《中小城市銀行信息科技外包風(fēng)險(xiǎn)分析》由會(huì)員分享�,可在線閱讀�����,更多相關(guān)《中小城市銀行信息科技外包風(fēng)險(xiǎn)分析(2頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索���。
1���、中小城市銀行信息科技外包風(fēng)險(xiǎn)分析
中小城市銀行信息科技外包風(fēng)險(xiǎn)分析
2013/09/23
一、銀行科技信息外包現(xiàn)狀
一是外包人員數(shù)量多�����,安全防范措施少��。如某銀行2011年信息科技外包工作總量11755人月����,其中人員服務(wù)類工作總量2555人月,外包商在銀行駐點(diǎn)人員兩百多人,但該行僅與外包公司簽訓(xùn)外包人員管理協(xié)議》�,未與個(gè)人簽訂相應(yīng)的保密協(xié)議,而外包公司對(duì)人員管理相對(duì)粗放�����,導(dǎo)致銀行對(duì)外包人員的安全防范措施相對(duì)薄弱���。二是外包費(fèi)用高����,外包服務(wù)水平較低�����。如某銀行2011年信息科技
2�、投人7534萬元�����,其中外包費(fèi)用5262萬元�����,占信息科技總投人的69.8%�����,而缺乏完善的外包商管理制度�����,部分外包合同對(duì)外包商約束不足�����,導(dǎo)致外包服務(wù)水平較低��。
二��、城商行信息科技外包風(fēng)險(xiǎn)分析
信息科技外包可能為城商行降低成本���,將精力集中于核心業(yè)務(wù)��,提高銀行的核心競(jìng)爭(zhēng)力��,但同時(shí)也為其帶來了新的風(fēng)險(xiǎn)����。
1.來自銀行的風(fēng)險(xiǎn)
(l)外包商選擇的風(fēng)險(xiǎn)。產(chǎn)生這一風(fēng)險(xiǎn)是由于銀行不能對(duì)外包商的綜合水平進(jìn)行正確評(píng)估而只看到其局部?jī)?yōu)勢(shì)��。一旦選擇了不合適的外包商���,外包服務(wù)質(zhì)量將難以保證���,外包的信息系統(tǒng)將承受嚴(yán)重的風(fēng)險(xiǎn)。
(2)過分依賴外包商的風(fēng)險(xiǎn)�。隨著信息科技外包服務(wù)范圍的日益擴(kuò)大以及合作時(shí)間的日益加長(zhǎng)�����,銀行
3�、對(duì)外包商的依賴性會(huì)越來越強(qiáng),甚至導(dǎo)致銀行信息科技完全依賴外包商�����,信息系統(tǒng)的任何變更都要經(jīng)由外包商進(jìn)行,從而大大降低了信息系統(tǒng)靈活性�,外包商成為銀行科技發(fā)展及創(chuàng)新的主要障礙。同時(shí)�,城商行自身科技人員的技術(shù)水平和綜合能力也大大下降�����,導(dǎo)致城商行信息科技總體服務(wù)水平下降,對(duì)業(yè)務(wù)發(fā)展缺乏有效支撐����,城商行的核心競(jìng)爭(zhēng)力大大降低�。
(3)城商行對(duì)外包的審計(jì)和監(jiān)督手段僵乏。城商行在外包商選擇時(shí)會(huì)對(duì)外包商服務(wù)水平進(jìn)行適當(dāng)?shù)脑u(píng)估,而一旦簽訂外包合同��,在合同執(zhí)行期間��,城商行很少會(huì)繼續(xù)持續(xù)關(guān)注外包商的財(cái)務(wù)狀況以及支持外包業(yè)務(wù)的關(guān)鍵技術(shù)及主要人員情況�。城商行缺少必要的審計(jì)和監(jiān)督手段,導(dǎo)致外包服務(wù)水平下降�����。
(4)外包
4�����、合同缺乏靈活性和必要的約束條款��。信息科技項(xiàng)目外包合同通常由城商行科技部門牽頭與外包商簽訂��,故而在外包合同的制定過程中�,銀行方面往往容易只強(qiáng)調(diào)技術(shù)細(xì)節(jié)�����,而忽略了外包商的整體服務(wù)水平以及銀行業(yè)務(wù)需求可能發(fā)生的種種變化,合同中對(duì)外包商必須達(dá)到的服務(wù)水平以及未能達(dá)到水平時(shí)的違約條款不明確��,導(dǎo)致意外發(fā)生時(shí)���,外包商以各種理由推誘責(zé)任而銀行缺乏必要的制約手段�����。
2.來自外包商的風(fēng)險(xiǎn)
(l)外包商對(duì)城商行行的業(yè)務(wù)需求理解不清��。在需求分析階段,外包服務(wù)商沒有和銀行進(jìn)行充分的溝通和交流����,另外有時(shí)外包服務(wù)商的具有較強(qiáng)的技術(shù)水平,對(duì)信息科技的理解較為透徹�,但對(duì)銀行內(nèi)部業(yè)務(wù)的流程缺乏充分的理解����,這都會(huì)影響外包服務(wù)商
5�、的服務(wù)水平��。
(2)外包商內(nèi)部重大變化導(dǎo)致外包服務(wù)水平降低���。在外包過程中����,外包商的人���、財(cái)����、物等發(fā)生了較大的變化,特別是支持銀行信息科技外包業(yè)務(wù)的關(guān)鍵人員發(fā)生了重大變更后沒有及時(shí)的采取補(bǔ)救措施����,使銀行不能及時(shí)做好技術(shù)準(zhǔn)備和心理準(zhǔn)備��,最終導(dǎo)致外包服務(wù)無法達(dá)到預(yù)期的水平��。
(3)服務(wù)商在技術(shù)、操作方面出現(xiàn)故障或者受到外來攻擊而導(dǎo)致的信息安全風(fēng)險(xiǎn)��。在銀行信息科技外包服務(wù)過程中����,銀行將自己的部分或全部信息提供給外包服務(wù)商�,如果相應(yīng)的管理措施不到位�,將有可能導(dǎo)致外包服務(wù)商有意或無意地將銀行的敏感信息泄露,危害銀行的信息安全��。
三��、監(jiān)管建議
1.督促城商行加強(qiáng)信息科技外包制度建設(shè)。城商行應(yīng)建立完善的
6、外包管理����、外包商管理�����、外包人員管理制度���,完善外包項(xiàng)目的業(yè)務(wù)連續(xù)性計(jì)劃�����、外包信息系統(tǒng)的應(yīng)急預(yù)案,對(duì)信息科技外包合同條款進(jìn)行規(guī)范�。城商行的內(nèi)部審計(jì)部門應(yīng)對(duì)信息科技外包的發(fā)展規(guī)劃、制度的適當(dāng)性���、執(zhí)行效果進(jìn)行檢視性審計(jì)和評(píng)價(jià)�,對(duì)信息科技外包管理相關(guān)部門的履職情況進(jìn)行有效性審計(jì)�����。
2.指導(dǎo)城商行加強(qiáng)信息科技外包管理�。城商行的信息科技外包是一項(xiàng)較為復(fù)雜的管理活動(dòng)�,城商行應(yīng)采取積極的�����、必要的管理措施來盡可能的規(guī)避風(fēng)險(xiǎn)。一是明確實(shí)施信息科技外包的方式��,做好外包風(fēng)險(xiǎn)準(zhǔn)備工作。二是審慎���、規(guī)范的選擇信息科技外包商�。三是在IT外包合同執(zhí)行期間���,銀行應(yīng)高度重視對(duì)服務(wù)商進(jìn)行持續(xù)有效的監(jiān)督。
3.引導(dǎo)城商行加強(qiáng)自身科技
7、隊(duì)伍建設(shè)�。城商行防范信息技術(shù)外包風(fēng)險(xiǎn)策略最有效的措施就是加強(qiáng)自身科技人才培養(yǎng)���。監(jiān)管部門應(yīng)引導(dǎo)城商行加大對(duì)科技部門的人員投人����,制定培養(yǎng)策略。在外包過程中銀行科技人員應(yīng)對(duì)整個(gè)項(xiàng)目全權(quán)負(fù)責(zé)��,從組織協(xié)調(diào)�����、代碼編寫指導(dǎo)驗(yàn)收測(cè)試�,在信息科技外包過程中鍛煉科技隊(duì)伍�,提高城商行信息科技的整體水平,以便規(guī)避由外包商引起的各類風(fēng)險(xiǎn)����。
4.加強(qiáng)城商行外包服務(wù)商監(jiān)管。我國目前對(duì)銀行IT外包的監(jiān)管強(qiáng)調(diào)了銀行的風(fēng)險(xiǎn)管理職責(zé)��,但尚未將外包服務(wù)商(TSP)納人直接監(jiān)管對(duì)象,借鑒發(fā)達(dá)國家����,特別是美國的經(jīng)驗(yàn)��,我們認(rèn)為應(yīng)將TSP監(jiān)管歸人IT外包業(yè)務(wù)監(jiān)管體系之中���,進(jìn)一步強(qiáng)化我國銀行IT外包業(yè)務(wù)。
作者:李金洋單位:中國銀行業(yè)監(jiān)督管理委員會(huì)青島監(jiān)管局
上一個(gè)文章: 元數(shù)據(jù)倉儲(chǔ)知識(shí)庫的幾點(diǎn)認(rèn)識(shí)下一個(gè)文章: 信息科技風(fēng)險(xiǎn)安全評(píng)估標(biāo)準(zhǔn)及實(shí)踐
中小城市銀行信息科技外包風(fēng)險(xiǎn)分析
