IT外包管理交流v3

德勤华永会计师事务所有限公司企业风险管理服务经理何晓明2010年12月取长补短，相得益彰IT外包管理交流IT外包管理交流@2010德勤华永会计师事务所有限公司议程•概述•IT外包内容•IT外包方式方法•IT外包管理方法•IT外包风险防范•案例分析及国际经验•我们可以提供的帮助2©2010德勤华永会计师事务所有限公司保留一切权利概述IT外包管理交流@2010德勤华永会计师事务所有限公司关于IT外包的几种不同定义4出于对IT外包的理解和目标的不同，各有关方面对IT外包也有不同的定义：来源IT外包定义内容新加坡监管局外包是指机构引入第三方（服务供应商）提供服务的一种安排，这种服务曾经或者通常被认为由机构本身完成的任务，并且有以下几个特点：-机构依赖于这种服务，但不包括直接采购现成的产品；-这种服务与机构提供的金融服务是一个整体，并以机构的名义提供-对服务供应商的替代不可实现，或者成本很高银监会外包特指信息科技外包。信息科技外包（ITOutsourcing）是指机构将全部或部分信息科技服务委托外部专业资源进行管理或实现。外部专业资源包括：独立第三方、合作伙伴、集团内其他子公司、外部技术支持等卡内基梅隆大学IT外包成熟度模型外包是从外部供应商获取的服务，这种服务过去由内部提供。《资源整合，超越外包新模式》(美)科恩外包是与外部的公司就日常管理与交付达成所规定绩效水平的一系列特定服务签订合同。这一定义的关键在于对外部公司所提供的服务的日常管理的方面。外包并不是简单地雇佣合同工或由第三方提供短期的、项目是的服务，即通常所谓的人力扩充或专业代工。IT外包管理交流@2010德勤华永会计师事务所有限公司IT外包现状5国内银行IT外包总体情况：•国内商业银行大多采用外包方式开展项目建设，IT外包风险意识较强，但目前还没有建立业界比较认可的、适用中国银行的IT外包管理体系最佳实践。•大型国有商业银行一般自有员工规模大，对外包商依赖总体水平较低，对IT外包管理需求的迫切性较小。•中小规模的银行，如股份制商业银行，自身人员比较紧张，对外包商依赖程度较高，对IT外包管理需求较迫切。•国内IT外包行业还不成熟，从国际视角看，我国在世界范围内的外包市场中份额仅有2.4％，而印度是34％。IT外包商总体水平偏低，借着服务外包“千百十”工程，政府强力介入，国内外包市场以及服务商水平将有所改善。•伴随着银监会有关指引的正式发布，商业银行将加大外包风险管控的力度。IT外包管理交流@2010德勤华永会计师事务所有限公司IT外包发展趋势6调研发现大型商业银行的IT外包业务未来发展将会比较稳定，不会有大的起落；而伴随着自身管理水平的提高，中小银行将会采用更加积极的策略开展IT外包活动。从银行业IT外包发展来看，将呈现以下趋势：•（一）国家对国内外包市场处于扶持阶段•（二）IT外包市场向专业化、集中化、规模化•（三）IT外包模式不断发展创新，未来整体规模稳步发展•（四）监管机构对IT外包风险管理的要求不断提高IT外包管理交流@2010德勤华永会计师事务所有限公司国内监管部门对IT外包的最新要求•银监会发布的《商业银行信息科技风险管理指引》（以下简称《指引》）加强了对于信息科技外包的风险管控要求，《外包管理指引》也对外包的范围提出了原则性的要求7信息科技治理信息科技风险管理信息安全信息系统开发、测试和维护信息科技运行业务连续性管理外包内部审计外部审计监管部门09年的工作重点是非现场监管，通过KRI分析得出各家商业银行的IT风险水平并决定跟进措施更加关注由于IT外包导致的数据泄露风险对IT外包风险的判断考虑了更多具体因素，例如外部资源变动、对外部资源的依赖程度等对IT外包的控制效果考虑了组织、策略、结果/过程三个层面的综合表现涉及信息科技行政许可事项实施办法（正在制定过程中）设定了IT外包风险的基本控制要求IT外包管理交流@2010德勤华永会计师事务所有限公司其他关于IT外包的监管要求及可参考的最佳实践•国内外监管机构对于外包活动可能为企业持续运营带来的风险早已有所考虑，并出台了相关的指引或法规，指导企业充分利用外包活动带来的价值，降低风险。8•新加坡金融管理局–《GUIDELINESONOUTSOURCING》•FFIEC(美国联邦金融机构检查委员会)–《RISKMANAGEMENTOFOUTSOURCEDTECHNOLOGYSERVICES》•OSFI（加拿大金融监管局）–B-10《OutsourcingofBusinessActivities,FunctionsandProcesses》•其他–ISACA：《GovernanceofOutsourcing》–eSCM–SAS70–…©2010德勤华永会计师事务所有限公司保留一切权利IT外包内容的确定IT外包管理交流@2010德勤华永会计师事务所有限公司确定IT外包内容的分析过程•IT外包范围和内容的确定，需要结合银行的IT战略，银行自身的管理成熟度以及外部市场情况综合考虑，不同银行可能面临的实际情况不同，可以进行外包的内容和范围也应该具体问题具体分析•IT外包机会及差异分析的基本步骤如下图所示：10识别IT服务分类及外包现状分析IT服务外包机会比较差异，提出操作建议识别IT服务分类识别IT核心职能活动，明确核心职能活动不适合外包比较外包现状表和外包机会分布表，发现差异产生IT服务外包现状表综合风险和价值因素针对每项IT职能活动分析外包机会针对不适合外包的IT服务，提出操作建议产生IT服务外包机会分布表（只代表可能性）IT外包管理交流@2010德勤华永会计师事务所有限公司IT外包内容的示例11IT职能活动一级服务分类二级服务分类IT职能活动战略战略制定IT战略规划规划制定IT规划架构架构企业IT架构设计项目管理项目管理项目管理业务需求分析安全需求分析技术需求分析系统设计系统开发及集成实施集成测试验收测试制定服务策略服务体系设计服务监督服务水平管理用户培训运行监控可用性管理容量管理服务持续管理服务台问题管理配置管理变更管理发布管理关系管理供应商开发合同管理安全规划安全服务安全检查质量控制质量保证注释该项职能体现IT核心能力，不适合外包区域该项职能活动不体现IT核心能力，不适合外包区域适合外包的区域需要基于项目进一步分析该项服务的外包机会运维和支持日常管理供应商管理安全管理质量管理服务交付服务管理服务支持异地灾备中心需求管理服务对象应用网络终端服务器数据中心开发过程管理开发测试示例•建议掌握在银行内部的IT活动包括核心系统的需求分析及设计、安全管理、质量保证等工作©2010德勤华永会计师事务所有限公司保留一切权利IT外包方式方法IT外包管理交流@2010德勤华永会计师事务所有限公司主要的IT外包模式13通常情况下，IT外包模式可以从不同的维度进行划分，如银行对于IT外包活动的控制力、IT外包活动的场所等：选择性外包项目银行与一系列有经验的合作供应商在一定领域建立合作开发和管理的关系银行通过管理供应商间接管理供应商的资源（人力/技术/资产等）相对而言，该种模式在对供应商和人员都进行管理的前提下更偏重于对供应商的管理整体性外包项目相关的服务和设施完全由外部供应商进行管理银行保留少部分人员负责协调，并通过合同及协议对供应商进行管理购买式外包项目银行从供应商直接购入的服务和人员等资源来实现一定领域的服务银行直接对其购入的资源进行领导和管理人员资源的流动性较大、忠诚度较低，比较而言，这种模式在对供应商和人员都进行管理的前提下更偏重于对供应商派驻人员进行更深层次的管理从银行对于IT外包活动的控制力来分，包括整体性外包/选择性外包/购买式外包：从IT外包活动执行的场所来分，包括离岸外包/在场外包。IT外包管理交流@2010德勤华永会计师事务所有限公司国内不同规模的机构采取的IT外包模式及其特点14大型机构中型机构小型机构IT建设历史长且相对投入较多，具备较强的IT项目建设管理和关键技术的能力，采用补充低端或专家资源的购买式外包较为普遍；也有部分采用双方合作的选择性外包，但一般会在合作中占据主导地位。处在快速发展阶段，IT建设呈现多元化特征，多会根据IT部门现状采用多种模式，整体性外包、选择性外包和购买式外包并存的模式，具体的比例通常与IT建设的能力直接相关。受制于资源及经验不足，外包程度较高，整体性外包和选择性外包比较常见，双方在合作中外包商更具有主动性。选择性外包购买式外包整体性外包选择性外包购买式外包整体性外包选择性外包IT外包模式主要特点与不同规模机构的资金、人员以及信息建设成熟度相适应，其对于IT外包的模式和特点也呈现出一定的差异化：IT外包管理交流@2010德勤华永会计师事务所有限公司不同的IT外包模式及其差异化管理的要求15采取不同的IT外包模式导致合作双方的责任差异较大，因此银行必须根据IT外包模式特点，进行差异化管理：选择性外包项目银行需建立完善的SLA和供应商监督考核机制，明确知识产权的管理要求，建立供应商人员变动的管理要求及人员绩效管理机制。相对而言，该种模式更偏重于对供应商的管理整体性外包项目银行需要熟悉并监督供应商的内部控制水平，明确双方的职责分工，制定供应商风险应急措施。整体性外包合同周期比较长，银行要定期检查并回顾SLA的条款和供应商考核条款等。此类项目对银行内部协调人员的能力提出了较高的要求。购买式外包项目银行需要更关注引入资源的质量要求，建立外包人员的绩效管理机制，逐步提高外包人员的认同感，监督和管理供应商的SLA条款以及人员交付的能力和绩效。比较而言，这种模式人员资源的流动性较大、忠诚度较低，更偏重于对外包人员进行更深层次的管理。©2010德勤华永会计师事务所有限公司保留一切权利IT外包管理IT外包管理交流@2010德勤华永会计师事务所有限公司IT外包管理过程中需要我们关注的常见问题17•IT外包管理制度不健全，管理上以经验为主•外包管理意识薄弱，有待进一步增强•知识产权得不到妥善保护•由于采取外包导致信息安全问题的发生•IT外包服务质量和服务水平得不到有效监督和保证•对IT外包供应商的后续评价不充分多数情况下，银行都会根据根据自身业务发展与IT建设的需求，制订关于IT外包管理的制度/流程以规范IT外包管理，以使得到的外包服务水平能满足预期的目标，然而，随着银行内外部环境的变化以及外包服务的进一步深入，在IT外包管理方面仍然存在一些比较常见的问题：瞬息万变的商业环境，您准备好应对措施了吗？IT外包管理交流@2010德勤华永会计师事务所有限公司IT外包取得预期的效果，需要外包服务提供商与银行管理能力的共同提升18合约控制内部流程管理风险控制外包机构自行管理内外整合管理－延伸到外包方风险经营风险是影响企业目标实现的各种不确定性既有对成功的威胁又包括获利的机会外包业务量/复杂程度/风险水平最大潜在收益确保收益稳定损失控制竞争优势借助第三方专业机构实施管理对银行的启示：•IT外包管理能力的提升需要长期建设•达成预期的IT外包管理效果，需要双方管理能力的共同提升•IT外包管理工作的改进要考虑当前合作双方管理水平，适度优化，均衡发展IT外包管理交流@2010德勤华永会计师事务所有限公司IT外包管理框架(示例)19治理外包管理生命周期战略风险法律风险声誉风险后续管理供应商选择日常管理策略及决策合同签订项目A项目B项目C项目D政策指导报告统一的外包管理人员流程技术操作风险战略治理结构风险管理IT外包管理交流@2010德勤华永会计师事务所有限公司IT外包战略的常见问题20信息来源：DeloitteConsulting2008OutsourcingReport德勤咨询2008年外包调查报告显示，多数企业的外包战略与业务发展战略是割裂的，没有考虑到业务发展的需要。•65％的被调查者认为其所在公司没有明确的外包战略准备；•29％的被调查者认为其外包战略没有与业务发展战略保持一致；•6％的被调查者认为公司的外包战略与其业务发展保持一致。（29%）客户没有明确的与其公司战略一致的