- 快捷搜索
- 全站搜索
近年来,随着银行间竞争的加剧以及新业务的层出不穷,信息科技外包已成为金融机构减少IT 投资风险,获得竞争优势的重要策略之一。信息科技外包作为一把“双刃剑”,在提升银行核心竞争力的同时也带来了巨大的潜在风险。本文结合华夏银行根据银监会《银行业金融机构信息科技外包风险监管指引》(以下简称《外包指引》)采取的风险管控措施,重点探讨银行科技外包风险的应对策略。
一、信息科技外包的概念及其产生的动因
信息科技外包是指银行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等。
信息科技外包的动因已由单一的节约成本和集中精力于核心业务活动逐步发展为多元化目的:一是规避信息科技投资风险,通过信息科技外包来减少人力和资金的投入从而获得较大的经济效益;二是优化银行内部资源配置,通过专业IT服务提供商的服务来释放内部资源,使银行能够集中精力关注核心业务应对本行业的竞争;三是获取IT服务提供商的先进管理经验,提升银行科技队伍的管理及创新水平。
二、信息科技外包的风险
信息科技外包可能产生的风险会导致银行战略、声誉、合规等风险。
1.科技能力丧失
银行过度依赖外部资源导致失去对项目、技术、成本的控制及创新能力,影响业务创新与发展。最典型的案例就是,在系统开发方面由于过分依赖外包服务提供商,而外包商又不提供系统源代码,导致系统上线后运行维护和后续优化必须依赖于外包服务提供商。
2.业务中断
支持业务运营的外包服务无法持续提供导致业务中断,影响银行的业务连续性,无法满足业务持续运营的监管要求。
3.信息泄露
包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露,由此可能导致更为严重的声誉风险和法律风险,从而使银行蒙受巨大损失。
4.服务水平下降
由于外包服务质量问题或内外部协作效率低下,使得银行信息科技服务水平下降。例如,银行未在外包服务合同中明确外包服务提供商必须提供的最低服务水平,在合同执行过程中缺乏必要的事中监管,甚至将监管责任移交给服务提供商,势必导致服务水平下降。
三、信息科技外包风险的应对策略
2013年以来,华夏银行按照《外包指引》及行内信息科技外包战略和风险管理等相关制度的规定,在信息科技外包制度建设、风险评估、外包服务商管理、外包人员管理、外包信息安全管理、外包应急管理和外包风险监督整改7个管理环节,采取了一系列风险管控措施,提高了信息科技外包风险防范能力。
1.制度建设
为有效落实《外包指引》,华夏银行成立了落实《外包指引》工作组,逐条对《外包指引》与已有信息科技外包相关制度与细则进行了差异性分析,修订完善并下发了新的信息科技外包管理办法和实施细则,制定了外包服务提供商评价办法,规范并指导信息科技外包活动。
2. 风险评估
强化对外包服务商及外包服务的事前、事中、事后风险评估。在外包项目立项准备阶段,从战略风险、法律风险、声誉风险以及外包商服务水平、外包实施能力等方面进行风险识别与评估,出具风险评估报告;在项目实施里程碑阶段及后评价阶段,对项目存在的风险再次进行风险评估,并说明拟采取的应对措施、完成计划等内容。
当前,信息科技外包已成为银行业金融机构信息科技建设的重要方式,也成为我
鉴于信息科技外包的重要意义和作用,如何正确全面地考察分析外包商的服务能