商業(yè)銀行信息科技外包通過引入成熟的產(chǎn)品平臺和專業(yè)技術(shù)服務(wù),快速響應(yīng)市場需求,降低人力資源成本,同時也帶來了敏感信息泄露、服務(wù)中斷、響應(yīng)不及時等風(fēng)險,而且過度依賴外包,將導(dǎo)致商業(yè)銀行自主研發(fā)能力的不斷減弱。因此,如何構(gòu)建完善的信息科技外包管理體系,有效防范風(fēng)險,成為銀行科技外包管理工作的首要課題。
  一、商業(yè)銀行信息科技外包現(xiàn)狀分析
  商業(yè)銀行由于在科技發(fā)展模式、科技規(guī)模實力方面存在差異,采取了不同的外包策略。以工商銀行為代表的大型銀行自身科技力量雄厚,系統(tǒng)建設(shè)和運行維護(hù)基本依賴行內(nèi)資源,中小型商業(yè)銀行和農(nóng)村信用社經(jīng)過近幾年信息化建設(shè)快速發(fā)展,信息系統(tǒng)規(guī)模日趨龐大,其自身科技力量普遍不足,因此,將部分應(yīng)用系統(tǒng)開發(fā)、主機(jī)及網(wǎng)絡(luò)運行維護(hù)、機(jī)具運維服務(wù)等工作外包給合作服務(wù)商。目前商業(yè)銀行外包模式及范圍情況如下表所示。
  
 
  信息科技外包解決了銀行自身資源不足問題,一定程度上節(jié)約了成本、提高了效率,但也暴露出問題和風(fēng)險隱患。一是核心技術(shù)受制于人,過度依賴于科技外包,銀行有可能逐漸失去信息化建設(shè)的主動權(quán)。二是受服務(wù)提供商在實施、升級、運維服務(wù)等方面的牽制,若服務(wù)不及時,直接影響科技對業(yè)務(wù)發(fā)展的支持能力。三是客戶信息保密和安全已經(jīng)成為公眾最為關(guān)注和憂慮的問題,科技外包加大了客戶信息泄露或被不當(dāng)利用的風(fēng)險。
  二、我行信息科技外包策略及現(xiàn)狀
  我行是一家區(qū)域性中小型商業(yè)銀行,近幾年業(yè)務(wù)發(fā)展迅速,科技力量不足的矛盾日益突出,基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力制定了“保持核心技術(shù)能力,適度引進(jìn)外包,防控外包風(fēng)險”的科技外包策略。具體來說,在開發(fā)外包方面,堅持核心銀行系統(tǒng)自主開發(fā),重要系統(tǒng)采用合作開發(fā)模式、內(nèi)部管理系統(tǒng)購買業(yè)內(nèi)成熟產(chǎn)品進(jìn)行客戶化;在安全及運維外包方面,優(yōu)先考慮國產(chǎn)化的外包服務(wù),如信息安全系統(tǒng)[*{6}*]國內(nèi)產(chǎn)品,網(wǎng)絡(luò)、PC服務(wù)器及存儲等設(shè)備在開發(fā)測試環(huán)境嘗試使用國產(chǎn)化產(chǎn)品,逐步破解“核心技術(shù)受制于人”的難題,提高自主可控能力。
  信息科技外包工作的開展,解決了我行自身信息科技人員不足的問題,使我行能夠在較高的起點實施項目,從而快速響應(yīng)市場,提升行業(yè)競爭力,為我行實現(xiàn)信息化建設(shè)的跨越式發(fā)展提供了有力支撐。與此同時,我們也發(fā)現(xiàn)在外包管理工作中,存在信息科技外包管理體系有待完善、外包風(fēng)險意識需要進(jìn)一步加強(qiáng)、外包管理相對粗放、對服務(wù)商的約束機(jī)制還不到位等問題。
  三、我行信息科技外包管理措施
  根據(jù)銀監(jiān)會監(jiān)管要求和針對實際管理中存在的問題,我行完善了外包治理結(jié)構(gòu),建立了外包制度和工作流程,強(qiáng)化外包準(zhǔn)入、日常管理和考核管理全生命周期管理,初步建立了較為完善的外包管理體系。
  1.建立健全信息科技外包管理制度。制定了《北京農(nóng)商銀行信息科技外包管理辦法》,從加強(qiáng)內(nèi)部控制角度出發(fā),明確信息科技外包風(fēng)險評估、服務(wù)商調(diào)查、合同和外包過程監(jiān)控等工作要求,著重加強(qiáng)對重要外包服務(wù)的管理;結(jié)合信息科技外包工作的分類,分別制定了開發(fā)外包、測試外包、運維外包3個實施細(xì)則,使外包工作有章可循。
  2.構(gòu)建合理的信息科技外包管理組織架構(gòu)。建立了較為完善的信息科技外包管理組織架構(gòu),信息科技管理委員會負(fù)責(zé)外包決策,信息科技部門承擔(dān)外包的管理及實施工作,風(fēng)險管理及審計部門負(fù)責(zé)外包風(fēng)險的管理和審計。在信息科技部門內(nèi)部,專門處室對外包進(jìn)行整體管理,按照“誰使用,誰負(fù)責(zé)”的原則,使用處室負(fù)責(zé)外包商的日常管理。
  3.針對關(guān)鍵環(huán)節(jié)實施有效的管控工作流程。信息科技外包管理生命周期主要包括外包服務(wù)商準(zhǔn)入、合同簽訂、日常管理、考核評價等管理環(huán)節(jié),針對各環(huán)節(jié)面臨的風(fēng)險,實施了規(guī)范的工作流程。
 ?。?)外包服務(wù)商準(zhǔn)入。制定了較為完善的外包服務(wù)商準(zhǔn)入流程,包括候選服務(wù)商初選、盡職調(diào)查、產(chǎn)品測評,由行集采中心統(tǒng)一組織招投標(biāo)或商務(wù)談判。建立外包服務(wù)商基本標(biāo)準(zhǔn),明確外包服務(wù)商準(zhǔn)入資質(zhì),在開展外包服務(wù)商盡職調(diào)查時,關(guān)注外包服務(wù)商能力與技術(shù)、服務(wù)經(jīng)驗、人員技能、市場評價和監(jiān)督評價,尤其關(guān)注外包服務(wù)商的風(fēng)險控制能力及突發(fā)事件處置能力;對外包商產(chǎn)品進(jìn)行充分測評,確保滿足我行實際管理需求,從源頭上抓好外包活動的風(fēng)險管控。
  (2)合同簽訂。合同簽訂流程主要包括起草、服務(wù)商確認(rèn)、法律部門審查、正式簽署等環(huán)節(jié)。在合同管理中,可能面臨缺少必要的合同條款或條款不清晰導(dǎo)致銀行正當(dāng)權(quán)益無法得到有效保障的風(fēng)險。我行依據(jù)審慎性、可控性原則,建立并持續(xù)優(yōu)化開發(fā)、測試、運維等8個合同模板,從各個IT服務(wù)領(lǐng)域規(guī)范服務(wù)水平條款和關(guān)鍵績效指標(biāo),另外在合同中突出強(qiáng)調(diào)外包服務(wù)商應(yīng)急處置、風(fēng)險防控、保密約定、違約處罰、人員變更率等要求,強(qiáng)化對外包服務(wù)商的約束機(jī)制。
 ?。?)日常管理。日常管理是外包管理的基礎(chǔ)性工作,如管理不到位將會產(chǎn)生諸多風(fēng)險。我行采取多種措施降低或消除風(fēng)險:一是統(tǒng)一外包人員入場、離場管理,統(tǒng)一配置相關(guān)資源,建立外包人員信息臺賬。二是建立外包人員入場考查機(jī)制,采用筆試、面試方式對其專業(yè)技術(shù)水平等進(jìn)行考核,通過后方可入場工作,并定期進(jìn)行風(fēng)險與安全知識培訓(xùn)。三是做好外包工作計劃與控制。四是加強(qiáng)信息安全防范,通過環(huán)境物理隔離、用戶權(quán)限的管理、敏感信息脫敏等手段避免外包人員接觸我行敏感信息。五是建立應(yīng)急管理機(jī)制,制定有針對性的信息科技外包業(yè)務(wù)連續(xù)性計劃,識別重要業(yè)務(wù)實際的外包服務(wù)商和資源,通過合同等形式明確提前準(zhǔn)備并維護(hù)好相關(guān)資源,對外包服務(wù)商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控,并根據(jù)應(yīng)急處理預(yù)案定期進(jìn)行演練。
 ?。?)考核評價管理。為保障外包服務(wù)質(zhì)量,我行初步建立外包服務(wù)商服務(wù)評價體系。一是外包項目或工作結(jié)束后對外包項目或人員進(jìn)行考核;二是每年對外包服務(wù)商進(jìn)行服務(wù)水平和服務(wù)質(zhì)量的總體評價。對于外包項目從時間進(jìn)度、交付物完整性及質(zhì)量、系統(tǒng)測試中冒煙測試通過情況、驗收測試準(zhǔn)出情況、項目投產(chǎn)后的故障情況等全面進(jìn)行考核;對于外買人員形式的外包人員,分別從主觀和客觀兩方面制定外包人員的定性和定量考核指標(biāo),每季度對相關(guān)人員進(jìn)行考核。
  4.采用切實可行的技術(shù)手段防范外包風(fēng)險。充分應(yīng)用技術(shù)手段,實現(xiàn)信息科技外包風(fēng)險的“硬控制”。一是外包人員必須使用我行統(tǒng)一配置的終端,安裝統(tǒng)一的防病毒軟件及端點安全軟件,禁用U盤等移動存儲介質(zhì),禁止使用外包人員自帶設(shè)備接入我行網(wǎng)絡(luò);二是外包人員使用的終端部署在獨立的安全域內(nèi),該安全域與我行其他安全域進(jìn)行邏輯隔離,避免外包人員向開發(fā)測試服務(wù)器或開發(fā)測試終端拷入、拷出程序;三是遵循“必需知道”和“最小授權(quán)”的原則,開放外包人員的網(wǎng)絡(luò)訪問權(quán)限和用戶權(quán)限;四是嚴(yán)格控制外包人員對重要應(yīng)用系統(tǒng)和數(shù)據(jù)庫的訪問,訪問權(quán)限的增加、變更、刪除應(yīng)執(zhí)行相關(guān)審批流程;五是外包人員在開發(fā)環(huán)境、測試環(huán)境中使用脫敏后的生產(chǎn)數(shù)據(jù),確保客戶信息安全。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報名2014年FRM考試的考生可按照復(fù)習(xí)計劃有效進(jìn)行!另外,高頓網(wǎng)校2014年FRM考試輔導(dǎo)高清課程已經(jīng)開通,通過針對性地講解、訓(xùn)練、答疑、??迹瑢W(xué)習(xí)過程進(jìn)行全程跟蹤、分析、指導(dǎo),可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費題庫:2014年FRM考試免費題庫
  考試輔導(dǎo):FRM考試招生專題
  高清網(wǎng)課:FRM考試網(wǎng)絡(luò)課程