孫立紅

摘 要：近年來越來越多的商業(yè)銀行傾向于采用信息科技外包服務快速提高自身IT能力，我國各地的中小銀行便屬于其中代表，這主要是由于信息科技外包服務可快速響應商業(yè)銀行的業(yè)務需求并具備資源配置優(yōu)化、成本節(jié)約優(yōu)勢，但是同時也帶來了一系列的外包風險，基于此，本文簡單分析了商業(yè)銀行信息科技外包服務面臨的風險，并結合實踐提出了風險管控路徑，希望由此能夠為相關業(yè)內人士帶來一定啟發(fā)。

關鍵詞：商業(yè)銀行? 信息科技外包服務? 風險管理

隨著全球化浪潮的不斷推進，信息科技外包服務的應用已經成為商業(yè)銀行維持自身競爭力的重要手段之一，但在筆者的實際工作和調研中發(fā)現(xiàn)，現(xiàn)階段我國商業(yè)銀行信息科技外包服務存在著人員、技術能力、質量、安全等一系列風險，而為了較好應對這類風險，正是本文圍繞商業(yè)銀行信息科技外包服務的風險管理與控制開展具體研究的原因所在。

一、商業(yè)銀行信息科技外包服務面臨的風險

（一）人員風險

人員風險主要源于商業(yè)銀行信息科技外包服務中的人員外包，這里的人員外包指的是承包方參與的開發(fā)、測試、運維、運營，人員外包以商業(yè)銀行為主、承包方人員參與。以商業(yè)銀行軟件測試為例，人員外包往往面臨著人員流動性較大問題，測試團隊的整體工作能力、整體氛圍均會因此受到影響，測試質量不穩(wěn)定問題自然很容易因此出現(xiàn)?，F(xiàn)階段我國信息科技外包服務行業(yè)競爭激烈，外包服務人員頻繁跳槽情況也較為常見，外包服務人員管理難度也因此大幅提升。值得注意的是，商業(yè)銀行信息科技外包服務中的人員外包還可能面臨管理人員技能風險，這一風險的出現(xiàn)主要是由于管理人員需要深入了解業(yè)務并具備相應技能，且同時還需要負責與外包服務商的溝通、外包服務人員的日常管理，由此才能夠較好把控風險并掌握進度，相關管理人員因此受到的挑戰(zhàn)必須得到重視。值得注意的是，商業(yè)銀行信息科技外包服務中的人員外包還面臨著信息泄露風險，如部分商業(yè)銀行因人員匱乏存在重要崗位外包情況，這使得外包人員可能接觸到生產數(shù)據(jù)，客戶敏感信息因此出現(xiàn)的泄露必須得到關注。

（二）技術能力風險

技術能力風險同樣屬于商業(yè)銀行信息科技外包服務面臨的風險之一，該風險主要表現(xiàn)為銀行信息科技服務能力降低、內部管理缺失。銀行信息科技服務能力降低主要是由于其在信息科技外包過程中出現(xiàn)過度依賴外包人員問題，銀行自有員工的技術架構、核心業(yè)務、系統(tǒng)接口學習積極性也會因此受到影響，而由于外包服務人員本身缺乏對銀行的責任心和歸屬感，效率、質量相關問題也很容易因此出現(xiàn)，并最終導致其信息科技服務能力降低;近年來我國信息科技外包服務領域發(fā)展迅速，但部分商業(yè)銀行的自有人員管理能力卻存在無法適應信息科技外包服務的問題，在缺少有效管理手段和措施的影響下，內部管理缺失問題往往因此出現(xiàn)，協(xié)調溝通成本增加、資源浪費、自有人員無法應付便屬于該問題的典型表現(xiàn)，相關糾紛、外包服務人員質量降低情況也可能因此出現(xiàn)。

（三）質量風險

商業(yè)銀行信息科技項目外包很容易出現(xiàn)質量相關風險，同樣以商業(yè)銀行的軟件測試為例，很多因素均可能引發(fā)軟件測試質量風險，如測試外包服務人員能力不足、測試外包服務人員流動性高、對外包服務商的監(jiān)督和管理有限、外包服務商整體測試技術能力不高等，測試質量無法達到預期、測試周期延長、整體工作質量下降等問題均可能由此出現(xiàn)。值得注意的是，軟件測試質量風險的出現(xiàn)很多時候與商業(yè)銀行在招標過程中對外包服務商的分析評估不夠全面存在較強聯(lián)系，如未能全面分析外包服務商的服務經驗、技術水平、服務能力、行業(yè)信譽、安全保護措施、監(jiān)管評價，這些同樣需要得到業(yè)內人士重視。

二、商業(yè)銀行信息科技外包服務風險管控路徑

（一）開展風險監(jiān)測與預警

為較好應對商業(yè)銀行信息科技外包服務所面臨的風險，商業(yè)銀行必須基于信息科技外包服務的風險開展監(jiān)測與預警，這里的監(jiān)測與預警開展需首先明確商業(yè)銀行信息科技外包服務風險關鍵監(jiān)測指標，如第三方供應商風險、外包合作風險、外包采購風險、外包合同風險等，以其中的外包合作風險為例，該風險主要由未考慮多家銀行共用一家外包公司的風險、外包公司的服務水平未達到預期目標、雙方產生知識產權糾紛、在合同結束后未銷毀因工作需要獲取的重要信息、外包人員在軟件開發(fā)過程中加入后門程序且未被發(fā)現(xiàn)、未制定信息科技重要外包服務應急預案等，而在基于商業(yè)銀行實際并結合窮舉法明確監(jiān)測指標后，商業(yè)銀行便需要基于指標建立信息科技外包服務風險監(jiān)測平臺。

基于信息科技外包服務風險監(jiān)測指標與監(jiān)測平臺，即可開展具體的信息科技外包服務風險評估，該評估可結合層次分析法、專家判斷決策量化外包風險各因素，并以此建立量化評估模型，結合模型得到各因素對于總目標的重要性分布，即可最終得到相應時點商業(yè)銀行信息科技外包服務風險量化評估結果，針對性較高的風險管控也將由此實現(xiàn)。

（二）完善管理制度

結合上文論述的人員風險、技術能力風險、質量風險，本文建議商業(yè)銀行完善信息科技外包服務的管理制度，這種制度的完善可圍繞外包服務商管理制度、外包服務人員管理制度展開。

1、外包服務商管理制度

商業(yè)銀行需嚴格遵循《銀行業(yè)金融機構外包風險管理指引》（銀監(jiān)發(fā)（2010）44號）、《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》（銀監(jiān)發(fā)（2013）5號）、《國銀監(jiān)會辦公廳關于加強銀行業(yè)金融機構信息科技非駐場集中式外包風險管理的通知》（銀監(jiān)發(fā)（2014）187號）等行業(yè)規(guī)定，由此明確信息科技外包服務商的招標采購流程、合同簽訂流程、外包服務能力考核、日常監(jiān)督考核、準入資格審核、退出機制、獎勵處罰制度、費用結算等環(huán)節(jié)，即可明確傳達商業(yè)銀行的管理制度和要求，外包服務商在科學完善的理論支持和工作指導下，也能夠更好為商業(yè)銀行提供信息科技服務。值得注意的是，為避免行業(yè)壟斷等問題的出現(xiàn)，并進一步降低各類風險的發(fā)生概率，商業(yè)銀行還可以建立外包服務商資源池，該資源池可匯總外包服務商的各類信息，如得分、評級等結果，同時基于外包人員開展嚴格的考核，并將人員流動率、面試通過率、人員質量水平、現(xiàn)場人員管理等情況錄入外包服務商資源池，即可為外包服務商的選擇提供更有力支持

2、外包服務人員管理制度

人員外包屬于較為常見的商業(yè)銀行信息科技外包服務模式，而在該模式的具體應用中，外包人員的管理工作必須得到重點關注，因此商業(yè)銀行必須建立、完善外包服務人員管理制度。具體來說，外包服務人員的管理制度應涉及人員引進、人員現(xiàn)場管理、級別調整、績效考核、考勤管理、出入場管理等內容，其中人員引進制度需遵循擇優(yōu)錄取、公開招聘、公開競爭原則，且制度需要明確招聘要求、組織方式、招聘流程，入場流程、離場流程、用人模式、試用期管理、人員轉場、人員轉崗等也需要得到重視;人員現(xiàn)場管理需結合銀行信息科技建設情況和具體項目情況，并結合“誰用人誰負責”原則采用合適的人員管理模式，同時需保證服務期間外包服務人員嚴格遵循人員管理要求和工作規(guī)范，并完全服從商業(yè)銀行使用部門的統(tǒng)一管理和安排;級別調整屬于商業(yè)銀行為外包服務人員提供的主要處罰和晉升方式，其中外包服務人員入場后的崗位等級需基于其能力劃分，如初級、高級等，而隨著外包服務人員的能力變化，即可根據(jù)其績效評價、考勤結果、技能水平、工作經驗全方位開展核定，級別調整的科學性將由此得到保障;績效考核的開展必須做到公開考核方法、公正操作、公平評價，由此圍繞外包服務人員工作情況開展定量和定性分析，即可開展以月、季度、年為周期的外包服務人員績效評價，商業(yè)銀行需結合評價結果與外包服務人員開展深入溝通，并給予一定獎勵和懲罰，同時還需要將結果反饋給外包服務商;考勤管理同樣能夠有效降低商業(yè)銀行信息科技外包服務風險，這一管理需結合實事求是原則，管理目標則為工作秩序維護和員工休息權利保障，因此考勤管理需明確曠工、早退、遲到、請假等多種情況的管理方法，并將考勤結果作為外包服務費用結算的依據(jù)，這就要求相關管理人員盡可能保證考勤管理的客觀性和準確性。

（三）加強安全、質量管理

為保證商業(yè)銀行信息科技外包服務不會引發(fā)信息安全、質量相關問題，必須針對性加強安全、質量管理。

1、加強安全管理

安全管理需提升商業(yè)銀行的信息安全管控能力，通過建立完善的信息安全管理制度、限制外包服務人員使用的信息資產、應用安全桌面化辦公技術、加密處理涉密類文檔、開展外包服務人員信息安全培訓，即可保證商業(yè)銀行較好滿足銀監(jiān)會提出的信息安全管理要求，信息科技外包服務的信息安全風險也能夠得到較好應對。

2、加強質量管理

質量管理的加強需關注信息科技外包服務人員的能力提升，并合理組建團隊，其中能力提升需要建立完善的外包服務人員職級晉升通道、明確績效激勵措施并同時開展人員的分類培養(yǎng)，由此將外包服務人員分為有能力不想干、沒能力不想干、沒能力想干、有能力想干四類，即可開展針對性較強的外包服務人員培訓、培養(yǎng);團隊的合理組建需要結合項目的時間周期和復雜程度，如復雜程度高、規(guī)模小但工期緊張的項目，便需要減少初級人員投入，并盡量投入中高級有經驗人員，由此即可有效提升信息科技外包服務的效用發(fā)揮。

三、結束語

綜上所述，商業(yè)銀行信息科技外包服務的風險管控具備較高現(xiàn)實意義，在此基礎上，本文涉及的開展風險監(jiān)測與預警、完善管理制度、加強安全與質量管理等內容，則提供了可行性較高的信息科技外包服務風險管控路徑，而為了更好推動我國商業(yè)銀行發(fā)展，信息科技外包服務模式調研、國外商業(yè)銀行經驗學習、風險識別量化也需要同時得到重視。

參考文獻：

[1]劉述忠，黨全榮，曹燕玲.銀行信息科技外包風險管理[J].中國金融，2016（20）：78-79.

[2]馬琳.民生銀行信息科技外包管理探索之道[J].中國金融電腦，2016（09）：32-38.

[3]丁光華.關注中小銀行信息科技外包風險和安全管理——中小銀行信息科技外包分析及應對策略[J].時代金融，2016（24）：106+109.