商业银行信息科技外包服务的风险管理与控制
孙立红
摘 要:近年来越来越多的商业银行倾向于采用信息科技外包服务快速提高自身IT能力,我国各地的中小银行便属于其中代表,这主要是由于信息科技外包服务可快速响应商业银行的业务需求并具备资源配置优化、成本节约优势,但是同时也带来了一系列的外包风险,基于此,本文简单分析了商业银行信息科技外包服务面临的风险,并结合实践提出了风险管控路径,希望由此能够为相关业内人士带来一定启发。
关键词:商业银行? 信息科技外包服务? 风险管理
随着全球化浪潮的不断推进,信息科技外包服务的应用已经成为商业银行维持自身竞争力的重要手段之一,但在笔者的实际工作和调研中发现,现阶段我国商业银行信息科技外包服务存在着人员、技术能力、质量、安全等一系列风险,而为了较好应对这类风险,正是本文围绕商业银行信息科技外包服务的风险管理与控制开展具体研究的原因所在。
一、商业银行信息科技外包服务面临的风险
(一)人员风险
人员风险主要源于商业银行信息科技外包服务中的人员外包,这里的人员外包指的是承包方参与的开发、测试、运维、运营,人员外包以商业银行为主、承包方人员参与。以商业银行软件测试为例,人员外包往往面临着人员流动性较大问题,测试团队的整体工作能力、整体氛围均会因此受到影响,测试质量不稳定问题自然很容易因此出现。现阶段我国信息科技外包服务行业竞争激烈,外包服务人员频繁跳槽情况也较为常见,外包服务人员管理难度也因此大幅提升。值得注意的是,商业银行信息科技外包服务中的人员外包还可能面临管理人员技能风险,这一风险的出现主要是由于管理人员需要深入了解业务并具备相应技能,且同时还需要负责与外包服务商的沟通、外包服务人员的日常管理,由此才能够较好把控风险并掌握进度,相关管理人员因此受到的挑战必须得到重视。值得注意的是,商业银行信息科技外包服务中的人员外包还面临着信息泄露风险,如部分商业银行因人员匮乏存在重要岗位外包情况,这使得外包人员可能接触到生产数据,客户敏感信息因此出现的泄露必须得到关注。
(二)技术能力风险
技术能力风险同样属于商业银行信息科技外包服务面临的风险之一,该风险主要表现为银行信息科技服务能力降低、内部管理缺失。银行信息科技服务能力降低主要是由于其在信息科技外包过程中出现过度依赖外包人员问题,银行自有员工的技术架构、核心业务、系统接口学习积极性也会因此受到影响,而由于外包服务人员本身缺乏对银行的责任心和归属感,效率、质量相关问题也很容易因此出现,并最终导致其信息科技服务能力降低;近年来我国信息科技外包服务领域发展迅速,但部分商业银行的自有人员管理能力却存在无法适应信息科技外包服务的问题,在缺少有效管理手段和措施的影响下,内部管理缺失问题往往因此出现,协调沟通成本增加、资源浪费、自有人员无法应付便属于该问题的典型表现,相关纠纷、外包服务人员质量降低情况也可能因此出现。
(三)质量风险
商业银行信息科技项目外包很容易出现质量相关风险,同样以商业银行的软件测试为例,很多因素均可能引发软件测试质量风险,如测试外包服务人员能力不足、测试外包服务人员流动性高、对外包服务商的监督和管理有限、外包服务商整体测试技术能力不高等,测试质量无法达到预期、测试周期延长、整体工作质量下降等问题均可能由此出现。值得注意的是,软件测试质量风险的出现很多时候与商业银行在招标过程中对外包服务商的分析评估不够全面存在较强联系,如未能全面分析外包服务商的服务经验、技术水平、服务能力、行业信誉、安全保護措施、监管评价,这些同样需要得到业内人士重视。
二、商业银行信息科技外包服务风险管控路径
(一)开展风险监测与预警
为较好应对商业银行信息科技外包服务所面临的风险,商业银行必须基于信息科技外包服务的风险开展监测与预警,这里的监测与预警开展需首先明确商业银行信息科技外包服务风险关键监测指标,如第三方供应商风险、外包合作风险、外包采购风险、外包合同风险等,以其中的外包合作风险为例,该风险主要由未考虑多家银行共用一家外包公司的风险、外包公司的服务水平未达到预期目标、双方产生知识产权纠纷、在合同结束后未销毁因工作需要获取的重要信息、外包人员在软件开发过程中加入后门程序且未被发现、未制定信息科技重要外包服务应急预案等,而在基于商业银行实际并结合穷举法明确监测指标后,商业银行便需要基于指标建立信息科技外包服务风险监测平台。
基于信息科技外包服务风险监测指标与监测平台,即可开展具体的信息科技外包服务风险评估,该评估可结合层次分析法、专家判断决策量化外包风险各因素,并以此建立量化评估模型,结合模型得到各因素对于总目标的重要性分布,即可最终得到相应时点商业银行信息科技外包服务风险量化评估结果,针对性较高的风险管控也将由此实现。
(二)完善管理制度
结合上文论述的人员风险、技术能力风险、质量风险,本文建议商业银行完善信息科技外包服务的管理制度,这种制度的完善可围绕外包服务商管理制度、外包服务人员管理制度展开。
1、外包服务商管理制度
商业银行需严格遵循《银行业金融机构外包风险管理指引》(银监发(2010)44号)、《银行业金融机构信息科技外包风险监管指引》(银监发(2013)5号)、《国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监发(2014)187号)等行业规定,由此明确信息科技外包服务商的招标采购流程、合同签订流程、外包服务能力考核、日常监督考核、准入资格审核、退出机制、奖励处罚制度、费用结算等环节,即可明确传达商业银行的管理制度和要求,外包服务商在科学完善的理论支持和工作指导下,也能够更好为商业银行提供信息科技服务。值得注意的是,为避免行业垄断等问题的出现,并进一步降低各类风险的发生概率,商业银行还可以建立外包服务商资源池,该资源池可汇总外包服务商的各类信息,如得分、评级等结果,同时基于外包人员开展严格的考核,并将人员流动率、面试通过率、人员质量水平、现场人员管理等情况录入外包服务商资源池,即可为外包服务商的选择提供更有力支持
2、外包服务人员管理制度
人员外包属于较为常见的商业银行信息科技外包服务模式,而在该模式的具体应用中,外包人员的管理工作必须得到重点关注,因此商业银行必须建立、完善外包服务人员管理制度。具体来说,外包服务人员的管理制度应涉及人员引进、人员现场管理、级别调整、绩效考核、考勤管理、出入场管理等内容,其中人员引进制度需遵循择优录取、公开招聘、公开竞争原则,且制度需要明确招聘要求、组织方式、招聘流程,入场流程、离场流程、用人模式、试用期管理、人员转场、人员转岗等也需要得到重视;人员现场管理需结合银行信息科技建设情况和具体项目情况,并结合“谁用人谁负责”原则采用合适的人员管理模式,同时需保证服务期间外包服务人员严格遵循人员管理要求和工作规范,并完全服从商业银行使用部门的统一管理和安排;级别调整属于商业银行为外包服务人员提供的主要处罚和晋升方式,其中外包服务人员入场后的岗位等级需基于其能力划分,如初级、高级等,而随着外包服务人员的能力变化,即可根据其绩效评价、考勤结果、技能水平、工作经验全方位开展核定,级别调整的科学性将由此得到保障;绩效考核的开展必须做到公开考核方法、公正操作、公平评价,由此围绕外包服务人员工作情况开展定量和定性分析,即可开展以月、季度、年为周期的外包服务人员绩效评价,商业银行需结合评价结果与外包服务人员开展深入沟通,并给予一定奖励和惩罚,同时还需要将结果反馈给外包服务商;考勤管理同样能够有效降低商业银行信息科技外包服务风险,这一管理需结合实事求是原则,管理目标则为工作秩序维护和员工休息权利保障,因此考勤管理需明确旷工、早退、迟到、请假等多种情况的管理方法,并将考勤结果作为外包服务费用结算的依据,这就要求相关管理人员尽可能保证考勤管理的客观性和准确性。
(三)加强安全、质量管理
为保证商业银行信息科技外包服务不会引发信息安全、质量相关问题,必须针对性加强安全、质量管理。
1、加强安全管理
安全管理需提升商业银行的信息安全管控能力,通过建立完善的信息安全管理制度、限制外包服务人员使用的信息资产、应用安全桌面化办公技术、加密处理涉密类文档、开展外包服务人员信息安全培训,即可保证商业银行较好满足银监会提出的信息安全管理要求,信息科技外包服务的信息安全风险也能够得到较好应对。
2、加强质量管理
质量管理的加强需关注信息科技外包服务人员的能力提升,并合理组建团队,其中能力提升需要建立完善的外包服务人员职级晋升通道、明确绩效激励措施并同时开展人员的分类培养,由此将外包服务人员分为有能力不想干、没能力不想干、没能力想干、有能力想干四类,即可开展针对性较强的外包服务人员培训、培养;团队的合理组建需要结合项目的时间周期和复杂程度,如复杂程度高、规模小但工期紧张的项目,便需要减少初级人员投入,并尽量投入中高级有经验人员,由此即可有效提升信息科技外包服务的效用发挥。
三、结束语
综上所述,商业银行信息科技外包服务的风险管控具备较高现实意义,在此基础上,本文涉及的开展风险监测与预警、完善管理制度、加强安全与质量管理等内容,则提供了可行性较高的信息科技外包服务风险管控路径,而为了更好推动我国商业银行发展,信息科技外包服务模式调研、国外商业银行经验学习、风险识别量化也需要同时得到重视。
参考文献:
[1]刘述忠,党全荣,曹燕玲.银行信息科技外包风险管理[J].中国金融,2016(20):78-79.
[2]马琳.民生银行信息科技外包管理探索之道[J].中國金融电脑,2016(09):32-38.
[3]丁光华.关注中小银行信息科技外包风险和安全管理——中小银行信息科技外包分析及应对策略[J].时代金融,2016(24):106+109.