銀行信息系統(tǒng)安全運(yùn)營(yíng)，與IT外包商提供的軟硬件產(chǎn)品質(zhì)量休戚相關(guān)，而IT業(yè)務(wù)外包風(fēng)險(xiǎn)貫穿于技術(shù)、產(chǎn)品、系統(tǒng)、服務(wù)、生產(chǎn)、采購(gòu)、集成、運(yùn)行、維護(hù)等整個(gè)產(chǎn)品供應(yīng)鏈中的各個(gè)階段，一旦風(fēng)險(xiǎn)與安全管理失控，則給銀行信息系統(tǒng)建設(shè)帶來(lái)?yè)p失。

因?yàn)镮T業(yè)務(wù)外包是國(guó)內(nèi)外商業(yè)銀行普遍采取的科技發(fā)展戰(zhàn)略，主機(jī)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)基本采購(gòu)國(guó)外知名IT公司產(chǎn)品，應(yīng)用軟件大型商業(yè)銀行以自主研發(fā)為主，少部分外包采購(gòu)，中小銀行信息系統(tǒng)建設(shè)采取外包采購(gòu)方式來(lái)完成。因此，做好IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全管理是銀行業(yè)IT治理的一個(gè)重要內(nèi)容。

一、IT業(yè)務(wù)外包風(fēng)險(xiǎn)分析

1、從宏觀層面分析，產(chǎn)生系統(tǒng)性風(fēng)險(xiǎn)。目前銀行業(yè)使用的IT產(chǎn)品如計(jì)算機(jī)CPU、操作系統(tǒng)、基礎(chǔ)應(yīng)用軟件、互聯(lián)網(wǎng)等技術(shù)都來(lái)自國(guó)外公司，因某種原因，承包商所在發(fā)生戰(zhàn)爭(zhēng)等不可抗拒性事件時(shí)，會(huì)造成IT供應(yīng)商及其供應(yīng)鏈上的公司不能正常經(jīng)營(yíng)，如果IT業(yè)務(wù)外包的是一些重要的核心業(yè)務(wù)，則會(huì)對(duì)銀行信息系統(tǒng)安全造成重大影響。

2、從供應(yīng)商方面分析，產(chǎn)生依賴性風(fēng)險(xiǎn)。目前，國(guó)內(nèi)銀行業(yè)普遍長(zhǎng)期使用一些國(guó)內(nèi)外知名廠商提供的軟硬件產(chǎn)品，在熟悉供應(yīng)商產(chǎn)品的同時(shí)，長(zhǎng)期使用也形成了對(duì)某一供應(yīng)商的依賴，也會(huì)因外包商自身或其供應(yīng)鏈上某公司出現(xiàn)問(wèn)題，造成外包商運(yùn)營(yíng)出現(xiàn)風(fēng)險(xiǎn)，如果銀行沒(méi)有自己掌握外包供應(yīng)商產(chǎn)品技術(shù)，更換新外包商會(huì)帶來(lái)成本高及影響銀行業(yè)務(wù)正常運(yùn)營(yíng)。

3、從產(chǎn)品供應(yīng)鏈分析，產(chǎn)生供應(yīng)鏈風(fēng)險(xiǎn)。目前，很多IT廠商特別是跨國(guó)IT供應(yīng)商，把用戶訂單分包給其他外包商生產(chǎn)，當(dāng)該公司供應(yīng)鏈企業(yè)合作關(guān)系因某種原因出現(xiàn)問(wèn)題時(shí)，則會(huì)產(chǎn)生IT外包供應(yīng)鏈風(fēng)險(xiǎn)。

4、從采購(gòu)方面分析，出現(xiàn)選擇性風(fēng)險(xiǎn)。在外包供應(yīng)商招投標(biāo)過(guò)程中，由于沒(méi)有對(duì)外包供應(yīng)商的服務(wù)能力、技術(shù)水平、才能力、行業(yè)信譽(yù)、安全保護(hù)措施等方面做全面的科學(xué)分析評(píng)估，并受到來(lái)自各方面關(guān)系因素影響，選擇的IT外包商各方面能力不能滿足銀行自身業(yè)務(wù)發(fā)展需要，容易出現(xiàn)項(xiàng)目失敗，造成損失。

5、從合規(guī)方面分析，產(chǎn)生合同風(fēng)險(xiǎn)。在與IT業(yè)務(wù)外包供應(yīng)商簽署合同時(shí)，因制定的合同文本中相關(guān)合同條款描述的不到位、不詳細(xì)，權(quán)利與義務(wù)沒(méi)有很好的說(shuō)明，容易造成外包服務(wù)質(zhì)量達(dá)不到預(yù)期目標(biāo)甚至產(chǎn)生合同風(fēng)險(xiǎn)。

6、從道德方面分析，產(chǎn)生信息安全風(fēng)險(xiǎn)。由于外包供應(yīng)商內(nèi)部控制出現(xiàn)漏洞，本公司內(nèi)部員工辭職，并利用到銀行工作之便，或者與銀行員工內(nèi)外勾結(jié)，竊取銀行客戶信息和資產(chǎn)，給銀行和客戶造成損失。

7、從技術(shù)方面分析，產(chǎn)生技術(shù)風(fēng)險(xiǎn)。一些IT供應(yīng)商因受到自身發(fā)展瓶頸的限制，資金和研發(fā)能力不足，不能緊密跟蹤新技術(shù)應(yīng)用，對(duì)軟硬件產(chǎn)品及時(shí)進(jìn)行升級(jí)改造，則對(duì)信息系統(tǒng)應(yīng)用開(kāi)發(fā)和安全運(yùn)營(yíng)產(chǎn)生影響。

8、從決策方面分析，產(chǎn)生戰(zhàn)略風(fēng)險(xiǎn)。銀行信息系統(tǒng)建設(shè)哪些部分需要外包，哪些部分不能外包，是選用國(guó)外廠商的信息系統(tǒng)，還是選擇國(guó)內(nèi)IT公司的產(chǎn)品等，如果沒(méi)有與本行業(yè)務(wù)經(jīng)營(yíng)發(fā)展戰(zhàn)略很好的結(jié)合，深入詳細(xì)的分析論證，外包給IT公司，很容易造成信息系統(tǒng)建設(shè)出現(xiàn)偏差，不能滿足未來(lái)業(yè)務(wù)發(fā)展要求。

9、從服務(wù)方面分析，存在服務(wù)質(zhì)量風(fēng)險(xiǎn)。據(jù)2004年德勤發(fā)布的《外包調(diào)查報(bào)告》稱：57%的調(diào)查者因?yàn)橥獍�服�?wù)提供商能夠提供優(yōu)質(zhì)的服務(wù)和業(yè)務(wù)創(chuàng)新選擇了外包，31%的調(diào)查者認(rèn)為服務(wù)提供商處于更有利的位置。在合同不完全性和雙邊壟斷的前提下，外包商處于更有利的位置，致使服務(wù)質(zhì)量得不到有效保障，組織效率得不到有效提升。

10、從內(nèi)控管理分析，存在監(jiān)督與審計(jì)缺失風(fēng)險(xiǎn)。在IT業(yè)務(wù)外包合同執(zhí)行期間，銀行管理部門(mén)往往忽視了對(duì)外包商的財(cái)務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員進(jìn)行有效地監(jiān)督和管理，忽視了對(duì)外包供應(yīng)商及供應(yīng)鏈公司的日常審計(jì)檢查，容易造成IT外包業(yè)務(wù)服務(wù)水平下降。

11、從軟件方面分析，存在后門(mén)的風(fēng)險(xiǎn)。在銀行軟件產(chǎn)品開(kāi)發(fā)過(guò)程中，商業(yè)化的組件和中間件得到普遍應(yīng)用，需求內(nèi)容變更、版本升級(jí)、打補(bǔ)丁，很難做到每一次升級(jí)都對(duì)系統(tǒng)功能從頭到尾全面完整的測(cè)試，這使的軟件產(chǎn)品外包商及供應(yīng)鏈的透明度和可追溯性追蹤變得困難，會(huì)存在后門(mén)的風(fēng)險(xiǎn)。

二、IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全防范舉措

在控制IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全方面，做到心中有底、手中有招、控制有術(shù)，建立事前預(yù)防、事中控制、事后監(jiān)督的三道防線。

(一)事前預(yù)防

在日常工作中，各種外包風(fēng)險(xiǎn)的前期預(yù)兆是會(huì)表現(xiàn)出來(lái)的，關(guān)鍵是沒(méi)有及時(shí)發(fā)現(xiàn)，馬上糾正或是對(duì)發(fā)現(xiàn)的問(wèn)題思想麻痹，錯(cuò)誤擴(kuò)大化變成案件，形成損失并為糾正錯(cuò)誤付出高昂代價(jià)。因此，把風(fēng)險(xiǎn)消滅在萌芽狀態(tài)，才是風(fēng)險(xiǎn)控制的重點(diǎn)。

1、制定IT業(yè)務(wù)外包戰(zhàn)略。銀監(jiān)會(huì)頒布的《銀行信息科技風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行外包風(fēng)險(xiǎn)管理指引》中對(duì)外包業(yè)務(wù)都提出了要求，重點(diǎn)考慮IT業(yè)務(wù)外包要能促進(jìn)公司的科技業(yè)務(wù)發(fā)展、信息系統(tǒng)安全運(yùn)營(yíng)和科技業(yè)務(wù)管理水平，緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃，全面權(quán)衡外包的利益與風(fēng)險(xiǎn)，決定將哪些IT業(yè)務(wù)外包，制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃。

2、建立IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理體系。體系制定要做到統(tǒng)一框架，統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一措施、統(tǒng)一監(jiān)督管理，內(nèi)容由IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理策略、管理制度與規(guī)范、技術(shù)標(biāo)準(zhǔn)、指引、流程、操作手冊(cè)等組成。通過(guò)制定風(fēng)險(xiǎn)與安全管理體系，指導(dǎo)公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理工作的開(kāi)展，使其符合國(guó)際、國(guó)內(nèi)的有關(guān)安全標(biāo)準(zhǔn)和我國(guó)的法律法規(guī);在公司內(nèi)部形成一個(gè)信息科技風(fēng)險(xiǎn)與安全管理機(jī)制，確保落實(shí)，保護(hù)公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護(hù)、檢測(cè)和應(yīng)急恢復(fù)等各項(xiàng)信息科技風(fēng)險(xiǎn)與安全管理指標(biāo)、原則和違規(guī)行為的處理措施;對(duì)與公司合作組織、商業(yè)伙伴、承包商和服務(wù)提供者提出相關(guān)的安全約束。

3、做好IT業(yè)務(wù)風(fēng)險(xiǎn)與安全的認(rèn)知與培訓(xùn)。通過(guò)舉辦培訓(xùn)班、研討會(huì)、發(fā)送郵件、贈(zèng)送報(bào)刊等方式，為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風(fēng)險(xiǎn)與安全方面知識(shí)的培訓(xùn)，通過(guò)持續(xù)不斷的培訓(xùn)學(xué)習(xí)，掌握本公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理制度規(guī)范，提高全員風(fēng)險(xiǎn)與安全防范意識(shí)，積極參與信息科技風(fēng)險(xiǎn)與安全防范工作中，形成全員參與信息科技安全管理的風(fēng)險(xiǎn)管理文化。

4、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng)，設(shè)計(jì)科學(xué)、全面的風(fēng)險(xiǎn)指標(biāo)評(píng)估體系。6西格瑪中有句名言：有什么樣的指標(biāo)、有什么樣的結(jié)果。建立科學(xué)的IT業(yè)務(wù)外包供應(yīng)商評(píng)估指標(biāo)體系，有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標(biāo)。該指標(biāo)體系需要從質(zhì)量、成本、交付、服務(wù)、技術(shù)、資產(chǎn)、流程這些方面入手，確定外包供應(yīng)商成立及上市時(shí)間、行業(yè)經(jīng)驗(yàn)、規(guī)模、安全、人力、財(cái)務(wù)、問(wèn)題響應(yīng)時(shí)間、是否有產(chǎn)品保險(xiǎn)、企業(yè)文化以及各種認(rèn)證等重點(diǎn)內(nèi)容，詳細(xì)設(shè)計(jì)3K(KCS、KCSA和KRI)指標(biāo)，每一項(xiàng)指標(biāo)都要給出相應(yīng)的分值區(qū)間，通過(guò)建立外包供應(yīng)商信息管理系統(tǒng)，把設(shè)計(jì)的評(píng)估指標(biāo)納入系統(tǒng)中，詳細(xì)記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息，通過(guò)系統(tǒng)統(tǒng)計(jì)分析，從而科學(xué)有效的評(píng)估外包供應(yīng)商的服務(wù)能力。