0、從內(nèi)控管理分析���,存在監(jiān)督與審計缺失風(fēng)險����。在IT業(yè)務(wù)外包合同執(zhí)行期間,銀行管理部門往往忽視了對外包商的財務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員進(jìn)行有效地監(jiān)督和管理�����,忽視了對外包供應(yīng)商及供應(yīng)鏈公司的日常審計檢查��,容易造成IT外包業(yè)務(wù)服務(wù)水平下降��。
11��、從軟件方面分析���,存在后門的風(fēng)險���。在銀行軟件產(chǎn)品開發(fā)過程中,商業(yè)化的組件和中間件得到普遍應(yīng)用���,需求內(nèi)容變更、版本升級�����、打補(bǔ)丁�,很難做到每一次升級都對系統(tǒng)功能從頭到尾全面完整的測試�����,這使的軟件產(chǎn)品外包商及供應(yīng)鏈的透明度和可追溯性追蹤變得困難����,會存在后門的風(fēng)險���。
二����、IT業(yè)務(wù)外包風(fēng)險與安全防范舉措
在控制IT業(yè)務(wù)外包風(fēng)險與安全方面�����,做到心中有底�����、手中有招����、控制有術(shù)���,建立事前預(yù)防��、事中控制�����、事后監(jiān)督的三道防線��。
(一)事前預(yù)防
在日常工作中����,各種外包風(fēng)險的前期預(yù)兆是會表現(xiàn)出來的,關(guān)鍵是沒有及時發(fā)現(xiàn)���,馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹�����,錯誤擴(kuò)大化變成案件�,形成損失并為糾正錯誤付出高昂代價�����。因此,把風(fēng)險消滅在萌芽狀態(tài)���,才是風(fēng)險控制的重點(diǎn)��。
1����、制定IT業(yè)務(wù)外包戰(zhàn)略���。銀監(jiān)會頒布的《銀行信息科技風(fēng)險管理指引》和《商業(yè)銀行外包風(fēng)險管理指引》中對外包業(yè)務(wù)都提出了要求��,重點(diǎn)考慮IT業(yè)務(wù)外包要能促進(jìn)公司的科技業(yè)務(wù)發(fā)展�����、信息系統(tǒng)安全運(yùn)營和科技業(yè)務(wù)管理水平�����,緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃����,全面權(quán)衡外包的利益與風(fēng)險���,決定將哪些IT業(yè)務(wù)外包���,制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃。
2�����、建立IT業(yè)務(wù)風(fēng)險與安全管理體系���。體系制定要做到統(tǒng)一框架��,統(tǒng)一標(biāo)準(zhǔn)����、統(tǒng)一措施���、統(tǒng)一監(jiān)督管理���,內(nèi)容由IT業(yè)務(wù)風(fēng)險與安全管理策略、管理制度與規(guī)范���、技術(shù)標(biāo)準(zhǔn)���、指引�����、流程����、操作手冊等組成�。通過制定風(fēng)險與安全管理體系,指導(dǎo)公司IT業(yè)務(wù)風(fēng)險與安全管理工作的開展���,使其符合國際����、國內(nèi)的有關(guān)安全標(biāo)準(zhǔn)和我國的法律法規(guī);在公司內(nèi)部形成一個信息科技風(fēng)險與安全管理機(jī)制���,確保落實(shí)�����,保護(hù)公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護(hù)�����、檢測和應(yīng)急恢復(fù)等各項(xiàng)信息科技風(fēng)險與安全管理指標(biāo)���、原則和違規(guī)行為的處理措施;對與公司合作組織�、商業(yè)伙伴�����、承包商和服務(wù)提供者提出相關(guān)的安全約束��。項(xiàng)目管理者聯(lián)盟
3��、做好IT業(yè)務(wù)風(fēng)險與安全的認(rèn)知與培訓(xùn)��。通過舉辦培訓(xùn)班��、研討會���、發(fā)送郵件、贈送報刊等方式�,為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風(fēng)險與安全方面知識的培訓(xùn),通過持續(xù)不斷的培訓(xùn)學(xué)習(xí)�����,掌握本公司IT業(yè)務(wù)風(fēng)險與安全管理制度規(guī)范,提高全員風(fēng)險與安全防范意識�,積極參與信息科技風(fēng)險與安全防范工作中,形成全員參與信息科技安全管理的風(fēng)險管理文化�����。
4���、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng)���,設(shè)計科學(xué)、全面的風(fēng)險指標(biāo)評估體系���。6西格瑪中有句名言:有什么樣的指標(biāo)�、就有什么樣的結(jié)果����。建立科學(xué)的IT業(yè)務(wù)外包供應(yīng)商評估指標(biāo)體系,有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標(biāo)�����。該指標(biāo)體系需要從質(zhì)量����、成本�����、交付���、服務(wù)、技術(shù)�、資產(chǎn)���、流程這些方面入手����,確定外包供應(yīng)商成立及上市時間���、行業(yè)經(jīng)驗(yàn)��、規(guī)模�����、安全����、人力、財務(wù)�、問題響應(yīng)時間、是否有產(chǎn)品保險����、企業(yè)文化以及各種認(rèn)證等重點(diǎn)內(nèi)容,詳細(xì)設(shè)計3K(KCS�、KCSA和KRI)指標(biāo),每一項(xiàng)指標(biāo)都要給出相應(yīng)的分值區(qū)間���,通過建立外包供應(yīng)商信息管理系統(tǒng)���,把設(shè)計的評估指標(biāo)納入系統(tǒng)中,詳細(xì)記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息���,通過系統(tǒng)統(tǒng)計分析�����,從而科學(xué)有效的評估外包供應(yīng)商的服務(wù)能力��。
(二)事中控制
銀行與外包合作商簽署合同�����,項(xiàng)目正式進(jìn)入合作操作階段�,在日常IT項(xiàng)目運(yùn)營過程中,銀行作為甲