记者观察：重视信息技术外包风险

□记者 胡杨

贵州银行日前领到贵州银保监局开出的一张罚单，罚单内容直指该行存在“网络安全和科技外包风险管控不力”的违规事实。

实际上，随着竞争日趋激烈，为控制成本、提高效率、改进服务，商业银行运用科技手段的频次和深度都在增加。需要注意的是，商业银行自建的信息技术团队往往很难高质量地实现系统开发、迭代升级、运营维护等全流程工作，尤其是对于中小银行来说，其科技实力较为薄弱，难以达到自主研发的水平。

因此，在专业化和成本等多重因素考虑下，不少商业银行选择将信息技术业务委托给第三方来处理，以节省聘请高水平人才、开发专属软件、日常运营维护等产生的巨大投入。

公开资料显示，“信息技术外包服务”指的是银行以合同的方式委托信息技术服务商来为其提供信息系统或信息技术服务的一种实践或管理策略，也引申为雇佣外部组织或个人来发展企业内部信息系统的行为，使银行能够以更有效率、低成本、低风险的方式完成某项信息技术任务。具体来说，常见的银行信息技术外包涉及银行通信网络管理、银行信息系统运作和管理、应用系统开发和维护、备份和灾难恢复等。

不过，商业银行外包信息技术业务时尤其需要警惕泄密风险。第三方机构手握银行大量数据信息，但银行却无法像约束自家内设部门一样对外包商进行严格管控。有业内人士指出，尽管银行会与外包企业签订保密协议，同时约定全程监控和验收审计环节，但真正化解这种泄密风险难度也比较大，“虽然签订了保密协议，但一旦外包方将银行客户资料泄密，即便采取相应的违约处罚手段，泄密对于银行造成的损失也已经无法弥补。至于验收和审计，银行作为‘外行’，很难真正地审视明晰技术和专业上都更‘内行’的外包企业，这本身也是一个现实性的矛盾。”

除此之外，也有研究认为，外包信息技术业务还可能导致银行丧失学习及应用先进技术的能力。与此同时，银行组织或重组资源的能力以及对经营环境变化的应变能力也会因此受到影响。

考虑到外包信息技术业务潜藏一定风险，监管也明确了一系列规范性要求。例如，2013年下发的《银行业金融机构信息科技外包风险管理指引》就提出，银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

2019年末，银保监会公布的《中国银保监会现场检查办法（试行）》也提出，银行业和保险业机构应当按照银保监会及其派出机构要求，加强数据治理，按照监管数据标准要求，完成检查分析系统所需数据整理、报送等工作，保证相关数据的全面、真实、准确、规范和及时。银保监会及其派出机构应当加强对银行业和保险业机构信息科技外包服务等工作的监督检查。