《中小城市銀行信息科技外包風(fēng)險分析》由會員分享���,可在線閱讀����,更多相關(guān)《中小城市銀行信息科技外包風(fēng)險分析(2頁珍藏版)》請在裝配圖網(wǎng)上搜索��。
1��、中小城市銀行信息科技外包風(fēng)險分析
中小城市銀行信息科技外包風(fēng)險分析
2013/09/23
一��、銀行科技信息外包現(xiàn)狀
一是外包人員數(shù)量多����,安全防范措施少。如某銀行2011年信息科技外包工作總量11755人月���,其中人員服務(wù)類工作總量2555人月����,外包商在銀行駐點(diǎn)人員兩百多人�,但該行僅與外包公司簽訓(xùn)外包人員管理協(xié)議》,未與個人簽訂相應(yīng)的保密協(xié)議����,而外包公司對人員管理相對粗放,導(dǎo)致銀行對外包人員的安全防范措施相對薄弱�。二是外包費(fèi)用高,外包服務(wù)水平較低��。如某銀行2011年信息科技
2����、投人7534萬元,其中外包費(fèi)用5262萬元��,占信息科技總投人的69.8%����,而缺乏完善的外包商管理制度�����,部分外包合同對外包商約束不足�,導(dǎo)致外包服務(wù)水平較低���。
二�、城商行信息科技外包風(fēng)險分析
信息科技外包可能為城商行降低成本����,將精力集中于核心業(yè)務(wù),提高銀行的核心競爭力����,但同時也為其帶來了新的風(fēng)險。
1.來自銀行的風(fēng)險
(l)外包商選擇的風(fēng)險�。產(chǎn)生這一風(fēng)險是由于銀行不能對外包商的綜合水平進(jìn)行正確評估而只看到其局部優(yōu)勢。一旦選擇了不合適的外包商��,外包服務(wù)質(zhì)量將難以保證��,外包的信息系統(tǒng)將承受嚴(yán)重的風(fēng)險�。
(2)過分依賴外包商的風(fēng)險。隨著信息科技外包服務(wù)范圍的日益擴(kuò)大以及合作時間的日益加長���,銀行
3�����、對外包商的依賴性會越來越強(qiáng)���,甚至導(dǎo)致銀行信息科技完全依賴外包商,信息系統(tǒng)的任何變更都要經(jīng)由外包商進(jìn)行�,從而大大降低了信息系統(tǒng)靈活性,外包商成為銀行科技發(fā)展及創(chuàng)新的主要障礙���。同時����,城商行自身科技人員的技術(shù)水平和綜合能力也大大下降��,導(dǎo)致城商行信息科技總體服務(wù)水平下降�����,對業(yè)務(wù)發(fā)展缺乏有效支撐����,城商行的核心競爭力大大降低�。
(3)城商行對外包的審計和監(jiān)督手段僵乏�。城商行在外包商選擇時會對外包商服務(wù)水平進(jìn)行適當(dāng)?shù)脑u估,而一旦簽訂外包合同����,在合同執(zhí)行期間,城商行很少會繼續(xù)持續(xù)關(guān)注外包商的財務(wù)狀況以及支持外包業(yè)務(wù)的關(guān)鍵技術(shù)及主要人員情況���。城商行缺少必要的審計和監(jiān)督手段�,導(dǎo)致外包服務(wù)水平下降����。
(4)外包
4、合同缺乏靈活性和必要的約束條款���。信息科技項目外包合同通常由城商行科技部門牽頭與外包商簽訂����,故而在外包合同的制定過程中��,銀行方面往往容易只強(qiáng)調(diào)技術(shù)細(xì)節(jié),而忽略了外包商的整體服務(wù)水平以及銀行業(yè)務(wù)需求可能發(fā)生的種種變化�,合同中對外包商必須達(dá)到的服務(wù)水平以及未能達(dá)到水平時的違約條款不明確����,導(dǎo)致意外發(fā)生時,外包商以各種理由推誘責(zé)任而銀行缺乏必要的制約手段�����。
2.來自外包商的風(fēng)險
(l)外包商對城商行行的業(yè)務(wù)需求理解不清�����。在需求分析階段����,外包服務(wù)商沒有和銀行進(jìn)行充分的溝通和交流,另外有時外包服務(wù)商的具有較強(qiáng)的技術(shù)水平����,對信息科技的理解較為透徹,但對銀行內(nèi)部業(yè)務(wù)的流程缺乏充分的理解����,這都會影響外包服務(wù)商
5、的服務(wù)水平。
(2)外包商內(nèi)部重大變化導(dǎo)致外包服務(wù)水平降低�����。在外包過程中�,外包商的人、財�����、物等發(fā)生了較大的變化��,特別是支持銀行信息科技外包業(yè)務(wù)的關(guān)鍵人員發(fā)生了重大變更后沒有及時的采取補(bǔ)救措施��,使銀行不能及時做好技術(shù)準(zhǔn)備和心理準(zhǔn)備����,最終導(dǎo)致外包服務(wù)無法達(dá)到預(yù)期的水平。
(3)服務(wù)商在技術(shù)����、操作方面出現(xiàn)故障或者受到外來攻擊而導(dǎo)致的信息安全風(fēng)險。在銀行信息科技外包服務(wù)過程中�,銀行將自己的部分或全部信息提供給外包服務(wù)商,如果相應(yīng)的管理措施不到位�����,將有可能導(dǎo)致外包服務(wù)商有意或無意地將銀行的敏感信息泄露,危害銀行的信息安全���。
三����、監(jiān)管建議
1.督促城商行加強(qiáng)信息科技外包制度建設(shè)���。城商行應(yīng)建立完善的
6、外包管理����、外包商管理、外包人員管理制度�,完善外包項目的業(yè)務(wù)連續(xù)性計劃、外包信息系統(tǒng)的應(yīng)急預(yù)案�,對信息科技外包合同條款進(jìn)行規(guī)范。城商行的內(nèi)部審計部門應(yīng)對信息科技外包的發(fā)展規(guī)劃����、制度的適當(dāng)性、執(zhí)行效果進(jìn)行檢視性審計和評價�,對信息科技外包管理相關(guān)部門的履職情況進(jìn)行有效性審計。
2.指導(dǎo)城商行加強(qiáng)信息科技外包管理。城商行的信息科技外包是一項較為復(fù)雜的管理活動�����,城商行應(yīng)采取積極的�����、必要的管理措施來盡可能的規(guī)避風(fēng)險����。一是明確實施信息科技外包的方式,做好外包風(fēng)險準(zhǔn)備工作��。二是審慎����、規(guī)范的選擇信息科技外包商。三是在IT外包合同執(zhí)行期間����,銀行應(yīng)高度重視對服務(wù)商進(jìn)行持續(xù)有效的監(jiān)督。
3.引導(dǎo)城商行加強(qiáng)自身科技
7���、隊伍建設(shè)����。城商行防范信息技術(shù)外包風(fēng)險策略最有效的措施就是加強(qiáng)自身科技人才培養(yǎng)。監(jiān)管部門應(yīng)引導(dǎo)城商行加大對科技部門的人員投人�����,制定培養(yǎng)策略��。在外包過程中銀行科技人員應(yīng)對整個項目全權(quán)負(fù)責(zé)�,從組織協(xié)調(diào)、代碼編寫指導(dǎo)驗收測試��,在信息科技外包過程中鍛煉科技隊伍�����,提高城商行信息科技的整體水平�,以便規(guī)避由外包商引起的各類風(fēng)險�����。
4.加強(qiáng)城商行外包服務(wù)商監(jiān)管��。我國目前對銀行IT外包的監(jiān)管強(qiáng)調(diào)了銀行的風(fēng)險管理職責(zé)���,但尚未將外包服務(wù)商(TSP)納人直接監(jiān)管對象����,借鑒發(fā)達(dá)國家,特別是美國的經(jīng)驗���,我們認(rèn)為應(yīng)將TSP監(jiān)管歸人IT外包業(yè)務(wù)監(jiān)管體系之中����,進(jìn)一步強(qiáng)化我國銀行IT外包業(yè)務(wù)��。
作者:李金洋單位:中國銀行業(yè)監(jiān)督管理委員會青島監(jiān)管局
上一個文章: 元數(shù)據(jù)倉儲知識庫的幾點(diǎn)認(rèn)識下一個文章: 信息科技風(fēng)險安全評估標(biāo)準(zhǔn)及實踐
中小城市銀行信息科技外包風(fēng)險分析
