警惕村镇银行IT外包风险

【摘要】随着村镇银行的批量诞生以及业务的快速发展，IT外包成为缩短其筹备周期、增强核心竞争力的一项战略选择，本文以金融服务外包理论为切入点，结合国内外金融机构IT外包的典型案例，在对目前我国村镇银行IT外包业务发展趋势进行分析的基础上，阐述了村镇银行IT外包的现状并对其风险进行了分析，提出了相应的风险控制策略和监管措施。

【关键词】IT外包 村镇银行 风险

近年来，村镇银行发展迅速，从尽可能缩短筹备周期、尽快开业的角度考虑，村镇银行采用IT外包形式，解决了巨大的IT投入与有限的注册资本之间的矛盾以及专业人员不足的问题，从而将关注点放到提高核心业务竞争力上。但是，随着村镇银行的批量诞生以及业务的快速发展，其IT外包存在的风险逐步显现。

一、目前村镇银行IT外包的三种常见模式

（一）外包给发起行

即村镇银行将发起行已有IT系统“为我所用”，使用发起行的机房和大部分设备，并由发起行进行系统维护。村镇银行与发起行签订外包服务合同，支付运维护费用。这是目前村镇银行IT建设采用较为普遍的模式，该模式下，发起行系统相对成熟，可以实现快速上线，同时能在村镇银行筹建时与各项筹建工作保持步调上的一致，系统初建投入较低。

（二）外包给其他金融机构

该模式与模式一类似，不同的是为村镇银行提供IT外包服务的为非发起行金融机构，但系统初建费用相对较高，目前较常见的是兴业银行银银合作平台业务。

（三）外包给第三方IT运营公司

即村镇银行将IT系统外包给第三方IT运营公司。IT运营公司拥有一套原型系统，根据村镇银行的具体需求，对该原型系统进行二次开发，已满足其需要。在系统运维上，村镇银行一般租用IT运营公司的机房以及硬件设备，由IT运营公司负责运行维护。这种模式下，村镇银行可按需求定制系统，支付运维费用，但在系统初建时投入相对较大，但能个性需求能较为有效地满足。

二、村镇银行IT外包风险

无论采用哪种模式，村镇银行将IT系统整体外包，自己只负责营业网点柜面的维护，无需购买主机设备，无需运维人员，看似省钱、省力、省心，但是这也意味着将自己的“心脏”交由他人，其在数据安全、业务连续、自主发展等方面面临的风险不容忽视，人员道德风险隐患也更为突出。

（一）数据安全风险

系统整体外包的村镇银行，其核心系统数据库将存放在外包服务方，其日间业务处理也由外包服务方负责，这无疑面临着核心数据泄露的风险。

（二）业务中断风险

由于外包服务方与村镇银行通常处于异地，使得村镇银行核心数据距经营主体较远，系统的数据处理能力和抗压能力能否符合业务发展的需要难以确定，一旦外包服务方的中心数据库出现问题或网络出现，能否在第一时间迅速解决也难以保证，使得村镇银行面临业务中断的风险。

（三）自主发展风险

对于将系统外包给发起行或其他金融机构的村镇银行，其IT外包还将带来自主发展的风险。由于系统依赖于其他金融机构，其金融产品的研发必然受制于系统的约束，不能完全脱离发起行或提供外包服务的金融机构的影响，制约村镇银行的自主发展。

（四）人员道德风险

由于运维人员隶属于外包服务方，村镇银行在运维人员的管控方面常常力不能及，特别是IT运营公司的人员稳定性相对较弱，使得道德风险更为突出。

三、村镇银行IT外包带来的行业影响

根据上述三种外包模式，随着村镇银行批量产生，村镇银行IT外包也会带来一定的行业影响。

（一）风险扩散

对于外包给发起行的情况，目前村镇银行的发起行除国有大型银行和全国性的股份制商业银行外，还有一部分城市商业银行和农村商业银行，在为村镇银行提供外包服务前，此类银行业金融机构，其经营通常仅限于一个地市或省级范围内，一旦发生IT风险，影响面较小，但若承担了村镇银行的IT外包服务，无疑扩大了IT风险的影响面。对于外包给其他金融机构或IT运营公司的情况，目前提供IT外包服务的金融机构和IT运营公司较为集中，村镇银行可选择的范围较小，存在一家机构或公司为多家村镇银行提供IT外包服务的情况，一旦提供外包服务的机构或公司出现IT风险，其影响范围也更广。

（二）以IT为制约的行业竞争

外包给金融机构的村镇银行其业务发展不能脱离为其提供外包服务的金融机构的影响，随着村镇银行的发展壮大，其行业竞争力必然受制于其IT的不能自主，且为村镇银行提供外包服务的金融机构也可能会存在以IT制约竞争对手的情况。而对于承担村镇银行IT外包服务的运营公司来说，其负责多家村镇银行的系统开发、运维，掌握有多家村镇银行的产品情况，一旦发生商业竞争，无法保证村镇银行的产品安全，同时可能面临版权法律问题。

（三）事故的权责纷争

虽然每一家村镇银行在与外包服务方签订外包合同时，都会明确的权责。但若多家村镇银行选择一家外包服务方时，如出现IT事故，其系统恢复的优先次序、赔偿的先后顺序无法保证。尤其是在赔偿方面，目前在违约方的责任追究等方面缺乏一个合理的行业规范，一些小的IT运营公司，其自身的赔偿能力可能无法满足多家村镇银行的赔偿要求，且这些公司不受监管，最终风险和损失可能会由村镇银行自身承担;而提供外包服务的金融机构可能面临支付多家村镇银行的大额赔偿，对其经营造成影响。

四、相关建议

从村镇银行自身来讲，要防范IT外包风险，需要强化风险管理意识、重视IT战略规划。主要有以下建议：

（一）强化风险意识

就是树立“系统外包不等于管理外包，更不等于风险外包”。在外包活动整个周期内，制定外包风险管理策略，明确外包风险管理职责。

（二）重视IT战略规划

村镇银行在发展过程中，合理的IT战略规划对其IT建设和风险防范起到关键作用。明确的战略规划，是决策是否采用外包、采用何种形式的外包、外包的内容、外包服务方如何选择的重要依据。

（三）规范外包活动管理

从外包服务方的选择、外包合同的签订、外包活动的实施以及实施后的管理等方面确定风险管理策略。在外包合同中清晰指出外包服务的范围与职责，强调外包商对外包资源的安全性、保密性以及对数据备份和交易记录保护的责任，详细描述基础服务的费用及其计算，并明确任何与合同规定条件不符的费用变化，做出对增加费用的限制;在外包项目的实施中，可组织专门团队或聘请外部监理对其活动进度、安全情况等进行监督、评估。

（四）把好准入关口

银行业监管部门在村镇银行的准入工作中，要充分考虑其IT风险，在其他金融机构开展系统托管业务工作中，强化准入管理。对于整体外包的情况，一般签约时间都较长，对IT外包服务方的依赖性也比较强，因此也建议由相关部门对IT外包服务方，特别是为银行业机构提供IT外包服务的运营公司，建立准入管理制度。

（五）评价体系建设

当前国内商业银行外包商评级体系尚不完善，无法有效对外包商的技术实力、经营状况、社会信誉等因素进行综合评定，以测定外包商资质等级，故在外包商的选择工作中，村镇银行需承担大量的选择成本。因此需要在行业范围内加强外包服务评价体系的建设工作。