銀行信息系統(tǒng)安全運營��,與IT外包商提供的軟硬件產品質量休戚相關�����,而IT業(yè)務外包風險貫穿于技術、產品����、系統(tǒng)、服務��、生產����、采購�����、集成�、運行���、維護等整個產品供應鏈中的各個階段�����,一旦風險與安全管理失控��,則給銀行信息系統(tǒng)建設帶來損失���。
因為IT業(yè)務外包是國內外商業(yè)銀行普遍采取的科技發(fā)展戰(zhàn)略,主機設備���、操作系統(tǒng)��、數(shù)據(jù)庫基本采購國外知名IT公司產品��,應用軟件大型商業(yè)銀行以自主研發(fā)為主�,少部分外包采購,中小銀行信息系統(tǒng)建設采取外包采購方式來完成����。因此��,做好IT業(yè)務外包風險與安全管理是銀行業(yè)IT治理的一個重要內容����。
一、IT業(yè)務外包風險分析
1����、從宏觀層面分析,產生系統(tǒng)性風險����。目前銀行業(yè)使用的IT產品如計算機CPU、操作系統(tǒng)�����、基礎應用軟件����、互聯(lián)網(wǎng)等技術都來自國外公司����,因某種原因�����,承包商所在發(fā)生戰(zhàn)爭等不可抗拒性事件時��,會造成IT供應商及其供應鏈上的公司不能正常經(jīng)營���,如果IT業(yè)務外包的是一些重要的核心業(yè)務��,則會對銀行信息系統(tǒng)安全造成重大影響���。
2、從供應商方面分析����,產生依賴性風險。目前�,國內銀行業(yè)普遍長期使用一些國內外知名廠商提供的軟硬件產品,在熟悉供應商產品的同時���,長期使用也形成了對某一供應商的依賴��,也會因外包商自身或其供應鏈上某公司出現(xiàn)問題���,造成外包商運營出現(xiàn)風險���,如果銀行沒有自己掌握外包供應商產品技術,更換新外包商會帶來成本高及影響銀行業(yè)務正常運營�。
3���、從產品供應鏈分析���,產生供應鏈風險。目前��,很多IT廠商特別是跨國IT供應商�����,把用戶訂單分包給其他外包商生產�����,當該公司供應鏈企業(yè)合作關系因某種原因出現(xiàn)問題時����,則會產生IT外包供應鏈風險��。
4�����、從采購方面分析�����,出現(xiàn)選擇性風險��。在外包供應商招投標過程中���,由于沒有對外包供應商的服務能力、技術水平����、才能力、行業(yè)信譽���、安全保護措施等方面做全面的科學分析評估�����,并受到來自各方面關系因素影響�,選擇的IT外包商各方面能力不能滿足銀行自身業(yè)務發(fā)展需要,容易出現(xiàn)項目失敗�����,造成損失���。
5���、從合規(guī)方面分析�,產生合同風險。在與IT業(yè)務外包供應商簽署合同時����,因制定的合同文本中相關合同條款描述的不到位、不詳細�,權利與義務沒有很好的說明,容易造成外包服務質量達不到預期目標甚至產生合同風險���。
6���、從道德方面分析�����,產生信息安全風險��。由于外包供應商內部控制出現(xiàn)漏洞����,本公司內部員工辭職�����,并利用到銀行工作之便�����,或者與銀行員工內外勾結����,竊取銀行客戶信息和資產,給銀行和客戶造成損失����。
7、從技術方面分析,產生技術風險��。一些IT供應商因受到自身發(fā)展瓶頸的限制��,資金和研發(fā)能力不足���,不能緊密跟蹤新技術應用����,對軟硬件產品及時進行升級改造�,則對信息系統(tǒng)應用開發(fā)和安全運營產生影響。
8����、從決策方面分析,產生戰(zhàn)略風險�����。銀行信息系統(tǒng)建設哪些部分需要外包����,哪些部分不能外包���,是選用國外廠商的信息系統(tǒng)�����,還是選擇國內IT公司的產品等����,如果沒有與本行業(yè)務經(jīng)營發(fā)展戰(zhàn)略很好的結合,深入詳細的分析論證�����,外包給IT公司���,很容易造成信息系統(tǒng)建設出現(xiàn)偏差����,不能滿足未來業(yè)務發(fā)展要求��。
9��、從服務方面分析�����,存在服務質量風險。據(jù)2004年德勤發(fā)布的《外包調查報告》稱:57%的調查者因為外包服務提供商能夠提供優(yōu)質的服務和業(yè)務創(chuàng)新選擇了外包��,31%的調查者認為服務提供商處于更有利的位置�����。在合同不完全性和雙邊壟斷的前提下���,外包商處于更有利的位置��,致使服務質量得不到有效保障�����,組織效率得不到有效提升�。
10�、從內控管理分析,存在監(jiān)督與審計缺失風險����。在IT業(yè)務外包合同執(zhí)行期間�,銀行管理部門往往忽視了對外包商的財務狀況以及支持IT外包業(yè)務的技術和關鍵人員進行有效地監(jiān)督和管理,忽視了對外包供應商及供應鏈公司的日常審計檢查�����,容易造成IT外包業(yè)務服務水平下降。
11�����、從軟件方面分析�,存在后門的風險。在銀行軟件產品開發(fā)過程中���,商業(yè)化的組件和中間件得到普遍應用��,需求內容變更�、版本升級���、打補丁���,很難做到每一次升級都對系統(tǒng)功能從頭到尾全面完整的測試,這使的軟件產品外包商及供應鏈的透明度和可追溯性追蹤變得困難�,會存在后門的風險。
二�����、IT業(yè)務外包風險與安全防范舉措
在控制IT業(yè)務外包風險與安全方面,做到心中有底�、手中有招、控制有術��,建立事前預防�����、事中控制����、事后監(jiān)督的三道防線。
(一)事前預防
在日常工作中���,各種外包風險的前期預兆是會表現(xiàn)出來的����,關鍵是沒有及時發(fā)現(xiàn)����,馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹,錯誤擴大化變成案件��,形成損失并為糾正錯誤付出高昂代價�。因此,把風險消滅在萌芽狀態(tài)�,才是風險控制的重點。
1����、制定IT業(yè)務外包戰(zhàn)略。銀監(jiān)會頒布的《銀行信息科技風險管理指引》和《商業(yè)銀行外包風險管理指引》中對外包業(yè)務都提出了要求��,重點考慮IT業(yè)務外包要能促進公司的科技業(yè)務發(fā)展��、信息系統(tǒng)安全運營和科技業(yè)務管理水平�����,緊密配合公司業(yè)務發(fā)展規(guī)劃�����,全面權衡外包的利益與風險�,決定將哪些IT業(yè)務外包,制定IT業(yè)務外包戰(zhàn)略規(guī)劃��。
2��、建立IT業(yè)務風險與安全管理體系���。體系制定要做到統(tǒng)一框架�����,統(tǒng)一標準���、統(tǒng)一措施���、統(tǒng)一監(jiān)督管理,內容由IT業(yè)務風險與安全管理策略���、管理制度與規(guī)范����、技術標準���、指引��、流程��、操作手冊等組成��。通過制定風險與安全管理體系�,指導公司IT業(yè)務風險與安全管理工作的開展,使其符合國際���、國內的有關安全標準和我國的法律法規(guī);在公司內部形成一個信息科技風險與安全管理機制,確保落實���,保護公司所有信息科技資源和資產的安全;明確信息系統(tǒng)的防護���、檢測和應急恢復等各項信息科技風險與安全管理指標、原則和違規(guī)行為的處理措施;對與公司合作組織����、商業(yè)伙伴、承包商和服務提供者提出相關的安全約束����。
3、做好IT業(yè)務風險與安全的認知與培訓�。通過舉辦培訓班、研討會����、發(fā)送郵件、贈送報刊等方式,為公司科技人員和業(yè)務人員提供IT業(yè)務風險與安全方面知識的培訓���,通過持續(xù)不斷的培訓學習�����,掌握本公司IT業(yè)務風險與安全管理制度規(guī)范���,提高全員風險與安全防范意識,積極參與信息科技風險與安全防范工作中�����,形成全員參與信息科技安全管理的風險管理文化���。
4�、建立IT業(yè)務外包供應商信息管理系統(tǒng)�,設計科學、全面的風險指標評估體系�����。6西格瑪中有句名言:有什么樣的指標���、有什么樣的結果���。建立科學的IT業(yè)務外包供應商評估指標體系���,有利于統(tǒng)一供應商與銀行的IT業(yè)務發(fā)展目標。該指標體系需要從質量�、成本、交付�����、服務�����、技術�����、資產����、流程這些方面入手���,確定外包供應商成立及上市時間�����、行業(yè)經(jīng)驗����、規(guī)模、安全��、人力����、財務、問題響應時間�、是否有產品保險、企業(yè)文化以及各種認證等重點內容����,詳細設計3K(KCS、KCSA和KRI)指標�,每一項指標都要給出相應的分值區(qū)間,通過建立外包供應商信息管理系統(tǒng)�����,把設計的評估指標納入系統(tǒng)中,詳細記錄外包供應商及其供應鏈上的各方面信息�,通過系統(tǒng)統(tǒng)計分析,從而科學有效的評估外包供應商的服務能力�����。
