对外经济贸易大学信息学院 贾树辉 陈进

银行业早在20世纪70年代就涉足外包领域，20世纪90年代以来呈现出迅猛发展趋势，随着我国银行业改制深化和银行间竞争的日益加剧，银行的信息基础设施和业务系统不断进行升级和换代，使得部分银行尤其是中小银行内部信息技术部门很难跟上业务发展对信息系统建设的需求，而银行IT外包的出现为解决上述问题提供了有效途径。银行IT外包是指银行以合同的方式，在规定的服务水平基础上，委托IT服务提供商向银行提供所需的部分或者全部IT功能和活动(马雪彬和陈娇，2009)，其主要内容是银行信息系统的开发建设与运维服务、基础设施建设与运行、技术性业务流程、信息技术咨询服务等外包。

外包作为一种创新管理模式，具有整合、利用外部最优秀的专业资源，从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强银行对环境的快速应变能力的属性。随着外包的深入发展，如何进行IT外包的有效管理、规避外包过程的风险也日益成为各个银行和行业监管部门关注的课题。COBIT是IT治理领域的公认框架和标准，借鉴其管理实践和思路，构建基于IT治理理论的IT外包管理框架，将为商业银行在IT领域更好地管理外包业务、利用外包资源、降低外包风险提供有益参考，并促进IT外包在银行业的健康快速发展。

1 IT治理理论概述

IT治理的目标是通过一系列流程与控制实现IT的商业价值，国际信息系统审计协会(ISASC)和国际IT治理研究院(ITGI)是提出并研究IT治理理论的主要组织，他们通过建立IT治理的总体架构，明确IT治理核心流程，颁布相关的流程控制标准，从而指导企业完成IT治理的相关工作。其代表性的研究成果包括Control Objectives for Information and related Technology(COBIT)和Board Briefing on IT Governance。

COBIT是国际上公认的IT管理与控制框架，已在世界众多国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关工作实施和风险控制。COBIT是一系列关于IT管理最佳实践(框架)的集合，最初是ISASC于1996年首次提出，至2005年颁布COBIT 4.0，并于2007年5月将版本更新到COBIT 4.1(王德健，2007)。

图1 COBIT的关注维度

COBIT基于IT治理观点，从战略融合、价值交付、资源管理、风险管理和绩效测评五个维度进行IT过程的监督与控制(如图1)，每个维度的关注内容具体如下:

(1)战略融合:关注于确保业务计划和IT计划的关联；规定、保持和验证IT价值建议；使IT运营与企业运营目标保持一致。

(2)价值交付:在整个交付周期内提出价值实施建议，确保IT实现预期的战略收益，集中关注成本的优化，提供IT的固有价值。

(3)资源管理:对IT资源(应用系统、信息、基础设施和人员)的优化投资并适当管理，关键问题在于进行知识和基础设施的优化。

(4)风险管理:要求企业的高层管理者具备良好的风险意识，清晰了解企业对风险的偏好，熟悉企业合规性要求，并将风险管理的职责嵌入组织之中。

(5)绩效测评:追踪并监控战略实施、项目终结、资源使用、流程绩效、服务支付以及诸如平衡记分卡的使用，将战略转化为具体行动，实现传统财务管理、行政管理等无法测量的目标。

按照上述维度划分，COBIT提出了34个信息技术控制过程，并且对每个控制过程制定了流程描述、控制目标、管理指南、成熟度模型四方面的详细内容用于指导实施，从而确保了IT目标与业务目标一致性、通过IT保障业务实现收益最大化、IT资源使用的有效性和对IT风险的适当管理等目标。

国际IT治理研究院(ITGI)认为IT治理本质上有两个关注点，一是实现IT的商业价值，二是规避IT风险。它将IT治理的内容分为五个研究领域——目标设定、IT活动、绩效测量、目标比对和IT价值交付。目标设定是IT治理的初始点和驱动因素，需要由企业董事会层面确定，并需要制定明确的衡量标准进行绩效的度量和监控，确保目标能够被正确达成、行为能够被合理管控。

2 银行IT外包的内容与管控需求

“管控”源于“管理+控制”，它强调对管理活动的控制，其含义是指通过一系列组织制度体系的设计，包括组织的责权利体系的设计、组织流程和制度的设计等，为整个管理活动创造一个良好的运作机制环境，确保一个企业的管理活动在特定的游戏规则下执行，从而提高企业的执行力，降低企业的运作风险。对于银行IT外包的管控，基于IT治理研究的相关思想和理论，可以从IT实施过程的管理和风险的规避控制角度分析具体的管控框架和内容。

2.1 银行IT外包的内容

银行IT外包一般主要包含软件研发及开发服务外包、软件技术服务外包、信息系统运营维护服务外包、基础信息技术服务外包与技术性业务流程服务外包等类别，具体内容见表1。

表1 银行IT外包类别与内容

2.2 银行IT外包的管控需求

从国内来看，银行IT外包发展历史并不长，针对IT外包的管控经验和制度体系并不完善，且国际上也无完整的管控体系可以借鉴，目前只是一些先行选择外包的银行(如国家开发银行)的实施过程中形成了一定的经验积累。一般来说，银行对IT外包的管控都涵盖外包决策、外包风险管理、外包供应商评估和外包合同管理等业务领域。

2.2.1 外包决策

银行IT外包决策过程有自己的特点，相对于其它的行业来说，银行的管理机制及业务流程都非常的严谨，银行IT外包不仅涉及到资产专用性、短期费用、长期费用、核心竞争力等外包决策的常见因素，还要考虑技术因素、人力因素、管理因素等其他方面。银行一般需成立独立的外包决策组，包括业务需求部门、信息技术部门、内审部门人员及相关管理决策人员，根据风险控制和业务运作需求，合理确定外包的原则和范围，通过招标采购方式进行外包决策实施。

2.2.2 外包风险管理

银行实施IT外包，应充分认识外包对IT建设风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中(张强林和邵丽萍，2010)。这就需要银行从以下方面进行外包风险管控:(1)制定并逐步完善风险管控制度，外包风险管理应当符合风险管理标准和策略，并应建立针对外包风险的应急计划；(2)银行与外包服务提供商建立有效的联络、沟通和信息交流机制，在意外情况下能够实现外包服务提供商的顺利变更，保证外包业务的连续性；(3)银行应建立完整的外包风险评估与监测程序，审慎管理外包产生的风险，提高本机构对外包管理的能力；(4)根据国家监管要求，银行在实施敏感信息系统的外包前，应按照法律法规规定向监管部门报告备案。

2.2.3 外包供应商评估

在外包实施之前，银行应建立完善的外包服务提供商评估机制，充分审查、评估外包商的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。在外包实施后，银行应建立持续的跟踪审核机制，定期对外包商的风险控制、业绩标准、业务策略、管理程序、监督过程等进行跟踪审核，根据量化的考核指标定期对承包方进行考评，公布服务周期的评估结果，实现外包服务水平的跟踪评价。

2.2.4 外包合同管理

合同是进行外包管理的重要依据，银行与外包服务提供商签署的外包合同应全面可实施，内容包括:外包服务的范围和标准；保密性和安全性；业务连续性；审计和检查；争端的解决方案；未履行责任的赔偿、补救和追索权等。对于具有专业技术性的外包业务，可签订服务等级协议(SLA)；如涉及分包或转包，外包合同协议中应明确设立服务提供商分包或转包的规则或限制。

3 基于IT治理理论的银行IT外包管控框架

从IT治理的视角，COBIT将IT治理活动划分为四个职责域:(1)计划与组织(PO):为提供解决方案(AI)和提供服务(DS)制定相应制度；(2)获取与实施(AI):提供解决方案并将其转化成为服务；(3)交付与支持(DS):接受解决方案，使之为最终用户所用；(4)监控与评价(ME):监控所有流程确保遵循既定方针。

图2 IT治理职责域关系图

银行IT外包的实施流程也切合了COBIT的职责域划分，按照该划分维度，综合COBIT对各职能域中各项活动的管理要求与评测指南，以及银行IT外包管控的具体需求，可以规划出对应IT治理职责域的银行IT外包管理框架和主要内容(见表2)，这些主要管理措施便构成了银行IT外包管理框架，各个外包管控域的主要内容为:

(1)计划组织:发包方为实施IT外包管控而进行的组织内部的相关IT制度与组织管理建设等内容。

(2)获取实施:发包方为实施IT外包管控而进行的组织统一的技术基础设施建设、IT外包流程与决策控制、外包知识库管理等内容。

(3)交付支持:发包方为实施IT外包管控而进行的涵盖外包成果交付、外包风险管理、组织内部IT资源的可用性和连续性保证等内容。

(4)监控评价:发包方为实施IT外包管控而进行的包括组织对IT外包服务提供商的管理监控与绩效评估、组织按照监管要求对外包服务提供商进行管理等内容。

表2 银行IT外包管控框架和内容

4 结语

IT外包使银行能够以更富有效率、低成本、低风险的方式完成信息技术任务，在提升银行核心竞争力、节约项目成本、加速信息化建设的进程中发挥着不容忽视的作用。建立IT外包管控框架的目标是通过一系列的组织制度体系的设计，包括组织的责权利体系的设计、组织流程和制度的设计等，实现对IT外包活动的管理和控制。

以IT治理理论为视角，在从战略融合、价值交付、资源管理、风险管理和绩效测评五个维度分析了商业银行在IT外包实施过程中的活动内容与组织层面的管理控制需求基础上，本文针对IT外包的内容，构建了涵盖IT外包业务的计划组织、IT外包服务的获取实施、IT外包成果的交付支持和IT外包活动的监控评价四方面内容的商业银行IT外包管控框架，并细化了每一方面的管控目标、具体的管控内容与措施。这不仅为银行业金融机构加强对IT外包管理提供了借鉴、促使外包项目达成预期目标具有重要实际意义，同时对社会经济中IT外包行业的发展也有重要的促进作用。

[1]The IT Governance Institute.COBIT 4.1.United States of America.2007.www.itgi.org.

[2]ITGI.Board Briefing on IT Governance(Second Edition).2003.

[3]Narayanan Kumbakara.Managed IT services:the role of IT standards.Information Management & Computer Security.Vol.16 No.4,2008.

[4]David Luthy and Karen Forcht.Laws and regulations affecting information management and frameworks for assessing compliance.Information Management &Computer Security.Vol.14 No.2,2006.

[5]中国银行业监督管理委员.银行业金融机构信息系统风险管理指 引(银 监 发[2006]63号).2006年8月7日.http://www.cbrc.gov.cn/upload/zwgk/ml3/2/5-2-32.doc.

[6]马雪彬,陈娇.国家开发银行IT服务外包风险控制的经验及启示[J].商场现代化,2009(9)(中旬刊)总第587期.

[7]王德健.COBIT标准在IT外包业务风险管理中的应用[J].商场现代化,2007(11)(中旬刊)总第521期.

[8]陶黎娟,庄明来.COBIT及其应用问题的理论研究[J].财会月刊(理论),2008(8).

[9]郝晓玲,胡克瑾,邓少灵.COBIT在企业信息资源管理中的应用[J].情报科学,第20卷第8期,2002年8月.

[10]张强林,邵丽萍.基于COBIT的信息技术外包风险管理[J].技术与创新管理,第31卷第5期,2010年9月.

[11]马雪彬,陈娇.国家开发银行IT服务外包风险控制的经验及启示[J].商场现代化,2009(9)(中旬刊)总第587期.