李堅(jiān)寶 柯明通 李山河 唐宗

【摘要】本文從信息科技外包服務(wù)供需雙方的角度，對目前商業(yè)銀行信息科技外包現(xiàn)狀進(jìn)行了分析，全面識別了商業(yè)銀行信息科技外包過程中可能面臨的主要風(fēng)險(xiǎn)，結(jié)合已知風(fēng)險(xiǎn)因子和外包類型，形成了相應(yīng)的外包風(fēng)險(xiǎn)預(yù)警指標(biāo)體系，通過利用層次分析法，構(gòu)建了可優(yōu)化信息科技外包工作的商業(yè)銀行外包風(fēng)險(xiǎn)評估模型。

【關(guān)鍵詞】信息科技外包風(fēng)險(xiǎn) 風(fēng)險(xiǎn)評估 重點(diǎn)外包服務(wù)機(jī)構(gòu) 優(yōu)化控制

一、背景

隨著信息科技技術(shù)應(yīng)用的深入和信息科技外包服務(wù)的發(fā)展，近年來我國商業(yè)銀行普遍將信息科技外包作為提高信息科技服務(wù)水平的重要手段，通過信息科技外包幫助銀行提高管理和服務(wù)效率，節(jié)約信息科技建設(shè)和運(yùn)維成本，實(shí)現(xiàn)戰(zhàn)略升級。

隨著外包服務(wù)范圍的擴(kuò)大和深入，商業(yè)銀行對于信息科技外包商的依賴程度也逐漸加大，外包商自身的財(cái)務(wù)風(fēng)險(xiǎn)、經(jīng)營風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)和道德風(fēng)險(xiǎn)都有可能傳導(dǎo)至商業(yè)銀行，引發(fā)商業(yè)銀行的業(yè)務(wù)中斷、信息泄露、系統(tǒng)失效、經(jīng)濟(jì)損失、聲譽(yù)受損等一系列系統(tǒng)性風(fēng)險(xiǎn)；另一方面，由于銀行自身外包管理能力的不善，也引發(fā)了一些外包風(fēng)險(xiǎn)事件的發(fā)生。

監(jiān)管機(jī)構(gòu)近年來高度重視信息科技外包風(fēng)險(xiǎn)，對商業(yè)銀行外包管理提出了更明確的要求。因此，如何在信息科技外包過程中科學(xué)有效的評估外包商的風(fēng)險(xiǎn)，是商業(yè)銀行目前信息科技外包風(fēng)險(xiǎn)管控迫待需要解決的問題。

二、商業(yè)銀行信息科技外包風(fēng)險(xiǎn)評估模型建立

（一）商業(yè)銀行信息科技外包風(fēng)險(xiǎn)識別

信息科技外包是一種通過將風(fēng)險(xiǎn)發(fā)生時(shí)所造成的全部或部分影響轉(zhuǎn)移給第三方服務(wù)供應(yīng)商的風(fēng)險(xiǎn)轉(zhuǎn)移措施，它使商業(yè)銀行通過風(fēng)險(xiǎn)轉(zhuǎn)移在一定程度上降低了信息科技風(fēng)險(xiǎn)事件發(fā)生時(shí)對銀行造成的損失。然而，在將信息科技活動(dòng)風(fēng)險(xiǎn)轉(zhuǎn)移給第三方的同時(shí)，也帶來了外包活動(dòng)的相關(guān)風(fēng)險(xiǎn)。據(jù)此，本文從風(fēng)險(xiǎn)來源的角度將商業(yè)銀行信息科技外包風(fēng)險(xiǎn)劃分為兩類（見圖1）。

圖1 商業(yè)銀行信息科技外包風(fēng)險(xiǎn)框架

對于A類風(fēng)險(xiǎn)（商業(yè)銀行信息科技外包自有風(fēng)險(xiǎn)）與B類風(fēng)險(xiǎn)（外包商信息科技風(fēng)險(xiǎn)），本文識別了風(fēng)險(xiǎn)存在的領(lǐng)域，依據(jù)因子分析法進(jìn)一步分解了各風(fēng)險(xiǎn)領(lǐng)域下的風(fēng)險(xiǎn)因子。

1.A類：商業(yè)銀行信息科技外包自有風(fēng)險(xiǎn)。本文根據(jù)信息科技外包生命周期和管理主體，同時(shí)參考相關(guān)指引和通知，梳理了5個(gè)風(fēng)險(xiǎn)領(lǐng)域：外包管理組織架構(gòu)及外包戰(zhàn)略管理、外包風(fēng)險(xiǎn)管理、外包項(xiàng)目管理、外包商管理、監(jiān)管報(bào)告管理。在每個(gè)風(fēng)險(xiǎn)領(lǐng)域下，根據(jù)因子分析法又分解了17個(gè)可能誘發(fā)風(fēng)險(xiǎn)事件的風(fēng)險(xiǎn)因子。

2.B類：外包商信息科技風(fēng)險(xiǎn)。本文參考了ISO27001、ITIL V3和積累的經(jīng)驗(yàn)，結(jié)合國際知名咨詢公司的風(fēng)險(xiǎn)知識庫，共梳理出9個(gè)風(fēng)險(xiǎn)領(lǐng)域：運(yùn)維管理、信息安全管理、服務(wù)管理、問題、事件管理、變更管理、業(yè)務(wù)連續(xù)性管理、轉(zhuǎn)包分包管理、公司治理。在每個(gè)風(fēng)險(xiǎn)領(lǐng)域下，使用因子分析法進(jìn)一步分解了34個(gè)風(fēng)險(xiǎn)因子。

（二）商業(yè)銀行信息科技外包風(fēng)險(xiǎn)評估模型

信息科技外包風(fēng)險(xiǎn)事件大都產(chǎn)生于銀行自身或外部服務(wù)提供商內(nèi)部控制管理的不善、人員或系統(tǒng)外部事件引發(fā)的損失，因此外包風(fēng)險(xiǎn)常常被歸類為操作風(fēng)險(xiǎn)的一個(gè)分支。目前管理操作風(fēng)險(xiǎn)主要有三大定性工具，包括風(fēng)險(xiǎn)控制自我評估（RCSA），損失數(shù)據(jù)收集（LDC）和關(guān)鍵風(fēng)險(xiǎn)（KRI）指標(biāo)。

基于操作風(fēng)險(xiǎn)的三大工具，將信息科技外包風(fēng)險(xiǎn)評估模型分為為銀行信息科技外包自有風(fēng)險(xiǎn)與外包商信息科技風(fēng)險(xiǎn)兩塊，通過識別風(fēng)險(xiǎn)領(lǐng)域及其風(fēng)險(xiǎn)因子，為每一個(gè)風(fēng)險(xiǎn)因子找到多個(gè)可應(yīng)對它的控制活動(dòng)，且通過控制活動(dòng)識別關(guān)鍵風(fēng)險(xiǎn)考核指標(biāo)，針對每個(gè)風(fēng)險(xiǎn)因子可能造成的財(cái)務(wù)、合規(guī)、聲譽(yù)、資產(chǎn)安全、運(yùn)營影響發(fā)生的可能，確定各風(fēng)險(xiǎn)因子的風(fēng)險(xiǎn)值。關(guān)鍵風(fēng)險(xiǎn)考核指標(biāo)主要?jiǎng)澐譃槭欠裥椭笜?biāo)（定性考核）和數(shù)值性考核指標(biāo)（定量考核）。評估者可利用風(fēng)險(xiǎn)因子的風(fēng)險(xiǎn)值權(quán)重乘上每個(gè)關(guān)鍵風(fēng)險(xiǎn)考核指標(biāo)的考核值，加權(quán)平均得到各風(fēng)險(xiǎn)領(lǐng)域的得分，進(jìn)而得到外包風(fēng)險(xiǎn)的評分。

信息科技外包風(fēng)險(xiǎn)評估計(jì)量模型如圖2所示，信息科技外包活動(dòng)中的風(fēng)險(xiǎn)權(quán)重（本文中以W為標(biāo)識）與每項(xiàng)關(guān)鍵考核指標(biāo)得分（本文中以Yn為標(biāo)識）共同構(gòu)成了信息科技外包風(fēng)險(xiǎn)管理得分的因子。

圖2 信息科技外包風(fēng)險(xiǎn)評估模型

本文通過下面的計(jì)量公式得到信息科技外包風(fēng)險(xiǎn)管理總分：

其中，Sp表示信息科技外包風(fēng)險(xiǎn)管理總得分，Sp值越大，說明信息科技外包風(fēng)險(xiǎn)越高；W（A/B）表示A類或B類風(fēng)險(xiǎn)單個(gè)風(fēng)險(xiǎn)權(quán)重，由判斷條件O1外包服務(wù)影響確定納入計(jì)算范圍的總體風(fēng)險(xiǎn)池，O1的選擇不同將導(dǎo)致風(fēng)險(xiǎn)總數(shù)不同，進(jìn)而導(dǎo)致單個(gè)風(fēng)險(xiǎn)權(quán)重不同；Ri是五個(gè)風(fēng)險(xiǎn)影響領(lǐng)域財(cái)務(wù)影響、合規(guī)影響、資產(chǎn)安全影響、聲譽(yù)影響、運(yùn)營影響的出現(xiàn)的平均次數(shù)得出的風(fēng)險(xiǎn)值；Y（A/B）n表示A類或B類風(fēng)險(xiǎn)單項(xiàng)關(guān)鍵考核指標(biāo)得分，由判斷條件O2考核指標(biāo)級別確定納入計(jì)算范圍的關(guān)鍵考核指標(biāo)池。Y（A/B）n取值越大，說明單項(xiàng)考核指標(biāo)得分越高。

根據(jù)計(jì)算最終外包風(fēng)險(xiǎn)評估結(jié)果時(shí)，銀行信息科技外包自有風(fēng)險(xiǎn)（A類）和外包商信息科技風(fēng)險(xiǎn)（B類）時(shí)α和β的權(quán)重確定方法不同，本文將信息科技外包險(xiǎn)評估模型設(shè)計(jì)為單一權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型和分層權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型。

1.單一權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型。在單一權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型中，每個(gè)風(fēng)險(xiǎn)領(lǐng)域和風(fēng)險(xiǎn)因子都是用單一同樣的風(fēng)險(xiǎn)權(quán)重，α和β的值分別為A類和B類各風(fēng)險(xiǎn)因子個(gè)數(shù)占總風(fēng)險(xiǎn)因子的占比。

單一權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型的優(yōu)點(diǎn)是計(jì)算簡單，操作性較強(qiáng)，具有很強(qiáng)的實(shí)際操作價(jià)值。但也存在一定的缺點(diǎn)，例如存在一定的主觀性，精度不夠，導(dǎo)致風(fēng)險(xiǎn)因子間相對重要性得不到合理體現(xiàn)。

2.分層權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型。分層權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型主要依據(jù)層次分析法（AHP）確定各風(fēng)險(xiǎn)領(lǐng)域的權(quán)重。AHP法主要將目標(biāo)結(jié)果分解成多個(gè)層次，通過兩兩比較下層元素對于上層元素的相對重要性，將人的主觀判斷用數(shù)量形式表達(dá)和處理以求得評估指標(biāo)的權(quán)重。

本文創(chuàng)新性的采用了yaahp層次分析軟件，建立了分層模型，并得到每個(gè)風(fēng)險(xiǎn)領(lǐng)域和因子的權(quán)重（具體見表1）。

表1 風(fēng)險(xiǎn)領(lǐng)域權(quán)重

基于APH法的分層信息科技外包風(fēng)險(xiǎn)評估模型主要將上述風(fēng)險(xiǎn)權(quán)重加入風(fēng)險(xiǎn)評分的計(jì)算中。AHP分析法最大的優(yōu)點(diǎn)是實(shí)現(xiàn)了定量與定性相結(jié)合，精度高，能準(zhǔn)確地確定評估指標(biāo)的權(quán)重，因而使評估指標(biāo)間相對重要性得到合理體現(xiàn)，評估結(jié)果可能更精準(zhǔn)和科學(xué)。實(shí)際外包風(fēng)險(xiǎn)管控中，商業(yè)銀行可根據(jù)自身的風(fēng)險(xiǎn)評估需求，選擇單一權(quán)重信息科技外包風(fēng)險(xiǎn)評估模型或分層信息科技外包風(fēng)險(xiǎn)評估模型。

（三）信息科技外包風(fēng)險(xiǎn)評估模型的評級說明

銀行信息科技外包自有風(fēng)險(xiǎn)與外包商信息科技風(fēng)險(xiǎn)評級分為1～5級。1級是最高評級表示銀行信息科技外包風(fēng)險(xiǎn)管理方式最有力，需要最少的監(jiān)管關(guān)注。5級是最低評級，表示銀行信息科技外包風(fēng)險(xiǎn)管理方式最弱，因此需要最多的監(jiān)管關(guān)注及管理層重視。根據(jù)銀行信息科技外包自有風(fēng)險(xiǎn)與外包商信息科技風(fēng)險(xiǎn)評級的1～5分評級結(jié)果，可以得到總外包風(fēng)險(xiǎn)的評估等級。

圖3 外包風(fēng)險(xiǎn)矩陣

三、外包風(fēng)險(xiǎn)評估實(shí)證研究

（一）銀行信息科技外包自有風(fēng)險(xiǎn)管理

本文針對農(nóng)村金融機(jī)構(gòu)、城市商業(yè)銀行、股份制商業(yè)銀行與國有商業(yè)銀行，并針對不同外包服務(wù)類型，包括駐場、非駐場集中式、非駐場獨(dú)立式與跨境外包進(jìn)行模型打分和訪談測試兩個(gè)步驟來驗(yàn)證銀行信息科技風(fēng)險(xiǎn)管理評估模型中銀行信息科技外包自有風(fēng)險(xiǎn)管理的合理性。

選擇某銀行的駐場式外包管理進(jìn)行模型驗(yàn)證，從A模型中篩選出5個(gè)風(fēng)險(xiǎn)領(lǐng)域、17個(gè)風(fēng)險(xiǎn)因子與40個(gè)關(guān)鍵考核指標(biāo)，采用單一權(quán)重評分模型，并將A模型使用及評分方法發(fā)予該銀行的外包服務(wù)管理部門進(jìn)行自評，并對37條關(guān)鍵考核指標(biāo)逐一進(jìn)行控制活動(dòng)設(shè)計(jì)與執(zhí)行層面的測試。

由于模型與測試結(jié)果的偏離度大于5%，對模型進(jìn)行了修正，降低對應(yīng)的風(fēng)險(xiǎn)值的同時(shí)，調(diào)整了各項(xiàng)關(guān)鍵考核指標(biāo)的劃分。通過重復(fù)自評、驗(yàn)證、調(diào)整的步驟，保證模型與實(shí)際的偏離程度始終低于容差水平5%。

（二）外包商信息科技風(fēng)險(xiǎn)管理

本文針對不同外包服務(wù)機(jī)構(gòu)，包括重點(diǎn)外包服務(wù)機(jī)構(gòu)和非重點(diǎn)外包服務(wù)機(jī)構(gòu)，并針對不同外包服務(wù)類型，包括應(yīng)用系統(tǒng)托管、基礎(chǔ)設(shè)施托管、系統(tǒng)軟硬件平臺維護(hù)、開發(fā)與人力外包、咨詢服務(wù)類進(jìn)行模型打分和訪談測試兩個(gè)步驟來驗(yàn)證銀行信息科技風(fēng)險(xiǎn)管理評估模型中外包商信息科技風(fēng)險(xiǎn)管理的合理性。

在模型矩陣中篩選出“應(yīng)用系統(tǒng)托管”適用的9個(gè)風(fēng)險(xiǎn)領(lǐng)域，31個(gè)風(fēng)險(xiǎn)因子，56條關(guān)鍵考核指標(biāo)，選擇單一權(quán)重評分模型，并將模型使用及評分方法發(fā)予該重點(diǎn)外包服務(wù)機(jī)構(gòu)的外包服務(wù)管理部門進(jìn)行自評。并對55條關(guān)鍵考核指標(biāo)逐一進(jìn)行控制活動(dòng)設(shè)計(jì)與執(zhí)行層面的測試。

由于模型與測試結(jié)果的偏離度大于5%，對模型進(jìn)行了修正，降低對應(yīng)的風(fēng)險(xiǎn)值的同時(shí)，調(diào)整了各項(xiàng)關(guān)鍵考核指標(biāo)的劃分通過重復(fù)自評、驗(yàn)證、調(diào)整的步驟，保證模型與實(shí)際的偏離程度始終低于容差水平5%。

四、商業(yè)銀行信息科技外包風(fēng)險(xiǎn)防范的建議

綜合上述商業(yè)銀行外包風(fēng)險(xiǎn)評估模型和實(shí)證研究結(jié)果，本文總結(jié)了進(jìn)一步防范商業(yè)銀行信息科技外包風(fēng)險(xiǎn)的建議，主要包括：

一是審慎選擇信息科技外包項(xiàng)目。商業(yè)銀行在確定是否外包時(shí)，應(yīng)綜合考慮業(yè)務(wù)需求、預(yù)期投入和未來成本效益分析，根據(jù)銀行業(yè)務(wù)未來的發(fā)展方向和戰(zhàn)略，選擇外包項(xiàng)目。

二是建立嚴(yán)格的外包商準(zhǔn)入評估機(jī)制。建議商業(yè)銀行建立科學(xué)的外包商準(zhǔn)入評估機(jī)制和方法，在準(zhǔn)入前、項(xiàng)目過程和結(jié)項(xiàng)時(shí)對外包商做出科學(xué)的評價(jià)，并建立外包商信息庫，更新外包商內(nèi)部評級至信息庫，作為下次外包服務(wù)的評價(jià)要素之一。

三是實(shí)施貫穿外包項(xiàng)目全生命周期的管理。建立外包項(xiàng)目的管理小組，明確管理小組的成員和職責(zé)，該管理小組監(jiān)控外包項(xiàng)目進(jìn)度，實(shí)施外包項(xiàng)目全生命周期的管理。并且此外包項(xiàng)目的管理小組需要真正的在每個(gè)里程碑及時(shí)監(jiān)控和反饋項(xiàng)目情況。

四是建立信息科技外包項(xiàng)目的防火墻。需要建立真正的風(fēng)險(xiǎn)防火墻，分析傳導(dǎo)范圍，采取適當(dāng)?shù)目刂拼胧?，將風(fēng)險(xiǎn)傳導(dǎo)范圍控制在最小化的信息傳遞之內(nèi)。

五是通過損失事件庫的積累，科學(xué)評定風(fēng)險(xiǎn)發(fā)生的可能性和預(yù)計(jì)損失，實(shí)現(xiàn)外包風(fēng)險(xiǎn)的監(jiān)控和計(jì)量。并根據(jù)每項(xiàng)業(yè)務(wù)的外包的依賴度，依據(jù)業(yè)務(wù)重要性水平，實(shí)現(xiàn)相關(guān)風(fēng)險(xiǎn)損失準(zhǔn)備金的計(jì)提。

參考文獻(xiàn)

[1]張金隆，叢國棟，陳濤.《基于交易成本理論的IT外包風(fēng)險(xiǎn)控制策略研究綜述》.管理學(xué)報(bào)，2009年.

[2]郭亮.《商業(yè)銀行IT外包項(xiàng)目風(fēng)險(xiǎn)評估的指標(biāo)體系及方法》.上海交通大學(xué)（碩士論文），2012年.

[3]吳文忠.《IT外包模式選擇與風(fēng)險(xiǎn)管控》.金融電子化，2011年.

[4]毛基業(yè)，李曉燕.《動(dòng)態(tài)能力構(gòu)建：基于離岸軟件外包供應(yīng)商的多案例研究》.管理科學(xué)學(xué)報(bào)，2010年.

[5]杜占河，廖貅武，魏澤龍.《IT外包中控制策略組合的演化研究——基于對美國、日本外包項(xiàng)目的比較》.科學(xué)學(xué)與科學(xué)技術(shù)管理，2013年.