在日常工作中,各種外包風險的前期預兆是會表現出來的,關鍵是沒有及時發現,馬上糾正或是對發現的問題思想麻痹,錯誤擴大化變成案件,形成損失並為糾正錯誤付出高昂代價。因此,把風險消滅在萌芽狀態,才是風險控制的重點。
1、制定IT業務外包戰略。銀監會頒布的《銀行信息科技風險管理指引》和《商業銀行外包風險管理指引》中對外包業務都提出了要求,重點考慮IT業務外包要能促進公司的科技業務發展、信息系統安全運營和科技業務管理水平,緊密配合公司業務發展規劃,全面權衡外包的利益與風險,決定將哪些IT業務外包,制定IT業務外包戰略規劃。
2、建立IT業務風險與安全管理體系。體系制定要做到統壹框架,統壹標準、統壹措施、統壹監督管理,內容由IT業務風險與安全管理策略、管理制度與規範、技術標準、指引、流程、操作手冊等組成。通過制定風險與安全管理體系,指導公司IT業務風險與安全管理工作的開展,使其符合國際、國內的有關安全標準和我國的法律法規;在公司內部形成壹個信息科技風險與安全管理機制,確保落實,保護公司所有信息科技資源和資產的安全;明確信息系統的防護、檢測和應急恢復等各項信息科技風險與安全管理指標、原則和違規行為的處理措施;對與公司合作組織、商業夥伴、承包商和服務提供者提出相關的安全約束。項目管理者聯盟
3、做好IT業務風險與安全的認知與培訓。通過舉辦培訓班、研討會、發送郵件、贈送報刊等方式,為公司科技人員和業務人員提供IT業務風險與安全方面知識的培訓,通過持續不斷的培訓學習,掌握本公司IT業務風險與安全管理制度規範,提高全員風險與安全防範意識,積極參與信息科技風險與安全防範工作中,形成全員參與信息科技安全管理的風險管理文化。
4、建立IT業務外包供應商信息管理系統,設計科學、全面的風險指標評估體系。西格瑪中有句名言:有什麽樣的指標、就有什麽樣的結果。建立科學的IT業務外包供應商評估指標體系,有利於統壹供應商與銀行的IT業務發展目標。該指標體系需要從質量、成本、交付、服務、技術、資產、流程這些方面入手,確定外包供應商成立及上市時間、行業經驗、規模、安全、人力、財務、問題響應時間、是否有產品保險、企業文化以及各種認證等重點內容,詳細設計3K(KCS、KCSA和KRI)指標,每壹項指標都要給出相應的分值區間,通過建立外包供應商信息管理系統,把設計的評估指標納入系統中,詳細記錄外包供應商及其供應鏈上的各方面信息,通過系統統計分析,從而科學有效的評估外包供應商的服務能力。
(二)事中控制
銀行與外包合作商簽署合同,項目正式進入合作操作階段,在日常IT項目運營過程中,銀行作為甲方應做好如下幾方面的工作。
1、認真執行制度、不斷完善制度
從出現的有關銀行計算機系統風險安全與犯罪案件分析中,大多數都是因為沒有章不循,沒有按制度辦事,按業務處理流程辦事造成的,這就要求銀行加強對制度執行嚴肅性的管理,違章必究,否則制定的各項制度規範形同虛設,起不到應用的作用。同時,還要註意IT業務外包供應商風險與安全管理制度規範建設與信息系統同步規劃、同步建設、同步管理,能緊隨銀行信息科技業務的發展、環境的變化、中心工作的更替、創新的要求,及時得到調整、修訂和補充。
2、選擇適合自己的外包供應商,簽署合作合同
簽署合同是IT業務外包不可避免的風險。因此,根據前期對市場的調研分析,搜集的供應商信息,尋找合格的IT服務供應商,詢價和報價,通過招投標方式,建立適合公司科技與業務經營發展需要的供應商,並協同法律部門做好外包合同文本的制定和簽署,合理規避和防範合同風險的發生。
3、加強與外包供應商的合作與交流
壹旦項目簽署合同開始啟動,銀行作為甲方要提供項目研發辦公條件,盡快讓外包商到行裏來工作,向同事壹樣給予相關方面的必要幫助。同時,銀行科技人員以及業務人員要參與到項目建設中,既可以讓自己的技術和業務人員與外包公司技術人員熟悉、了解掌握產品技術性能和業務功能,便於項目研發過程中問題的溝通交流,還可以全程對項目進度、質量進行跟蹤,以便於在規定的時間內,高質量的完成軟件項目的研發投產,讓項目利益所有者都滿意。
4、建立外包供應商服務評價體系
因很多外包公司特別是跨國公司,外包、分包普遍存在,也就降低了供應鏈的透明性和可追溯性,有意無意的形成漏洞,加大了供應鏈風險。所以,要采取日常業績跟蹤和階段性評比方法,更加深入的了解外包供應商及其供應鏈的壹些情況,避免信息不對稱,便於更好地建立外包供應商信息管理系統,根據有關業績的跟蹤記錄,對供應商的業績表現進行綜合考核,全面、正確的評價外包商工作情況。
5、做好項目建設的計劃與控制
為避免人員頻繁變動、項目延期、交付的技術文檔不齊全及系統上線後支持服務跟不上等現象。要求銀行科技人員與外包項目經理及項目組成員建立項目進度與質量控制溝通機制(如周例會、項目周報、問題跟蹤管理報告等),定期監測與度量項目進展情況,識別有否偏離計劃之處,及時發現問題、反饋問題、了解原因、解決問題,確保實現項目目標。
6、建立應急管理機制,保持業務持續性
妳不能防範每種風險,但是妳卻可以迅速發現問題,並提前思考解決方法,動員所有的選擇,這才是風險與安全管理的精髓。銀行要制定可行的外包供應商應急管理計劃,項目外包會使得銀行對外包供應商產生依賴,如果外包供應商不能如期履行合同,而導致銀行業務中斷所引起的後果必須高度重視。這就需要銀行要嚴格審查外包供應商提供的執行方案,並針對外包供應商不履行合同或者發生緊急事件制定應急應對方案。
(三)事後監督
外包項目完成後,銀行相關職能部門應做好對外包項目從立項、招投標、建設、投產使用等全過程進行檢查審計,主要做好如下幾方面工作。
1、與完善規章制度相結合,實現各項工作制度化
在事後監督檢查過程中,加強檢查IT業務外包制度是否建立健全、科學有效、符合工作實際,不斷完善規章制度,使外包各項工作有章可依,工作制度化。
2、與獎懲相結合,維護法規與制度的嚴肅性
適當的處罰,能促進責任人改正錯誤,增強法律法規觀念,更好的促進工作,依據制定的IT業務外包風險與安全管理制度規範,檢查項目外包實施過程中各項工作是否按制度辦事,針對檢查出來的問題,要查明原因,對於不按制度辦事的違章行為要給予處罰,做的好的要表彰,做到獎罰分明,維護制度的嚴肅性。
3、與內審計相結合,制定外審策略
在做好內審的同時,也可以邀請外審機構對外包商以及外包供應鏈上公司的風險與安全管理能力等進行全面的評估。
4、與規範化管理相結合,實現業務操作程序化
事後監督工作要深入到科技業務壹線,認真執行規範化操作規程,從細節入手,查找不足、堵塞漏洞,促進外包供應商管理制度化、程序化、規範化。
5、與IT服務內容相結合,做好多外包商的監督管理
監督、定期重新評估外包風險,並把所搜集信息和評估結果納入外包供應商信息系統管理,通過合同和SLA協議管理供應商,要註重周期性地審查外包合同,並根據環境和銀行業務發展的需要及時修改合同、重新設定外包服務標準。
總的來說,it外包要在國家法律法規和公司的制度規範內展開,要建立健全IT業務外包過程中信息披露和檢查監督及考核機制,建立壹個功能完善的外包供應商信息管理系統,有效防範IT業務外包風險,確保信息安全。
參考資料:
/news/details.php?id=132