(二)事中控制
銀行與外包合作商簽署合同,項目正式進入合作操作階段,在日常IT項目運營過程中,銀行作為甲方應做好如下幾方面的工作。
1、認真執行制度、不斷完善制度
從出現的有關銀行計算機系統風險安全與犯罪案件分析中,大多數都是因為沒有章不循,沒有按制度辦事,按業務處理流程辦事造成的,這要求銀行加強對制度執行嚴肅性的管理,違章必究,否則制定的各項制度規范形同虛設,起不到應用的作用。同時,還要注意IT業務外包供應商風險與安全管理制度規范建設與信息系統同步規劃、同步建設、同步管理,能緊隨銀行信息科技業務的發展、環境的變化、中心工作的更替、創新的要求,及時得到調整、修訂和補充。
2、選擇適合自己的外包供應商,簽署合作合同
簽署合同是IT業務外包不可避免的風險。因此,根據前期對市場的調研分析,搜集的供應商信息,尋找合格的IT服務供應商,詢價和報價,通過招投標方式,建立適合公司科技與業務經營發展需要的供應商,并協同法律部門做好外包合同文本的制定和簽署,合理規避和防范合同風險的發生。
3、加強與外包供應商的合作與交流
一旦項目簽署合同開始啟動,銀行作為甲方要提供項目研發辦公條件,盡快讓外包商到行里來工作,向同事一樣給予相關方面的必要幫助。同時,銀行科技人員以及業務人員要參與到項目建設中,既可以讓自己的技術和業務人員與外包公司技術人員熟悉、了解掌握產品技術性能和業務功能,便于項目研發過程中問題的溝通交流,還可以全程對項目進度、質量進行跟蹤,以便于在規定的時間內,高質量的完成軟件項目的研發投產,讓項目利益所有者都滿意。
4、建立外包供應商服務評價體系
因很多外包公司特別是跨國公司,外包、分包普遍存在,也降低了供應鏈的透明性和可追溯性,有意無意的形成漏洞,加大了供應鏈風險。所以,要采取日常業績跟蹤和階段性評比方法,更加深入的了解外包供應商及其供應鏈的一些情況,避免信息不對稱,便于更好地建立外包供應商信息管理系統,根據有關業績的跟蹤記錄,對供應商的業績表現進行綜合考核,全面、正確的評價外包商工作情況。
5、做好項目建設的計劃與控制
為避免人員頻繁變動、項目延期、交付的技術文檔不齊全及系統上線后支持服務跟不上等現象。要求銀行科技人員與外包項目經理及項目組成員建立項目進度與質量控制溝通機制(如周例會、項目周報、問題跟蹤管理報告等),定期監測與度量項目進展情況,識別有否偏離計劃之處,及時發現問題、反饋問題、了解原因、解決問題,確保實現項目目標。
6、建立應急管理機制,保持業務持續性
你不能防范每種風險,但是你卻可以迅速發現問題,并提前思考解決方法,動員所有的選擇,這才是風險與安全管理的精髓。銀行要制定可行的外包供應商應急管理計劃,項目外包會使得銀行對外包供應商產生依賴,如果外包供應商不能如期履行合同,而導致銀行業務中斷所引起的后果必須高度重視。這需要銀行要嚴格審查外包供應商提供的執行方案,并針對外包供應商不履行合同或者發生緊急事件制定應急應對方案。
(三)事后監督
外包項目完成后,銀行相關職能部門應做好對外包項目從立項、招投標、建設、投產使用等全過程進行檢查審計,主要做好如下幾方面工作。
1、與完善規章制度相結合,實現各項工作制度化
在事后監督檢查過程中,加強檢查IT業務外包制度是否建立健全、科學有效、符合工作實際,不斷完善規章制度,使外包各項工作有章可依,工作制度化。
2、與獎懲相結合,維護法規與制度的嚴肅性
適當的處罰,能促進責任人改正錯誤,增強法律法規觀念,更好的促進工作,依據制定的IT業務外包風險與安全管理制度規范,檢查項目外包實施過程中各項工作是否按制度辦事,針對檢查出來的問題,要查明原因,對于不按制度辦事的違章行為要給予處罰,做的好的要表彰,做到獎罰分明,維護制度的嚴肅性。
3、與內審計相結合,制定外審策略
在做好內審的同時,也可以邀請外審機構對外包商以及外包供應鏈上公司的風險與安全管理能力等進行全面的評估
4、與規范化管理相結合,實現業務操作程序化
事后監督工作要深入到科技業務一線,認真執行規范化操作規程,從細節入手,查找不足、堵塞漏洞,促進外包供應商管理制度化、程序化、規范化。
5、與IT服務內容相結合,做好多外包商的監督管理
監督、定期重新評估外包風險,并把所搜集信息和評估結果納入外包供應商信息系統管理,通過合同和SLA協議管理供應商,要注重周期性地審查外包合同,并根據環境和銀行業務發展的需要及時修改合同、重新設定外包服務標準。
總的來說,銀行IT業務外包要在法律法規和公司的制度規范內展開,要建立健全IT業務外包過程中信息披露和檢查監督及考核機制,建立一個功能完善的外包供應商信息管理系統,有效防范IT業務外包風險,確保信息安全。
