APP下载

浅谈银行业信息科技外包风险及管理

2017-03-30王昱元

商情 2017年5期
关键词:银行业

王昱元

【摘要】信息科技外包为银行业金融机构提高经营效率,提升管理和服务水平,降低科技工作的建设和运维成本,有效减少了科技人员技术力量不足所带来的压力,增强金融机构的应变能力和核心竞争力。信息科技外包一方面为银行业创造价值,另一方面也带动了银行业金融机构风险的转移。

【关键词】银行业 信息科技外包 外包风险

一、银行业信息科技外包

银行业金融机构的信息科技外包服务以合同方式委托信息技术服务供应商提供所需的信息技术服务,银行业信息科技外包类型可以概括为以下几类说明如下:

银行业信息科技外包:研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包。系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包。业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产设置等外包中的系统开发、运行维护和数据处理活动。

二、信息科技外包风险

银行业金融机构得益于信息科技外包服务,科技水平显著提高,凭借着外包供应商优质的软硬件环境最大化了金融机构的竞争优势,在得到极大优势的同时必然要面临相应的风险。

(一)跨境外包风险

金融机构购买某一国家服务供应商的信息产品、系统等相关外包服务,在合同期间该国家的经济、政治、社会事件产生了国家级别的风险,从而导致该合作供应商不能正常经营,致使对金融机构造成重大影响。

(二)集中度风险

金融机构将信息科技外包服务集中交由少量服务供应商承接,在合同期间,该服务商或者其供应链上某公司出现无法正常运营的情况,导致金融机构出现集中性的服务中断、一系列的安全事件。

(三)信息安全风险

首先服务供应商或者其供应链上某公司是额外增加的不可控的信息安全风险环节,其次服务供应商内部控制有出现漏洞的可能,致使金融机构遭受黑客攻击、银行客户信息和资产被窃取等事件的发生,导致包含客户信息在内的金融机构非公开数据被服务商、黑客等非法获得。

(四)科技能力丧失风险

金融机构长期购买某些服务供应商的服务,熟悉供应商所提供的产品,形成了对供应商及其所提供的外部资源过渡依赖,导致金融机构失去科技控制力及创新能力,影响业务创新,掣肘机构发展。

(五)业务中断风险

金融机构由于更换服务供应商、供应商更新或停止某项服务等原因造成无法持续享有外包服务,导致金融机构某项业务中断。

(六)服务水平下降风险

供应商的服务能力有限,技术水平、研发能力不足,行业声誉下降,内外部协作效率低下,不能迅速跟进技术应用、对产品及时升级改造,导致外包服务质量达不到合约预期目标,供应商对金融机构的科技服务质量下降。

三、信息科技外包风险管理

(一)建立信息科技外包服务管理机构

要對信息科技外包实施全面有效的管理,必须首先建立外包服务管理机构。目前,银行业金融机构在外包过程中,仅当外包商选择或发生了法律纠纷时,才成立临时性机构来处理相关外包事务,管理机构的缺失给外包服务的管理和监督带来不便,无法充分保障外包服务的质量。

信息科技外包服务管理机构应该建立健全外包服务管理相关制度,做到对外包服务相关事务的处理有制度可依循,防范在外包立项、审批、采购、实施、服务过程中出现的各种风险。

信息科技外包服务管理机构应做好外包服务商准入控制。控制外包服务项目预算经费;核查外包服务项目与金融机构发展趋势、信息科技外包战略是否一致;在筛选服务供应商时,国产供应商优先,禁止与监管部门发布风险预警的外包服务商合作,避免与提供外包服务不满三年的供应商合作,避免与已签订其他外包项目的供应商合作;对重要的服务供应商开展尽职调查,必要时为保证公允,可聘请第三方机构协助调查,调查应关注供应商技术经验、行业声誉、内部控制力、企业管理能力、持续经营状况等。

(二)规范信息科技外包服务合同

在购买外包服务前,金融机构应与外包服务供应商签订合同,合同应根据外包服务需求、尽职调查结果确定详细程度和重点。

合同应合规,遵从法律法规及金融机构内部管理制度的要求;合同应明确服务范围、内容、方式、时限、责任分配等事宜;合同应明确供应商在安全和保密方面的责任,禁止使用、泄露金融机构非公开信息,明确加强安全保密的具体措施;合同应满足服务连续性要求,具有完善的灾难恢复设施和应急管理体系,若供应商由于其自身原因造成的服务中断可能时,需提前向金融机构提出事务应急方案,做好应急处理,做好过渡安排,保障业务连续性;合同应包括争端解决机制、违约及赔偿条款,明确信息安全、服务质量、知识产权等违约情况下的赔偿及解决办法;合同应包括报告条款,明确常规报告内容、频度、突发事件的报告流程、方式、时限要求等。

(三)落实信息科技风险评估

金融机构应定期开展信息科技外包风险评估,由牵头部门组织,信息科技部门技术配合开展系统、全面的信息科技外包风险评估工作。

信息科技外包风险评估应涵盖信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续行、服务质量、政策及市场变化等因素。

定期对重要的外包服务供应商进行风险评估,评估应涵盖供应商合规情况、服务的执行效果、供应商企业内部控制力等因素。

完成风险评估后应及时提交评估报告,并针对评估发现的问题立即整改,评估及整改情况宜留存信息科技外包服务管理机构,用于核定供应商续约等事务。

四、总结

建立信息科技外包服务管理机构,建立健全制度,落实外包服务商准入控制,规范外包合同,落实风险评估,在服务实施过程中进一步监督管控供应商,有力防范信息科技外包服务的跨境、集中度、信息安全、科技能力丧失、业务中断、服务水平下降等风险。

猜你喜欢

银行业
全球银行业AI的商业价值将创新高
银保监会上半年开出14.3亿元罚单
欧美银行业:回顾2017与展望2018
中国银行业的未来:不确定性与希望并存
商业银行如何过冬?
给银行业打气