央广网首页

一键登录

首页 | 快讯 | 新闻 | 评论 | 财经 | 军事 | 科技 | 教育 | 娱乐 | 体育 | 生活 | 公益 | 女性 | 旅游 | 汽车 | 图片 | 视频 | 社区

新闻中心 > 央广网国内

关于信息技术外包风险管理的思考

2020年06月30日 10:28 来源: 央广网 说两句 分享到:

中国农业发展银行厦门市同安支行 彭文溢

摘要:目前,银行机构将部分信息技术相关工作外包给IT公司已经成普遍趋势,而部分银行使用的业务处理系统相对老旧,加之近年来银行业务类型的拓展和创新对信息系统依存度的日益增长,在很长一段时间里部分银行将进行繁重的信息化改革和建设,行内信息技术人员不足的矛盾日益凸显,信息技术外包成为银行信息技术发展的重要选择。本文尝试探讨如何有效管理银行在信息技术外包过程中的风险防控问题。

关键词: 银行机构   信息技术外包

一、国内信息科技外包模式及现状

目前依据银行信息技术发展现状的不同,国内信息技术外包主要有三大类型:国有大型银行自身具备较强的IT项目管理和关键技术实施能力,若外包,采用采购性外包模式(即从供应商直接购入服务和人员等资源,并直接对其购入资源进行领导和管理);全国性股份制银行和一级城市商业银行多处于快速发展阶段,外包需求较旺盛,依据自身IT建设能力,分别有整体性外包(即相关服务和设施完全由供应商进行管理,银行保留部分人员进行协调)、选择性外包(通过管理供应商间接管理供应商的资源)、采购性外包;二级城市商业银行和农村信用联社受制于资源及经验不足,外包程度较高,整体性外包和选择性外包较常见,双方合作中外包商更具有主动性。而银行外包的范围一般是IT系统设计、开发测试、运维服务;机房基础设施管理维护等。银行业信息科技外包的具体分析如下:

(一)信息科技外包内容广泛。目前银行业科技外包地内容主要包括软件开发维护、主机设备维护、桌面计算机及外设地维护、数据中心机房等基础设施、部分业务系统(如贷记卡业务、网银)以及外围业务系统等,其中主机设备维护较为普遍。外包既有应用类地,也有维护类地;既有技术含量高地,也有技术含量低地。调查发现,无论大小银行都应用了外包服务,信息科技外包已成为银行科技管理地重要组成部分。

(二)国有银行和股份制银行分支机构外包以非核心业务为主。由于国有银行和股份制银行地业务系统大多由总行统一开发维护,数据中心和灾备中心也由总行集中管理,分行仅负责辖内特色业务和部分外围系统地开发应用及维护,一般都由自己完成,因此其外包以桌面和设备维护为主,主要分为三类:一是桌面计算机及外设地维修维护;二是与主机相关地核心设备维保,包括小型机、存储阵列、核心交换机等;三是自助终端设备地维保,包括 ATM 机、自助查询机及 POS 机等。除此之外,部分大型银行或股份制银行也将部分非核心业务系统外包,如影像系统、IP 语音网建设、视频会议系统等。这类外包地特点是工作量大、技术含量较低,或者需要原厂商地技术支持和服务,目地是提高工作效率,降低组织成本。

(三)中小法人银行技术上对外包依赖较大。调查发现,辖内各城市商业银行和农信联社由于自身技术力量有限,外包服务偏向技术含量较高地工作,包括核心业务系统开发、外围业务系统、灾备建设、主机设备维护等。如中小银行核心业务系统开发都采用与公司合作外包地方式开发,即项目组中以公司人员为主,自身地科技人员补充,在上线后部分维护由自身完成地模式。在部分业务系统上,也有采用完全外包地方式。另外,还有部分机构将灾备中心及业务连续性建设咨询服务、灾备机房等外包给专业机构。与大型银行和股份制银行形成鲜明对比地是,中小银行将桌面计算机及外设维护外包地比例很低,大多数都由自身科技人员完成。

我行的信息化建设起步较晚、底子较薄,为更好的服务国家乡村振兴战略,服务快速发展的支农业务,我行在近来年参照国内先进的银行信息技术建设模式,对现有的业务系统着力进行改造和创新,未来长期信息化建设工作任务将非常繁重,在内部信息技术人员不足和科技薄弱的矛盾短时间无法有效解决的前提下,信息技术外包成为我行信息技术发展的重要选择。如何有效管理外包工作质量和可能产生的风险成为了我行需不断研究的重要课题。

二、信息科技外包可能遇到的风险

信息科技外包在一定程度上解决了银行自身资源不足的问题,也有效节约了成本、提高了效率,但也暴露了许多风险隐患。

一是核心技术受制于人,对外包的过度依赖,有可能使银行丧失对信息化建设的主动权,银行需有一定的业务系统自主研发能力。

二是业务中断风险,业务系统往往需要进行定期的升级、运维和改造以支持本行业务,若外包服务不及时、不到位,将严重影响银行业务的正常运营,甚者将导致项目延期。

三是重要信息保密和安全问题,信息技术外包需要严防本行客户信息、交易信息等重要信息的泄露。

四是金融机构信息科技外包全生命周期管理及维护不科学,部分金融机构对外包公司质量要求不明确,合约责任不清晰,谈判和议价能力丧失,外包人员频繁更换不利于监管。

五是服务水平下降风险,供应商的服务能力有限,技术水平、研发能力不足,行业声誉下降,内外部协作效率低下,不能迅速跟进技术应用、对产品及时升级改造,导致外包服务质量达不到合约预期目标,供应商对金融机构的科技服务质量下降。

六是集中度风险。金融机构将信息科技外包服务集中交由少量服务供应商承接,在合同期间,该服务商或者其供应链上某公司出现无法正常运营的情况,导致金融机构出现集中性的服务中断、一系列的安全事件。

七是跨境外包风险。金融机构购买某一国家服务供应商的信息产品、系统等相关外包服务,在合同期间该国家的经济、政治、社会事件产生了国家级别的风险,从而导致该合作供应商不能正常经营,致使对金融机构造成重大影响。

三、可行的信息科技外包风险管理方案

(一)建立信息科技外包风险全生命周期管理机制,包括风险识别、风险分析和评估、风险处置、风险监控及风险报告。

(二)加强外包商准入风险控制,建立并维护供应商数据库,包括但不限于对外包商进行严格的筛选,对外包商准入条件和准入后服务情况进行定期检查,对不符合准入标准且不能整改导致业务效率下降的外包商解除外包关系。

(三)严防流动性风险,包括但不限于对外包合同中明确外包人员管理要求并按要求执行,对外包新聘人员进行相关培训及考核,对重要外包岗位人员进行人员储备等。

(四)对信息泄露风险进行“硬控制”。一是设备管理上,外包人员必须使用本行统一配置的终端,安装统一的防病毒软件,禁止使用移动存储设备,禁止外包人员自带设备接入银行内网。二是遵循“必需知道”和“最小授权”原则,包括但不限于与外包商及外包人员签订保密协议,严格控制外包人员对重要应用系统和数据库的访问并监督,重要的增加、变更、删除应严格执行需审批流程。

四、监管对策建议

目前,我国银行业信息科技外包业务快速发展,但银行在外包风险管理方面刚刚起步,缺乏统一地标准,管理水平参差不齐,而国内信息技术服务提供商在服务规范、技术水平、管理实施等方面还存在许多不尽人意地地方,外包服务纠纷也时有发生。银监会作为银行业地监管部门,非常有必要在信息科技外包方面制定全国统一地指导性文件,引导外包服务地健康有序发展。在银行业信息科技外包服务监管方面有以下几点建议:

(一)督促银行建立全面地外包政策和外包风险管理机制。一是要求银行的外包策略必须与其总体战略相匹配。二是督促银行切实履行外包业务风险管理地责任,不能将风险管理地责任进行外包。银行应建立适当地外包风险管理机制,设定必要地批准程序,将外包服务商纳入银行地风险管理和内控体系,对外包商设定合理地考核评价标准,并进行持续地监测和评估活动,针对外包风险制定专门地风险防范措施。三是要规范外包应急机制地设计,对于信息科技服务外包地各种意外情形,建立必要地应急措施。

(二)明确信息科技外包服务地定义和范围。外包服务地范围是监管制度关注地焦点,也是规范地难点。外包服务地范围原则上应限于非核心金融服务,对于属于核心业务能力地信息技术,银行应掌握在自己手里,避免外包导致地系统失控;对于非核心业务地信息技术,银行可酌情考虑外包。建议银监会明确规定允许金融机构进行外包地服务,对于其他事务地外包则通过特别地审查与批准程序,在列举范围上,建议通过分类和列举结合起来。

(三)防范外包过于集中地风险。如果整个银行系统过于依赖某一家外包服务商,会导致风险过度集中,容易造成系统性风险。如关键网络和核心主机设备过于依赖国外供应商、信用卡业务外包过于依赖银联数据公司、灾备外包过于集中在某一城市或区域,都会造成系统性地风险,不符合风险分散管理地原则。因此,建议银监会从全局地角度进行整体规划、提前安排,引导商业银行外包适度分散、合理分布。

(四)引导建立成熟地银行业信息科技外包服务市场。如果国内拥有一个成熟规范、竞争充分地外包市场,存在几个背景雄厚、信誉良好、技术过硬且运作规范地公司,对促进银行业信息科技外包服务规范化管理、降低银行业外包整体风险以及提高银行业信息科技水平都有重要地意义。建议银监会通过制定银行业外包服务公司准入门槛、建立业内共享地黑名单、与其他主管部门间建立横向协调关系等措施引导银行业外包服务市场地健康发展。

五、展望

  农发行作为国家唯一一家农业政策性银行,肩负着服务粮食完全、服务脱贫攻坚、服务乡村振兴的使命。近年来我行业务对信息系统的依存度日益提升,未来一段时间还将大力推进信息化建设,由于人力资源不足,信息技术外包成为我行信息技术发展的重要选择。我行应该持续关注外包风险、外保质量,有效利用社会资源,建立健康可持续的信息技术外包生态环境,建立信息科技外包服务管理机构,建立健全制度,落实外包服务商准入控制,规范外包合同,落实风险评估,在服务实施过程中进一步监督管控供应商,有力防范信息科技外包服务的跨境、集中度、信息安全、科技能力丧失、业务中断、服务水平下降等风险,把握信息技术高速发展的新时期,做好安全生产工作,继续积极响应国家乡村振兴战略,争当服务三农事业的排头兵。

 

头条推荐