對外經(jīng)濟貿(mào)易大學信息學院 賈樹輝 陳進

銀行業(yè)早在20世紀70年代就涉足外包領域，20世紀90年代以來呈現(xiàn)出迅猛發(fā)展趨勢，隨著我國銀行業(yè)改制深化和銀行間競爭的日益加劇，銀行的信息基礎設施和業(yè)務系統(tǒng)不斷進行升級和換代，使得部分銀行尤其是中小銀行內(nèi)部信息技術部門很難跟上業(yè)務發(fā)展對信息系統(tǒng)建設的需求，而銀行IT外包的出現(xiàn)為解決上述問題提供了有效途徑。銀行IT外包是指銀行以合同的方式，在規(guī)定的服務水平基礎上，委托IT服務提供商向銀行提供所需的部分或者全部IT功能和活動(馬雪彬和陳嬌，2009)，其主要內(nèi)容是銀行信息系統(tǒng)的開發(fā)建設與運維服務、基礎設施建設與運行、技術性業(yè)務流程、信息技術咨詢服務等外包。

外包作為一種創(chuàng)新管理模式，具有整合、利用外部最優(yōu)秀的專業(yè)資源，從而達到降低成本、提高效率、充分發(fā)揮自身核心競爭力和增強銀行對環(huán)境的快速應變能力的屬性。隨著外包的深入發(fā)展，如何進行IT外包的有效管理、規(guī)避外包過程的風險也日益成為各個銀行和行業(yè)監(jiān)管部門關注的課題。COBIT是IT治理領域的公認框架和標準，借鑒其管理實踐和思路，構建基于IT治理理論的IT外包管理框架，將為商業(yè)銀行在IT領域更好地管理外包業(yè)務、利用外包資源、降低外包風險提供有益參考，并促進IT外包在銀行業(yè)的健康快速發(fā)展。

1 IT治理理論概述

IT治理的目標是通過一系列流程與控制實現(xiàn)IT的商業(yè)價值，國際信息系統(tǒng)審計協(xié)會(ISASC)和國際IT治理研究院(ITGI)是提出并研究IT治理理論的主要組織，他們通過建立IT治理的總體架構，明確IT治理核心流程，頒布相關的流程控制標準，從而指導企業(yè)完成IT治理的相關工作。其代表性的研究成果包括Control Objectives for Information and related Technology(COBIT)和Board Briefing on IT Governance。

COBIT是國際上公認的IT管理與控制框架，已在世界眾多國家的重要組織與企業(yè)中運用，指導這些組織有效地利用信息資源，有效地管理與信息相關工作實施和風險控制。COBIT是一系列關于IT管理最佳實踐(框架)的集合，最初是ISASC于1996年首次提出，至2005年頒布COBIT 4.0，并于2007年5月將版本更新到COBIT 4.1(王德健，2007)。

圖1 COBIT的關注維度

COBIT基于IT治理觀點，從戰(zhàn)略融合、價值交付、資源管理、風險管理和績效測評五個維度進行IT過程的監(jiān)督與控制(如圖1)，每個維度的關注內(nèi)容具體如下:

(1)戰(zhàn)略融合:關注于確保業(yè)務計劃和IT計劃的關聯(lián)；規(guī)定、保持和驗證IT價值建議；使IT運營與企業(yè)運營目標保持一致。

(2)價值交付:在整個交付周期內(nèi)提出價值實施建議，確保IT實現(xiàn)預期的戰(zhàn)略收益，集中關注成本的優(yōu)化，提供IT的固有價值。

(3)資源管理:對IT資源(應用系統(tǒng)、信息、基礎設施和人員)的優(yōu)化投資并適當管理，關鍵問題在于進行知識和基礎設施的優(yōu)化。

(4)風險管理:要求企業(yè)的高層管理者具備良好的風險意識，清晰了解企業(yè)對風險的偏好，熟悉企業(yè)合規(guī)性要求，并將風險管理的職責嵌入組織之中。

(5)績效測評:追蹤并監(jiān)控戰(zhàn)略實施、項目終結、資源使用、流程績效、服務支付以及諸如平衡記分卡的使用，將戰(zhàn)略轉(zhuǎn)化為具體行動，實現(xiàn)傳統(tǒng)財務管理、行政管理等無法測量的目標。

按照上述維度劃分，COBIT提出了34個信息技術控制過程，并且對每個控制過程制定了流程描述、控制目標、管理指南、成熟度模型四方面的詳細內(nèi)容用于指導實施，從而確保了IT目標與業(yè)務目標一致性、通過IT保障業(yè)務實現(xiàn)收益最大化、IT資源使用的有效性和對IT風險的適當管理等目標。

國際IT治理研究院(ITGI)認為IT治理本質(zhì)上有兩個關注點，一是實現(xiàn)IT的商業(yè)價值，二是規(guī)避IT風險。它將IT治理的內(nèi)容分為五個研究領域——目標設定、IT活動、績效測量、目標比對和IT價值交付。目標設定是IT治理的初始點和驅(qū)動因素，需要由企業(yè)董事會層面確定，并需要制定明確的衡量標準進行績效的度量和監(jiān)控，確保目標能夠被正確達成、行為能夠被合理管控。

2 銀行IT外包的內(nèi)容與管控需求

“管控”源于“管理+控制”，它強調(diào)對管理活動的控制，其含義是指通過一系列組織制度體系的設計，包括組織的責權利體系的設計、組織流程和制度的設計等，為整個管理活動創(chuàng)造一個良好的運作機制環(huán)境，確保一個企業(yè)的管理活動在特定的游戲規(guī)則下執(zhí)行，從而提高企業(yè)的執(zhí)行力，降低企業(yè)的運作風險。對于銀行IT外包的管控，基于IT治理研究的相關思想和理論，可以從IT實施過程的管理和風險的規(guī)避控制角度分析具體的管控框架和內(nèi)容。

2.1 銀行IT外包的內(nèi)容

銀行IT外包一般主要包含軟件研發(fā)及開發(fā)服務外包、軟件技術服務外包、信息系統(tǒng)運營維護服務外包、基礎信息技術服務外包與技術性業(yè)務流程服務外包等類別，具體內(nèi)容見表1。

表1 銀行IT外包類別與內(nèi)容

2.2 銀行IT外包的管控需求

從國內(nèi)來看，銀行IT外包發(fā)展歷史并不長，針對IT外包的管控經(jīng)驗和制度體系并不完善，且國際上也無完整的管控體系可以借鑒，目前只是一些先行選擇外包的銀行(如國家開發(fā)銀行)的實施過程中形成了一定的經(jīng)驗積累。一般來說，銀行對IT外包的管控都涵蓋外包決策、外包風險管理、外包供應商評估和外包合同管理等業(yè)務領域。

2.2.1 外包決策

銀行IT外包決策過程有自己的特點，相對于其它的行業(yè)來說，銀行的管理機制及業(yè)務流程都非常的嚴謹，銀行IT外包不僅涉及到資產(chǎn)專用性、短期費用、長期費用、核心競爭力等外包決策的常見因素，還要考慮技術因素、人力因素、管理因素等其他方面。銀行一般需成立獨立的外包決策組，包括業(yè)務需求部門、信息技術部門、內(nèi)審部門人員及相關管理決策人員，根據(jù)風險控制和業(yè)務運作需求，合理確定外包的原則和范圍，通過招標采購方式進行外包決策實施。

2.2.2 外包風險管理

銀行實施IT外包，應充分認識外包對IT建設風險控制的直接和間接影響，并將其納入總體安全策略和風險控制之中(張強林和邵麗萍，2010)。這就需要銀行從以下方面進行外包風險管控:(1)制定并逐步完善風險管控制度，外包風險管理應當符合風險管理標準和策略，并應建立針對外包風險的應急計劃；(2)銀行與外包服務提供商建立有效的聯(lián)絡、溝通和信息交流機制，在意外情況下能夠?qū)崿F(xiàn)外包服務提供商的順利變更，保證外包業(yè)務的連續(xù)性；(3)銀行應建立完整的外包風險評估與監(jiān)測程序，審慎管理外包產(chǎn)生的風險，提高本機構對外包管理的能力；(4)根據(jù)國家監(jiān)管要求，銀行在實施敏感信息系統(tǒng)的外包前，應按照法律法規(guī)規(guī)定向監(jiān)管部門報告?zhèn)浒浮?/p>

2.2.3 外包供應商評估

在外包實施之前，銀行應建立完善的外包服務提供商評估機制，充分審查、評估外包商的經(jīng)營狀況、財務實力、誠信歷史、安全資質(zhì)、技術服務能力和實際風險控制與責任承擔水平，并進行必要的盡職調(diào)查。在外包實施后，銀行應建立持續(xù)的跟蹤審核機制，定期對外包商的風險控制、業(yè)績標準、業(yè)務策略、管理程序、監(jiān)督過程等進行跟蹤審核，根據(jù)量化的考核指標定期對承包方進行考評，公布服務周期的評估結果，實現(xiàn)外包服務水平的跟蹤評價。

2.2.4 外包合同管理

合同是進行外包管理的重要依據(jù)，銀行與外包服務提供商簽署的外包合同應全面可實施，內(nèi)容包括:外包服務的范圍和標準；保密性和安全性；業(yè)務連續(xù)性；審計和檢查；爭端的解決方案；未履行責任的賠償、補救和追索權等。對于具有專業(yè)技術性的外包業(yè)務，可簽訂服務等級協(xié)議(SLA)；如涉及分包或轉(zhuǎn)包，外包合同協(xié)議中應明確設立服務提供商分包或轉(zhuǎn)包的規(guī)則或限制。

3 基于IT治理理論的銀行IT外包管控框架

從IT治理的視角，COBIT將IT治理活動劃分為四個職責域:(1)計劃與組織(PO):為提供解決方案(AI)和提供服務(DS)制定相應制度；(2)獲取與實施(AI):提供解決方案并將其轉(zhuǎn)化成為服務；(3)交付與支持(DS):接受解決方案，使之為最終用戶所用；(4)監(jiān)控與評價(ME):監(jiān)控所有流程確保遵循既定方針。

圖2 IT治理職責域關系圖

銀行IT外包的實施流程也切合了COBIT的職責域劃分，按照該劃分維度，綜合COBIT對各職能域中各項活動的管理要求與評測指南，以及銀行IT外包管控的具體需求，可以規(guī)劃出對應IT治理職責域的銀行IT外包管理框架和主要內(nèi)容(見表2)，這些主要管理措施便構成了銀行IT外包管理框架，各個外包管控域的主要內(nèi)容為:

(1)計劃組織:發(fā)包方為實施IT外包管控而進行的組織內(nèi)部的相關IT制度與組織管理建設等內(nèi)容。

(2)獲取實施:發(fā)包方為實施IT外包管控而進行的組織統(tǒng)一的技術基礎設施建設、IT外包流程與決策控制、外包知識庫管理等內(nèi)容。

(3)交付支持:發(fā)包方為實施IT外包管控而進行的涵蓋外包成果交付、外包風險管理、組織內(nèi)部IT資源的可用性和連續(xù)性保證等內(nèi)容。

(4)監(jiān)控評價:發(fā)包方為實施IT外包管控而進行的包括組織對IT外包服務提供商的管理監(jiān)控與績效評估、組織按照監(jiān)管要求對外包服務提供商進行管理等內(nèi)容。

表2 銀行IT外包管控框架和內(nèi)容

4 結語

IT外包使銀行能夠以更富有效率、低成本、低風險的方式完成信息技術任務，在提升銀行核心競爭力、節(jié)約項目成本、加速信息化建設的進程中發(fā)揮著不容忽視的作用。建立IT外包管控框架的目標是通過一系列的組織制度體系的設計，包括組織的責權利體系的設計、組織流程和制度的設計等，實現(xiàn)對IT外包活動的管理和控制。

以IT治理理論為視角，在從戰(zhàn)略融合、價值交付、資源管理、風險管理和績效測評五個維度分析了商業(yè)銀行在IT外包實施過程中的活動內(nèi)容與組織層面的管理控制需求基礎上，本文針對IT外包的內(nèi)容，構建了涵蓋IT外包業(yè)務的計劃組織、IT外包服務的獲取實施、IT外包成果的交付支持和IT外包活動的監(jiān)控評價四方面內(nèi)容的商業(yè)銀行IT外包管控框架，并細化了每一方面的管控目標、具體的管控內(nèi)容與措施。這不僅為銀行業(yè)金融機構加強對IT外包管理提供了借鑒、促使外包項目達成預期目標具有重要實際意義，同時對社會經(jīng)濟中IT外包行業(yè)的發(fā)展也有重要的促進作用。

[1]The IT Governance Institute.COBIT 4.1.United States of America.2007.www.itgi.org.

[2]ITGI.Board Briefing on IT Governance(Second Edition).2003.

[3]Narayanan Kumbakara.Managed IT services:the role of IT standards.Information Management & Computer Security.Vol.16 No.4,2008.

[4]David Luthy and Karen Forcht.Laws and regulations affecting information management and frameworks for assessing compliance.Information Management &Computer Security.Vol.14 No.2,2006.

[5]中國銀行業(yè)監(jiān)督管理委員.銀行業(yè)金融機構信息系統(tǒng)風險管理指 引(銀 監(jiān) 發(fā)[2006]63號).2006年8月7日.http://www.cbrc.gov.cn/upload/zwgk/ml3/2/5-2-32.doc.

[6]馬雪彬,陳嬌.國家開發(fā)銀行IT服務外包風險控制的經(jīng)驗及啟示[J].商場現(xiàn)代化,2009(9)(中旬刊)總第587期.

[7]王德健.COBIT標準在IT外包業(yè)務風險管理中的應用[J].商場現(xiàn)代化,2007(11)(中旬刊)總第521期.

[8]陶黎娟,莊明來.COBIT及其應用問題的理論研究[J].財會月刊(理論),2008(8).

[9]郝曉玲,胡克瑾,鄧少靈.COBIT在企業(yè)信息資源管理中的應用[J].情報科學,第20卷第8期,2002年8月.

[10]張強林,邵麗萍.基于COBIT的信息技術外包風險管理[J].技術與創(chuàng)新管理,第31卷第5期,2010年9月.

[11]馬雪彬,陳嬌.國家開發(fā)銀行IT服務外包風險控制的經(jīng)驗及啟示[J].商場現(xiàn)代化,2009(9)(中旬刊)總第587期.