从外包商层面探讨银行IT外包的风险及对策

陈生萍

【摘 要】银行IT外包是银行信息系统建设方式的创新,可以优化资源配置,使银行技术部门快速满足业务发展需求。现阶段我国外包市场尚未成熟,尤其是在外包商的选择、管理上仍处于摸索阶段。在探讨分析我国银行IT外包在外包商方面存在的风险的基础上,提出相应的外包商风险管理策略。

【关键词】银行 IT外包 外包商 风险

【中途分类号】F830.49 【文献标识码】A 【文章编号】1673-8209(2009)11-0-02

IT外包(IT Outsourcing),即企业将全部或部分IT工作包给专业性公司完成的服务模式。80年代著名管理学者德鲁克曾预言:“在十年至十五年之内,任何企业中仅做后台支持而不创造营业额的工作都应该外包出去。”Gartner Group公司的一份研究报告指出,虽然现阶段中国的IT项目经验还比较缺乏,基础的通信网络设施还很有限,但中国的IT外包业务将在2007年到2010年间进入世界三强。我国目前IT外包服务市场增长速度远高于IT整体市场增速,具有很大的潜力。

在IT外包行业市场中,金融、电信是最大的两个市场,占据了41.9%的份额。银行业是国内最早接触信息技术的行业之一,无论从资金实力还是从应用规模来看,都是一个十分理想的外包市场。其中政策性银行、全国性股份制银行和有外资参股的中小银行是IT外包的主体。

银行IT外包,选择具有良好社会形象和信誉、相关金融行业系统实施经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴是关键。我国由于IT外包业务起步较晚, 因而如何正确全面地考察分析有关因素,选择合适的外包服务提供商并对其进行有效管理,从而防范各类风险的产生,是银行业需要探讨的重要课题。

1 外包商选择中的风险分析

众所周知,可信赖的商业伙伴的选择是商业经营中的重大举措。一旦选择了不合适的外包商,在后继服务的过程中就很难有挽回的余地。因此这种风险是最严重也是最致命的。

1.1 外包商范围界定的风险分析

目前市场上能提供IT服务的公司很多,其经营的范围从仅提供单一项目的开发、运行和维护到承包商业银行的全部IT服务,甚至提供全套技术解决方案;服务提供商既有国内公司,也有国外公司。因此在外包商选择范围的界定上,存在一定的风险。

1.1.1 选择一个外包商还是多个外包商:在外包商的选取上,若所有服务均选择同一家外包商,则会造成一定的依赖性,常常会使银行失去对有关系统的控制权,成为一种战略风险;特别当外包公司的业务渗入了银行的组织和系统,即银行被单个外包商锁定时,其转换成本往往十分巨大,且操作复杂。若将一大的项目分摊给多个外包商,则会面临彼此间摩擦增加、复杂性加大等一系列问题,监督和协调多个外包商的行为代价不菲。

1.1.2 选择国内外包商还是国外外包商:中国本土的IT外包服务商基本上还处于起步阶段,除了高阳、亚信、联想、首创网络、世纪互联等少数企业实力较为雄厚外,其他IT外包服务商规模还都比较小,尚未建立起一整套独特的IT外包服务方法论和解决方案,特别是对行业用户业务应用的理解还不够深刻;若选择国外外包商,由于国内外银行的运行环境、会计核算、市场化环境及业务范围等存在差异,这些跨国IT服务提供商在对中国市场和中国企业业务应用的理解力上还存在一定偏差;此外,其价格水平也与多数本土用户的价格期望存在一定差距。

1.2 外包合同的签订及实施的风险分析

外包是一个相当复杂的过程,所涉及的范围包括法律、财务、责权利的划分以及监控、安全等,由此来看外包商的合同管理显得至关重要。一方面,由于IT 外包涉及到人力、设备、软件等多项资产转移,这使得IT外包合约比普通合同更为复杂、更具有不确定性;另一方面,随着商业环境以及外包商自身的变化,外包机构能否按时、保质完成合同义务存在一定的不确定性。研究表明,53%的企业和外包商对合约原始条款进行了再谈判,其中1/4的谈判以失败告终;其它证据也显示,外包企业用于诉讼的平均花费达到IT 预算的15%左右。

目前,我国银行不熟悉国外外包的运作机制,IT外包市场环境不完善,因此在制定IT外包合同条款和管理方面缺乏经验。一方面,在合同制定中未能全面考虑外包商的综合状况,往往仅把重点放在了技术细节上,没有详细地指明服务商必须提供的最低服务水平、具体的服务范围和标准等,没有建立科学、透明、标准化的定价机制和模式,为后继外包的实施和管理埋下了隐患。

2 外包商管理中的风险分析

2.1 缺乏完善的外包商准入评级体系与后续评价机制

从国家规范与制度体系来看,我国尚没有建立起完善的外包商准入评级体系及后续评价机制,因此对外包业务的开展带来了新的不确定因素。

由于IT外包协议,特别是整体外包协议,一般签约时间都较长,用户对IT服务商的依赖性也比较强,因此选择竞争实力强、技术有保障的企业作为IT外包合作伙伴至关重要。但当前国内商业银行外包商准入评级体系尚不完善,无法有效对外包商的技术实力、经营状况、社会信誉等因素进行综合评定,以测定外包商资质等级。故在外包商的准入控制上,银行必须承担大量的外包商选择成本。

再者,在不完全信息和不确定性的情况下,要准确地观察和评估外包商的后继行为是非常困难甚至是不可能的,因此银行会面临巨大的机会主义风险。如果在协议期间IT外包服务提供商倒闭或出现经营困难,对用户的正常业务运营将产生严重的负面影响,甚至是毁灭性的灾难。但由于准入评级体系的不完善,有可能无法准确了解外包商的财务状况和运营情况,从而带来隐患。

此外,银行将部分业务外包后,意味着另一种管理的开始,且这种管理更为复杂。但毕竟IT外包服务提供商与银行之间在管理制度与要求上千差万别,这样使得银行对外包公司的监督多停留在数量的完成上,而对外包业务综合效益、业务质量层次的提升及业务外包后对核心业务的影响等测算评价不足。

2.2 法律制度的不完善和信用问题

银行IT外包,相关风险及管理转移了出去,但外包服务商可能进行不受监管的操作。银行作为业务责任和风险的最终承担者,应如何行动才能保证业务稳健、安全地进行,并有效识别和控制风险是目前金融监管当局的重要课题。2004年,美国银行监管部门完成了新版的《FFIEC技术服务外包IT检查手册》,这一文件对如何评价一家金融机构建立、管理和监督IT外包关系的风险管理水平,提供了指导方针和检查办法。而我国与之相关的法律、法规不完善,仅在《电子银行业务管理办法》等相关文件中涉及到业务外包管理,并没有专门的关于外包服务的法律法规。因此,在违约方的责任追究等方面缺乏一个合理的行业规范,一旦出现问题,银行方面无法得到满意的赔偿。

此外,外包强调长期的合作关系,基础是信用,只有在充分信赖的前提下才能完成业务和技术的结合。然而,目前我国的信用体系发育程度低,市场环境不完善。相比之下,国外的信用机制比较健全,个人信用联合征信制度在西方国家已有150年的历史,而我国才在上海进行试点。国内银行IT系统外包发展相对滞后的原因之一就是信任危机,银行不敢把业务交给IT外包服务提供商。

3 针对银行IT外包商的风险管理策略

风险管理是指经济单位对可能遇到的风险进行预测、识别、评估、分析并在此基础上有效地处理风险,以最低成本实现最大安全保障的科学管理方法。针对上述在外包商选择、管理上存在的问题,提出以下风险管理策略:

3.1 确定外包商范围的策略

在选择一个/多个外包商方面,一些学者认为,选择单个外包商有利于双方建立稳固的关系,在一定的交易环境下会取得很好的绩效。分散外包则存在服务协调、管理费用等问题。银行可根据自身的外包需求确定外包方案。随着外包理论和实践的深入,总体外包模式逐渐广泛应用。即银行将所有IT业务外包给一个服务提供商,然后再由该外包商将业务分拆开来,根据银行的意愿分包给自己的下属单位或是第三方。总体外包结合了前两种模式的优点:只同一家服务商建立外包关系,但可以得到各方面的最佳技能组合,而且不需要管理多个外包关系。这是目前较为理想的一种外包模式。

在选择国外/国内外包商方面,选择国内的外包商,其最大的好处就是熟悉国情,能够根据银行的需求量身订做,并及时地开发修补信息系统;而外包给国外厂商,就是整体引进他们的系统。一方面,全球IT外包服务市场的老牌劲旅,在多年的IT外包服务中积累了丰富的经验,并逐渐形成关于IT外包服务较为完善的理论体系;另一方面,国外银行完善的业务流程、做法和先进的理念,都蕴含和固化在系统里面,通过引进国外系统,不仅能给银行带来技术手段的自动化和现代化,而且可以推进内部的管理,加速银行业务跟国际业务的接轨。

3.2 建立完善的外包商资格审查制度

银行IT外包,选准供应商是关键。银行的决策层首先要建立外包事务管理机构,至少涵盖信息、法律、人事和财务等部门,应由外包咨询专家、银行战略规划专家、各部门熟悉业务信息流的人员、IT专业人员、费用预算人员、法律顾问、实施管理和协调人员等组成。

在具体选择上,需要对外包商的技术实力、经营状况、社会信誉等因素进行综合评定,以测定外包商资质等级:(1)因客户需求涵盖了技术、业务、流程、理念和设计等诸多方面,所以首先应确定外包商是否具有信息技术方面的资格认证,提供的信息技术产品是否拥有较高的市场占有率;是否能够提供足够的安全防范措施,具有对偶发事件的应对能力。(2)了解外包商自身的经营状况,分析外包商提供的已审计的财务报告、年度报告和其他各项财务指标,了解其盈利能力;考察外包商从事外包业务的时间、市场份额以及波动因素;评估外包服务商的技术费用支出等。(3)通过咨询机构和实地考察了解外包商的信誉和服务水平等信息。能否为银行业务创造附加价值,已渐渐成为衡量外包服务商的重要依据,包括是否具有良好的业界口碑,其品牌知名度是否通过了CMM认证或ISO认证;是否有丰富的IT外包服务经验及成功案例;是否具备规模的服务体系和专业团队;是否能够与用户签订服务品质协议等。

3.3 签订详实、明确、全面的外包合同

外包合同的签订是银行IT外包战略性计划成功实施的关键环节。首先,外包合同内容尽量详实、明确,必须清晰地指出外包服务的范围与职责,特别强调外包商对外包资源的安全性、保密性以及对数据备份和交易记录保护的责任。

此外,合同应当详细描述基础服务的费用及其计算,并明确任何与合同规定条件不符的费用变化,做出对增加费用的限制;要规定外包的价格和评测性能的尺度,还要规定服务的级别、惩罚外包商未能提供约定服务的条款及解决双方争端的程序等。

3.4 对外包业务承包商实施风险监控

项目外包后,银行需要有一个非常有经验的团队来专门管理外包服务商和外包合同,还需依据与外包商合作关系的成熟度及满意度等因素决定外包实施中的风险监控级别。新的外包业务需要高级别的控制:按合同规定的条款,银行要保持对项目开发进度、成本、性能的随时监测和评定;评估外包商运行的信息系统和相应的控制措施;定期审查外包商相关的内部控制、系统开发和维护以及应急计划措施;识别外包商欠缺的、需要银行提供补充的领域,监督并审议通过外包商的技术决策;定期审查有关外包商履行合同情况的报告,评估服务的质量;建立或完善科学的外包商年度考核体系;定期评估外包商的财务状况等。随着合作的日趋成熟,风险控制级别应相应降低,留下足够进行阶段性审计的能力即可。如国家开发银行每个季度都会对惠普公司进行一次考评,还有一个动态的、经常性的考评。在实施过程中一旦发生问题,就予以及时的解决。

3.5 建立健全的外包商激励机制

服务成本的降低是银行客户十分关注的事情。如果将成本节约(由外包商实现)在客户和外包商之间平均分享,则外包商可能因得不到合理的补偿而不会再进行类似的技术研发创新。因此,商业银行既应建立必要的成本节约分享机制,又应制订对外包商的激励机制。若外包商在技术方面的创新能够使银行实现某些业务盈利,则应给予一定的奖励作为对其承担风险的补偿,这样可以鼓励外包商采用新技术、持续改进服务质量。

4 结语

2007年是中国成为WTO世贸组织正式成员的第一年,外资银行在中国市场的拓展也进入了全新时期,其从业方法与规范将给中国银行业带来从概念到实践的全面冲击。我国银行业整体信息化相对国际先进水平来说,还有一定距离,特别是在国际银行业中普遍采用的IT外包手法,目前仅处于起步阶段。因此必须逐步解决IT外包中存在的实际问题,特别是外包商的选择、管理方面不完善的地方,规避风险,加快外包步伐,从而在整体上提升我国银行产业的竞争力。

参考文献

[1] 中国IT决胜外包战的诀窍.http://news.xinhuanet.com.

[2] 2008年中国IT外包服务市场分析.http://data.chinabyte.com/165/2696665.shtml.

[3] 杨农. 信息系统外包的决策和风险分析.学术界,2003(6).

[4] 商业银行IT服务需求分析报告.http://news.chinabyte.com.Reports: Bank Outsourcing Risks.Electronic Payments Week,2004(1).

[5] Kannan Ramachandram. A Bank Shouldn't Limit Itself to Just One BPO Partner.Bank Technology News,2005 (18).

[6] 谢怀军.银行信息技术外包及其风险管理.上海金融,2004(1).