近期闹得沸沸扬扬的“棱镜事件”对地市级商业银行开展软件外包风险管理具有很强的警示作用。目前，地市级商业银行体系对软件外包依赖性较强，尤其是城商行、村镇地市级商业银行等中小型金融机构。部分村镇地市级商业银行甚至将核心业务系统等关键系统软件外包给同业机构或第三方公司。这其中蕴藏的诸如软件外包服务人员窃取敏感信息、非授权访问、信息泄露等风险隐患，将会对地市级商业银行的信用、名誉等带来致命的打击。

软件外包

近些年来频繁发生的软件外包风险事件，威胁着地市级商业银行信息科技的稳健运营。地市级商业银行在软件外包风险管理中需要从以下方面努力，全面强化软件外包风险监测预警和加强信息科技风险管理能力建设，提升软件外包管理水平。

加大软件外包公司资质评估力度，提高软件外包服务门槛。目前，地市级商业银行信息系统的复杂度得到了前所未有的提升，这也是导致对软件外包依赖性提高的影响因素。在IT价值链中，涉及到众多软件外包公司，这些软件软件外包公司游走在监管部门的监管范围内，加剧了软件外包风险。因此，地市级商业银行要加大对软件外包公司资质评估力度，对服务提供商管理能力和行业地位、财务稳健性、经营声誉和企业文化、技术实力和服务质量、突发事件应对能力和对地市级商业银行业的熟悉程度等进行全面调查，从而提高软件外包公司门槛，严防软件外包风险。

加大软件外包服务和质量评价管理力度，积极化解软件外包风险。软件外包活动的复杂性和高风险性也决定了在软件外包实施过程中，地市级商业银行应对服务提供商的资质水平、履约情况和工作能力等进行持续有效的监督和定期评估，确保其技术实力能够与其资质履历相符合。同时，地市级商业银行可以结合自身发展情况，建立软件外包风险动态监测体系，实现对软件外包项目的风险状况评价。加强软件外包服务人员评价管理，地市级商业银行可以探索与软件外包公司共同管理软件外包服务人员的模式，促进软件外包服务人员管理的规范性和有效性。

创新软件外包服务管理措施，降低软件外包风险。地市级商业银行有必要通过创新软件外包服务管理的方式实现对软件外包公司和软件外包活动的管理和监督。一是加强软件外包合同管理，对软件外包过程中的阶段性和最终成果及时考评。由于地市级商业银行可能在专业技术和管理经验等方面存在着不足，可以考虑引入专业的IT监理机构实现对软件外包服务的监督、考核、控制和协调，确保软件外包项目的成功实施。二是建立软件外包服务动态管理体系。如安排软件外包公司和业务部门对服务水平协议的完成情况进行定期审查。定期或不定期评估软件外包公司的财务稳定性和专业经验，考查其设施和能力是否足以承担相应的责任并要求软件外包公司定期通报软件外包活动中的有关事宜以及软件外包活动的突发性事件。三是建立软件外包公司市场信用机制。加大对软件外包公司履约情况、信用状况、专业经验等方面的全面审计和评估力度。通过设定的定性和定量的考核指标，评估软件外包公司为地市级商业银行及其相关客户提供服务的充分性和及时性。

建立沟通、交流、反馈机制，扎实推进科技软件外包管理。地市级商业银行一方面可以建立涵盖内部审计、外部审计、科技部门、业务部门、风险管理部门等在内的信息科技风险管理体系，密切部门间软件外包风险信息沟通交流和协调合作，从而加强对信息科技风险管理的监督制约，及时识别软件外包风险，扎实推动软件外包风险管理；另一方面可以建立涵盖人民地市级商业银行、监管部门、软件外包公司等在内的全方位的风险管理体系，加大软件外包风险信息共享、互联互通力度，避免软件外包风险信息不对称的现象发生。