为了推进会员单位信息科技治理能力和风险管理水平的持续提升,中国计算机用户协会信息科技审计分会建立了“中国金融科技风险管理及审计最佳实践库”。为了方便会员单位交流,我们将陆续发表介绍中国金融科技风险管理及审计最佳实践的文章。欢迎大家交流,也欢迎大家提出宝贵建议。
分会介绍
中国计算机用户协会信息科技审计分会成立于2016年12月,是在国家有关部门的大力支持下,由各行业高度依赖信息科技的机构,以及从事信息科技、风险控制和审计相关的专业人士发起组建,经国家有关部门批准成立的行业性、非经营性的社会组织。
本会宗旨:通过建立信息科技风险控制与审计专业服务平台,共建、共享信息科技风险控制与审计理论研究成果和最佳实践,为提升我国信息科技风险控制与审计人员专业水平,提升相关行业和机构的信息科技风险控制与审计水平,进而提升相关行业和机构的信息科技治理能力发挥积极作用。
摘要:银行信息科技业务外包,是一把“双刃剑”。一方面,能够使银行将有限的资源更多地投入到核心业务中去,从而降低成本、提高效率,最终提升自身核心竞争力。另一方面,信息科技的可靠性、安全性和有效性直接关系着银行的稳健运行,其蕴含的风险也不容小觑。所以,银行必须正确认识、识别和管控相应的风险。招商银行建立的一套全面、简单易行的IT外包供应商风险评估模型,能快速、准确地对供应商进行风险评估,根据风险等级进行分级管理,有效提升了银行整体外包风险的管理能力。
随着我行IT外包供应商数量的不断增多、服务水平参差不齐,IT外包供应商管理面临新的挑战。本课题在研究分析IT外包供应商管理现状的基础上,通过深入研究通用的风险矩阵评估原理,结合金融行业IT外包的工作实践,创造性地提出了从“供应商依赖程度”和“供应商持续服务能力”两个大维度对供应商进行风险等级分类的评估框架,建立了一套全面、简单行易行的IT外包供应商风险评估模型。该模型已实际应用于我行IT外包供应商风险年度评估工作中,能帮助我行快速、准确地对供应商进行风险评估,根据风险等级进行分级管理,对我行整体外包风险管理能力的提升发挥了重要作用。
一、信息科技外包风险管理的痛点
以经营风险的银行业,面对风险,从来不是选择逃避,而是拥抱风险和管理风险。
风险文化下的外包风险管理有以下主要痛点:
1. 风险文化下,过度强调风险本身,而忽视了外包价值,事实上,某些情况下不外包比外包有更大的风险;
2. 风险文化下,执行层面容易忽视风险管理本质,“一刀切”消极应对风险,形而上学,“应付交差”,真正的风险没管到位,有价值的外包反而被拒之门外;
3. 如何识别和管理外包风险,行业内普遍采用定性的主观判断,缺少有效的科学模型研究和指导;
4. 金融科技创新大潮下,诞生了许多高起点创新型的科技公司,这些企业具有年轻战斗力强的特征,但风险较大,如何与这些风险较高的公司进行外包合作,如何管控风险是一个头痛的问题。
二、 外包供应商风险评估模型研究
在模型研究过程中,为了正确地掌握风险,实现量化评估,需要用到一定的理论方法,在此理论研究基础上,形成可行的研究框架,选取适合的评估因素和指标,定义不同的供应商风险分类等级,建立IT外包供应商风险评估模型。
风险评估通用方法研究
风险矩阵法是项目管理过程中识别风险重要性的一种结构性方法,也是对项目风险潜在影响进行评估的一套方法论。该方法是根据风险发生的可能性及其影响程度的乘积来衡量风险的大小,其计算公式是 R=L×C(R表示风险等级,L表示风险发生的可能性,C表示风险影响程度)。
风险发生可能性(L):风险发生可能性指该风险事件发生概率的大小。风险发生的可能性分为5个等级:很大、大、一般、小、很小。
风险影响程度(C):风险影响程度指如果该风险发生,会对公司未来经营目标所产生影响的大小。风险影响程度分为5个等级:很大、大、一般、小、很小。
2.IT外包供应商风险评估框架
基于通用的风险矩阵评估原理,同时考虑到实施的可操作性,我们对风险评估矩阵进行了简化,将矩阵中风险发生可能性和风险影响程度的五个等级简化为“大、中、小”三个等级,以此作为我行的IT外包供应商风险评估框架。
3.评估因素的设计
首先我们要找出与风险影响程度相关的因素,例如:服务内容的重要性、合作规模、行内集中度等,作为风险影响程度(Y轴)的量化计算要素。
列举风险影响程度因素如下:
再找出与风险发生可能性相关的因素,例如:合作模式、供应商企业经营稳健性、技术服务能力、服务专业性、实施人员素质、市场成熟度、政策影响等,作为风险发生可能性(X轴)的评估要素。
列举风险发生可能性因素如下:
各个影响因子之间的关系,或相加,或相乘,取决于影响放大还是叠加。理论上来说,如果可以将以上两个维度的各个影响因子进行量化的话,则最终可以量化出风险大小。
我行对上述所提到的主要因子进行了详细的分析、总结、归纳和提炼,并结合金融行业IT外包工作的特点,创造性地提出了从“供应商依赖程度”和“供应商持续服务能力”两个维度(下设多个指标)进行评估。
4.评估指标设计
经过多轮的研究、验证和筛选,最终确定由“服务规模”和“集中度”2个指标计算得出“供应商依赖程度”。对供应商的依赖程度越高,其风险问题发生后对我方的影响也就越大。
确定由“资质及财务状况”、“年度评价考核结果”和“其它风险因素”3个指标计算得出“供应商持续服务能力”。供应商的持续服务能力越强,其风险问题发生的可能性越小。
5.评估模型建立
基于以上的研究和设计成果,我们建立了一套适用我行特色的IT外包供应商风险评估模型,该模型包括评估维度、评估指标、评估标准、评估规则和供应商风险等级等内容。
模型示意图如下所示:
三、IT外包供应商风险评估模型应用实践
为了更好地加强外包风险管理,我行采取日常监控、季度监测、年度评估等多种方式对IT外包供应商进行风险管控。该风险评估模型已应用于我行IT外包供应商风险年度评估工作。当供应商发生异常或突发事件时,也可应用该模型快速进行风险评估。
评估工作流程
IT外包供应商风险年度评估工作主要包括数据准备、风险评估和等级分类、风险应对措施落实、总结改进。
(1)数据准备
评估小组整理和统计IT外包供应商的日常服务表现、各项服务量化指标,对所有IT外包供应商进行年度服务评价,并对供应商相关情况进行调查摸底,获取尽职调查数据,作为风险评估的输入。
(2)风险评估和等级分类
评估小组将评估数据输入该风险评估模型中,对供应商进行风险评估,根据评估结果对供应商进行风险等级分类。
(3)风险应对措施落实
评估小组根据各供应商的风险评估和等级分类结果制定不同的应对措施并组织落实,跟踪相关整改事项的改进。
对于落入红区(高风险)的供应商,启动动态风险监测机制,定期或按需使用该模型对其持续进行风险评估,跟踪监控风险变化情况,及时调整应对措施。
(4)总结改进
评估小组总结回顾风险评估模型的应用情况,梳理供应商风险管理工作中可能存在的问题,研究制定模型优化和外包风险管理能力提升的目标,持续改进。
2.取得的成效
IT外包供应商风险评估模型的应用,帮助我行快速、准确地对供应商进行风险评估,有效识别和管理了外包商风险,使风险管理应对措施的制定和落实更具有针对性、准确性和有效性,从而使我行的IT外包风险管理能力得到进一步的提升。
本课题设计的风险评估框架和模型,不仅提供了一种即使缺乏风险评估经验的人员经过简单学习就可以使用的风险评估方法,而且,风险管理有一定的相通性,风险评估模型在一定程度上可以相互借鉴,对其他领域的风险管理研究也具有借鉴意义和十分重要的实用价值。(完)
备注:文章来自信息科技审计分会
