2009年3月第3期(总252期)中国工萦枢济ChinaIndustrialEeonomiesMar.,No20093【案例研究]银行信息系统外包及其风险管理研究—以C银行风险管理为例左小德‘,张耀辉“(1.暨南大学管理学院,广东广州510632;2.暨南大学产业经济研究院,广东广州510632)「摘要」银行投入了大量的资金进行lT建设,优化业务流程,提高服务效率,其普遍采用的方法是外包。但是,在开发和外包过程中,由于缺乏对项目的风险管理,问题不断产生,可能直接影响项目的上线。银行IT外包风险管理的一个有效手段就是对该风险的预先防范,对每个风险事件的风险影响程度、风险产生概率进行评估,为Irr外包风险管理提供科学的依据,提高风险管理的效率和质量。本文详细地辨识了银行IT外包风险的风险源,并以C银行IT外包为背景,运用Borda方法对各种风险进行了评估。在此基础上,分析了风险的控制和防范策略,为银行业IT外包风险管理提供了一个实用而有效的管理范式。{关键词」IT外包;银行业;风险管理;风险矩阵[中图分类号]F27o[文献标识码]A[文章编号]1006一480X(2009)03一0149一10一、银行外包模式银行IT外包是指银行以合同的方式委托IT服务商向银行提供所需的部分或者全部的IT功能。国外银行lT外包的典型案例是美国J.P.摩根大通银行于2002年同IBM达成的为期长达7年、总价值为50亿美元rr外包服务协议,成为迄今为止全球最大的银行IT外包项目(罗伯特·克莱伯等,2002)。最近一个国际影响力较大的银行IT外包项目是荷兰ABNAmro银行宣布于2005年9月与包括IBM及印度最顶尖三家公司在内的五家公司达成为期5年、项目金额为22亿美元IT服务交易(oh,Galliva,2004)。IT外包确实带来许多有目共睹的好处,降低IT投资成本,提高IT系统运行和服务效率,同时可以加快金融产品开发,缩短系统投产日期,而且通过与著名的大型IT服务供应商的合作,比较容易获取到国际先进的IT技术及管理经验。对于IT外包的理论基础、外包的决策等问题,现有文献已经有比较深人的研究。按IT外包风险研究的范围来看,这些文献大概可以分为两类,一类是以风险管理理论为指导,在风险管理的框架下系统地研究风险识别、风险控制、风险评估和风险管理工具等问题。一类则着重于研究风险管[收稿日期」20()9一02一05l基金项目〕教育部留学归国人员科研启动基金资助项目“供应链管理中契约与绩效的研究”(批准号2008一890)。[作者简介]左小德(1968一),男,湖北应城人,暨南大学管理学院教授,博士生导师;张耀辉(1961一),男,辽宁阜新人,暨南大学产业经济研究院教授,博士生导师。149理的一些领域:风险分析、评估、应对、防范等一些比较具体的问题。Lacitvetal.(1998)认为IT外包可能会导致IT服务质量降低,以及客户对IT的需求的不明确导致失败;rr外包也可能使客户无法控制重要的战略性活动,同时使用的技术迅速被更新的技术淘汰。客户可能会因为上述情况而产生的隐性成本付出更多的外包费用;IT服务提供商也可能因此而放弃采用新技术,在人员和技术的配备方面不提供最佳资源,最终使客户IT外包的目标落空。Earl(1996)提出IT外包的11种可能出现的风险,并且强调了某些系统具有技术上不可分割的特性,外包一部分可能会导致严重后果,同时客户也可能失去了对运作进行优化的机会。Boehm(1989)、Chapman(2001)总结出了IT风险因素和负面因素的对应关系,将IT外包风险归纳为隐藏成本、契约成本、服务质量下降和组织竞争力削弱等方面。国内由于IT外包起步较晚,对于其中隐藏着的风险并没有投入太多的关注,主要有林建宗等(2006)研究了ASP模式下IT外包的风险分析与对策;杨英等(2001)分析了企业信息技术外包的风险与防范;娄策群等(2006)分析了基于非对称信息理论的信息技术外包风险管理;林则夫等(2004)研究了信息技术外包中的风险管理策略;李小卯(2002)重点探讨了信息技术外包套牢问题的研究等,郭英见(2006)从一个侧面研究了银行IT外包及其风险管理策略。目前在IT外包的风险研究领域中,着重关注的是普通企业的IT外包风险研究,针对银行业的特点,对银行业IT外包风险作专门研究还可以进一步深人。二、以C银行IT外包为例的风险分析C银行曾将外汇信息管理系统的开发外包给了Z公司,为了准确衡量风险各自对项目的影响程度,风险管理小组剔除了各个风险事件之间的相互影响因素。1.确定银行IT外包风险事件及其风险要素选择z公司作为IT服务供应商,风险管理小组应用故障树分析方法(FauhTreeAnalysis,FAT)(郭仲伟,1987),结合头脑风暴法(BrainStorming,BS)对风险进行辨识,c银行在外汇信息管理系统外包项目中主要遇到的风险见表1所示。这些IT外包风险根据实际情况,以及需要评估的层次,还可以进一步细化,比如,系统安全风险可以细化成系统设计不合理、设备部署不合理、程序编写不合理、参数配置不合理等。2.构建二维矩阵在构建风险分析的二维矩阵时,先定义风险影响程度I,风险发生的概率尸,以及风险级别R。风险影响程度(I)等级主要用来评估风险对项目的影响,分为5种,包括:关键、严重、一般、微小、可忽略,这5种程度在银行IT外包风险分析中有具体的定义和内涵。关键:IT外包项目失败,相关银行业务无法正常开展;严重:导致IT外包项目预算大幅度增加,项目周期延长,相关银行业务可能会无法正常开展;一般:lT外包项目预算增加,周期延长,相关银行业务受到影响,但部分业务还可以正常开展;微小:IT外包项目预算小幅增加,相关银行业务受到一定影响,但不会影响主要业务的正常开展;可忽略:相关银行业务的正常开展没有什么影响。风险发生的概率(尸)主要用来评估风险发生的可能性,分为5个等级:0一10%,非常不可能发生;11%一40%,不可能发生;41%一60%,可能在项目中期发生;61%一90%,可能发生;91%一100%,极可能发生。在风险分析中通过(I,P)之间的相互关系,来确定风险级别(R),分为高、中、低三个级别(见表2)。这种风险因素进行分类的方法是一种非精确的分类方法,容易产生出一些处于同一等级具有基本相同的属性还可以继续细分的风险模块,即风险结,如风险影响等级为“关键”,风险等级为“高”,但是,存在风险发生的可能性有4种概率的风险模块。C银行的风险管理小组根据以往IT项目风险发生的概率,结合实际情况,评估出了这次IT项目外包的风险矩阵模型的参数(见表3)。150表1C银行IT外包风险矩阵系统安全风险x使用新技术的风险系统运行维护风险过分依赖供应商的风险V业务需求与IT系统不一致Vx一一业务信息泄漏的风险业务与交易流程不配套选择外包供应商的风险件服务外包的监督管理风险合同风险成本增加的风险需求理解偏差的风险供应商的信用风险供应商的变动风险泄漏银行信息的风险甲市场风险丫政策风险法律风险技术风险C银行根据z公司提供的测试版系统进行了系统评估,正式上线后应该不会出现安全问题。Z公司一直从事国际业务相关系统开发,熟练掌握IT开发技术。z公司自主开发的是外汇管理局的国际收支申报系统,不能及时响应银行系统运行维护故障,现场支持能力较差。z公司未提供系统源代码,C银行几乎所有的运行维护和后续优化工作必须依赖于系统售后服务外包的S公司。业务风险z公司自主开发的是外汇管理局的国际收支申报系统,并不能完全满足C银行自身的业务需求。C银行对业务信息进行严格监控,外包开发的系统须移交给C行人员独立测试。Z公司不熟悉C银行当前的申报业务流程。管理风险Z公司作为外汇管理局指定的IT公司,C银行没有选择余地。z公司自行完成系统开发,C银行只是购买使用,缺乏必要的管理手段监督Z公司的开发工作。现行合同缺乏软性条款,C银行只能被动接受Z公司的产品和服务。C银行的该外包项目成本不断地增加,特别是后续维护开发费用,C银行几乎没有议价能力。外包供应商的风险z公司并不清楚c银行的系统特殊需求。Z公司没有违反合同条款和欺诈行为。z公司没有变动事件发生。Z公司没有泄漏C银行信息外部环境的风险z公司开发的是国际领先的一套系统,但是C银行业务流程没有进行彻底改造,导致业务与系统不配套,业务的发展受到一定的阻碍。国际收支申报符合国家政策。该外包项目没有违反国家法律。表2风险级别对照一一一~选二二可忽略略微小小一般般严重重关键键000一10%%%低低低低低低中中中中1111%一40%%%低低低低中中中中高高4441%一60%%%低低中中中中中中高高6661%一90%%%中中中中中中中中高高9991%一100%%%中中高高高高高高高高151表3C银行IT外包风险矩阵技术风险高高中高系统安全风险使用新技术的风险系统运行维护风险过分依赖供应商的风险关键严重关键严重41%一60%11%一40%61%一90%91%一100%业务风险中中中业务需求与IT系统不一致业务信息泄漏的风险业务与交易流程不配套严重一般严重61%一90%11%一40%61%一90%管理风险高高高中选择外包供应商的风险IT服务外包的监管风险合同风险成本增加的风险中中低中需求理解偏差的风险供应商的信用风险供应商的变动风险泄漏银行信息的风险组外包供应商的风险卜61%一90%61%一90%91%一100%41%一60%61%一90%11%一40%0%一10%11%一40%外部环境的风险中低中市场风险政策风险法律风险一般一般严重41%一60%0%一10%11%一40%3.计算Borda序值及结果解析Borda方法是一种简单实用的投票理论,1995年4月美国空军电子系统中心(ESC,EleetronieSystemsCenter)的研究人员将Borda投票理论应用到了风险评估矩阵中(肠nsdowneetal.,1996)。在原始风险矩阵中,将风险评估要素中的风险影响程度人和风险发生概率只作为投票人,然后根据这两个投票人的投票准则对项目的N个风险事件的排序结果进行汇总,得到对应风险影响程度为人的风险事件个数S‘,以及对应风险发生概率为只的风险事件个数C。例如:本案例中对应风险影响程度的乙二“关键”的风险事件个数凡=4;风险发生概率的只=“91%:100%”的风险事件个数口=2。(l)计算每个风险事件关于风险影响程度的秩K‘:风险影响程度的秩K:是所有风险事件在给定的影响程度中的排序位置,则:i一!K‘=奇(2孚s厂+‘+s‘(l)(2)计算每个风险事件关于风险发生概率的秩H‘:风险发生概率的秩从是所有风险事件在给定的发生概率评定中的排序位置,则H‘=合(2馨cr+‘+C‘,根据公式(1)、(2)分别计算K‘,H‘,结果见表4。(2)表4风险事件的风险影响程度秩和发生概率的秩序序号号风险影响程度的秩秩风险发生概率的秩秩去去去去S。。凡凡只只CCCHiii11111关键键4442.55591%一100%%%2221.55522222严重重l0009,55561%一90%%%6665.55533333一般般44416.55541%一60%%%333l00044444微小小00018.55511%一40%%%555l44455555可忽略略00018.5550一10%%%22217.555152(3)计算Borda序值:根据对应的程度影响程度秩K‘、风险发生概率秩H‘,计算得到Borda序值b‘,b‘=(刀-K。)+(刀-H‘)(3)根据b‘值对风险的高低进行排序,Borda序值最大的为最关键风险事件,排序为0;次大的为下一个最关键风险事件,排序为1,一直到排完所有风险事件的序,结果见表5(序值有并列的情形)。表SC银行IT外包Borda序值结果风风险矩阵Borda序值值调整后风险矩阵Borda序值值KKK泣泣Hiiib‘‘排序序K***H盆盆b‘‘排序序技术风险气乙02气口J..1................勺.24422山卫122系统安全风险