|
IT业务外包是国内外商业银行普遍采取的科技发展战略,主机设备、操作系统、数据库基本采购国外知名IT公司产品,应用软件大型商业银行以自主研发为主,少部分外包采购,中小银行信息系统建设采取外包采购方式来完成。这样一来,银行信息系统安全运营,与IT外包商提供的软硬件产品质量休戚相关,而IT业务外包风险贯穿于技术、产品、系统、服务、生产、采购、集成、运行、维护等整个产品供应链中的各个阶段,一旦风险与安全管理失控,则给银行信息系统建设带来损失。因此,做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。blog.mypm.net
一、IT业务外包风险分析项目管理者联盟
1、从宏观层面分析,产生系统性风险。目前银行业使用的IT产品如计算机CPU、操作系统、基础应用软件、互联网等技术都来自国外公司,因某种原因,承包商所在国家发生战争等不可抗拒性事件时,会造成IT供应商及其供应链上的公司不能正常经营,如果IT业务外包的是一些重要的核心业务,则会对银行信息系统安全造成重大影响。项目管理者联盟
2、从决策方面分析,产生战略风险。银行信息系统建设哪些部分需要外包,哪些部分不能外包,是选用国外厂商的信息系统,还是选择国内IT公司的产品等,如果没有与本行业务经营发展战略很好的结合,深入详细的分析论证,就外包给IT公司,很容易造成信息系统建设出现偏差,不能满足未来业务发展要求。项目经理圈子
3、从供应商方面分析,产生依赖性风险。目前,国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品,在熟悉供应商产品的同时,长期使用也形成了对某一供应商的依赖,也会因外包商自身或其供应链上某公司出现问题,造成外包商运营出现风险,如果银行没有自己掌握外包供应商产品技术,更换新外包商会带来成本高及影响银行业务正常运营。项目管理者联盟
4、从产品供应链分析,产生供应链风险。目前,很多IT厂商特别是跨国IT供应商,把用户订单分包给其他外包商生产,当该公司供应链企业合作关系因某种原因出现问题时,则会产生IT外包供应链风险。项目管理者联盟
5、从采购方面分析,出现选择性风险。在外包供应商招投标过程中,由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估,并受到来自各方面关系因素影响,选择的IT外包商各方面能力不能满足银行自身业务发展需要,容易出现项目失败,造成损失。blog.mypm.net
6、从合规方面分析,产生合同风险。在与IT业务外包供应商签署合同时,因制定的合同文本中相关合同条款描述的不到位、不详细,权利与义务没有很好的说明,容易造成外包服务质量达不到预期目标甚至产生合同风险。项目管理者联盟文章
7、从道德方面分析,产生信息安全风险。由于外包供应商内部控制出现漏洞,本公司内部员工辞职,并利用到银行工作之便,或者与银行员工内外勾结,窃取银行客户信息和资产,给银行和客户造成损失。项目管理者联盟
8、从技术方面分析,产生技术风险。一些IT供应商因受到自身发展瓶颈的限制,资金和研发能力不足,不能紧密跟踪新技术应用,对软硬件产品及时进行升级改造,则对信息系统应用开发和安全运营产生影响。项目管理者联盟
9、从服务方面分析,存在服务质量风险。据2004年德勤发布的《外包调查报告》称:57%的调查者因为外包服务提供商能够提供优质的服务和业务创新选择了外包,31%的调查者认为服务提供商处于更有利的位置。在合同不完全性和双边垄断的前提下,外包商处于更有利的位置,致使服务质量得不到有效保障,组织效率得不到有效提升。项目管理者联盟
10、从软件方面分析,存在后门的风险。在银行软件产品开发过程中,商业化的组件和中间件得到普遍应用,需求内容变更、版本升级、打补丁,很难做到每一次升级都对系统功能从头到尾全面完整的测试,这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难,会存在后门的风险。项目管理者联盟
11、从内控管理分析,存在监督与审计缺失风险。在IT业务外包合同执行期间,银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理,忽视了对外包供应商及供应链公司的日常审计检查,容易造成IT外包业务服务水平下降。项目管理者联盟
二、IT业务外包风险与安全防范举措service.mypm.net
在控制IT业务外包风险与安全方面,做到心中有底、手中有招、控制有术,建立事前预防、事中控制、事后监督的三道防线。项目管理者联盟
(一)事前预防。在日常工作中,各种外包风险的前期预兆是会表现出来的,关键是没有及时发现,马上纠正或是对发现的问题思想麻痹,错误扩大化变成案件,形成损失并为纠正错误付出高昂代价。因此,把风险消灭在萌芽状态,才是风险控制的重点。项目管理者联盟
1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求,重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平,紧密配合公司业务发展规划,全面权衡外包的利益与风险,决定将哪些IT业务外包,制定IT业务外包战略规划。项目管理者联盟
2、建立IT业务风险与安全管理体系。体系制定要做到统一框架,统一标准、统一措施、统一监督管理,内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、操作手册等组成。通过制定风险与安全管理体系,指导公司IT业务风险与安全管理工作的开展,使其符合国际、国内的有关安全标准和我国的法律法规;在公司内部形成一个信息科技风险与安全管理机制,确保落实,保护公司所有信息科技资源和资产的安全;明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施;对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟
3、建立IT业务外包供应商信息管理系统,设计科学、全面的风险指标评估体系。6西格玛中有句名言:有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系,有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手,确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容,详细设计3K(KCS、KCSA和KRI)指标,每一项指标都要给出相应的分值区间,通过建立外包供应商信息管理系统,把设计的评估指标纳入系统中,详细记录外包供应商及其供应链上的各方面信息,通过系统统计分析,从而科学有效的评估外包供应商的服务能力。项目管理者联盟
4、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式,为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训,通过持续不断的培训学习,掌握本公司IT业务风险与安全管理制度规范,提高全员风险与安全防范意识,积极参与信息科技风险与安全防范工作中,形成全员参与信息科技安全管理的风险管理文化。项目管理者联盟
(二)事中控制。银行与外包合作商签署合同,项目正式进入合作操作阶段,在日常IT项目运营过程中,银行作为甲方应做好如下几方面的工作。项目管理培训
1、认真执行制度、不断完善制度。从出现的有关银行计算机系统风险安全与犯罪案件分析中,大多数都是因为没有章不循,没有按制度办事,按业务处理流程办事造成的,这就要求银行加强对制度执行严肃性的管理,违章必究,否则制定的各项制度规范形同虚设,起不到应用的作用。同时,还要注意IT业务外包供应商风险与安全管理制度规范建设与信息系统同步规划、同步建设、同步管理,能紧随银行信息科技业务的发展、环境的变化、中心工作的更替、创新的要求,及时得到调整、修订和补充。
2、选择适合自己的外包供应商,签署合作合同。签署合同是IT业务外包不可避免的风险。因此,根据前期对市场的调研分析,搜集的供应商信息,寻找合格的IT服务供应商,询价和报价,通过招投标方式,建立适合公司科技与业务经营发展需要的供应商,并协同法律部门做好外包合同文本的制定和签署,合理规避和防范合同风险的发生。项目管理者联盟
3、加强与外包供应商的合作与交流。一旦项目签署合同开始启动,银行作为甲方要提供项目研发办公条件,尽快让外包商到行里来工作,向同事一样给予相关方面的必要帮助。同时,银行科技人员以及业务人员要参与到项目建设中,既可以让自己的技术和业务人员与外包公司技术人员熟悉、了解掌握产品技术性能和业务功能,便于项目研发过程中问题的沟通交流,还可以全程对项目进度、质量进行跟踪,以便于在规定的时间内,高质量的完成软件项目的研发投产,让项目利益所有者都满意。项目管理者联盟
4、建立外包供应商服务评价体系。因很多外包公司特别是跨国公司,外包、分包普遍存在,也就降低了供应链的透明性和可追溯性,有意无意的形成漏洞,加大了供应链风险。所以,要采取日常业绩跟踪和阶段性评比方法,更加深入的了解外包供应商及其供应链的一些情况,避免信息不对称,便于更好地建立外包供应商信息管理系统,根据有关业绩的跟踪记录,对供应商的业绩表现进行综合考核,全面、正确的评价外包商工作情况。项目管理论坛
本文为项目管理者联盟联盟会员原创文章,授权发布,非经同意不得转载!
|
