广发银行股份有限公司信息技术部总经理 徐徽
随着业务的快速发展,银行对信息科技呈现出高度依赖的趋势,而市场上信息科技新技术、新产品迅速更新和发展,银行很难在短时间内掌握所需的全部新技术。为适应市场竞争和客户需求, 缩短金融产品开发周期,商业银行普遍将信息科技外包作为提高信息科技服务水平的重要手段,以提高管理和服务效率,节约信息科技建设和运维成本。
近年来,商业银行信息科技外包范围日益扩大、规模快速增长,部分规模较大的外包服务提供商对金融行业的影响范围和程度日益增大,它们在数据中心基础设施、应用系统建设及运维等重要领域集中为多家银行业金融机构提供服务,一旦出现服务中断、质量下降、信息泄露等风险事件,将对银行信息系统及业务服务的安全稳定造成严重影响;而一些规模较小的外包服务提供商,由于本身的风险意识不足,信息安全管理体系建设相对滞后,也容易引发信息安全风险。因此,信息科技外包风险已成为银行业当前和今后一段时期信息科技风险防范的主要任务。
一、《外包指引》出台的必要性和重要意义
面对日益严峻的银行业信息科技外包风险形势,监管机构的重视程度日益提高,监管要求也在逐步加强。银监会于2010 年和2013 年,先后出台了《银行业金融机构外包风险管理指引》和《银行业金融机构信息科技外包风险监管指引》(简称《外包指引》),要求商业银行在IT 外包过程中不得将信息科技管理责任外包,引导银行将信息科技外包管理纳入全面风险管理体系。《外包指引》更进一步明确了信息科技外包的定义范围和基本原则,规范了银行信息科技外包风险管理的组织架构和战略内容,细化了信息科技外包活动各阶段、各环节的风险控制及管理要求,并针对重要、特殊类型的外包服务商提出了相应的管理要求,既有战略高度又有具体执行的细度,为银行业金融机构从内控角度建立信息科技外包管理体系、战略方针和工作机制等提供了重要指导,必将进一步促进我国银行业信息科技外包的良性发展和规范运作。
二、广发银行信息科技外包管理的思考与实践
为有效降低和防范信息科技外包风险,广发银行根据《外包指引》的各项要求,结合实际情况,主动思考、积极实践银行信息科技外包管理体系的建设和运作,以信息科技风险管理三道防线为依托,建立信息科技外包事前预防、事中控制、事后评价的运作模式,贯彻落实各项管理要求,取得了较好的效果。
1. 宏观层面,《外包指引》明确了信息科技外
包风险管理体系和重要、特殊类型外包风险的管理要求,包括组织架构、管理战略和风险管理三个方面在组织架构方面,广发银行结合自身信息科技风险防范组织体系,明确规定了董事会与高级管理层、信息科技外包审计部门、信息科技外包风险管理主管部门、信息科技外包执行部门四个层级在外包管理方面的具体职责。落实执行的重点在于明确各个层级的具体部门,并建立相应的工作汇报及沟通交流机制。同时明确,信息科技外包执行部门不仅限于信息科技部门,由于业务外包中的信息科技活动也列入了信息科技外包范畴,因此相关业务部门也是信息科技外包执行部门。此外,要求涉及信息系统开发、运行维护和数据处理活动的各类业务外包活动也必须遵循《外包指引》的要求。
在管理战略方面,广发银行基于自身信息科技战略、风险控制能力、风险偏好和外包市场环境,重点明确不能外包的职能、资源能力建设方案、外包商关系管理策略和外包分级管理策略。为形成外包管理的良性循环,广发银行按照“级差准入、持续评价、合作竞争、能上能下”的原则,对外包服务商进行差别化的准入、遴选、维护管理。首先,建立外包服务商准入与退出机制,对外包服务商开展深入的尽职调查,综合评价外包服务商的资质、能力、信誉、服务意愿等,遵循公开、公平、公正、竞争和效益的原则甄选合适的外包服务商;其次,建立外包服务监控机制,在合同中明确外包服务内容和质量监控指标,持续监控外包服务全过程,及时发现问题并督促外包商纠正改进;最后,建立外包服务后评价机制,全面综合评价外包服务的执行情况和执行效果,并将外包服务后评价结果作为外包服务商准入的重要参考依据,选优汰劣,在降低采购成本的同时,促进外包服务商不断提高服务质量和效率。
在风险管理方面,广发银行根据《外包指引》要求,结合实际情况,制定了明确的外包风险识别判断标准,识别确定重要外包商、机构集中度高外包商、跨境外包商和非驻场外包商的范围,针对各类信息科技外包活动存在的固有风险,定期分析评估已采取的风险控制措施的有效性和完备性,针对评估发现的风险和不足,制定改进措施和计划并落实整改,重点控制防范外包服务活动可能导致的科技能力丧失、服务水平下降、业务中断、信息泄露等风险,避免因过度依赖外包商导致自身核心竞争力的弱化以及未来业务发展受限。
2. 微观层面,《外包指引》明确了信息科技外
包活动在事前预防、事中控制、事后评价三个不同阶段的具体管理要求,包括外包项目风险评估、外包商准入审查、外包合同约定、外包服务监控与评价、外包服务中断与终止
在事前预防阶段,风险控制的重点为及早发现各种外包风险在日常工作中的前期征兆,并立即予以纠正或防范,把风险消灭在萌芽状态,避免因对发现的问题思想麻痹、错误处理而造成风险事件,形成损失并为纠正错误付出高昂代价。一是开展外包项目风险评估,根据信息科技外包项目背景、目的、范围、性质,评估可能存在的法律风险、合规风险、操作风险,评估供应商的技术能力、专业经验、业务规模、业务策略及风险控制能力等,并采取相应的风险处置措施,不因外包活动的引入而增加整体剩余风险;二是开展外包商尽职调查,由外包服务商管理部门、采购主管部门和采购需求部门安排人员组成尽职调查小组,调查评估外包服务商的技术实力、服务质量、财务稳健性、经营声誉、企业文化、管理能力、突发事件应对能力、从业时间、行业经验、市场地位及发展趋势、与广发银行合作情况等,综合选择适当的外包服务商,避免外包服务高度集中于个别外包服务商。
在事中控制阶段,重点做好外包项目建设或服务实施的计划与控制,及时发现问题、反馈问题、了解原因、解决问题,确保实现信息科技外包目标。首先,根据外包服务需求、风险评估及尽职调查结果,与外包服务商签署商务合同,在合同中明确外包服务范围、责任分配、交付验收要求、合规与内控要求、安全与保密要求、服务连续性要求、服务转包要求、配合监管检查要求、变更及终止条件、知识产权要求、服务水平条款、争端解决机制、违约赔偿条款、事件报告条款等内容,合理规避和防范外包风险的发生。其次,建立服务水平监控评价机制,持续监控合同执行情况和外包服务质量,定期评估信息系统和基础设施的可用性,分析重要设备的开机率、故障次数、故障解决率、故障响应时间、客户满意度等服务质量监控指标,密切关注外包服务商的财务、内控及安全管理情况。监控到异常情况时,立即督促外包服务商采取纠正措施并限期整改,防范外包服务意外终止或服务质量急剧下降对广发银行业务开展产生大面积影响。最后,建立信息科技外包风险应急管理机制,制定专门的外包风险应急预案及操作规程,每年组织开展桌面模拟演练,验证外包风险应急预案及操作规程的有效性和可行性,防范因外包服务意外终止而给广发银行带来的损失和风险。
在事后评价阶段,重点做好外包服务商后评价和外包人员离场安全检查,一是对外包服务终止及信息系统下线等工作开展信息安全检查,包括外包服务商是否遵循外包合同约定的保密要求,清理其信息系统上遗留的广发银行数据。外包服务商人员离场前是否完成工作交接、用户权限清理、物品交接等,防范因外包服务终止而产生的信息泄露风险。二是根据外包项目或外包服务的具体情况采用电话咨询、问卷调查、访谈以及现场考察等方式开展外包服务商后评价,综合评估外包服务商提供产品或服务的质量和性能、客户体验效果、售后服务质量以及外包合同履行情况,并根据后评价结果相应调整外包服务商等级,作为以后选择外包服务商的重要参考依据。
信息科技外包风险管理将是商业银行面临的一项重要的长期任务,对于信息科技外包管理体系的建设和运作,广发银行一边思考研究、一边实践应用,积极探索,持续改进,做好信息科技外包风险管理工作,提高整体的信息科技风险防控水平。
|