在控制IT業(yè)務外包風險與安全方面，做到心中有底、手中有招、控制有術，建立事前預防、事中控制、事后監(jiān)督的三道防線。

    （一）事前預防

    在日常工作中，各種外包風險的前期預兆是會表現(xiàn)出來的，關鍵是沒有及時發(fā)現(xiàn)，馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹，錯誤擴大化變成案件，形成損失并為糾正錯誤付出高昂代價。因此，把風險消滅在萌芽狀態(tài)，才是風險控制的重點。

    1、制定IT業(yè)務外包戰(zhàn)略。銀監(jiān)會頒布的《銀行信息科技風險管理指引》和《商業(yè)銀行外包風險管理指引》中對外包業(yè)務都提出了要求，重點考慮IT業(yè)務外包要能促進公司的科技業(yè)務發(fā)展、信息系統(tǒng)安全運營和科技業(yè)務管理水平，緊密配合公司業(yè)務發(fā)展規(guī)劃，全面權衡外包的利益與風險，決定將哪些IT業(yè)務外包，制定IT業(yè)務外包戰(zhàn)略規(guī)劃。

    2、建立IT業(yè)務風險與安全管理體系。體系制定要做到統(tǒng)一框架，統(tǒng)一標準、統(tǒng)一措施、統(tǒng)一監(jiān)督管理，內容由IT業(yè)務風險與安全管理策略、管理制度與規(guī)范、技術標準、指引、流程、操作手冊等組成。通過制定風險與安全管理體系，指導公司IT業(yè)務風險與安全管理工作的開展，使其符合國際、國內的有關安全標準和我國的法律法規(guī)；在公司內部形成一個信息科技風險與安全管理機制，確保落實，保護公司所有信息科技資源和資產的安全；明確信息系統(tǒng)的防護、檢測和應急恢復等各項信息科技風險與安全管理指標、原則和違規(guī)行為的處理措施；對與公司合作組織、商業(yè)伙伴、承包商和服務提供者提出相關的安全約束。項目管理者聯(lián)盟

    3、做好IT業(yè)務風險與安全的認知與培訓。通過舉辦培訓班、研討會、發(fā)送郵件、贈送報刊等方式，為公司科技人員和業(yè)務人員提供IT業(yè)務風險與安全方面知識的培訓，通過持續(xù)不斷的培訓學習，掌握本公司IT業(yè)務風險與安全管理制度規(guī)范，提高全員風險與安全防范意識，積極參與信息科技風險與安全防范工作中，形成全員參與信息科技安全管理的風險管理文化。

    4、建立IT業(yè)務外包供應商信息管理系統(tǒng)，設計科學、全面的風險指標評估體系。西格瑪中有句名言：有什么樣的指標、就有什么樣的結果。建立科學的IT業(yè)務外包供應商評估指標體系，有利于統(tǒng)一供應商與銀行的IT業(yè)務發(fā)展目標。該指標體系需要從質量、成本、交付、服務、技術、資產、流程這些方面入手，確定外包供應商成立及上市時間、行業(yè)經驗、規(guī)模、安全、人力、財務、問題響應時間、是否有產品保險、企業(yè)文化以及各種認證等重點內容，詳細設計3K（KCS、KCSA和KRI）指標，每一項指標都要給出相應的分值區(qū)間，通過建立外包供應商信息管理系統(tǒng)，把設計的評估指標納入系統(tǒng)中，詳細記錄外包供應商及其供應鏈上的各方面信息，通過系統(tǒng)統(tǒng)計分析，從而科學有效的評估外包供應商的服務能力。

    （二）事中控制

    銀行與外包合作商簽署合同，項目正式進入合作操作階段，在日常IT項目運營過程中，銀行作為甲方應做好如下幾方面的工作。

    1、認真執(zhí)行制度、不斷完善制度

    從出現(xiàn)的有關銀行計算機系統(tǒng)風險安全與犯罪案件分析中，大多數(shù)都是因為沒有章不循，沒有按制度辦事，按業(yè)務處理流程辦事造成的，這就要求銀行加強對制度執(zhí)行嚴肅性的管理，違章必究，否則制定的各項制度規(guī)范形同虛設，起不到應用的作用。同時，還要注意IT業(yè)務外包供應商風險與安全管理制度規(guī)范建設與信息系統(tǒng)同步規(guī)劃、同步建設、同步管理，能緊隨銀行信息科技業(yè)務的發(fā)展、環(huán)境的變化、中心工作的更替、創(chuàng)新的要求，及時得到調整、修訂和補充。

    2、選擇適合自己的外包供應商，簽署合作合同

    簽署合同是IT業(yè)務外包不可避免的風險。因此，根據(jù)前期對市場的調研分析，搜集的供應商信息，尋找合格的IT服務供應商，詢價和報價，通過招投標方式，建立適合公司科技與業(yè)務經營發(fā)展需要的供應商，并協(xié)同法律部門做好外包合同文本的制定和簽署，合理規(guī)避和防范合同風險的發(fā)生。

    3、加強與外包供應商的合作與交流

    一旦項目簽署合同開始啟動，銀行作為甲方要提供項目研發(fā)辦公條件，盡快讓外包商到行里來工作，向同事一樣給予相關方面的必要幫助。同時，銀行科技人員以及業(yè)務人員要參與到項目建設中，既可以讓自己的技術和業(yè)務人員與外包公司技術人員熟悉、了解掌握產品技術性能和業(yè)務功能，便于項目研發(fā)過程中問題的溝通交流，還可以全程對項目進度、質量進行跟蹤，以便于在規(guī)定的時間內，高質量的完成軟件項目的研發(fā)投產，讓項目利益所有者都滿意。項目經理圈子4、建立外包供應商服務評價體系

    因很多外包公司特別是跨國公司，外包、分包普遍存在，也就降低了供應鏈的透明性和可追溯性，有意無意的形成漏洞，加大了供應鏈風險。所以，要采取日常業(yè)績跟蹤和階段性評比方法，更加深入的了解外包供應商及其供應鏈的一些情況，避免信息不對稱，便于更好地建立外包供應商信息管理系統(tǒng)，根據(jù)有關業(yè)績的跟蹤記錄，對供應商的業(yè)績表現(xiàn)進行綜合考核，全面、正確的評價外包商工作情況。

    5、做好項目建設的計劃與控制

    為避免人員頻繁變動、項目延期、交付的技術文檔不齊全及系統(tǒng)上線后支持服務跟不上等現(xiàn)象。要求銀行科技人員與外包項目經理及項目組成員建立項目進度與質量控制溝通機制（如周例會、項目周報、問題跟蹤管理報告等），定期監(jiān)測與度量項目進展情況，識別有否偏離計劃之處，及時發(fā)現(xiàn)問題、反饋問題、了解原因、解決問題，確保實現(xiàn)項目目標。

    6、建立應急管理機制，保持業(yè)務持續(xù)性

    你不能防范每種風險，但是你卻可以迅速發(fā)現(xiàn)問題，并提前思考解決方法，動員所有的選擇，這才是風險與安全管理的精髓。銀行要制定可行的外包供應商應急管理計劃，項目外包會使得銀行對外包供應商產生依賴，如果外包供應商不能如期履行合同，而導致銀行業(yè)務中斷所引起的后果必須高度重視。這就需要銀行要嚴格審查外包供應商提供的執(zhí)行方案，并針對外包供應商不履行合同或者發(fā)生緊急事件制定應急應對方案。

    （三）事后監(jiān)督

    外包項目完成后，銀行相關職能部門應做好對外包項目從立項、招投標、建設、投產使用等全過程進行檢查審計，主要做好如下幾方面工作。

    1、與完善規(guī)章制度相結合，實現(xiàn)各項工作制度化

    在事后監(jiān)督檢查過程中，加強檢查IT業(yè)務外包制度是否建立健全、科學有效、符合工作實際，不斷完善規(guī)章制度，使外包各項工作有章可依，工作制度化。

    2、與獎懲相結合，維護法規(guī)與制度的嚴肅性

    適當?shù)奶幜P，能促進責任人改正錯誤，增強法律法規(guī)觀念，更好的促進工作，依據(jù)制定的IT業(yè)務外包風險與安全管理制度規(guī)范，檢查項目外包實施過程中各項工作是否按制度辦事，針對檢查出來的問題，要查明原因，對于不按制度辦事的違章行為要給予處罰，做的好的要表彰，做到獎罰分明，維護制度的嚴肅性。

    3、與內審計相結合，制定外審策略

    在做好內審的同時，也可以邀請外審機構對外包商以及外包供應鏈上公司的風險與安全管理能力等進行全面的評估。

    4、與規(guī)范化管理相結合，實現(xiàn)業(yè)務操作程序化

    事后監(jiān)督工作要深入到科技業(yè)務一線，認真執(zhí)行規(guī)范化操作規(guī)程，從細節(jié)入手，查找不足、堵塞漏洞，促進外包供應商管理制度化、程序化、規(guī)范化。

    5、與IT服務內容相結合，做好多外包商的監(jiān)督管理

    監(jiān)督、定期重新評估外包風險，并把所搜集信息和評估結果納入外包供應商信息系統(tǒng)管理，通過合同和SLA協(xié)議管理供應商，要注重周期性地審查外包合同，并根據(jù)環(huán)境和銀行業(yè)務發(fā)展的需要及時修改合同、重新設定外包服務標準。

    總的來說，銀行IT業(yè)務外包要在國家法律法規(guī)和公司的制度規(guī)范內展開，要建立健全IT業(yè)務外包過程中信息披露和檢查監(jiān)督及考核機制，建立一個功能完善的外包供應商信息管理系統(tǒng)，有效防范IT業(yè)務外包風險，確保信息安全。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.oesoe.com/

本文標題：IT業(yè)務外包風險與安全防范舉措

本文網址：http://www.oesoe.com/html/support/1112188383.html