遍應(yīng)用�����,需求內(nèi)容變更����、版本升級�、打補丁,很難做到每一次升級都對系統(tǒng)功能從頭到尾全面完整的測試���,這使的軟件產(chǎn)品外包商及供應(yīng)鏈的透明度和可追溯性追蹤變得困難�����,會存在后門的風險�����。
11���、從內(nèi)控管理分析���,存在監(jiān)督與審計缺失風險����。在IT業(yè)務(wù)外包合同執(zhí)行期間,銀行管理部門往往忽視了對外包商的財務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員進行有效地監(jiān)督和管理���,忽視了對外包供應(yīng)商及供應(yīng)鏈公司的日常審計檢查��,容易造成IT外包業(yè)務(wù)服務(wù)水平下降��。
二����、IT業(yè)務(wù)外包風險與安全防范舉措
在控制IT業(yè)務(wù)外包風險與安全方面����,做到心中有底��、手中有招����、控制有術(shù)��,建立事前預(yù)防���、事中控制���、事后監(jiān)督的三道防線。
在日常工作中�,各種外包風險的前期預(yù)兆是會表現(xiàn)出來的,關(guān)鍵是沒有及時發(fā)現(xiàn)��,馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹����,錯誤擴大化變成案件,形成損失并為糾正錯誤付出高昂代價����。因此,把風險消滅在萌芽狀態(tài)�,才是風險控制的重點��。
1��、制定IT業(yè)務(wù)外包戰(zhàn)略�����。銀監(jiān)會頒布的《銀行信息科技風險管理指引》和《商業(yè)銀行外包風險管理指引》中對外包業(yè)務(wù)都提出了要求�,重點考慮IT業(yè)務(wù)外包要能促進公司的科技業(yè)務(wù)發(fā)展�、信息系統(tǒng)安全運營和科技業(yè)務(wù)管理水平,緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃�,全面權(quán)衡外包的利益與風險�,決定將哪些IT業(yè)務(wù)外包,制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃���。
2�����、建立IT業(yè)務(wù)風險與安全管理體系����。體系制定要做到統(tǒng)一框架����,統(tǒng)一標準��、統(tǒng)一措施��、統(tǒng)一監(jiān)督管理��,內(nèi)容由IT業(yè)務(wù)風險與安全管理策略�����、管理制度與規(guī)范�����、技術(shù)標準����、指引�、流程、操作手冊等組成�����。通過制定風險與安全管理體系,指導公司IT業(yè)務(wù)風險與安全管理工作的開展�����,使其符合國際�、國內(nèi)的有關(guān)安全標準和我國的法律法規(guī);在公司內(nèi)部形成一個信息科技風險與安全管理機制,確保落實��,保護公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護���、檢測和應(yīng)急恢復(fù)等各項信息科技風險與安全管理指標�、原則和違規(guī)行為的處理措施;對與公司合作組織��、商業(yè)伙伴����、承包商和服務(wù)提供者提出相關(guān)的安全約束���。
3�����、做好IT業(yè)務(wù)風險與安全的認知與培訓����。通過舉辦培訓班、研討會�����、發(fā)送郵件���、贈送報刊等方式�,為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風險與安全方面知識的培訓���,通過持續(xù)不斷的培訓學習���,掌握本公司IT業(yè)務(wù)風險與安全管理制度規(guī)范,提高全員風險與安全防范意識��,積極參與信息科技風險與安全防范工作中����,形成全員參與信息科技安全管理的風險管理文化。
4�����、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng),設(shè)計科學����、全面的風險指標評估體系。西格瑪中有句名言:有什么樣的指標��、就有什么樣的結(jié)果��。建立科學的IT業(yè)務(wù)外包供應(yīng)商評估指標體系����,有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標。該指標體系需要從質(zhì)量���、成本�、交付�、服務(wù)、技術(shù)��、資產(chǎn)���、流程這些方面入手,確定外包供應(yīng)商成立及上市時間�、行業(yè)經(jīng)驗、規(guī)模、安全���、人力�����、財務(wù)����、問題響應(yīng)時間�、是否有產(chǎn)品保險、企業(yè)文化以及各種認證等重點內(nèi)容��,詳細設(shè)計3K(KCS����、KCSA和KRI)指標,每一項指標都要給出相應(yīng)的分值區(qū)間���,通過建立外包供應(yīng)商信息管理系統(tǒng)�����,把設(shè)計的評估指標納入系統(tǒng)中����,詳細記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息,通過系統(tǒng)統(tǒng)計分析��,從而科學有效的評估外包供應(yīng)商的服務(wù)能力����。
三、風險監(jiān)督
外包項目完成后��,銀行相關(guān)職能部門應(yīng)做好對外包項目從立項�����、招投標����、建設(shè)、投產(chǎn)使用等全過程進行檢查審計���,主要做好如下幾方面工作����。
1�、與完善規(guī)章制度相結(jié)合�����,實現(xiàn)各項工作制度化
在事后監(jiān)督檢查過程中,加強檢查IT業(yè)務(wù)外包制度是否建立健