IT外包有何风险及如何防范？

在控制it外包风险与安全方面，做到心中有底、手中有招、控制有术，建立事前预防、事中控制、事后监督的三道防线。（一）事前预防

在日常工作中，各种外包风险的前期预兆是会表现出来的，关键是没有及时发现，马上纠正或是对发现的问题思想麻痹，错误扩大化变成案件，形成损失并为纠正错误付出高昂代价。因此，把风险消灭在萌芽状态，才是风险控制的重点。

1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求，重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平，紧密配合公司业务发展规划，全面权衡外包的利益与风险，决定将哪些IT业务外包，制定IT业务外包战略规划。

2、建立IT业务风险与安全管理体系。体系制定要做到统一框架，统一标准、统一措施、统一监督管理，内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、操作手册等组成。通过制定风险与安全管理体系，指导公司IT业务风险与安全管理工作的开展，使其符合国际、国内的有关安全标准和我国的法律法规；在公司内部形成一个信息科技风险与安全管理机制，确保落实，保护公司所有信息科技资源和资产的安全；明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施；对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟

3、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式，为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训，通过持续不断的培训学习，掌握本公司IT业务风险与安全管理制度规范，提高全员风险与安全防范意识，积极参与信息科技风险与安全防范工作中，形成全员参与信息科技安全管理的风险管理文化。

4、建立IT业务外包供应商信息管理系统，设计科学、全面的风险指标评估体系。西格玛中有句名言：有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系，有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手，确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容，详细设计3K（KCS、KCSA和KRI）指标，每一项指标都要给出相应的分值区间，通过建立外包供应商信息管理系统，把设计的评估指标纳入系统中，详细记录外包供应商及其供应链上的各方面信息，通过系统统计分析，从而科学有效的评估外包供应商的服务能力。

（二）事中控制

银行与外包合作商签署合同，项目正式进入合作操作阶段，在日常IT项目运营过程中，银行作为甲方应做好如下几方面的工作。

1、认真执行制度、不断完善制度

从出现的有关银行计算机系统风险安全与犯罪案件分析中，大多数都是因为没有章不循，没有按制度办事，按业务处理流程办事造成的，这就要求银行加强对制度执行严肃性的管理，违章必究，否则制定的各项制度规范形同虚设，起不到应用的作用。同时，还要注意IT业务外包供应商风险与安全管理制度规范建设与信息系统同步规划、同步建设、同步管理，能紧随银行信息科技业务的发展、环境的变化、中心工作的更替、创新的要求，及时得到调整、修订和补充。

2、选择适合自己的外包供应商，签署合作合同

签署合同是IT业务外包不可避免的风险。因此，根据前期对市场的调研分析，搜集的供应商信息，寻找合格的IT服务供应商，询价和报价，通过招投标方式，建立适合公司科技与业务经营发展需要的供应商，并协同法律部门做好外包合同文本的制定和签署，合理规避和防范合同风险的发生。

3、加强与外包供应商的合作与交流

一旦项目签署合同开始启动，银行作为甲方要提供项目研发办公条件，尽快让外包商到行里来工作，向同事一样给予相关方面的必要帮助。同时，银行科技人员以及业务人员要参与到项目建设中，既可以让自己的技术和业务人员与外包公司技术人员熟悉、了解掌握产品技术性能和业务功能，便于项目研发过程中问题的沟通交流，还可以全程对项目进度、质量进行跟踪，以便于在规定的时间内，高质量的完成软件项目的研发投产，让项目利益所有者都满意。

4、建立外包供应商服务评价体系

因很多外包公司特别是跨国公司，外包、分包普遍存在，也就降低了供应链的透明性和可追溯性，有意无意的形成漏洞，加大了供应链风险。所以，要采取日常业绩跟踪和阶段性评比方法，更加深入的了解外包供应商及其供应链的一些情况，避免信息不对称，便于更好地建立外包供应商信息管理系统，根据有关业绩的跟踪记录，对供应商的业绩表现进行综合考核，全面、正确的评价外包商工作情况。

5、做好项目建设的计划与控制

为避免人员频繁变动、项目延期、交付的技术文档不齐全及系统上线后支持服务跟不上等现象。要求银行科技人员与外包项目经理及项目组成员建立项目进度与质量控制沟通机制（如周例会、项目周报、问题跟踪管理报告等），定期监测与度量项目进展情况，识别有否偏离计划之处，及时发现问题、反馈问题、了解原因、解决问题，确保实现项目目标。

6、建立应急管理机制，保持业务持续性

你不能防范每种风险，但是你却可以迅速发现问题，并提前思考解决方法，动员所有的选择，这才是风险与安全管理的精髓。银行要制定可行的外包供应商应急管理计划，项目外包会使得银行对外包供应商产生依赖，如果外包供应商不能如期履行合同，而导致银行业务中断所引起的后果必须高度重视。这就需要银行要严格审查外包供应商提供的执行方案，并针对外包供应商不履行合同或者发生紧急事件制定应急应对方案。

（三）事后监督

外包项目完成后，银行相关职能部门应做好对外包项目从立项、招投标、建设、投产使用等全过程进行检查审计，主要做好如下几方面工作。

1、与完善规章制度相结合，实现各项工作制度化

在事后监督检查过程中，加强检查IT业务外包制度是否建立健全、科学有效、符合工作实际，不断完善规章制度，使外包各项工作有章可依，工作制度化。

2、与奖惩相结合，维护法规与制度的严肃性

适当的处罚，能促进责任人改正错误，增强法律法规观念，更好的促进工作，依据制定的IT业务外包风险与安全管理制度规范，检查项目外包实施过程中各项工作是否按制度办事，针对检查出来的问题，要查明原因，对于不按制度办事的违章行为要给予处罚，做的好的要表彰，做到奖罚分明，维护制度的严肃性。

3、与内审计相结合，制定外审策略

在做好内审的同时，也可以邀请外审机构对外包商以及外包供应链上公司的风险与安全管理能力等进行全面的评估。

4、与规范化管理相结合，实现业务操作程序化

事后监督工作要深入到科技业务一线，认真执行规范化操作规程，从细节入手，查找不足、堵塞漏洞，促进外包供应商管理制度化、程序化、规范化。

5、与IT服务内容相结合，做好多外包商的监督管理

监督、定期重新评估外包风险，并把所搜集信息和评估结果纳入外包供应商信息系统管理，通过合同和SLA协议管理供应商，要注重周期性地审查外包合同，并根据环境和银行业务发展的需要及时修改合同、重新设定外包服务标准。

总的来说，it外包要在国家法律法规和公司的制度规范内展开，要建立健全IT业务外包过程中信息披露和检查监督及考核机制，建立一个功能完善的外包供应商信息管理系统，有效防范IT业务外包风险，确保信息安全。

参考资料：

风险应对策略的降低技术风险的一般策略

1.强化团队支持，避免独立的项目结构。通过有效的团队建设增进团队之间的项目支持，可以有效地避免一些技术风险。

2.高项目经理的权限。有些问题可以在项目经理的层次解决而不需向更高一层汇报，这样可以有效地缩短解决风险的时间。

3.改善沟通和问题解决。同时还可以通过改善沟通，加强和改善信息流通来促使一些问题得到合理解决。

4.经常性地进行项目监督及项目检查和管理。

5.细化WBS，使用网络计划。在项目计划阶段通过细化工作包，采用网络计划等一些比较完善的计划手段编制计划，从而使造成技术风险的根源消除掉，实现降低技术风险的目的。

商业银行信息科技风险管理指引的第二章 信息科技治理

第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条 商业银行的董事会应履行以下信息科技管理职责：

（一） 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二） 审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

（三） 掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四） 规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五） 设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

（六） 在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

（七） 确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

（八） 每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。

（九） 确保信息科技风险管理工作所需资金。

（十） 确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。

（十一） 确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最 高的管理权限，符合银监会监管和实施现场检查的要求，防范跨境风险。

（十二） 及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，按相关预案快速响应。

（十三） 配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改。

（十四） 履行信息科技风险管理其他相关工作。

第八条 商业银行应设立首席信息官，直接向行长汇报，并参与决策。首席信息官的职责包括：

（一） 直接参与本银行与信息科技运用有关的业务发展决策。

（二） 确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。

（三） 负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。

（四） 确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个内设机构和分支机构。

（五） 组织专业培训，提高人才队伍的专业技能。

（六） 履行信息科技风险管理其他相关工作。

第九条 商业银行应对信息科技部门内部管理职责进行明确的界定；各岗位的人员应具有相应的专业知识和技能，重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施：

（一） 验证个人信息，包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。

（二） 审核信息科技员工的道德品行，确保其具备相应的职业操守。

（三） 确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求，并同员工签订相关协议。

（四） 评估关键岗位信息科技员工流失带来的风险，做好安排候补员工和岗位接替计划等防范措施；在员工岗位发生变化后及时变更相关信息。

第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。该部门应为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。

第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。

第十二条 商业银行应按照知识产权相关法律法规，制定本机构信息科技知识产权保护策略和制度，并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品，禁止侵权盗版；采取有效措施保护本机构自主知识产权。

第十三条 商业银行应依据有关法律法规的要求，规范和及时披露信息科技风险状况。

如何应对电子技术对保险企业带来的风险

一、逐步构建适用我国的综合电子银行管理体制

在现阶段应建立以人民银行现代化支付系统为主线，以各金融机构电子银行系统为基层行，多个市场交易系统和信息交换系统连接的综合性电子银行管理体制。现代化支付系统是我国支付结算的结算的神经中枢，它的建成标志着我国支付手段，支付水平在一定程度上已达到先进国家水平。应做好现代化支付系统与各金融机构电子银行系统的无缝链接，为我国综合性电子银行的形成奠定基础。

二、建立健全法律法规，增强电子银行的安全性

在当前信息时代，电子支付是今后支付方式发展的重要方式，而电子银行则是未来银行发展的重要方向之一。为保障电子银行的快速发展必须做好以下两点：一是加快立法进程，为电子银行提供法律支付。《电子支付指引》和《电子银行业务管理办法》仅仅是初步明确了电子支付和电子银行的地位和作用，建议快出台《电子银行法》，从电子银行设立、业务运营、监管、市场准入，业务范畴与标准，金融创新、法律责任、市场退出机制等进行规范，大力推进我国电子银行的发展进程。同时，建议在制定新的《票据法》时将电子银行相关的内容纳入，确认电子支付的法律地位，为电子银行的快速发展扫清支付障碍。二是完善电子银行的稳定性，降低电子银行的潜在风险。要不断加强电子银行的软硬件建设，特别是提高网络的

安全性，提升电子银行的科技含量。

三、加强基础设施建设

首先商业银行应制定正确的电子银行技术风险管理策略，对建设电子银行的技术方案进行科学论证，确保信息技术安全可靠，电子银行系统设计严密、功能完善、运行稳定。其次应加大电子银行安全技术投入，提高通信网络带宽，建立灾难备份与恢复系统，增强电子银行抵御灾难和意外事故的能力。第三，应积极引进一些高效的安全产品和安全技术，如将指纹识别技术与银行卡结合起来，以指纹密码代替数字密码，提高客户取款的安全性，目前美国已经开始在ATM机上使用指纹识别系统。第四，应采取有效措施防范病毒和黑客的攻击，及时更新、升级防病毒软件和防火墙，提高计算机系统抵御外部网络攻击和抗病毒侵扰的能力，增强电子银行系统的保密性和完整性。

四、强化客户安全意识

提高客户安全意识是防范电子银行风险的有效途径。首先，银行要加强对客户的安全教育，在客户办理银行卡时，重点介绍安全使用银行卡的知识，提醒客户及时更改原始密码，并在营业网点和自助服务设备上张贴风险防范告示，提示客户保管好各种相关凭证。其次，要充分利用新闻媒体对电子银行安全风险进行宣传报道，向公众介绍犯罪分子利用电子银行盗取客户资金的各种手段，提高客户识别真伪、防范风险的能力。

五、加强法制建设，加大对犯罪分子打击力度。

我国公安部门要适应形势变化的需要，提高对高科技犯罪的侦破能力，同时电信、金融行业要主动提供相关的信息资料，积极配合公安部门侦破犯罪案件，采取各种有效措施，加大对电子银行盗窃案件的查处力度，从严从重打击犯罪分子。

商业银行信息科技风险管理指引的第七章 业务连续性管理

第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；定期对规划进行更新和演练，以保证其有效性。

第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影响，包括评估可能由下述原因导致的破坏：

（一） 内外部资源的故障或缺失（如人员、系统或其他资产）。

（二） 信息丢失或受损。

（三） 外部事件（如战争、地震或台风等）。

第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性，并通过应急安排和保险等方式降低影响。

第五十三条 商业银行应建立维持其运营连续性策略的文档，并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括：

（一）规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施，包括但不限于:

1．资源需求（如人员、系统和其他资产）以及获取资源的方式。

2．运行恢复的优先顺序。

3．与内部各部门及外部相关各方（尤其是监管机构、客户和媒体等）的沟通安排。

（二）更新实施业务连续性计划的流程及相关联系信息。

（三）验证受中断影响的信息完整性的步骤。

（四）当商业银行的业务或风险状况发生变化时，对本条（一）到（三）进行审核并升级。

第五十四条 商业银行的业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。