銀行信息系統(tǒng)安全運營��,與IT外包商提供的軟硬件產(chǎn)品質(zhì)量休戚相關(guān)��,而IT業(yè)務外包風險貫穿于技術(shù)��、產(chǎn)品����、系統(tǒng)、服務��、生產(chǎn)����、采購�����、集成�����、運行�����、維護等整個產(chǎn)品供應鏈中的各個階段����,一旦風險與安全管理失控,則給銀行信息系統(tǒng)建設帶來損失��。
因為IT業(yè)務外包是國內(nèi)外商業(yè)銀行普遍采取的科技發(fā)展戰(zhàn)略�,主機設備���、操作系統(tǒng)、數(shù)據(jù)庫基本采購國外知名IT公司產(chǎn)品�,應用軟件大型商業(yè)銀行以自主研發(fā)為主,少部分外包采購�����,中小銀行信息系統(tǒng)建設采取外包采購方式來完成��。因此��,做好IT業(yè)務外包風險與安全管理是銀行業(yè)IT治理的一個重要內(nèi)容���。
一���、IT業(yè)務外包風險分析
1、從宏觀層面分析��,產(chǎn)生系統(tǒng)性風險���。目前銀行業(yè)使用的IT產(chǎn)品如計算機CPU��、操作系統(tǒng)�����、基礎應用軟件����、互聯(lián)網(wǎng)等技術(shù)都來自國外公司,因某種原因��,承包商所在發(fā)生戰(zhàn)爭等不可抗拒性事件時�����,會造成IT供應商及其供應鏈上的公司不能正常經(jīng)營��,如果IT業(yè)務外包的是一些重要的核心業(yè)務���,則會對銀行信息系統(tǒng)安全造成重大影響。
2��、從供應商方面分析�����,產(chǎn)生依賴性風險。目前��,國內(nèi)銀行業(yè)普遍長期使用一些國內(nèi)外知名廠商提供的軟硬件產(chǎn)品�����,在熟悉供應商產(chǎn)品的同時��,長期使用也形成了對某一供應商的依賴����,也會因外包商自身或其供應鏈上某公司出現(xiàn)問題,造成外包商運營出現(xiàn)風險�����,如果銀行沒有自己掌握外包供應商產(chǎn)品技術(shù)�����,更換新外包商會帶來成本高及影響銀行業(yè)務正常運營�。
3、從產(chǎn)品供應鏈分析��,產(chǎn)生供應鏈風險���。目前�,很多IT廠商特別是跨國IT供應商,把用戶訂單分包給其他外包商生產(chǎn)����,當該公司供應鏈企業(yè)合作關(guān)系因某種原因出現(xiàn)問題時,則會產(chǎn)生IT外包供應鏈風險����。
4、從采購方面分析����,出現(xiàn)選擇性風險�����。在外包供應商招投標過程中�,由于沒有對外包供應商的服務能力、技術(shù)水平�����、才能力���、行業(yè)信譽����、安全保護措施等方面做全面的科學分析評估,并受到來自各方面關(guān)系因素影響�,選擇的IT外包商各方面能力不能滿足銀行自身業(yè)務發(fā)展需要,容易出現(xiàn)項目失敗�����,造成損失���。
5�����、從合規(guī)方面分析�,產(chǎn)生合同風險��。在與IT業(yè)務外包供應商簽署合同時�,因制定的合同文本中相關(guān)合同條款描述的不到位、不詳細���,權(quán)利與義務沒有很好的說明����,容易造成外包服務質(zhì)量達不到預期目標甚至產(chǎn)生合同風險。
6���、從道德方面分析�,產(chǎn)生信息安全風險�����。由于外包供應商內(nèi)部控制出現(xiàn)漏洞���,本公司內(nèi)部員工辭職�����,并利用到銀行工作之便����,或者與銀行員工內(nèi)外勾結(jié)�����,竊取銀行客戶信息和資產(chǎn)�,給銀行和客戶造成損失。
7�����、從技術(shù)方面分析���,產(chǎn)生技術(shù)風險�。一些IT供應商因受到自身發(fā)展瓶頸的限制�,資金和研發(fā)能力不足,不能緊密跟蹤新技術(shù)應用�,對軟硬件產(chǎn)品及時進行升級改造,則對信息系統(tǒng)應用開發(fā)和安全運營產(chǎn)生影響�。
8、從決策方面分析����,產(chǎn)生戰(zhàn)略風險。銀行信息系統(tǒng)建設哪些部分需要外包�����,哪些部分不能外包�����,是選用國外廠商的信息系統(tǒng),還是選擇國內(nèi)IT公司的產(chǎn)品等�����,如果沒有與本行業(yè)務經(jīng)營發(fā)展戰(zhàn)略很好的結(jié)合�����,深入詳細的分析論證�,外包給IT公司,很容易造成信息系統(tǒng)建設出現(xiàn)偏差��,不能滿足未來業(yè)務發(fā)展要求�。
9、從服務方面分析��,存在服務質(zhì)量風險����。據(jù)2004年德勤發(fā)布的《外包調(diào)查報告》稱:57%的調(diào)查者因為外包服務提供商能夠提供優(yōu)質(zhì)的服務和業(yè)務創(chuàng)新選擇了外包,31%的調(diào)查者認為服務提供商處于更有利的位置�����。在合同不完全性和雙邊壟斷的前提下�,外包商處于更有利的位置,致使服務質(zhì)量得不到有效保障���,組織效率得不到有效提升�。
10�、從內(nèi)控管理分析,存在監(jiān)督與審計缺失風險���。在IT業(yè)務外包合同執(zhí)行期間���,銀行管理部門往往忽視了對外包商的財務狀況以及支持IT外包業(yè)務的技術(shù)和關(guān)鍵人員進行有效地監(jiān)督和管理,忽視了對外包供應商及供應鏈公司的日常審計檢查���,容易造成IT外包業(yè)務服務水平下降�����。
11���、從軟件方面分析,存在后門的風險�����。在銀行軟件產(chǎn)品開發(fā)過程中,商業(yè)化的組件和中間件得到普遍應用�����,需求內(nèi)容變更��、版本升級����、打補丁,很難做到每一次升級都對系統(tǒng)功能從頭到尾全面完整的測試�����,這使的軟件產(chǎn)品外包商及供應鏈的透明度和可追溯性追蹤變得困難����,會存在后門的風險。
二��、IT業(yè)務外包風險與安全防范舉措
在控制IT業(yè)務外包風險與安全方面��,做到心中有底�、手中有招、控制有術(shù),建立事前預防���、事中控制、事后監(jiān)督的三道防線��。
(一)事前預防
在日常工作中����,各種外包風險的前期預兆是會表現(xiàn)出來的,關(guān)鍵是沒有及時發(fā)現(xiàn)����,馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹,錯誤擴大化變成案件����,形成損失并為糾正錯誤付出高昂代價。因此��,把風險消滅在萌芽狀態(tài)��,才是風險控制的重點�。
1、制定IT業(yè)務外包戰(zhàn)略�。銀監(jiān)會頒布的《銀行信息科技風險管理指引》和《商業(yè)銀行外包風險管理指引》中對外包業(yè)務都提出了要求,重點考慮IT業(yè)務外包要能促進公司的科技業(yè)務發(fā)展、信息系統(tǒng)安全運營和科技業(yè)務管理水平�,緊密配合公司業(yè)務發(fā)展規(guī)劃,全面權(quán)衡外包的利益與風險���,決定將哪些IT業(yè)務外包��,制定IT業(yè)務外包戰(zhàn)略規(guī)劃���。
2、建立IT業(yè)務風險與安全管理體系����。體系制定要做到統(tǒng)一框架,統(tǒng)一標準�����、統(tǒng)一措施��、統(tǒng)一監(jiān)督管理�,內(nèi)容由IT業(yè)務風險與安全管理策略、管理制度與規(guī)范����、技術(shù)標準��、指引�����、流程����、操作手冊等組成�����。通過制定風險與安全管理體系����,指導公司IT業(yè)務風險與安全管理工作的開展����,使其符合國際、國內(nèi)的有關(guān)安全標準和我國的法律法規(guī);在公司內(nèi)部形成一個信息科技風險與安全管理機制����,確保落實,保護公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護���、檢測和應急恢復等各項信息科技風險與安全管理指標���、原則和違規(guī)行為的處理措施;對與公司合作組織�、商業(yè)伙伴����、承包商和服務提供者提出相關(guān)的安全約束。
3��、做好IT業(yè)務風險與安全的認知與培訓�����。通過舉辦培訓班����、研討會、發(fā)送郵件����、贈送報刊等方式,為公司科技人員和業(yè)務人員提供IT業(yè)務風險與安全方面知識的培訓����,通過持續(xù)不斷的培訓學習��,掌握本公司IT業(yè)務風險與安全管理制度規(guī)范��,提高全員風險與安全防范意識��,積極參與信息科技風險與安全防范工作中��,形成全員參與信息科技安全管理的風險管理文化�����。
4、建立IT業(yè)務外包供應商信息管理系統(tǒng)����,設計科學、全面的風險指標評估體系���。6西格瑪中有句名言:有什么樣的指標��、有什么樣的結(jié)果��。建立科學的IT業(yè)務外包供應商評估指標體系�����,有利于統(tǒng)一供應商與銀行的IT業(yè)務發(fā)展目標���。該指標體系需要從質(zhì)量�����、成本�����、交付����、服務���、技術(shù)����、資產(chǎn)��、流程這些方面入手��,確定外包供應商成立及上市時間���、行業(yè)經(jīng)驗��、規(guī)模���、安全��、人力�����、財務��、問題響應時間��、是否有產(chǎn)品保險、企業(yè)文化以及各種認證等重點內(nèi)容��,詳細設計3K(KCS�����、KCSA和KRI)指標�����,每一項指標都要給出相應的分值區(qū)間,通過建立外包供應商信息管理系統(tǒng)��,把設計的評估指標納入系統(tǒng)中���,詳細記錄外包供應商及其供應鏈上的各方面信息��,通過系統(tǒng)統(tǒng)計分析�,從而科學有效的評估外包供應商的服務能力�。
