在控制it外包风险与安全方面,做到心中有底、手中有招、控制有术,建立事前预防、事中控制、事后监督的三道防线。

(一)事前预防
  在日常工作中,各种外包风险的前期预兆是会表现出来的,关键是没有及时发现,马上纠正或是对发现的问题思想麻痹,错误扩大化变成案件,形成损失并为纠正错误付出高昂代价。因此,把风险消灭在萌芽状态,才是风险控制的重点。
  1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求,重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平,紧密配合公司业务发展规划,全面权衡外包的利益与风险,决定将哪些IT业务外包,制定IT业务外包战略规划。
  2、建立IT业务风险与安全管理体系。体系制定要做到统一框架,统一标准、统一措施、统一监督管理,内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、操作手册等组成。通过制定风险与安全管理体系,指导公司IT业务风险与安全管理工作的开展,使其符合国际、国内的有关安全标准和我国的法律法规;在公司内部形成一个信息科技风险与安全管理机制,确保落实,保护公司所有信息科技资源和资产的安全;明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施;对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟
  3、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式,为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训,通过持续不断的培训学习,掌握本公司IT业务风险与安全管理制度规范,提高全员风险与安全防范意识,积极参与信息科技风险与安全防范工作中,形成全员参与信息科技安全管理的风险管理文化。
  4、建立IT业务外包供应商信息管理系统,设计科学、全面的风险指标评估体系。西格玛中有句名言:有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系,有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手,确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容,详细设计3K(KCS、KCSA和KRI)指标,每一项指标都要给出相应的分值区间,通过建立外包供应商信息管理系统,把设计的评估指标纳入系统中,详细记录外包供应商及其供应链上的各方面信息,通过系统统计分析,从而科学有效的评估外包供应商的服务能力。

二)事中控制
  银行与外包合作商签署合同,项目正式进入合作操作阶段,在日常IT项目运营过程中,银行作为甲方应做好如下几方面的工作。
  1、认真执行制度、不断完善制度
  从出现的有关银行计算机系统风险安全与犯罪案件分析中,大多数都是因为没有章不循,没有按制度办事,按业务处理流程办事造成的,这就要求银行加强对制度执行严肃性的管理,违章必究,否则制定的各项制度规范形同虚设,起不到应用的作用。同时,还要注意IT业务外包供应商风险与安全管理制度规范建设与信息系统同步规划、同步建设、同步管理,能紧随银行信息科技业务的发展、环境的变化、中心工作的更替、创新的要求,及时得到调整、修订和补充。
  2、选择适合自己的外包供应商,签署合作合同
  签署合同是IT业务外包不可避免的风险。因此,根据前期对市场的调研分析,搜集的供应商信息,寻找合格的IT服务供应商,询价和报价,通过招投标方式,建立适合公司科技与业务经营发展需要的供应商,并协同法律部门做好外包合同文本的制定和签署,合理规避和防范合同风险的发生。
  3、加强与外包供应商的合作与交流
  一旦项目签署合同开始启动,银行作为甲方要提供项目研发办公条件,尽快让外包商到行里来工作,向同事一样给予相关方面的必要帮助。同时,银行科技人员以及业务人员要参与到项目建设中,既可以让自己的技术和业务人员与外包公司技术人员熟悉、了解掌握产品技术性能和业务功能,便于项目研发过程中问题的沟通交流,还可以全程对项目进度、质量进行跟踪,以便于在规定的时间内,高质量的完成软件项目的研发投产,让项目利益所有者都满意。
  4、建立外包供应商服务评价体系
  因很多外包公司特别是跨国公司,外包、分包普遍存在,也就降低了供应链的透明性和可追溯性,有意无意的形成漏洞,加大了供应链风险。所以,要采取日常业绩跟踪和阶段性评比方法,更加深入的了解外包供应商及其供应链的一些情况,避免信息不对称,便于更好地建立外包供应商信息管理系统,根据有关业绩的跟踪记录,对供应商的业绩表现进行综合考核,全面、正确的评价外包商工作情况。
  5、做好项目建设的计划与控制
  为避免人员频繁变动、项目延期、交付的技术文档不齐全及系统上线后支持服务跟不上等现象。要求银行科技人员与外包项目经理及项目组成员建立项目进度与质量控制沟通机制(如周例会、项目周报、问题跟踪管理报告等),定期监测与度量项目进展情况,识别有否偏离计划之处,及时发现问题、反馈问题、了解原因、解决问题,确保实现项目目标。
  6、建立应急管理机制,保持业务持续性
  你不能防范每种风险,但是你却可以迅速发现问题,并提前思考解决方法,动员所有的选择,这才是风险与安全管理的精髓。银行要制定可行的外包供应商应急管理计划,项目外包会使得银行对外包供应商产生依赖,如果外包供应商不能如期履行合同,而导致银行业务中断所引起的后果必须高度重视。这就需要银行要严格审查外包供应商提供的执行方案,并针对外包供应商不履行合同或者发生紧急事件制定应急应对方案。

(三)事后监督
  外包项目完成后,银行相关职能部门应做好对外包项目从立项、招投标、建设、投产使用等全过程进行检查审计,主要做好如下几方面工作。
  1、与完善规章制度相结合,实现各项工作制度化
  在事后监督检查过程中,加强检查IT业务外包制度是否建立健全、科学有效、符合工作实际,不断完善规章制度,使外包各项工作有章可依,工作制度化。
  2、与奖惩相结合,维护法规与制度的严肃性
  适当的处罚,能促进责任人改正错误,增强法律法规观念,更好的促进工作,依据制定的IT业务外包风险与安全管理制度规范,检查项目外包实施过程中各项工作是否按制度办事,针对检查出来的问题,要查明原因,对于不按制度办事的违章行为要给予处罚,做的好的要表彰,做到奖罚分明,维护制度的严肃性。
  3、与内审计相结合,制定外审策略
  在做好内审的同时,也可以邀请外审机构对外包商以及外包供应链上公司的风险与安全管理能力等进行全面的评估。
  4、与规范化管理相结合,实现业务操作程序化
  事后监督工作要深入到科技业务一线,认真执行规范化操作规程,从细节入手,查找不足、堵塞漏洞,促进外包供应商管理制度化、程序化、规范化。
  5、与IT服务内容相结合,做好多外包商的监督管理
  监督、定期重新评估外包风险,并把所搜集信息和评估结果纳入外包供应商信息系统管理,通过合同和SLA协议管理供应商,要注重周期性地审查外包合同,并根据环境和银行业务发展的需要及时修改合同、重新设定外包服务标准。

注意事项

  • 总的来说,it外包要在国家法律法规和公司的制度规范内展开,要建立健全IT业务外包过程中信息披露和检查监督及考核机制,建立一个功能完善的外包供应商信息管理系统,有效防范IT业务外包风险,确保信息安全。



<
>