第一,法律和监管套利风险。互联网金融在中国的发展创新之所以能够呈现如此迅猛态势,重要原因之一在于法律和监管体系尚不完善,大量的互联网金融产品创新、交易方式创新游走于“灰色”地带,监管套利空间广阔。
第二,更加隐蔽的信用风险。互联网金融的本质是依托网络平台和大数据技术降低信息形成、传递和利用成本,理论上能够有效提高信用风险跨主体、跨时空配置、转移和定价的成本。但实践中由于网络信息甄别能力差、征信体系不健全、投资者教育不足等问题,信息失真、“逆向选择”等问题事实上可能变得更加隐蔽、影响更加广泛。
第三,更高的流动性风险。期限配置和缺口管理是商业银行基本盈利机制之一,但由于遵循存款准备金、风险拨备、资本充足率、存款保险等审慎监管规定,风险缓释空间较大,流动性风险不可控的几率很小。比较而言,互联网企业不受上述制度约束,实质性流动性风险也就更大。
第四,非合规运营风险。由于进入门槛低,缺乏严格监管,互联网金融机构数量迅速膨胀,其中大部分机构并不具有规范的治理架构和运营机制,严重背离金融业审慎经营的理念和文化,风险隐患普遍存在于业务流程各个环节。最典型的例子就是关联交易普遍存在,一些网贷、众筹平台事实上是机构自融的利器;各种形式的加盟门店层级蔓延,不具备金融从业能力的工作人员违规招揽业务;一些机构“委托”商业银行网点代售产品,假借商业银行“背书”兜售产品,使得上述风险呈现向传统金融体系蔓延的态势。
第五,伴生的技术风险。技术风险是金融与信息技术结合的必然产物,与传统金融机构相比,互联网金融由于更加依托于计算机和网络技术,天然就具有更高的技术风险。参考银监会《电子银行业务管理办法》,互联网金融业务的IT技术衍生 *** 作风险至少包括设施设备运营中断风险、互联网恶意入侵风险、交易数据传输泄密风险、员工不当 *** 作风险、客户信息安全经验不足等风险。
第六,舆论单向引导风险。互联网金融在中国的迅猛发展获得了“普惠金融”、“草根金融”等诸多美誉,潜在风险鲜少提及。在投资者教育不足的市场环境中,倾向性、单一性舆论氛围更容易激发盲目的“羊群效应”,使得理性预期得不到正确引导。
风险可能性风险严重程度得分风险控制水平=风险系数
IT战略规划是IT项目开始的首要活动,是实现企业和IT 目标的途径,也是进行后续项目的前提条件,所以我们就以IT规划为例,简要说明如何进一步预测IT风险。如下表所示,我们将IT战略规划进一步划分为6个小的问题,再分别计算出每一个小问题的风险系数,这样才能具体确认风险的具体来源。也只有这样,才能为下一步如何处置风险做出更精细的决策。
Risk management in the IT industry
Every organization has a mission In this digital era, as organizations use automated information technology (IT) systems to process their information for better support of their missions, risk management plays a critical role in protecting an organization’s information assets, and therefore its mission, from IT-related risk
Risk management is the process that allows IT managers to balance the operational and economic costs of protective measures and achieve gains in mission capability by protecting the IT systems and data that support their organizations’ missions This process is not unique to the IT environment; indeed it pervades decision-making in all areas of our daily lives
An effective risk management process is an important component of a successful IT security program The principal goal of an organization’s risk management process should be to protect the organization and its ability to perform their mission, not just its IT assets Therefore, the risk management process should not be treated primarily as a technical function carried out by the IT experts who operate and manage the IT system, but as an essential management function of the organization
So, who should be involved in risk management of an organization
Personnel who should support and participate in the risk management process are:-
• Senior Management Senior management, under the standard of due care and
ultimate responsibility for mission accomplishment, must ensure that the necessary resources are effectively applied to develop the capabilities needed to accomplish the mission They must also assess and incorporate results of the risk assessment activity into the decision making process An effective risk management program that assesses and mitigates IT-related mission risks requires the support and involvement of senior management
• Chief Information Officer (CIO) The CIO is responsible for the agency’s IT
planning, budgeting, and performance including its information security components Decisions made in these areas should be based on an effective risk management program
• System and Information Owners The system and information owners are responsible for ensuring that proper controls are in place to address integrity, confidentiality, and availability of the IT systems and data they own Typically the system and information owners are responsible for changes to their IT systems The system and information owners must therefore understand their role in the risk management process and fully support this process
• Business and Functional Managers The managers responsible for business
operations and IT procurement process must take an active role in the risk
management process These managers are the individuals with the authority and
responsibility for making the trade-off decisions essential to mission accomplishment Their involvement in the risk management process enables the achievement of proper security for the IT systems, which, if managed properly, will provide mission effectiveness with a minimal expenditure of resources
• ISSO Information System Security Officer and computer security officers are responsible for their organizations’ security programs, including risk management Therefore, they play a leading role in introducing an appropriate, structured methodology to help identify, evaluate, and minimize risks to the IT systems that support their organizations’ missions
• IT Security Practitioners IT security practitioners (eg, network, system,
application, and database administrators; computer specialists; security analysts;
security consultants) are responsible for proper implementation of security
requirements in their IT systems As changes occur in the existing IT system
environment (eg, expansion in network connectivity, changes to the existing
infrastructure and organizational policies, introduction of new technologies), the IT
security practitioners must support or use the risk management process to identify and assess new potential risks and implement new security controls as needed to
safeguard their IT systems
• Security Awareness Trainers (Security/Subject Matter Professionals) The
organization’s personnel are the users of the IT systems Use of the IT systems and
data according to an organization’s policies, guidelines, and rules of behavior is critical to mitigating risk and protecting the organization’s IT resources To minimize risk to the IT systems, it is essential that system and application users be provided with security awareness training Therefore, the IT security trainers or security/subject matter professionals must understand the risk management process so that they can develop appropriate training materials and incorporate risk assessment into training programs to educate the end users
Most organizations have tight budgets for IT security; therefore, IT security spending must be reviewed as thoroughly as other management decisions A well-structured risk management methodology, when used effectively, can help management identify appropriate controls for providing the mission-essential security capabilities
Risk management encompasses three processes: risk assessment, risk mitigation, and evaluation and assessment
Risk assessment is the first process in the risk management methodology Organizations use risk assessment to determine the extent of the potential threat and the risk associated with an IT system throughout its SDLC (System Development Life Cycle) The risk assessment methodology encompasses nine primary steps, which are
• Step 1System Characterization
• Step 2Threat Identification
• Step 3Vulnerability Identification
• Step 4Control Analysis
• Step 5Likelihood Determination
• Step 6Impact Analysis
• Step 7Risk Determination
• Step 8Control Recommendations , and
• Step 9Results Documentation
Risk mitigation, the second process of risk management, involves prioritizing, evaluating, and implementing the appropriate risk-reducing controls recommended from the risk assessment process
When control actions must be taken, the following rule applies:
Address the greatest risks and strive for sufficient risk mitigation at the lowest cost, with minimal impact on other mission capabilities
The following risk mitigation methodology describes the approach to control implementation:
• Step 1Prioritize Actions
Based on the risk levels presented in the risk assessment report, the implementation
actions are prioritized
• Step 2Evaluate Recommended Control Options
The controls recommended in the risk assessment process may not be the most
appropriate and feasible options for a specific organization and IT system The objective is to select the most appropriate control option for minimizing risk
• Step 3Conduct Cost-Benefit Analysis
To aid management in decision making and to identify cost-effective controls, a cost benefit analysis is conducted
• Step 4Select Control
On the basis of the results of the cost-benefit analysis, management determines the
most cost-effective control(s) for reducing risk to the organization’s mission The
controls selected should combine technical, operational, and management control
elements to ensure adequate security for the IT system and the organization
• Step 5Assign Responsibility
Appropriate persons (in-house personnel or external contracting staff) who have the
appropriate expertise and skill-sets to implement the selected control are identified,
and responsibility is assigned
• Step 6Develop a Safeguard Implementation Plan
During this step, a safeguard implementation plan (or action plan) is developed The plan should, at a minimum, contain the following information:
– Risks and associated risk levels
– Recommended controls
– Prioritized actions (with priority given to items with Very High and High risk
levels)
– Selected planned controls (determined on the basis of feasibility, effectiveness,
benefits to the organization, and cost)
– Required resources for implementing the selected planned controls
– Lists of responsible teams and staff
– Start date for implementation
– Target completion date for implementation
–Maintenance requirements
• Step 7Implement Selected Control(s)
Depending on individual situations, the implemented controls may lower the risk
level but not eliminate the risk
In implementing the above recommended controls to mitigate risk, an organization should consider technical, management, and operational security controls, or a combination of such controls, to maximize the effectiveness of controls for their IT systems and organization Security controls, when used appropriately, can prevent, limit, or deter threat-source damage to an organization’s mission
And now we come to the last process but not the least, EVALUATION AND ASSESSMENT
In most organizations, the network itself will continually be expanded and updated, its components changed, and its software applications replaced or updated with newer versions In addition, personnel changes will occur and security policies are likely to change over time These changes mean that new risks will surface and risks previously mitigated may again become a concern Thus, the risk management process is ongoing and evolving
To put in a nutshell, a successful risk management program will rely on
(1) senior management’s commitment;
(2) the full support and participation of the IT team ;
(3) the competence of the risk assessment team, which must have the expertise to apply the risk assessment methodology to a specific site and system, identify mission risks, and provide cost-effective safeguards that meet the needs of the organization;
(4) the awareness and cooperation of members of the user community, who must follow procedures and comply with the implemented controls to safeguard the mission of their organization; and
(5) an ongoing evaluation and assessment of the IT-related mission risks
Thank you very much for your attention!
上述内容的大体意思如下:
1、2、3 段:数字化时代,企业和组织的运作已离不开IT系统,因此对它的风险管理变得非常重要。风险管理就是找到维护系统安全与费用开销平衡的手段。一个有效的风险管理是维护系统的安全 *** 作来完成企业的目标而不是仅仅维护IT资产;因此必须将它视为一个主要的管理功能来对待。
4、5、6段:这里列举与风险管理挂钩的人员与部门,并强调要有良好的方法来发挥有限的管理预算,才能有效地达到目的。
7、8、9、10、11段:IT风险管理涵盖三大步骤:风险评估、风险缓解及评价与判断。风险评估通过9个步骤来判定在IT系统的发展寿命周期中的所有风险和其严重性,然后做出控制选择。风险缓解是阐述如何以最低的花费来达到最高的效果,这里列举了7个步骤。第三就是评价与判断;随着时间的转移,多数企业的网络都会扩容或更新,软硬件也会更换或升级,人员的调整及安全措施的改变,这些都会产生新的风险。因此,风险管理是永无休止和不停进展的。
12段:最后总结,一个成功的风险管理计划有5个重点:1高层的决心;2IT队伍的全力支持及参与;3风险评估队的专业能力;4 使用人员按规定 *** 作;5 不停的对IT风险作评估与判断。
参考资料:
数字化时代,银行业务的快速发展,计算机的系统数量和部署规模均呈快速增长态势,且加上应用系统的微服务化,系统间的关联更为复杂,也相应提升了对运维系统的要求与难度。虽然银行内建立了较为全面的监控体系,但是面对千百万的告警风暴时,故障定位解决问题十分困难,特别不利于系统安全、持续、稳定运行。
数字化转型中,以用户为中心是驱动金融行业的核心基础。所以,对于像银行、证券公司这样拥有海量运维数据的金融行业来说,智能运维势在必行。采用先进的运维手段(智能运维)则是企业不断前行的源源动力。
说一个我们正在服务的客户案例吧,客户是一家商业银行。
这家商业银行通过擎创科技提供的夏洛克AIOps解决方案,建设了一套智能运维数据分析系统,集中收集和分析十多个系统的运维数据,包括应用系统日志、告警、性能指标、交易指标和网络性能指标等,并通过机器学习算法实现指标异常检测、关联分析和告警收敛,以此加快问题定位效率,保障系统运行。为了有效提高对异常情况的监测和未来趋势预测,提前发现系统隐患,该商业银行通过擎创夏洛克AI实验室,训练并生成了基于业务场景的多类算法,实现系统的单指标异常检测,极大降低系统故障发生的概率。
与此同时,该商业银行还用了擎创夏洛克指标解析中心和告警辨析中心,通过此实现多维指标关联分析,帮助快速发现和定位系统问题,提升排障效率;实现告警收敛,降低告警风暴,加快定位时间。目前告警压缩率达到了80%以上,运维人员的告警处理效率明显提高。实现了IT系统运维的智能化,为业务健康运转提高强力保障。
其实,擎创科技此前便服务过众多银行类客户,如中国银联、交通银行、浦发银行和宁波银行等,帮助其构建了智能化的运维平台,提升了客户运维效率,且目前很多项目都进入到二期、三期建设阶段。
风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划,也是项目风险控制中最为关键的内容。一 风险形势评估风险形势评估以项目计划、项目预算、项目进度等基本资讯为依据,着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现:通过风险的角度审查项目计划认清项目形势,并揭示隐藏的一些项目前提和假设,使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的,这些假设、前提、预测在项目实施期间有可能成立,也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生,往往造成项目管理方的措手不及和无一应对。例如项目计划中假设用户实施小组全力支援、脱産或几乎脱産投入IT项目的实施,但在实际过程中,用户方人员却不得不抽出大量时间处理塬有的业务,造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁,就需要对与项目相关的各种计划进行详细审查,如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出,风险形势评估一般应重视以下内容:项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。二 风险识别在对项目的基础的风险形势评估之上,就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此,一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。在具体识别风险时,一方面可利用一些常识、经验和判断,通过以前经历的项目中积累起来的资料、资料、经验和教训,或者请教相关的专家和资深从业人员,采用集体讨论的方式。另一方面,可以通过分解项目的范围、结构来识别风险,理清项目的组成和各个组成部分的性质、之间的关系、与外因的联系等内容,从而减少项目实施过程中的不确定性。除此之外,还可以利用一些技术和工具。比如,结合经验和教训,将项目成功和失败的塬因罗列成一张核对表,或者是项目的实施范围、质量控制、项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法,当然还有其他更多的途径,因项目而异,灵活运用。三 风险分析和评价在进行风险识别并整理之后,必须就各项风险对整个项目的影响程度做一些分析和评价,通常这些评价建立在以特性为依据的判断和以资料统计为依据的研究上。风险分析的方法非常多,一般采用统计学范畴内的概率、分布频率、平均数衆数等方法。但无论是哪一种工具,都各有长短,而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。此外,我们应当明确,风险是一种变化着的事物,基于这种易变条件上的预测和分析,是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的,即尽量避免项目的失控和为具体的项目实施中的突发问题预留足够的后备措施和缓冲空间。风险评价之后,项目面临着两种选择,即面临着不可承受风险和可承受风险。对于前者,或者终止项目,或者采取补救措施,降低风险或改变项目;对于后者,则需要在项目之中进行风险控制。
一个风险评估与排序的实用模型
摘 要
本文阐述了一个基于简单数学模型的实用且简便的风险评估与排序方法
什么是风险
风险即是以下三个要素发生的机会:
威胁--事件或行为,一般来自系统外部,可能在某些地方会影响固有的弱点,造成影响
弱点--系统内部考虑之中的弱点,可能在某些地方受到威胁所利用
影响--短期与长期组织影响,威胁碰巧利用弱点
由于要求一个或更多的不预测的威胁与弱点的巧合,负面影响发生的可能性是很难确定的一个系统可能很长一段时间运行有弱点(的程序)而未受影响,直到一些实际的威胁存在或利用它在给定的时间筐架内一些威胁可能比另一些威胁更可能发生(例如:简单的键盘错误比中断更易发生)类似的,一些弱点可能只在短期内存在(如:当保安从运钞车进入金库时)而别的可能会长期存在(如:银行金库警报系统没有覆盖所有入口点)影响的变化也很大:有些可能使整个组织或系统置于严重的危险之中(如火灾);有些可能会对整体来说无关重要
保险公司也许有能力去计算某种威胁与弱点存在的可能性并预测可能受到影响的程序,但是,这也是不严密的--或许艺术性多于科学承保人赌其涵盖了所有风险:尽管给定的事件是不可预测的,但在一定时期的多数事件发生的可能性可以很大的可信度估计,大部分是基于早期的经验尽管如此,这种手段仍存在着两个重要的问题一些极度影响事件(如你的首席行政长官遭遇雷击)是很少发生以至人类的本性倾向于忽略这类事件,因此,承保人发现很难以理想的价格去销售相应政策进一步,新的条件导入新的风险,但经验不足甚至使他们预测更困难高技术主题的电子商务变化得非常快以至IT专家也要尽力跟起而不致落后承保人在风险方面做得不比猜测多
威胁与弱点的特定组合也许仅仅偶尔存在("坏运气"),十分显然,几乎没有弱点与/或威胁的系统就不大可能长期受到影响另一方面,一个脆弱的系统,一个具有许多大的潜在影响(的系统)更有可能遭到毁坏,这是风险管理的基本点,它本身是任何一个组织完好管理中的重要元素
管理者一般通过引导通缉资源转向风险缓和的活动如设置合适的控制框架,来寻求减少弱点、威胁与影响。
一个简易风险模型的来源
管理企业远远超过无风险活动。的确,承受可接受的风险(有些可能导致破产)能取得利润。正确管理的关键是知道缓和哪种风险以及何时把握机会。这就是为什么对风险有个良好的认识的重要这所在。在这里,提供一个简单的类数学模型以助计量风险。考虑风险的性质,你将得到如下的公式:
风险=威胁+弱点+影响
表面上看,该公式意味着具有高威胁、弱点或影响的系统是高风险的系统。尽管如此,是威胁与弱点的组合造成影响的存在。而对组织的破坏的程度依赖于一个事件的发生与影响的促使。用数学语言来说,逻辑与计算需要乘积而不是和,如:
风险=威胁弱点影响
包含至少两个重要因素(如:高威胁与弱点)的组合能产生比仅具较低或中等水平因素组合更高的风险。任何一个因素降为零风险将降得更大。
计算风险
为了使用模型去计算风险,你得检查与计量各单独组成要素(威胁、弱点与影响)。
最简单的方法是将这三个要素分成高(3分),中(2分),低(1分)或零(0分)。产生的风险分值在0 至27之间。作为替代,你也许宁愿用一个持续的百分数尺。如:
0% 25% 50% 75% 100% 受雷击
+- ---------- -+- ---------- -+- ---------- -+- ---------- -+ 的威胁
人受雷击 建筑物受雷击 被静电击死
使用百分数尺能得到的最大风险计分是1,000,000(100100100)。因而能为组织确定风险提供足够的详细(情况)。不论什么量度,过程是一样的。我们比较与对比风险因素,寻求一个企业价值合理延伸。一具厌风险管理者比喜风险管理者更可能估价风险,但是价值延伸应当更广泛地比较。正是这延伸赋予模型其真实的能量,允许我们去给风险排序。
实践中应用风险模型
本模型在实践环节中有许多效用,如风险评估与审计计划程序:
这个过程有两个重要的输出:一个风险排列(对组织管理者是有用的)与相匹配的排列过的审计计划(构造内部或与外部审计师工作)。“定期涮新”提供反映变化的风险因素分值更新的机会,如内部控制环境(养活弱点)的提高或新的市场压力(增加威胁)。
这个程序的理论基础使得计划审计工作与组织风险间的联系更清楚。
类似地,项目风险也能利用该模型评估以形成基本的项目风险管理。项目威胁依靠于项目的性质,但典型的包括政治、经济、社会与技术方面(被称为PEST分析)弱点包括不合适技能,刺激机制,财务或别的资源限制等。项目失败影响一般分为:
过多成本
推迟完成
顾客满意度低
该模型也能被用来联系这些因素与风险是否重要的建议,形成一个管理活动日程。风险计算应当随着取得新信息在项目过程中更新。
建立管理机构,明确外包范围,严格审查制度,加强风险监控和激励机制建设,这些措施是商业银行IT外包风险防范的重要保障。 对外包风险的把握,直接决定着 信息技术外包的成功与否。从根本上来说,对信息技术外包风险的防范过程就是对外包活动实施全面有效的管理过程。
建立外包事务管理机构 要对外包实施全面有效的管理,必须首先建立外包事务管理机构。目前,商业银行外包过程中,仅在外包决策、外包商选择、或发生了法律纠纷时,才成立临时性机构,处理相应外包事务。管理组织的不稳定造成管理人员的频繁调动和流失,削弱对外包项目的充分理解,影响了合作双方感情的建立。人员的不稳定必将造成管理策略的不连续,削弱双方合作和信任基础,给外包项目的管理和监督带来不必要的麻烦,影响外包的服务质量和进度。
外包事务管理机构应该由银行战略规划专家、外包咨询专家、各部门熟悉本行业务信息流关系的代表、信息技术专业人员、费用预算人员、法律顾问、实施管理和协调人员组成。主要负责外包前对国内、外行业、竞争对手以及自身的信息化需求进行调查研究;识别信息技术的核心竞争能力;在收益、成本和风险之间进行平衡并进行外包决策;制定外包的建设技术标准;设计外包方案,避免重复投资与信息孤岛;评价外包商的技术等级、发展能力,选择承包商;签署外包合同;对外包服务过程进行全面监督、协调和控制;处理与现有外包商的外包关系;监督并审议通过外包商的技术决策;积累外包经验并帮助制定未来的外包决策;谈判并推行未来的外包合同;使IT整体战略与不断变化的银行的整体战略保持一致。
明确IT外包范围 哪些是构成核心竞争力的信息技术,哪些是可以外包的非核心技术,外包范围的确定是商业银行信息技术外包中面临的首要问题。 JP摩根公司通过对美国商业银行的电子化发展研究,提出M1-M2-M3层信息技术构架理论(如图1所示),M1是指计算机系统的硬件、系统软件、工具软件、网络设施和其他银行使用的专用机具;M2层主要由应用软件和人机接口组成;M3层的内容主要包括业务流程重组、策略规划、应用系统集成和现有应用系统的管理和维护。M1层的技术属于技术提供商而非银行,对于商业银行来说,M1层的竞争主要表现在合并分散的数据处理中心以追求更好的规模效益;在M2层的信息化建设上,美国商业银行走了一段曲折的道路,开始采取完全自主开发的方式,在支付巨额开发成本的同时,还要承担开发失败的风险,开发完成后发现各家银行基本雷同,是一种低水平的重复建。因此进入上世纪80年代,美国商业银行不仅共同投资建设网络,实现资源共享,而且逐渐与IT公司合作开发软件或直接使用商品化的软件。经过研究发现,美国商业银行在M1和M2层的开发投入,实际收获的只是M1和M2层的技术培训,在M1和M2层领先所产生的效益不如M3层快。 借鉴美国商业银行的电子化发展经验和摩根公司M框架理论,我国商业银行在进行信息技术外包的过程中,应将M1、M2层外包,利用外包商的规模效益,降低成本,集中力量建设M3层,才能培养核心竞争力,实现特色化经营。 建立对外包商资格审查制度 外包成功的关键因素之一是选择具有良好社会形象和信誉、相关金融行业系统实施经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。因此,对外包商的资格审查应从技术能力、经营管理能力、发展能力这三个方面着手。 技术能力:外包商提供的信息技术产品是否具备创新性、开放性、安全性、兼容性,是否拥有较高的市场占有率,能否实现信息数据的共享;外包商是否具有信息技术方面的资格认证,如信息产业部颁发的系统集成商证书、认定的软件厂商证书等;外包商是否了解金融行业特点,能够拿出真正适合商业银行业务的解决方案;信息系统的设计方案中是否应用了稳定、成熟的信息技术,是否符合银行发展的要求,是否充分体现了银行以客户为中心的服务理念;是否具备对大型设备的运行、维护、管理经验,和多系统整合能力;是否拥有对高新技术深入理解的技术专家和项目管理人员。 经营管理能力:了解外包商的领导层结构、员工素质、客户数量、社会评价;项目管理水平,如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率或流动率;是否具备能够证明其良好运营管理能力的成功案例;员工间是否具备团队合作精神,外包商客户的满意程度。 发展能力:分析外包服务商已审计的财务报告、年度报告和其他各项财务指标,了解其盈利能力;考察外包企业从事外包业务的时间、市场份额以及波动因素;考察银行的外包合同对外包服务商财务状况的重要性如何;评估外包服务商的技术费用支出以及在信息技术领域内的产品创新,确定他们在技术方面的投资水平是否能够支持银行的外包项目。 对外包实施进行风险监控 信息技术外包的目的在于通过整合信息技术合作伙伴的企业资源,快速实现服务手段和服务方式的信息化,满足客户的需要。信息技术外包中产生的任何风险都会严重影响银行的形象。因此,在信息外包的全过程中要实施风险管理。 风险管理应分为四个步骤:第一步是识别外包实施中各阶段的宏观、微观层面风险,设置监控点。宏观上密切关注信息技术、外包市场的发展,以及银行自身经营环境、竞争对手外包策略、外包商经营状况的变化,防范技术、市场风险。微观层面上,听取外包商在项目实施不同阶段的报告,评估外包商运行的信息系统和相应的控制措施(如资源安全性、完整性、保密性),定期审查外包商相关的内部控制、系统开发和维护、以及应急计划措施,以保证它们符合合同要求,并且与当前的市场和技术环境相一致;了解外包服务是否及时,服务质量、服务水平是否得到提高,防范交易和信誉风险。第二步是分析造成工作偏离预定标准的问题的实质,对产生问题的原因进行调查并做出结论;第三步是拟订解决问题的可行方案,并从中选择出最好的;实施选定的方案,使外包工作回到原定的、期望的标准上。 建立对外包商激励机制 外包商的经营目标是实现利润最大化,而银行希望以公平价格获得良好的服务,因此,商业银行应制订激励机制,将其经营绩效与外包服务要求挂钩,使合作双方目标一致。可采取以下激励措施: 优质优价:根据信息技术外包的范围,按照系统正常运转的时间、效率,制定合格、满意、优质三层标准,达到不同标准给予不同价格。标准的制定应该随着技术的发展而不断提高,如果外包商在技术方面的创新能够使银行实现某些业务盈利,应给予外包商一定的奖励。这样可以鼓励外包商使用新技术、持续改进服务。
级别管理:根据对外包商的资格审查、合作时间长短、合作过程中满意程度,制订相应的评级制度,将外包商划分为准入级、合作级、伙伴级。级别评定是能上能下的,如果外包商的服务水平下降、服务质量降低,就会被降级。级别管理是希望通过一系列连续的合同来加强银行与外包商的合作关系,提醒外包商通过优质服务建立良好声誉、获得收益的重要性。
以上就是关于互联网金融可能存在哪些风险呢全部的内容,包括:互联网金融可能存在哪些风险呢、IT风险如何计算、帮忙写一个英文的:IT业中的风险管理的演讲稿(完成好追加50分)等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)