對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)信息學(xué)院 賈樹(shù)輝 陳進(jìn)

銀行業(yè)早在20世紀(jì)70年代就涉足外包領(lǐng)域，20世紀(jì)90年代以來(lái)呈現(xiàn)出迅猛發(fā)展趨勢(shì)，隨著我國(guó)銀行業(yè)改制深化和銀行間競(jìng)爭(zhēng)的日益加劇，銀行的信息基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)不斷進(jìn)行升級(jí)和換代，使得部分銀行尤其是中小銀行內(nèi)部信息技術(shù)部門(mén)很難跟上業(yè)務(wù)發(fā)展對(duì)信息系統(tǒng)建設(shè)的需求，而銀行IT外包的出現(xiàn)為解決上述問(wèn)題提供了有效途徑。銀行IT外包是指銀行以合同的方式，在規(guī)定的服務(wù)水平基礎(chǔ)上，委托IT服務(wù)提供商向銀行提供所需的部分或者全部IT功能和活動(dòng)(馬雪彬和陳嬌，2009)，其主要內(nèi)容是銀行信息系統(tǒng)的開(kāi)發(fā)建設(shè)與運(yùn)維服務(wù)、基礎(chǔ)設(shè)施建設(shè)與運(yùn)行、技術(shù)性業(yè)務(wù)流程、信息技術(shù)咨詢(xún)服務(wù)等外包。

外包作為一種創(chuàng)新管理模式，具有整合、利用外部最優(yōu)秀的專(zhuān)業(yè)資源，從而達(dá)到降低成本、提高效率、充分發(fā)揮自身核心競(jìng)爭(zhēng)力和增強(qiáng)銀行對(duì)環(huán)境的快速應(yīng)變能力的屬性。隨著外包的深入發(fā)展，如何進(jìn)行IT外包的有效管理、規(guī)避外包過(guò)程的風(fēng)險(xiǎn)也日益成為各個(gè)銀行和行業(yè)監(jiān)管部門(mén)關(guān)注的課題。COBIT是IT治理領(lǐng)域的公認(rèn)框架和標(biāo)準(zhǔn)，借鑒其管理實(shí)踐和思路，構(gòu)建基于IT治理理論的IT外包管理框架，將為商業(yè)銀行在IT領(lǐng)域更好地管理外包業(yè)務(wù)、利用外包資源、降低外包風(fēng)險(xiǎn)提供有益參考，并促進(jìn)IT外包在銀行業(yè)的健康快速發(fā)展。

1 IT治理理論概述

IT治理的目標(biāo)是通過(guò)一系列流程與控制實(shí)現(xiàn)IT的商業(yè)價(jià)值，國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISASC)和國(guó)際IT治理研究院(ITGI)是提出并研究IT治理理論的主要組織，他們通過(guò)建立IT治理的總體架構(gòu)，明確IT治理核心流程，頒布相關(guān)的流程控制標(biāo)準(zhǔn)，從而指導(dǎo)企業(yè)完成IT治理的相關(guān)工作。其代表性的研究成果包括Control Objectives for Information and related Technology(COBIT)和Board Briefing on IT Governance。

COBIT是國(guó)際上公認(rèn)的IT管理與控制框架，已在世界眾多國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效地利用信息資源，有效地管理與信息相關(guān)工作實(shí)施和風(fēng)險(xiǎn)控制。COBIT是一系列關(guān)于IT管理最佳實(shí)踐(框架)的集合，最初是ISASC于1996年首次提出，至2005年頒布COBIT 4.0，并于2007年5月將版本更新到COBIT 4.1(王德健，2007)。

圖1 COBIT的關(guān)注維度

COBIT基于IT治理觀點(diǎn)，從戰(zhàn)略融合、價(jià)值交付、資源管理、風(fēng)險(xiǎn)管理和績(jī)效測(cè)評(píng)五個(gè)維度進(jìn)行IT過(guò)程的監(jiān)督與控制(如圖1)，每個(gè)維度的關(guān)注內(nèi)容具體如下:

(1)戰(zhàn)略融合:關(guān)注于確保業(yè)務(wù)計(jì)劃和IT計(jì)劃的關(guān)聯(lián)；規(guī)定、保持和驗(yàn)證IT價(jià)值建議；使IT運(yùn)營(yíng)與企業(yè)運(yùn)營(yíng)目標(biāo)保持一致。

(2)價(jià)值交付:在整個(gè)交付周期內(nèi)提出價(jià)值實(shí)施建議，確保IT實(shí)現(xiàn)預(yù)期的戰(zhàn)略收益，集中關(guān)注成本的優(yōu)化，提供IT的固有價(jià)值。

(3)資源管理:對(duì)IT資源(應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施和人員)的優(yōu)化投資并適當(dāng)管理，關(guān)鍵問(wèn)題在于進(jìn)行知識(shí)和基礎(chǔ)設(shè)施的優(yōu)化。

(4)風(fēng)險(xiǎn)管理:要求企業(yè)的高層管理者具備良好的風(fēng)險(xiǎn)意識(shí)，清晰了解企業(yè)對(duì)風(fēng)險(xiǎn)的偏好，熟悉企業(yè)合規(guī)性要求，并將風(fēng)險(xiǎn)管理的職責(zé)嵌入組織之中。

(5)績(jī)效測(cè)評(píng):追蹤并監(jiān)控戰(zhàn)略實(shí)施、項(xiàng)目終結(jié)、資源使用、流程績(jī)效、服務(wù)支付以及諸如平衡記分卡的使用，將戰(zhàn)略轉(zhuǎn)化為具體行動(dòng)，實(shí)現(xiàn)傳統(tǒng)財(cái)務(wù)管理、行政管理等無(wú)法測(cè)量的目標(biāo)。

按照上述維度劃分，COBIT提出了34個(gè)信息技術(shù)控制過(guò)程，并且對(duì)每個(gè)控制過(guò)程制定了流程描述、控制目標(biāo)、管理指南、成熟度模型四方面的詳細(xì)內(nèi)容用于指導(dǎo)實(shí)施，從而確保了IT目標(biāo)與業(yè)務(wù)目標(biāo)一致性、通過(guò)IT保障業(yè)務(wù)實(shí)現(xiàn)收益最大化、IT資源使用的有效性和對(duì)IT風(fēng)險(xiǎn)的適當(dāng)管理等目標(biāo)。

國(guó)際IT治理研究院(ITGI)認(rèn)為IT治理本質(zhì)上有兩個(gè)關(guān)注點(diǎn)，一是實(shí)現(xiàn)IT的商業(yè)價(jià)值，二是規(guī)避IT風(fēng)險(xiǎn)。它將IT治理的內(nèi)容分為五個(gè)研究領(lǐng)域——目標(biāo)設(shè)定、IT活動(dòng)、績(jī)效測(cè)量、目標(biāo)比對(duì)和IT價(jià)值交付。目標(biāo)設(shè)定是IT治理的初始點(diǎn)和驅(qū)動(dòng)因素，需要由企業(yè)董事會(huì)層面確定，并需要制定明確的衡量標(biāo)準(zhǔn)進(jìn)行績(jī)效的度量和監(jiān)控，確保目標(biāo)能夠被正確達(dá)成、行為能夠被合理管控。

2 銀行IT外包的內(nèi)容與管控需求

“管控”源于“管理+控制”，它強(qiáng)調(diào)對(duì)管理活動(dòng)的控制，其含義是指通過(guò)一系列組織制度體系的設(shè)計(jì)，包括組織的責(zé)權(quán)利體系的設(shè)計(jì)、組織流程和制度的設(shè)計(jì)等，為整個(gè)管理活動(dòng)創(chuàng)造一個(gè)良好的運(yùn)作機(jī)制環(huán)境，確保一個(gè)企業(yè)的管理活動(dòng)在特定的游戲規(guī)則下執(zhí)行，從而提高企業(yè)的執(zhí)行力，降低企業(yè)的運(yùn)作風(fēng)險(xiǎn)。對(duì)于銀行IT外包的管控，基于IT治理研究的相關(guān)思想和理論，可以從IT實(shí)施過(guò)程的管理和風(fēng)險(xiǎn)的規(guī)避控制角度分析具體的管控框架和內(nèi)容。

2.1 銀行IT外包的內(nèi)容

銀行IT外包一般主要包含軟件研發(fā)及開(kāi)發(fā)服務(wù)外包、軟件技術(shù)服務(wù)外包、信息系統(tǒng)運(yùn)營(yíng)維護(hù)服務(wù)外包、基礎(chǔ)信息技術(shù)服務(wù)外包與技術(shù)性業(yè)務(wù)流程服務(wù)外包等類(lèi)別，具體內(nèi)容見(jiàn)表1。

表1 銀行IT外包類(lèi)別與內(nèi)容

2.2 銀行IT外包的管控需求

從國(guó)內(nèi)來(lái)看，銀行IT外包發(fā)展歷史并不長(zhǎng)，針對(duì)IT外包的管控經(jīng)驗(yàn)和制度體系并不完善，且國(guó)際上也無(wú)完整的管控體系可以借鑒，目前只是一些先行選擇外包的銀行(如國(guó)家開(kāi)發(fā)銀行)的實(shí)施過(guò)程中形成了一定的經(jīng)驗(yàn)積累。一般來(lái)說(shuō)，銀行對(duì)IT外包的管控都涵蓋外包決策、外包風(fēng)險(xiǎn)管理、外包供應(yīng)商評(píng)估和外包合同管理等業(yè)務(wù)領(lǐng)域。

2.2.1 外包決策

銀行IT外包決策過(guò)程有自己的特點(diǎn)，相對(duì)于其它的行業(yè)來(lái)說(shuō)，銀行的管理機(jī)制及業(yè)務(wù)流程都非常的嚴(yán)謹(jǐn)，銀行IT外包不僅涉及到資產(chǎn)專(zhuān)用性、短期費(fèi)用、長(zhǎng)期費(fèi)用、核心競(jìng)爭(zhēng)力等外包決策的常見(jiàn)因素，還要考慮技術(shù)因素、人力因素、管理因素等其他方面。銀行一般需成立獨(dú)立的外包決策組，包括業(yè)務(wù)需求部門(mén)、信息技術(shù)部門(mén)、內(nèi)審部門(mén)人員及相關(guān)管理決策人員，根據(jù)風(fēng)險(xiǎn)控制和業(yè)務(wù)運(yùn)作需求，合理確定外包的原則和范圍，通過(guò)招標(biāo)采購(gòu)方式進(jìn)行外包決策實(shí)施。

2.2.2 外包風(fēng)險(xiǎn)管理

銀行實(shí)施IT外包，應(yīng)充分認(rèn)識(shí)外包對(duì)IT建設(shè)風(fēng)險(xiǎn)控制的直接和間接影響，并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中(張強(qiáng)林和邵麗萍，2010)。這就需要銀行從以下方面進(jìn)行外包風(fēng)險(xiǎn)管控:(1)制定并逐步完善風(fēng)險(xiǎn)管控制度，外包風(fēng)險(xiǎn)管理應(yīng)當(dāng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略，并應(yīng)建立針對(duì)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃；(2)銀行與外包服務(wù)提供商建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，在意外情況下能夠?qū)崿F(xiàn)外包服務(wù)提供商的順利變更，保證外包業(yè)務(wù)的連續(xù)性；(3)銀行應(yīng)建立完整的外包風(fēng)險(xiǎn)評(píng)估與監(jiān)測(cè)程序，審慎管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高本機(jī)構(gòu)對(duì)外包管理的能力；(4)根據(jù)國(guó)家監(jiān)管要求，銀行在實(shí)施敏感信息系統(tǒng)的外包前，應(yīng)按照法律法規(guī)規(guī)定向監(jiān)管部門(mén)報(bào)告?zhèn)浒浮?/p>

2.2.3 外包供應(yīng)商評(píng)估

在外包實(shí)施之前，銀行應(yīng)建立完善的外包服務(wù)提供商評(píng)估機(jī)制，充分審查、評(píng)估外包商的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力、誠(chéng)信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平，并進(jìn)行必要的盡職調(diào)查。在外包實(shí)施后，銀行應(yīng)建立持續(xù)的跟蹤審核機(jī)制，定期對(duì)外包商的風(fēng)險(xiǎn)控制、業(yè)績(jī)標(biāo)準(zhǔn)、業(yè)務(wù)策略、管理程序、監(jiān)督過(guò)程等進(jìn)行跟蹤審核，根據(jù)量化的考核指標(biāo)定期對(duì)承包方進(jìn)行考評(píng)，公布服務(wù)周期的評(píng)估結(jié)果，實(shí)現(xiàn)外包服務(wù)水平的跟蹤評(píng)價(jià)。

2.2.4 外包合同管理

合同是進(jìn)行外包管理的重要依據(jù)，銀行與外包服務(wù)提供商簽署的外包合同應(yīng)全面可實(shí)施，內(nèi)容包括:外包服務(wù)的范圍和標(biāo)準(zhǔn)；保密性和安全性；業(yè)務(wù)連續(xù)性；審計(jì)和檢查；爭(zhēng)端的解決方案；未履行責(zé)任的賠償、補(bǔ)救和追索權(quán)等。對(duì)于具有專(zhuān)業(yè)技術(shù)性的外包業(yè)務(wù)，可簽訂服務(wù)等級(jí)協(xié)議(SLA)；如涉及分包或轉(zhuǎn)包，外包合同協(xié)議中應(yīng)明確設(shè)立服務(wù)提供商分包或轉(zhuǎn)包的規(guī)則或限制。

3 基于IT治理理論的銀行IT外包管控框架

從IT治理的視角，COBIT將IT治理活動(dòng)劃分為四個(gè)職責(zé)域:(1)計(jì)劃與組織(PO):為提供解決方案(AI)和提供服務(wù)(DS)制定相應(yīng)制度；(2)獲取與實(shí)施(AI):提供解決方案并將其轉(zhuǎn)化成為服務(wù)；(3)交付與支持(DS):接受解決方案，使之為最終用戶(hù)所用；(4)監(jiān)控與評(píng)價(jià)(ME):監(jiān)控所有流程確保遵循既定方針。

圖2 IT治理職責(zé)域關(guān)系圖

銀行IT外包的實(shí)施流程也切合了COBIT的職責(zé)域劃分，按照該劃分維度，綜合COBIT對(duì)各職能域中各項(xiàng)活動(dòng)的管理要求與評(píng)測(cè)指南，以及銀行IT外包管控的具體需求，可以規(guī)劃出對(duì)應(yīng)IT治理職責(zé)域的銀行IT外包管理框架和主要內(nèi)容(見(jiàn)表2)，這些主要管理措施便構(gòu)成了銀行IT外包管理框架，各個(gè)外包管控域的主要內(nèi)容為:

(1)計(jì)劃組織:發(fā)包方為實(shí)施IT外包管控而進(jìn)行的組織內(nèi)部的相關(guān)IT制度與組織管理建設(shè)等內(nèi)容。

(2)獲取實(shí)施:發(fā)包方為實(shí)施IT外包管控而進(jìn)行的組織統(tǒng)一的技術(shù)基礎(chǔ)設(shè)施建設(shè)、IT外包流程與決策控制、外包知識(shí)庫(kù)管理等內(nèi)容。

(3)交付支持:發(fā)包方為實(shí)施IT外包管控而進(jìn)行的涵蓋外包成果交付、外包風(fēng)險(xiǎn)管理、組織內(nèi)部IT資源的可用性和連續(xù)性保證等內(nèi)容。

(4)監(jiān)控評(píng)價(jià):發(fā)包方為實(shí)施IT外包管控而進(jìn)行的包括組織對(duì)IT外包服務(wù)提供商的管理監(jiān)控與績(jī)效評(píng)估、組織按照監(jiān)管要求對(duì)外包服務(wù)提供商進(jìn)行管理等內(nèi)容。

表2 銀行IT外包管控框架和內(nèi)容

4 結(jié)語(yǔ)

IT外包使銀行能夠以更富有效率、低成本、低風(fēng)險(xiǎn)的方式完成信息技術(shù)任務(wù)，在提升銀行核心競(jìng)爭(zhēng)力、節(jié)約項(xiàng)目成本、加速信息化建設(shè)的進(jìn)程中發(fā)揮著不容忽視的作用。建立IT外包管控框架的目標(biāo)是通過(guò)一系列的組織制度體系的設(shè)計(jì)，包括組織的責(zé)權(quán)利體系的設(shè)計(jì)、組織流程和制度的設(shè)計(jì)等，實(shí)現(xiàn)對(duì)IT外包活動(dòng)的管理和控制。

以IT治理理論為視角，在從戰(zhàn)略融合、價(jià)值交付、資源管理、風(fēng)險(xiǎn)管理和績(jī)效測(cè)評(píng)五個(gè)維度分析了商業(yè)銀行在IT外包實(shí)施過(guò)程中的活動(dòng)內(nèi)容與組織層面的管理控制需求基礎(chǔ)上，本文針對(duì)IT外包的內(nèi)容，構(gòu)建了涵蓋IT外包業(yè)務(wù)的計(jì)劃組織、IT外包服務(wù)的獲取實(shí)施、IT外包成果的交付支持和IT外包活動(dòng)的監(jiān)控評(píng)價(jià)四方面內(nèi)容的商業(yè)銀行IT外包管控框架，并細(xì)化了每一方面的管控目標(biāo)、具體的管控內(nèi)容與措施。這不僅為銀行業(yè)金融機(jī)構(gòu)加強(qiáng)對(duì)IT外包管理提供了借鑒、促使外包項(xiàng)目達(dá)成預(yù)期目標(biāo)具有重要實(shí)際意義，同時(shí)對(duì)社會(huì)經(jīng)濟(jì)中IT外包行業(yè)的發(fā)展也有重要的促進(jìn)作用。

[1]The IT Governance Institute.COBIT 4.1.United States of America.2007.www.itgi.org.

[2]ITGI.Board Briefing on IT Governance(Second Edition).2003.

[3]Narayanan Kumbakara.Managed IT services:the role of IT standards.Information Management & Computer Security.Vol.16 No.4,2008.

[4]David Luthy and Karen Forcht.Laws and regulations affecting information management and frameworks for assessing compliance.Information Management &Computer Security.Vol.14 No.2,2006.

[5]中國(guó)銀行業(yè)監(jiān)督管理委員.銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指 引(銀 監(jiān) 發(fā)[2006]63號(hào)).2006年8月7日.http://www.cbrc.gov.cn/upload/zwgk/ml3/2/5-2-32.doc.

[6]馬雪彬,陳嬌.國(guó)家開(kāi)發(fā)銀行IT服務(wù)外包風(fēng)險(xiǎn)控制的經(jīng)驗(yàn)及啟示[J].商場(chǎng)現(xiàn)代化,2009(9)(中旬刊)總第587期.

[7]王德健.COBIT標(biāo)準(zhǔn)在IT外包業(yè)務(wù)風(fēng)險(xiǎn)管理中的應(yīng)用[J].商場(chǎng)現(xiàn)代化,2007(11)(中旬刊)總第521期.

[8]陶黎娟,莊明來(lái).COBIT及其應(yīng)用問(wèn)題的理論研究[J].財(cái)會(huì)月刊(理論),2008(8).

[9]郝曉玲,胡克瑾,鄧少靈.COBIT在企業(yè)信息資源管理中的應(yīng)用[J].情報(bào)科學(xué),第20卷第8期,2002年8月.

[10]張強(qiáng)林,邵麗萍.基于COBIT的信息技術(shù)外包風(fēng)險(xiǎn)管理[J].技術(shù)與創(chuàng)新管理,第31卷第5期,2010年9月.

[11]馬雪彬,陳嬌.國(guó)家開(kāi)發(fā)銀行IT服務(wù)外包風(fēng)險(xiǎn)控制的經(jīng)驗(yàn)及啟示[J].商場(chǎng)現(xiàn)代化,2009(9)(中旬刊)總第587期.