银行业金融机构信息科技外包管理体系建设及落地经验分享(中)

4月份的安全月刊中刊登了《银行业金融机构信息科技外包管理体系建设及落地经验分享》(上),我们谈到针对信息科技外包管理组织架构建设,整体结构在符合监管要求的前提下,尽量贴合金融机构自身的组织现状及岗位设置,方能促使信息科技外包管理职能更有效的执行和落地;本期我们将继续探讨金融机构信息科技外包战略建设、风险管理以及生命周期管理方面的建设思路和落地建议。

外包战略建设

制定信息科技外包战略是金融机构董事会及高级管理层的首要职责,外包战略作为信息科技外包管理体系的核心方针,必须与金融机构信息科技及业务总体战略目标一致,并纳入全面风险管理体系,且在每年度的信息科技外包管理风险评估中进行执行情况检验汇报。

监管要求明确“银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包”,同时金融机构外包战略及策略应充分体现坚持外包四大原则,并结合机构实际现状制定外包策略和相对应的措施。

外包风险管理

罗伯特·克莱普尔和温德尔·琼斯等多名业界学者对信息科技外包进行了分析研究,并在著作中对传统信息科技外包风险进行了总结,主要概括为以下三大类别:

无论环境风险、决策风险,或者程序风险,不采取监测和控制措施,都将会对金融机构业务开展造成影响。结合行业特点,监管要求总结了如下四点金融机构信息科技外包风险:

  • 科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;

  • 业务中断:支持业务运营的外包服务无法持续提供导致业务中断;

  • 信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;

  • 服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。

通过不断的摸索研究,结合金融机构信息科技外包风险评估经验积累,绿盟咨询团队建立了一套完整的《金融机构信息科技风险地图及控制矩阵》,分别从风险分类、控制措施、控制要求及合规依据等多个层面建立信息科技外包风险模型,模型样例参见下图:

通过对金融机构信息科技外包风险的分析,在完善外包管理组织架构与职责的基础上,应根据外包活动的开展环节进行风险检测与防范,绿盟科技依据现有信息科技项目流转进行外包流程梳理,在评估的过程中,发现并生成信息科技外包活动主要线路流程,并在每个流程的关键环节设置有效的风险防范检测措施,提高外包风险防御能力。

结合监管要求以及大部分金融机构组织架构,我司设计了外包供应商选择、外包合同拟定审批、外包项目服务水平监控、外包终止和中止等近20个关键流程图,以下为外包供应商选择流程:

在制定外包供应商选择流程前,我们建立了外包商准入机制,其中包括依据重要程度、项目规模等条件建立外包商分级管理标准,每一级别的准入条件均明确了产品服务能力、人员技能、管理能力、市场评价、资质信誉、财务状况等符合项,同时建立并登录外包商信息库,通过对外包供应商进行充分测评,确保满足金融机构外包风险控制需求,从源头上抓好外包活动的风险管控。

同时在外包商选择流程中,我们也充分考虑到流程的落地可行性,在与组织架构岗位配置的活动中,引入了与流程相对应的制度要求以及表单等输入输出物:

外包生命周期管理

金融机构信息科技外包项目从立项到项目结束,由许多不同的阶段组成,而每个阶段都有不同的隐患和风险存在,且随着项目的升迁变化,随之带来更多的衍生风险,绿盟科技建立的信息科技外包风险管理体系覆盖了外包活动的全生命周期,包含项目立项、项目合同签订前、合同签订、项目实施前期、项目实施中、项目实施结束、项目验收前后等全生命阶段。

通过对国内金融机构外包项目的梳理及大量的项目经验积累,我们整理出了各个阶段的外包控制措施。而在落地实施层面,考虑到组织架构中管理层与执行层、一道防线与二三道防线的职责区分,咨询团队从岗位角色作为出发点,设计了集项目阶段、责任部门/岗位、执行活动/管理职责、输出物及汇报部门为一体的全生命周期外包风险控制指南及运行工作手册矩阵,同时,为各个岗位人员设计了以岗位职责为核心的外包活动执行手册,以上成果在外包管理体系落地实施中起到了卓有成效的指导作用。

此文由于篇幅限制将分期刊登,后续我们将对银行业金融机构IT外包全生命周期管理体系建设及落地进行分享。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment