银行IT外包及其风险管理策略(二).doc
银行 IT 外包及其风险管理策略(二) 三、 银行 IT 外包的风险 虽然将银行 IT 系统的服务外包给专业的 IT服务商能够帮助银行规避 IT风险投资、适应客户对银行 IT 的需求、减少费用获得成本优势、全面提高 IT 服务水平和提升银行核心竞争力 ,但如果管理不严和控制不当 , IT 外包就会引发新的风险 ——— IT 外包风险。银行外包业务使银行过分地依赖于外包服务商,在某种程度上使自己失去了灵活性。随着银行 IT 外包业务的迅速开展 , IT 外包风险的快速识别与有效控制也成为银行外包业务实施过程中应该重点考虑的问题。美国 FFIEC( Federal Financial Institution Examination Council,美国联邦银行审查委员会) 于 2000 年 11 月 28 日发布了外包技术服务的风险管理(Risk management of Out sourced Technology Services),目的就是指导银行对 IT 外包的风险一定要进行有效的管理和控制。 银行 IT风险是银行在 IT运营过程中存在于 IT领域中的某种不确定性 ,而银行 IT外包风险将集中表现在 IT外包的全过程中对信息系统的失控及银行声誉等其他方面的风险。 银行外包服务中首要的和最基本的风险就是信息系统的失控 。随着银行 IT 外包业务范围的不断扩大,银行对外部 IT 服务商所提供全面服务的依赖性也日益增强。国外银行的外包服务实践表明 ,当银行把 IT 的外包服务授权于外包服务商时 ,银行在某种程度上就失去了对其信息系统功能的控制。 银行 IT 外包风险应该从银行自身、 IT 服务商及信息战略和知识产权等三个方面进行风险的识别和确认。 (一) 在银行 IT 外包过程中银行方面的风险 在银行 IT 外包服务的全过程中,银行作为 IT 服务的主体,将起着至关重要的决定作用,在 IT 服务外包的过程中,银行 IT 方面的点点滴滴都可能直接会 影响到服务全过程的结果,同时也会直接或间接地导致操作风险的发生。 1、 选择 IT 服务商的风险。这种风险是最严重也是最致命的风险,因为一旦选择了不合适的服务商,在后来服务的过程中发现了这种风险,就很难有挽回的余地。这是由于事前未能很好地评估 IT 服务商的人员、技术及财务状况 ,没有全面地考评每一家服务商的综合服务水平,片面地追求 IT 服务商的局部优势,尤其是技术操作层面上细节,而忽略了 IT 外包的总体服务水平,致使银行选择了低劣的服务商,从而会使外包可能会在服务的及时提供和服务的质量方面失去了控制,这样就会导 致银行在运行管理上的严重失控。 2、 银行过分依赖 IT 外包服务商的风险。随着 IT 外包服务范围的日益扩大,银行对外部 IT 服务商所提供的全方位、高质量服务的依赖性逐渐增强,随着合作时间的推移,这种依赖性会越来越强,最终导致了银行完全依赖 IT 外包服务商,对需求的任何变更都必须经由或取得外包服务商的同意,这样就降低了IT 服务的灵活性, IT 服务商也就成为银行 IT 发展的主要障碍之一,同时,银行IT 人员的技术水平和综合能力大打折扣,对产品的创新能力也会下降,最后导致银行 IT 总体服务水平下降,从而可能会使银行失去了 真正的竞争力。 3、 银行缺乏必要的监督管理与审计。在 IT 外包合同执行期间 ,银行管理部门很少对服务商的财务状况以及支持 IT 外包业务的技术和关键人员进行有效地监督和管理 ,有些甚至将监管的责任信任地移交给服务商 ,忽视了必要的审计检查,省略了必须的技术文档的交接,这也势必导致银行总体服务水平的全面下降。 4、 银行 IT 外包合同缺乏灵活性和必要的约束条款。在 IT 外包合同的制定过程中,银行没有全面地在合同中考虑提供商的综合状况以及银行业务需求可能发生的种种变化 , 在外包合同中只是把重点放在了技术细节上, 没有详细地指明服务商必须提供的最低服务水平、详细的服务范围和标准、发生故障时的服务级别及相应时间等,从而使得实际发生变化和意外故障发生时 ,银行处于被动和无奈的地位。 5、 银行外包成本增加的潜在风险。随着银行对 IT 外包服务商的依赖性越来越强,银行的 IT 服务成本可能会在不知不觉中上涨,因为合同服务期满后如果不变更服务商,价格可能有一定的涨幅,一般在 8%- 20%之间,但变更服务商,可能服务价格更会大涨,不论如何,都会导致 IT 服务成本的潜在上涨,致使银行在 IT 投资和 IT 服务成本方面失去了一定的控制。 ( 二) 在银行 IT 外包过程中 IT 服务商方面的风险 在银行 IT 外包服务的全过程中, IT 服务商作为这项服务的承担者,应该严格履行服务合同标准,为银行提供全方位而又满意的服务。是否能够提供满意的服务,可作为衡量和评价 IT 服务商的标准。如果造成银行无法获得满意服务,那么就 IT 服务商方面看 ,主要有下面几个方面原因,这些原因对于银行来说就是真正的风险所在。 1、 IT 服务商不能很好地理解银行的业务需求的风险。在 RFP( Request for Proposal,请求建议 ) 阶段 , IT 服务商没有和银行进行充 分的沟通和交流 ,甚至有时的业务需求或变更没有双方的确认签字;由于 IT 服务商的技术水平特别专业,对 IT 的理解十分透彻,而对银行内部业务的流程和处理等业务需求不能有充分的理解,这都会影响 IT 服务商为银行提供的全面的服务,在无形之中也影响了银行的形象。 2、 IT 服务商内部发生变更的风险。在合同执行期间 ,服务商的人力、物力、财力等发生了较大的变化 ,特别是支持银行 IT 外包业务的关键人员发生了重大变更后没有及时地采取补救措施,不及时通知银行方面,甚至就不通知银行,使银行方面没有充分的心里准备和技术准备,最终导 致服务商无力提供外包合同中规定的服务水平,破坏了双方合作的氛围。 (三) 在银行 IT 外包过程中 IT 信息战略泄漏和知识产权的风险 在银行 IT 外包的服务过程中,银行信任地将自己的部分或全部信息提供给外部服务商开发、运行和管理,期间服务商及其员工有获准接触公司秘密及机密资料的权力,这样银行的商业秘密及其相关信息就极有可能会泄漏给竞争对手,从而使银行面临着长期的潜在风险。造成银行 IT 信息战略泄露的原因有两个方面 :一是服务商有意识泄露银行的有关策略信息给银行的竞争对手,从而获得额外的高额收益,这种行为是违 法的 ;二是服务商无意泄露了银行的策略信息 ,这是源于技术间沟通和外界因素的原因。比如服务商向银行提供的信息系统因为安全问题而被第三方入侵、造成银行客户信息被窃、数据和系统被破坏等。此外在开发较大的核心项目的过程中, IT 服务商往往比银行更具有知识产权意识,将共同的开发项目抢先占为己有,而发生知识产权的纠纷问题,由此还可能导致更为严重的信誉风险和法律风险 ,从而使银行蒙受巨大损失。 表 2:银行 IT 外包风险分类表