IT外包有何风险及如何防范
建立管理机构,明确外包范围,严格审查制度,加强风险监控和激励机制建设,这些措施是商业银行IT外包风险防范的重要保障。
对外包风险的把握,直接决定着 信息技术外包的成功与否。
从根本上来说,对信息技术外包风险的防范过程就是对外包活动实施全面有效的管理过程。
建立外包事务管理机构 要对外包实施全面有效的管理,必须首先建立外包事务管理机构。
目前,商业银行外包过程中,仅在外包决策、外包商选择、或发生了法律纠纷时,才成立临时性机构,处理相应外包事务。
管理组织的不稳定造成管理人员的频繁调动和流失,削弱对外包项目的充分理解,影响了合作双方感情的建立。
人员的不稳定必将造成管理策略的不连续,削弱双方合作和信任基础,给外包项目的管理和监督带来不必要的麻烦,影响外包的服务质量和进度。
外包事务管理机构应该由银行战略规划专家、外包咨询专家、各部门熟悉本行业务信息流关系的代表、信息技术专业人员、费用预算人员、法律顾问、实施管理和协调人员组成。
主要负责外包前对国内、外行业、竞争对手以及自身的信息化需求进行调查研究;识别信息技术的核心竞争能力;在收益、成本和风险之间进行平衡并进行外包决策;制定外包的建设技术标准;设计外包方案,避免重复投资与信息孤岛;评价外包商的技术等级、发展能力,选择承包商;签署外包合同;对外包服务过程进行全面监督、协调和控制;处理与现有外包商的外包关系;监督并审议通过外包商的技术决策;积累外包经验并帮助制定未来的外包决策;谈判并推行未来的外包合同;使IT整体战略与不断变化的银行的整体战略保持一致。
明确IT外包范围 哪些是构成核心竞争力的信息技术,哪些是可以外包的非核心技术,外包范围的确定是商业银行信息技术外包中面临的首要问题。
J.P.摩根公司通过对美国商业银行的电子化发展研究,提出M1-M2-M3层信息技术构架理论(如图1所示),M1是指计算机系统的硬件、系统软件、工具软件、网络设施和其他银行使用的专用机具;M2层主要由应用软件和人机接口组成;M3层的内容主要包括业务流程重组、策略规划、应用系统集成和现有应用系统的管理和维护。
M1层的技术属于技术提供商而非银行,对于商业银行来说,M1层的竞争主要表现在合并分散的数据处理中心以追求更好的规模效益;在M2层的信息化建设上,美国商业银行走了一段曲折的道路,开始采取完全自主开发的方式,在支付巨额开发成本的同时,还要承担开发失败的风险,开发完成后发现各家银行基本雷同,是一种低水平的重复建。
因此进入上世纪80年代,美国商业银行不仅共同投资建设网络,实现资源共享,而且逐渐与IT公司合作开发软件或直接使用商品化的软件。
经过研究发现,美国商业银行在M1和M2层的开发投入,实际收获的只是M1和M2层的技术培训,在M1和M2层领先所产生的效益不如M3层快。
借鉴美国商业银行的电子化发展经验和摩根公司M框架理论,我国商业银行在进行信息技术外包的过程中,应将M1、M2层外包,利用外包商的规模效益,降低成本,集中力量建设M3层,才能培养核心竞争力,实现特色化经营。
建立对外包商资格审查制度 外包成功的关键因素之一是选择具有良好社会形象和信誉、相关金融行业系统实施经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。
因此,对外包商的资格审查应从技术能力、经营管理能力、发展能力这三个方面着手。
技术能力:外包商提供的信息技术产品是否具备创新性、开放性、安全性、兼容性,是否拥有较高的市场占有率,能否实现信息数据的共享;外包商是否具有信息技术方面的资格认证,如信息产业部颁发的系统集成商证书、认定的软件厂商证书等;外包商是否了解金融行业特点,能够拿出真正适合商业银行业务的解决方案;信息系统的设计方案中是否应用了稳定、成熟的信息技术,是否符合银行发展的要求,是否充分体现了银行以客户为中心的服务理念;是否具备对大型设备的运行、维护、管理经验,和多系统整合能力;是否拥有对高新技术深入理解的技术专家和项目管理人员。
经营管理能力:了解外包商的领导层结构、员工素客户数量、社会评价;项目管理水平,如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率或流动率;是否具备能够证明其良好运营管理能力的成功案例;员工间是否具备团队合作精神,外包商客户的满意程度。
发展能力:分析外包服务商已审计的财务报告、年度报告和其他各项财务指标,了解其盈利能力;考察外包企业从事外包业务的时间、市场份额以及波动因素;考察银行的外包合同对外包服务商财务状况的重要性如何;评估外包服务商的技术费用支出以及在信息技术领域内的产品创新,确定他们在技术方面的投资水平是否能够支持银行的外包项目。
对外包实施进行风险监控 信息技术外包的目的在于通过整合信息技术合作伙伴的企业资源,快速实现服务手段和服务方式的信息化,满足客户的需要。
信息技术外包中产生的任何风险都会严重影响银行的形象。
因此,在信息外包的全过程中要实施风险管理。
风险管理应分为四个步骤:第一步是识别外包实施中各阶段的宏观、微观层面风险,设置监控点。
宏观上密切关注信息技术、外包市场的发展,以及银行自身经营环境、竞争对手外包策略、外包商经营状况的变化,防范技术、市场风险。
微观层面上,听取外包商在项目实施不同阶段的报告,评估外包商运行的信息系统和相应的控制措施(如资源安全性、完整性、保密性),定期审查外包商相关的内部控制、系统开发和维护、以及应急计划措施,以保证它们符合合同要求,并且与当前的市场和技术环境相一致;了解外包服务是否及时,服务质量、服务水平是否得到提高,防范交易和信誉风险。
第二步是分析造成工作偏离预定标准的问题的实质,对产生问题的原因进行调查并做出结论;第三步是拟订解决问题的可行方案,并从中选择出最好的;实施选定的方案,使外包工作回到原定的、期望的标准上。
建立对外包商激励机制 外包商的经营目标是实现利润最大化,而银行希望以公平价格获得良好的服务,因此,商业银行应制订激励机制,将其经营绩效与外包服务要求挂钩,使合作双方目标一致。
可采取以下激励措施: 优质优价:根据信息技术外包的范围,按照系统正常运转的时间、效率,制定合格、满意、优质三层标准,达到不同标准给予不同价格。
标准的制定应该随着技术的发展而不断提高,如果外包商在技术方面的创新能够使银行实现某些业务盈利,应给予外包商一定的奖励。
这样可以鼓励外包商使用新技术、持续改进服务。
级别管理:根据对外包商的资格审查、合作时间长短、合作过程中满意程度,制订相应的评级制度,将外包商划分为准入级、合作级、伙伴级。
级别评定是能上能下的,如果外包商的服务水平下降、服务质量降低,就会被降级。
级别管理是希望通过一系列连续的合同来加强银行与外包商的合作关系,提醒外包商通过优质服务建立良好声誉、获得收益的重要性。
波段是什么
树立科学的安全观。
民安为天 人民是安全生产的主体,也是先进生产力和先进文化的创造者。
遏制重大事故,是人民群众的最根本利益。
抓安全生产要从实践“三个代表”的高度,树立人民群众生命安全大于天的观念。
民安为天,必须增强责任感 安全工作的基本要素是“责任感”,强烈的责任感是遏制事故的保障。
从认识论看,人类自有生产活动便伴随着各种隐患。
安全工作的本质就是使人的生命不受威胁,是一项涉及方方面面的系统工程,必须以责任为纽带团结协作,方可长治久安。
从生理学看,一个人若对某项工作怀有责任感,他将为这潜心奋斗。
安全工作是人命关天的大事,需要恪守职责,严谨认真地对待。
从价值论看,安全工作紧系执政为民,是一种职业道德和做人境界。
惟有兢兢业业,方可人人事事保安全。
去年全国各类事故死亡136102人,伤残70万人,直接经济损失逾2500亿元,占GDP2.5%,相当于投资3个三峡工程。
去年1至9月,全国发生烟花爆炸事故98起,死209人,伤434人,分别比上年同期上升21%、41.2%、231.3%。
这些事故大多属责任事故,每起重大事故背后都存在严重的失职渎职行为。
浏阳市是“中国烟花之乡”,年产烟花26亿元,居全球首位。
针对烟花“火药桶”特点,实施六级互联互保责任制,促使安全形势显著好转,吸引世界27个烟花主产销国在浏阳举办国际烟花安全论坛,缔结《浏阳宣言》,确立浏阳为国际烟花协会(I-FA)总部永久所在地。
实践表明,增强责任感,事故是能够遏制的。
民安为天,必须摒弃重生产轻安全的偏见 古人云:“急功”,则行异;行异,则身危,故圣人以“急功”为戒。
“急功近利”往往是“急功近祸”。
长期来一些人重生产轻安全,接人力,拼设备,这种“经济发展,事故难免;经济要上,安全要让”的非理性发展观,是当前重大事故高发的重要原因。
发展是硬道理,但发展绝不能违背经济规律,绝不能以牺牲人的生命为代价。
现代安全经济学“三角形理论”认为:经济为两条边,安全是一条底边。
没有底边的支撑,就构不成稳定的三角形。
研究表明,安全对经济发展有巨大的贡献率,低危行业为1.5%,一般危险性行业2.5%,而烟花等高危行业达7%。
生产是一种复杂的物质转换活动,活动全程会遇到各类隐患。
安全生产用尽量少的活劳动消耗和物质消耗,生产出更多符合社会需要的产品,无疑促进了生产力的发展。
1988年以前,美国钢铁公司事故频发,企业濒临倒闭。
董事长凯里将原订“质量第一,产量第二,安全第三”方针调为“安全第一,质量第二,产量第三”后,企业起死回生。
从此这一最早提出的“安全第一”口号便风靡全球。
去年3月22日,铁锁封条为何没有阻住孟南庄煤矿死62人的特大矿难
54次停产治患令为何没有挽回鸡西煤矿115条生命
忽视安全而片面痴恋煤价狂升成了生命涂炭、企业沉沙的头号“杀手”。
后人哀之,岂可不鉴之
预防为主 “事未至而预图,则处之常有余;事既至而后计,则应之常不足”。
“亡羊补牢”毕竟羊亡了,预防为主才是治本之策。
预防为主,就要居安思危,常抓不懈 马克思主义哲学认为,世间一切事物都是变化发展的。
就安危福祝而论,它们之间是“安危相易,福祸相生”。
意指安与危互相倚伏,福与祸彼此包含。
它们之间不是截然分开,而是对立统一,相辅相成;不是一成不变,而是在一定条件下向相反方面转化。
今天的安全常常是从昨天的隐患转化来的,但如果把握不当,为一时的安全而志得意满,骄傲放纵,侥幸大意,眼前的安全就会稍纵即逝,重新走向反面。
1984年12月3日,驰名全球的印度联碳公司对异氰酸甲脂泄漏隐患“大意失荆州”,造成4000居民中毒死亡、20万人深受其害的世界最大惨案。
辛集烟花厂心存侥幸超温晒药,35人魂断黄泉。
杏儿沟煤矿42人命丧瓦期爆炸,董事长的话催人深省:“大意了,因为是低瓦斯矿。
舍得花钱买棺材却舍不得买安全设备”。
现实中因居安忘危招致灭顶之灾的数不胜数。
殷鉴不远,教训犹取。
预防为主,就要加大投入,提高防范能力 没有足够的安全投入,危险设备难以淘汰,事故隐患难以清除。
现代安全经济学“金字塔法则”认为,预防性投入考虑1分的安全性,相当于制造时的10分安全性效果,进而达到运行投产后的1000分安全性效果。
预防性投入产出比远高于事故整改产出比,两者比例为1∶5,这是安全经济的基本定量规律。
预防性投入不足是我国恶性事故居高不下的重要原因。
我国安全投入占GDP比重不足1%,而发达国家达3.3%。
我国安全投入从企业更新改造资金中提取,比率要求达10%以上。
而实际提取比率远低于这个标准,导致新建项目随意削减安全设施。
我国目前尚有43.7%的县、25.3%的地市没有安全监管机构,已设的监管机构不少人员严重不足。
而英国国家安全卫生局是4000多人,荷兰3个安全部门每个都有1000多人,日本通产省仅管理化学品安全的一个课就有20多人。
投入不足使我国安全生产水平与国外相差很大。
以煤矿百万吨死亡率为例,美国0.017,波兰0.23,印度0.5,俄罗斯0.7,而我国去年为3.64。
法治为先 “法令行则国治,法令驰则国乱”。
安全经济是法治经济。
坚持法治为先,是安全生产的永恒主题。
强化对事故隐患的治理 任何事故的发生都源于隐患的积淀激化。
现代安全经济学海恩法则“认为:”每一起严惩事故的背后,必然有29次轻微事故和300起未遂先兆,以及1000起事故隐患。
要想消除这一起严重事故,就必须把这1000起事故隐患控制住。
为此,要认真执行国务院日前出台的《安全生产许可证条例》,按照“谁管理,谁发证,谁负责”原则,严格安全准入,从源头上杜绝不具备基本安全条件的企业进入市场。
要规范安全行政审批。
必要的行政审批是防范事故的重要环节,而这个环节又是腐败高发部位。
一些领导干部在小烟花、小煤窑入有暗股,或收受贿金。
这种“猫鼠一家亲”使其胡签滥签,“谁签字谁负责”成了“谁签字谁捞利”,使漏洞百出的项目及工程验收埋下无穷隐患。
大笔一挥,生命所系。
必须依法对负责审批认证、颁照验收的人员严格监督,对违反安全法规的有关人员依法严惩。
强化法治的严肃性 法律的生命在于执行。
“工于制法,拙于执法”是历代王朝酿成政策国亡的首祸。
我们必须吸取教训,使安全执法真正硬起来。
我国安全生产法的出台,解决了有法可依的问题,但在一个法治社会里,有法可依仅是初级层面,有法必依、执法必严、违法必究才是最高境界。
早在二千多年前,孟子就指出:“徒法不能以自行”,并精辟阐述了贤人与良法并重的“人法关系论”。
美国著名法学家伯尔曼有句名言:“没有信仰的法律将退化成僵死的教条,法律必须被信仰,否则它形同虚设。
”国外对违法生产惩罚十分严厉。
在美国,即使没有发生重大人员伤亡的一般性违规行为,每次罚款达5.5万美元;严重违法或导致人员伤亡的,罚款分别达25万美元、50万美元。
我国目前安全执法随意性较大,对事故处罚偏轻,缺乏应有的法威震慑。
黑心业主即使出事,也是“委屈一阵子,潇洒一辈子”,致使非法生产死灰复燃,遗祸无穷。
要依法加大对事故的惩罚力度,对漠视人民生命者课以重典,提高事故成本,罚得非法业主伤筋动骨、死不起人,才能确保长治久安。
