银行IT外包及其风险管理策略(三)(郭英见)

四、 银行IT外包的风险管理及其策略

在巴塞尔新资本协议中，首次正式提出了银行操作风险的概念，从此银行操作风险与信用风险、市场风险一起构成了银行界公认的三大风险，而IT外包服务作为IT发展战略的重要组成部分，银行IT外包也就成为了银行重要的操作风险之一，因此应该按照下面的管理流程来全面管理和控制外包过程中的风险。

1. 高度重视IT外包风险，把IT外包风险纳入银行全面风险管理的范围。IT在银行中的地位日益重要，因此对于IT外包的风险管理更要引起银行高管的重视，纳入银行全面风险管理的范畴。银行要有一定数量的IT专家和风险专家组成的专门管理IT外包风险的机构或组织来管理银行日益扩大的IT外包业务，定期召开例会，及时通报IT外包服务过程中遇到的各种问题和潜在的风险，发现比较大的风险隐患时，一定要向上一级风险管理机构汇报，以便采取及时有效的防范措施。同时，在资本金管理方面，也要为IT外包业务提取必要的风险准备，以应不可预料的IT外包服务的风险发生。

2. 充分评估IT外包风险。

评估IT外包风险的目的是确定哪些外包风险是可以接受的、哪些是不能接受而需要尽快改进的，以此来评估外包项目如何支持银行的IT战略和银行的战略目标以及可能发生的风险，并制定有效的IT风险管理策略，因此如果不存在有效的IT外包风险评估阶段，外包技术服务将可能与银行的IT战略计划（或银行整体战略计划）发生不一致或冲突、运营成本增高或导致无法预料的IT风险。

IT外包风险评估过程应充分考虑到核心业务处理系统的外包风险，具体包括系统的安全性、有效性和反应及时性、系统和资源的完整可靠性、管理信息规则的一致性等方面所遇到的威胁，银行还应该注意到IT技术的系统结构、设计及控制方面的功能可能面临的各种风险。

IT外包风险评估过程应该充分考虑如下几个因素：(1) 银行的战略计划、战略目标和业务需求； (2) 评估和管理外包关系的能力； (3) 区分银行自己运行的关键业务和服务银行以及外包的关键业务和服务； (4) 对IT外包服务的详细定义； (5) 必须的控制和报告程序，尤其是应急处理流程的制定，此流程不应仅仅限于技术层面，它应当是包括银行业务、技术、费用开支、服务商的变更、后勤保障以及所需的其他资源的一体化应急处理流程； (6) 外包服务商和银行双方在合同中的权利和义务； (7) 及时跟踪外包服务的进程，评估外包活动是否与银行的战略目标相一致。

3. 全面管理IT外包风险。

全面地对IT外包服务的风险进行评估之后，就要针对这些评估风险进行比较全面的管理，风险管理机构应采取不同的风险处置方法使IT外包风险降低到一个可以接受的水平，这要从以下几个方面努力：

(1)选择合适的服务商。在完成银行自身的风险评估后，银行的风险管理机构必须对IT服务商进行评估以决定其财务和营运方面的能力是否能够满足银行现有和未来发展的业务需求。在选择IT 外包服务商时，必须对服务商支持外包业务的技术能力和水平、关键技术人员的综合素质和业务能力、业务处理的操作能力和控制突发事件的能力以及服务商的财务状况等四个方面进行全面评估，以此选择业务能力强、信誉好的服务商。

(2)制定详细而全面的外包合同。外包合同是实现外包策略至关重要的一个环节， 外包合同制定的全面与否，将直接决定着外包服务的成败，也直接关系着银行在未来的风险程度。银行与IT服务商双方在制定外包合同时，应该注意以下几个方面的问题：

①确定外包服务的定义、明确外包服务的范围和灵活性的外包协议；②明确双方在合同中的权力和义务，尤其要明确发生问题时的赔偿责任与解决争端的程序；③合理的服务级别说明和度量；④安全性和保密性的要求；⑤突发应急事件的应急方案与具体实施计划；⑥限制外包费用增加和终止合同的权利；⑦分包合同与多重外包服务商的关系等。

4. 严格监控IT外包风险。

监控外包风险的目的是从定性和定量的方法来监控IT外包风险的暴露，保证足够的控制手段和体系发挥作用，在风险发生之前彻底解决；同时，要分析控制风险的环境，检测实施控制手段的效率，保证业务以可控的方式运行。在IT外包合同执行期间，银行应高度重视对服务商的持续的、有效的监督。应成立包括IT专家、风险专家、审计专家、战略专家等组成的监管组，定期和不定期地对服务商进行有效的监管，监管的主要内容应包括以下内容：

①监控服务商的财务状况和经营状况；②监控服务商的服务质量和技术支持水平；③监控服务商内部关键人员的变动情况，尤其是服务商高层的变动、为银行提供IT服务的关键技术人员的变动情况；④监控服务商全面履行合同的情况；⑤监控应急方案的演练情况；⑥监控服务商把服务再次分包的情况。

5. 及时汇报IT外包风险。

银行的管理层应该保证合适的人员和组织可以定期地接收到关于银行IT外包风险的信息。报告的风险信息应该包括：①银行面临的IT外包风险和潜在的外包风险及其改正措施；②应对外包风险的步骤；③采取的具体措施及其效率。通过这些分析，高层管理者就可以确定评估银行的全面风险管理状况，监控关键风险指标，评估防范行为的效果，IT外包的管理机构确信对IT风险的控制措施已经成功实施。

IT外包风险管理是一个周而复始重复以上五个环节的过程，IT风险管理机构要保证定期对IT服务风险管理进行回顾和总结，包括IT外包服务是否与银行战略目标相一致，确定IT风险的管理步骤和措施，全面提高IT外包风险管理水平。

五、 银行IT外包的综述及结论

IT外包在推动我国银行信息化过程中具有深远的战略意义。我们应该全面借鉴国外先进的IT外包管理经验，高度重视IT技术外包。IT外包业务的风险与价值同在存在，因此，IT外包对银行的全面管理水平也提出了很高的要求。我国银行IT外包的发展较晚， IT外包市场还未发展成熟，因而所面临的问题和困难更多。因此，如何全面地分析市场的变化和竞争对手的相关信息，做出合理、有效的符合银行战略发展目标的IT 外包决策，并且有效地防范和化解各类IT外包过程中出现的各种风险，将对我国的银行业的健康可持续发展、全面提高核心竞争力发挥巨大的作用，同时也为国内银行与国外银行在相同的市场环境下短兵相接提供了必要的战略和战术上的准备。

【参考文献】

1、 汉斯.乌里希.德瑞克，《金融服务运营风险管理手册》，北京：中信出版社，2004年6月

2、 江兵，夏晖，刘洪，《企业信息技术外包的策略分析》，《管理工程学报》，2002年2期

3、  李小卯，李敏强，寇纪淞，《关于信息技术外包资源管理模式的研究》，《系统工程理论与实践》，1999年9期

4、 巴塞尔银行监管委员会，《巴塞尔新资本协议》，中国金融出版社，2004年9月

5、 Robert Klepper， Wendell O. Jones: Outsourcing Information Technology， Systems & Services. Copyringht 1998 by Prentice Hall PTR

6、 Gillis， Art: The Future of Outsourcing1 ABA Banking Journal 2002，2

相关链接：

银行IT外包及其风险管理策略(一)(郭英见)

银行IT外包及其风险管理策略(二)(郭英见)

本文由作者向AMT授权发布

作者联系方式：guoyj@bankcomm.com