0�、從內控管理分析,存在監(jiān)督與審計缺失風險��。在IT業(yè)務外包合同執(zhí)行期間�,銀行管理部門往往忽視了對外包商的財務狀況以及支持IT外包業(yè)務的技術和關鍵人員進行有效地監(jiān)督和管理��,忽視了對外包供應商及供應鏈公司的日常審計檢查�����,容易造成IT外包業(yè)務服務水平下降。
11�、從軟件方面分析,存在后門的風險���。在銀行軟件產品開發(fā)過程中���,商業(yè)化的組件和中間件得到普遍應用,需求內容變更�、版本升級、打補丁����,很難做到每一次升級都對系統(tǒng)功能從頭到尾全面完整的測試��,這使的軟件產品外包商及供應鏈的透明度和可追溯性追蹤變得困難�����,會存在后門的風險�。
二、IT業(yè)務外包風險與安全防范舉措
在控制IT業(yè)務外包風險與安全方面�����,做到心中有底、手中有招�����、控制有術��,建立事前預防��、事中控制���、事后監(jiān)督的三道防線����。
(一)事前預防
在日常工作中���,各種外包風險的前期預兆是會表現(xiàn)出來的�����,關鍵是沒有及時發(fā)現(xiàn)�,馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹���,錯誤擴大化變成案件�,形成損失并為糾正錯誤付出高昂代價。因此����,把風險消滅在萌芽狀態(tài),才是風險控制的重點���。
1�、制定IT業(yè)務外包戰(zhàn)略�。銀監(jiān)會頒布的《銀行信息科技風險管理指引》和《商業(yè)銀行外包風險管理指引》中對外包業(yè)務都提出了要求,重點考慮IT業(yè)務外包要能促進公司的科技業(yè)務發(fā)展����、信息系統(tǒng)安全運營和科技業(yè)務管理水平,緊密配合公司業(yè)務發(fā)展規(guī)劃�,全面權衡外包的利益與風險����,決定將哪些IT業(yè)務外包,制定IT業(yè)務外包戰(zhàn)略規(guī)劃�。
2、建立IT業(yè)務風險與安全管理體系���。體系制定要做到統(tǒng)一框架���,統(tǒng)一標準�����、統(tǒng)一措施�����、統(tǒng)一監(jiān)督管理���,內容由IT業(yè)務風險與安全管理策略、管理制度與規(guī)范�、技術標準、指引���、流程���、操作手冊等組成。通過制定風險與安全管理體系����,指導公司IT業(yè)務風險與安全管理工作的開展,使其符合國際、國內的有關安全標準和我國的法律法規(guī);在公司內部形成一個信息科技風險與安全管理機制����,確保落實,保護公司所有信息科技資源和資產的安全;明確信息系統(tǒng)的防護�、檢測和應急恢復等各項信息科技風險與安全管理指標、原則和違規(guī)行為的處理措施;對與公司合作組織��、商業(yè)伙伴�����、承包商和服務提供者提出相關的安全約束����。項目管理者聯(lián)盟
3、做好IT業(yè)務風險與安全的認知與培訓����。通過舉辦培訓班、研討會�����、發(fā)送郵件�、贈送報刊等方式,為公司科技人員和業(yè)務人員提供IT業(yè)務風險與安全方面知識的培訓���,通過持續(xù)不斷的培訓學習�,掌握本公司IT業(yè)務風險與安全管理制度規(guī)范����,提高全員風險與安全防范意識,積極參與信息科技風險與安全防范工作中�,形成全員參與信息科技安全管理的風險管理文化。
4���、建立IT業(yè)務外包供應商信息管理系統(tǒng)��,設計科學�����、全面的風險指標評估體系���。6西格瑪中有句名言:有什么樣的指標、就有什么樣的結果��。建立科學的IT業(yè)務外包供應商評估指標體系���,有利于統(tǒng)一供應商與銀行的IT業(yè)務發(fā)展目標����。該指標體系需要從質量、成本���、交付�、服務�、技術、資產����、流程這些方面入手,確定外包供應商成立及上市時間�����、行業(yè)經驗���、規(guī)模�、安全����、人力�、財務�����、問題響應時間����、是否有產品保險���、企業(yè)文化以及各種認證等重點內容�����,詳細設計3K(KCS�、KCSA和KRI)指標�,每一項指標都要給出相應的分值區(qū)間,通過建立外包供應商信息管理系統(tǒng)���,把設計的評估指標納入系統(tǒng)中����,詳細記錄外包供應商及其供應鏈上的各方面信息�����,通過系統(tǒng)統(tǒng)計分析,從而科學有效的評估外包供應商的服務能力��。
(二)事中控制
銀行與外包合作商簽署合同����,項目正式進入合作操作階段,在日常IT項目運營過程中�����,銀行作為甲