑灰名单报送外部监管机构，以便在整个银行业实现信息互通，增加外包服务商和外包人员服务不达标的成本。

  5.加强自身科技能力建设，减少外包依赖程度

  在信息科技外包管理过程中，中小银行应深度参与外包服务的关键环节，避免出现在产品交付后仍需要依赖外包服务商的情况。首先，制定契合自身需求的信息科技外包战略，规划信息科技能力提升路径，明确信息科技外包范围和外包人员占比，树立科技自主创新意识;其次，在外包过程中坚持以合作和学习的态度培养自有科技人员，确保自有科技人员在信息系统规划、设计、实现等关键环节全程参与，弄清底层逻辑和实现细节;再次，在合同中注明外包培训的相关内容，并要求外包服务商在产品交付时完成对自有科技人员的知识转移，降低后续在运维阶段的外包依赖;最后，可考虑将个别优秀的外包人员转为银行正式员工，以快速弥补自身在某个领域的不足。

  6.加强外包三道防线协同，形成外包管理合力

  在信息科技外包管理活动中，中小银行应建立涵盖科技、风控(或合规)、审计等部门的信息科技外包管理三道防线，实现信息科技外包事前、事中、事后全生命周期管控。首先，在相关制度中明确信息科技外包管理的组织架构和相应职责，确保三道防线各司其职;其次，针对信息科技外包审批、采购、入场、实施、离场、后评价等环节，由一二道防线部门持续开展监督管理，以提早发现风险并进行处置;再次，定期开展信息科技外包审计活动，提高信息科技外包管理的有效性，并将审计结果及时报送行内高级管理层、纪检部门，形成行内威慑力;最后，不断加强三道防线的协同合作能力，实现“1+1+1>3”的管理效果。

  中小银行信息科技外包管理能力提升是一个长期过程，不可能一蹴而就。中小银行应根据监管动态，研究制定契合自身发展的信息科技外包管理策略，切实提升信息科技外包管理能力，降低信息科技外包风险，真正做到以信息科技外包赋能自身发展，为银行持续稳健经营保驾护航。