1)严格监控风险,加强对服务商的监管,监控外包风险的目的为了控制软件外包风险的暴露,保证控制手段和控制体系发挥作用,在风险发生之前彻底解决。需要分析控制风险的环境,检测实施控制的效率,保证软件系统开发以可控的方式进行。在软件外包合同执行期间,银行应高度重视对服务商持续有效的监督和控制,银行可以根据自己内部的安全措施制定保护步骤,随时检查服务商的运作方式是否与银行的要求相一致,这样可以确保服务商的安全水平与银行一致。对大的软件外包项目可成立由软件技术、银行业务、风险、审计、银行战略等领域的人员组成的监管组,对服务商进行有效的监督,及时补充修改银行的业务需求与服务商进行谈判磋商等等。对服务商的监管应包括以下内容:服务商的财务和经营状况,服务质量和技术水平,服务商内部关键人员的变动情况,尤其是高层的变动,为银行开发软件的关键技术人员的变动情况,服务商履行合同的情况,应急方案的演练情况,服务商把服务再次分包的情况。
为有效地控制软件外包风险,除银行自身要作出预防外,外部健全的监管机制也很重要。从国外经验看,一些国家和地区已有专门的监管规章来规范银行业务外包问题,以促进银行有效的控制风险,并为监管当局的有效监管提供规章依据。我们也必须建立相应的监管制度,一方面指引软件外包在风险可控的前提下正常开展,同时也为监管当局的监管提供规章和依据。
2)制定详细的风险控制计划,制定一个详细、全面的风险控制计划,风险控制计划应包括对外包协议所有相关方面的监控和某些事件发生时采取纠正措施的程序,明确银行对外包风险的管理、监控水平以及外包商控制操作风险的水平。例如,外包商的地处他国可能会导致数据保护、安全和其他方面的风险。所以,离岸软件外包在母国之外制定及管理外包协议时,需要特定的风险管理技术来评估国家风险,例如政治、经济风险和法律方面的风险。
3)加强信息保密工作,为了规范离岸承包商的行为,发包企业要有良好的外包合同管理能力,并签订严格的保密协议,规定保密内容、时间等,同时应对承包商的信用状况和职业道德等进行评估和监督,这要求银行具有较高水平的管理能力和处理离岸外包关系的能力。通过严密的法律条款、严格的合同来保护银行保密信息及客户信息,降低信息泄露的风险,合同中应明确规定信息和相关资产的安全控制方式。保密工作基于服务商雇员和管理人员的职业素质,银行应注意在外包合同中,就服务商的人员素质和义务作出明确的规定,制定服务商必须遵循的原则和机密信息的保护步骤。
4)控制外包成本,要核算和控制外包的综合成本。外包成本包括显性成本和隐性成本,显性成本包括人力资源成本、软件工具成本、硬件和办公环境成本等,这些成本可以较明显测算到。而隐性成本包括管理外包项目的交流和沟通成本,处理外包内容变更的成本等,隐性成本不好估计具体的工作量,往往在外包规划阶段忽略或估计过低,造成外包实际成本高于最初的预计。根据经验,大型软件外包的项目管理等隐性成本大约占项目总成本的15%。软件外包执行期间,由于情况的变化可能会要求外包商做一些原合同中没有规定的额外工作,这就会产生额外费用。在签订合同前,应充分考虑这些因素,在合同中说明,止外包商要高价,控制外包的成本。
5)管理外包风险,银行可由信息技术专家和风险专家共同管理软件外包风险,及时通报软件外包服务过程中遇到的各种问题和潜在的风险,发现比较大的风险时,向上一级风险管理机构汇报,以便及时采取有效的防范措施。对金额大的软件外包项目,在资金管理上为软件外包业务提供必要的风险准备,以便应对那些无法预料的外包服务风险。