在日常工作中,各種外包風險的預警都會表現出來。關鍵是不及時發現,不立即改正或者被發現的問題麻痹,錯誤就會變成案例,造成損失,為改正付出高昂的代價。因此,把風險消滅在萌芽狀態是風險控制的重點。
1.制定IT外包戰略。銀監會發布的《銀行信息科技風險管理指引》和《商業銀行外包風險管理指引》對外包業務提出了要求,重點關註IT外包能夠促進公司科技業務的發展、信息系統的安全運行和科技業務的管理水平,緊密配合公司的業務發展規劃,綜合權衡外包的收益和風險,決定外包哪些IT業務,制定IT外包戰略規劃。
2.建立IT業務風險和安全管理體系。該體系應具有統壹的框架、統壹的標準、統壹的措施、統壹的監督管理,內容應包括信息科技業務風險和安全管理策略、管理制度和規範、技術標準、指引、流程、操作手冊等。通過建立風險和安全管理體系,指導公司IT業務風險和安全管理的發展,使其符合相關國際國內安全標準和中國法律法規;在公司內部形成信息科技風險和安全管理機制,確保實施並保護公司所有信息科技資源和資產的安全;明確信息系統保護、檢測和應急恢復等信息科技風險和安全管理指標、原則和違規處理措施;對合作組織、業務夥伴、承包商和服務提供商提出相關的安全約束。項目經理聯盟
3、做好IT業務風險和安全意識及培訓。通過舉辦培訓班、研討會、發送電子郵件、贈送報刊等方式。,我們將為公司的科技人員和業務人員提供IT業務風險和安全方面的知識。通過持續培訓和學習,掌握公司IT業務風險與安全管理制度和規範,提高全員風險與安全防範意識,積極參與信息科技風險與安全防範,形成全員參與信息科技安全管理的風險管理文化。
4.建立IT外包供應商信息管理系統,設計科學全面的風險指標評估體系。適馬有句名言:有什麽樣的指標,就有什麽樣的成果。建立科學的IT外包供應商評價指標體系,有利於統壹供應商和銀行的IT業務發展目標。指標體系需要從質量、成本、交付、服務、技術、資產、流程等方面入手,確定外包供應商成立和上市時間、行業經驗、規模、安全、人力、財務、問題響應時間、是否有產品保險、企業文化、各種認證等關鍵內容,詳細設計3K(KCS、KCSA、KRI)指標,每個指標都要給出相應的分值範圍。通過建立外包供應商信息管理系統,將設計的評價指標納入系統,詳細記錄外包供應商及其供應鏈的各方面信息。通過系統的統計分析,可以科學有效地評估外包供應商的服務能力。
(二)事情在掌握之中
銀行與外包夥伴簽約,項目正式進入合作運營階段。在IT項目的日常運作中,銀行作為甲方,應做好以下工作。
1,認真執行制度,不斷完善制度。
從銀行計算機系統的風險、安全、刑事案件分析,大部分都是不按規則、不按制度辦事、不按業務流程辦事造成的,這就要求銀行加強對制度執行嚴肅性的管理,違規者必被追究,否則制定的各種制度規範就形同虛設。同時,還應註重IT外包供應商風險與安全管理體系的規範化建設,以及信息系統的同步規劃、建設和管理,能夠根據銀行信息科技業務的發展、環境的變化、中心工作的更替和創新的要求及時進行調整、修訂和補充。
2.選擇合適的外包供應商,簽訂合作合同。
簽約是IT外包不可避免的風險。因此,要根據前期的市場調研分析和收集的供應商信息,尋找合格的IT服務商,進行詢價和報價,通過招標建立適合公司科技和業務發展的供應商,並配合法務部門制定和簽署外包合同文本,合理規避和防範合同風險的發生。
3.加強與外包供應商的合作和溝通。
壹旦項目簽約並啟動,銀行作為甲方,應提供項目研發的辦公條件,讓外包方盡快來銀行工作,並像同事壹樣給予相關方必要的幫助。同時,銀行的科技人員和業務人員要參與到項目建設中來,既可以使自身的技術和業務人員熟悉和掌握產品的技術性能和業務功能,便於項目研發過程中問題的溝通,也可以全程跟蹤項目的進度和質量,從而在規定的時間內高質量地完成軟件項目研發並投產,讓項目利益相關方滿意。
4、建立外包供應商服務評價體系。
因為外包和轉包在很多外包公司,尤其是跨國公司中普遍存在,降低了供應鏈的透明度和可追溯性,有意無意地形成漏洞,增加了供應鏈的風險。因此,有必要采用日常績效跟蹤和定期評估的方法,更深入地了解外包供應商及其供應鏈,避免信息不對稱,便於建立外包供應商信息管理系統。根據相關績效的跟蹤記錄,對供應商的績效進行綜合評估,以全面、正確地評價外包商的工作。
5.計劃和控制項目建設。
為了避免系統上線後頻繁的人員變動、項目延期、交付的技術文檔不完整、支持服務落後。要求我行科技人員與外包項目經理和項目組成員建立項目進度和質量控制的溝通機制(如每周例會、每周項目報告和問題跟蹤管理報告等)。),定期監控和測量項目進度,識別是否有偏離計劃的情況,及時發現問題,反饋問題,了解原因,解決問題,確保項目目標的實現。
6.建立應急管理機制,保持業務連續性。
妳無法防範每壹個風險,但妳可以迅速發現問題,提前思考解決方案,調動壹切選項。這是風險和安全管理的本質。銀行應對外包供應商制定切實可行的應急管理方案。項目外包會讓銀行依賴外包供應商。如果外包供應商不能如期履約,銀行業務中斷造成的後果必須引起高度重視。這就需要銀行嚴格審核外包供應商提供的實施方案,針對不履行合同或出現突發事件的外包供應商制定應急預案。
(三)事後監督
外包項目完成後,銀行相關職能部門應對外包項目從立項、招標、施工、投產的全過程進行檢查和審計,主要包括以下幾個方面。
1,結合規章制度的完善,實現各項工作的制度化。
在事後監管的檢查過程中,要加強對IT外包制度是否健全、科學有效、符合工作實際的檢查,不斷完善規章制度,使外包工作有章可循、制度化。
2、獎懲結合,維護法規的嚴肅性。
適當的懲罰可以促進責任人改正錯誤,強化法律法規觀念,更好地推動工作。根據建立的IT外包風險和安全管理制度,檢查項目外包過程中的所有工作是否按照制度進行。針對查出的問題,找出原因,對違規者進行處罰,對做得好的進行表彰,獎罰分明,維護制度的嚴肅性。
3、結合內部審計,制定外部審計策略。
在做好內部審計的同時,還可以邀請外部審計機構對外包供應鏈中的外部承包商和公司的風險和安全管理能力進行全面評估。
4、結合標準化管理,實現業務操作程序化。
事後監管要深入科技業務壹線,認真執行標準化操作流程,從細節入手,查找不足,堵塞漏洞,推動外包供應商管理制度化、程序化、規範化。
5、結合IT服務內容,做好對多外包商的監督管理。
定期對外包風險進行監督和再評估,並將收集的信息和評估結果納入外包供應商信息系統的管理。通過合同和SLA協議管理供應商,註意定期審查外包合同,並根據環境和銀行業務發展的需要及時修改合同和重新制定外包服務標準。
壹般來說,it外包應該在國家法律法規和公司的制度規範範圍內進行。要建立健全信息技術外包過程中的信息披露、檢查、監督和考核機制,建立功能齊全的外包供應商信息管理系統,有效防範信息技術外包風險,確保信息安全。
參考資料:
/news/details.php?id=132