更多服务

特色服务

找学习资源

查报考信息

看备考资讯

备考工具箱

报考指南

报名入口

报名流程

考试动态

考试日历

备考指南

资料中心

福利政策

热门题库

全部

北京银行：信息科技外包风险管理四步走

来源：高顿网校 2014-10-29

　　商业银行信息科技外包通过引入成熟的产品平台和专业技术服务，快速响应市场需求，降低人力资源成本，同时也带来了敏感信息泄露、服务中断、响应不及时等风险，而且过度依赖外包，将导致商业银行自主研发能力的不断减弱。因此，如何构建完善的信息科技外包管理体系，有效防范风险，成为银行科技外包管理工作的首要课题。

　　一、商业银行信息科技外包现状分析

　　商业银行由于在科技发展模式、科技规模实力方面存在差异，采取了不同的外包策略。以工商银行为代表的大型银行自身科技力量雄厚，系统建设和运行维护基本依赖行内资源，中小型商业银行和农村信用社经过近几年信息化建设快速发展，信息系统规模日趋庞大，其自身科技力量普遍不足，因此，将部分应用系统开发、主机及网络运行维护、机具运维服务等工作外包给合作服务商。目前商业银行外包模式及范围情况如下表所示。

　　信息科技外包解决了银行自身资源不足问题，一定程度上节约了成本、提高了效率，但也暴露出问题和风险隐患。一是核心技术受制于人，过度依赖于科技外包，银行有可能逐渐失去信息化建设的主动权。二是受服务提供商在实施、升级、运维服务等方面的牵制，若服务不及时，直接影响科技对业务发展的支持能力。三是客户信息保密和安全已经成为公众最为关注和忧虑的问题，科技外包加大了客户信息泄露或被不当利用的风险。

　　二、我行信息科技外包策略及现状

　　我行是一家区域性中小型商业银行，近几年业务发展迅速，科技力量不足的矛盾日益突出，基于信息科技战略、外包市场环境、自身风险控制能力制定了“保持核心技术能力，适度引进外包，防控外包风险”的科技外包策略。具体来说，在开发外包方面，坚持核心银行系统自主开发，重要系统采用合作开发模式、内部管理系统购买业内成熟产品进行客户化；在安全及运维外包方面，优先考虑国产化的外包服务，如信息安全系统[*{6}*]国内产品，网络、PC服务器及存储等设备在开发测试环境尝试使用国产化产品，逐步破解“核心技术受制于人”的难题，提高自主可控能力。

　　信息科技外包工作的开展，解决了我行自身信息科技人员不足的问题，使我行能够在较高的起点实施项目，从而快速响应市场，提升行业竞争力，为我行实现信息化建设的跨越式发展提供了有力支撑。与此同时，我们也发现在外包管理工作中，存在信息科技外包管理体系有待完善、外包风险意识需要进一步加强、外包管理相对粗放、对服务商的约束机制还不到位等问题。

　　三、我行信息科技外包管理措施

　　根据银监会监管要求和针对实际管理中存在的问题，我行完善了外包治理结构，建立了外包制度和工作流程，强化外包准入、日常管理和考核管理全生命周期管理，初步建立了较为完善的外包管理体系。

　　1．建立健全信息科技外包管理制度。制定了《北京农商银行信息科技外包管理办法》，从加强内部控制角度出发，明确信息科技外包风险评估、服务商调查、合同和外包过程监控等工作要求，着重加强对重要外包服务的管理；结合信息科技外包工作的分类，分别制定了开发外包、测试外包、运维外包3个实施细则，使外包工作有章可循。

　　2．构建合理的信息科技外包管理组织架构。建立了较为完善的信息科技外包管理组织架构，信息科技管理委员会负责外包决策，信息科技部门承担外包的管理及实施工作，风险管理及审计部门负责外包风险的管理和审计。在信息科技部门内部，专门处室对外包进行整体管理，按照“谁使用，谁负责”的原则，使用处室负责外包商的日常管理。

　　3．针对关键环节实施有效的管控工作流程。信息科技外包管理生命周期主要包括外包服务商准入、合同签订、日常管理、考核评价等管理环节，针对各环节面临的风险，实施了规范的工作流程。

　　（1）外包服务商准入。制定了较为完善的外包服务商准入流程，包括候选服务商初选、尽职调查、产品测评，由行集采中心统一组织招投标或商务谈判。建立外包服务商基本标准，明确外包服务商准入资质，在开展外包服务商尽职调查时，关注外包服务商能力与技术、服务经验、人员技能、市场评价和监督评价，尤其关注外包服务商的风险控制能力及突发事件处置能力；对外包商产品进行充分测评，确保满足我行实际管理需求，从源头上抓好外包活动的风险管控。

　　（2）合同签订。合同签订流程主要包括起草、服务商确认、法律部门审查、正式签署等环节。在合同管理中，可能面临缺少必要的合同条款或条款不清晰导致银行正当权益无法得到有效保障的风险。我行依据审慎性、可控性原则，建立并持续优化开发、测试、运维等8个合同模板，从各个IT服务领域规范服务水平条款和关键绩效指标，另外在合同中突出强调外包服务商应急处置、风险防控、保密约定、违约处罚、人员变更率等要求，强化对外包服务商的约束机制。

　　（3）日常管理。日常管理是外包管理的基础性工作，如管理不到位将会产生诸多风险。我行采取多种措施降低或消除风险：一是统一外包人员入场、离场管理，统一配置相关资源，建立外包人员信息台账。二是建立外包人员入场考查机制，采用笔试、面试方式对其专业技术水平等进行考核，通过后方可入场工作，并定期进行风险与安全知识培训。三是做好外包工作计划与控制。四是加强信息安全防范，通过环境物理隔离、用户权限的管理、敏感信息脱敏等手段避免外包人员接触我行敏感信息。五是建立应急管理机制，制定有针对性的信息科技外包业务连续性计划，识别重要业务实际的外包服务商和资源，通过合同等形式明确提前准备并维护好相关资源，对外包服务商业务连续性管理进行监控，并根据应急处理预案定期进行演练。

　　（4）考核评价管理。为保障外包服务质量，我行初步建立外包服务商服务评价体系。一是外包项目或工作结束后对外包项目或人员进行考核；二是每年对外包服务商进行服务水平和服务质量的总体评价。对于外包项目从时间进度、交付物完整性及质量、系统测试中冒烟测试通过情况、验收测试准出情况、项目投产后的故障情况等全面进行考核；对于外买人员形式的外包人员，分别从主观和客观两方面制定外包人员的定性和定量考核指标，每季度对相关人员进行考核。

　　4．采用切实可行的技术手段防范外包风险。充分应用技术手段，实现信息科技外包风险的“硬控制”。一是外包人员必须使用我行统一配置的终端，安装统一的防病毒软件及端点安全软件，禁用U盘等移动存储介质，禁止使用外包人员自带设备接入我行网络；二是外包人员使用的终端部署在独立的安全域内，该安全域与我行其他安全域进行逻辑隔离，避免外包人员向开发测试服务器或开发测试终端拷入、拷出程序；三是遵循“必需知道”和“最小授权”的原则，开放外包人员的网络访问权限和用户权限；四是严格控制外包人员对重要应用系统和数据库的访问，访问权限的增加、变更、删除应执行相关审批流程；五是外包人员在开发环境、测试环境中使用脱敏后的生产数据，确保客户信息安全。

　　扫一扫微信，*9时间获取2014年FRM考试报名时间和考试时间提醒

　　高顿网校特别提醒：已经报名2014年FRM考试的考生可按照复习计划有效进行！另外，高顿网校2014年FRM考试辅导高清课程已经开通，通过针对性地讲解、训练、答疑、模考，对学习过程进行全程跟踪、分析、指导，可以帮助考生全面提升备考效果。
　　报考指南：2014年FRM考试报考指南
　　免费题库：2014年FRM考试免费题库
　　考试辅导：FRM考试招生专题
　　高清网课：FRM考试网络课程

版权声明：本条内容自发布之日起，有效期为一个月。凡本网站注明“来源高顿教育”或“来源高顿网校”或“来源高顿”的所有作品，均为本网站合法拥有版权的作品，未经本网站授权，任何媒体、网站、个人不得转载、链接、转帖或以其他方式使用。经本网站合法授权的，应在授权范围内使用，且使用时必须注明“来源高顿教育”或“来源高顿网校”或“来源高顿”，并不得对作品中出现的“高顿”字样进行删减、替换等。违反上述声明者，本网站将依法追究其法律责任。本网站的部分资料转载自互联网，均尽力标明作者和出处。本网站转载的目的在于传递更多信息，并不意味着赞同其观点或证实其描述，本网站不对其真实性负责。如您认为本网站刊载作品涉及版权等问题，请与本网站联系(邮箱fawu@gaodun.com，电话：021-31587497)，本网站核实确认后会尽快予以处理。

展开全文咨询在线