美章网 资料文库 中小城市银行信息科技外包风险分析范文

中小城市银行信息科技外包风险分析范文

本站小编为你精心准备了中小城市银行信息科技外包风险分析参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

中小城市银行信息科技外包风险分析

一、银行科技信息外包现状

一是外包人员数量多,安全防范措施少。如某银行2011年信息科技外包工作总量11755人月,其中人员服务类工作总量2555人月,外包商在银行驻点人员两百多人,但该行仅与外包公司签训外包人员管理协议》,未与个人签订相应的保密协议,而外包公司对人员管理相对粗放,导致银行对外包人员的安全防范措施相对薄弱。二是外包费用高,外包服务水平较低。如某银行2011年信息科技投人7534万元,其中外包费用5262万元,占信息科技总投人的69.8%,而缺乏完善的外包商管理制度,部分外包合同对外包商约束不足,导致外包服务水平较低。

二、城商行信息科技外包风险分析

信息科技外包可能为城商行降低成本,将精力集中于核心业务,提高银行的核心竞争力,但同时也为其带来了新的风险。

1.来自银行的风险

(l)外包商选择的风险。产生这一风险是由于银行不能对外包商的综合水平进行正确评估而只看到其局部优势。一旦选择了不合适的外包商,外包服务质量将难以保证,外包的信息系统将承受严重的风险。

(2)过分依赖外包商的风险。随着信息科技外包服务范围的日益扩大以及合作时间的日益加长,银行对外包商的依赖性会越来越强,甚至导致银行信息科技完全依赖外包商,信息系统的任何变更都要经由外包商进行,从而大大降低了信息系统灵活性,外包商成为银行科技发展及创新的主要障碍。同时,城商行自身科技人员的技术水平和综合能力也大大下降,导致城商行信息科技总体服务水平下降,对业务发展缺乏有效支撑,城商行的核心竞争力大大降低。

(3)城商行对外包的审计和监督手段僵乏。城商行在外包商选择时会对外包商服务水平进行适当的评估,而一旦签订外包合同,在合同执行期间,城商行很少会继续持续关注外包商的财务状况以及支持外包业务的关键技术及主要人员情况。城商行缺少必要的审计和监督手段,导致外包服务水平下降。

(4)外包合同缺乏灵活性和必要的约束条款。信息科技项目外包合同通常由城商行科技部门牵头与外包商签订,故而在外包合同的制定过程中,银行方面往往容易只强调技术细节,而忽略了外包商的整体服务水平以及银行业务需求可能发生的种种变化,合同中对外包商必须达到的服务水平以及未能达到水平时的违约条款不明确,导致意外发生时,外包商以各种理由推诱责任而银行缺乏必要的制约手段。

2.来自外包商的风险

(l)外包商对城商行行的业务需求理解不清。在需求分析阶段,外包服务商没有和银行进行充分的沟通和交流,另外有时外包服务商的具有较强的技术水平,对信息科技的理解较为透彻,但对银行内部业务的流程缺乏充分的理解,这都会影响外包服务商的服务水平。

(2)外包商内部重大变化导致外包服务水平降低。在外包过程中,外包商的人、财、物等发生了较大的变化,特别是支持银行信息科技外包业务的关键人员发生了重大变更后没有及时的采取补救措施,使银行不能及时做好技术准备和心理准备,最终导致外包服务无法达到预期的水平。

(3)服务商在技术、操作方面出现故障或者受到外来攻击而导致的信息安全风险。在银行信息科技外包服务过程中,银行将自己的部分或全部信息提供给外包服务商,如果相应的管理措施不到位,将有可能导致外包服务商有意或无意地将银行的敏感信息泄露,危害银行的信息安全。

三、监管建议

1.督促城商行加强信息科技外包制度建设。城商行应建立完善的外包管理、外包商管理、外包人员管理制度,完善外包项目的业务连续性计划、外包信息系统的应急预案,对信息科技外包合同条款进行规范。城商行的内部审计部门应对信息科技外包的发展规划、制度的适当性、执行效果进行检视性审计和评价,对信息科技外包管理相关部门的履职情况进行有效性审计。

2.指导城商行加强信息科技外包管理。城商行的信息科技外包是一项较为复杂的管理活动,城商行应采取积极的、必要的管理措施来尽可能的规避风险。一是明确实施信息科技外包的方式,做好外包风险准备工作。二是审慎、规范的选择信息科技外包商。三是在IT外包合同执行期间,银行应高度重视对服务商进行持续有效的监督。

3.引导城商行加强自身科技队伍建设。城商行防范信息技术外包风险策略最有效的措施就是加强自身科技人才培养。监管部门应引导城商行加大对科技部门的人员投人,制定培养策略。在外包过程中银行科技人员应对整个项目全权负责,从组织协调、代码编写指导验收测试,在信息科技外包过程中锻炼科技队伍,提高城商行信息科技的整体水平,以便规避由外包商引起的各类风险。

4.加强城商行外包服务商监管。我国目前对银行IT外包的监管强调了银行的风险管理职责,但尚未将外包服务商(TSP)纳人直接监管对象,借鉴发达国家,特别是美国的经验,我们认为应将TSP监管归人IT外包业务监管体系之中,进一步强化我国银行IT外包业务。

作者:李金洋    单位:中国银行业监督管理委员会青岛监管局