中小银行信息科技外包业务发展趋势与流程化
时间:2022-06-24 09:49:22
摘要:自银监会《商业银行外包风险管理指引》与《银行业金融机构外包风险管理指引》(下称指引)以来,各地域性中小银行逐渐加大信息科技外包项目投入力度。在旧风险点被合理管控的同时,新的风险点不断涌出,信息科技外包风险整体呈现新发展趋势。本文在结合江苏地区六家样本银行资料的基础上,分析了风险的近期发展趋势,阐述了新暴露的问题及其成因,提出了短期解决手段与长期规划。
关键词:中小银行 风险管理 信息科技外包
近几年,中小银行改革发展不断深入,纷纷向流程化和集约化发展,信息科技作为发展的重要支撑实现了跨越式发展。由于信息科技资源有限,中小银行纷纷引入信息科技外包服务,外包范围涉及开发和维护、备份和灾难恢复等多个领域。银监会指引出台以来,中小银行在制度建设、资金投入、人员配备等方面下足功夫,信息科技外包风险管控略有提高,人员资金投入少带来的操作风险等风险水平已大幅降低,集中度风险等风险水平未有明显改善,而一些过去不被关注的风险逐步显现成为近期的主要风险。笔者选取江苏地区6家中小银行作为样本,结合自身工作经验,形成此文。
一、近期发展趋势
(一)信息科技外包发展势头强劲
一是信息科技投入逐年递增。样本行的信息科技外包投入占整个信息科技投入的比重也在逐年增加,2012年样本行信息科技外包投入占比平均值约为48%。二是信息科技外包项目数量大幅增长。信息科技非现场报表显示,2011年样本行的信息科技外包项目共111个,比2010年增加37个,同比增长50%。
2012年各样本行外包投入占IT入比重情况表:
(二)外包服务商筛选水平略有提高
过去,银行选择外包服务商的政策流程不够全面有效,未能很好地评估其人员、技术、财务及其他状况,片面地考虑局部优势,而忽略了IT外包的总体服务水平,相对容易选择低劣服务商。现在,经过近几年的经验积累,通过行业内的相互推介,根据中小银行依据指引要求,全面系统地比对服务商,有效提高了筛选水平。样本行中,除C银行以外的五家银行均设定了严格的筛选制度。
(三)外包管理能力有所提升
一是外包合同管理水平有所提高,法律风险明显降低。样本行的大部分外包合同签订流程更规范,合同文本均明确了服务范围内容、连续性要求、法律合规、服务变更等具体内容。二是外包人员管理水平有所提高,信息更加安全。样本行均对外包服务安全明确发文,就物理环境安全、外包人员安全培训、信息资产使用权限、源代码检查与安全扫描提出一定要求。三是外包服务监控与评价体系初步建立。样本行中有三家银行针对外包需求、合同、服务水平协议等建立了服务质量监控指标,指标包含故障统计、程序上线时序、需求变更率、外包人员考核等具体内容。
二、主要问题
(一)科技外包业务发展欠缺规划,依赖度加剧
一是一部分中小银行自身科技力量有限,将部分不宜外包甚至不能外包的核心业务系统、网银系统、零售业务系统外包开发,致使系统后期维护、升级甚至与新系统的对接都过度依靠外包服务商。二是部分中小银行缺乏战略发展眼光,上线的各信息系统,均由一或两个外包开发商完成,高集中度导致高依赖程度。
(二)外包服务供应不稳定,业务连续性无法有效保证
目前,为中小银行信息科技外包服务供应商,多为中小外包服务公司。这类公司具有投资主体和组织形式多元化、内部管理松散、人员更替频繁、生产质量掌控能力不足等典型的信息科技小企业特征,给中小银行带来的业务中断和终止的风险远远高于服务于大型银行的外包公司。虽然中小银行在合同中明确了服务连续性要求,但服务中断与终止带来的损失往往仍然由银行自身承担。调查发现,Z银行外包开发的信贷管理系统曾发生过因外包服务商倒闭而终止外包服务,最终导致该行延期数月并造成了一定的经济损失。
(三)信息系统外包项目各自为政,系统间“信息竖井”现象较为突出
调查发现,样本行由同一外包服务商开发的不同系统之间缺乏高效统一的数据通道,兼容性较差。主要原因是以下几点:一是信息系统外包建设缺乏统一规划,各系统开发由不同业务部门需求被动推动,且开发过程中业务需求反复变动,系统即时性、孤立性的特点明显。二是信息系统数据未实现标准化。中小银行尚未实施全行的数据标准化工作,未建立全行统一的数据字典、API标准等数据标准,各信息系统的数据标准由外包开发团队定义,系统间缺乏统一的数据口径。
(四)信息科技外包管理不成熟,风险难以有效掌控
调查中发现,样本行已经制定了一系列外包项目风险管控制度,但制度的针对性、可操作性、即时性不强。外包项目进行阶段内控审计严重滞后,目前各行仅由信息科技部门单方面向管理层做项目进度汇报,风险管理部门未能全程对外包项目进行评估和跟进管理,内审部门也未能开展专项审计,外包风险难以及时发现,项目实施的优劣只能由最终上线结果判断,形成了类似信贷业务的“子弹合同”。
三、近期对策与建议
(一)减轻信息科技外包依赖程度
一是基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定相应的外包战略,确定外包边界,防范因过度外包而受制于人。同时,完善外包分级管理策略、供应商关系管理策略、和资源能力建设方案。二是针对不宜外包的内容制定迁移计划,通过人员补充、提升技能、知识转移等方式,有针对性的获取或提升管理及技术能力,逐步降低外包依赖,最终自主掌握信息科技核心业务。三是外包项目评审阶段注意降低集中度风险,有意识避免因外包服务高度集中于个别外包服务商。
(二)降低服务中断与终止的可能性,减少损失
一是降低可能性。制定有针对性的外包业务连续性计划;识别重要业务涉及的服务商和资源;通过合同等形式明确提前准备并维护好相关资源;对服务商业务连续性管理进行监控;要求服务商参加业务连续性的应急演练。二是减少损失。在服务实施过程中,收集外包商服务信息,尽早发现可能导致发生的情况;在意外情况下购买其外包服务资源;要求服务商制定中断相关的应急处理预案。
(三)加强顶层设计,提高外包系统兼容性
一是加强信息系统规划,指导和整合业务部门的不同需求。以规划指导外包系统开发和升级,改变原有的打补丁式的系统建设模式,努力消除系统间的“信息竖井”。二是尽快推动实现全行数据标准化,制定全行的数据字典、API标准等数据字典,为系统外包项目提供统一的数据标准,实现各系统间具备一致的数据口径。
(四)尽快建立三道防线,全面掌控外包风险
一是对重要外包商进行定期风险评估。深入开展尽职调查,关注服务商能力与技术、服务经验、人员技能、市场评价和监管评价。二是对重要外包项目进行定期风险评估。审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定的剩余风险处置措施,确保不因外包进行而增加剩余风险。三是定期开展信息科技外包审计活动。审计服务商合规情况、服务执行效果、项目执行进度。
四、长期规划:重构中小银行信息科技外包流程
(一)信息科技外包的支持流程
按照流程与银行价值创造的关系,流程可分为价值创造流程和支持流程,银行业的贷款审批、单证等业务流程属于价值创造流程,而信息科技外包属于支持流程。
作为支持流程之一,信息科技外包流程主要内容就是为各类为银行创造价值的业务流程服务。同时,其他支持流程如监督评价流程,也在为信息科技外包流程提供支持。
现在信息科技外包主要问题,集中发生在流程的相互支持上。如上文所提的“系统兼容性差,效率较为低下”,是外包流程对业务流程支持问题;“内控审计严重滞后,风险难以掌控”,是监督评价流程对外包流程支持问题。而要从流程支持入手解决以上问题,就必须引入一个概念——信息科技外包风险的流动曲线。
(二)风险的流动曲线
旧风险有的弱化,有的仍然存在,新风险又呈现出不同态势。要控制信息科技外包风险,就必须先梳理信息科技外包存在的风险强弱,而通过现场调研可以得出一个结论,信息科技外包的风险点不是一成不变的,是一条流动曲线。
信息科技外包主要有六个风险点,分别战略风险、集中度风险、合规风险、项目实施风险、风险、应急风险,上文描述诸类问题都可以归为此六类。如果以外包项目上线的时间为X轴,可以得到三个数值,即外包项目规划阶段、实施阶段、运行上线阶段。而以风险程度为Y轴,可以得到下图:
(三)实施方案
所谓重构中小银行信息科技外包流程,其核心内容在于落实在信息科技外包流程中信息科技管理委员会的职责、落实三道防线。09年新版《商业银行信息科技风险管理指引》明确要求该委员会必须包含主要业务部门代表,就是强调外包流程对业务流程支持。而信息科技风险三道防线是监督评价流程对外包流程支持问题。
根据上文的阶段分析,为适应信息科技外包风险的流动性,信息科技部门、主要业务部 门和内审风控部门在外包各阶段的主要责任如下:
1、规划阶段
一是将业务部门成员纳入项目规划体系,不仅由业务成员提出大体需求,更应该培训一批业务成员了解基础信息科技知识,加入到系统设计的整体规划中,与外包人员、信息科技部门成员一共决定系统的各类细节。二是落实内控制度,做到“逢项目、先评估”,全面评估外包商的资格准入情况,如外包商资质、专业技术、服务能力、市场评价等,以保证外包商可长期持续提供服务保障。充分发挥信息科技三道防线作用。
2、实施阶段
一是严格执行外包人员管理制度,明确外包人员使用的信息资产,经内部审计审批后对其进行最小授权。对外包人员进行信息安全培训,提高风险管理意识。二是关注项目开发质量,业务部门人员驻点参加外包开发,对重要系统的开发交付物进行源代码测试和安全扫描,三是内控合规部门对服务商进行安全检查,判断其经营状况。
3、上线运行阶段
一是要拥有完整独立的知识产权,掌握源代码,有能力进行系统重构和代码修改。二是要做好应急演练,对系统RTO/RPO做出明确要求,对数据进行有效灾备。三是可以考虑多外包公司备选制,保证当合作外包公司意外退出的时候,有备选外包公司作为备选公司,保证项目的继续进行。
