重庆银行股份有限公司信息科技部总经理助理 邱岩
20 世纪90 年代以来,发达国家纷纷采用的服务外包这一金融信息化建设的新策略,逐渐为国内商业银行所接受。随着IT 应用的深入和信息科技外包服务的发展,银行业金融机构普遍将信息科技外包作为提高信息科技服务水平的重要手段,以帮助银行提高管理和服务效率,节约信息科技建设和运维成本。银行业外包内容日益广泛,由此引发的信息泄露、业务中断、系统失控等风险逐渐显现。因此,商业银行在信息科技外包时应采取有效的内控措施来降低风险。
一、城市商业银行信息科技外包服务面临的风险
城市商业银行由于资产规模和利润所限,难以建立起大型银行具有自主研发能力的信息科技队伍和实现业务系统快速开发,在快速满足业务需求的迫切要求下,城市商业银行大都选择了信息科技外包服务。随着外包程度和范围的不断提高和扩大,一些银行的外包服务逐渐转向对技术能力要求较高的业务领域,加大了对外包商服务水平的依赖。由于外包合作双方的信息不对称,以及受外包市场的成熟度,竞争环境的不确定性及政治、经济、法律因素的影响,银行信息科技外包过程中易发生信息泄露、系统宕机、服务水平下降等风险事件,存在一定的操作风险、契约风险、道德风险及集中度过高风险,有可能引发银行核心竞争力弱化及未来业务发展受限,商业银行面临较大的风险挑战。
2013 年2 月,银监会正式印发了《银行业金融机构信息科技外包风险监管指引》(以下简称《外包指引》),对商业银行信息科技外包给出了具体定义,并对商业银行组织架构、战略及风险管理、外包管理、机构集中度风险管理、跨境及非驻场外包管理提出了具体要求,进一步细化了银监会及其派出机构的监督检查职能。《外包指引》的推出,充分揭示了银行信息科技外包服务可能存在的风险隐患,为国内城市商业银行用好、用透“信息科技外包”这一有力工具指明了方向。《外包指引》一方面督促城市商业银行在信息科技外包过程中实现从被动式的外包到思考其运作模式和管理方法,有效防范外包风险;另一方面要求城市商业银行在信息科技外包过程中充分利用自评估、排查、审计等手段,建立信息科技外包战略、制定中长期计划,明确外包风险管理组织架构以及具体的职责分工,推进对信息科技系统重要性外包风险、重大信息安全和服务持续性的联合监督,促进信息科技外包风险管理长效机制建设。
二、重庆银行信息科技外包管理实践
为落实《外包指引》要求,重庆银行成立了由信息科技部、风险管理部牵头的信息科技外包风险管理工作小组,按照信息科技外包服务范围对在建项目、拟建项目进行了统一分类,并根据分类逐一排查各项目潜在风险点和关联外包的可能性,开展监管合规性自查。对于部分存在潜在风险的项目,要求项目组与外包服务商签署补充协议和《项目罚则》,规定外包服务商工作人员必须使用重庆银行配备的计算机设备,并签署《IT 外包个人承诺书》、接受入场安全培训,以加强对信息科技外包风险的管理。
同时,重庆银行组织专人开展了信息科技项目管理办法、信息科技立项管理办法等相关制度的修订工作,编制信息科技外包风险管理办法、供应商管理细则和外包现场开发人员管理细则,将《外包指引》内容融入日常管理制度中,将外包服务商管理纳入银行风险管理和内控体系,建立了科学合理的外包风险管理机制,主要包含如下要点。
1.外包引入管理
开始外包服务前,需做好以下准备工作:
(1)分析外包是否适合业务、科技战略和总体风险控制要求;
(2)充分审查、评估外包服务商的财务稳定情况和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任;
(3)项目可行性研究期间应考虑外包合同变更前后实施的平稳过渡,如终止外包合同可能发生的情况;
(4)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的潜在业务风险。
2.外包合同管理
(1)在与外包服务商合同谈判过程中,考虑的因素包括但不限于,通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他重要信息;担保和损失赔偿是否充足;外包服务商遵守重庆银行有关信息科技风险管理制度和流程的意愿及相关措施等。
(2)与外包服务商签订书面合同或协议时,应明确双方的权利义务,关注外包服务商分包风险,需约定《服务水平协议》和《项目罚则》,原则上不允许服务商进行转包或分包。
3.外包风险管理
(1)信息科技部应主动加强外包管理,确保重庆银行客户资料等敏感信息的安全。
(2)信息科技部负责制定和建立外包突发事件应急预案和机制,以应对外包服务商在服务中可能出现的重大缺失,如外包服务商的重大资源损失,重大财物损失和重要人员的变动,以及外包合同或协议的意外终止等情况。
(3)在开展外包活动时如遇到对重庆银行业务经营、客户信息安全、声誉等产生重大影响的事件,应及时向上级监管部门报告。
(4)外包服务的范围原则上限于非核心金融服务,在实施重要及较大规模外包过程中( 如数据中心和信息科技基础设施等)应格外谨慎,在准备实施实施重要及较大规模外包时应以书面材料正式报告上级监管部门。
(5)建立健全潜在外包服务商的准入要求,通过客户端管理工具、专用开发机、开展后评价等方式,通过对外包服务采取长效监督机制,促进外包服务适度分散、合理分布,避免过多依赖某一家外包服务商。
三、信息科技外包服务风险管理的后续建议
城市商业银行信息科技外包虽然存在很多风险,但是科学的管理有助于减少风险,增加机会。管理和监控外包服务过程、选择合适的外包服务商、有效管理人力资源、建立合理的控制机制、制定可行的应急计划可以帮助金融机构全面降低IT 外包风险。其中,选择合适的外包服务商是外包成功的关键,通过对外包服务商的动态管理建立准入的硬性条件,有利于保障服务质量,实现外包目标。
在选择合适的外包服务商的基础上,城市商业银行还要建立外包业务的日常风险监控机制。日常监控指通过观察、收集资料,对照已经建立起来的标准和尺度分析外包服务商是否在做其应该做的事情。如果发现外包服务商偏离了预定的行为目标,就需要立即采取控制措施,督促外包服务商重新回到正确的轨道上。
日常监控可以从宏观和微观两个层面进行,宏观层面,应密切关注监管部门的风险提示和外包市场的发展动向,以及银行经营环境、竞争对手外包策略、外包服务商经营状况,防范技术风险和市场风险。微观层面,要加大对外包服务商在项目实施不同阶段的监控频度,了解与外包服务商直接接触的银行有关外包服务商的评价,高层管理人员对外包服务的看法,考察外包成本是否控制在预期的范围内,业务需求是否得到满足;通过客户满意度调查,以及将外包服务商的服务水平与竞争对手的服务水平进行比较,了解外包服务是否及时,服务质量、服务水平是否得到保障,防范交易和信誉风险。
IT 外包管理是一项复杂的工作,任何阶段控制不好都有可能发生问题、产生纠纷,甚至外包失败。对IT外包的风险控制从根本上说就是对外包活动实施全面有效的管理。通过将部分研发咨询类、系统运行维护类、系统开发和数据处理类等外围工作外包给服务商,城市商业银行的IT 团队可以用较少的人力资源集中投入于核心系统、中间业务平台、支付系统等核心业务上,更加快速地满足业务发展要求;同时,外包服务商也通过规模经济获得效益,实现了银行与专业公司的双赢。因此,对城市商业银行来说,信息科技外包充满了风险,也充满希望,对IT 外包管理策略的研究,将随着外包实践的深入而进一步深化。
|
