0、從內(nèi)控管理分析�,存在監(jiān)督與審計缺失風(fēng)險��。在IT業(yè)務(wù)外包合同執(zhí)行期間�,銀行管理部門往往忽視了對外包商的財務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員進行有效地監(jiān)督和管理��,忽視了對外包供應(yīng)商及供應(yīng)鏈公司的日常審計檢查�,容易造成IT外包業(yè)務(wù)服務(wù)水平下降�����。
11�����、從軟件方面分析�,存在后門的風(fēng)險。在銀行軟件產(chǎn)品開發(fā)過程中����,商業(yè)化的組件和中間件得到普遍應(yīng)用����,需求內(nèi)容變更、版本升級���、打補丁�����,很難做到每一次升級都對系統(tǒng)功能從頭到尾全面完整的測試�����,這使的軟件產(chǎn)品外包商及供應(yīng)鏈的透明度和可追溯性追蹤變得困難����,會存在后門的風(fēng)險。
二����、IT業(yè)務(wù)外包風(fēng)險與安全防范舉措
在控制IT業(yè)務(wù)外包風(fēng)險與安全方面,做到心中有底���、手中有招����、控制有術(shù)�,建立事前預(yù)防、事中控制���、事后監(jiān)督的三道防線�。
(一)事前預(yù)防
在日常工作中�����,各種外包風(fēng)險的前期預(yù)兆是會表現(xiàn)出來的,關(guān)鍵是沒有及時發(fā)現(xiàn)�,馬上糾正或是對發(fā)現(xiàn)的問題思想麻痹,錯誤擴大化變成案件�����,形成損失并為糾正錯誤付出高昂代價�。因此,把風(fēng)險消滅在萌芽狀態(tài)���,才是風(fēng)險控制的重點�。
1�����、制定IT業(yè)務(wù)外包戰(zhàn)略�����。銀監(jiān)會頒布的《銀行信息科技風(fēng)險管理指引》和《商業(yè)銀行外包風(fēng)險管理指引》中對外包業(yè)務(wù)都提出了要求����,重點考慮IT業(yè)務(wù)外包要能促進公司的科技業(yè)務(wù)發(fā)展、信息系統(tǒng)安全運營和科技業(yè)務(wù)管理水平����,緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃,全面權(quán)衡外包的利益與風(fēng)險�����,決定將哪些IT業(yè)務(wù)外包���,制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃�。
2�����、建立IT業(yè)務(wù)風(fēng)險與安全管理體系�。體系制定要做到統(tǒng)一框架,統(tǒng)一標準��、統(tǒng)一措施�����、統(tǒng)一監(jiān)督管理��,內(nèi)容由IT業(yè)務(wù)風(fēng)險與安全管理策略、管理制度與規(guī)范��、技術(shù)標準���、指引�����、流程���、操作手冊等組成。通過制定風(fēng)險與安全管理體系����,指導(dǎo)公司IT業(yè)務(wù)風(fēng)險與安全管理工作的開展,使其符合國際�、國內(nèi)的有關(guān)安全標準和我國的法律法規(guī);在公司內(nèi)部形成一個信息科技風(fēng)險與安全管理機制,確保落實����,保護公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護、檢測和應(yīng)急恢復(fù)等各項信息科技風(fēng)險與安全管理指標��、原則和違規(guī)行為的處理措施;對與公司合作組織�����、商業(yè)伙伴��、承包商和服務(wù)提供者提出相關(guān)的安全約束�����。項目管理者聯(lián)盟
3�����、做好IT業(yè)務(wù)風(fēng)險與安全的認知與培訓(xùn)�����。通過舉辦培訓(xùn)班�、研討會、發(fā)送郵件���、贈送報刊等方式�,為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風(fēng)險與安全方面知識的培訓(xùn)�,通過持續(xù)不斷的培訓(xùn)學(xué)習(xí),掌握本公司IT業(yè)務(wù)風(fēng)險與安全管理制度規(guī)范,提高全員風(fēng)險與安全防范意識����,積極參與信息科技風(fēng)險與安全防范工作中,形成全員參與信息科技安全管理的風(fēng)險管理文化���。
4�����、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng)�,設(shè)計科學(xué)���、全面的風(fēng)險指標評估體系����。6西格瑪中有句名言:有什么樣的指標�����、就有什么樣的結(jié)果��。建立科學(xué)的IT業(yè)務(wù)外包供應(yīng)商評估指標體系�����,有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標。該指標體系需要從質(zhì)量�����、成本��、交付��、服務(wù)�����、技術(shù)����、資產(chǎn)�����、流程這些方面入手����,確定外包供應(yīng)商成立及上市時間、行業(yè)經(jīng)驗、規(guī)模���、安全���、人力、財務(wù)����、問題響應(yīng)時間、是否有產(chǎn)品保險����、企業(yè)文化以及各種認證等重點內(nèi)容,詳細設(shè)計3K(KCS�、KCSA和KRI)指標,每一項指標都要給出相應(yīng)的分值區(qū)間��,通過建立外包供應(yīng)商信息管理系統(tǒng)����,把設(shè)計的評估指標納入系統(tǒng)中,詳細記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息��,通過系統(tǒng)統(tǒng)計分析�����,從而科學(xué)有效的評估外包供應(yīng)商的服務(wù)能力。
(二)事中控制
銀行與外包合作商簽署合同�,項目正式進入合作操作階段,在日常IT項目運營過程中��,銀行作為甲