商業銀行信息科技外包通過引入成熟的產品平臺和專業技術服務,快速響應市場需求,降低人力資源成本,同時也帶來了敏感信息泄露、服務中斷、響應不及時等風險,而且過度依賴外包,將導致商業銀行自主研發能力的不斷減弱。因此,如何構建完善的信息科技外包管理體系,有效防范風險,成為銀行科技外包管理工作的首要課題。
  一、商業銀行信息科技外包現狀分析
  商業銀行由于在科技發展模式、科技規模實力方面存在差異,采取了不同的外包策略。以工商銀行為代表的大型銀行自身科技力量雄厚,系統建設和運行維護基本依賴行內資源,中小型商業銀行和農村信用社經過近幾年信息化建設快速發展,信息系統規模日趨龐大,其自身科技力量普遍不足,因此,將部分應用系統開發、主機及網絡運行維護、機具運維服務等工作外包給合作服務商。目前商業銀行外包模式及范圍情況如下表所示。
  
 
  信息科技外包解決了銀行自身資源不足問題,一定程度上節約了成本、提高了效率,但也暴露出問題和風險隱患。一是核心技術受制于人,過度依賴于科技外包,銀行有可能逐漸失去信息化建設的主動權。二是受服務提供商在實施、升級、運維服務等方面的牽制,若服務不及時,直接影響科技對業務發展的支持能力。三是客戶信息保密和安全已經成為公眾最為關注和憂慮的問題,科技外包加大了客戶信息泄露或被不當利用的風險。
  二、我行信息科技外包策略及現狀
  我行是一家區域性中小型商業銀行,近幾年業務發展迅速,科技力量不足的矛盾日益突出,基于信息科技戰略、外包市場環境、自身風險控制能力制定了“保持核心技術能力,適度引進外包,防控外包風險”的科技外包策略。具體來說,在開發外包方面,堅持核心銀行系統自主開發,重要系統采用合作開發模式、內部管理系統購買業內成熟產品進行客戶化;在安全及運維外包方面,優先考慮國產化的外包服務,如信息安全系統[*{6}*]國內產品,網絡、PC服務器及存儲等設備在開發測試環境嘗試使用國產化產品,逐步破解“核心技術受制于人”的難題,提高自主可控能力。
  信息科技外包工作的開展,解決了我行自身信息科技人員不足的問題,使我行能夠在較高的起點實施項目,從而快速響應市場,提升行業競爭力,為我行實現信息化建設的跨越式發展提供了有力支撐。與此同時,我們也發現在外包管理工作中,存在信息科技外包管理體系有待完善、外包風險意識需要進一步加強、外包管理相對粗放、對服務商的約束機制還不到位等問題。
  三、我行信息科技外包管理措施
  根據銀監會監管要求和針對實際管理中存在的問題,我行完善了外包治理結構,建立了外包制度和工作流程,強化外包準入、日常管理和考核管理全生命周期管理,初步建立了較為完善的外包管理體系。
  1.建立健全信息科技外包管理制度。制定了《北京農商銀行信息科技外包管理辦法》,從加強內部控制角度出發,明確信息科技外包風險評估、服務商調查、合同和外包過程監控等工作要求,著重加強對重要外包服務的管理;結合信息科技外包工作的分類,分別制定了開發外包、測試外包、運維外包3個實施細則,使外包工作有章可循。
  2.構建合理的信息科技外包管理組織架構。建立了較為完善的信息科技外包管理組織架構,信息科技管理委員會負責外包決策,信息科技部門承擔外包的管理及實施工作,風險管理及審計部門負責外包風險的管理和審計。在信息科技部門內部,專門處室對外包進行整體管理,按照“誰使用,誰負責”的原則,使用處室負責外包商的日常管理。
  3.針對關鍵環節實施有效的管控工作流程。信息科技外包管理生命周期主要包括外包服務商準入、合同簽訂、日常管理、考核評價等管理環節,針對各環節面臨的風險,實施了規范的工作流程。
  (1)外包服務商準入。制定了較為完善的外包服務商準入流程,包括候選服務商初選、盡職調查、產品測評,由行集采中心統一組織招投標或商務談判。建立外包服務商基本標準,明確外包服務商準入資質,在開展外包服務商盡職調查時,關注外包服務商能力與技術、服務經驗、人員技能、市場評價和監督評價,尤其關注外包服務商的風險控制能力及突發事件處置能力;對外包商產品進行充分測評,確保滿足我行實際管理需求,從源頭上抓好外包活動的風險管控。
  (2)合同簽訂。合同簽訂流程主要包括起草、服務商確認、法律部門審查、正式簽署等環節。在合同管理中,可能面臨缺少必要的合同條款或條款不清晰導致銀行正當權益無法得到有效保障的風險。我行依據審慎性、可控性原則,建立并持續優化開發、測試、運維等8個合同模板,從各個IT服務領域規范服務水平條款和關鍵績效指標,另外在合同中突出強調外包服務商應急處置、風險防控、保密約定、違約處罰、人員變更率等要求,強化對外包服務商的約束機制。
  (3)日常管理。日常管理是外包管理的基礎性工作,如管理不到位將會產生諸多風險。我行采取多種措施降低或消除風險:一是統一外包人員入場、離場管理,統一配置相關資源,建立外包人員信息臺賬。二是建立外包人員入場考查機制,采用筆試、面試方式對其專業技術水平等進行考核,通過后方可入場工作,并定期進行風險與安全知識培訓。三是做好外包工作計劃與控制。四是加強信息安全防范,通過環境物理隔離、用戶權限的管理、敏感信息脫敏等手段避免外包人員接觸我行敏感信息。五是建立應急管理機制,制定有針對性的信息科技外包業務連續性計劃,識別重要業務實際的外包服務商和資源,通過合同等形式明確提前準備并維護好相關資源,對外包服務商業務連續性管理進行監控,并根據應急處理預案定期進行演練。
  (4)考核評價管理。為保障外包服務質量,我行初步建立外包服務商服務評價體系。一是外包項目或工作結束后對外包項目或人員進行考核;二是每年對外包服務商進行服務水平和服務質量的總體評價。對于外包項目從時間進度、交付物完整性及質量、系統測試中冒煙測試通過情況、驗收測試準出情況、項目投產后的故障情況等全面進行考核;對于外買人員形式的外包人員,分別從主觀和客觀兩方面制定外包人員的定性和定量考核指標,每季度對相關人員進行考核。
  4.采用切實可行的技術手段防范外包風險。充分應用技術手段,實現信息科技外包風險的“硬控制”。一是外包人員必須使用我行統一配置的終端,安裝統一的防病毒軟件及端點安全軟件,禁用U盤等移動存儲介質,禁止使用外包人員自帶設備接入我行網絡;二是外包人員使用的終端部署在獨立的安全域內,該安全域與我行其他安全域進行邏輯隔離,避免外包人員向開發測試服務器或開發測試終端拷入、拷出程序;三是遵循“必需知道”和“最小授權”的原則,開放外包人員的網絡訪問權限和用戶權限;四是嚴格控制外包人員對重要應用系統和數據庫的訪問,訪問權限的增加、變更、刪除應執行相關審批流程;五是外包人員在開發環境、測試環境中使用脫敏后的生產數據,確保客戶信息安全。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網校特別提醒:已經報名2014年FRM考試的考生可按照復習計劃有效進行!另外,高頓網校2014年FRM考試輔導高清課程已經開通,通過針對性地講解、訓練、答疑、模考,對學習過程進行全程跟蹤、分析、指導,可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費題庫:2014年FRM考試免費題庫
  考試輔導:FRM考試招生專題
  高清網課:FRM考試網絡課程