在控制IT業(yè)務(wù)外包風(fēng)險與安全方面,做到心中有底、手中有招、控制有術(shù),建立事前預(yù)防、事中控制、事后監(jiān)督的三道防線。
(一)事前預(yù)防
在日常工作中,各種外包風(fēng)險的前期預(yù)兆是會表現(xiàn)出來的,關(guān)鍵是沒有及時發(fā)現(xiàn),馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹,錯誤擴(kuò)大化變成案件,形成損失并為糾正錯誤付出高昂代價。因此,把風(fēng)險消滅在萌芽狀態(tài),才是風(fēng)險控制的重點。
1、制定IT業(yè)務(wù)外包戰(zhàn)略。銀監(jiān)會頒布的《銀行信息科技風(fēng)險管理指引》和《商業(yè)銀行外包風(fēng)險管理指引》中對外包業(yè)務(wù)都提出了要求,重點考慮IT業(yè)務(wù)外包要能促進(jìn)公司的科技業(yè)務(wù)發(fā)展、信息系統(tǒng)安全運營和科技業(yè)務(wù)管理水平,緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃,全面權(quán)衡外包的利益與風(fēng)險,決定將哪些IT業(yè)務(wù)外包,制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃。
2、建立IT業(yè)務(wù)風(fēng)險與安全管理體系。體系制定要做到統(tǒng)一框架,統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一措施、統(tǒng)一監(jiān)督管理,內(nèi)容由IT業(yè)務(wù)風(fēng)險與安全管理策略、管理制度與規(guī)范、技術(shù)標(biāo)準(zhǔn)、指引、流程、操作手冊等組成。通過制定風(fēng)險與安全管理體系,指導(dǎo)公司IT業(yè)務(wù)風(fēng)險與安全管理工作的開展,使其符合國際、國內(nèi)的有關(guān)安全標(biāo)準(zhǔn)和我國的法律法規(guī);在公司內(nèi)部形成一個信息科技風(fēng)險與安全管理機(jī)制,確保落實,保護(hù)公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護(hù)、檢測和應(yīng)急恢復(fù)等各項信息科技風(fēng)險與安全管理指標(biāo)、原則和違規(guī)行為的處理措施;對與公司合作組織、商業(yè)伙伴、承包商和服務(wù)提供者提出相關(guān)的安全約束。項目管理者聯(lián)盟
3、做好IT業(yè)務(wù)風(fēng)險與安全的認(rèn)知與培訓(xùn)。通過舉辦培訓(xùn)班、研討會、發(fā)送郵件、贈送報刊等方式,為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風(fēng)險與安全方面知識的培訓(xùn),通過持續(xù)不斷的培訓(xùn)學(xué)習(xí),掌握本公司IT業(yè)務(wù)風(fēng)險與安全管理制度規(guī)范,提高全員風(fēng)險與安全防范意識,積極參與信息科技風(fēng)險與安全防范工作中,形成全員參與信息科技安全管理的風(fēng)險管理文化。
4、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng),設(shè)計科學(xué)、全面的風(fēng)險指標(biāo)評估體系。西格瑪中有句名言:有什么樣的指標(biāo)、就有什么樣的結(jié)果。建立科學(xué)的IT業(yè)務(wù)外包供應(yīng)商評估指標(biāo)體系,有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標(biāo)。該指標(biāo)體系需要從質(zhì)量、成本、交付、服務(wù)、技術(shù)、資產(chǎn)、流程這些方面入手,確定外包供應(yīng)商成立及上市時間、行業(yè)經(jīng)驗、規(guī)模、安全、人力、財務(wù)、問題響應(yīng)時間、是否有產(chǎn)品保險、企業(yè)文化以及各種認(rèn)證等重點內(nèi)容,詳細(xì)設(shè)計3K(KCS、KCSA和KRI)指標(biāo),每一項指標(biāo)都要給出相應(yīng)的分值區(qū)間,通過建立外包供應(yīng)商信息管理系統(tǒng),把設(shè)計的評估指標(biāo)納入系統(tǒng)中,詳細(xì)記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息,通過系統(tǒng)統(tǒng)計分析,從而科學(xué)有效的評估外包供應(yīng)商的服務(wù)能力。
(二)事中控制
銀行與外包合作商簽署合同,項目正式進(jìn)入合作操作階段,在日常IT項目運營過程中,銀行作為甲方應(yīng)做好如下幾方面的工作。
1、認(rèn)真執(zhí)行制度、不斷完善制度
從出現(xiàn)的有關(guān)銀行計算機(jī)系統(tǒng)風(fēng)險安全與犯罪案件分析中,大多數(shù)都是因為沒有章不循,沒有按制度辦事,按業(yè)務(wù)處理流程辦事造成的,這就要求銀行加強(qiáng)對制度執(zhí)行嚴(yán)肅性的管理,違章必究,否則制定的各項制度規(guī)范形同虛設(shè),起不到應(yīng)用的作用。同時,還要注意IT業(yè)務(wù)外包供應(yīng)商風(fēng)險與安全管理制度規(guī)范建設(shè)與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步管理,能緊隨銀行信息科技業(yè)務(wù)的發(fā)展、環(huán)境的變化、中心工作的更替、創(chuàng)新的要求,及時得到調(diào)整、修訂和補(bǔ)充。
2、選擇適合自己的外包供應(yīng)商,簽署合作合同
簽署合同是IT業(yè)務(wù)外包不可避免的風(fēng)險。因此,根據(jù)前期對市場的調(diào)研分析,搜集的供應(yīng)商信息,尋找合格的IT服務(wù)供應(yīng)商,詢價和報價,通過招投標(biāo)方式,建立適合公司科技與業(yè)務(wù)經(jīng)營發(fā)展需要的供應(yīng)商,并協(xié)同法律部門做好外包合同文本的制定和簽署,合理規(guī)避和防范合同風(fēng)險的發(fā)生。
3、加強(qiáng)與外包供應(yīng)商的合作與交流
一旦項目簽署合同開始啟動,銀行作為甲方要提供項目研發(fā)辦公條件,盡快讓外包商到行里來工作,向同事一樣給予相關(guān)方面的必要幫助。同時,銀行科技人員以及業(yè)務(wù)人員要參與到項目建設(shè)中,既可以讓自己的技術(shù)和業(yè)務(wù)人員與外包公司技術(shù)人員熟悉、了解掌握產(chǎn)品技術(shù)性能和業(yè)務(wù)功能,便于項目研發(fā)過程中問題的溝通交流,還可以全程對項目進(jìn)度、質(zhì)量進(jìn)行跟蹤,以便于在規(guī)定的時間內(nèi),高質(zhì)量的完成軟件項目的研發(fā)投產(chǎn),讓項目利益所有者都滿意。項目經(jīng)理圈子4、建立外包供應(yīng)商服務(wù)評價體系
因很多外包公司特別是跨國公司,外包、分包普遍存在,也就降低了供應(yīng)鏈的透明性和可追溯性,有意無意的形成漏洞,加大了供應(yīng)鏈風(fēng)險。所以,要采取日常業(yè)績跟蹤和階段性評比方法,更加深入的了解外包供應(yīng)商及其供應(yīng)鏈的一些情況,避免信息不對稱,便于更好地建立外包供應(yīng)商信息管理系統(tǒng),根據(jù)有關(guān)業(yè)績的跟蹤記錄,對供應(yīng)商的業(yè)績表現(xiàn)進(jìn)行綜合考核,全面、正確的評價外包商工作情況。
5、做好項目建設(shè)的計劃與控制
為避免人員頻繁變動、項目延期、交付的技術(shù)文檔不齊全及系統(tǒng)上線后支持服務(wù)跟不上等現(xiàn)象。要求銀行科技人員與外包項目經(jīng)理及項目組成員建立項目進(jìn)度與質(zhì)量控制溝通機(jī)制(如周例會、項目周報、問題跟蹤管理報告等),定期監(jiān)測與度量項目進(jìn)展情況,識別有否偏離計劃之處,及時發(fā)現(xiàn)問題、反饋問題、了解原因、解決問題,確保實現(xiàn)項目目標(biāo)。
6、建立應(yīng)急管理機(jī)制,保持業(yè)務(wù)持續(xù)性
你不能防范每種風(fēng)險,但是你卻可以迅速發(fā)現(xiàn)問題,并提前思考解決方法,動員所有的選擇,這才是風(fēng)險與安全管理的精髓。銀行要制定可行的外包供應(yīng)商應(yīng)急管理計劃,項目外包會使得銀行對外包供應(yīng)商產(chǎn)生依賴,如果外包供應(yīng)商不能如期履行合同,而導(dǎo)致銀行業(yè)務(wù)中斷所引起的后果必須高度重視。這就需要銀行要嚴(yán)格審查外包供應(yīng)商提供的執(zhí)行方案,并針對外包供應(yīng)商不履行合同或者發(fā)生緊急事件制定應(yīng)急應(yīng)對方案。
(三)事后監(jiān)督
外包項目完成后,銀行相關(guān)職能部門應(yīng)做好對外包項目從立項、招投標(biāo)、建設(shè)、投產(chǎn)使用等全過程進(jìn)行檢查審計,主要做好如下幾方面工作。
1、與完善規(guī)章制度相結(jié)合,實現(xiàn)各項工作制度化
在事后監(jiān)督檢查過程中,加強(qiáng)檢查IT業(yè)務(wù)外包制度是否建立健全、科學(xué)有效、符合工作實際,不斷完善規(guī)章制度,使外包各項工作有章可依,工作制度化。
2、與獎懲相結(jié)合,維護(hù)法規(guī)與制度的嚴(yán)肅性
適當(dāng)?shù)奶幜P,能促進(jìn)責(zé)任人改正錯誤,增強(qiáng)法律法規(guī)觀念,更好的促進(jìn)工作,依據(jù)制定的IT業(yè)務(wù)外包風(fēng)險與安全管理制度規(guī)范,檢查項目外包實施過程中各項工作是否按制度辦事,針對檢查出來的問題,要查明原因,對于不按制度辦事的違章行為要給予處罰,做的好的要表彰,做到獎罰分明,維護(hù)制度的嚴(yán)肅性。
3、與內(nèi)審計相結(jié)合,制定外審策略
在做好內(nèi)審的同時,也可以邀請外審機(jī)構(gòu)對外包商以及外包供應(yīng)鏈上公司的風(fēng)險與安全管理能力等進(jìn)行全面的評估。
4、與規(guī)范化管理相結(jié)合,實現(xiàn)業(yè)務(wù)操作程序化
事后監(jiān)督工作要深入到科技業(yè)務(wù)一線,認(rèn)真執(zhí)行規(guī)范化操作規(guī)程,從細(xì)節(jié)入手,查找不足、堵塞漏洞,促進(jìn)外包供應(yīng)商管理制度化、程序化、規(guī)范化。
5、與IT服務(wù)內(nèi)容相結(jié)合,做好多外包商的監(jiān)督管理
監(jiān)督、定期重新評估外包風(fēng)險,并把所搜集信息和評估結(jié)果納入外包供應(yīng)商信息系統(tǒng)管理,通過合同和SLA協(xié)議管理供應(yīng)商,要注重周期性地審查外包合同,并根據(jù)環(huán)境和銀行業(yè)務(wù)發(fā)展的需要及時修改合同、重新設(shè)定外包服務(wù)標(biāo)準(zhǔn)。
總的來說,銀行IT業(yè)務(wù)外包要在國家法律法規(guī)和公司的制度規(guī)范內(nèi)展開,要建立健全I(xiàn)T業(yè)務(wù)外包過程中信息披露和檢查監(jiān)督及考核機(jī)制,建立一個功能完善的外包供應(yīng)商信息管理系統(tǒng),有效防范IT業(yè)務(wù)外包風(fēng)險,確保信息安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:IT業(yè)務(wù)外包風(fēng)險與安全防范舉措
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112188383.html