構(gòu)建商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)

1、構(gòu)建商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)張淮清“細(xì)”、“嚴(yán)”體現(xiàn)風(fēng)險(xiǎn)監(jiān)管新形勢(shì)當(dāng)前，信息技術(shù)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展沖擊著各個(gè)行業(yè)，而銀行業(yè)由于其自身服務(wù)特點(diǎn)成為廣泛引入信息技術(shù)的行業(yè)之一。從業(yè)務(wù)流程的電子化到服務(wù)渠道的網(wǎng)絡(luò)化，從客戶資源的系統(tǒng)化到?jīng)Q策支持的智能化，信息技術(shù)正逐步改變著傳統(tǒng)銀行業(yè)的運(yùn)營模式。新技術(shù)的大量采用必然引入了新的風(fēng)險(xiǎn)，給銀行業(yè)帶來了新的挑戰(zhàn)。為了保障中國銀行業(yè)健康有序發(fā)展，加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng)，銀監(jiān)會(huì)先后制定和發(fā)布了相關(guān)監(jiān)管指引。2009年，針對(duì)商業(yè)銀行信息科技的風(fēng)險(xiǎn)管理，銀監(jiān)會(huì)發(fā)布商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引，在信息科技治理、信息科技風(fēng)險(xiǎn)

2、管理、信息安全等八個(gè)方面提出了明確的要求，強(qiáng)調(diào)要加強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管。2010年，面對(duì)日益發(fā)展的銀行外包服務(wù)市場，銀監(jiān)會(huì)發(fā)布銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引，在組織架構(gòu)、風(fēng)險(xiǎn)管理和監(jiān)督管理等三個(gè)方面提出細(xì)致要求，強(qiáng)化外包風(fēng)險(xiǎn)監(jiān)管。2013年，針對(duì)商業(yè)銀行信息科技外包，銀監(jiān)會(huì)發(fā)布銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引，在外包管理組織架構(gòu)、信息科技外包戰(zhàn)略與風(fēng)險(xiǎn)管理、信息科技外包管理等七個(gè)方面提出了專項(xiàng)要求，深化了信息科技外包風(fēng)險(xiǎn)的監(jiān)管要素。由此可見，“細(xì)”和“嚴(yán)”體現(xiàn)了銀監(jiān)會(huì)對(duì)商業(yè)銀行的風(fēng)險(xiǎn)監(jiān)管趨勢(shì)?！凹?xì)”主要體現(xiàn)在：2010年發(fā)布的監(jiān)管指引在組織架構(gòu)、風(fēng)險(xiǎn)管理和監(jiān)督管理三個(gè)方面提出監(jiān)管要求，每個(gè)

3、方面提出的監(jiān)管要求力度比較粗；2013年發(fā)布的監(jiān)管指引，明確針對(duì)商業(yè)銀行信息科技業(yè)務(wù)外包，從外包管理組織架構(gòu)、信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理、信息科技外包管理、機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理、跨境及非駐場外包管理、銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)管理要求及監(jiān)督管理七個(gè)方面提出細(xì)致要求。如在2010年監(jiān)管指引中，沒有對(duì)外包管理執(zhí)行團(tuán)隊(duì)的職責(zé)進(jìn)行要求，而2013年指引中明確做了要求。“嚴(yán)”主要體現(xiàn)在：銀監(jiān)會(huì)發(fā)布的指引隨著時(shí)間的推移在具體要求上更加量化和嚴(yán)格。如在2010年的指引中只是提到進(jìn)行定期的風(fēng)險(xiǎn)評(píng)價(jià)，而在2013年發(fā)布的指引中更加明確和量化了監(jiān)管要求，“銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理部門應(yīng)當(dāng)至少每年開展一次全面的

4、外包風(fēng)險(xiǎn)管理評(píng)估”，相比原來新發(fā)布的監(jiān)管指引更加嚴(yán)格，對(duì)商業(yè)銀行提出了更高的要求。完善的IT風(fēng)險(xiǎn)治理架構(gòu)是基礎(chǔ)和保障商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)意義隨著商業(yè)銀行對(duì)信息系統(tǒng)依賴性不斷增加，由此帶來的風(fēng)險(xiǎn)、利益和機(jī)會(huì)使得IT風(fēng)險(xiǎn)治理成為商業(yè)銀行治理中至為關(guān)鍵的一個(gè)方面，完善的IT風(fēng)險(xiǎn)治理架構(gòu)是商業(yè)銀行風(fēng)險(xiǎn)管理體系的基礎(chǔ)和保障。一個(gè)成功的IT風(fēng)險(xiǎn)治理架構(gòu)可以幫助商業(yè)銀行達(dá)到以下目標(biāo)：監(jiān)管合規(guī)。建立健全I(xiàn)T風(fēng)險(xiǎn)治理架構(gòu)，實(shí)現(xiàn)對(duì)IT風(fēng)險(xiǎn)的有效識(shí)別和管理，滿足不斷提高的監(jiān)管要求，滿足未來銀行信用評(píng)級(jí)的剛性需求。目標(biāo)一致。IT風(fēng)險(xiǎn)治理必須與商業(yè)銀行戰(zhàn)略目標(biāo)一致，是銀行戰(zhàn)略規(guī)劃的重要組成部分，因此IT風(fēng)險(xiǎn)治理要從

5、組織目標(biāo)和信息化戰(zhàn)略中抽取信息安全需求和功能需求，形成總體的IT風(fēng)險(xiǎn)治理框架，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。降低風(fēng)險(xiǎn)。IT風(fēng)險(xiǎn)治理強(qiáng)調(diào)風(fēng)險(xiǎn)管理，通過制訂信息資源的保護(hù)級(jí)別，強(qiáng)化關(guān)鍵的信息技術(shù)資源，有效地進(jìn)行實(shí)施監(jiān)控和事故處理，此外它還能保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制IT投資、規(guī)劃、建設(shè)、運(yùn)營。資源高效。IT風(fēng)險(xiǎn)治理可以合理利用與協(xié)調(diào)商業(yè)銀行的信息資源，并進(jìn)行有效管理，以確保IT及時(shí)按照目標(biāo)交付，且有合適的功能和期望的收益，另外也要盡量避免信息化工程超期、IT客戶的需求沒有滿足、IT平臺(tái)不支持業(yè)務(wù)應(yīng)用等問題的發(fā)生。商業(yè)銀行IT風(fēng)險(xiǎn)治理標(biāo)準(zhǔn)架構(gòu)商業(yè)銀行IT治理是圍繞著IT投資

6、決策的治理過程，一個(gè)優(yōu)秀和標(biāo)準(zhǔn)的IT風(fēng)險(xiǎn)治理架構(gòu)主要包含如下四個(gè)方面：一是組織結(jié)構(gòu)，即由誰負(fù)責(zé)決策，組織結(jié)構(gòu)的形式如何，組織結(jié)構(gòu)中各成員的責(zé)任分別是什么；二是流程，即如何規(guī)范和執(zhí)行日常業(yè)務(wù)操作，針對(duì)每個(gè)操作相應(yīng)的流程是什么；三是制度，即制訂哪些方面的IT風(fēng)險(xiǎn)管理制度；四是技術(shù)，即采用什么樣的技術(shù)措施固化IT風(fēng)險(xiǎn)管理流程和制度，保障商業(yè)銀行業(yè)務(wù)系統(tǒng)安全可靠的運(yùn)行。銀行IT風(fēng)險(xiǎn)治理架構(gòu)方案探討我國商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)特點(diǎn)國有商業(yè)銀行“風(fēng)險(xiǎn)程度大，抗風(fēng)險(xiǎn)能力強(qiáng)”系統(tǒng)大多依靠自身力量完成，IT風(fēng)險(xiǎn)治理的重點(diǎn)聚焦在“完善自身組織的IT治理架構(gòu)”。一方面，國有商業(yè)銀行由于信息技術(shù)架構(gòu)龐大、設(shè)施復(fù)雜、涉及的

7、內(nèi)容繁多，因而可能存在的脆弱性種類多，范圍大；其在國家金融體系、公眾生活中所處的舉足輕重的地位，往往又使其成為黑客攻擊的首選目標(biāo)，其面臨的外部威脅種類多，危害大。另一方面，由于業(yè)務(wù)規(guī)模大，且具有國家信用背景，國有商業(yè)銀行具有較強(qiáng)的抗風(fēng)險(xiǎn)能力；同時(shí)，國有商業(yè)銀行資金實(shí)力雄厚，信息化基礎(chǔ)好，技術(shù)力量強(qiáng)大，系統(tǒng)的開發(fā)、建設(shè)和運(yùn)維一般都自行完成，國有商業(yè)銀行的IT風(fēng)險(xiǎn)治理的重點(diǎn)是建立和完善自身組織的IT治理架構(gòu)。城市商業(yè)銀行“風(fēng)險(xiǎn)區(qū)域化，抗風(fēng)險(xiǎn)能力弱”系統(tǒng)或多或少需要借助外部力量，IT風(fēng)險(xiǎn)治理的重點(diǎn)不僅需要“完善自身組織的IT治理架構(gòu)”，同時(shí)還要聚焦在“IT外包組織的IT治理架構(gòu)”。一方面，城市商業(yè)銀

8、行業(yè)務(wù)具有明顯的區(qū)域性與地方性，因而其信息風(fēng)險(xiǎn)也具有地域性。很多城市商業(yè)銀行在當(dāng)?shù)負(fù)碛虚T類齊全的業(yè)務(wù)，受關(guān)注度較高，甚至超過國有商業(yè)銀行，因而在局部地區(qū)，其面臨的信息風(fēng)險(xiǎn)種類繁多，風(fēng)險(xiǎn)度大。另一方面，城商行信息化資金投入少，技術(shù)人員不足，其風(fēng)險(xiǎn)管理水平比較低下，需要借助專業(yè)信息科技外包服務(wù)提供商，增強(qiáng)信息化支撐力量，因此其IT風(fēng)險(xiǎn)治理的重點(diǎn)不僅需要完善自身組織的IT治理結(jié)構(gòu)，同時(shí)還要強(qiáng)化外包組織的IT風(fēng)險(xiǎn)治理，符合監(jiān)管機(jī)構(gòu)的合規(guī)性要求。鑒于兩類商業(yè)銀行規(guī)模實(shí)力、組織架構(gòu)、信息系統(tǒng)風(fēng)險(xiǎn)特點(diǎn)、抗風(fēng)險(xiǎn)能力以及IT治理的聚焦不同，下面我們分別就國有商業(yè)銀行和城市商業(yè)銀行進(jìn)行IT風(fēng)險(xiǎn)治理架構(gòu)淺析。國有商

9、業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)國有商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)是參照商業(yè)銀行IT風(fēng)險(xiǎn)治理標(biāo)準(zhǔn)架構(gòu)從組織架構(gòu)、流程、制度和技術(shù)等方面進(jìn)行構(gòu)建和完善。組織架構(gòu)國有商業(yè)銀行應(yīng)由董事會(huì)、高管層、信息技術(shù)委員會(huì)、風(fēng)險(xiǎn)管理委員會(huì)負(fù)責(zé)信息科技風(fēng)險(xiǎn)戰(zhàn)略和政策制訂、治理結(jié)構(gòu)建立、資源配置等工作，明確IT風(fēng)險(xiǎn)管理機(jī)構(gòu)在全行風(fēng)險(xiǎn)管理組織體系中的定位，明確各業(yè)務(wù)條線、各業(yè)務(wù)支持保障部門、各級(jí)機(jī)構(gòu)的IT風(fēng)險(xiǎn)管理職責(zé)，構(gòu)建職能部門參與全行的IT風(fēng)險(xiǎn)“三道防線”的管理。具體組織機(jī)構(gòu)設(shè)置如圖1所示。風(fēng)險(xiǎn)管理委員會(huì)。風(fēng)險(xiǎn)管理委員會(huì)設(shè)置在總行，由高級(jí)管理者和內(nèi)部專家組成，是一個(gè)獨(dú)立的組織機(jī)構(gòu)。主要負(fù)責(zé)銀行所有風(fēng)險(xiǎn)的管理、監(jiān)督和指導(dǎo)，以及負(fù)責(zé)

10、制訂符合企業(yè)發(fā)展戰(zhàn)略的風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策。IT風(fēng)險(xiǎn)管理部門。銀行中領(lǐng)導(dǎo)并負(fù)責(zé)IT風(fēng)險(xiǎn)管理的機(jī)構(gòu)，一般由首席信息官（CIO）負(fù)責(zé)領(lǐng)導(dǎo)。其主要職責(zé)為制訂IT風(fēng)險(xiǎn)管理流程，在事故發(fā)生時(shí)負(fù)責(zé)業(yè)務(wù)的恢復(fù)。IT風(fēng)險(xiǎn)管理部分別在總行、分行及支行設(shè)置，并配備相應(yīng)人員。IT風(fēng)險(xiǎn)經(jīng)理。負(fù)責(zé)對(duì)具體的IT風(fēng)險(xiǎn)節(jié)點(diǎn)進(jìn)行管控，同時(shí)根據(jù)IT風(fēng)險(xiǎn)預(yù)測(cè)制訂相應(yīng)的操作規(guī)范及應(yīng)急措施。從本質(zhì)上講IT風(fēng)險(xiǎn)經(jīng)理是銀行內(nèi)部負(fù)責(zé)具體風(fēng)險(xiǎn)管理操作的人員。信息技術(shù)管理部。協(xié)助IT風(fēng)險(xiǎn)經(jīng)理完成對(duì)項(xiàng)目風(fēng)險(xiǎn)的監(jiān)控與管理。信息技術(shù)管理分別在總行、分行及支行設(shè)置，并配備相應(yīng)人員。其他相關(guān)部門。這些部門包括審計(jì)部門以及各業(yè)務(wù)部門和資產(chǎn)評(píng)估部門。主

11、要職責(zé)是配合進(jìn)行IT風(fēng)險(xiǎn)治理。流程IT治理流程是保證相關(guān)部門采用規(guī)范與合理的步驟進(jìn)行IT活動(dòng)。根據(jù)信息系統(tǒng)生命周期的特點(diǎn)，IT治理流程可分為事前、事中和事后三類，事前主要指信息系統(tǒng)規(guī)劃和建設(shè)階段，事中主要指信息系統(tǒng)運(yùn)營、維護(hù)階段，主要包括三個(gè)類別:一是IT運(yùn)維管理類，主要從銀行的數(shù)據(jù)（系統(tǒng)）中心運(yùn)維的角度出發(fā)設(shè)計(jì)主要的信息系統(tǒng)維護(hù)流程，包括系統(tǒng)監(jiān)控流程、安全管理流程、備份管理流程、系統(tǒng)升級(jí)/維護(hù)流程；二是IT服務(wù)管理類，主要根據(jù)ITIL的理念并結(jié)合銀行的實(shí)際情況設(shè)計(jì)服務(wù)臺(tái)/事件管理流程、問題管理流程、配置管理流程、變更管理流程和發(fā)布管理流程；三是IT綜合管理類，主要包括設(shè)備采購管理流程、設(shè)備報(bào)

12、廢流程、檔案管理流程和外包管理流程。事后包括管理階段（審計(jì)、評(píng)價(jià)），每個(gè)階段都需要設(shè)計(jì)和制訂相應(yīng)的IT治理流程，用于規(guī)范本階段的IT活動(dòng)。制度按照信息化工作涵蓋的幾個(gè)方面，即信息系統(tǒng)規(guī)劃、建設(shè)、整合、維護(hù)、管理，信息資源管理和開發(fā)利用，需要制訂相應(yīng)IT風(fēng)險(xiǎn)管理制度。包括：信息分級(jí)與保護(hù)風(fēng)險(xiǎn)管理制度；信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)管理制度；信息科技運(yùn)行和維護(hù)管理制度；訪問控制管理制度；物理安全管理制度；人員安全管理制度；業(yè)務(wù)連續(xù)性與應(yīng)急處置管理制度。技術(shù)國有商業(yè)銀行應(yīng)該構(gòu)建全面的信息科技風(fēng)險(xiǎn)監(jiān)測(cè)和保障體系，給信息系統(tǒng)建立一道抵御風(fēng)險(xiǎn)的有力屏障。一方面，商業(yè)銀行應(yīng)該對(duì)信息系統(tǒng)的運(yùn)行狀況進(jìn)行全程監(jiān)控，主干

13、網(wǎng)絡(luò)是否通暢、自助設(shè)備是否正常運(yùn)行、數(shù)據(jù)庫系統(tǒng)是否正常服務(wù)、是否有網(wǎng)絡(luò)遭受外部非法入侵等都必須納入實(shí)時(shí)監(jiān)控范圍，以保障在發(fā)生故障的第一時(shí)間作出響應(yīng)。另一方面，商業(yè)銀行必須未雨綢繆，制訂應(yīng)急預(yù)案，做好業(yè)務(wù)連續(xù)性規(guī)劃、業(yè)務(wù)恢復(fù)機(jī)制、風(fēng)險(xiǎn)化解和轉(zhuǎn)移措施、數(shù)據(jù)備份方案等多方面的工作，并加強(qiáng)災(zāi)備演練，以保障在突如其來的災(zāi)難性事故面前，能從容應(yīng)對(duì)，迅速恢復(fù)生產(chǎn)，盡可能降低事故造成的損失。城市商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)城市商業(yè)銀行在參照標(biāo)準(zhǔn)的商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)外，還需重點(diǎn)對(duì)信息科技外包的風(fēng)險(xiǎn)進(jìn)行管控，并在如下幾個(gè)方面進(jìn)行改進(jìn)和完善。組織機(jī)構(gòu)方面的調(diào)整城市商業(yè)銀行的IT風(fēng)險(xiǎn)組織架構(gòu)除了設(shè)置風(fēng)險(xiǎn)管理委員會(huì)、

14、IT風(fēng)險(xiǎn)管理部和信息技術(shù)部之外，還需新設(shè)立三個(gè)專家組，重點(diǎn)實(shí)現(xiàn)IT外包管理和風(fēng)險(xiǎn)控制，分別是發(fā)展戰(zhàn)略組、法律事務(wù)組、實(shí)施監(jiān)察組，分工合作對(duì)IT外包的實(shí)施進(jìn)行不同階段控制。其組織架構(gòu)調(diào)整如圖2所示。這三個(gè)組的具體人員構(gòu)成和職責(zé)如下：發(fā)展戰(zhàn)略組。發(fā)展戰(zhàn)略組由行內(nèi)戰(zhàn)略規(guī)劃專家、各部門熟悉本行業(yè)務(wù)信息流關(guān)系的代表、信息技術(shù)專家以及資源外包咨詢銀行的人員組成，組織機(jī)構(gòu)設(shè)置在總行。IT外包的管理過程中發(fā)展戰(zhàn)略組主要負(fù)責(zé)實(shí)施前調(diào)查研究國內(nèi)外行業(yè)、競爭對(duì)手以及自身的信息化現(xiàn)狀；找出實(shí)施信息化的自身優(yōu)勢(shì)、制約因素；辨識(shí)本行信息技術(shù)的核心競爭能力；在收益、成本和風(fēng)險(xiǎn)之間進(jìn)行平衡并進(jìn)行外包決策，明確IT外包范圍；把

15、IT外包部分納入本行的信息化總體架構(gòu)和信息技術(shù)應(yīng)用架構(gòu)中，包括外包的指導(dǎo)思想、總體目標(biāo)、分階段目標(biāo)；制訂IT外包的建設(shè)技術(shù)標(biāo)準(zhǔn)，保證信息系統(tǒng)建設(shè)的連貫性和一致性；設(shè)計(jì)外包方案避免重復(fù)投資與信息孤島，保障信息安全，評(píng)價(jià)外包服務(wù)商的技術(shù)等級(jí)、發(fā)展能力，選擇外包服務(wù)商；制訂經(jīng)費(fèi)預(yù)算，建立組織保障體系、評(píng)價(jià)指標(biāo)體系；制訂培訓(xùn)工作計(jì)劃。發(fā)展戰(zhàn)略組在整個(gè)IT外包的過程中的作用，概括起來主要是“把握命運(yùn)，尋找方向，制訂規(guī)劃，明確范圍”。法律事務(wù)組。法律事務(wù)組由對(duì)IT外包業(yè)務(wù)非常熟悉的高級(jí)管理人員負(fù)責(zé)，由深入理解行內(nèi)需求和發(fā)展戰(zhàn)略的專家（指發(fā)展戰(zhàn)略組成員或代表）、外包咨詢專家、實(shí)施監(jiān)察組代表、費(fèi)用預(yù)算人員和法

16、律顧問組成，組織機(jī)構(gòu)設(shè)置在總行。法律事務(wù)組的主要職責(zé)包括：在外包范圍明確后，協(xié)助發(fā)展戰(zhàn)略組，根據(jù)本行信息技術(shù)要求，所需的硬件、軟件、服務(wù)、成本與時(shí)間等提出量化和測(cè)度的要求，制訂項(xiàng)目建議書；在外包談判中，將外包實(shí)施方案、實(shí)施戰(zhàn)略變成可操作的、可控制的、具有法律意義的、適應(yīng)性強(qiáng)的協(xié)議或合同，明確銀行與外包服務(wù)商的職責(zé)范圍、信息系統(tǒng)質(zhì)量指標(biāo)、性能測(cè)量度以及性能達(dá)標(biāo)期限，在每個(gè)重要的階段未能履約的罰款，服務(wù)水平的保障措施，爭議的解決和合同的解釋協(xié)議條款；在外包實(shí)施過程中，協(xié)助實(shí)施監(jiān)察組工作，解決實(shí)施過程中爭議，處理相應(yīng)法律事務(wù)，避免由于合同設(shè)計(jì)中出現(xiàn)的漏洞而陷入無窮無盡的糾紛中。實(shí)施監(jiān)察組。實(shí)施監(jiān)察組

17、主要由信息技術(shù)專業(yè)人員、合同協(xié)議管理人員、協(xié)調(diào)人員組成。實(shí)施監(jiān)察組充當(dāng)?shù)氖呛贤芾砣藛T、服務(wù)人員的角色，組織機(jī)構(gòu)設(shè)置在總行和各支行。實(shí)施監(jiān)察組的主要職責(zé)是在簽署外包合同后，項(xiàng)目實(shí)施過程中對(duì)外包服務(wù)過程進(jìn)行全面監(jiān)督、協(xié)調(diào)和控制管理。一方面要嚴(yán)格堅(jiān)持合同條款，確認(rèn)外包服務(wù)商提供的產(chǎn)品、服務(wù)是否符合合同規(guī)定或協(xié)議要求，是否滿足需要，確保外包服務(wù)到位，自身利益不受損害；監(jiān)督評(píng)價(jià)外包項(xiàng)目各階段進(jìn)展情況以及外包服務(wù)商對(duì)合同的實(shí)施狀況。另一方面協(xié)調(diào)業(yè)務(wù)部門和外包服務(wù)商之間的關(guān)系，與外包服務(wù)商建立爭議解決機(jī)制，隨時(shí)糾正外包服務(wù)商偏離合同的行為，避免使用經(jīng)濟(jì)和法律制裁等消極合作手段。流程方面的調(diào)整城市商業(yè)銀行由

18、于自身?xiàng)l件所限，通常會(huì)采用信息科技外包服務(wù)，這就要求城市商業(yè)銀行加強(qiáng)對(duì)外包服務(wù)商的風(fēng)險(xiǎn)管理，同時(shí)配合銀監(jiān)會(huì)的監(jiān)管和檢查。需要增加針對(duì)信息科技外包相關(guān)的IT風(fēng)險(xiǎn)治理流程，包括對(duì)服務(wù)提供商的評(píng)價(jià)流程、服務(wù)提供商盡職調(diào)查流程、外包服務(wù)法律事務(wù)流程，對(duì)服務(wù)提供商安全檢查流程、外包服務(wù)監(jiān)控與評(píng)價(jià)流程。制度方面的調(diào)整建立外包服務(wù)提供商的評(píng)級(jí)準(zhǔn)入制度。選擇合適的外包服務(wù)商無疑是外包成功的關(guān)鍵。通過資格認(rèn)證建立市場準(zhǔn)入的硬性條件，有利于保證服務(wù)質(zhì)量實(shí)現(xiàn)外包目標(biāo)。對(duì)外包服務(wù)商的考察主要從技術(shù)能力、經(jīng)營管理能力、發(fā)展能力這三個(gè)主要方面：一是技術(shù)能力，外包服務(wù)商提供的信息技術(shù)產(chǎn)品是否具備創(chuàng)新性、開放性、安全性、兼容

19、性，是否擁有較高的市場占有率，能否實(shí)現(xiàn)信息數(shù)據(jù)的共享；是否具有信息技術(shù)方面的資格認(rèn)證；是否了解金融行業(yè)特點(diǎn)，能夠拿出真正適合商業(yè)銀行業(yè)務(wù)的解決方案；信息系統(tǒng)的設(shè)計(jì)方案中是否應(yīng)用了穩(wěn)定、成熟的信息技術(shù)，是否符合銀行發(fā)展的要求，與充分體現(xiàn)了銀行以客戶為中心的服務(wù)理念；是否具備對(duì)大型設(shè)備的運(yùn)行、維護(hù)、管理經(jīng)驗(yàn)和多系統(tǒng)整合能力；是否擁有對(duì)高新技術(shù)深入理解的技術(shù)專家和項(xiàng)目管理人員。二是經(jīng)營管理能力，了解外包服務(wù)商的領(lǐng)導(dǎo)層結(jié)構(gòu)、員工素質(zhì)、客戶數(shù)量、社會(huì)評(píng)價(jià)；項(xiàng)目管理水平，如軟件工程工具、質(zhì)量保證體系、成本控制、配置管理方法、管理和技術(shù)人員的老化率或流動(dòng)率；是否具備能夠證明其良好運(yùn)營管理能力的成功案例；員工間是否具備團(tuán)隊(duì)合作精神，外包服務(wù)商客戶的滿意程度。三是發(fā)展能力，通過考察外包服務(wù)商的各項(xiàng)財(cái)務(wù)指標(biāo)，了解其盈利能力；考察外包服務(wù)商的外包市場份額；在信息技術(shù)領(lǐng)域內(nèi)的產(chǎn)品創(chuàng)新率等。建立外包業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)控機(jī)制。保障外包服務(wù)商行為規(guī)范的基本方法是監(jiān)督和控制。監(jiān)督是觀察、收集資料，對(duì)照已經(jīng)建立起來的標(biāo)準(zhǔn)和尺度分析外包服務(wù)商是否在做他應(yīng)該做的事情。如果發(fā)現(xiàn)外包服務(wù)商偏離了預(yù)定的行為目標(biāo)，就需要采取控制措施，使外包服務(wù)商重新回到正確的軌道上去。監(jiān)督可以從宏觀和微觀兩個(gè)層面上進(jìn)行，宏觀上密切關(guān)注信息技術(shù)、外包市場的發(fā)展，以及銀行自身經(jīng)營環(huán)境