從外包商層面探討銀行IT外包的風險及對策

陳生萍

【摘 要】銀行IT外包是銀行信息系統建設方式的創新,可以優化資源配置,使銀行技術部門快速滿足業務發展需求?，F階段我國外包市場尚未成熟,尤其是在外包商的選擇、管理上仍處于摸索階段。在探討分析我國銀行IT外包在外包商方面存在的風險的基礎上,提出相應的外包商風險管理策略。

【關鍵詞】銀行 IT外包 外包商 風險

【中途分類號】F830.49 【文獻標識碼】A 【文章編號】1673-8209(2009)11-0-02

IT外包(IT Outsourcing),即企業將全部或部分IT工作包給專業性公司完成的服務模式。80年代著名管理學者德魯克曾預言:“在十年至十五年之內,任何企業中僅做后臺支持而不創造營業額的工作都應該外包出去?！盙artner Group公司的一份研究報告指出,雖然現階段中國的IT項目經驗還比較缺乏,基礎的通信網絡設施還很有限,但中國的IT外包業務將在2007年到2010年間進入世界三強。我國目前IT外包服務市場增長速度遠高于IT整體市場增速,具有很大的潛力。

在IT外包行業市場中,金融、電信是最大的兩個市場,占據了41.9%的份額。銀行業是國內最早接觸信息技術的行業之一,無論從資金實力還是從應用規模來看,都是一個十分理想的外包市場。其中政策性銀行、全國性股份制銀行和有外資參股的中小銀行是IT外包的主體。

銀行IT外包,選擇具有良好社會形象和信譽、相關金融行業系統實施經驗豐富、能夠引領或緊跟信息技術發展的外包商作為戰略合作伙伴是關鍵。我國由于IT外包業務起步較晚, 因而如何正確全面地考察分析有關因素,選擇合適的外包服務提供商并對其進行有效管理,從而防范各類風險的產生,是銀行業需要探討的重要課題。

1 外包商選擇中的風險分析

眾所周知,可信賴的商業伙伴的選擇是商業經營中的重大舉措。一旦選擇了不合適的外包商,在后繼服務的過程中就很難有挽回的余地。因此這種風險是最嚴重也是最致命的。

1.1 外包商范圍界定的風險分析

目前市場上能提供IT服務的公司很多,其經營的范圍從僅提供單一項目的開發、運行和維護到承包商業銀行的全部IT服務,甚至提供全套技術解決方案;服務提供商既有國內公司,也有國外公司。因此在外包商選擇范圍的界定上,存在一定的風險。

1.1.1 選擇一個外包商還是多個外包商:在外包商的選取上,若所有服務均選擇同一家外包商,則會造成一定的依賴性,常常會使銀行失去對有關系統的控制權,成為一種戰略風險;特別當外包公司的業務滲入了銀行的組織和系統,即銀行被單個外包商鎖定時,其轉換成本往往十分巨大,且操作復雜。若將一大的項目分攤給多個外包商,則會面臨彼此間摩擦增加、復雜性加大等一系列問題,監督和協調多個外包商的行為代價不菲。

1.1.2 選擇國內外包商還是國外外包商:中國本土的IT外包服務商基本上還處于起步階段,除了高陽、亞信、聯想、首創網絡、世紀互聯等少數企業實力較為雄厚外,其他IT外包服務商規模還都比較小,尚未建立起一整套獨特的IT外包服務方法論和解決方案,特別是對行業用戶業務應用的理解還不夠深刻;若選擇國外外包商,由于國內外銀行的運行環境、會計核算、市場化環境及業務范圍等存在差異,這些跨國IT服務提供商在對中國市場和中國企業業務應用的理解力上還存在一定偏差;此外,其價格水平也與多數本土用戶的價格期望存在一定差距。

1.2 外包合同的簽訂及實施的風險分析

外包是一個相當復雜的過程,所涉及的范圍包括法律、財務、責權利的劃分以及監控、安全等,由此來看外包商的合同管理顯得至關重要。一方面,由于IT 外包涉及到人力、設備、軟件等多項資產轉移,這使得IT外包合約比普通合同更為復雜、更具有不確定性;另一方面,隨著商業環境以及外包商自身的變化,外包機構能否按時、保質完成合同義務存在一定的不確定性。研究表明,53%的企業和外包商對合約原始條款進行了再談判,其中1/4的談判以失敗告終;其它證據也顯示,外包企業用于訴訟的平均花費達到IT 預算的15%左右。

目前,我國銀行不熟悉國外外包的運作機制,IT外包市場環境不完善,因此在制定IT外包合同條款和管理方面缺乏經驗。一方面,在合同制定中未能全面考慮外包商的綜合狀況,往往僅把重點放在了技術細節上,沒有詳細地指明服務商必須提供的最低服務水平、具體的服務范圍和標準等,沒有建立科學、透明、標準化的定價機制和模式,為后繼外包的實施和管理埋下了隱患。

2 外包商管理中的風險分析

2.1 缺乏完善的外包商準入評級體系與后續評價機制

從國家規范與制度體系來看,我國尚沒有建立起完善的外包商準入評級體系及后續評價機制,因此對外包業務的開展帶來了新的不確定因素。

由于IT外包協議,特別是整體外包協議,一般簽約時間都較長,用戶對IT服務商的依賴性也比較強,因此選擇競爭實力強、技術有保障的企業作為IT外包合作伙伴至關重要。但當前國內商業銀行外包商準入評級體系尚不完善,無法有效對外包商的技術實力、經營狀況、社會信譽等因素進行綜合評定,以測定外包商資質等級。故在外包商的準入控制上,銀行必須承擔大量的外包商選擇成本。

再者,在不完全信息和不確定性的情況下,要準確地觀察和評估外包商的后繼行為是非常困難甚至是不可能的,因此銀行會面臨巨大的機會主義風險。如果在協議期間IT外包服務提供商倒閉或出現經營困難,對用戶的正常業務運營將產生嚴重的負面影響,甚至是毀滅性的災難。但由于準入評級體系的不完善,有可能無法準確了解外包商的財務狀況和運營情況,從而帶來隱患。

此外,銀行將部分業務外包后,意味著另一種管理的開始,且這種管理更為復雜。但畢竟IT外包服務提供商與銀行之間在管理制度與要求上千差萬別,這樣使得銀行對外包公司的監督多停留在數量的完成上,而對外包業務綜合效益、業務質量層次的提升及業務外包后對核心業務的影響等測算評價不足。

2.2 法律制度的不完善和信用問題

銀行IT外包,相關風險及管理轉移了出去,但外包服務商可能進行不受監管的操作。銀行作為業務責任和風險的最終承擔者,應如何行動才能保證業務穩健、安全地進行,并有效識別和控制風險是目前金融監管當局的重要課題。2004年,美國銀行監管部門完成了新版的《FFIEC技術服務外包IT檢查手冊》,這一文件對如何評價一家金融機構建立、管理和監督IT外包關系的風險管理水平,提供了指導方針和檢查辦法。而我國與之相關的法律、法規不完善,僅在《電子銀行業務管理辦法》等相關文件中涉及到業務外包管理,并沒有專門的關于外包服務的法律法規。因此,在違約方的責任追究等方面缺乏一個合理的行業規范,一旦出現問題,銀行方面無法得到滿意的賠償。

此外,外包強調長期的合作關系,基礎是信用,只有在充分信賴的前提下才能完成業務和技術的結合。然而,目前我國的信用體系發育程度低,市場環境不完善。相比之下,國外的信用機制比較健全,個人信用聯合征信制度在西方國家已有150年的歷史,而我國才在上海進行試點。國內銀行IT系統外包發展相對滯后的原因之一就是信任危機,銀行不敢把業務交給IT外包服務提供商。

3 針對銀行IT外包商的風險管理策略

風險管理是指經濟單位對可能遇到的風險進行預測、識別、評估、分析并在此基礎上有效地處理風險,以最低成本實現最大安全保障的科學管理方法。針對上述在外包商選擇、管理上存在的問題,提出以下風險管理策略:

3.1 確定外包商范圍的策略

在選擇一個/多個外包商方面,一些學者認為,選擇單個外包商有利于雙方建立穩固的關系,在一定的交易環境下會取得很好的績效。分散外包則存在服務協調、管理費用等問題。銀行可根據自身的外包需求確定外包方案。隨著外包理論和實踐的深入,總體外包模式逐漸廣泛應用。即銀行將所有IT業務外包給一個服務提供商,然后再由該外包商將業務分拆開來,根據銀行的意愿分包給自己的下屬單位或是第三方?？傮w外包結合了前兩種模式的優點:只同一家服務商建立外包關系,但可以得到各方面的最佳技能組合,而且不需要管理多個外包關系。這是目前較為理想的一種外包模式。

在選擇國外/國內外包商方面,選擇國內的外包商,其最大的好處就是熟悉國情,能夠根據銀行的需求量身訂做,并及時地開發修補信息系統;而外包給國外廠商,就是整體引進他們的系統。一方面,全球IT外包服務市場的老牌勁旅,在多年的IT外包服務中積累了豐富的經驗,并逐漸形成關于IT外包服務較為完善的理論體系;另一方面,國外銀行完善的業務流程、做法和先進的理念,都蘊含和固化在系統里面,通過引進國外系統,不僅能給銀行帶來技術手段的自動化和現代化,而且可以推進內部的管理,加速銀行業務跟國際業務的接軌。

3.2 建立完善的外包商資格審查制度

銀行IT外包,選準供應商是關鍵。銀行的決策層首先要建立外包事務管理機構,至少涵蓋信息、法律、人事和財務等部門,應由外包咨詢專家、銀行戰略規劃專家、各部門熟悉業務信息流的人員、IT專業人員、費用預算人員、法律顧問、實施管理和協調人員等組成。

在具體選擇上,需要對外包商的技術實力、經營狀況、社會信譽等因素進行綜合評定,以測定外包商資質等級:(1)因客戶需求涵蓋了技術、業務、流程、理念和設計等諸多方面,所以首先應確定外包商是否具有信息技術方面的資格認證,提供的信息技術產品是否擁有較高的市場占有率;是否能夠提供足夠的安全防范措施,具有對偶發事件的應對能力。(2)了解外包商自身的經營狀況,分析外包商提供的已審計的財務報告、年度報告和其他各項財務指標,了解其盈利能力;考察外包商從事外包業務的時間、市場份額以及波動因素;評估外包服務商的技術費用支出等。(3)通過咨詢機構和實地考察了解外包商的信譽和服務水平等信息。能否為銀行業務創造附加價值,已漸漸成為衡量外包服務商的重要依據,包括是否具有良好的業界口碑,其品牌知名度是否通過了CMM認證或ISO認證;是否有豐富的IT外包服務經驗及成功案例;是否具備規模的服務體系和專業團隊;是否能夠與用戶簽訂服務品質協議等。

3.3 簽訂詳實、明確、全面的外包合同

外包合同的簽訂是銀行IT外包戰略性計劃成功實施的關鍵環節。首先,外包合同內容盡量詳實、明確,必須清晰地指出外包服務的范圍與職責,特別強調外包商對外包資源的安全性、保密性以及對數據備份和交易記錄保護的責任。

此外,合同應當詳細描述基礎服務的費用及其計算,并明確任何與合同規定條件不符的費用變化,做出對增加費用的限制;要規定外包的價格和評測性能的尺度,還要規定服務的級別、懲罰外包商未能提供約定服務的條款及解決雙方爭端的程序等。

3.4 對外包業務承包商實施風險監控

項目外包后,銀行需要有一個非常有經驗的團隊來專門管理外包服務商和外包合同,還需依據與外包商合作關系的成熟度及滿意度等因素決定外包實施中的風險監控級別。新的外包業務需要高級別的控制:按合同規定的條款,銀行要保持對項目開發進度、成本、性能的隨時監測和評定;評估外包商運行的信息系統和相應的控制措施;定期審查外包商相關的內部控制、系統開發和維護以及應急計劃措施;識別外包商欠缺的、需要銀行提供補充的領域,監督并審議通過外包商的技術決策;定期審查有關外包商履行合同情況的報告,評估服務的質量;建立或完善科學的外包商年度考核體系;定期評估外包商的財務狀況等。隨著合作的日趨成熟,風險控制級別應相應降低,留下足夠進行階段性審計的能力即可。如國家開發銀行每個季度都會對惠普公司進行一次考評,還有一個動態的、經常性的考評。在實施過程中一旦發生問題,就予以及時的解決。

3.5 建立健全的外包商激勵機制

服務成本的降低是銀行客戶十分關注的事情。如果將成本節約(由外包商實現)在客戶和外包商之間平均分享,則外包商可能因得不到合理的補償而不會再進行類似的技術研發創新。因此,商業銀行既應建立必要的成本節約分享機制,又應制訂對外包商的激勵機制。若外包商在技術方面的創新能夠使銀行實現某些業務盈利,則應給予一定的獎勵作為對其承擔風險的補償,這樣可以鼓勵外包商采用新技術、持續改進服務質量。

4 結語

2007年是中國成為WTO世貿組織正式成員的第一年,外資銀行在中國市場的拓展也進入了全新時期,其從業方法與規范將給中國銀行業帶來從概念到實踐的全面沖擊。我國銀行業整體信息化相對國際先進水平來說,還有一定距離,特別是在國際銀行業中普遍采用的IT外包手法,目前僅處于起步階段。因此必須逐步解決IT外包中存在的實際問題,特別是外包商的選擇、管理方面不完善的地方,規避風險,加快外包步伐,從而在整體上提升我國銀行產業的競爭力。

參考文獻

[1] 中國IT決勝外包戰的訣竅.http://news.xinhuanet.com.

[2] 2008年中國IT外包服務市場分析.http://data.chinabyte.com/165/2696665.shtml.

[3] 楊農. 信息系統外包的決策和風險分析.學術界,2003(6).

[4] 商業銀行IT服務需求分析報告.http://news.chinabyte.com.Reports: Bank Outsourcing Risks.Electronic Payments Week,2004(1).

[5] Kannan Ramachandram. A Bank Shouldn't Limit Itself to Just One BPO Partner.Bank Technology News,2005 (18).

[6] 謝懷軍.銀行信息技術外包及其風險管理.上海金融,2004(1).