作者 | 源媒汇 童画 

为了加快数字化转型，做好金融“五篇大文章”，金融机构开始加大信息科技（IT）服务项目的对外采购力度。

天眼查信息显示，3月6日，贵州银行发布“应用软件开发服务采购项目（标签管理系统）招标采购公告”，投标文件递交的截止时间是2025年3月27日。

截图来源于天眼查

然而，信息科技服务项目的大量外包也埋下了隐患。2025年1月，贵州银行曾以“系统缺陷导致商业承兑汇票风险事件”为由，将上海睿民互联网科技有限公司（下称“上海睿民”）告上仲裁庭，索赔金额高达5365.86万元。

这场纠纷也抛给业内一个难题：谁应该对金融机构的信息科技项目风险负责？

针对与上海睿民的纠纷一事，3月10日，贵州银行在回复源媒汇询问时表示，“该案件尚在审理过程中，根据相关要求，我司不能透露相关信息。”

 超5000万元纠纷原委

贵州银行与上海睿民的超5000万元纠纷起源，还需追溯到“新一代票据业务系统”的出现。

2021年5月，上海票据交易所发布了《新一代票据业务系统业务方案>和<新一代票据业务系统直连接口规范V1.0>》通知，拟对电子商业汇票系统和中国票据交易系统进行全面优化升级，建设承载票据全生命周期业务功能的“新一代票据业务系统”。

在此背景下，包括贵州银行在内的诸多金融机构，开始公开征集IT技术供应商，来完成“新一代票据业务系统”的建设。

2022年4月7日，贵州银行对外发布了“新一代票据业务系统项目供应商征集公告”，要求供应商“根据业务发展需要，在新票据系统改造完成后实现线上承兑、线上秒贴等产品的迭代升级”。

截图来源于天眼查

源媒汇注意到，贵州银行彼时的公告中，对于“潜在供应商资格要求”，包括“具有票交所新一代系统建设经验，参与过票交所新一代系统建设，目前已签约正在实施的首批和第一批新一代系统建设案例不少于5家”等条件。

彼时，上海睿民至少已经签下了苏州农商银行、广州银行、河北银行、郑州银行、南方电网数字电网研究院等多家机构。

五个多月后，即2022年9月29日，上海睿民与贵州银行签署《贵州银行IT技术开发服务采购合同（新一代票据业务系统项目）》，合同金额270万元。2023年4月8日，经过贵州银行双重测试验收，新一代票据业务系统项目完成投产。

谁曾想，在安全运行18个月之后，即2024年10月17日，贵州银行发生了一起商业承兑汇票风险事件。贵州银行认为，是上海睿民开发的产品存在缺陷，导致其蒙受损失，应当承担赔偿责任，赔偿金额约为5365.86万元。

 系统缺陷还是票据诈骗？

网上流传的一份上海睿民出具的《贵州银行票据系统商票追索清偿申请漏洞情况说明》显示，贵州银行的票据签约客户——贵州睿胜劳务有限公司（下称“贵州睿胜”），在2024年10月17日开立商业承兑汇票后，收款人当日即发起非拒付追索。系统在未扣划出票人账户资金的情况下，向票交所转发同意清偿报文，资金最终被清算到持票人在不同银行的客户账户，导致贵州银行出现备付金的资金损失。

这次纠纷的焦点在于：谁应该为这起商业承兑汇票风险事件负责？

2022年4月7日，贵州银行曾对“新一代票据业务系统项目”的功能要求提出了9点要求，包括“统一提示付款流程；新系统上线需实现线上承兑、秒贴产品等功能”等。如果这些功能都达标，理论上是不会出现上述票据风险事件的。

因此，贵州银行认为，系统存在设计缺陷，未实现资金扣划与清算的严格同步，应归咎于上海睿民。但后者反驳称，系统已稳定运行18个月，且被30余家金融机构采用，此前从未发生类似问题，并强调项目经过贵州银行双重测试验收。

在中标成为贵州银行新一代票据业务系统项目供应商前后，上海睿民确实还分别中标，成为郑州银行、广州银行、山西银行、江阴农商银行、国投财务有限公司等金融机构的新一代票据业务系统项目供应商，且至今未爆出风险。

争议焦点还指向贵州睿胜。这家成立于2024年9月的企业，实缴资本为0元，且经营状态为“歇业”。异常的交易时点（出票当日追索）与企业背景，令人怀疑是否存在票据诈骗。

 信息科技外包问题凸显

此次纠纷折射出金融机构IT外包的共性难题。

事实上，贵州银行近年来信息科技外包规模显著扩大，2022年以来，百万级项目频现，如1217万元的“企业级业务架构建设”、787万元的“服务器采购”等。

贵州银行2025年以来披露的招标信息有19条，其中涉及信息科技外包的有9条，例如“计算机设备和软件租赁服务采购项目（资金业务管理系统及接口维护服务采购项目）”、“数据处理服务项目（2025年-2027年个人税务数据接入及运维）招标采购”、“应用软件开发服务采购项目（标签管理系统）招标采购”等。

其中“百万元级”外部采购的信息科技项目，包括210万元的“应用软件开发服务采购项目”、286万元的“数据处理服务项目”。

然而，外包项目激增与监管能力不匹配的问题逐渐凸显。

根据原银保监会（现国家金融监管总局）2021年发布的《信息科技外包风险监管办法》，金融机构不得外包管理责任与网络安全主体责任，且需加强事前控制与事中监督。但前述贵州银行案例中，系统验收后仍出现重大漏洞，暴露出测试环节的不足。此外，合同金额与潜在风险不匹配（270万元项目引发超5000万元索赔），也凸显权责界定模糊的弊端。

此次纠纷的特殊性在于，系统缺陷与异常交易行为交织，责任界定复杂。若归责于开发商，可能打击金融机构外包积极性；若归咎于银行内控，则需重新审视信息科技外包项目的全周期管理。

有了前车之鉴，对于2025年“百万元级”外部采购的信息科技项目，贵州银行又该如何加强管控呢？如何在创新与安全间找到平衡，将是贵州银行的必修课。