(前两期我们梳理了信息科技外包管理组织架构、外包战略建设、风险管理及整体生命周期风险管理;本期我们将继续探讨金融机构信息科技外包集中度风险管理、重点外包服务机构管理、非驻场外包管理及其他外包关键要素的建设思路和落地建议。)
一. 集中度及重点外包商风险管理
银行业金融机构外包集中度风险因管控难,影响大,存在累计和次生风险,易造成集中性的服务中断、质量下降、安全事件等问题,在金融机构外包项目中一直是公认的关键风险之一,因此外包监管指引对于集中度风险进行了重点要求。
同时,监管机构在外包管理指引中对集中度衍生的重点外包商风险进行了重点要求,且银监会承担了大部分风险监控管理工作。对于金融机构而言,应随时关注监管机构发布的重点外包商名单,并甄别现有存量外包商,对重点外包商进行重点管理。
我们在信息科技外包管理体系中对于集中度风险主要采取严格控制准入,调节集中度阈值,加强外包监控力度,制定完善应急预案等方面来着手,从而在防范外包商垄断风险的同时降低管理成本,并主动掌控机构业务发展方向。
例如我们在准入机制里设定项目大小、重要程度等关键指标所有外包商进行分级,对于重点外包商,设定了严格的准入要求,包含外包商管理能力、财务状况、声誉、技术服务能力、案例经验、风险处理和管理能力、以及相关资质等等,对重要外包商进行严格准入控制。
二. 非驻场外包风险管理
目前金融机构银行业存在大量的非驻场外包合同,监管机构于2014年下发了《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发[2014]187号)及《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发[2014]272号),将“外包服务商不在银行业金融机构提供现场服务,或外包的关键基础设施和信息系统不在银行业金融机构产权场所,由银行业金融机构以租用设施或购买服务资源的方式获得,主要由外包服务商运维,并且外包服务商同时为3家(含)以上银行业金融机构或其他机构提供服务的外包方式。”定义为非驻场集中式外包,并由监管机构定期调用资源对非驻场集中式外包商进行专项监管评估。
为规范金融机构信息科技非驻场外包活动,保护关键基础设施和信息安全,绿盟科技协助用户建立非驻场外包管理办法,防范信息科技非驻场集中式风险。《管理办法》主要包含以下章节、内容及附件。
三. 外包考核相关
决定信息科技外包项目成功实施的因素有很多,我们在制定金融行业信息科技外包管理体系时,从组织、管理、制度、流程及表单至上而下进行全面贯穿,但要在工作实施中将体系落到实处,很大程度上取决于人的因素。因此我们结合各金融单位的实际情况,为用户量身定制确实可行的IT外包考核管理办法及考核指标,KPI的制定将包含以下原则:
- 风险制:强调系统安全平稳运行,突出重要等级风险事件发生后的惩罚力度,追究责任主体和连带责任者。
- 目标制:强调同一个项目组,同一个目标。外包人员即要达成个人目标,又要兼顾项目组目标及整个科技部目标。
- 扣分制:考核的指标数据低于相应的标准值,就要根据差值扣除相应的分数。
- 激励制:对于解决长期困扰信息科技正常运转的问题和考核指标优异且工作积极主动的员工将进行特别加分。
- 公开制:以客观的KPI指标数据为基础,使所有外包人员清晰地了解个人绩效或团队绩效工作成绩与不足。
在外包考核办法中,我们分析并制定了含科技、风险、审计三道防线的考核流程以及对应的表单文件,包含但不限于以下表单:
- 《外包人员绩效主观评价表》
- 《外包项目绩效考核指标》
- 《外包人员绩效考核指标》
- 《外包项目绩效考核报告》
- 《外包人员绩效考核报告》
四. 外包体系落地推广策略
为了让信息科技外包管理体系顺利实施,结合以往项目经验,我们为金融机构用户建立了一系列的落地推广计划,目的在于减少相关岗位人员工作量的同时提高外包管理工作效率,并且在验证阶段发现体系制度流程表单的问题,在全面实施之前进行改善优化,现有的推广计划主要有以下措施:
针对信息科技风险三道防线进行各个关键岗位制定外包管理工作手册,同时生成外包全岗位工作手册矩阵,在外包管理制度的要求下,按照人员岗位对外包进行工作梳理,便于相关员工有针对性的完成外包管理要求,清晰明确各自的职责内容。
针对金融机构信息科技风险管理和实施人员开展制度宣贯培训工作。明确各部门在外包项目风险管理过程中,需要承担的责任和义务,并且为一道防线项目经理制定专项外包项目、人员管理培训。对应《第三方人员外包管理办法》录制第三方外包人员入场培训,并生成考试答题,合格后签订相关协议方可入场。
在金融机构选定2-3个典型外包项目,作为信息科技外包风险管理体系运行的验证项目,我们将对试点项目运行的全过程进行跟踪指导、优化;对于试点项目运行结果进行总结和分析,进一步优化信息科技外包风险管理体系中的相关制度、流程。
小结:《信息科技外包管理体系建设及落地经验分享》已全部分享完毕,鉴于篇幅的限制,以及各金融机构在外包管理方面的现状差异,建设和实施的体系流程也会各有侧重点,如您对此文感兴趣,可联系当地销售安排专场交流,以便更全面的了解金融行业信息科技外包管理体系及相关案例。