淺談銀行IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全管理

淺談銀行IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全管理

銀行信息系統(tǒng)安全運(yùn)營(yíng)，與IT外包商提供的軟硬件產(chǎn)品質(zhì)量休戚相關(guān)，而IT業(yè)務(wù)外包風(fēng)險(xiǎn)貫穿于技術(shù)、產(chǎn)品、系統(tǒng)、服務(wù)、生產(chǎn)、采購(gòu)、集成、運(yùn)行、維護(hù)等整個(gè)產(chǎn)品供應(yīng)鏈中的各個(gè)階段，一旦風(fēng)險(xiǎn)與安全管理失控，則給銀行信息系統(tǒng)建設(shè)帶來?yè)p失。因?yàn)镮T業(yè)務(wù)外包是國(guó)內(nèi)外商業(yè)銀行普遍采取的科技發(fā)展戰(zhàn)略，主機(jī)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)基本采購(gòu)國(guó)外知名IT公司產(chǎn)品，應(yīng)用軟件大型商業(yè)銀行以自主研發(fā)為主，少部分外包采購(gòu)，中小銀行信息系統(tǒng)建設(shè)采取外包采購(gòu)方式來完成。因此，做好IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全管理是銀行業(yè)IT治理的一個(gè)重要內(nèi)容。一、IT業(yè)務(wù)外包風(fēng)險(xiǎn)分析1、從宏觀層面分析，產(chǎn)生系統(tǒng)性風(fēng)險(xiǎn)。目前銀行業(yè)使用的IT產(chǎn)品如計(jì)算機(jī)CPU、操作系統(tǒng)、基礎(chǔ)應(yīng)用軟件、互聯(lián)網(wǎng)等技術(shù)都來自國(guó)外公司，因某種原因，承包商所在國(guó)家發(fā)生戰(zhàn)爭(zhēng)等不可抗拒性事件時(shí)，會(huì)造成IT供應(yīng)商及其供應(yīng)鏈上的公司不能正常經(jīng)營(yíng)，如果IT業(yè)務(wù)外包的是一些重要的核心業(yè)務(wù)，則會(huì)對(duì)銀行信息系統(tǒng)安全造成重大影響。2、從供應(yīng)商方面分析，產(chǎn)生依賴性風(fēng)險(xiǎn)。目前，國(guó)內(nèi)銀行業(yè)普遍長(zhǎng)期使用一些國(guó)內(nèi)外知名廠商提供的軟硬件產(chǎn)品，在熟悉供應(yīng)商產(chǎn)品的同時(shí)，長(zhǎng)期使用也形成了對(duì)某一供應(yīng)商的依賴，也會(huì)因外包商自身或其供應(yīng)鏈上某公司出現(xiàn)問題，造成外包商運(yùn)營(yíng)出現(xiàn)風(fēng)險(xiǎn)，如果銀行沒有自己掌握外包供應(yīng)商產(chǎn)品技術(shù)，更換新外包商會(huì)帶來成本高及影響銀行業(yè)務(wù)正常運(yùn)營(yíng)。3、從產(chǎn)品供應(yīng)鏈分析，產(chǎn)生供應(yīng)鏈風(fēng)險(xiǎn)。目前，很多IT廠商特別是跨國(guó)IT供應(yīng)商，把用戶訂單分包給其他外包商生產(chǎn)，當(dāng)該公司供應(yīng)鏈企業(yè)合作關(guān)系因某種原因出現(xiàn)問題時(shí)，則會(huì)產(chǎn)生IT外包供應(yīng)鏈風(fēng)險(xiǎn)。4、從采購(gòu)方面分析，出現(xiàn)選擇性風(fēng)險(xiǎn)。在外包供應(yīng)商招投標(biāo)過程中，由于沒有對(duì)外包供應(yīng)商的服務(wù)能力、技術(shù)水平、才能力、行業(yè)信譽(yù)、安全保護(hù)措施等方面做全面的科學(xué)分析評(píng)估，并受到來自各方面關(guān)系因素影響，選擇的IT外包商各方面能力不能滿足銀行自身業(yè)務(wù)發(fā)展需要，容易出現(xiàn)項(xiàng)目失敗，造成損失。5、從合規(guī)方面分析，產(chǎn)生合同風(fēng)險(xiǎn)。在與IT業(yè)務(wù)外包供應(yīng)商簽署合同時(shí)，因制定的合同文本中相關(guān)合同條款描述的不到位、不詳細(xì)，權(quán)利與義務(wù)沒有很好的說明，容易造成外包服務(wù)質(zhì)量達(dá)不到預(yù)期目標(biāo)甚至產(chǎn)生合同風(fēng)險(xiǎn)。6、從道德方面分析，產(chǎn)生信息安全風(fēng)險(xiǎn)。由于外包供應(yīng)商內(nèi)部控制出現(xiàn)漏洞，本公司內(nèi)部員工辭職，并利用到銀行工作之便，或者與銀行員工內(nèi)外勾結(jié)，竊取銀行客戶信息和資產(chǎn)，給銀行和客戶造成損失。7、從技術(shù)方面分析，產(chǎn)生技術(shù)風(fēng)險(xiǎn)。一些IT供應(yīng)商因受到自身發(fā)展瓶頸的限制，資金和研發(fā)能力不足，不能緊密跟蹤新技術(shù)應(yīng)用，對(duì)軟硬件產(chǎn)品及時(shí)進(jìn)行升級(jí)改造，則對(duì)信息系統(tǒng)應(yīng)用開發(fā)和安全運(yùn)營(yíng)產(chǎn)生影響。8、從決策方面分析，產(chǎn)生戰(zhàn)略風(fēng)險(xiǎn)。銀行信息系統(tǒng)建設(shè)哪些部分需要外包，哪些部分不能外包，是選用國(guó)外廠商的信息系統(tǒng)，還是選擇國(guó)內(nèi)IT公司的產(chǎn)品等，如果沒有與本行業(yè)務(wù)經(jīng)營(yíng)發(fā)展戰(zhàn)略很好的結(jié)合，深入詳細(xì)的分析論證，就外包給IT公司，很容易造成信息系統(tǒng)建設(shè)出現(xiàn)偏差，不能滿足未來業(yè)務(wù)發(fā)展要求。9、從服務(wù)方面分析，存在服務(wù)質(zhì)量風(fēng)險(xiǎn)。據(jù)2004年德勤發(fā)布的《外包調(diào)查報(bào)告》稱：57%的調(diào)查者因?yàn)橥獍?wù)提供商能夠提供優(yōu)質(zhì)的服務(wù)和業(yè)務(wù)創(chuàng)新選擇了外包，31%的調(diào)查者認(rèn)為服務(wù)提供商處于更有利的位置。在合同不完全性和雙邊壟斷的前提下，外包商處于更有利的位置，致使服務(wù)質(zhì)量得不到有效保障，組織效率得不到有效提升。10、從內(nèi)控管理分析，存在監(jiān)督與審計(jì)缺失風(fēng)險(xiǎn)。在IT業(yè)務(wù)外包合同執(zhí)行期間，銀行管理部門往往忽視了對(duì)外包商的財(cái)務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員進(jìn)行有效地監(jiān)督和管理，忽視了對(duì)外包供應(yīng)商及供應(yīng)鏈公司的日常審計(jì)檢查，容易造成IT外包業(yè)務(wù)服務(wù)水平下降。11、從軟件方面分析，存在后門的風(fēng)險(xiǎn)。在銀行軟件產(chǎn)品開發(fā)過程中，商業(yè)化的組件和中間件得到普遍應(yīng)用，需求內(nèi)容變更、版本升級(jí)、打補(bǔ)丁，很難做到每一次升級(jí)都對(duì)系統(tǒng)功能從頭到尾全面完整的測(cè)試，這使的軟件產(chǎn)品外包商及供應(yīng)鏈的透明度和可追溯性追蹤變得困難，會(huì)存在后門的風(fēng)險(xiǎn)。二、IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全防范舉措在控制IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全方面，做到心中有底、手中有招、控制有術(shù)，建立事前預(yù)防、事中控制、事后監(jiān)督的三道防線。(一)事前預(yù)防在日常工作中，各種外包風(fēng)險(xiǎn)的前期預(yù)兆是會(huì)表現(xiàn)出來的，關(guān)鍵是沒有及時(shí)發(fā)現(xiàn)，馬上糾正或是對(duì)發(fā)現(xiàn)的問題思想麻痹，錯(cuò)誤擴(kuò)大化變成案件，形成損失并為糾正錯(cuò)誤付出高昂代價(jià)。因此，把風(fēng)險(xiǎn)消滅在萌芽狀態(tài)，才是風(fēng)險(xiǎn)控制的重點(diǎn)。1、制定IT業(yè)務(wù)外包戰(zhàn)略。銀監(jiān)會(huì)頒布的《銀行信息科技風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行外包風(fēng)險(xiǎn)管理指引》中對(duì)外包業(yè)務(wù)都提出了要求，重點(diǎn)考慮IT業(yè)務(wù)外包要能促進(jìn)公司的科技業(yè)務(wù)發(fā)展、信息系統(tǒng)安全運(yùn)營(yíng)和科技業(yè)務(wù)管理水平，緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃，全面權(quán)衡外包的利益與風(fēng)險(xiǎn)，決定將哪些IT業(yè)務(wù)外包，制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃。2、建立IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理體系。體系制定要做到統(tǒng)一框架，統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一措施、統(tǒng)一監(jiān)督管理，內(nèi)容由IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理策略、管理制度與規(guī)范、技術(shù)標(biāo)準(zhǔn)、指引、流程、操作手冊(cè)等組成。通過制定風(fēng)險(xiǎn)與安全管理體系，指導(dǎo)公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理工作的開展，使其符合國(guó)際、國(guó)內(nèi)的有關(guān)安全標(biāo)準(zhǔn)和我國(guó)的法律法規(guī);在公司內(nèi)部形成一個(gè)信息科技風(fēng)險(xiǎn)與安全管理機(jī)制，確保落實(shí)，保護(hù)公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護(hù)、檢測(cè)和應(yīng)急恢復(fù)等各項(xiàng)信息科技風(fēng)險(xiǎn)與安全管理指標(biāo)、原則和違規(guī)行為的處理措施;對(duì)與公司合作組織、商業(yè)伙伴、承包商和服務(wù)提供者提出相關(guān)的安全約束。3、做好IT業(yè)務(wù)風(fēng)險(xiǎn)與安全的認(rèn)知與培訓(xùn)。通過舉辦培訓(xùn)班、研討會(huì)、發(fā)送郵件、贈(zèng)送報(bào)刊等方式，為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風(fēng)險(xiǎn)與安全方面知識(shí)的培訓(xùn)，通過持續(xù)不斷的培訓(xùn)學(xué)習(xí)，掌握本公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理制度規(guī)范，提高全員風(fēng)險(xiǎn)與安全防范意識(shí)，積極參與信息科技風(fēng)險(xiǎn)與安全防范工作中，形成全員參與信息科技安全管理的風(fēng)險(xiǎn)管理文化。4、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng)，設(shè)計(jì)科學(xué)、全面的風(fēng)險(xiǎn)指標(biāo)評(píng)估體系。6西格瑪中有句名言：有什么樣的指標(biāo)、就有什么樣的結(jié)果。建立科學(xué)的IT業(yè)務(wù)外包供應(yīng)商評(píng)估指標(biāo)體系，有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標(biāo)。該指標(biāo)體系需要從質(zhì)量、成本、交付、服務(wù)、技術(shù)、資產(chǎn)、流程這些方面入手，確定外包供應(yīng)商成立及上市時(shí)間、行業(yè)經(jīng)驗(yàn)、規(guī)模、安全、人力、財(cái)務(wù)、問題響應(yīng)時(shí)間、是否有產(chǎn)品保險(xiǎn)、企業(yè)文化以及各種認(rèn)證等重點(diǎn)內(nèi)容，詳細(xì)設(shè)計(jì)3K(KCS、KCSA和KRI)指標(biāo)，每一項(xiàng)指標(biāo)都要給出相應(yīng)的分值區(qū)間，通過建立外包供應(yīng)商信息管理系統(tǒng)，把設(shè)計(jì)的評(píng)估指標(biāo)納入系統(tǒng)中，詳細(xì)記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息，通過系統(tǒng)統(tǒng)計(jì)分析，從而科學(xué)有效的評(píng)估外包供應(yīng)商的服務(wù)能力。(二)事中控制銀行與外包合作商簽署合同，項(xiàng)目正式進(jìn)入合作操作階段，在日常IT項(xiàng)目運(yùn)營(yíng)過程中，銀行作為甲方應(yīng)做好如下幾方面的工作。1、認(rèn)真執(zhí)行制度、不斷完善制度從出現(xiàn)的有關(guān)銀行計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)安全與犯罪案件分析中，大多數(shù)都是因?yàn)闆]有章不循，沒有按制度辦事，按業(yè)務(wù)處理流程辦事造成的，這就要求銀行加強(qiáng)對(duì)制度執(zhí)行嚴(yán)肅性的管理，違章必究，否則制定的各項(xiàng)制度規(guī)范形同虛設(shè)，起不到應(yīng)用的作用。同時(shí)，還要注意IT業(yè)務(wù)外包供應(yīng)商風(fēng)險(xiǎn)與安全管理制度規(guī)范建設(shè)與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步管理，能緊隨銀行信息科技業(yè)務(wù)的發(fā)展、環(huán)境的變化、中心工作的更替、創(chuàng)新的要求，及時(shí)得到調(diào)整、修訂和補(bǔ)充。2、選擇適合自己的外包供應(yīng)商，簽署合作合同簽署合同是IT業(yè)務(wù)外包不可避免的風(fēng)險(xiǎn)。因此，根據(jù)前期對(duì)市場(chǎng)的調(diào)研分析，搜集的供應(yīng)商信息，尋找合格的IT服務(wù)供應(yīng)商，詢價(jià)和報(bào)價(jià)，通過招投標(biāo)方式，建立適合公司科技與業(yè)務(wù)經(jīng)營(yíng)發(fā)展需要的供應(yīng)商，并協(xié)同法律部門做好外包合同文本的制定和簽署，合理規(guī)避和防范合同風(fēng)險(xiǎn)的發(fā)生。3、加強(qiáng)與外包供應(yīng)商的合作與交流一旦項(xiàng)目簽署合同開始啟動(dòng)，銀行作為甲方要提供項(xiàng)目研發(fā)辦公條件，盡快讓外包商到行里來工作，向同事一樣給予相關(guān)方面的必要幫助。同時(shí)，銀行科技人員以及業(yè)務(wù)人員要參與到項(xiàng)目建設(shè)中，既可以讓自己的技術(shù)和業(yè)務(wù)人員與外包公司技術(shù)人員熟悉、了解掌握產(chǎn)品技術(shù)性能和業(yè)務(wù)功能，便于項(xiàng)目研發(fā)過程中問題的溝通交流，還可以全程對(duì)項(xiàng)目進(jìn)度、質(zhì)量進(jìn)行跟蹤，以便于在規(guī)定的時(shí)間內(nèi)，高質(zhì)量的完成軟件項(xiàng)目的研發(fā)投產(chǎn)，讓項(xiàng)目利益所有者都滿意。4、建立外包供應(yīng)商服務(wù)評(píng)價(jià)體系因很多外包公司特別是跨國(guó)公司，外包、分包普遍存在，也就降低了供應(yīng)鏈的透明性和可追溯性，有意無意的形成漏洞，加大了供應(yīng)鏈風(fēng)險(xiǎn)。所以，要采取日常業(yè)績(jī)跟蹤和階段性評(píng)比方法，更加深入的了解外包供應(yīng)商及其供應(yīng)鏈的一些情況，避免信息不對(duì)稱，便于更好地建立外包供應(yīng)商信息管理系統(tǒng)，根據(jù)有關(guān)業(yè)績(jī)的跟蹤記錄，對(duì)供應(yīng)商的業(yè)績(jī)表現(xiàn)進(jìn)行綜合考核，全面、正確的評(píng)價(jià)外包商工作情況。5、做好項(xiàng)目建設(shè)的計(jì)劃與控制為避免人員頻繁變動(dòng)、項(xiàng)目延期、交付的技術(shù)文檔不齊全及系統(tǒng)上線后支持服務(wù)跟不上等現(xiàn)象。要求銀行科技人員與外包項(xiàng)目經(jīng)理及項(xiàng)目組成員建立項(xiàng)目進(jìn)度與質(zhì)量控制溝通機(jī)制(如周例會(huì)、項(xiàng)目周報(bào)、問題跟蹤管理報(bào)告等)，定期監(jiān)測(cè)與度量項(xiàng)目進(jìn)展情況，識(shí)別有否偏離計(jì)劃之處，及時(shí)發(fā)現(xiàn)問題、反饋問題、了解原因、解決問題，確保實(shí)現(xiàn)項(xiàng)目目標(biāo)。6、建立應(yīng)急管理機(jī)制，保持業(yè)務(wù)持續(xù)性你不能防范每種風(fēng)險(xiǎn)，但是你卻可以迅速發(fā)現(xiàn)問題，并提前思考解決方法，動(dòng)員所有的選擇，這才是風(fēng)險(xiǎn)與安全管理的精髓。銀行要制定可行的外包供應(yīng)商應(yīng)急管理計(jì)劃，項(xiàng)目外包會(huì)使得銀行對(duì)外包供應(yīng)商產(chǎn)生依賴，如果外包供應(yīng)商不能如期履行合同，而導(dǎo)致銀行業(yè)務(wù)中斷所引起的后果必須高度重視。這就需要銀行要嚴(yán)格審查外包供應(yīng)商提供的執(zhí)行方案，并針對(duì)外包供應(yīng)商不履行合同或者發(fā)生緊急事件制定應(yīng)急應(yīng)對(duì)方案。(三)事后監(jiān)督外包項(xiàng)目完成后，銀行相關(guān)職能部門應(yīng)做好對(duì)外包項(xiàng)目從立項(xiàng)、招投標(biāo)、建設(shè)、投產(chǎn)使用等全過程進(jìn)行檢查審計(jì)，主要做好如下幾方面工作。1、與完善規(guī)章制度相結(jié)合，實(shí)現(xiàn)各項(xiàng)工作制度化在事后監(jiān)督檢查過程中，加強(qiáng)檢查IT業(yè)務(wù)外包制度是否建立健全、科學(xué)有效、符合工作實(shí)際，不斷完善規(guī)章制度，使外包各項(xiàng)工作有章可依，工作制度化。2、與獎(jiǎng)懲相結(jié)合，維護(hù)法規(guī)與制度的嚴(yán)肅性適當(dāng)?shù)奶幜P，能促進(jìn)責(zé)任人改正錯(cuò)誤，增強(qiáng)法律法規(guī)觀念，更好的促進(jìn)工作，依據(jù)制定的IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全管理制度規(guī)范，檢查項(xiàng)目外包實(shí)施過程中各項(xiàng)工作是否按制度辦事，針對(duì)檢查出來的問題，要查明原因，對(duì)于不按制度辦事的違章行為要給予處罰，做的好的要表彰，做到獎(jiǎng)罰分明，維護(hù)制度的嚴(yán)肅性。3、與內(nèi)審計(jì)相結(jié)合，制定外審策略在做好內(nèi)審的同時(shí)，也可以邀請(qǐng)外審機(jī)構(gòu)對(duì)外包商以及外包供應(yīng)鏈上公司的風(fēng)險(xiǎn)與安全管理能力等進(jìn)行全面的評(píng)估4、與規(guī)范化管理相結(jié)合，實(shí)現(xiàn)業(yè)務(wù)操作程序化事后監(jiān)督工作要深入到科技業(yè)務(wù)一線，認(rèn)真執(zhí)行規(guī)范化操作規(guī)程，從細(xì)節(jié)入手，查找不足、堵塞漏洞，促進(jìn)外包供應(yīng)商管理制度化、程序化、規(guī)范化。