银行IT业务外包都有哪些风险

基本过程可以分为规划、实施、运行和后评估等四个阶段。

规划阶段可以分为信息化战略规划、信息化规范规划、需求管理、项目立项与可行性分析；

“信息化战略规划”是在诊断和评估企业信息化现状的基础上，制定和调整企业信息化的指导纲领，争取企业以最适合的规模、成本去做最适合的信息化工作，其目的在于研究企业的信息化战略如何与企业的业务发展战略进行匹配；

“规范管理”主要从技术、业务、管理等层面对信息化建设进行具体的实施指导，规范建设行为；

“需求管理”是对企业各个层次的管理者、业务部门和最终用户的业务需求进行整理汇总，实现企业业务战略向信息化流程的转变，形成的信息化流程及相应的软件准确实现对企业发展的支撑；

“项目立项与可行性研究”是从技术、经济、管理和开发环境等四个方面着手，研究项目的可能性和必要性；

实施阶段分为IT投资预算管理、设计方案管理、工程实施管理、验收管理；

“IT投资预算管理”与“设计方案管理”一起，共同对可行的信息系统建设的需求进行资金和各类信息资源的设计和管理；

“设计方案管理”不但设计好信息系统实施的各类软、硬件系统，还要设计对应的各个岗位的人力资源角色，为“培训管理”奠定需求的基础，同时它还要设计出对应用系统生产过程控制的测试用例和时间资源进度表；

“设备采购管理”是在“设计方案管理”和“信息化投资预算管理”完成之后，与“工程实施管理”一起共同完成信息系统的建设，但它侧重的是现成设备、软件和服务的采购。“供应商合作伙伴关系管理”为它提供评价和选择；

“工程实施管理”分为两个部分：首先是试验公司的工程实施，之后是“验收管理”的实验公司测试、上线、试运行和终验。在“工程实施”过程中，“需求分析管理”的维护阶段要对需求变更进行版本控制和风险评估，与业务需求提供部门进行协商，保证信息系统实施按期、保质的顺利进行。在工程实施的过程中需要根据“信息化规范管理”保证工程质量。在工程实施过程中，要依据“供应商/合作伙伴关系管理”对厂商进行信用度评估；

“验收管理”与“工程实施管理”进行交互，要依据设计方案管理提供的文档，按信息化规范管理进行验收控制，为“服务支撑”提供完整的信息系统。在验收工作过程中，要依据“需求分析管理”的需求维护，对信息系统进行需求变更，但一定要与企业各个层面进行有效沟通，进行风险评估，以取得各方面的利益平衡；

运行阶段分为服务台管理、服务支持和服务交付管理；

“服务台管理”建立服务台，统一服务标准，统一服务入口，对服务的工单进行监控、考核，并建立服务支撑系统，对服务请求进行电子化管理；

“服务支撑管理”在配置管理的基础上，确定问题管理、故障处理等流程，同时建立各项维护制度；

“服务提供管理”采用服务等级管理SLA的管理理念，实现可用性、能力、持续性等管理，建立维护知识共享数据库，从而保证企业发展的顺利进行；

后评估阶段包括后评估管理。

“后评估管理”是在总结信息系统运行情况下，为下一轮的“信息化战略规划管理”提供数据，依据是“服务支撑”和“服务提供”提供的各类资料，并在运行阶段、依据“需求分析管理”中的需求维护，提出在下一版本信息系统建设中的改进意见。

项目的风险无非体现在以下四个方面：需求、技术、成本和进度，而IT项目管理中时主要会遇到风险：包括技术风险、管理风险对项目产生影响的不确定因素。

IT项目管理从某种意义上讲，就是风险管理。因此IT企业在进行项目管理的过程中，必须采用适合自己的风险管理方法进行风险管理，并且确保软件项目在规定的预算和期限内完成项目。

中小银行信息系统建设采取外包采购方式来完成。因此，做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。

IT业务外包风险分析1、从宏观层面分析，产生系统性风险。目前银行业使用的IT产品如计算机CPU、 *** 作系统、基础应用软件、互联网等技术都来自国外公司，因某种原因，承包商所在国家发生战争等不可抗拒性事件时，会造成IT供应商及其供应链上的公司不能正常经营，如果IT业务外包的是一些重要的核心业务，则会对银行信息系统安全造成重大影响。

2、从供应商方面分析，产生依赖性风险。目前，国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品，在熟悉供应商产品的同时，长期使用也形成了对某一供应商的依赖，也会因外包商自身或其供应链上某公司出现问题，造成外包商运营出现风险，如果银行没有自己掌握外包供应商产品技术，更换新外包商会带来成本高及影响银行业务正常运营。

3、从产品供应链分析，产生供应链风险。目前，很多IT厂商特别是跨国IT供应商，把用户订单分包给其他外包商生产，当该公司供应链企业合作关系因某种原因出现问题时，则会产生IT外包供应链风险。

4、从采购方面分析，出现选择性风险。在外包供应商招投标过程中，由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估，并受到来自各方面关系因素影响，选择的IT外包商各方面能力不能满足银行自身业务发展需要，容易出现项目失败，造成损失。

5、从合规方面分析，产生合同风险。在与IT业务外包供应商签署合同时，因制定的合同文本中相关合同条款描述的不到位、不详细，权利与义务没有很好的说明，容易造成外包服务质量达不到预期目标甚至产生合同风险。转自项目管理者联盟

6、从道德方面分析，产生信息安全风险。由于外包供应商内部控制出现漏洞，本公司内部员工辞职，并利用到银行工作之便，或者与银行员工内外勾结，窃取银行客户信息和资产，给银行和客户造成损失。

7、从技术方面分析，产生技术风险。一些IT供应商因受到自身发展瓶颈的限制，资金和研发能力不足，不能紧密跟踪新技术应用，对软硬件产品及时进行升级改造，则对信息系统应用开发和安全运营产生影响。

9、从服务方面分析，存在服务质量风险。据2004年德勤发布的《外包调查报告》称：57%的调查者因为外包 服务提供商能够提供优质的服务和业务创新选择了外包，31%的调查者认为服务提供商处于更有利的位置。在合同不完全性和双边垄断的前提下，外包商处于更有 利的位置，致使服务质量得不到有效保障，组织效率得不到有效提升。

10、从内控管理分析，存在监督与审计缺失风险。在IT业务外包合同执行期间，银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理，忽视了对外包供应商及供应链公司的日常审计检查，容易造成IT外包业务服务水平下降。

11、从软件方面分析，存在后门的风险。在银行软件产品开发过程中，商业化的组件和中间件得到普遍应用，需求内容变更、版本升级、打补丁，很难做到每一次升级都对系统功能从头到尾全面完整的测试，这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难，会存在后门的风险。

it系统属于风险管理基础设施，但数据不是，这个说法是错误的。 数据和IT系统都属于银行的风险管理基础设施。

都说企业信息安全很重要，许多企业的IT主管们都想方设想地去实现企业的信息安全，但总归是有一次次突发的事件，使得IT主管们认识到，越来越庞大的IT资产管理难度越来越大，特别是对于持续运行的大型IT系统而言，需要有一个清晰而明确的管理策略，而这些策略还需要前置，也就是IT系统的风险管理体系去支撑IT系统的运营。

一般来说，企业信息系统的安全主要有如下四个来源：人、流程、技术和其它因素，需要重点说明的一点是，在IT系统部署中，采用了太新的技术，往往也是一件高风险的事情，特别是这项技术没有经过充分验证的情况下，IT系统的风险会成几何倍数的增长。

同时，一个过于复杂的IT系统也是风险的源头之一，太过于复杂的系统，往往对于运营与维护的要求就非常高，在这个过程中往往容易出错，再者对 *** 作人员的能力水平要求也较高，这又是另一个难题。

而IT系统的风险往往会对业务带来如下影响：

1、性能：IT系统风险有的时候是致命的，但有的时候看起来也不是特别致命，无非是系统的性能慢一些，导致一线的许多 *** 作人员是“人等系统”，在这里IT系统的性能就影响到了人员的绩效，正好在英语中，性能与绩效是同一个词，看来这两者之间还真的是有非常大的关联。

2、安全：IT风险最大的风险，也是最直接的风险就是安全，这也会影响到业务的安全，如IT系统的数据由于服务器出问题全面丢失了，企业会面临着怎么样的问题？或者都有可能导致企业的关门大吉也不为过。

3、成本：包括金钱成本和时间成本：在不久之前，我就某房地产企业的ERP系统，由于性能问题，无法按照计划进行开盘，导致当天损失了上亿的交易额的问题，一怒之下直接将原有IT系统废除，重新构建的案例，在这个例子中就出现了典型的成本代价。

在一个公司内，IT部门一般是为公司其他业务部门提供IT服务，通常是成本中心，非盈利中心。作为成本中心有两个方面需要重点考虑，一方面，需要考虑投入产出比；另一方面，IT部门一般技术力量也不强。从这两个方面考虑，IT部门有充分的理由考虑将部分或者全部的IT工作外包给更专业的公司去处理，让专业的人处理专业的事。

哪些可以外包

上面根据业务的核心程度和技术力量来进行区分哪些IT工作可以外包，对于部分外包的情况可以根据开发的主要流程进一步来确定:

上图中对于运营维护都建议IT部门直接处理，而不是外包，这不是说不能进行外包，而是强调IT部门对运维工作要有绝对的把控，因为这是IT服务好坏的一个底线，可以采用外包代维，但是关键部分，包括流程管控，安全管理等等必须抓紧抓牢。

外包模式

根据外包方多少来区分，外包又有单方外包和多方外包：

单方外包： 将IT业务整体打包外包给一家公司，包括开发、测试、运维整个流程，实行大包干。这种情况优点是可以全面利用承包方的资源，如果选择的是优秀的承包商可以短时间提升IT部门的服务水平。缺点是缺少竞争，长期看可能被承包商“绑架”，另外，让承包方大包干会导致管理、技术方面过多依赖承包方，IT部门内部人员能力下降。

多方外包： 将IT业务根据一定的业务逻辑进行分割，譬如区分CRM、计费、物流、客服等模块，不同模块外包给不同的承包方。这种情况优点是多家参与，服务能力有比较，并且有一定的竞争。缺点是有问题时会出现多家扯皮，另外各个系统之间很多接口需要多方确定，开发和维护需要协调的工作比较多。

一般不是非常重要的系统可以采用单方外包，重要的系统最好还是采用多方外包，不要将鸡蛋放到一个篮子里。

外包的风险和应对

1、信息安全风险高

IT系统处理公司业务信息，其中包括一些公司敏感信息，包括公司的生产经营数据、客户敏感信息、系统核心资源信息等等。这些信息内部人员掌握一般信息安全比较可控，毕竟是内部自己人，如果外包人员全面接触到，信息安全风险会非常高，譬如倒卖用户敏感信息。这种情况下管理上需要加强信息安全流程管控、技术上通过单点登录、4A安全审计等方式方法来提升信息安全水平。

2、人员能力下降

在外包情况下自有人员是甲方，外包人员是乙方，很多事情由乙方外包处理，并且外包具体职责有时也并不十分清晰，人都是有惰性的，长期可能导致甲方人员将本该自己处理的事情都委托乙方处理，就像家里请了个保姆，时间长了主人扫地、做饭都不会了。

3、服务质量下降

一般外包商刚合作时会很积极配合工作，服务质量很高，但是随着接触越来越多，内部人员对开发、运维等把控不够专业和深入，特别是外包合同对外包服务质量的规定如果不是很科学的情况下，外包的服务质量会下降。为应对这种情况需要在合同中明确外包合同的服务质量（SLA），并且明确奖惩方式，另外内部必须有一支对外包出去的业务（包括开发、运维等流程）非常熟悉的骨干队伍，防止被外包商”忽悠“。

外包是一把双刃剑，用的好提升自己功力，用的不好也可能会伤到自己，自己必须有相应的能力来驾驭这把剑！

数字化时代，银行业务的快速发展，计算机的系统数量和部署规模均呈快速增长态势，且加上应用系统的微服务化，系统间的关联更为复杂，也相应提升了对运维系统的要求与难度。虽然银行内建立了较为全面的监控体系，但是面对千百万的告警风暴时，故障定位解决问题十分困难，特别不利于系统安全、持续、稳定运行。

数字化转型中，以用户为中心是驱动金融行业的核心基础。所以，对于像银行、证券公司这样拥有海量运维数据的金融行业来说，智能运维势在必行。采用先进的运维手段（智能运维）则是企业不断前行的源源动力。

说一个我们正在服务的客户案例吧，客户是一家商业银行。

这家商业银行通过擎创科技提供的夏洛克AIOps解决方案，建设了一套智能运维数据分析系统，集中收集和分析十多个系统的运维数据，包括应用系统日志、告警、性能指标、交易指标和网络性能指标等，并通过机器学习算法实现指标异常检测、关联分析和告警收敛，以此加快问题定位效率，保障系统运行。为了有效提高对异常情况的监测和未来趋势预测，提前发现系统隐患，该商业银行通过擎创夏洛克AI实验室，训练并生成了基于业务场景的多类算法，实现系统的单指标异常检测，极大降低系统故障发生的概率。

与此同时，该商业银行还用了擎创夏洛克指标解析中心和告警辨析中心，通过此实现多维指标关联分析，帮助快速发现和定位系统问题，提升排障效率；实现告警收敛，降低告警风暴，加快定位时间。目前告警压缩率达到了80%以上，运维人员的告警处理效率明显提高。实现了IT系统运维的智能化，为业务健康运转提高强力保障。

其实，擎创科技此前便服务过众多银行类客户，如中国银联、交通银行、浦发银行和宁波银行等，帮助其构建了智能化的运维平台，提升了客户运维效率，且目前很多项目都进入到二期、三期建设阶段。

以上就是关于IT风险管控的基本过程分为哪几个阶段全部的内容，包括:IT风险管控的基本过程分为哪几个阶段、IT项目管理中的风险有哪些、银行IT业务外包都有哪些风险等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！