（产业经济学专业论文）我国银行业信息技术外包的风险管理研究.pdf

我罔银行业信息技术外包的风险管理研究 我国银行业信息技术外包的风险管理研究 摘要 外包，简单说就是指使用外部资源去从事那些传统上由内部员工和资源来 处理的活动。银行信息技术外包( i t 外包) 是指银行以合同的方式，在规定的 服务水平基础上，委托i t 服务提供商向银行提供所需的部分或者全部i t 功能。 银行业早在7 0 年代就涉足外包业，但最近几年发展更加迅猛。推动银行业 i t 外包的原因很多，主要有外因和内因。外因是信息技术革命、金融自由化、 金融创新；内因主要是成本、专业、核心竞争力、财务等方面。国外银行i t 外 包历史比较悠久，但我国银行i t 外包尚处于萌芽阶段。目前，国内已经有不少 商业银行已经或者正在进行i t 外包的尝试，但是其应用水平却参差不齐。 外包是把双刃剑，带来好处的同时也蕴含着大量的风险。本文主要是在对银 行i t 外包风险管理进行研究。风险管理一般可以分为风险识别、风险分析和风 险控制。银行i t 外部的风险有来自银行内部的，如操作风险、人事变动风险、 磨合风险，也有源自i t 供应商方面的风险、国家风险、声誉风险、环境风险、 合规风险、信用风险等。i t 外包风险评估过程应充分考虑到核心业务处理系统 的外包风险，具体包括系统的安全性、有效性和反应及时性、系统和资源的完整 可靠性、管理信息规则的一致性等方面所遇到的威胁，银行还应该注意到i t 技 术的系统结构、设计及控制方面的功能可能面临的各种风险。 本文重点探讨我国银行对i t 外包的风险控制，考查银行这一微观主体的i t 外包风险控制对策。以国开行为例介绍银行i t 外包风险的内部控制，并以杭州 某银行i t 外包为例，针对性分析外包决策中整体风险的控制，以期对促进我国 银行风险管理发挥借鉴作用。 本文最后论述了银行i t 外包的外部监管。通过对我国现有银行i t 外包监管 制度的评价以及国际银行外包的监管制度的学习，来探讨我国现阶段的银行i t 我困银行业信息技术外包的风险管理研究 外包的行业规制建设。我们应该制定并颁布专门规范银行i t 外包的规章制度； 有放有收，加强市场准入；确立银行监管部门对i t 外包的监管权限和监管程序； 出台优惠政策，促进外包业有序健康发展。 关键词：银行，信息技术外包，风险识别，风险控制，规制 2 我陶银行业信息技术外包的风险管理研究 c h i n a sb a n k i n gi n d u s t r yo u t s o u r c i n go f i n f o r m a t i o nt e c h n o l o g yr i s km a n a g e m e n t r e s e a r c h a bs t r a c t o u t s o u r c i n g ，t op u ti ts i m p l yr e f e r st ot h eu s eo fe x t e r n a lr e s o u r c e s t oe n g a g ei nt h o s et r a d i t i o n a l l yi n h o u s es t a f fa n dr e s o u r c e st od e a lw i t h b a n ki n f o r m a t i o nt e c h n o l o g yo u t s o u r c i n g ( i to u t s o u r c i n g ) i st h eb a n k s a p p r o a c ht ot h ec o n t r a c t ，p r o v i s i o n si nt h el e v e lo fs e r v i c eb a s e do nt h ei t s e r v i c ep r o v i d e r se n t r u s t e dt ot h eb a n kt op r o v i d es o m eo ra l lo ft h e n e c e s s a r yi tf u n c t i o n s b a n k i n ga se a r l ya sa g e7 0i n v o l v e di nt h eo u t s o u r c i n gi n d u s t r y ，b u t m o r er a p i dd e v e l o p m e n ti nr e c e n ty e a r s t h eb a n k i n gi n d u s t r yt op r o m o t e i to u t s o u r c i n gf o rv a r i o u sr e a s o n s ，a r eb o t he x t e m a la n di n t e r n a lf a c t o r s e x t e r n a lc a u s ei st h er e v o l u t i o ni ni n f o r m a t i o nt e c h n o l o g y ，f i n a n c i a l l i b e r a l i z a t i o n ，f i n a n c i a li n n o v a t i o n ；m a i n l yd u et oc o s t ，p r o f e s s i o n a l ，c o r e c o m p e t e n c e ，f i n a n c i a la n ds oo n f o r e ig nb a n k sc o m p a r e dw i t hal o n g h i s t o r yo fi to u t s o u r c i n g ，b u tt h eb a n ko fc h i n a si to u t s o u r c i n gi s s t i l l i ni t si n f a n c y a tp r e s e n t ，t h e r ea r ean u m b e ro fd o m e s t i cc o m m e r c i a l 3 我困银行业信息技术外包的风险管理研究 b a n k sh a v eb e e nu n d e rw a yo ri to u t s o u r c i n ga t t e m p t ，b u tt h el e v e lo f a p p l i c a t i o ni sv a r i a b l e o u t s o u r c i n gi sad o u b l e e d g e ds w o r d ，b r i n g i n gb e n e f i t sa t t h es a m e t i m ec o n t a i n sal o to fr i s k t h i sa r t i c l ei sm a i n l yi nt h eb a n k i n gi t o u t s o u r c i n gr i s km a n a g e m e n tr e s e a r c h r i s km a n a g e m e n ti ng e n e r a lc a r l b ed i v i d e di n t or i s ki d e n t i f i c a t i o n ，r i s ka n a l y s i sa n dr i s kc o n t r 0 1 b a n ko f e x t e r n a li tr i s kf r o mt h eb a n k ，s u c ha so p e r a t i o n a lr i s k ，t h er i s ko f p e r s o n n e lc h a n g e s ，t h er i s ko fr u n - i n ，b u ta ls o f r o mi tv e n d o r sr i s k ， c o u n t r yr i s k ，r e p u t a t i o nr i s k ，e n v i r o n m e n t a lr i s k ，c o m p l i a n c er i s k ，c r e d i t r i s k ，a n ds oo n i to u t s o u r c i n gr i s ka s s e s s m e n tp r o c e s ss h o u l df u l l yt a k e i n t oa c c o u n tt h ec o r eb u s i n e s sp r o c e s s i n gs y s t e m so u t s o u r c i n gr i s k s ， i n c l u d i n gs e c u r i t y ，e f f e c t i v e n e s s a n dt i m e l i n e s so fr e s p o n s e ，s y s t e m r e l i a b i l i t ya n di n t e g r i t yo fr e s o u r c e s ，i n f o r m a t i o nm a n a g e m e n tr u l e si n a r e a ss u c ha sc o n s i s t e n c yo ft h ef a c et h et h r e a to fb a n k ss h o u l da l s ob e n o t e dt h a ti tt e c h n o l o g y ，s y s t e ma r c h i t e c t u r e ，d e s i g n a n dc o n t r o l f u n c t i o n sm a yb ef a c e dw i t hr i s k s t h i sa r t i c l ef o c u s e so nc h i n a si to u t s o u r c i n gf o rb a n k st oc o n t r o l r i s k ，e x a m i n et h em i c r o b a n k so ft h em a i ni to u t s o u r c i n gr i s kc o n t r o l m e a s u r e s t oo p e nt h ec o u n t r yt oc o n d u c tc a s e so fi to u t s o u r c i n g ， i n t r o d u c e dt h eb a n k si n t e r n a lr i s kc o n t r o l ，a n dh a n g z h o u ，ab a n ki t o u t s o u r c i n g ，f o re x a m p l e ，s p e c i f i ca n a l y s i s o ft h e o u t s o u r c i n g d e c i s i o n - m a k i n gi nt h eo v e r a l lr i s kc o n t r o l ，w i t hav i e wt op r o m o t i n g 4 我困银行业信息技术外包的风险管理研究 c h i n a sb a n k i n gr i s km a n a g e m e n tl e a r nt op l a yar o l e f i n a l l y ，t h i sa r t i c l ed i s c u s s e st h eb a n k si to u t s o u r c i n gt oe x t e r n a l r e g u l a t i o n t h r o u g ho u re x i s t i n gi to u t s o u r c i n gs u p e r v i s i o no ft h e b a n k i n gs y s t e ma n dt h ee v a l u a t i o no ft h ei n t e r n a t i o n a lo u t s o u r c i n go ft h e b a n kr e g u l a t o r ys y s t e mt ol e a r n ，t od i s c u s st h ec u r r e n ts t a g eo fc h i n a s b a n k i n gi to u t s o u r c i n gi n d u s t r y sr e g u l a t o r ys y s t e mc o n s t r u c t i o n w e s h o u l db ef o r m u l a t e da n de n a c t e ds p e c i f i c a l l yr e g u l a t et h eb a n k i n gr u l e s a n dr e g u l a t i o n so ft h ei to u t s o u r c i n g ；t h e r eh a v ep u tc l o s et oe n h a n c e m a r k e ta c c e s s ；t h ee s t a b l i s h m e n to f b a n k i n gs u p e r v i s i o nd e p a r t m e n to f i t o u t s o u r c i n ga n dr e g u l a t o r ya u t h o r i t yt om o n i t o rt h ep r o c e s s ；i n t r o d u c t i o n o fp r e f e r e n t i a lp o l i c i e st op r o m o t et h eo u t s o u r c i n gi n d u s t r yi na no r d e r l y m a n n e rh e a l t h yd e v e l o p m e n t k e y w o r d s ：b a n k i n g ，i n f o r m a t i o nt e c h n o l o g yo u t s o u r c i n g ，r i s k i d e n t i f i c a t i o n ，r i s kc o n t r o l ，r e g u l a t i o n 浙江工商大学硕士学位论文我国银行业信息技术外包的风险管理研究 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 本人为获得浙江工商大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示谢意。 签名：墨至签 日期：7 占年；z , e j z t _ e l 关于论文使用授权的说明 本学位论文作者完全了解浙江工商大学有关保留、使用学位论文 的规定：浙江工商大学有权保留并向国家有关部门或机构送交论文的 复印件和磁盘，允许论文被查阅和借阅，可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制 手段保存、汇编学位论文，并且本人电子文档的内容和纸质论文的内 保密的学位论文在解密后也遵守此规定。 ， 签名：羟劣 导师签缸幽墨 日期：，d 桫年位月：z t - 日 浙江 二商大学硕上学位论文 我罔银行业信息技术外包的风险管理研究 第一章导论 第一节选题背景 进入2 1 世纪以来，全球化来势凶猛、不可阻挡。信息技术的飞速发展和市 场竞争的日益激烈，企业经营环境的复杂性和不确定性迫使企业必须以快速度、 高质量、低成本及完善的服务和对手展开竞争，这就要求企业必须拥有独特的竞 争优势。然而，任何企业所拥有的资源都是有限的，它不可能有充分的资源和时 间把自己变成方方面面均处于本行业前列的能手，也不可能在所有的业务领域都 具有竞争优势。为了提高企业效率、赢得竞争优势，许多大公司在改变传统的“一 揽子”做法，将那些适合由外部力量完成的事情，尽量交给“他人”来做。 金融业的开放，给我国商业银行的发展带来契机，同时也意味着挑战。随着 经济发展和金融工具不断创新，顾客要求银行在传统存贷业务之外能够提供投 资、理财、保险、租赁等全套金融服务。同时商业银行又面对着具有庞大的资本 实力，丰富的管理经验，涉足银行、保险、证券等各种领域，能为客户提供高质 量、全方位服务的跨国银行的挑战。我国大多数银行，特别是中小商业银行，它 们缺乏相应的资金、技术和人才，通过外包来解决这个问题是一个很好的思路。 银行业早在二十世纪七十年代就涉足外包领域，二十世纪九十年代以来呈现 出迅猛发展趋势。i t 外包服务在银行信息化建设中所处的地位日益显著，它可 以使银行业整合利用信息技术服务提供商的专业技能和先进的管理经验，从而降 低成本、提高效率、集中优势资源、充分发挥自身核心竞争力和增强银行对环境 的迅速应变能力，是金融信息化进程中不可或缺的板块。 第二节it 外包的研究现状 一般l t 外包的研究现状 i t 外包思想始子2 0 世纪8 0 年代的美国：1 9 8 8 年1 月，柯达( e a s t m a nk o d a k ) 公司成立信息系统部，同年，柯达将数据中心、运营电信服务以及个人电脑技术 浙江工商大学硕i - 9 位论文我因银行业信息技术外包的风险管理研究 支持分别外包给了i b m 、e d c 和b u s i n e s s l a n d 公司，从而开始了大规模企业信 息系统外包。此后，不论是信息技术的实践者还是理论研究者都从不同的角度对 i t 外包进行了研究。 国外的学者和实践者，对i t 外包的研究取得了大量的成果。既有专著，如 罗伯特克莱伯，温德尔o 琼斯等著的信息技术、系统与服务的外包，托马 斯h - 达文波特等著的信息技术的商业价值；又有专业论文，其中以美国著名 的管理学家奎恩( ( j b q u i n n ) 、英国剑桥大学的l e s l i e w i l l c o c l s 、剑桥信息系统研 究所主任d a v i df e e n y 和伦敦大学g u yf i t z g e r a l d 等人的研究最为著名。 研究内容主要有：对信息技术外包的动因的研究。一种是从企业内部实践 方面来找寻原因，比如增加资金的流动、提高企业的响应能力等；另一种是上升 到了经济学的理论高度来寻找原因，比如c h e o n ，g r o v e r ，t e n g 就总结了三种 理论：资源基础理论、资源依存理论、交易成本理论。对信息技术外包的风险 研究，以m i c h a e lj e a r l 的t h er i s ko f o u t s o u r c i n gi t 为代表，他的研究表明信息 技术变化的不确定性和经营环境变化的不确定性对外包带来风险，包括降低公司 成员的学习积极性和降低组织通过外包信息服务而获得的实效。对承包商选择 的研究：如让多个承包商协同为一个外包信息技术的公司服务，虽然多个承包商 之间的竞争不会降低公司的成本，但可以提高外包承包商的服务水平和一定程度 上降低外包的风险。对信息技术外包的管理与控制的研究：都从整体上对外包 涉及的各个方面进行阐述，表明如何从整体上把握信息技术外包。对信息技术 外包的策略研究：即采用选择性外包还是采用整体性外包之间的选择。还有就 是对信息技术外包中比较新颖的问题的研究。 综上所述，国外学者对信息技术外包的研究具有时间长、研究全面、深入并 且具有前沿性这样的特点。 相比而言，国内研究就比较少，几乎没有相关的著作( 基本都是从国外翻译 过来的资料) ，只有一些相关专题论文的对此进行研究。国内企业的信息技术外 包还不够深入和普遍，并缺乏广泛的调研基础，他们主要通过案例、数学工具等 来研究信息技术外包，没有通过大规模的调查分析来进行研究，而且主要是引进 国外的外包理念以及促进这种理念的普及，并用理论方法来指导实践的展开： 国内学者的研究内容主要有：对国外研究理论成果的总结：如杨波。左美 4 浙江工商大学硕f 二学位论文 我国银行业信息技术外包的风险管理研究 云、方美琪的信息技术外包理论和实务述评：信息技术外包理论的应用研 究：比如杨向东的信息技术外包策略在我国电子化中的应用探讨；对信息 技术外包的风险研究：比如聂规划、周晓光、张亮的企业信息技术外包的风险 与防范；林则夫、陈德泉等的试论信息技术外包中的风险管理策略；以及李 小卯的信息技术外包套牢问题的研究对信息技术外包战略的研究，也是总 体上的研究包括外包的原因、内容以及如何外包等等，代表的作品有杨海蔚、董 安邦的企业信息技术外包浅析：还有对a s p 即应用服务提供商的研究，如 易虹的a s p 一中小企业信息化解决之道等等。 对以上国内外两方学者研究成果的总结中，我们可以看到目前对信息技术外 包研究的投入很多，也取得了一定的成果，但仍存在着一些不足，对促进公司与 外包商之间良性交易的机制研究的不够深入。我们应该把国外理论与国内的实际 相结合，促进信息技术外包这种运作模式的应用，促进我国经济体制改革和信息 技术的发展。 二、我国银行it 外包的研究现状 国外对银行的i t 外包理论也是比较成熟的，但国内研究在这方面就比较贫 乏了。般就是从某一方面对我国银行i t 外包进行分析，还没形成一个系统性的 分析框架。如表l 一1 所示： 表1 1 我国银行i t 外包分析 序号题名来源年期 1 i t 外包成为中小银行信息化的必由金卡t 程2 0 0 7 3 之路 2 银行i t 外包及其风险控制中国金融电脑 2 0 0 7 4 3 银行i t 外包及其风险管理策略中国金融电脑 2 0 0 6 1 4 我国商业银行i t 外包的适用性分析商业时代 2 0 0 6 7 5 国内外银行i t 外包案例分析及其对 当代经理人 2 0 0 6 5 中国的启示 6 中国银行也i t 外包的破冰者一记国中国金融电脑 2 0 0 6 1 0 家开发银行的信息化建设 5 浙江t 商人学硕士学位论文我固银行业信息技术外包的风险管理研究 7 探讨银行i t 外包之路 中国计算机用户2 0 0 5 3 3 8 我国银行业i t 外包的效用及趋势经济论坛 2 0 0 5 1 4 当然，还有一些其它的文章，但基本上和以上类似。研究的内容主要集中在： i t 外包在我国商业银行中的应用或者说案例分析；银行i t 外包的风险及策略研 究；另外，就是对银行的业务外包研究等。 国内外大量的实践表明，随着i n t e m e t 技术和各种无线通信技术在商业银行 业的综合应用。商业银行i s ( i n f o r m a t i o ns y s t e m ) 的安全将面临更多的挑战。商业 银行信息化面临的技术风险包括没有战略规划，没有总体规划、没有优化重组业 务流程、没有认真进行数据准备工作、人才培训不够到位等( 李硕、庞瑞江，2 0 0 2 ) 。 因此，加强对商业银行技术风险和i s 内部控制机制的研究己经成为当今商业银 行监管的一项重要内容，并逐渐引起了商业银行监管当局的高度重视( 唐志武， 2 0 0 6 ) 。商业银行业内对加强商业银行信息化监控的强烈需求，促使众多学者开 始研究商业银行信息化的现状与对策、商业银行的信息化风险监控体系以及商业 银行信息化的绩效评价等问题。 总的来说，相关的实践和理论还不是很成熟，i t 外包的理论应用到银行上 的研究还是比较少。 第三节研究意义 截至2 0 0 6 年底，在中国不同行业的i t 外包服务整体市场中，金融行业的i t 外包服务投入达到2 2 4 3 亿人民币，同比增长2 6 2 ，成为中国i t 外包服务市场 中最为重要的行业细分市场之一。 全球会融i t 外包行业处于行业生命周期( 具体分为起步期，成长期，成熟 期，衰退期) 中的高速成长期。而根据我国的分析，截至2 0 0 6 年底，中国金融 i t 外包行业市场整体上仍然处于快速起步期。对金融行业i r r 外包服务的各种影 响因素进行分析认为，未来几年中国金融i t 外包所面临的积极因素要多于消极 因素，未来金融i t 外包服务有加速发展的趋势。根据预测，预计在未来5 年中 国金融i t 外包服务市场将以超过2 7 的年度复合增长率( c a g r ) 快速增长， 到2 0 1 1 年其市场规模有望达到7 7 亿元以上。 6 浙江工商大学硕士学位论文我圈银行业信息技术外包的风险管理研究 由于i t 外包在国内尚属起步阶段，相关的成功案例和经验还十分缺乏，虽 然国外有关i t 外包的理论和实践已经较为成熟，但是由于各国的文化背景及市 场状况迥然不同，各个企业之间的情况也存在着种种差异，国外的理论和经验还 必须与中国的现实和实践相结合，所以我们必须对适合中国企业和现实的r r 外 包的理论和方法进行进一步的研究。 以前，国内银行是国家计划控制的，银行之间竞争很小，对信息系统的依赖 也不是很强。但是，随着国内银行业的发展，我国加入w t o ，外资银行的进入， 银行之间的竞争越来越激烈；i t 技术的广泛应用，可以使银行获得巨大的利益。 银行成功的对信息技术进行外包，对银行起着非常大的作用。研究和探索信息技 术的外包有着广阔的理论意义和实践价值。 国外大多数金融企业已经将信息技术部分的业务进行了离岸资源外包，这种 趋势在银行业和保险业显得尤为明显。而在这种背景下，我国商业银行在开发和 完善其信息系统的过程中却遇到了一些问题，如何寻求外部力量来解决这些问 题，对于我国商业银行而言是一次机遇也是一次考验。 但银行在进行外包的过程中，可能会产生风险，如何对风险进行评估，以及 应对风险，对银行来说至关重要。加强i t 外包的内部控制，规避不必要的技术 风险，对商业银行提高自身竞争力和提供合规的( 监管) 控制信息具有重要的现实 意义。然而目前有关商业银行i t 外包的内控体系的研究还比较缺乏，银行业界 对信息系统风险的识别、分析和控制还处于摸索阶段。从国内情况看，我国商业 银行的内部控制多以事后的稽查监督为主，缺乏长远的规划和成熟的预防控制体 系，针对商业银行信息系统内部控制及评价的研究相当缺乏。 如何认识银行外包以及如何对银行外包进行有效地规制以更好利用这项制 度成为研究的必要。随着外包的发展，跟国际接轨，我们有必要建立其各种规制 制度，以规范银行业外包的发展。 基于以上这些原因，我希望我的论文对此类研究有所贡献。 第四节研究框架 本文先从i t 外包的综述说起，讲述了外包的概念，风险知识以及有关的理 论基础。而后论述了我国银行i t 外包的现状，存在的问题，银行i t 外包的发展 7 浙江t 商大学硕士学位论文 我国银行业信息技术外包的风险管理研究 动因，银行i t 外包的风险识别和风险评估。 本文重点探讨我国银行对i t 外包的风险控制，考查银行这一微观主体的i t 外包风险控制对策。从外包过程、外包商和外包人员三方面来探讨银行i t 外包 风险的内部控制对策。以国开行为例介绍银行外包风险的内部控制，并以杭 州某银行i t 外包为例，针对性分析外包决策中整体风险的控制，以期对促进我 国银行风险管理发挥借鉴作用。 本文最后论述了银行i t 外包的外部监管。通过对我国现有银行i t 外包监管 制度的评价以及国际银行外包的监管制度的学习，来探讨我国现阶段的银行i t 外包的行业规制建设。我们应该制定并颁布专门规范银行i t 外包的规章制度； 有放有收，加强市场准入；确立银行监管部门对i t 外包的监管权限和监管程序； 出台优惠政策，促进外包业有序健康发展。 本文研究框架如下图所示： 图1 1 本文研究框架图 8 浙江丁商大学硕十学位论文我国银行业信息技术外包的风险管理研究 一、外包的概念 第二章 it 外包综述 第一节外包概论 严格来说，外包并不是什么新鲜事务，人们过去经常谈论的承包，或工程承 包，其实就是外包。 按照韦氏在线词典( m e r r i a m w e b s t e ro n l i n ed i c t i o n a r y ) 的定义，外包是 指“将制造和生产工作转包或分包给外部公司，尤其是那些外国或非工会公司” ( t h ep r a c t i c eo fs u b c o n t r a c t i n gm a n u f a c t u r i n gw o r kt oo u t s i d ea n de s p e c i a l l y f o r e i g no rn o u n u i o n ) 。而按照美国通用的另一种词典美国传奇词典( t h e a m e r i c a nh e r i t a g ed i c t i o n a r y ) 的解释，外包是“为了节省成本而从一个外部供应 商或厂家获得服务或产品，例如用于一部汽车的零部件( t h ep r o c u r i n go f s e r v i c e s o rp r o d u c t s ，s u c ha st h ep a r t su s e di nm a n u f a c t u r i n gam o t o rv e h i c l e ，f r o ma no u t s i d e s u p p l i e ro rm a n u f a c t u r e ri no r d e rt oc u tc o s t s ) 。 所谓外包，简而言之，是指使用外部资源去从事那些传统上由内部员工和 资源来处理的活动。作为一项战略举措，发包企业将公司包括信息系统等在内的 非核心性功能，长期包给专业且有效率的外包服务商来负责。这些承包商则成为 能够带来价值和效率的商业伙伴。比如，将公司的数据储存业务功能外包给专业 公司，就可以避免购买和管理大量数据储存设备的成本和麻烦。 二、lt 外包的概念 实际上，单就信息系统和r r 外包( i s o i t o ) 服务而言，起码已经经历了 4 0 余年的发展历程。 表2 1信息系统外包( i s o it o ) 演进路径 2 0 世纪6 0 年代及以前2 0 世纪7 0 年2 0 世纪8 0 年2 0 世纪9 0 年代2 0 0 0 年迄今 代代 9 浙江丁商火学硕士学位论文我固银行业信息技术外包的风险管理研究 企业内开发 系统主件开发阶段 系统项目整个系统 没有或较少外包零部件外包产晶外包项目外包 整体外包 没有离岸没有或较少离岸出现离岸增加离岸进入主流 离岸 有关i t 外包的定义，也是各有各的看法。现将部分定义归纳如下： 表2 2i t 外包的定义比较 提出者时间定义 g r o b e r , v a r u n 1 9 9 2 年夏将组织中部分或全部的信息系统功能移交给外 ( 首次提出)部服务供应商。 p i n n i n g t o n 和 1 9 9 7 年 将使用者组织中的i t 基础建设里的实体部分或 o l c o c k是人力资源之特定的部分，全部都交给外部的厂商 来管理。 c h a u d h u r y 1 9 9 7 年 将各种不同信息系统的部分功能，经由契约形式 交付给外面的信息系统提供商 李小卯1 9 9 8 年指用户公司通过合同或协议，将全部或部分信息 技术业务，如数据中心管理、运作、通讯及软件维 护等，外包给承包商 霍国庆2 0 0 1 年 指企业将信息系统或信息功能整体或部分地移 交给外部的服务商来完成。 林则夫2 0 0 2 年指组织以合同的方式委托信息技术供应商向组 织提供所需要的部分或全部的信息技术功能。信息 技术外包一般还伴随着组织的信息技术资产、人员 及租赁资产交出信息技术供应商管理 左美云2 0 0 3 年指企业以合同的方式委托信息技术服务商向企 业提供部分或全部 计世资讯( 目 企业战略性选择外部专业技术和服务资源，以替 前我国i t 产业权 代内部部门和人员来承担企业i t 系统或系统之上 威市场调研和咨询 的业务流程的运营、维护和支持的i t 服务 机构) 1 0 浙江工商大学硕一l ：学位论文我国银行业信息技术外包的风险管理研究 综上所述，各流派观点所共识的是，n 外包就是由第三方执行i t 部门的作 用；不同的是，某些流派将i t 外包的定义在某些方面作了更具体的强调。g r o v e r 的观点强调的是从自己开发到外包的转变；p i n n i n g t o n 强调了i t 及人员的移交； c h a u d h u r y 、李小卯强调了合约的重要性。 最为频繁i t 外包是设备维护和服务，培训与教育，故障维修，数据录入和 系统集成的工作。没有一个主要i t 组织将整个1 1 r 职能部门都外包出去的。 三、 it 外包的分类 现在主要有四种划分方法：第一种是按照外包的程度可以将i t 外包划分为 整体外包和选择性外包。整体外包系指将i t 职能的8 0 或更多外包给外包商； 选择性外包是指选择几个信息技术职能的外包，外包数量少于整体的8 0 ；第 二种是根据客户与外包商建立的外包关系，可以将i t 外包划分为：市场关系型 外包、中间关系型外包和伙伴关系型外包；第三种是根据战略意图可以把i t 外 包划分为信息系统改进( i si m p r o v e m e n t ) 、业务提升( b u s i n e s si m p a c t ) 和商业开 发( c o m e r c i a le x p l o i t a t i o n ) ；第四种是按照价值中心的方法可以将i t 外包划分为 成本中心型、服务中心型、投资中心型和利润中心型外包。 i t 外包按照委托外包的层次来分，大致有以下三种。一是i t 基础架构外包 ( i t i n f r a s t r u c t u r e o u t s o u r c i n g ) ，二是应用系统外包( a p p l i c a t i o ns y s t e m o u t s o u r c i n g ) ，三是业务流程外包( b u s i n e s sp r o c e s so u t s o u r c i n g ) 。i t 基础架构外 包是目前中国1 1 r 外包市场中占了主导地位，其中包括伴随着i n t e r a c t 发展带来的 需求而成长起来，为各类网站提供大规模、高质量、安全可靠的服务器托管和租 赁、虚拟主机、增值业务等服务的i d c ( i n t e m e td a t ac e n t e r ) p b 包，以及因网络安 全问题日益突出而产生的电子邮件外包，网络系统外包等。应用系统外包由于高 技术含量和产生的附加值较高己成为国外i t 外包的主流，它具体包括二次开发， 系统后期维护升级，e r p 和c r m 系统的运营外包。最后一种业务流程外包比较 特殊，它与前两种外包种类有着很紧密的联系，它是指企业将自己基于t t 技术 之上的业务系统委托给专业服务公司，由其按照服务水平协定的要求进行管理、 运营和维护，其中包括客户管理外包、人力资源外包i 财务流程外包等。但是因 为自动化以及集成问题，业务流程外包与应用系统外包和基础架构外包很难严格 浙江丁商人学硕l ：学位论文 我国银行业信息技术外包的风险管理研究 分开。例如，一项c r m 集成活动可能会签订一个c r m 或客户服务外包合同， 合同在流程服务之外还可能会涉及到应用和基础系统的管理。 图2 1i t 外包种类的相互关系 四、 it 外包和it 内包的差异 i t 外包和i t 内包是相对概念，它指企业依靠自己的i t 力量提供i t 功能。 它们差异体现在以下三方面。 首先，协调机制不同。协调机制指在需求者和供应者之间协调资源分配的方 式。有两种基本的协调机制：市场和层级。i t 外包靠市场机制来协调，i t 内包 靠层级关系来协调。市场竞争使i t 供应商降低生成成本，而内包会使部门满 足现状。但事物都有两面性，市场调节方式的交易成本很高，而层级调节方式的 交易成本就低。 其次，约束机制不同。i t 部门与其他部门的关系是建立在共同利益基础上 的，双方可以根据组织的需求很灵活的调整服务的方式和内容，但另一方面也导 致了i t 需求的泛滥。不受约束的机制往往导致企业n 成本的上升。i t 外包恰好 相反，合同规定了双方的权力和义务，i 所要求的服务与支付的费用直接联系，对 i t 需求有强烈的约束，但这种方式特别僵化，当需求有变化时j 比较难适应。 1 2 浙江t 商人学硕r ：学位论文我国银行业信息技术外包的风险管理研究 最后，管理方式不同。在i t 外包的情况下，企业要明确所要的结果，这么 实现可以让供应商选择，减少了企业耗费在i t 上的精力。但这样可能导致对技 术失去了解，所以不利于更好的应用技术。而内包则相反，通过i t 部门在企业 内提供i ，r 功能，企业可以学习和掌握技术，发现改进应用的机会。 表2 3i t 外包与i t 内包的比较。 i t 外包 i t 内包 协调机制 市场层级 约束机制契约关系 管理方式面向合同面向过程 五、外包的一般过程 i t 外包活动经过无数公司的实践也存在着一般的流程或者说是最佳实践。 著名的研究机构g a r t n e r 公司就提出了一套i t 外包的生命周期理论，仿照软件工 程中的软件生命周期( s o f t w a r ed e v e l o p m e n tl i f ec y c l e ) 将i t 外包活动分解成4 个 阶段，构成一个完整的闭环。如下图所示，第一阶段外包战略的主要工作在于定 义组织的需求和战略，确保选择i t 外包活动是符合组织长期利益的；在第二阶 段中通过评估和选择将这些需求和战略转化为战术层面的要求；第三个建立合同 的阶段则需要在合同和关系原则罩体现出前个阶段中的要求；最后把合同和关系 原则纳入到管理过程中，完成可以周而复始的闭环结构。 表2 4g a r t n e 外包生命周期 阶段1 ：外包战略 阶段2 ：评估和选择 联盟标识 组织评估 开发指标 核心竞争力组织适应性 市场分析选择过程 风险分析合作机会 阶段4 ：外包管理阶段3 ：建立合同 关系 。 管理模型 。资料来源：刘德，陈国青企业信息技术外包及j 策略计算机系统应用，1 9 9 9 1 2 1 3 浙江t 商大学硕士学位论文我国银行业信息技术外包的风险管理研究 目的：达到组织业务需求优势 转变支付模式 条款和条件 支持变化 当然，这个生命周期图仍然有其缺陷，首先每个阶段的覆盖面不足以照顾到 i t 外包的所有内容，需要进一步的细化和补充。其次对有些和风险相关的关键 步骤没有特别标识。 外包应该理解成具有持久影响力和长远历程的管理决策。最著名的决策模型 是西蒙，应用并转换此模型，得出了外包的5 个阶段。这些就反映出了研究目 标( 或者研究的问题) ：为什么( 外包) ，( 外包) 什么，哪一种方式，如何( 外包) ， ( 外包) 结果。 图2 2 西蒙决策模型及其转化模型 图2 2 展示了我们如何运用西蒙的4 阶段模型，进而改变成5 阶段模型， 更好地反映出组织评估和实施外包过程中会遇到的问题。这部分框架被描述成 。资料来源：j e n sd i b b e m ，t i mg o l e s ，i n f o r m a t i o ns y s t e m so u t s o u r c i n g ：as u r v e ya n da n a l y s i so ft h e l i t e r a t u r e ，2 0 0 2 1 4 浙江工商人学硕士学位论文我国银行业信息技术外包的风险管理研究 “外包阶段”。 阶段l 一“为什么”，与西蒙的“分析”相似，即组织对信息系统外包的利弊进 行权衡。 阶段2 一“什么”，与西蒙的“设计”相似，即有哪些可选择的外包安排，哪个 最适合组织。 阶段3 一“哪个”，与西蒙的“选择”相似，即在比较各方案后，组织最终选择 了哪个方案。这3 阶段组成了外包的第一部分：决策过程 第4 阶段一“如何”，与西蒙的“实施”类似，组织选择外包商，商议合同， 执行工具能帮助它们管理外包关系。 阶段5 一“绩效”，反映了外包决策的结果；此次外包的成败，吸取的教训。 我们把这两个阶段组合成外包的第二部分：实施。当组织的进一步进行外包 评估，这些阶段会不断扩展。这称为“外包阶段应用”。 六、银行it 外包概念 银行信息技术外包( i n f o r m a t i o nt e c h n o l o g yo u t s o u r c i n g ，简称i t 外包) ，是指 银行以合同的方式，在规定的服务水平基础上，委托i t 服务提供商向银行提供 所需的部分或者全部i t 功能。银行信息技术外包一般还伴随着银行的i t 资产 和人员交由1 1 服务提供商管理。如今银行i t 外包的内容已由最初的只涉及非 核心业务扩展为核心业务系统、系统运营维护与管理等领域。常见的银行i t 外 包涉及i t 设备的引进和维护、银行通信网络的维护与管理、银行数据中心的运 作和管理、银行数据备份和灾难恢复、银行i t 的开发和维护、i t 培训等。 绝大部分外包行为都发生在非核心的，非战略性的信息系统职能中。但在银 行业，最高管理层将信息系统视为一个对竞争性机能非常重要的核心机构，但是 尽管如此，他们却愿意将大部分信息系统都外包出去。银行业中的信息系统资源 本身并不提供任何优势，但是在结合其独特的服务力量和市场地位时，银行就能 获得优势。 1 5 浙江t 商大学硕士学位论文我国银行业信息技术外包的风险管理研