張淮清

“細(xì)”、“嚴(yán)”體現(xiàn)風(fēng)險(xiǎn)監(jiān)管新形勢(shì)

當(dāng)前，信息技術(shù)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展沖擊著各個(gè)行業(yè)，而銀行業(yè)由于其自身服務(wù)特點(diǎn)成為廣泛引入信息技術(shù)的行業(yè)之一。從業(yè)務(wù)流程的電子化到服務(wù)渠道的網(wǎng)絡(luò)化，從客戶資源的系統(tǒng)化到?jīng)Q策支持的智能化，信息技術(shù)正逐步改變著傳統(tǒng)銀行業(yè)的運(yùn)營(yíng)模式。新技術(shù)的大量采用必然引入了新的風(fēng)險(xiǎn)，給銀行業(yè)帶來(lái)了新的挑戰(zhàn)。

為了保障中國(guó)銀行業(yè)健康有序發(fā)展，加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng)，銀監(jiān)會(huì)先后制定和發(fā)布了相關(guān)監(jiān)管指引。

2009年，針對(duì)商業(yè)銀行信息科技的風(fēng)險(xiǎn)管理，銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，在信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全等八個(gè)方面提出了明確的要求，強(qiáng)調(diào)要加強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管。

2010年，面對(duì)日益發(fā)展的銀行外包服務(wù)市場(chǎng)，銀監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》，在組織架構(gòu)、風(fēng)險(xiǎn)管理和監(jiān)督管理等三個(gè)方面提出細(xì)致要求，強(qiáng)化外包風(fēng)險(xiǎn)監(jiān)管。

2013年，針對(duì)商業(yè)銀行信息科技外包，銀監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》，在外包管理組織架構(gòu)、信息科技外包戰(zhàn)略與風(fēng)險(xiǎn)管理、信息科技外包管理等七個(gè)方面提出了專項(xiàng)要求，深化了信息科技外包風(fēng)險(xiǎn)的監(jiān)管要素。

由此可見(jiàn)，“細(xì)”和“嚴(yán)”體現(xiàn)了銀監(jiān)會(huì)對(duì)商業(yè)銀行的風(fēng)險(xiǎn)監(jiān)管趨勢(shì)。

“細(xì)”主要體現(xiàn)在：2010年發(fā)布的監(jiān)管指引在組織架構(gòu)、風(fēng)險(xiǎn)管理和監(jiān)督管理三個(gè)方面提出監(jiān)管要求，每個(gè)方面提出的監(jiān)管要求力度比較粗；2013年發(fā)布的監(jiān)管指引，明確針對(duì)商業(yè)銀行信息科技業(yè)務(wù)外包，從外包管理組織架構(gòu)、信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理、信息科技外包管理、機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理、跨境及非駐場(chǎng)外包管理、銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)管理要求及監(jiān)督管理七個(gè)方面提出細(xì)致要求。如在2010年監(jiān)管指引中，沒(méi)有對(duì)外包管理執(zhí)行團(tuán)隊(duì)的職責(zé)進(jìn)行要求，而2013年指引中明確做了要求。

“嚴(yán)”主要體現(xiàn)在：銀監(jiān)會(huì)發(fā)布的指引隨著時(shí)間的推移在具體要求上更加量化和嚴(yán)格。如在2010年的指引中只是提到進(jìn)行定期的風(fēng)險(xiǎn)評(píng)價(jià)，而在2013年發(fā)布的指引中更加明確和量化了監(jiān)管要求，“銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理部門(mén)應(yīng)當(dāng)至少每年開(kāi)展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估”，相比原來(lái)新發(fā)布的監(jiān)管指引更加嚴(yán)格，對(duì)商業(yè)銀行提出了更高的要求。

完善的IT風(fēng)險(xiǎn)治理架構(gòu)是基礎(chǔ)和保障

商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)意義

隨著商業(yè)銀行對(duì)信息系統(tǒng)依賴性不斷增加，由此帶來(lái)的風(fēng)險(xiǎn)、利益和機(jī)會(huì)使得IT風(fēng)險(xiǎn)治理成為商業(yè)銀行治理中至為關(guān)鍵的一個(gè)方面，完善的IT風(fēng)險(xiǎn)治理架構(gòu)是商業(yè)銀行風(fēng)險(xiǎn)管理體系的基礎(chǔ)和保障。

一個(gè)成功的IT風(fēng)險(xiǎn)治理架構(gòu)可以幫助商業(yè)銀行達(dá)到以下目標(biāo)：

監(jiān)管合規(guī)。建立健全I(xiàn)T風(fēng)險(xiǎn)治理架構(gòu)，實(shí)現(xiàn)對(duì)IT風(fēng)險(xiǎn)的有效識(shí)別和管理，滿足不斷提高的監(jiān)管要求，滿足未來(lái)銀行信用評(píng)級(jí)的剛性需求。

目標(biāo)一致。IT風(fēng)險(xiǎn)治理必須與商業(yè)銀行戰(zhàn)略目標(biāo)一致，是銀行戰(zhàn)略規(guī)劃的重要組成部分，因此IT風(fēng)險(xiǎn)治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息安全需求和功能需求，形成總體的IT風(fēng)險(xiǎn)治理框架，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。

降低風(fēng)險(xiǎn)。IT風(fēng)險(xiǎn)治理強(qiáng)調(diào)風(fēng)險(xiǎn)管理，通過(guò)制訂信息資源的保護(hù)級(jí)別，強(qiáng)化關(guān)鍵的信息技術(shù)資源，有效地進(jìn)行實(shí)施監(jiān)控和事故處理，此外它還能保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制IT投資、規(guī)劃、建設(shè)、運(yùn)營(yíng)。

資源高效。IT風(fēng)險(xiǎn)治理可以合理利用與協(xié)調(diào)商業(yè)銀行的信息資源，并進(jìn)行有效管理，以確保IT及時(shí)按照目標(biāo)交付，且有合適的功能和期望的收益，另外也要盡量避免信息化工程超期、IT客戶的需求沒(méi)有滿足、IT平臺(tái)不支持業(yè)務(wù)應(yīng)用等問(wèn)題的發(fā)生。

商業(yè)銀行IT風(fēng)險(xiǎn)治理標(biāo)準(zhǔn)架構(gòu)

商業(yè)銀行IT治理是圍繞著IT投資決策的治理過(guò)程，一個(gè)優(yōu)秀和標(biāo)準(zhǔn)的IT風(fēng)險(xiǎn)治理架構(gòu)主要包含如下四個(gè)方面：一是組織結(jié)構(gòu)，即由誰(shuí)負(fù)責(zé)決策，組織結(jié)構(gòu)的形式如何，組織結(jié)構(gòu)中各成員的責(zé)任分別是什么；二是流程，即如何規(guī)范和執(zhí)行日常業(yè)務(wù)操作，針對(duì)每個(gè)操作相應(yīng)的流程是什么；三是制度，即制訂哪些方面的IT風(fēng)險(xiǎn)管理制度；四是技術(shù)，即采用什么樣的技術(shù)措施固化IT風(fēng)險(xiǎn)管理流程和制度，保障商業(yè)銀行業(yè)務(wù)系統(tǒng)安全可靠的運(yùn)行。

銀行IT風(fēng)險(xiǎn)治理架構(gòu)方案探討

我國(guó)商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)特點(diǎn)

國(guó)有商業(yè)銀行——“風(fēng)險(xiǎn)程度大，抗風(fēng)險(xiǎn)能力強(qiáng)”——系統(tǒng)大多依靠自身力量完成，IT風(fēng)險(xiǎn)治理的重點(diǎn)聚焦在“完善自身組織的IT治理架構(gòu)”。一方面，國(guó)有商業(yè)銀行由于信息技術(shù)架構(gòu)龐大、設(shè)施復(fù)雜、涉及的內(nèi)容繁多，因而可能存在的脆弱性種類多，范圍大；其在國(guó)家金融體系、公眾生活中所處的舉足輕重的地位，往往又使其成為黑客攻擊的首選目標(biāo)，其面臨的外部威脅種類多，危害大。另一方面，由于業(yè)務(wù)規(guī)模大，且具有國(guó)家信用背景，國(guó)有商業(yè)銀行具有較強(qiáng)的抗風(fēng)險(xiǎn)能力；同時(shí)，國(guó)有商業(yè)銀行資金實(shí)力雄厚，信息化基礎(chǔ)好，技術(shù)力量強(qiáng)大，系統(tǒng)的開(kāi)發(fā)、建設(shè)和運(yùn)維一般都自行完成，國(guó)有商業(yè)銀行的IT風(fēng)險(xiǎn)治理的重點(diǎn)是建立和完善自身組織的IT治理架構(gòu)。

城市商業(yè)銀行——“風(fēng)險(xiǎn)區(qū)域化，抗風(fēng)險(xiǎn)能力弱”——系統(tǒng)或多或少需要借助外部力量，IT風(fēng)險(xiǎn)治理的重點(diǎn)不僅需要“完善自身組織的IT治理架構(gòu)”，同時(shí)還要聚焦在“IT外包組織的IT治理架構(gòu)”。一方面，城市商業(yè)銀行業(yè)務(wù)具有明顯的區(qū)域性與地方性，因而其信息風(fēng)險(xiǎn)也具有地域性。很多城市商業(yè)銀行在當(dāng)?shù)負(fù)碛虚T(mén)類齊全的業(yè)務(wù)，受關(guān)注度較高，甚至超過(guò)國(guó)有商業(yè)銀行，因而在局部地區(qū)，其面臨的信息風(fēng)險(xiǎn)種類繁多，風(fēng)險(xiǎn)度大。另一方面，城商行信息化資金投入少，技術(shù)人員不足，其風(fēng)險(xiǎn)管理水平比較低下，需要借助專業(yè)信息科技外包服務(wù)提供商，增強(qiáng)信息化支撐力量，因此其IT風(fēng)險(xiǎn)治理的重點(diǎn)不僅需要完善自身組織的IT治理結(jié)構(gòu)，同時(shí)還要強(qiáng)化外包組織的IT風(fēng)險(xiǎn)治理，符合監(jiān)管機(jī)構(gòu)的合規(guī)性要求。

鑒于兩類商業(yè)銀行規(guī)模實(shí)力、組織架構(gòu)、信息系統(tǒng)風(fēng)險(xiǎn)特點(diǎn)、抗風(fēng)險(xiǎn)能力以及IT治理的聚焦不同，下面我們分別就國(guó)有商業(yè)銀行和城市商業(yè)銀行進(jìn)行IT風(fēng)險(xiǎn)治理架構(gòu)淺析。

國(guó)有商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)

國(guó)有商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)是參照商業(yè)銀行IT風(fēng)險(xiǎn)治理標(biāo)準(zhǔn)架構(gòu)從組織架構(gòu)、流程、制度和技術(shù)等方面進(jìn)行構(gòu)建和完善。

組織架構(gòu)

國(guó)有商業(yè)銀行應(yīng)由董事會(huì)、高管層、信息技術(shù)委員會(huì)、風(fēng)險(xiǎn)管理委員會(huì)負(fù)責(zé)信息科技風(fēng)險(xiǎn)戰(zhàn)略和政策制訂、治理結(jié)構(gòu)建立、資源配置等工作，明確IT風(fēng)險(xiǎn)管理機(jī)構(gòu)在全行風(fēng)險(xiǎn)管理組織體系中的定位，明確各業(yè)務(wù)條線、各業(yè)務(wù)支持保障部門(mén)、各級(jí)機(jī)構(gòu)的IT風(fēng)險(xiǎn)管理職責(zé)，構(gòu)建職能部門(mén)參與全行的IT風(fēng)險(xiǎn)“三道防線”的管理。具體組織機(jī)構(gòu)設(shè)置如圖1所示。

風(fēng)險(xiǎn)管理委員會(huì)。風(fēng)險(xiǎn)管理委員會(huì)設(shè)置在總行，由高級(jí)管理者和內(nèi)部專家組成，是一個(gè)獨(dú)立的組織機(jī)構(gòu)。主要負(fù)責(zé)銀行所有風(fēng)險(xiǎn)的管理、監(jiān)督和指導(dǎo)，以及負(fù)責(zé)制訂符合企業(yè)發(fā)展戰(zhàn)略的風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策。

IT風(fēng)險(xiǎn)管理部門(mén)。銀行中領(lǐng)導(dǎo)并負(fù)責(zé)IT風(fēng)險(xiǎn)管理的機(jī)構(gòu)，一般由首席信息官（CIO）負(fù)責(zé)領(lǐng)導(dǎo)。其主要職責(zé)為制訂IT風(fēng)險(xiǎn)管理流程，在事故發(fā)生時(shí)負(fù)責(zé)業(yè)務(wù)的恢復(fù)。IT風(fēng)險(xiǎn)管理部分別在總行、分行及支行設(shè)置，并配備相應(yīng)人員。

IT風(fēng)險(xiǎn)經(jīng)理。負(fù)責(zé)對(duì)具體的IT風(fēng)險(xiǎn)節(jié)點(diǎn)進(jìn)行管控，同時(shí)根據(jù)IT風(fēng)險(xiǎn)預(yù)測(cè)制訂相應(yīng)的操作規(guī)范及應(yīng)急措施。從本質(zhì)上講IT風(fēng)險(xiǎn)經(jīng)理是銀行內(nèi)部負(fù)責(zé)具體風(fēng)險(xiǎn)管理操作的人員。

信息技術(shù)管理部。協(xié)助IT風(fēng)險(xiǎn)經(jīng)理完成對(duì)項(xiàng)目風(fēng)險(xiǎn)的監(jiān)控與管理。信息技術(shù)管理分別在總行、分行及支行設(shè)置，并配備相應(yīng)人員。

其他相關(guān)部門(mén)。這些部門(mén)包括審計(jì)部門(mén)以及各業(yè)務(wù)部門(mén)和資產(chǎn)評(píng)估部門(mén)。主要職責(zé)是配合進(jìn)行IT風(fēng)險(xiǎn)治理。

流程

IT治理流程是保證相關(guān)部門(mén)采用規(guī)范與合理的步驟進(jìn)行IT活動(dòng)。根據(jù)信息系統(tǒng)生命周期的特點(diǎn)，IT治理流程可分為事前、事中和事后三類，事前主要指信息系統(tǒng)規(guī)劃和建設(shè)階段，事中主要指信息系統(tǒng)運(yùn)營(yíng)、維護(hù)階段，主要包括三個(gè)類別：一是IT運(yùn)維管理類，主要從銀行的數(shù)據(jù)（系統(tǒng)）中心運(yùn)維的角度出發(fā)設(shè)計(jì)主要的信息系統(tǒng)維護(hù)流程，包括系統(tǒng)監(jiān)控流程、安全管理流程、備份管理流程、系統(tǒng)升級(jí)/維護(hù)流程；二是IT服務(wù)管理類，主要根據(jù)ITIL的理念并結(jié)合銀行的實(shí)際情況設(shè)計(jì)服務(wù)臺(tái)/事件管理流程、問(wèn)題管理流程、配置管理流程、變更管理流程和發(fā)布管理流程；三是IT綜合管理類，主要包括設(shè)備采購(gòu)管理流程、設(shè)備報(bào)廢流程、檔案管理流程和外包管理流程。事后包括管理階段（審計(jì)、評(píng)價(jià)），每個(gè)階段都需要設(shè)計(jì)和制訂相應(yīng)的IT治理流程，用于規(guī)范本階段的IT活動(dòng)。

制度

按照信息化工作涵蓋的幾個(gè)方面，即信息系統(tǒng)規(guī)劃、建設(shè)、整合、維護(hù)、管理，信息資源管理和開(kāi)發(fā)利用，需要制訂相應(yīng)IT風(fēng)險(xiǎn)管理制度。包括：信息分級(jí)與保護(hù)風(fēng)險(xiǎn)管理制度；信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)管理制度；信息科技運(yùn)行和維護(hù)管理制度；訪問(wèn)控制管理制度；物理安全管理制度；人員安全管理制度；業(yè)務(wù)連續(xù)性與應(yīng)急處置管理制度。

技術(shù)

國(guó)有商業(yè)銀行應(yīng)該構(gòu)建全面的信息科技風(fēng)險(xiǎn)監(jiān)測(cè)和保障體系，給信息系統(tǒng)建立一道抵御風(fēng)險(xiǎn)的有力屏障。一方面，商業(yè)銀行應(yīng)該對(duì)信息系統(tǒng)的運(yùn)行狀況進(jìn)行全程監(jiān)控，主干網(wǎng)絡(luò)是否通暢、自助設(shè)備是否正常運(yùn)行、數(shù)據(jù)庫(kù)系統(tǒng)是否正常服務(wù)、是否有網(wǎng)絡(luò)遭受外部非法入侵等都必須納入實(shí)時(shí)監(jiān)控范圍，以保障在發(fā)生故障的第一時(shí)間作出響應(yīng)。另一方面，商業(yè)銀行必須未雨綢繆，制訂應(yīng)急預(yù)案，做好業(yè)務(wù)連續(xù)性規(guī)劃、業(yè)務(wù)恢復(fù)機(jī)制、風(fēng)險(xiǎn)化解和轉(zhuǎn)移措施、數(shù)據(jù)備份方案等多方面的工作，并加強(qiáng)災(zāi)備演練，以保障在突如其來(lái)的災(zāi)難性事故面前，能從容應(yīng)對(duì)，迅速恢復(fù)生產(chǎn)，盡可能降低事故造成的損失。

城市商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)

城市商業(yè)銀行在參照標(biāo)準(zhǔn)的商業(yè)銀行IT風(fēng)險(xiǎn)治理架構(gòu)外，還需重點(diǎn)對(duì)信息科技外包的風(fēng)險(xiǎn)進(jìn)行管控，并在如下幾個(gè)方面進(jìn)行改進(jìn)和完善。

組織機(jī)構(gòu)方面的調(diào)整

城市商業(yè)銀行的IT風(fēng)險(xiǎn)組織架構(gòu)除了設(shè)置風(fēng)險(xiǎn)管理委員會(huì)、IT風(fēng)險(xiǎn)管理部和信息技術(shù)部之外，還需新設(shè)立三個(gè)專家組，重點(diǎn)實(shí)現(xiàn)IT外包管理和風(fēng)險(xiǎn)控制，分別是發(fā)展戰(zhàn)略組、法律事務(wù)組、實(shí)施監(jiān)察組，分工合作對(duì)IT外包的實(shí)施進(jìn)行不同階段控制。其組織架構(gòu)調(diào)整如圖2所示。

這三個(gè)組的具體人員構(gòu)成和職責(zé)如下：

發(fā)展戰(zhàn)略組。發(fā)展戰(zhàn)略組由行內(nèi)戰(zhàn)略規(guī)劃專家、各部門(mén)熟悉本行業(yè)務(wù)信息流關(guān)系的代表、信息技術(shù)專家以及資源外包咨詢銀行的人員組成，組織機(jī)構(gòu)設(shè)置在總行。IT外包的管理過(guò)程中發(fā)展戰(zhàn)略組主要負(fù)責(zé)實(shí)施前調(diào)查研究國(guó)內(nèi)外行業(yè)、競(jìng)爭(zhēng)對(duì)手以及自身的信息化現(xiàn)狀；找出實(shí)施信息化的自身優(yōu)勢(shì)、制約因素；辨識(shí)本行信息技術(shù)的核心競(jìng)爭(zhēng)能力；在收益、成本和風(fēng)險(xiǎn)之間進(jìn)行平衡并進(jìn)行外包決策，明確IT外包范圍；把IT外包部分納入本行的信息化總體架構(gòu)和信息技術(shù)應(yīng)用架構(gòu)中，包括外包的指導(dǎo)思想、總體目標(biāo)、分階段目標(biāo)；制訂IT外包的建設(shè)技術(shù)標(biāo)準(zhǔn)，保證信息系統(tǒng)建設(shè)的連貫性和一致性；設(shè)計(jì)外包方案避免重復(fù)投資與信息孤島，保障信息安全，評(píng)價(jià)外包服務(wù)商的技術(shù)等級(jí)、發(fā)展能力，選擇外包服務(wù)商；制訂經(jīng)費(fèi)預(yù)算，建立組織保障體系、評(píng)價(jià)指標(biāo)體系；制訂培訓(xùn)工作計(jì)劃。發(fā)展戰(zhàn)略組在整個(gè)IT外包的過(guò)程中的作用，概括起來(lái)主要是“把握命運(yùn)，尋找方向，制訂規(guī)劃，明確范圍”。

法律事務(wù)組。法律事務(wù)組由對(duì)IT外包業(yè)務(wù)非常熟悉的高級(jí)管理人員負(fù)責(zé)，由深入理解行內(nèi)需求和發(fā)展戰(zhàn)略的專家（指發(fā)展戰(zhàn)略組成員或代表）、外包咨詢專家、實(shí)施監(jiān)察組代表、費(fèi)用預(yù)算人員和法律顧問(wèn)組成，組織機(jī)構(gòu)設(shè)置在總行。法律事務(wù)組的主要職責(zé)包括：在外包范圍明確后，協(xié)助發(fā)展戰(zhàn)略組，根據(jù)本行信息技術(shù)要求，所需的硬件、軟件、服務(wù)、成本與時(shí)間等提出量化和測(cè)度的要求，制訂項(xiàng)目建議書(shū)；在外包談判中，將外包實(shí)施方案、實(shí)施戰(zhàn)略變成可操作的、可控制的、具有法律意義的、適應(yīng)性強(qiáng)的協(xié)議或合同，明確銀行與外包服務(wù)商的職責(zé)范圍、信息系統(tǒng)質(zhì)量指標(biāo)、性能測(cè)量度以及性能達(dá)標(biāo)期限，在每個(gè)重要的階段未能履約的罰款，服務(wù)水平的保障措施，爭(zhēng)議的解決和合同的解釋協(xié)議條款；在外包實(shí)施過(guò)程中，協(xié)助實(shí)施監(jiān)察組工作，解決實(shí)施過(guò)程中爭(zhēng)議，處理相應(yīng)法律事務(wù)，避免由于合同設(shè)計(jì)中出現(xiàn)的漏洞而陷入無(wú)窮無(wú)盡的糾紛中。

實(shí)施監(jiān)察組。實(shí)施監(jiān)察組主要由信息技術(shù)專業(yè)人員、合同協(xié)議管理人員、協(xié)調(diào)人員組成。實(shí)施監(jiān)察組充當(dāng)?shù)氖呛贤芾砣藛T、服務(wù)人員的角色，組織機(jī)構(gòu)設(shè)置在總行和各支行。實(shí)施監(jiān)察組的主要職責(zé)是在簽署外包合同后，項(xiàng)目實(shí)施過(guò)程中對(duì)外包服務(wù)過(guò)程進(jìn)行全面監(jiān)督、協(xié)調(diào)和控制管理。一方面要嚴(yán)格堅(jiān)持合同條款，確認(rèn)外包服務(wù)商提供的產(chǎn)品、服務(wù)是否符合合同規(guī)定或協(xié)議要求，是否滿足需要，確保外包服務(wù)到位，自身利益不受損害；監(jiān)督評(píng)價(jià)外包項(xiàng)目各階段進(jìn)展情況以及外包服務(wù)商對(duì)合同的實(shí)施狀況。另一方面協(xié)調(diào)業(yè)務(wù)部門(mén)和外包服務(wù)商之間的關(guān)系，與外包服務(wù)商建立爭(zhēng)議解決機(jī)制，隨時(shí)糾正外包服務(wù)商偏離合同的行為，避免使用經(jīng)濟(jì)和法律制裁等消極合作手段。

流程方面的調(diào)整

城市商業(yè)銀行由于自身?xiàng)l件所限，通常會(huì)采用信息科技外包服務(wù)，這就要求城市商業(yè)銀行加強(qiáng)對(duì)外包服務(wù)商的風(fēng)險(xiǎn)管理，同時(shí)配合銀監(jiān)會(huì)的監(jiān)管和檢查。需要增加針對(duì)信息科技外包相關(guān)的IT風(fēng)險(xiǎn)治理流程，包括對(duì)服務(wù)提供商的評(píng)價(jià)流程、服務(wù)提供商盡職調(diào)查流程、外包服務(wù)法律事務(wù)流程，對(duì)服務(wù)提供商安全檢查流程、外包服務(wù)監(jiān)控與評(píng)價(jià)流程。

制度方面的調(diào)整

建立外包服務(wù)提供商的評(píng)級(jí)準(zhǔn)入制度。選擇合適的外包服務(wù)商無(wú)疑是外包成功的關(guān)鍵。通過(guò)資格認(rèn)證建立市場(chǎng)準(zhǔn)入的硬性條件，有利于保證服務(wù)質(zhì)量實(shí)現(xiàn)外包目標(biāo)。對(duì)外包服務(wù)商的考察主要從技術(shù)能力、經(jīng)營(yíng)管理能力、發(fā)展能力這三個(gè)主要方面：一是技術(shù)能力，外包服務(wù)商提供的信息技術(shù)產(chǎn)品是否具備創(chuàng)新性、開(kāi)放性、安全性、兼容性，是否擁有較高的市場(chǎng)占有率，能否實(shí)現(xiàn)信息數(shù)據(jù)的共享；是否具有信息技術(shù)方面的資格認(rèn)證；是否了解金融行業(yè)特點(diǎn)，能夠拿出真正適合商業(yè)銀行業(yè)務(wù)的解決方案；信息系統(tǒng)的設(shè)計(jì)方案中是否應(yīng)用了穩(wěn)定、成熟的信息技術(shù)，是否符合銀行發(fā)展的要求，與充分體現(xiàn)了銀行以客戶為中心的服務(wù)理念；是否具備對(duì)大型設(shè)備的運(yùn)行、維護(hù)、管理經(jīng)驗(yàn)和多系統(tǒng)整合能力；是否擁有對(duì)高新技術(shù)深入理解的技術(shù)專家和項(xiàng)目管理人員。二是經(jīng)營(yíng)管理能力，了解外包服務(wù)商的領(lǐng)導(dǎo)層結(jié)構(gòu)、員工素質(zhì)、客戶數(shù)量、社會(huì)評(píng)價(jià)；項(xiàng)目管理水平，如軟件工程工具、質(zhì)量保證體系、成本控制、配置管理方法、管理和技術(shù)人員的老化率或流動(dòng)率；是否具備能夠證明其良好運(yùn)營(yíng)管理能力的成功案例；員工間是否具備團(tuán)隊(duì)合作精神，外包服務(wù)商客戶的滿意程度。三是發(fā)展能力，通過(guò)考察外包服務(wù)商的各項(xiàng)財(cái)務(wù)指標(biāo)，了解其盈利能力；考察外包服務(wù)商的外包市場(chǎng)份額；在信息技術(shù)領(lǐng)域內(nèi)的產(chǎn)品創(chuàng)新率等。

建立外包業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)控機(jī)制。保障外包服務(wù)商行為規(guī)范的基本方法是監(jiān)督和控制。監(jiān)督是觀察、收集資料，對(duì)照已經(jīng)建立起來(lái)的標(biāo)準(zhǔn)和尺度分析外包服務(wù)商是否在做他應(yīng)該做的事情。如果發(fā)現(xiàn)外包服務(wù)商偏離了預(yù)定的行為目標(biāo)，就需要采取控制措施，使外包服務(wù)商重新回到正確的軌道上去。監(jiān)督可以從宏觀和微觀兩個(gè)層面上進(jìn)行，宏觀上密切關(guān)注信息技術(shù)、外包市場(chǎng)的發(fā)展，以及銀行自身經(jīng)營(yíng)環(huán)境、競(jìng)爭(zhēng)對(duì)手外包策略、外包服務(wù)商經(jīng)營(yíng)狀況的變化，防范技術(shù)市場(chǎng)、風(fēng)險(xiǎn)微觀層面上，聽(tīng)取外包服務(wù)商在項(xiàng)目實(shí)施不同階段的報(bào)告，了解與外包服務(wù)商直接接觸的銀行有關(guān)部門(mén)對(duì)外包服務(wù)商的評(píng)價(jià)，高層經(jīng)理們對(duì)外包的反映，考察外包成本是否控制在預(yù)期范圍內(nèi)，業(yè)務(wù)需求是否得到滿足；通過(guò)對(duì)客戶的滿意度調(diào)查，以及將外包服務(wù)商的服務(wù)水平與其競(jìng)爭(zhēng)對(duì)手的服務(wù)水平相比較，了解外包服務(wù)是否及時(shí)，服務(wù)質(zhì)量、服務(wù)水平是否得到提高，防范交易和信譽(yù)風(fēng)險(xiǎn)。

技術(shù)方面的完善

城市商業(yè)銀行安全風(fēng)險(xiǎn)防范的對(duì)象從內(nèi)部擴(kuò)大到外包服務(wù)商，需要建立和完善針對(duì)外包服務(wù)監(jiān)控、檢查和審計(jì)技術(shù)措施。外包服務(wù)風(fēng)險(xiǎn)監(jiān)控與檢查技術(shù)平臺(tái)是對(duì)全行網(wǎng)絡(luò)、應(yīng)用的安全日志和外包服務(wù)人員的行為記錄進(jìn)行收集、分析，及時(shí)監(jiān)控全行信息風(fēng)險(xiǎn)狀態(tài)，為信息安全威脅提供預(yù)警，縮短發(fā)現(xiàn)安全事件的時(shí)間，提高響應(yīng)速度。另外還需強(qiáng)化對(duì)外包服務(wù)商的監(jiān)督機(jī)制，借助審計(jì)工具提供真實(shí)審計(jì)數(shù)據(jù)，快速定位問(wèn)題根源。

結(jié)束語(yǔ)

目前，我國(guó)商業(yè)銀行對(duì)信息科技風(fēng)險(xiǎn)逐步開(kāi)始重視，但I(xiàn)T風(fēng)險(xiǎn)治理架構(gòu)仍然沒(méi)有全面有效地建立起來(lái)，商業(yè)銀行普遍存在缺乏有效的IT風(fēng)險(xiǎn)管理戰(zhàn)略、IT治理結(jié)構(gòu)不夠完善、高級(jí)管理層重視不夠等問(wèn)題。在商業(yè)銀行日益發(fā)展壯大的今天，商業(yè)銀行應(yīng)當(dāng)要充分認(rèn)識(shí)信息科技風(fēng)險(xiǎn)監(jiān)管的緊迫性和重要性，在借鑒國(guó)際先進(jìn)金融機(jī)構(gòu)的良好做法，符合監(jiān)管合規(guī)的前提下，制訂出與業(yè)務(wù)發(fā)展目標(biāo)保持一致的IT風(fēng)險(xiǎn)治理戰(zhàn)略，結(jié)合商業(yè)銀行的特點(diǎn)構(gòu)建相應(yīng)的IT風(fēng)險(xiǎn)治理架構(gòu)，最大限度地減少信息科技風(fēng)險(xiǎn)的發(fā)生，提高銀行核心競(jìng)爭(zhēng)力服務(wù)。

（作者單位：北京智控美信信息技術(shù)有限公司）