浅谈银行IT服务外包的风险及管控措施
- 格式:pdf
- 大小:267.37 KB
- 文档页数:2
浅谈银行IT服务外包的风险及管控措施
IT服务外包对于银行降低IT成本、提高IT应用水平、培育和发展核心竞争力具有重要的战略意义。
在IT外包给银行带来益处的同时,银行因外包引发的风险问题、安全事件也不容忽视。
在此情况下,如何在有效控制风险的前提下使用外包就显得尤为重要。
一、IT服务外包的内涵
IT服务外包是发包方以合同的形式,将IT服务委托给专业化的公司去提供,以获得高质量、低成本的服务的一种业务模式。
随着IT服务外包的发展,业界学者们针对如何界定IT服务外包、IT服务外包内涵进行了深入的探讨。
国内外众多IT服务外包研究文献对于IT服务外包的概念阐述不尽相同。
有一部分学者强调IT服务外包是一种“转让”、“转移”的过程;有的学者强调IT服务外包中的契约关系。
我们认为,没有必要纠结于必须给IT外包的范围界定一个无可挑剔的标准,我们引入外包的目的是利用外部资源,补充产能缺口、引进先进成熟的方式方法。
比如,有的银行会将购买人力来满足开发需要的活动称为外部协作,简称“外协”,事情主体并未“包”给服务商,没有用外包的定义,但从外部获得服务资源的事实存在,因而外包管理活动同样适用。
2013年2月,中国银监会发布的《银行业金融机构信息科技外包风险监管指引》中将银行IT外包定义为“银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式”。
二、IT服务外包面临的主要风险
1、外包商选择风险。
对外包商进行评价与选择是外包过程中的一个重要环节,如果对外包商的选择标准及过程不完善,或者缺乏对外包商综合服务能力和水平的全面评估,可能导致银行选择不当的外包商。
2、服务质量风险。
在签订合同时,如果银行没有充分考虑外包服务过程中的各个环节,缺乏明确详细的内容,在合同执行过程中缺乏有效的监督和管理,势必导致外包服务质量下降。
3、信息泄露风险。
在外包服务过程中,银行将信息系统研发、维护等工作委托给外包商来完成,期间外包商及其员工可能会有意或无意地将银行内部信息和商业机密泄露,使银行面临着潜在的风险。
4、过度依赖风险。
银行将其信息系统交由外包商开发、建设与运营后,会在不同程度上失去对该信息系统的控制,过渡依赖于外包商。
三、IT服务外包风险防控的主要措施
1、合理规划IT外包战略,选择合适的外包模式。
银行在外包之前,要结合自身的核心竞争力、外包市场环境、自身风险控制能力和风险偏好,明确IT外包的战略,确定外包规划和目标,并将外包管理纳入银行全面风险管理体系。
另外,还应结合自身IT产品的发展策略及重要性、自身技术能力和资源、期望的目标等进行外包活动的可行性分析,选择合适的外包模式。
2、构建外包商评价体系。
外包商的选择是确保银行业务外包顺利实现的关键。
外包商
的服务能力、经验、人员技能、内部控制和管理能力、财务稳健性、市场地位及发展趋势等都是影响外包服务能否按照预定目标完成的重要因素。
银行应构建一个涵盖外包商准入、退出、黑白名单管理、过程中评价、后评价、关系管理等在内的外包商评价体系和关系管理体系。
以确保选择一个能够中长期合作的外包商。
3、重视外包合同的管理。
外包合同是外包管理中重要的文档之一,是控制外包商进而降低外包风险的主要杠杆。
与外包商签订的合同内容尽量准确和详尽,要结合不同外包服务的特征,对工作范围及验收及交付标准、责任划分、产权归属、信息安全、付款方式、赔偿、售后服务等进行明确。
另外在编制合同时应充分考虑未来的发展变化,使合同具有充分的灵活性。
在合同执行过程中,银行必须对外包商进行持续、有效的监督和管理,并及时与外包商交换意见,以确保外包商在服务实施过程中能够严格按照合同实施,达到服务的预期目标。
4、加强信息安全管理。
银行应在外包管理过程中加强信息安全管理工作,制定信息安全策略,确保银行的客户资料等敏感信息的安全性。
首先在选择外包商时,要考查其信息安全管理能力是否符合银行信息安全管理的要求,选择具有信息安全管理资质的外包商进行合作。
其次在签订外包合同时,内容必须包含保密和信息安全条款或签署专门的保密协议。
第三是对服务实施过程中可能发生的操作风险进行刚性控制,按照“必需知道”和“最小授权”原则对外包商相关人员授权 ,在终止外包合同时及时收回所有已开放的权限并销毁外包服务商保存的所有涉密资料等。
5、做好外包服务连续性管理。
首先,在签订合同前要和外包供商明确定义其必须传递的知识和技能。
其次,应规划外包服务应急措施,在实施过程中安排骨干人员学习相关知识和技能,若外包服务意外中断,能够启动相应的应急预案维系后续服务。
第三,银行还应当引入竞争机制,积极寻找外包服务的替代者,选择和培育合适数量的供应商,以加强主动控制能力,确保外包服务的连续性。