駱絮飛：銀行業(yè)IT外包的風(fēng)險(xiǎn)與挑戰(zhàn).docx

駱絮飛：銀行業(yè)IT外包的風(fēng)險(xiǎn)與挑戰(zhàn)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)銀行業(yè)信息科技監(jiān)管部 駱絮飛一、金融IT外包背景與現(xiàn)狀I(lǐng)T 外包是計(jì)算機(jī)技術(shù)發(fā)展成熟和社會(huì)分工日益精細(xì)化、專業(yè)化的產(chǎn)物， 最早可以追溯到1963 年Blue Cross of Pennsylvania 與EDS簽訂的數(shù)據(jù)處理整體外包協(xié)議。在其后的近半個(gè)世紀(jì)，微機(jī)、互聯(lián)網(wǎng)、高性能大容量計(jì)算機(jī)處理技術(shù)進(jìn)步日新月異，信息技術(shù)產(chǎn)業(yè)規(guī)?；l(fā)展成熟，IT 外包也從單純的電腦設(shè)備維護(hù)與操作外包、應(yīng)用開發(fā)外包，發(fā)展到今天的企業(yè)IT 戰(zhàn)略規(guī)劃、基礎(chǔ)設(shè)施運(yùn)維、核心系統(tǒng)開發(fā)運(yùn)營(yíng)和數(shù)據(jù)分析處理外包等全方位、多元化的階段。金融行業(yè)是我國(guó)信息技術(shù)運(yùn)用最早的領(lǐng)域，也是科技依賴度較高的行業(yè)，基于技術(shù)能力、成本、效率等多重因素考慮，銀行業(yè)IT 外包較為普遍。據(jù)統(tǒng)計(jì)，2012 年銀行業(yè)金融機(jī)構(gòu)信息科技外包工作量達(dá)到14 萬人月，同比增長(zhǎng)12%，其中中小銀行外包項(xiàng)目在全行信息科技項(xiàng)目總數(shù)中的比例達(dá)到70% 以上，大型銀行雖然科技自主服務(wù)能力較強(qiáng)，但外包項(xiàng)目在全行科技項(xiàng)目中的占比也接近三分之一。外包已成為銀行業(yè)信息科技服務(wù)的重要組成部分。隨著中國(guó)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)和金融市場(chǎng)化改革進(jìn)程加速，銀行業(yè)面臨著來自資本及同業(yè)市場(chǎng)、非金融機(jī)構(gòu)等的更加殘酷的競(jìng)爭(zhēng)，銀行機(jī)構(gòu)將加快運(yùn)用更深層次、更大范圍的外包和技術(shù)合作戰(zhàn)略來整合各方優(yōu)勢(shì)資源，以獲取更大的競(jìng)爭(zhēng)優(yōu)勢(shì)，實(shí)現(xiàn)金融服務(wù)穩(wěn)健發(fā)展和價(jià)值鏈延伸。IT 外包服務(wù)在銀行業(yè)信息科技中的重要性將不斷提高，對(duì)銀行業(yè)信息科技戰(zhàn)略、運(yùn)營(yíng)管理和可持續(xù)發(fā)展將產(chǎn)生深遠(yuǎn)影響。IT 外包的分類方法比較多樣，銀行業(yè)IT 外包可簡(jiǎn)單分為四類：基礎(chǔ)設(shè)施類、系統(tǒng)服務(wù)類、人員服務(wù)類和咨詢服務(wù)類，涵蓋機(jī)房及配套基礎(chǔ)設(shè)施服務(wù)、系統(tǒng)開發(fā)運(yùn)維與數(shù)據(jù)處理、外購人力資源駐場(chǎng)服務(wù)和遠(yuǎn)程支持、科技戰(zhàn)略或項(xiàng)目咨詢等。上述四類外包服務(wù)中，系統(tǒng)服務(wù)類外包占比最高，達(dá)到60%，主要為信息系統(tǒng)開發(fā)建設(shè)服務(wù)項(xiàng)目。隨著科技管理水平的提高，銀行逐步以人力資源引入的方式，在第三方測(cè)試、程序代碼編寫等領(lǐng)域擴(kuò)大外包范圍，人力服務(wù)類外包占比達(dá)到28%?；A(chǔ)設(shè)施類和咨詢服務(wù)類外包規(guī)模相對(duì)較小，占比分別為9%和3%。二、銀行業(yè)主要的IT外包風(fēng)險(xiǎn)IT 外包成為銀行業(yè)普遍采用的商業(yè)模式和戰(zhàn)略發(fā)展手段，在為銀行帶來巨大收益的同時(shí)，也由于銀行內(nèi)在職能和任務(wù)的 “外部化”，銀行與外包商的“委托- 代理”關(guān)系和信息不對(duì)稱，導(dǎo)致管理復(fù)雜度倍增。銀行面臨更大的科技風(fēng)險(xiǎn)和不確定性。當(dāng)前，金融市場(chǎng)競(jìng)爭(zhēng)加劇，銀行業(yè)IT 外包規(guī)模加速擴(kuò)張，外包范圍已從非核心領(lǐng)域向關(guān)鍵業(yè)務(wù)系統(tǒng)、數(shù)據(jù)中心等核心領(lǐng)域全面滲透，由此產(chǎn)生的潛在、系統(tǒng)性風(fēng)險(xiǎn)不斷積聚，對(duì)銀行業(yè)系統(tǒng)安全穩(wěn)健運(yùn)營(yíng)帶來挑戰(zhàn)。一是銀行業(yè)IT 外包風(fēng)險(xiǎn)管理存在基礎(chǔ)性體系缺失，系統(tǒng)穩(wěn)定運(yùn)行和安全風(fēng)險(xiǎn)加大。銀行與IT 服務(wù)外包商是風(fēng)險(xiǎn)的共同體，銀行機(jī)構(gòu)的安全運(yùn)營(yíng)與外包商的履約質(zhì)量和合規(guī)經(jīng)營(yíng)息息相關(guān)，雖然銀行在IT 服務(wù)外包時(shí)也將風(fēng)險(xiǎn)同時(shí)分散了，轉(zhuǎn)移給了外包商，但銀行依然是全部的風(fēng)險(xiǎn)責(zé)任主體。而許多銀行對(duì)此缺乏清醒的認(rèn)識(shí)，對(duì)外包風(fēng)險(xiǎn)管理基本停留在項(xiàng)目采購層面，認(rèn)為外包就是商品購買或人員雇傭，放棄了對(duì)外包活動(dòng)的管理控制，只關(guān)注外包的業(yè)務(wù)目標(biāo)達(dá)成而忽視了由此產(chǎn)生的系統(tǒng)運(yùn)行、信息安全等外部風(fēng)險(xiǎn)。絕大多數(shù)銀行未建立外包風(fēng)險(xiǎn)管理的組織架構(gòu)，無外包管理牽頭部門和外包風(fēng)險(xiǎn)管理策略，管理粗放，對(duì)外包服務(wù)質(zhì)量約束不足，對(duì)外包服務(wù)機(jī)構(gòu)缺乏明確的信息安全、運(yùn)行規(guī)范等基本要求，監(jiān)督檢查和審計(jì)缺失，外包活動(dòng)的科技風(fēng)險(xiǎn)基本游離在銀行業(yè)科技風(fēng)險(xiǎn)的管控體系之外。我國(guó)IT 外包服務(wù)行業(yè)尚處于發(fā)展初期，市場(chǎng)競(jìng)爭(zhēng)不充分，有效的外部監(jiān)管約束缺乏，企業(yè)良莠不齊，管理成熟度不高，風(fēng)險(xiǎn)防控能力薄弱，因外包中開發(fā)錯(cuò)誤、操作失誤等引致的銀行業(yè)務(wù)系統(tǒng)中斷事件頻發(fā);在系統(tǒng)集中托管和數(shù)據(jù)處理類外包服務(wù)中，外包商存貯了大量銀行交易信息和客戶敏感數(shù)據(jù)。同時(shí)，一些IT 外包服務(wù)商安全體系建設(shè)滯后、保障措施匱乏，在銀監(jiān)會(huì)開展的現(xiàn)場(chǎng)核查中發(fā)現(xiàn)了大量數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患和“低級(jí)”錯(cuò)誤，對(duì)銀行業(yè)安全運(yùn)營(yíng)帶來重大影響，科技風(fēng)險(xiǎn)整體加大。二是外包集中度過高，可能產(chǎn)生行業(yè)性、區(qū)域性系統(tǒng)服務(wù)失效風(fēng)險(xiǎn)。選擇市場(chǎng)占有率高的外包服務(wù)商進(jìn)行外包合作是銀行規(guī)避風(fēng)險(xiǎn)的必然選擇，但過高的外包集中度可能導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)。在中小銀行的核心業(yè)務(wù)、銀行卡、網(wǎng)銀、數(shù)據(jù)中心等基礎(chǔ)性金融服務(wù)領(lǐng)域，已形成事實(shí)上的外包高度集中。一方面，IT 外包服務(wù)商缺乏監(jiān)管，安全管理能力不足，近年來已多次發(fā)生因系統(tǒng)故障導(dǎo)致多家銀行服務(wù)同時(shí)中斷的系統(tǒng)性風(fēng)險(xiǎn)事件;另一方面，中小銀行機(jī)構(gòu)數(shù)量大、社會(huì)服務(wù)面廣、業(yè)務(wù)發(fā)展快，對(duì)外包服務(wù)依賴大、風(fēng)險(xiǎn)管理能力低，導(dǎo)致總體風(fēng)險(xiǎn)積聚。同時(shí)，在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，銀行業(yè)金融機(jī)構(gòu)選用的基礎(chǔ)軟硬件設(shè)備如核心網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、存儲(chǔ)設(shè)備等大多集中在幾家跨國(guó)大型公司手中，這些公司處于技術(shù)和市場(chǎng)的壟斷地位，對(duì)銀行業(yè)“高度重要”，帶來巨大風(fēng)險(xiǎn)隱患。一方面其產(chǎn)品價(jià)格壟斷可能導(dǎo)致銀行業(yè)經(jīng)營(yíng)成本增加;另一方面其外包服務(wù)的安全、可靠和持續(xù)將直接影響銀行業(yè)科技服務(wù)體系的運(yùn)營(yíng)秩序，一旦發(fā)生服務(wù)斷供等突發(fā)事件，將直接影響社會(huì)、公眾的基本金融服務(wù)，關(guān)系國(guó)計(jì)民生，影響國(guó)家金融穩(wěn)定。另外，隨著外包服務(wù)來源的多樣化，外包風(fēng)險(xiǎn)也在演化，外包中蘊(yùn)含的國(guó)別風(fēng)險(xiǎn)因素值得關(guān)注。外包公司由于國(guó)家經(jīng)濟(jì)或者政治原因出現(xiàn)經(jīng)營(yíng)或者安全問題，風(fēng)險(xiǎn)難以控制。目前，銀行機(jī)構(gòu)普遍缺乏國(guó)別風(fēng)險(xiǎn)防范意識(shí)，對(duì)于IT 外包中蘊(yùn)含的國(guó)別風(fēng)險(xiǎn)識(shí)別與管理還基本處于空白狀態(tài)。在行業(yè)層面，尤其需要識(shí)別、監(jiān)測(cè)、評(píng)估具有高集中度、托管銀行機(jī)構(gòu)敏感數(shù)據(jù)和重要系統(tǒng)的外包服務(wù)的國(guó)別風(fēng)險(xiǎn)，以避免出現(xiàn)大面積服務(wù)中斷的系統(tǒng)性風(fēng)險(xiǎn)。三是外包依賴度較高，銀行業(yè)信息化自主發(fā)展能力受限。金融機(jī)構(gòu)過度依賴外部資源可能導(dǎo)致失去科技控制及創(chuàng)新的能力，最終影響業(yè)務(wù)創(chuàng)新與發(fā)展。銀行越是依賴外包服務(wù)，就越需要對(duì)外包風(fēng)險(xiǎn)進(jìn)行有效管理。很多中小銀行機(jī)構(gòu)將系統(tǒng)大范圍、深層次外包，但缺乏主動(dòng)管理和知識(shí)積累，只關(guān)注系統(tǒng)建設(shè)交付而忽視自身能力建設(shè)，長(zhǎng)此以往逐步喪失了對(duì)系統(tǒng)的控制權(quán)和議價(jià)能力。在監(jiān)管部門開展的外包風(fēng)險(xiǎn)專項(xiàng)檢查中也發(fā)現(xiàn)，銀行對(duì)外包公司服務(wù)質(zhì)量要求不明確，合約責(zé)任不清晰，談判與議價(jià)能力不足，業(yè)務(wù)系統(tǒng)開發(fā)受制，大量系統(tǒng)建設(shè)不得不長(zhǎng)期依賴單一供應(yīng)商。由于核心人員流失、關(guān)鍵流程缺陷以及內(nèi)外部協(xié)作效率低下等問題，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降或出現(xiàn)項(xiàng)目延期等問題，未達(dá)到初始的外包目標(biāo)，給金融機(jī)構(gòu)帶來損失。追求低成本高回報(bào)是金融業(yè)最基本的商業(yè)法則，在經(jīng)濟(jì)全球化的今天，科技外包已經(jīng)是金融業(yè)獲取市場(chǎng)、贏得競(jìng)爭(zhēng)的必然選擇。但如何控制好風(fēng)險(xiǎn)，尤其是防范系統(tǒng)性的外包風(fēng)險(xiǎn)則是當(dāng)前我們共同面臨的挑戰(zhàn)。IT 外包不同于一般意義上的商品購買，它使得IT 生產(chǎn)要素所有權(quán)、直接管理權(quán)和決策權(quán)向外包方轉(zhuǎn)移，模糊了銀行的管理邊界，外包方與銀行間的責(zé)、權(quán)、利難以清晰劃分，外包雙方共管的組織架構(gòu)也使得銀行原有信息科技治理過程發(fā)生結(jié)構(gòu)性變化，風(fēng)險(xiǎn)管理形態(tài)也隨之改變。另外，外包過程中外包服務(wù)商及其活動(dòng)向銀行原有組織、流程“內(nèi)嵌”，更加劇了風(fēng)險(xiǎn)的變異性、復(fù)雜度和管理難度。為應(yīng)對(duì)上述挑戰(zhàn)，銀行機(jī)構(gòu)需要及時(shí)調(diào)整思路，進(jìn)行戰(zhàn)略思考和治理研究，加強(qiáng)外包價(jià)值評(píng)估、關(guān)系管理和風(fēng)險(xiǎn)監(jiān)督控制體系建設(shè)，避免因引入外部資源和技術(shù)加大銀行的信息安全、系統(tǒng)可用性及合規(guī)威脅。從另一個(gè)角度看，外包活動(dòng)是銀行業(yè)信息科技服務(wù)體系的有機(jī)組成部分，也是銀行業(yè)科技風(fēng)險(xiǎn)監(jiān)管的重要范疇， 雖然外包企業(yè)不是銀行業(yè)監(jiān)管部門的直接監(jiān)管對(duì)象、不受相關(guān)法規(guī)約束， 但監(jiān)管責(zé)任不應(yīng)因科技活動(dòng)的主體、形式和地點(diǎn)的遷移而削弱， 尤其是在當(dāng)前外包行業(yè)整體不成熟、競(jìng)爭(zhēng)不充分，僅靠市場(chǎng)化治理機(jī)制難以有效控制風(fēng)險(xiǎn)的現(xiàn)實(shí)條件下， 監(jiān)管部門更應(yīng)積極探索、創(chuàng)新方法， 加強(qiáng)新形勢(shì)下監(jiān)管理論、工具和技術(shù)的研究，加強(qiáng)行業(yè)內(nèi)、外部協(xié)同，共同防范和化解IT 外包可能引發(fā)的行業(yè)性、系統(tǒng)性風(fēng)險(xiǎn)。三、國(guó)外監(jiān)管政策和實(shí)踐縱觀全球金融市場(chǎng)，各國(guó)金融監(jiān)管當(dāng)局都非常重視外包風(fēng)險(xiǎn)監(jiān)管，美國(guó)政府出臺(tái)了一系列指引、辦法，如美國(guó)聯(lián)邦金融機(jī)構(gòu)監(jiān)管委員會(huì)(FFIEC)發(fā)布技術(shù)服務(wù)外包風(fēng)險(xiǎn)管理指引、技術(shù)服務(wù)外包IT檢查手冊(cè);美國(guó)貨幣監(jiān)理署(OCC)發(fā)布第三方關(guān)系：風(fēng)險(xiǎn)管理原則、對(duì)技術(shù)外包商操作風(fēng)險(xiǎn)的管理工具: 服務(wù)水平協(xié)議;美國(guó)聯(lián)邦存款保險(xiǎn)公司(FDIC) 發(fā)布管理多方外包商的技術(shù)等，對(duì)銀行業(yè)務(wù)、技術(shù)、系統(tǒng)、服務(wù)外包業(yè)務(wù)及銀行在各種外包關(guān)系中應(yīng)承擔(dān)的風(fēng)險(xiǎn)管理責(zé)任等作出明確規(guī)定?！胺?wù)外包，責(zé)任不外包”是美國(guó)監(jiān)管機(jī)構(gòu)的重要監(jiān)管理念，即金融機(jī)構(gòu)可將服務(wù)外包給TSP，但風(fēng)險(xiǎn)管理的責(zé)任依舊由金融機(jī)構(gòu)自身承擔(dān)。根據(jù)美國(guó)銀行服務(wù)公司法案(BankService Company Act)要求，美國(guó)的銀行監(jiān)管機(jī)構(gòu)有對(duì)TSP 的監(jiān)管權(quán)力，在對(duì)金融機(jī)構(gòu)的監(jiān)督檢查中，監(jiān)管者重點(diǎn)檢查其選擇TSP 的流程、與TSP 簽署的協(xié)議、外包項(xiàng)目的管理等內(nèi)容，以確保銀行在使用TSP過程中有效地實(shí)施了風(fēng)險(xiǎn)控制。當(dāng)某一服務(wù)商為多個(gè)受不同監(jiān)管當(dāng)局監(jiān)管的銀行機(jī)構(gòu)處理業(yè)務(wù)活動(dòng)時(shí)，由多家監(jiān)管機(jī)構(gòu)對(duì)服務(wù)商實(shí)施聯(lián)合檢查。FFIEC 采用統(tǒng)一的評(píng)級(jí)體系URSIT 對(duì)服務(wù)商及受監(jiān)管實(shí)體的IT相關(guān)風(fēng)險(xiǎn)進(jìn)行評(píng)估及評(píng)級(jí)。根據(jù)外包服務(wù)商的風(fēng)險(xiǎn)狀況，監(jiān)管當(dāng)局對(duì)其實(shí)施周期為1836 個(gè)月的檢查，目前已對(duì)約160 個(gè)外包服務(wù)商進(jìn)行了跟蹤檢查，其中有130 個(gè)服務(wù)商接受定期檢查。隨著TSP 不斷壯大，美國(guó)已出現(xiàn)了同時(shí)為多達(dá)幾十家乃至上百家銀行機(jī)構(gòu)提供服務(wù)的大型TSP，即MDPS(目前美國(guó)有25 家)，技術(shù)風(fēng)險(xiǎn)也因此集中于此類外包服務(wù)商，對(duì)MDPS 的監(jiān)管由FFIEC 直接負(fù)責(zé)。除美國(guó)外，加拿大、澳大利亞、歐盟、新加坡、香港等國(guó)家和地區(qū)都針對(duì)外包業(yè)務(wù)制定了監(jiān)管指引，規(guī)范外包行為，這些指引對(duì)銀行董事會(huì)和管理層的責(zé)任、外部審計(jì)、合同及服務(wù)水平標(biāo)準(zhǔn)、風(fēng)險(xiǎn)管理、服務(wù)商評(píng)估等均作了詳細(xì)規(guī)定。四、科技外包風(fēng)險(xiǎn)監(jiān)管指引解讀針對(duì)金融外包發(fā)展形勢(shì)和風(fēng)險(xiǎn)上升態(tài)勢(shì)，2010 年銀監(jiān)會(huì)發(fā)布銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引，全面規(guī)范銀行業(yè)金融機(jī)構(gòu)外包行為，此前發(fā)布的商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引中也對(duì)外包合同管理、服務(wù)水平、數(shù)據(jù)保護(hù)提出了明確要求。今年，結(jié)合外包最新發(fā)展態(tài)勢(shì)和IT 外包風(fēng)險(xiǎn)特點(diǎn)，銀監(jiān)會(huì)印發(fā)了銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引(以下簡(jiǎn)稱外包指引)，從加強(qiáng)金融機(jī)構(gòu)對(duì)外包風(fēng)險(xiǎn)控制的角度，明確了金融機(jī)構(gòu)建立信息科技外包戰(zhàn)略和風(fēng)險(xiǎn)管理體系的要求，指導(dǎo)銀行機(jī)構(gòu)加強(qiáng)外包風(fēng)險(xiǎn)評(píng)估、供應(yīng)商盡職調(diào)查、合同和外包過程監(jiān)控，并著重強(qiáng)調(diào)對(duì)重要外包服務(wù)的管理。同時(shí)，通過銀行業(yè)金融機(jī)構(gòu)要求外包服務(wù)商建立規(guī)范化的科技服務(wù)管理和內(nèi)部控制體系，推動(dòng)銀行業(yè)外包服務(wù)市場(chǎng)的規(guī)范化;加強(qiáng)外包風(fēng)險(xiǎn)集中度監(jiān)管，防控行業(yè)系統(tǒng)性風(fēng)險(xiǎn)。一是提出外包管理戰(zhàn)略和基本原則，推動(dòng)銀行開展外包風(fēng)險(xiǎn)管理體系建設(shè)。外包指引明確了IT外包活動(dòng)的基本原則，要求銀行選擇外包服務(wù)時(shí)，應(yīng)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向，明確外包管理戰(zhàn)略，通過明確不能外包的職能及自身資源管理、對(duì)外包商的關(guān)系管理、分級(jí)管理，在外包中加強(qiáng)知識(shí)轉(zhuǎn)移和技能提升，實(shí)現(xiàn)銀行信息科技的主動(dòng)管理和自身實(shí)力提升。銀行在外包前應(yīng)建立外包決策的具體政策和標(biāo)準(zhǔn)， 根據(jù)外包業(yè)務(wù)在經(jīng)營(yíng)戰(zhàn)略中承擔(dān)的角色以及外包可能對(duì)銀行造成的影響，審慎開展外包。對(duì)外包風(fēng)險(xiǎn)，銀行應(yīng)當(dāng)進(jìn)行專門的管理并全面覆蓋外包服務(wù)機(jī)構(gòu)， 要建立外包風(fēng)險(xiǎn)管理體系， 董事會(huì)和高管層要承擔(dān)責(zé)任， 要在管理結(jié)構(gòu)上為外包設(shè)計(jì)必要的監(jiān)督、控制機(jī)制，建立覆蓋外包雙方的跨結(jié)構(gòu)管理團(tuán)隊(duì)， 加強(qiáng)協(xié)調(diào)， 強(qiáng)化對(duì)外包機(jī)構(gòu)的風(fēng)險(xiǎn)管理約束。二是明確對(duì)外包活動(dòng)全流程的風(fēng)險(xiǎn)管控要求，并強(qiáng)調(diào)信息安全管理。外包指引明確了銀行的風(fēng)險(xiǎn)管理責(zé)任，要求銀行改變以往“重采購、輕管理”、“重業(yè)務(wù)、輕風(fēng)險(xiǎn)”的粗放式外包管理模式， 將風(fēng)險(xiǎn)管控措施落實(shí)在外包實(shí)施的前、中、后各個(gè)環(huán)節(jié)中， 包括外包風(fēng)險(xiǎn)評(píng)估與準(zhǔn)入、供應(yīng)商盡職調(diào)查、外包合同及要求、外包服務(wù)安全管理、外包服務(wù)監(jiān)控與評(píng)價(jià)、外包服務(wù)中斷與終止的全部流程。信息是金融業(yè)最重要的資產(chǎn)，外包指引要求銀行重點(diǎn)加強(qiáng)對(duì)信息資產(chǎn)的安全保護(hù)， 對(duì)外包商的介入活動(dòng)過程、對(duì)非駐場(chǎng)外包建立安全管理基準(zhǔn)，加強(qiáng)外包檢查，防范信息泄露風(fēng)險(xiǎn)。同時(shí)， 對(duì)于母行( 集團(tuán)) 外包、跨境外包等特殊風(fēng)險(xiǎn)，要求關(guān)聯(lián)外包的發(fā)包方掌握外包控制主動(dòng)權(quán)，保持外包決策和管理的獨(dú)立性，不因關(guān)聯(lián)外包關(guān)系而降低風(fēng)險(xiǎn)管控要求，加強(qiáng)國(guó)別風(fēng)險(xiǎn)管理，鼓勵(lì)中小型銀行選擇風(fēng)險(xiǎn)管控能力相對(duì)較好的同業(yè)托管機(jī)構(gòu)作為外包服務(wù)提供商。三是加強(qiáng)重要外包服務(wù)管理，降低外包集中度，強(qiáng)化系統(tǒng)性外包風(fēng)險(xiǎn)防范。外包指引突出強(qiáng)調(diào)了包括商業(yè)銀行和監(jiān)管部門兩道防線的系統(tǒng)性外包風(fēng)險(xiǎn)管理體系構(gòu)建。作為外包風(fēng)險(xiǎn)管理的的第一道防線也是第一責(zé)任人，商業(yè)銀行要識(shí)別本銀行高依賴度、高集中度的外包服務(wù)及其供應(yīng)商，并采取增強(qiáng)性管理措施，主要包括嚴(yán)格的準(zhǔn)入，建立信息收集機(jī)制，對(duì)外包服務(wù)商財(cái)務(wù)、內(nèi)控、安全管理情況持續(xù)監(jiān)控，增強(qiáng)供應(yīng)商監(jiān)督頻率與檢查力度，并采取主動(dòng)的外包集中度分散活動(dòng)，引入必要的備份和競(jìng)爭(zhēng)，提高自主研發(fā)或運(yùn)行能力，減少對(duì)外包服務(wù)提供商的依賴。作為外包風(fēng)險(xiǎn)管理的的第二道防線，監(jiān)管部門將聯(lián)合銀行機(jī)構(gòu)，加強(qiáng)對(duì)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)(系統(tǒng)重要性外包服務(wù)機(jī)構(gòu))的風(fēng)險(xiǎn)防控，明確承擔(dān)核心系統(tǒng)集中運(yùn)營(yíng)服務(wù)、集中性客戶數(shù)據(jù)處理、數(shù)據(jù)中心集中運(yùn)營(yíng)、銀行間交易系統(tǒng)轉(zhuǎn)接等銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)的管理基準(zhǔn)和條件，建立聯(lián)合監(jiān)督檢查工作平臺(tái)，組織開展對(duì)重點(diǎn)外包服務(wù)的持續(xù)性風(fēng)險(xiǎn)管理、檢查與監(jiān)督，實(shí)施對(duì)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)更嚴(yán)格的管理標(biāo)準(zhǔn)(信息安全管理、業(yè)務(wù)連續(xù)性管理、運(yùn)行管理、技術(shù)保障水平)，防范銀行業(yè)系統(tǒng)性外包風(fēng)險(xiǎn);建立風(fēng)險(xiǎn)處置機(jī)制，加強(qiáng)