銀行IT外包風險的快速識別與有效控制的銀行風險
銀行IT外包的風險 雖然將銀行IT系統(tǒng)服務(wù)外包給專業(yè)的IT服務(wù)商IT外包服務(wù),可以幫助銀行規(guī)避IT風險投資,適應(yīng)客戶對銀行IT的需求,降低成本,獲得成本優(yōu)勢,全面提升IT服務(wù)水平和為提升銀行的核心競爭力,但如果管理不嚴,控制不當,外包就會帶來新的風險——IT外包風險。銀行外包業(yè)務(wù)使銀行過度依賴外包服務(wù)商,在一定程度上失去了靈活性。隨著銀行IT外包業(yè)務(wù)的快速發(fā)展,外包風險的快速識別和有效控制已成為銀行外包業(yè)務(wù)實施過程中應(yīng)考慮的關(guān)鍵問題。美國FFIEC(uncil,美國聯(lián)邦銀行審查委員會)于2000年11月28日發(fā)布了外包技術(shù)服務(wù)風險管理(es),旨在引導(dǎo)銀行有效管控IT外包風險。銀行IT風險是銀行IT運營過程中IT領(lǐng)域存在的一定的不確定性,銀行IT外包的風險將集中在信息系統(tǒng)失控和銀行聲譽風險。 IT外包的全過程。 外包銀行服務(wù)的第一個也是最基本的風險是失去對信息系統(tǒng)的控制。隨著銀行IT外包業(yè)務(wù)范圍的不斷擴大,銀行對外部IT服務(wù)商提供的綜合服務(wù)的依賴度也越來越高。
外資銀行外包服務(wù)的實踐表明,當銀行將IT外包服務(wù)授權(quán)給外包服務(wù)商時,銀行在一定程度上失去了對其信息系統(tǒng)功能的控制。銀行IT外包風險應(yīng)從銀行自身、IT服務(wù)提供商、信息戰(zhàn)略和知識產(chǎn)權(quán)三個方面進行識別和確認。銀行IT外包過程中的風險 在銀行IT外包服務(wù)的整個過程中,銀行作為IT服務(wù)的主體,將起到至關(guān)重要的決定性作用。每一點點都可能直接影響整個服務(wù)過程的結(jié)果,也直接或間接導(dǎo)致操作風險的發(fā)生。選擇 IT 服務(wù)提供商的風險。這種風險是最嚴重、最致命的風險,因為一旦選擇了不合適的服務(wù)商,在后期的服務(wù)過程中發(fā)現(xiàn)這種風險,就很難挽回。這是因為事先沒有對IT服務(wù)商的人員、技術(shù)和財務(wù)狀況進行很好的評估,沒有對各個服務(wù)商的綜合服務(wù)水平進行綜合評價,單方面追求IT服務(wù)商的局部優(yōu)勢,尤其是在技術(shù)方面。操作層面。細節(jié)方面,在忽視IT外包整體服務(wù)水平的同時,使銀行選擇劣質(zhì)服務(wù)商,使外包在提供服務(wù)的及時性和服務(wù)質(zhì)量上失控,從而導(dǎo)致銀行的經(jīng)營管理失控。嚴重失控。銀行過度依賴 IT 外包服務(wù)提供商的風險。隨著IT外包服務(wù)范圍的不斷擴大,銀行越來越依賴外部IT服務(wù)提供商提供的全面、優(yōu)質(zhì)的服務(wù)。由于銀行完全依賴IT外包服務(wù)商,任何要求的變更都必須得到外包服務(wù)商的批準或從外包服務(wù)商處獲得,降低了IT服務(wù)的靈活性,IT服務(wù)商成為阻礙銀行業(yè)務(wù)發(fā)展的主要障礙之一。銀行的 IT。同時,銀行IT人員的技術(shù)水平和綜合能力會大打折扣,產(chǎn)品創(chuàng)新能力也會下降,最終導(dǎo)致銀行IT整體服務(wù)水平下降,可能讓銀行失去真正的競爭力。
銀行缺乏必要的監(jiān)督和審計。在IT外包合同的執(zhí)行過程中,銀行管理部門很少對服務(wù)提供商和支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員的財務(wù)狀況進行監(jiān)督管理。必要的審計檢查,省略必要技術(shù)文件的交接,必然導(dǎo)致銀行IT外包合同在銀行整體服務(wù)水平下缺乏靈活性和必要的約束。銀行在制定IT外包合同時,并未綜合考慮供應(yīng)商的綜合條件以及合同中銀行業(yè)務(wù)需求可能發(fā)生的變化。在外包合同中,只注重技術(shù)細節(jié)IT外包服務(wù),沒有具體說明。服務(wù)提供者必須提供的最低服務(wù)水平、詳細的服務(wù)范圍和標準、服務(wù)水平和發(fā)生故障的對應(yīng)時間等,使銀行在發(fā)生實際變化和意外故障時處于被動和無助的境地。銀行外包成本增加的潛在風險。隨著銀行對IT外包服務(wù)商的依賴程度越來越高,銀行的IT服務(wù)成本可能會在不知不覺中上漲,因為如果服務(wù)商在合同服務(wù)期滿后不更換,價格可能會出現(xiàn)一定程度的上漲。 8% 到 20% 之間,但更換服務(wù)提供商可能會導(dǎo)致服務(wù)價格大幅上漲。無論如何,這都會導(dǎo)致 IT 服務(wù)成本的潛在增加,導(dǎo)致銀行對 IT 投資和 IT 服務(wù)成本失去一些控制。 IT服務(wù)商在銀行IT外包過程中的風險在銀行IT外包服務(wù)的全過程中,IT服務(wù)商作為此項服務(wù)的承辦方,應(yīng)嚴格履行服務(wù)合同標準,為銀行提供全面、滿意的服務(wù)。
能否提供滿意的服務(wù)可以作為衡量和評價IT服務(wù)提供商的標準。如果銀行無法獲得滿意的服務(wù),那么從IT服務(wù)商的角度來看,主要有以下幾個原因,這些才是銀行真正面臨的風險。 、征求意見)階段,IT服務(wù)商與銀行沒有充分的溝通交流,甚至有時業(yè)務(wù)需求或變更未得到雙方確認和簽字;因為IT服務(wù)商的技術(shù)水平特別專業(yè),對IT的理解非常透徹,無法全面了解銀行內(nèi)部業(yè)務(wù)流程和處理的業(yè)務(wù)需求,會影響IT服務(wù)商提供的綜合服務(wù)對銀行來說,也無形中影響著銀行的形象。 IT 服務(wù)提供商內(nèi)部的變更風險。在合同執(zhí)行過程中,服務(wù)商的人力、物力、財力發(fā)生了較大變化,尤其是支持銀行IT外包業(yè)務(wù)的關(guān)鍵人員沒有及時采取補救措施,銀行也沒有得到通知及時。不通知銀行會導(dǎo)致銀行的精神和技術(shù)準備不足,最終導(dǎo)致服務(wù)提供商無法提供外包合同規(guī)定的服務(wù)水平,破壞雙方合作的氛圍。銀行IT外包過程中的IT信息戰(zhàn)略泄露和知識產(chǎn)權(quán)風險 在銀行IT外包服務(wù)過程中,銀行信任將其部分或全部信息提供給外部服務(wù)商進行開發(fā)、運營和管理,在此過程中提供服務(wù)供應(yīng)商及其員工有權(quán)獲得公司機密和機密信息,因此銀行的商業(yè)秘密和相關(guān)信息很可能會泄露給競爭對手,從而使銀行面臨長期的潛在風險。
銀行IT信息戰(zhàn)略泄露的原因有二:一是服務(wù)商有意識地將銀行的相關(guān)戰(zhàn)略信息泄露給銀行的競爭對手,以獲取額外的高額收益,屬于違法行為;服務(wù)商無意中泄露了銀行的戰(zhàn)略信息,這是由于技術(shù)和外部因素之間的溝通造成的。例如,服務(wù)提供商向銀行提供的信息系統(tǒng)因安全問題被第三方入侵,導(dǎo)致銀行客戶信息被盜,數(shù)據(jù)和系統(tǒng)遭到破壞。另外,在開發(fā)更大的核心項目的過程中,IT服務(wù)商往往比銀行更了解知識產(chǎn)權(quán),搶占共同開發(fā)項目為自己的,造成知識產(chǎn)權(quán)糾紛,也可能導(dǎo)致更嚴重的聲譽風險和法律風險,從而使銀行蒙受巨大損失。表 2:銀行 IT 外包風險分類