论中小银行信息技术外包自主可控

曾晨

摘 要：近年来，信息技术外包已成为中小银行信息化建设的重要手段，从而其信息技术外包自主可控是中小银行信息化建设的必要措施。其内容包括信息化建设过程自主可控、信息技术外包成果自主可控和信息系统运维自主可控。为此，必须统一思想认识，把自主可控摆在信息技术外包过程的战略位置;创建三层监控体制，努力构筑信息技术外包自主可控平台;完善相关制度，切实构建信息技术外包自主可控机制。

关键词：中小银行;信息技术外包;自主可控

中图分类号：F832.4 文献标识码：A 文章编号：1005-6432（2022）04-0040-02

DOI：10.13939/j.cnki.zgsc.2022.04.040

近年来，信息技术外包已成为中小银行信息化建设的重要手段[1]。诚然，信息技术外包可以节省成本，增加收益，但由于外包合作双方的信息不对称等原因，也存在诸多风险[2-3]。国家银监会主席尚福林在一次重要会议上明确指出，银行业信息科技发展必须做到自主可控[4]。笔者以为，这为银行在信息技术外包过程中加强风险防范指明了方向。文章就此展开论述。

1 信息技术外包自主可控的概念和文章论题

关于信息技术外包自主可控，学界在这方面的研究，目前限于如下两个层面。其一，国家信息安全战略层面。学者们认为，自主可控是信息安全的“本质”[5] ;信息技术自主可控是国家信息安全战略的重要举措[6]。其二，信息技术应用层面。例如“电子政务系统自主可控的研究与实践”[7]“检察院信息安全系统的自主可控”[8]“医疗卫生行业信息系统自主可控”[9]、一般办公软件的“自主可控”等研究[10]。通过上述文献可知，所谓“自主”，指单位和企业信息化建设使用的硬件和软件国产化;所谓“可控”，是单位和企业信息系统的安全可控（例如防范黑客攻击），是指单位和企業通过信息化建设中推行硬件和软件国产化，从而达到信息系统的安全可控的目的。

文章所要研究的自主可控是在上述两个层面之外的第三个层面，目前学界尚未论及。这个层面的自主可控与信息技术外包过程相联系，指的是需求企业在外包过程中所采取的行为策略。其中，所谓自主，指需求企业在与信息技术供应商合作进行信息化建设的过程中把握主导权;所谓可控，指通过对整个信息技术外包过程的全方位掌控，达到信息化建设进程可控、信息化建设质量可控、信息化建设成果可控，以及信息技术外包过程的风险可控，由此从根本上摆脱对信息技术供应商的过度依赖，保证企业信息化建设顺利、安全和可持续进行。[11]

2 中小银行信息技术外包自主可控的主要内容

第一，信息化建设过程自主可控。首先，要做到信息化建设规划自主可控。规划是对信息化建设的方向性决策，对于整个信息化建设发展起指导性作用，直接影响具体项目的建设与实施。如果连信息化建设规划都要依赖信息技术供应商，那就谈不上自主可控了。其次，要做到信息技术文档自主可控。技术文档是信息技术项目的灵魂，没有文档的项目注定是失败的项目[12]。在这方面的具体要求是：一要掌控文档的规范性，文档规范应由银行为主编写，并要求供应商所编写的文档，严格执行，保证文档的针对性、正确性、准确性、完整性、简洁性、统一性、易读性;二要掌控文档的技术性，以银行为主编写的文档规范，对文档要有相关技术要求，从而使供应商提供的文档所涉的方案能满足业务的需求，所设计的系统具备高可用性及可扩展性。最后，要做到信息化技术流程自主可控，主要是保证开发、测试上线的标准化，确保项目各环节严格按设计实施。

第二，信息技术外包成果自主可控。首先，要收集整理相关技术成果。在外包过程中会产生各种阶段性成果，最初大都散落在供应商的技术人员手里，需要银行科技人员收集整理，其中包括对各种技术文档的收集整理，对系统源码的收集整理，各种技术标准和管理制度的收集整理。其次，银行要组织本行科技人员进行学习。认真学习贯穿在成果中的技术细节、原理、技术标准，以及运行维护的制度与管理规范，做到“知其然”和“知其所以然”，从而切实提升银行科技人员的信息化技术能力。最后，还要组织本行信息化建设管理层认真学习外包商成功的管理制度和管理经验，从而提升银行信息化建设管理水平。

第三，信息系统运维自主可控。信息技术外包成果装机运行后，需要在运行中进行维护和管理。在这方面，不能全盘交给外包商负责了事。首先，要明确主次。运维必须以银行科技人员为主，信息技术供应商协助，从而做到一旦供应商撤离，银行科技人员能够自主掌控。其次，掌控运维流程。包括流程的制定、违规处罚、对流程执行的监督审查、对流程的持续优化等，银行都要做到自主可控。最后，掌控运维保障体系及其持续完善。要督促信息技术供应商完善运维保障体系，其中包括机房建设管理、容灾备份管理、网络管理、终端维护管理的持续改善，以及应急切换演练制度、突发事故处理机制的完善等，组织银行科技人员参与并掌控。

3 中小银行实现信息技术外包自主可控必须采取的主要措施

3.1 统一思想认识，把自主可控摆在信息技术外包过程的战略位置

思想是行为的先导。要实现信息技术外包的自主可控，首先要切实提高认识。一是要深入认识银行业信息化建设的特点，坚持把风险控制当作银行业信息化建设必须重视的课题。二是要深入认识银行信息技术外包实现自主可控的必要性和可能性，从而把自主可控当作银行信息化建设的战略，当作信息技术外包过程的纲领，贯彻到各项具体工作中。三是要深入认识银行信息技术外包必须实施自主可控的重点环节和主要内容，从而把自主可控的工作落到实处。

3.2 创建三层监控体制，努力构筑信息技术外包自主可控平台

自主，必须有人去做主;可控，必须有人去施控。实现自主可控，关键是通过体制建设，构筑完整有效的自主可控平台。通过对信息技术外包过程进行分析，笔者以为，必须创建宏观、中观和微观三层监控体制，由此构筑信息技术外包自主可控平台。

首先，建立并完善信息化建设管理委员会。这是宏观层面的监控体制。该管理委员会职责是：制定和不断完善信息化战略规划，对信息化建设的重大问题做出决策，审定信息技术外包实施方案，审议和批准信息技术外包合约，完善信息技术外包自主可控的体制机制。总之，管理委员会要在总体上对信息化建设和实施信息技术外包自主可控战略负总责。

其次，创建信息技术外包监控专家组。这是中观层面的监控体制。监控专家组，由银行相关部门的技术骨干组成。专家组在管理委员会领导下，具体负责信息技术外包的谈判、签约、验收、评价等工作。显然，供应商是信息技术专家。据了解，目前许多银行在信息技术外包过程中，与供应商谈判、签约、验收、评价等工作，均由信息化建设管理委员会包揽。然而，很明显，信息化建设管理委员会的成员大多是领导，事务性工作繁多，而且一般不具有信息科技专业知识，这样不能达到自主可控的要求。为改变这种状况，拟在管理委员会领导下，组建由相关部门技术骨干参与的信息技术外包监控专家组，由此实现决策和执行的分工，即重大问题由管理委员会决策，具体工作由专家组负责实施。这样，必将增强在信息技术外包过程中的监控能力，使信息技术外包真正实现自主可控。

最后，创建信息技术外包银行方项目经理体制。这是微观层面的监控体制。控制信息技术外包项目，是实现信息技术外包自主可控的基础。凡信息技术外包的具体项目，不能仅有供应商派出的项目经理，银行方也应有人参与项目工作，且该人员不能是对项目的决策无职无权的普通项目人员，这样不能起到监控作用，必须是在项目建设团队中有实际决策稽查权的银行方项目经理。其实，银行的信息技术外包本质上是银行与供应商的合作，银行既有权力也有责任派出专业骨干充当银行方项目经理。其主要职责是：监督供应商严格按照合约的规定保质保量完成项目，掌控由供应商完成的信息技术外包成果。这样，银行方才能切实摆脱对供应商的过度依赖风险，从而使信息技术外包自主可控战略真正落到实处。

3.3 完善相关制度，切实构建信息技术外包自主可控机制

制度是体制顺畅运行的保证。有了一个好的体制，如果没有相应的制度，那么，体制也不可能真正发挥作用。因此，必须完善相关制度，构建信息技术外包自主可控机制。制度是多方面，但最重要的是如下三个方面：一是各种体制的运行制度，包括管理委员会、监控专家组和项目经理，都要明确其成员的任职资格和运行规则、程序，使之有效有序运转。二是各种工作制度。包括文档制度、与供应商协商沟通制度、项目成果验收和评价制度等，从而保证信息化建设和信息技术外包成果的质量。三是相关的奖惩制度。尤其是对监控专家组成员和项目经理，要明确各自的职责、任务和工作标准，对有贡献者给予奖励，对因工作失误造成损失者给予处罚。总之，要通过这些制度建设，切实形成本行信息技术外包自主可控机制。

参考文献：

[1]李响.IT 外包成为中小银行信息化的必由之路[J].金卡工程，2007（3）.

[2]洪岢.银行业IT外包的分析与探讨[J].中国农业银行武汉培训学院学报，2010（6）.

[3]付森.论IT 战略下外包决策的动力与风险[J].中国管理信息化，2013（3）.

[4]尚福林.在中国银行业信息科技风险管理2012年会暨银行业信息科技风险管理高层指导委员会全体会议上的讲话[J].金融科技治理与研究，2013（1）.

[5]倪光南.信息安全“本质”是自主可控[J].中国经济和信息化，2013（5）.

[6]蔡红.全力构筑自主可控的信息安全保障体系[J].信息安全与通信保密，2004（5）.

[7]梁明君，张莉莉.电子政务系统自主可控的研究与实践[J].信息网络安全，2010（5）.

[8]何月.做好基层检察院信息安全系统的自主可控[J].信息网络安全，2010（5）.

[9]王晖.医疗卫生行业信息系统自主可控的需求与实践[J].信息网络安全，2010（5）.

[10]胡雪琴.办公软件“自主可控”才能保障信息安全[J].中国经济周刊，2008（45）.

[11]李政.银行 IT 风险管理和信息安全发展概況[J].计算机安全，2011（3）.

[12]李兵.浅谈IT软件系统建设中的项目文档实践[J].科技传播，2010（20）.

3922501908293