遍應(yīng)用,需求內(nèi)容變更、版本升級(jí)����、打補(bǔ)丁,很難做到每一次升級(jí)都對(duì)系統(tǒng)功能從頭到尾全面完整的測(cè)試�����,這使的軟件產(chǎn)品外包商及供應(yīng)鏈的透明度和可追溯性追蹤變得困難��,會(huì)存在后門的風(fēng)險(xiǎn)���。
11�、從內(nèi)控管理分析����,存在監(jiān)督與審計(jì)缺失風(fēng)險(xiǎn)。在IT業(yè)務(wù)外包合同執(zhí)行期間�����,銀行管理部門往往忽視了對(duì)外包商的財(cái)務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員進(jìn)行有效地監(jiān)督和管理�,忽視了對(duì)外包供應(yīng)商及供應(yīng)鏈公司的日常審計(jì)檢查,容易造成IT外包業(yè)務(wù)服務(wù)水平下降���。
二、IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全防范舉措
在控制IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全方面���,做到心中有底����、手中有招����、控制有術(shù)���,建立事前預(yù)防、事中控制�、事后監(jiān)督的三道防線。
在日常工作中�,各種外包風(fēng)險(xiǎn)的前期預(yù)兆是會(huì)表現(xiàn)出來(lái)的,關(guān)鍵是沒有及時(shí)發(fā)現(xiàn)����,馬上糾正或是對(duì)發(fā)現(xiàn)的問題思想麻痹,錯(cuò)誤擴(kuò)大化變成案件�,形成損失并為糾正錯(cuò)誤付出高昂代價(jià)。因此�����,把風(fēng)險(xiǎn)消滅在萌芽狀態(tài)�,才是風(fēng)險(xiǎn)控制的重點(diǎn)。
1�、制定IT業(yè)務(wù)外包戰(zhàn)略。銀監(jiān)會(huì)頒布的《銀行信息科技風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行外包風(fēng)險(xiǎn)管理指引》中對(duì)外包業(yè)務(wù)都提出了要求�,重點(diǎn)考慮IT業(yè)務(wù)外包要能促進(jìn)公司的科技業(yè)務(wù)發(fā)展、信息系統(tǒng)安全運(yùn)營(yíng)和科技業(yè)務(wù)管理水平���,緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃��,全面權(quán)衡外包的利益與風(fēng)險(xiǎn)�,決定將哪些IT業(yè)務(wù)外包,制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃�����。
2�����、建立IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理體系�。體系制定要做到統(tǒng)一框架,統(tǒng)一標(biāo)準(zhǔn)���、統(tǒng)一措施��、統(tǒng)一監(jiān)督管理�,內(nèi)容由IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理策略�、管理制度與規(guī)范�����、技術(shù)標(biāo)準(zhǔn)、指引���、流程�、操作手冊(cè)等組成��。通過制定風(fēng)險(xiǎn)與安全管理體系�����,指導(dǎo)公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理工作的開展��,使其符合國(guó)際�����、國(guó)內(nèi)的有關(guān)安全標(biāo)準(zhǔn)和我國(guó)的法律法規(guī);在公司內(nèi)部形成一個(gè)信息科技風(fēng)險(xiǎn)與安全管理機(jī)制���,確保落實(shí)�����,保護(hù)公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護(hù)����、檢測(cè)和應(yīng)急恢復(fù)等各項(xiàng)信息科技風(fēng)險(xiǎn)與安全管理指標(biāo)、原則和違規(guī)行為的處理措施;對(duì)與公司合作組織����、商業(yè)伙伴、承包商和服務(wù)提供者提出相關(guān)的安全約束����。
3、做好IT業(yè)務(wù)風(fēng)險(xiǎn)與安全的認(rèn)知與培訓(xùn)����。通過舉辦培訓(xùn)班、研討會(huì)�����、發(fā)送郵件�、贈(zèng)送報(bào)刊等方式,為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風(fēng)險(xiǎn)與安全方面知識(shí)的培訓(xùn)�����,通過持續(xù)不斷的培訓(xùn)學(xué)習(xí)���,掌握本公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理制度規(guī)范�����,提高全員風(fēng)險(xiǎn)與安全防范意識(shí)�����,積極參與信息科技風(fēng)險(xiǎn)與安全防范工作中���,形成全員參與信息科技安全管理的風(fēng)險(xiǎn)管理文化。
4�、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng),設(shè)計(jì)科學(xué)�����、全面的風(fēng)險(xiǎn)指標(biāo)評(píng)估體系�。西格瑪中有句名言:有什么樣的指標(biāo)、就有什么樣的結(jié)果��。建立科學(xué)的IT業(yè)務(wù)外包供應(yīng)商評(píng)估指標(biāo)體系���,有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標(biāo)��。該指標(biāo)體系需要從質(zhì)量��、成本��、交付���、服務(wù)�����、技術(shù)��、資產(chǎn)�、流程這些方面入手�,確定外包供應(yīng)商成立及上市時(shí)間、行業(yè)經(jīng)驗(yàn)�����、規(guī)模���、安全�、人力����、財(cái)務(wù)�����、問題響應(yīng)時(shí)間、是否有產(chǎn)品保險(xiǎn)�、企業(yè)文化以及各種認(rèn)證等重點(diǎn)內(nèi)容,詳細(xì)設(shè)計(jì)3K(KCS�����、KCSA和KRI)指標(biāo)�,每一項(xiàng)指標(biāo)都要給出相應(yīng)的分值區(qū)間,通過建立外包供應(yīng)商信息管理系統(tǒng)�,把設(shè)計(jì)的評(píng)估指標(biāo)納入系統(tǒng)中,詳細(xì)記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息�����,通過系統(tǒng)統(tǒng)計(jì)分析���,從而科學(xué)有效的評(píng)估外包供應(yīng)商的服務(wù)能力���。
三�、風(fēng)險(xiǎn)監(jiān)督
外包項(xiàng)目完成后��,銀行相關(guān)職能部門應(yīng)做好對(duì)外包項(xiàng)目從立項(xiàng)�����、招投標(biāo)�、建設(shè)、投產(chǎn)使用等全過程進(jìn)行檢查審計(jì)�����,主要做好如下幾方面工作����。
1、與完善規(guī)章制度相結(jié)合�����,實(shí)現(xiàn)各項(xiàng)工作制度化
在事后監(jiān)督檢查過程中�,加強(qiáng)檢查IT業(yè)務(wù)外包制度是否建立健