|
|
|
|
|
|
来源: 发布日期:2020.06.19 点击量:
近些年,随着信息科技的蓬勃发展,多数企业通过外包的形式将一些信息科技类的工作委托给外部有经验的外包服务商实施,以解决企业自身人手不足及能力问题。但随着外包服务商的引入,风险也逐步增加。如何控制引入外包服务商所带来的风险,也就成为了企业的重中之重。
2009年至今,银保监会陆续发布了《商业银行信息科技风险管理指引》《银行业金融机构外包风险管理指引》《银行业金融机构信息科技外包风险监管指引》等监管要求,以指导银行金融业控制外包服务商的风险。
那么对于企业内部如何基于以上监管要求开展外包服务商的风险评估呢?
一、 外包服务商分类分级
根据《银行业金融机构信息科技外包风险监管指引》的要求,对信息科技外包服务商分为研发咨询类、系统运行维护类和科技服务类,具体分类示例如下:
安言咨询根据多年相关类型实施经验从企业外包服务商的依赖程度、业务影响及数据影响程度并结合客户方的管理要求,帮助客户方对外包服务商进行分级活动:
二、 外包服务商通用风险评估方向设计
安言咨询认为对于所有的外包服务商,风险评估将从外包服务商的公司稳健性,合同履行程度、人员能力和服务水平四个方面进行评价。
三、 针对不同类别外包服务商风险评估设计
除通用的评价要求外,安言咨询认为可根据外包服务商的服务类别进行更加专项的评估,例如对于研发咨询类外包服务商关注其开发质量、项目管理;对于系统维护外包服务商关注其响应时间、故障解决率等;对于科技服务类供应商更关注其业务流程的稳定性等;
四、 针对不同级别外包服务商风险评估设计
安言咨询科技外包服务商风险评估会对重要级别较高的外包服务商进行重点设计:从依赖程度、业务影响及数据影响三个角度进行分析,基于分析结果,将外包服务商的重点关注内容聚焦在服务连续性及数据保护内容两大方面。
五、 风险评估实施
安言咨询将根据控制设计情况和执行情况两个层面通过访谈、文件记录调阅、技术检查等方式开展科技外包服务商风险评估;并针对风险评估中发现的问题提出整改建议并验证企业整改情况。
安言咨询信息科技外包服务商风险评估业务秉持“始于监管要求、但不局限于监管要求”的原则,为客户方量身定制信息科技外包服务商的风险评估流程及检查清单。
更多相关业务与内容,请持续关注安言咨询公众号。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com
相关新闻:
