银行信息技术外包(共6篇)
银行信息技术外包 篇1
摘要:随着金融业的飞速发展和信息技术变革的加快, 越来越多商业银行将信息技术业务进行外包, 虽然信息技术外包给银行业发展带来了巨大优势, 然而其蕴含的固有风险也不容忽视。本文首先从理论角度对银行机构信息科技外包进行分析, 然后对其发展现状进行阐述, 针对其对银行发展可能带来的风险, 提出了银行应对信息技术外包风险可以采取的策略。
关键词:金融科技,信息技术,外包模式,应对策略
一、引言
进入21世纪以来, 信息技术呈现爆炸式发展, 我国金融市场全面开放后, 商业银行经营环境逐渐改变、经营体制改革不断深化, 银行业的市场竞争也随之趋于白热化, 高质量、低成本的市场需求使得越来越多的商业银行选择将信息技术进行外包, 不仅能降低自身的投资风险, 还可以将有限的资源更多地投入到核心业务中, 从而降低成本、提高效率、集中优势资源, 最终提升自身核心竞争力, 获取市场竞争优势。
然而, 信息技术外包在给银行带来诸多优势的同时, 自身也蕴含了诸多风险, 随着信息科技与银行业务融合度越来越高, 信息科技风险事件频发。信息科技的可靠性、安全性和有效性直接关系银行的稳健运行, 其蕴含的风险甚至能引发银行的系统性安全隐患, 导致银行金融体系无法正常运转。因而不可忽视银行信息技术外包潜在的和已产生的风险, 应对其进行分析, 并找出应对策略和风险管理办法, 从而做到趋利避害, 更好地建设我国商业银行信息技术外包规制。
二、银行信息技术外包的概念
服务外包是指企业将价值链中原本由自身提供的具有基础性、共性、非核心的IT业务和基于IT的业务流程剥离出来后, 外包给企业外部专业服务提供商来完成的经济活动。因此, 服务外包应该是基于信息网络技术的, 其服务性工作 (包括业务和业务流程) 通过计算机操作完成, 并采用现代通信手段进行交付, 使企业通过重组价值链、优化资源配置, 降低成本并增强企业核心竞争力。
2005年2月, 巴塞尔银行监管委员会公布了《金融服务外包》, 为金融服务外包监管提供指引。该文件将金融服务外包定义为“受管制实体在持续性的基础上利用第三方来完成一些一般由受管制现在或将来所从事的事务, 而不论该第三方当事人是否为公司集团内的一个附属企业, 或为公司集团外的某一当事人。”可以简单地将外包理解为“使用外部资源完成由内部资源负责的任务”。银行信息技术外包即银行以合同方式委托信息技术服务供应商提供所需的信息技术服务, 同时还伴随着银行的信息技术资产由信息技术供应商管理、运营、支持和维护, 其具体业务包括信息设备的引进和维护、信息技术应用的开发和维护、信息系统的运作和管理等。通过将信息技术外包, 银行可以集中精力发展核心业务, 增强自身核心竞争力, 同时还能保持自身信息技术水平的先进性, 从而达到提升自身的市场竞争力的目的。
三、我国银行信息技术外包现状及特征
(一) 我国信息技术外包现状
自从20世纪90年代开始, 我国银行便开始了经营体制改革, 外包业务正是改革创新中的一个重要方面。国内银行在激烈的市场竞争中想要站稳脚跟, 就必须集中精力发展自己的核心业务和优势领域, 以此提升自己的综合竞争力, 而自身并不擅长的领域就以外包的方式交给在这方面具有优势的企业。银行业的信息技术外包主要包括银行信息系统、通信网络和应用系统的管理, 系统备份、信息备份、设备更新及维护等服务, 手机银行、网上银行等新型业务, 以及数据分析、办公自动化等综合技术业务。随着科技进步和金融发展, 以及全球一体化经济浪潮的到来, 我国银行业逐渐与世界金融市场接轨, 越来越多的商业银行开始寻求更高效的管理方案和更先进的发展经验, 因此信息技术外包也逐渐普遍起来。由于国内缺乏统一的监管制度, 各家银行分别选择适合自身发展的外包服务提供商, 寻求最优信息技术外包模式。虽然我国信息技术外包业务起步较晚, 但是随着这几年的发展已经取得了很大的成就, 技术水平显著提高, 因而我国银行凭借着外包企业优质的软硬件环境最大化了自身的竞争优势。国内银行信息技术外包形式主要为“传统外包服务”, 即外包服务商向银行提供一对一的运营维护外包服务, 其服务形式专注于针对客户银行的个性化服务, 用户和厂商签订固定价格。市场上还有“管理托管式服务”和“效用计算模式”等外包类型, 在未来几年内这3种服务类型将共同存在。
(二) 信息技术外包特征
1. 银行对于信息系统的安全性、保密性和精确性要求高。由于银行业务关系到储蓄方和投资方的切身利益, 同时还掌握了双方的信用数据、财务数据、交易数据等重要信息, 因此信息系统需要具有极强的保密性。同时银行的每一个数字都与金钱挂钩, 即使很小的误差也能造成巨大的损失, 因此信息系统也需要具有相当强的精确性。另外, 由于银行的信息和数据十分重要, 坚决不允许信息被泄露或网络受到攻击, 一旦银行信息泄露将导致银行与客户双方的利益遭受严重损失, 同时还会使银行的权威性受到质疑, 因此银行信息系统需要非常高的安全性。
2. 银行业对信息技术外包认识不足, 风险管理不到位。虽然近些年来我国商业银行逐渐与国际金融业接轨, 在管理模式上有了创新和转变, 而且对于信息技术外包也有一定的经验, 但是大部分银行并未开展全方位的信息技术外包, 主要还是因为外包的目的仅限于降低成本, 这样的动因导致国内银行信息技术外包的局限性较高且模式较单一, 因此国内商业银行需要对于信息技术外包有全方位的认识和更深入的思考。
3. 银行信息系统规模大, 建设成本高, 维护成本高。银行机构庞大, 内部数据错综复杂, 各分支机构业务种类不同, 数据流量大且业务范围广, 因此对于银行信息系统建设的专业性要求高, 需要一次性投入高成本才能完成。而后期的维护和支持服务也需要花费大量财力和人力, 业务量相当庞大, 因此如果商业银行想要做好信息技术外包, 就需要选择在信息技术领域有经验的外包服务商。
4. 银行对新信息技术应用需求强烈, 需要能够对市场业务迅速作出调整。外包员工对于自身领域的新信息技术较为熟悉, 却不熟悉银行内部工作流程;银行信息技术部门人员对信息技术更新较慢, 但是对于银行业务较为熟悉。因此对于银行提出的新技术、新业务需求, 外包服务提供商应多与银行信息部门人员沟通交流, 以便对银行市场业务需求迅速做出调整, 尽快适应银行新的需求。
四、银行信息技术外包可能造成的风险
商业银行进行信息技术外包可谓是一把“双刃剑”, 在得到极大优势的同时必然要面临相应的风险。
(一) 过分依赖服务商可能导致“套牢”
银行将信息技术外包后, 与服务商签订合同, 而服务商在得到外包合同后很可能在合同上和技术上“套牢”银行, 银行在投入了大量财力和人力后如果想替换服务商, 需要投入更高的成本, 因此服务商可能利用这种情况提出一些额外的要求, 来获取后续合同和更多的利润, 而银行只能满足外包服务商的额外要求。
因此, 这也关系到银行对外包服务商的监督和激励, 如果没有良好的监督机制和激励策略, 外包服务商便不会有足够的动力为银行提供服务, 甚至会产生道德风险和投机风险, 对银行利益造成威胁。
(二) 合同签订出现风险
合同部分是信息外包业务的最关键部分, 银行和外包服务商签订的合同需要科学有效, 合同是否明确规定了双方的义务责任以及激励惩罚机制, 直接决定了外包服务的有效性和可行性。因此能否在合同中科学地划定双方责任、义务和奖惩机制, 直接关系到双方的利益以及双方出现冲突时能否有效解决矛盾, 更直接关系到银行能否有效维护自身的合法权益。如果合同缺乏灵活性, 将会导致信息技术变革时银行无法应对外包变化, 只能投入更大成本。
(三) 基于社会环境的风险
银行和外包服务商信息不对称能够引起交易风险, 而社会这个宏观环境也是引起外包风险的一个不可忽视的因素。由于国内信息技术外包业务起步较晚, 对应的市场机制和调节功能并不健全, 相应的法律法规较国外也不够完整, 没有对外包服务商的运作和维护等服务提出明确的规定和规章, 因此只能依照一般银行要求去做, 服务的条款也是由银行和外包服务商制定, 因此外包市场的稳定性较差。假如银行发现外包服务商有违规行为而采取法律手段解决, 就我国目前的相关法律法规而言, 很难给双方一个较为满意的处理办法, 因而导致陷入僵局。
(四) 服务商对于新技术掌握可能不强
提供外包服务的关键是外包服务商强大的技术力量, 外包服务商专业技术是否强大直接决定了外包项目能否保质按时完成, 以及完成的情况是否能够满足银行的要求。虽然银行在挑选外包服务商的时候会专门进行一系列严格的考察和评估, 然而这并不意味外包服务商与银行业务具体结合后一定能够提供高质量、高效率的服务。一旦因为外包服务商技术力量支撑不足而导致外包项目被迫延迟甚至半途而废, 对银行来说在时间和成本上都是巨大的损失。外包服务商的专业技能主要包括以下几面:提供必要服务的能力、对当前和未来需求的支持能力、关键人员的技术能力、针对风险的应急措施和反应能力。如果外包服务商的技术人员专业化技术知识和经验欠缺, 会严重影响外包项目的信息化建设, 还会影响该信息技术外包项目对社会组织的适应性和针对性;如果外包服务商缺乏对市场需求的洞察力和先进的信息技术, 将会在后期新技术的开发上跟不上银行的实际需求, 无法为银行提供最先进的信息技术, 最终影响银行的综合竞争力。
(五) 可能存在道德风险
银行选择外包服务商是出于信任, 而过分的信任有可能让外包服务商为了自身利益, 利用银行的信任做出损害银行的行为, 这种行为被称为道德风险。如果银行对外包服务商依赖性过强, 便会受制于承包商, 不仅严重影响信息技术服务的先进性和灵活性, 转变承包商或推出外包业务关系也会变得十分困难。
五、银行信息技术外包风险的应对策略
对于银行信息技术外包存在的风险, 首先国内银行应该重视这些可能对自身造成重大损失的风险, 其次应该找出对策积极应对这些风险。
(一) 银行应与外包服务商共同建立应急预案
银行的信息系统部门应与外包服务商制定全面的针对本行信息系统的应急预案, 对外包业务进行全面考虑, 包括其可能因为各种原因导致的服务中断等后果以及对应的解决办法。如果信息系统外包缺乏全面的应急计划, 将会导致不必要的信息泄露、信誉风险、财务损失等问题, 最终损害银行声誉、威胁客户隐私权, 对银行造成不利影响。因此, 需要建立健全信息技术安全保障机制, 确保信息系统管理部门有健全的信息技术安全保障措施和应急恢复能力。另外, 应急预案必须包括对外包服务商替换的成本, 如果外包服务商表现欠佳或不符合银行要求, 银行迫不得已需要将其替换甚至取消业务, 然而这样做的成本较高, 因此需要将此成本纳入应急预案中。
(二) 建立全面的信息技术外包风险管理文化
信息技术外包能够顺利实施的基础是银行对风险的良好掌控和管理, 因此银行要建立全面有序的外包风险管理文化。应确立全面的风险管理指导思想, 将信息技术外包风险要素全面纳入风险管理范畴。外包风险可能给银行造成巨大损失, 因此不能仅将它视为等同于银行的内部控制, 需要推进风险管理, 对风险进行有效地识别、检测和控制, 将风险管理和防控作为经营管理的要务, 做到全面统一信息技术外包风险管理范、全程监管信息技术外包过程、培养全员信息技术外包风险管理意识、引进最新信息技术风险管理方法措施、努力全面发展银行内部的风险管理文化。
(三) 建立良好的信息技术人才培养机制
21世纪最有价值的资源就是人才, 银行信息技术风险管理和防控的要素中, 人才是拥有决定性作用的因素, 因此外包过程及风险管理过程需要对银行业务、信息技术、数理统计等方面都十分精通的复合型人才。银行应该培养银行内部员工的专业知识、信息技术能力以及风险管理观念, 全面提升各业务条线员工的综合素质, 或招聘选拔一批高学历、有责任感、精通业务和信息技术的管理人才, 最终组建一支高层次、复合型、高素质的信息技术外包风险管理团队。
六、结论
银行信息技术外包已经成为当代银行发展的一种趋势, 也是银行想要提升核心竞争力必不可少的一方面, 其优点十分明显:银行通过利用信息技术服务商提供的专业技能和先进的管理经验, 产生成本优势、专业优势和业务优势, 将有限资源集中在核心竞争力的提升上, 发展自身优势并提升市场竞争力。然而由于我国金融机构信息技术服务外包处于起步阶段, 银行在享受信息技术带来外包的同时还面临许多外包服务蕴含的风险, 如外包合同签订的风险、信息技术外包文化缺失风险、基于社会环境的风险、外包服务商考察评估不严格的风险等。
国内银行对于风险的管理和防控还有很长的路要走, 不仅要遵循银行信息系统外包风险防控的指引原则, 还要制定全面的指导政策, 在外包服务商的评估、考察和选择上也要考虑潜在的风险因素, 建立针对突发情况应急预案以及紧急恢复方案, 健全信息技术安全, 建立全面的信息技术外包风险管理文化, 并通过培养或招聘的形式发展高层次、复合型的信息技术人才, 提高员工素质, 最终建立一套完整的信息技术外包管理控制体系, 提高我国银行信息技术风险管理水平, 增强银行核心竞争力和可持续发展能力, 促进我国银行安全、持续、稳健的发展。
参考文献
[1]陈生萍.从外包商层面探讨银行IT外包的风险及对策[J].人力资源管理:学术版, 2009 (11) :5-6.
[2]黄珽.我国银行服务外包研究分析[J].科技信息, 2010 (34) :363.
[3]胡浩青.商业银行金融外包服务对策与展望[J].中国金融电脑, 2010 (10) :13-15.
[4]张磊.信息科技外包风险管理现状与对策[J].金融电子化, 2012 (9) :52-54.
[5]张雪东.美国银行业服务外包监管的经验借鉴[J].南方金融, 2012 (12) :54-58.
[6]朱高洁.我国金融机构服务外包发展现状与对策——以商业银行为例[J].求实, 2011 (A02) :100-101.
银行信息技术外包 篇2
农村信用社联合社
信息科技外包管理办法(试行)
第一章 总则
第一条 为了规范 省农村信用社联合社(以下简称“省联社”)的外包活动,保障省联社信息系统安全持续稳定运行,依据银监会颁布的《商业银行信息科技风险管理指引》和《银行业金融机构外包风险管理指引》,以及国家有关法律法规,制定本办法。
第二条 本办法中的信息科技外包(以下简称“外包”)是指省联社将某些信息系统项目委托给服务提供商进行处理的行为。
第三条 外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。
第四条 省联社信息科技的战略管理、核心管理以及内部审计等职能不宜外包。
第二章 组织架构及职责
第五条 省联社外包管理的组织架构包括理事会、高级管理层及外包管理部门,其中外包管理部门主要包括省联社银信金融
2统一组织,原则上每年评审一次,特殊情况可根据实际需要安排评审。
第十二条 参加资质评审的外包服务商必须满足省联社招标文件中要求的资质,不符合资质要求的外包服务商不准参与外包服务,并严格按照《 省农村信用社联合社电子设备项目采购管理办法》规定的流程确定外包服务商。
第十三条 开展外包服务商资质评审前必须对服务提供商进行尽职调查,并形成尽职调查报告。对外包服务商的尽职调查主要包括以下内容:
(一)管理能力和行业地位;
(二)财务稳健性;
(三)经营声誉和企业文化;
(四)技术实力和服务质量;
(五)突发事件应对能力;
(六)对银行业的熟悉程度;
(七)对其他银行业金融机构提供服务的情况;
(八)省联社认为重要的其他事项。
如果外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
第四章 外包合同
第十四条 省联社开展信息科技外包活动时与外包服务商签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:
(一)外包服务的范围和标准;
(二)外包服务的保密性和安全性的安排;
(三)外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺;
(四)外包服务的审计和检查;
(五)外包争端的解决机制;
(六)合同或协议变更或终止的过渡安排;
(七)担保和损失赔偿以及违约责任。
第十五条 签订外包合同时外包服务提供商须承诺以下事项:
(一)定期通报外包活动的有关事项;
(二)及时通报外包活动的突发性事件;
(三)配合省联社接受银行业监督管理机构的检查;
(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,省联社有权随时终止外包合同;
(五)遵守省联社有关信息科技风险管理制度和流程;
(六)第三方供应商出现问题时,保证软硬件持续可用的相关措施;
(七)不得以省联社的名义开展活动;
(八)省联社认为应当承诺的其他事项。
第十六条 对于数据中心的重要基础设施、重要信息系统的
6书面材料正式报告监管部门。
第六章 外包人员管理
第二十三条 外包服务商需要明确一名项目经理(或项目负责人)负责协调项目相关重要事项。
第二十四条 省联社对于外包人员的管理方式以管理外包服务商项目经理为主,也可以根据实际需要直接管理和调配外包人员。
第二十五条 外包人员在省联社服务期间,应严格遵守省联社作息考勤制度以及其他工作规范。
第二十六条 信息技术部负责对外包人员使用环境和权限配置管理,对使用环境中的系统权限、文件读写权限必须严格控制,以满足工作需要为前提,遵循权限最小化原则,不得授予与工作无关的权限。
第二十七条 对于向外包人员提供省联社内部资料必须严格审核,严禁未经授权提供。
第二十八条 信息技术部如发现外包人员违反有关规定和规章制度,须立即制止并纠正,多次违反情节严重的,有权停止其省联社的一切活动,并通知其所在的外包服务商。造成损失的,由外包服务商负责赔偿。
第二十九条 信息技术部对其使用的外包人员的工作饱满度负责,应及时制订和适时调整外包人员工作计划,经常检查、督促外包人员工作。
第三十条 对由于工作调整无须再使用的外包人员,信息技术部应及时确认其使用省联社的资源已全部退还。
第七章 外包交付物验收
第三十一条 外包人员应按时交付服务工作成果,信息技术部应及时组织人员进行验收。
第三十二条 开发类外包人员的交付物必须经过在测试环境下的严格测试,验收合格后才可以投产试用。
第三十三条 对于外包交付物验收不合格的,应要求外包服务商重新提供产品,并重新组织验收,直到验收通过,并纳入外包服务商考核评价过程。
第三十四条 由于外包服务商原因导致未按计划完成或完成项目质量不高,并造成一定影响的,作为不良合作记录登记,对未完成服务由外包服务商继续完成,并不再追加任何费用。
第八章 外包交付物管理
第三十五条 对于外包人员提交的源代码,须经信息技术部人员审核编译。所产生的执行程序,须经省联社相关人员测试通
银行信息技术外包 篇3
[关键词] 信息技术 投资 外包
一、引言
美国学者Gary Hamel & Praharad (1990) 在《企业的核心竞争力》中首次提出了“业务外包(Outsourcing)”这一概念。从外包的含义是指企业充分利用其外部的最优专业化资源,达到本身降低成本、提高效率、充分发挥自身核心竞争力和增强企业对环境的迅速应变能力的一种管理模式。信息技术外包就是企业将其信息技术资产、人员和(或)活动出售或者转包给第三方提供商,该提供商在一定的时期内收取一定的费用来提供和管理信息技术服务。可以说自从1989年柯达公司外包其信息系统而产生“柯达效应”以来,信息技术或信息系统(IT/IS)外包已经成为企业信息化的一种重要管理运营策略。
二、信息技术外包的类型
企业追求信息技术外包的原因是由于IT 技术的快速发展和更新导致企业在IT 应用上的复杂性,而外包可以提供应用和追踪先进信息技术的保证。再就是有利于企业核心能力的培养,将核心战略中重要的、专业性很强的IT外包以获取更多的机会。外包的类型主要有:
(1)完全外包。企业将信息技术业务全部外包,即不论是信息技术硬件的购置还是信息技术软件的开发以及信息技术业务的维护工作,全部外包给外包商。在这种情况下外包的风险较大,企业必须有能力与外包商签订详细而完大备的外包合同。
(2)选择性外包。企业有选择地外包信息技术业务的一部分内容给外包商,在这种外包类型中,企业对信息技术具有控制权,能够决策外包商所从事的具体工作,这种外包策略风险较低,并具有较大的灵活性,是目前中小企业最常见的策略。
(3)购置或内制。企业将信息业务的全部活动由企业内部的信息技术承担或完全购买,这种类型企业不会担心信息技术业务管理的失控,由于部门的局限性和不具有规模效益,信息部门服务效率低下。
三、信息技术外包的策略选择
1.从技术成熟度上看外包策略
企业要经常与外包商进行业务谈判,故对合同的技术细节应有充分的了解,技术成熟度决定了企业对外包商准确定位服务需求的能力。在企业的信息化的初级阶段,企业对信息技术的了解较少,IT的技术成熟度相对较低。由于技术的不成熟很难使企业达成一个完善的外包合同,另一方面企业可以利用外部技术资源支持自身的学习与应用。此时的策略应该是购买外部技术资源到企业内部的管理中,即采取购进策略以对项目充分的控制,同时获得较多的学习机会,以提升企业内部信息部门的技术水平。在IT技术成熟度较高时,成熟的技术已为企业所熟悉,容易签订服务质量和服务水平所要求的程度,从技术和管理上来讲外包的风险较小,在这种时候信息化策略侧重于外包(图3-1)。
图3-1信息技术成熟度与企业信息化外包策略
2.从技术对业务影响的关键程度上看外包策略
在企业中,信息化项目有多种,有的项目只是提供一些必要的功能,通用性较强,这样的IT业务可以看作是一般的商品,像数据中心、数据库、工资管理系统,有的IT项目事关企业的战略竞争地位和核心环节,如电力系统中的电网调度系统,制造行业中的产品设计与开发系统这些都是企业的关键IT技术。为此可以把信息化项目分为关键信息化项目和一般项目性项目。关键性信息化项目对企业业务起着关键的作用,影响企业的经营行为和战略地位,企业对这类项目应该内制。对于一般的IT技术项目会因标准操作得以降低成本,而选择外包策略,对于公司和外包商来说都是双赢的选择,同时公司得以集中精力实施更为关键的业务(图3-2)。
图3-2信息技术对业务关键度与企业信息化外包策略
3.从企业IT规模和管理水平看外包策略
一般外包倾向者认为外包具有规模经济效应,从而能够降低IT成本。但是企业的IT技术部门达到一定的规模后,外包经济效应明显下降。在对IT活动进行经济分析时,必须首先考察企业内部IT组织是否达到经济规模。同时,企业对IT 活动的实际开发管理水平是影响其经济成本的另一个重要因素。结合这两方面因素,可建立IT外包选择的决策模型(图3-3):
图3-3企业IT组织规模和管理水平与外包策略
(1)如果企业IT部门具备一定规模经济效应的临界规模,并且采用了有效的管理方法,企业实施外包不大可能降低成本。
(2)如果企业IT部门具备了理论上的规模效应但管理水平不足,企业管理者应考虑让IT部门与承包方竞标的方式来完成IT项目。
(3)如果企业内部IT部门没有达到理论上的规模效应但具备了有效的管理水平,其经济成本仍有可能低于承包方的出价,此时企业应当通过市场考察来确定外包的实际经济成本与内部能力比较后再做出是否外包的结论。
(4)如果企业IT部门既不具有一定的规模,又缺乏管理水平,在企业实施IT项目时显然应当采取外包策略。
四、外包的风险与规避
IT外包的成功率并不高,Lacity调查了实施IT外包两年以上的公司,其中60%的公司对外包结果不满意,而40%的公司试图主动地终止了外包合同。外包的风险会随着企业对信息化的依赖程度而增加,外包的风险主要来源于承包商对利润最大化的追求和企业对满足顾客需要的追求之间的冲突,外包之后承包商可能因为追求自我利润的最大化,而推迟或不进行企业所需要的持续创新。国内外许多学者都对外包的风险进行了研究,如梁新弘(2004)、克莱良和琼斯(2003)、林则夫(2004)等,归纳起来主要有:
1.管理失控风险及规避
在外包管理中,首先需要企业外包管理者对外包商进行受权,但受权不当就意味着外包在某种程度上的失控,如外包商员工并不直接向企业负责,存在着人员管理失控;在项目实施过程中的具体环节都是由外包商工作人员操作,在服务质量上容易存在监管失控;信息化内容与企业业务存在相关性,在企业的商业秘密和知识产权保护方面也存在管理失控的风险。对于各种管理失控的风险,双方建立审慎而严密的合是防范其发生的基础,在外包的情况,只有规范性和法律性的文件才能使外包商在授权范围内规范运作。
2.灵活性丧失的风险及规避
在企业信息化领域,多数年研究者认为信息化可以为组织带来灵活性的价值,企业对未来业务的不确定性和信息技术投资本身的不确定性、不可逆性使企业进行信息技术投资时,同时也给管理者带来了灵活决策的价值,但在外包时,外包商会“锁定”合同中的内容,使企业丧失信息化投资中的灵活性价值。解决的方法就是鼓励外包商在双方合作中带入变革,二是适当缩短合同期,以便在下一个合同中做出变更。
3.外包商选择失误的风险及规避
信息技术投资的企业及外包商之间存在委托—代理关系,由于双方所掌握的信息不对称,从而会产生外包商的逆向选择问题和道德风险问题,“逆向选择问题”是指在签订契约之前,代理人就已经掌握了一些委托人不知道的信息,而这些信息可能是对委托人不利的。“道德风险问题”是指委托人和代理人在签订契约时各自拥有的信息基本上是可视为对称的,但是达成契约后,委托人无法观察到代理的某些行为,或者外部环境的变化仅为代理人所观察到。在这种情况下,代理人在有契约保障之后,可能采取不利于委托人的一些行动。进而损害委托人的利益。在这种情况下,选择外包商时,企业应该成立专门的行动小组,对承包商的能力进行评估,或尽量选择有实力、国内外知名的大公司作外包商。
五、结论
信息技术外包已经成为企业信息化管理的重要策略,但不可否认,信息技术外包具有较大的风险,IT外包的成功在于企业的IT项目的性质,选择正确的外包商和外包方式,当然还有企业的信息化水平。本文从三个方面来谈信息化外包的策略,减少和规避外包中的风险对企业的信息技术投资的外包策略选择有普遍的借鉴意义。
参考文献:
[1]周勇:论现代企业业务外包的内涵、功效及管理策略[J].武汉科技大学学报(社会科学版) ,2003, (1)
[2]Applegate, L., Montealegre, R. , (1991) Eastman Kodak Company: Managing information systems through strategic alliance [M] .Harvard Business School, Boston, MA
[3]张志清:基于外包的中小企业信息化策略研究[J]. 现代情报, 2006(2), 2
[4]江兵夏晖刘洪:企业信息技术外包的策略分析[J].管理科学工程学报, 2002,2
[5]Lacity , M. C. , Willcocks , L. (1998) An empirical investigation of information system sourcing practice, lesson from the experience[J]. MIS Quarterly 22 (3)
[6]梁新弘:论信息技术(IT)外包的动因、风险及防范[J]. 科技管理研究,2004,(1)
[7]罗伯特·克莱良温德尔·琼斯:信息技术、系统与服务的外包[M].北京:电子工业出版社,2003
[8]林则夫陈德泉:试论信息技术外包中的风险管理策略[J]. 科学学与科学技术管理,2004,(2)
银行信息技术外包 篇4
随着银行间竞争的加剧, 以及业务不断地推陈出新, 银行需要更多的信息系统来满足竞争和业务的需要。而银行不能通过无限制地增加对信息系统建设的投资, 扩大内部信息技术部门的规模等方式解决上述问题。
因此, 信息系统的外包便成为银行解决业务发展需要的不二法宝。也可以说, 银行业信息化发展运用外包是一种必然。但是银行信息系统外包应包括哪些内容, 信息系统外包的优势有哪些, 如何有效控制信息系统外包的风险, 这些都应该是银行业必须认真思考的问题。
一、银行信息系统外包的内容
银行信息系统外包是指银行将其IT系统的全部或部分外包给专业的信息技术服务公司。从广义上讲, 信息系统外包是指借助外部力量进行信息系统开发、建设、运行和维护的信息系统使用方式。
外部力量指专业系统开发公司、系统集成公司、IT设备运维公司等信息技术服务提供商、承包商。根据外部力量在系统使用中的不同作用, 信息系统外包可以划分为软件开发外包、系统运行外包、业务整体外包和IT设备维护外包。
软件开发外包是指在建设信息系统之时, 外部公司只负责软件应用系统的开发, 信息系统的硬件、网络建设都由系统需求者自行完成。
系统运行外包是指信息系统的使用者采用付费的方式向承包商购买信息系统的使用权, 信息系统的运行、维护由承包商全权负责。此时, 软件应用系统的开发, 信息系统的建设、运行和维护都由承包商完成, 信息系统的所有权归承包商所有。双方通过合作协议规定各自的权利和义务, 承包商将保证系统运行的稳定可靠, 保证客户数据的安全。
业务整体外包是指信息系统的使用者将特定的业务处理功能委托给承包商, 由承包商完成与特定业务处理功能有关的信息系统建设和业务处理操作。
IT设备维护外包是指将信息系统相关设备的使用、维护、保障等日常维护工作委托给承包商。
二、银行信息系统外包的优势
银行信息系统外包能使银行通过整合利用外部专业的IT资源, 降低运行成本、提高运行效率、充分发挥自身的核心优势。银行信息系统外包的优势主要体现在以下几个方面。
(一) 业务方面
外包推动银行更加注重核心业务, 将发展中心放在做大、做强银行自身的核心业务上, 这是信息系统外包的最根本原因。
(二) 财务方面
财务成本的考虑是选择外包的另一个主要原因, 外包可以削减近期开支, 控制成本, 从而解放一部分资源用于其他目的, 避免“IT黑洞”现象的发生。另外, 对于那些没有能力投入大量资金、人力, 从硬件基础设施开始构建信息框架的银行而言, 外包正好可以弥补银行自身的欠缺。
(三) 技术方面
外包能使银行获得高水平的信息技术工作者的劳动, 提高技术服务, 紧跟新技术的发展和应用, 并能使内部信息技术人员更加注重核心资产的运行和信息系统的安全管理。
(四) 战略方面
外包可以提高服务响应速度与效率, 来自外包商的专业技术人员可以将银行信息技术部门从日常维护管理这类简单繁琐的负担性职能中解放出来, 减少系统维护和管理的风险。另外, 对于一项新技术的出现, 大多数银行由于费用和学习曲线的缘故, 很难立即将新技术纳入实际应用中。因此, 信息系统外包的战略性考虑因素之一是借助外包商与现有的、未来的技术保持同步的优势, 改善技术服务, 提供接触新技术的机会, 来实现银行以花费更少、历时更短、风险更小的方式推动信息技术在银行发展过程中的作用。
(五) 人力资源方面
通过外包, 银行无需扩大自身人力规模, 从而减少了因人员聘用或流失而花费的精力、成本以及面临的压力, 节省了培训方面的开支, 并增加了人力资源配置的灵活性。特别是国有银行的人员体制, 对于信息技术人员的进入和退出, 都有诸多障碍。同时, 人员的增加, 使得管理、使用以及经费开支的总体成本, 要远比外包体现的近期成本高得多。
三、信息系统外包的风险因素分析
任何事物都具有两面性, 同样, 信息系统外包在给银行带来效益的同时, 也带来了诸多风险, 容易造成金融数据的外泄、关键信息的流失等。2006年6月17日, 美国最大的信用卡公司之一的万事达公司用户信息泄密事件就是发生在外包这个环节上。因此, 加强风险识别和风险管理尤为重要, 即对引起风险的各种因素进行全面的剖析和细化, 为风险评估的量化计算提供全面的素材。在信息系统外包的过程以及管理中, 可能存在以下方面的风险。
(一) 管理风险和经济风险
从本质上讲, 外包商与银行之间是一种合同契约关系, 外包商往往先考虑自身的利益, 然后才会替银行考虑。首先, 外包商可能泄漏一些关键的银行信息, 例如一些重要的金融数据、客户资料等信息, 给银行的经营管理带来很大的风险;其次, 银行没有对信息系统进行有效控制和管理, 造成信息系统失控, 这体现在合同的再次签订或系统功能变动时外包商开价偏高等方面, 例如, 随着银行业务的拓展和规模的扩大, 需要对原有系统修改时, 外包商可能存在漫天要价的现象, 从而使信息系统运行管理的成本增加, 银行不得不承担较大的经济损失风险。
(二) 交易风险
在信息系统外包的过程中, 由于外包交易的特殊性, 将比其他商品交易存在更多的风险。该风险不仅存在于银行, 也存在于任何外包行业当中。具体而言, 外包交易过程中存在的风险包括两个方面。
一是由于资产特殊性和市场交易的不确定性产生的风险。特殊性资产是指投资于支持某项特定交易的资产, 如果不牺牲该项资产的一些生产率, 或者不增加使该资产适用于其他交易的成本, 专用性资产就不可能被用于另一交易中。其特征是一旦形成很难用在其他地方。银行信息系统外包就具备这种特征, 交易双方存在着很强的依赖性, 一旦出现违约将产生很大的风险;另外, 由于交易的信息不对称, 使得外包过程中存在很多的不确定性, 可能导致重新谈判和不断的调整, 重新谈判增加了转换成本或退出成本, 并推迟了外包目标价值的实现。
二是外包过程中供应商的选择风险。目前, 信息系统外包商市场不是完全竞争的市场, 因此, 银行选择能满足其需求和值得信赖的供应商的机会不是很多。不能最有效地选择最优的供应商来承包, 同时在合同议价时也处于被动地位, 变换供应商时的转换成本也较大, 要选择对银行生产特点、运作模式以及管理模式了解的外包商更是难上加难。
(三) 技术和人才流失风险
银行过分依赖供应商技术, 会导致银行信息技术开发能力的退化, 使银行沿用一些旧的、过时的技术, 例如将某项业务外包以后, 银行的信息人员往往容易不思进取, 只会应用, 不会开发等;银行的信息技术人员由于和供应商的合作, 一些优秀的、关键的技术人员可能被供应商挖走, 特别是在国有银行, 更容易导致技术人员流失, 即使不被挖走, 本银行的技术开发人员也由于没有自主开发的意识, 逐渐丧失自我学习和创新的激情与能力。由此可见, 银行信息系统外包在带给银行方便的同时, 也给信息管理部门带来了技术和关键人员流失的风险。
四、信息系统外包的风险控制
对于银行而言, IT技术越来越深入到银行的核心业务, 影响着银行的策略制订和发展, 从而对信息系统外包的风险控制也提出了越来越高的要求。
(一) 界定外包业务, 避免核心业务损失
规划信息系统外包时, 界定外包业务范围是非常关键的一步。把非核心业务给外包供应商, 可以达到降低人力成本、减少开支和提高服务水平的目的, 比如设备租赁、线路维护、辅助设备维保以及终端设备的管理维护等;而涉及重要信息的核心设备、系统的安全管理、数据的管理、密钥的管理是不能外包的。银行应先区分哪些IT业务是核心业务, 哪些是非核心业务;哪些是长期业务, 哪些是临时性、周期性、阶段性或项目型的业务;哪些业务会随着应用深化或时间推移发生变化。然后, 信息部门再仔细分析本部门信息技术人员的专业能力, 技术人员与业务需要的匹配情况, 结合外包市场的服务提供情况, 相应地决定哪些业务自己内部做, 哪些业务进行外包。
(二) 加强对外包合同的管理
对于信息系统主管来说, 在签署外包合同之前应该谨慎而细致地考虑到外包合同的方方面面, 在项目实施过程中要积极制订计划和处理随时出现的问题, 避免出现责任“扯皮”的现象, 使外包合同能够不断适应变化, 从而实现一个双赢的局面;尽量做到外包合约的准确性和详尽性, 对工作目标及预期效益、合作范畴、运作方式、责任划分、所有权归属、合约修改与终止、付款方式、赔偿问题等都要有明确的确认;对整个项目体系的规划, 信息部门必须对银行自身需要什么、问题在哪里非常清楚, 从而能够协调好与外包服务商之间长期的合作关系。比如, 网络标准、软硬件协议以及数据库的操作性能等问题都需要双方积极地参与规划, 银行内部信息系统外包管理人员应该参与完成这些工作而不是仅仅在合同中提出需要哪些工作。
(三) 明确IT监理和验收方案
在决定签署外包合同时, 还必需明确双方的责任与合作、IT监理和验收, 也就是对整个实施过程的有效监督, 以及对阶段性和最终成果的评验。因此, 依据外包服务合同, 制订详细的服务商考核和评价指标, 是约束双方行为, 也是量化信息系统外包管理的“宝典”。
(四) 外包商的评估和选择
在选择外包服务商时, 应全面考虑外包服务商的财务、人力资源、信誉、管理控制及效率、服务质量以及是否熟悉业务、价格水平等条件, 尽量避免“隐蔽信息”带来的外包风险。详细彻底的调查是非常必需的, 应该找出具有银行业IT管理经验优势的备选对象。要对每家公司进行全面的考察, 比如公司在行业内的地位、运作的灵活性以及接手相似金融业的业务记录。同时, 要尽可能详细地了解公司的专业人才配备情况, 以及以往的成功样本, 特别是失败案例的经历及其原因等。
银行信息技术外包 篇5
1 银行业信息科技外包简述
信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。银行业信息科技外包其实就是一种信息服务,即在适当的价和一定的信息科技服务水平基础上,以合同的方式委托信息科技外包服务商,由其提供银行业金融机构所需要的各类信息科技服务。目前我国大部分地区的银行业金融机构经常利用信息科技外包来使自己银行的信息科技服务水平得到极大的改善,这已经成为银行业的一种重要技术方法,信息科技外包可以为银行业金融机构带来以下几个方面的优势:
1)金融机构的管理和信誉得到极大提高;
2)有利于信息科技的整体建设成本的降低;
3)对科技部门工作效率的提高有非常重要的促进作用;
4)有利于新技术的发展,促进IT技术的不断改进;
5)有利于新产品的创新和业绩的提高;
6)有利于提高银行的核心竞争力和应变能力。
我们可以看出银行业信息科技外包对其健康发展起着举足轻重的作用,但随着信息科技外包在银行业中的快速发展,信息科技外包风险越来越突出,加之受到各方面因素的影响,信息科技外包风险成为银行业信息科技风险中不可忽视的风险。
2 银行业信息科技外包所面临的风险
2.1 银行业务发展战略与外包服务不匹配的风险
银行在选择外包服务商时如果没有经过慎密的整体考察、评估,就随随便便选择一个外包商,这就会留下外包项目和该银行业务想要发展的战略发生不匹配的隐患,就会对银行的发展造成致命的打击,因为一旦外包出去,就算是银行发现该风险隐患,要是选择终止合同就必须支付给服务商一大笔费用作为赔偿,而且如果再想跟原来的服务商重新建立信息科技外包服务就必须支付比以前更高的费用才能达成,所以说,外包与银行业务发展不匹配的战略风险对银行的发展是非常不利的。
2.2 外包服务商提供服务无法达到标准的风险
外包商在提供服务时会遇到很多问题,而一旦不能及时解决就会给银行业带来风险,主要包括以下几个方面:一是,外包服务商的服务水平受其人力、物力以及整体实力的影响而不能达到合同标准的服务水平;二是,外包服务商没有提供优质的服务水平,这将直接导致客户不满足银行的整体服务标准;三是,有些服务商会在接手后所做的事情根本没有按照银行的要求去做,或者做一些违反法律法规的事情,甚至是对银行的信誉造成巨大损失的不法行为等引起的风险;四是,服务商在遇到问题时由于技术问题或者维护问题而引发的一些事故,致使银行系统设备不能正常使用,造成银行由于设备出现故障而使办事效率低下,这对银行的声誉将会造成非常大的损失。
2.3 选择外包商的风险
该风险的出现主要是由于银行在选择外包商时没有经过充分考察、评估,以及对他们服务水平、技术水平、财力水平等都没有整体进行评估,而是单纯的只关注某一方面的特点,根本没有将IT外包的整体服务水平考虑进去,最后选择了服务水平质量不高的外包服务商。
外包商服务水平以及质量控制水平直接受其整体实力水平的影响,这对银行的顺利运行带来巨大隐患,而且这种风险会随着外包服务的进行而越来越大。
2.4 制定外包合同的风险
银行在和外包商签订合作合同时,必须经过全面的科学考察,不能只是将其中的某一方面作为重点,而其它的就不关心,如果没有经过全面、科学的考虑,银行将会在遇到意外或问题时处于非常被动的地位,因为这种片面的评估,将会使服务商的服务水平、服务标准以及在将会发生故障时得不到最好的服务。而这也就是我国目前大多银行在外包合同执行期间所面临的共同问题,服务商不能很好的执行服务,甚至有些技术根本就不能过关,对日常的检查也是不能按时执行,这些现象的发生将会在很大程度上造成银行的服务水平降低,工作效率大打折扣,会对银行的利益造成极大的伤害。
2.5 重要信息遭到泄露的风险
因外包服务商受其整体综合实力不高的影响,没有完备的法律法规体系,致使有些工作人员在向银行提供服务时,把银行内部一些非常重要的机密信息泄露出去,给银行的声誉和发展造成巨大损失的潜在风险,即重要信息遭到泄露的风险。由于这种风险的涉及面非常广泛,并且不很难有效控制,因此相对而言其有较高的发生概率。
2.6 知识产权的风险
这类风险主要包括以下几个方面:一是外包服务中开发技术的专利;二是版权的归属问题;三是源代码的归属问题,等等这些都是银行在和外包服务商签订协议时没有法律规定的,而且如果合同中存在一些不恰当的规定或者是没有进行详细的规定,这些问题都会给以后的合作过程带来很大的纠纷。
3 银行业信息科技外包风险管理的措施
3.1 建立一套科学、实用的外包风险管理机制
要求银行高管在制定对外包政策和外包风险管理机制时必须肩负起自己应有的责任。一是银行必须根据自己的整体战略和发展要求而跟外包商制定政策,其中制定外包政策的基础就是银行的整体战略。因为银行的整体战略计划对机构的资质或对外包政策起着决定作用;
二是要重视外包业务的风险意识,切实做到尽职尽责,对外包风险管理做到心中有数。除此之外还要在自己的风险管理和内控体系中将外包服务纳入进来,在选择外包商时必须设定符合自己的考核评估标准,还要对外包商进行很长时间的考察,对所面对的外包风险可以制定出专门的风险防范措施。
3.2 选择合适的外包服务商
银行跟外包商之间是一种相互合作的关系,而且银行对外部市场的服务水平会在很大程度上受到外包商服务表现的影响,所以说,银行选择适合自己的外包商将会对自身的发展起着至关重要的作用。第一,银行必须明确自己业务进行外包的目的是什么,因此,银行要从从自己想要达到的目标出发,再有针对性的对外包服务商进行综合评估,选出最适合自己的外包服务商;第二,银行在选择外包服务商时要有自己的一套科学、适用的评估体系,对外包服务商的人力、财力以及从事该行业的经验、发展的稳定性、处理类似事情的案例等各方面进行综合考评,其中评价和选择服务商的关键是外包服务商的能力和服务质量的可靠性,不能一味的只考虑低廉的价格,因为这样会使自己得到低质的服务。
3.3 严格保守非常机密的信息
要求银行业金融机构在与外包服务商签订合同时做到以下两点:一是,除了签订双方合作合同外,还要再额外签订一份具有商业保密协议的保密合同,如对双方合作有关的十分重要的信息内容、以及重要机密信息的获得方式、外包商所必须遵守的保密义务、以及双方保密的时间段和任何一方违反保密协议的处罚条款等都要在合同中详细说明,这样就能从根本上避免银行业金融机构重要机密遭受外包服务商的泄露;二是,在双方合作过程中银行要特别重视对信息保密管理的监督,特别是对与银行直接联系的外包服务商相关人员的监督,比如,必须对那些进入银行重要场所的外包服务人员进行有效的身份核对,并有专人的陪同进行等。
3.4 严格审核外包服务合同条款
信息科技外包合同的制定必须详细严格,比如合作双方合作内容的范围、需要服务的方式以及外包商的服务质量等都要详细具体的在合同中明确出来,除此之外,还要将合同的方方面面进行详细的检查,以防有纰漏的地方出现,特别注意针对合作双方有关的权力与义务要详细的写明,而且对合作达到的一些技术成果的专利、产权的归属问题等都必须在项目开发合同中明确规定好,还要针对可能出现的项目成果对第三方的责任承担充分说明清楚,这样就会避免在合作过程中项目可能会带来的一些法律风险。
3.5 合理确定外包服务的范围
银行在选择外包商时,先要从自身的整体情况出发,将信息科技外包可能会对自身带来的风险进行评估和等级分类,这样在选择外包商时可以根据评估结果制订出合理的外包服务范围。重要的是,银行必须将涉及的机密信息以及本机构的核心技术牢牢的掌握在自己手中,而对于那些不属内部核心的信息技术,可以经过慎重评估后酌情外包。
4 结论
随着我国银行业信息技术外包的快速发展,银行高管必须面对目前的挑战和机遇,制定出信息科技外包风险管理的有效措施,使银行能够得到更快更好的发展。
参考文献
[1]银行业金融机构信息科技外包风险监管指引.中国银行业监督管理委员会.银监发[2013]5号.
[2]刘颖.银行业信息安全管理体系建设浅析.中国金融电脑,2012(4).
[3]陶良华.银行业信息科技风险管理能力探究.网络安全技术与应用,2011(12).
银行信息技术外包 篇6
(一) 被调查银行对外包的认识
银行业信息科技外包是指银行以固定的价格在一定的IT服务水平基础上, 以合同的方式委托IT服务商 (以下简称服务商) 向银行提供所需的部分或全部IT功能的一种信息服务。我省银行业金融机构普遍将信息科技外包作为提高信息科技服务水平的重要手段, 外包可以为银行业金融机构带来以下优势:
1.帮助提高银行的管理和服务效率;
2.节约信息科技建设和运维成本;
3.缓解科技部门人员和技术力量不足的压力;
4.快速接触最新技术, 降低IT技术遭淘汰的风险;
5.加快产品的创新和业务的推出, 增强银行核心竞争力和应变能力。
(二) 我省辖内银行业信息科技外包的开展情况
通过调研发现, 我省银行业信息科技外包的主要内容包括软件开发和维护、主机设备维护、桌面计算机及外设的维护、运营机房等基础设施、部分业务运维 (如贷记卡业务、网银) 以及其他外围业务系统等。我省银行业金融机构开展科技外包服务主要有以下特点。
1.国有银行和股份制银行分支机构的外包以桌面维护和设备维护为主。由于国有银行和股份制银行的业务系统大多由总行统一开发维护, 数据中心和灾备中心也由总行集中管理, 分行仅负责辖内特色业务和部分外围系统的开发应用及维护, 其外包内容以桌面和设备维护外包为主, 主要分为三类。第一类是桌面计算机及外设的维修维护。特点是工作量大、技术含量较低, 通过外包可降低成本, 提高服务效率并减少人力资源投入。第二类是与主机相关的核心设备维保, 包括小型机、存储阵列、核心交换机等。特点是备件成本高、专业化程度较高, 需要原厂商的技术支持和服务, 而通过外包可节省成本, 提高系统维护质量。第三类是自助终端设备的维保, 包括ATM机、自助查询机及POS机等。这类设备在大机构中数量多, 分布广, 需要有专门的公司对其运行进行检测和维护以降低维护成本。除此之外, 部分大型银行或股份制银行也将部分非核心业务系统外包, 如中行浙江省分行将客户关系管理、影像系统、IP语音网建设和视频会议系统等系统外包给专业技术公司, 再如深发展外包部分外围系统的支付系统、验印系统等。
2.辖内中小法人银行新业务发展和灾备建设对外包依赖较大。辖内城市商业银行和省农信联社由于自身技术力量有限, 外包服务偏向技术含量较高的工作, 包括贷记卡业务系统、灾备建设、主机设备维护和网银系统等。其中贷记卡业务外包的比例最高, 在开展贷记卡业务的7家中小机构中, 除省农信联社之外的6家机构贷记卡系统都采用外包, 而且外包服务商都是银联数据服务有限公司。灾备建设外包分为两类, 一类是灾备建设咨询外包, 包括省农信联社、温州银行、台州商业银行3家机构;另一类是灾备中心机房外包, 包括省农信联社、嘉兴商行、湖州商行3家。目前没有机构对灾备中心进行整体外包。网银业务一般都由外包公司开发, 金融机构自己维护, 只有1家城商行计划将网银系统整体外包。另外, 主机核心设备维保技术要求较高, 多数机构也是将其外包给专业公司。与大型银行形成鲜明对比的是, 中小机构桌面计算机及外设维护外包的比例很低, 大多数都由自己的科技人员完成。
3.发展成熟的外包服务商对银行开展外包有重要的影响。调查中发现, 中小银行开展贷记卡业务基本选择通过外包的方式来建立, 而且外包服务商都选择了银联数据服务有限公司。该公司是经中国人民银行批准的中国银联控股子公司, 于2003年1月成立, 是中国第一家得到中国人民银行和中国银联资质认证的第三方处理机构。公司注册资本为人民币2亿元, 总部设在上海。由于该公司具有政府背景, 其母公司中国银联作为中国的银行卡联合组织, 处于我国银行卡产业的枢纽和核心地位, 因此选择银联数据作为外包服务商可以获得安全可靠的服务。这种现象从一个侧面说明了并非银行不愿意外包, 而是可选范围有限。如果国内能建立起一个成熟规范、竞争充分的外包市场, 存在多个背景雄厚、信誉良好、技术过硬、规范化运作的公司, 如银联数据服务有限公司、惠普、IBM等, 大多数中小银行都将愿意通过外包迅速接触并进入新市场, 缩小与大银行之间的差距。
二、信息科技外包的风险点
(一) 外包与银行业务发展不匹配的战略风险。如果商业银行未能对外包内容进行总体的评估与考量, 盲目将业务整体外包给服务商, 就会造成外包项目与机构业务发展战略不匹配, 反而对自身的业务发展不利。一旦银行意识到该风险隐患, 无论是选择中途退出或者到期终止外包合同, 都要支付很大的战略退出成本;在重新建立信息系统和外包服务体系时可能需要支付比原来更高的费用, 而且必然存在外包服务短期脱节的问题, 处理不当会使银行在财务、信誉、运作和潜在客户资源等方面蒙受极大的损失。
(二) 外包服务商无法提供所需服务的风险。这种风险主要源自外包服务商承接服务过程中的具体行为, 包括服务商由于人力、物力、财力发生变化而无力提供外包合同原先规定的服务水平;提供的服务质量低劣导致与客户的交互过程不符合银行整体服务标准;从事不符合银行要求、损害银行利益的不当行为及信用恶化等因素所引起的一系列风险。还有因外包服务商技术问题或维护问题引发事故, 使银行设备或系统遭受损失, 或由于服务不到位影响工作效率甚至对银行业务及声誉造成严重影响等问题。
(三) 选择外包服务商的风险。该风险主要源于银行选择服务商之前未能很好地评估其人员、技术及财务状况, 缺少关于综合服务水平的全面考评, 片面地考虑局部优势, 而忽略了IT外包的总体服务水平, 致使最终选择了低劣的服务商。外包服务商的不足会使外包在服务的及时性和质量方面失去控制, 进而导致银行在运行管理上的严重失控。这种风险会通过外包服务自身的连续性在后期得到放大。
(四) 外包合同制定与执行的风险。在外包合同的制定过程中, 若银行在合同中只是关注于技术细节, 而没有全面地考虑服务商的综合状况以及银行业务需求的发展和变化, 未详细明确必须提供的最低服务水平、详细的服务范围和标准、发生故障时的服务级别及响应时间等, 那么银行将在发生变化或意外故障时处于被动地位。目前金融机构在外包合同执行期间, 很少执行服务提供商财务状况以及支持IT外包业务的技术和关键人员的监督审计制度, 忽视了必要的日常检查, 有些甚至将监管的责任移交给服务提供商, 这势必导致服务水平的下降。
(五) 信息泄密的风险。信息泄密风险是指由于外包服务商不具有完备的守法体系与内控能力, 在为银行提供服务时, 有意或无意地将银行内部信息和商业机密泄露, 从而使银行面临潜在的风险。这类风险涉及面很广, 发生概率较大。无论是低层次的桌面计算机维护外包, 还是高层次的业务系统整体外包, 都有可能发生客户信息、银行经营数据泄密的风险, 其中客户信息等个人隐私一旦泄漏将导致严重的信誉风险和法律风险。在被调查的机构中, 大多数机构都对数据信息泄密问题非常敏感和谨慎, 这说明了这类风险存在的广泛性。
(六) 过度依赖外包服务商导致系统失控的风险。如果信息科技外包的范围过大、层次过深, 会导致银行对外包商服务的依赖程度越来越大。随着时间的推移, 银行自身的科技人员会慢慢丧失了对核心技术的掌握能力, 从而导致外包商成为技术强势的一方。银行对于业务需求的任何变更都必须经由或取得外包服务商的同意, 在服务要求和成本控制上无法对外包服务商形成有效约束。长此以往, 银行信息科技工作的灵活性和自主性就会降低, 从而削弱银行的核心竞争力, 外包服务商反而成为银行整体发展的障碍。
(七) 外包服务的业务连续性风险。这种风险来源于外包服务商未采取严格的质量控制体系和完善的应急措施, 未能严格按照银行的要求提供连续服务, 从而使银行蒙受损失。这种风险一般在某些不可抗力的、外包服务商破产、核心技术人员流失等情况下, 需要银行在选择外包服务商时就予以考虑。
(八) 知识产权风险。对于项目开发之类的外包, 外包服务商所开发技术的专利、版权的归属问题、源代码的归属等通常是由银行与外包厂商双方协议达成而非法律规定, 如果合同条款规定不当或者细则不明确, 都有可能在后期带来纠纷。
三、外包风险防范措施
(一) 建立全面的外包政策和外包风险管理机制。银行高管层应对制定外包政策和外包风险管理机制负责。首先银行的业务外包策略必须与其总体战略相匹配, 总体战略是制定外包策略的基础, 而外包是在总体战略安排下的具体战略举措。银行的总体战略不仅决定了机构的自制或外包决策, 而且还影响外包内容、外包模式以及供应商的选择。其次要切实履行外包业务风险管理的责任, 不能将风险管理的责任进行外包。银行应建立适当的外包风险管理机制, 设定必要的批准程序, 将外包服务商纳入银行的风险管理和内控体系, 对外包商设定合理的考核评价标准, 并进行持续的监测和评估活动, 针对外包风险制定专门的风险防范措施。
(二) 合理确定外包服务的范围。银行应根据信息科技对自身的重要性和风险等因素对其进行分级, 并依据分级结果合理确定科技外包服务的范围和内容。对于属于核心业务能力的信息技术, 银行应掌握在自己手里, 避免外包导致的系统失控;对于非核心业务的信息技术, 银行可酌情考虑外包。可参照美国J.P.摩根银行的三层信息技术构架理论对信息技术分层, 第一层指计算机系统的硬件、系统软件、工具软件、网络、基础设施和其他专用机具;第二层主要由应用软件和人机接口组成;第三层主要包括业务流程重组、策略规划、应用系统集成和现有应用系统的管理和维护。工行的外包管理即参照这个理论, 只外包第一层和部分第二层的技术内容, 第三层技术内容属于机构的核心业务能力, 完全由自己实现。中小银行没有实力完全开发核心业务系统, 对于核心业务系统一般都采用合作外包的方式, 开发完成后应逐步过渡到自己维护。
(三) 选择合适的外包服务商。银行和外包服务商间实际上形成一种合作伙伴关系, 外包服务商的表现在很大程度上影响银行对外部市场的服务水平, 因此选择合适的服务商对银行至关重要。首先要明确外包业务的目的是获取资源还是降低成本, 然后根据目的确定相应的选择依据。其次要建立科学的评价体系来评价潜在的外包服务商, 从经验、能力、技术、资本、信誉、对金融行业的熟悉程度、自身发展的稳定性、已有的类似案例等多方面对外包服务商进行考核, 其中外包服务商能力和服务质量的可靠性是评价和选择服务商的关键, 一味追求服务价格的低廉极可能会带来低质的外包服务。
(四) 严格管理外包服务合同条款的制定。信息科技外包合同应就项目实施范围、服务内容、服务水平达成一致, 并充分考虑合同中容易忽略的细节, 尤其要明确责任与义务的划分。对于项目开发的合同, 需明确项目成果的知识产权归属问题, 同时对项目成果对第三方的侵权责任承担予以说明, 避免项目带来的法律风险。
(五) 强化对外包服务商的管理。由于外包服务商比银行拥有更多关于产品和服务的质量、成本等信息, 从而导致信息不对称, 另外合作双方理念和文化的差异、无效的沟通机制等因素都可能导致外包的失败。因此, 强化对外包过程的管理非常必要。一是通过设立专门的管理协调部门或组织, 构建畅通的沟通渠道, 解决外包过程中的问题和矛盾, 防止意外的发生;二是通过细化外包合同条款、建立质量保证体系等管理控制手段, 强化对外包过程的监督, 减少外包过程中因信息不对称造成的风险;三要建立有效的审计和后评价机制, 定期对服务商进行服务质量考核并予以公布, 根据工作量的增减及时调整外包标准的和服务要求。
(六) 严格保护敏感的信息。一是与服务商签订专门的保密协议, 对保密信息内容、保密信息提供与保护、服务商保密义务、保密期限和违约条款等进行约定, 以防止服务商对银行敏感信息的泄露;二是加强服务过程中的信息保密管理, 加强对服务商技术人员的监督, 如服务商员工进出银行营业场所的管理, 包括身份认证、陪同等。
(七) 加强外包的应急管理机制。银行对外包服务的各种意外情形, 应建立必要的应急措施 (包括灾害恢复计划及备份设施的定期测试计划) , 尤其是对以下情况设计必要的应急规划:外包商发生破产、遇到不可抗力无法完成外包事务、外包商在内部技术或者骨干人员方面的变动等影响外包合同履行等。
四、监管政策建议
目前, 我国银行业信息科技外包业务快速发展, 但银行在外包风险管理方面刚刚起步, 缺乏统一的标准, 管理水平参差不齐。而国内信息技术服务提供商在服务规范、技术水平、管理实施等方面还存在许多不尽人意的地方, 外包服务纠纷也时有发生。银监会作为银行业的监管部门, 非常有必要在信息科技外包方面制定全国统一的指导性文件, 引导外包服务的健康有序发展。除对上述各项外包风险防范措施予以规范外, 其他外包服务监管的政策建议有以下几点。
(一) 明确管理层责任, 确立风险控制原则。明确要求银行对系统安全稳定运行的责任不能转嫁给外包公司, 并要求银行根据自身业务发展情况建立整体的外包策略和政策, 在选择外包商、外包服务采购、合同制定、运行监督管理、服务评价和审计等方面建立完善的内控制度体系进行有效管理。
(二) 明确信息科技外包服务的定义和范围。外包服务的范围是监管制度关注的焦点, 也是规范的难点。外包服务的范围原则上仅限于非核心金融服务, 这可以借鉴我国台湾地区的经验, 先明确规定允许金融机构进行外包的服务, 然后对于其他事务的外包则通过特别的批准程序。在列举范围上, 建议通过分类和列举结合起来。
(三) 对选择外包商提出原则性要求。外包商选择是关系到外包服务实施效果的关键所在, 因此监管政策应该就选择合格外包商的流程和机制提出原则性要求。另外, 银监会在规范和引导外包服务市场健康发展方面也可以有所作为, 如对外包服务公司制定准入标准、建立黑名单制度等。
【银行信息技术外包】推荐阅读:
银行信息07-18
银行信息系统模拟09-03
银行信息披露系统07-22
更改银行账户信息证明06-08
村镇银行信息平台建设08-23
农商银行信息披露制度09-15
银行财务管理信息思考05-24
网上银行信息安全产品07-24
商业银行风险信息数据05-19
银行信息安全工作计划05-21