本刊记者 焦卢玲
随着银行业与现代信息科技的融合程度不断加深,信息技术对银行业的价值创造作用不可小觑。而部分金融机构出于对自身技术积累薄弱、成本和周期等因素的综合考量,采用了信息科技外包的形式。同时,随着技术的不断发展,尤其是虚拟化、云计算等技术的广泛应用,一些外包服务商集中托管了多家银行业金融机构的系统,形成了信息科技非驻场集中式外包模式。然而,信息科技外包作为一把“双刃剑”,在提升银行业核心竞争力的同时也隐藏着不可忽视的风险。
科技外包:站在巨人肩上摘苹果
近年来,银行间的竞争日益加剧,移动支付、互联网金融、云计算等创新模式在银行业的应用逐渐深入,以信息技术为驱动的业务创新越来越成为银行创新的趋势,且信息技术已经从支持保障角色转变为银行价值创造的重要组成部分,因此,与拥有强大创新能力的外包厂商合作便成为了一些银行业金融机构的优先选择。信息科技外包成为一些银行降低IT投资风险、提高信息科技服务水平、提高银行管理和服务效率、节约信息科技建设和运维成本的重要手段。
首先,银行业科技外包可以有效降低金融机构成本。外包商大都拥有专业的技术人员和经验,外包商可以通过承揽较多的外包服务来获得规模经济效应,从而直接降低金融机构的运营成本。
其次,技术外包可以提高信息科技服务水平,以及银行管理和服务效率。通过采取科技外包的形式,选择更具竞争优势的外包商,一方面可以提高商业银行的科技服务水平;另一方面则可以使金融机构专注于更具价值的核心业务,即将自己不擅长的信息科技进行外包,从而达到优化资源配置、强化自身核心竞争力,以及提高银行管理和服务效率的目的。
此外,作为主要外包模式的非驻场集中式外包主要依赖于外包服务商的一体化打包服务,具有内容集成度高、资源共享程度高、服务商独立性强以及服务机构性质多样等优势。
“双刃剑”:优势背后潜藏风险
不可否认,科技外包服务对中小银行的信息科技发展发挥了巨大的推动作用,但由于外包企业缺乏有效的外部监管约束,管理成熟度不高,风险控制能力薄弱,进而给银行信息系统安全带来了巨大风险,对可持续服务能力亦产生不利影响。
首先,非驻场集中式外包风险高度集中。非驻场集中式外包虽具有集约化、高效率等特点,但由于外包服务商往往同时为多家银行业金融机构提供服务,且多数采用虚拟化、云计算等资源共享方式,一旦发生风险,其快速传导机制将会使影响大范围扩散,进而演化成系统性、全局性风险。其次,科技外包还存在着风险控制环节薄弱的问题。信息科技非驻场集中式外包服务机构分为银行类机构和社会类机构两种。对于银行类机构来说,其自设立之初就受到银监会的监管,其风险管控依从的是银行业的相关法律规定。而很多社会类机构的本质是IT类企业,因此无法受到银监会的直接监管,其风险管控标准往往很难达到金融机构层面的监管要求。同时,大量中小银行依赖于此类机构提供外包服务,涉及面广,这对银行业的信息安全影响也较大。
随着银行业科技外包日益广泛,以及近年来多起具有集中度风险特点的信息科技事件的发生,给多家银行业金融机构带来对外服务中断、在建项目停滞等严重影响。此外,银行业金融机构的客户、账户和交易信息被外包服务商掌握,存在敏感信息泄漏、信息不当使用的风险隐患。
完善监管:化险为“利”
日前,科技外包风险逐渐成为商业银行和监管机构关注的重点领域。为了加强外包系统性风险控制,2013年银监会先后组织银监局、金融机构等开展对高集中度、重点外包服务的持续性监控与防范,并发起建立银行业信息科技外包服务组织,加强风险监控、促进市场规范化和行业自律。
为保护银行业金融机构关键基础设施和信息安全,防范银行业信息科技外包集中度风险,守住不发生系统性、全局性风险的底线,银监会于2014年7月发布《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(以下简称《外包风险管理通知》),从尽职调查、风险评估、合同约定、审计监督等非驻场集中式外包活动环节提出风险管控要求。
为此,针对非驻场集中式外包服务存在的突出问题,《外包风险管理通知》从防范系统性、全局性风险的角度,对集中承担银行信息科技活动的外包服务机构,提出了强化风险管理的要求:一方面,督促银行业金融机构健全外包管理机制,加强过程控制和对外包服务机构的风险约束,完善外包应急预案,保障在突发事件情况下的运营秩序;另一方面,推动外包服务机构强化风险责任意识,积极采取技术和管理规范化措施,提高安全服务水平。
此外,银监会创新工作机制,提出了外包服务机构主动申请评估的监管思路,按照自愿原则,将外包服务机构纳入监管部门的风险监管评估范畴,开展常态化风险分析、现场评估和风险处置工作,制定对外包服务机构开展风险监管评估工作的具体实施细则,加强外包系统性风险防范;充分发挥银行业信息科技外包联合监管平台和外包自律组织的作用,通过外包服务机构的自我约束和自我完善,推动银行业信息科技外包服务市场规范化和行业自律,加强正面指引,促进发展和交流,共同防范风险。2014年银监会还开展了银行业信息科技非驻场集中式外包专项治理工作,要求银行业金融机构全面自查整改,摸清风险底数,推动整体外包风险防范和外包管理水平的提升。FCC
|