¿Cuáles son los riesgos de la subcontratación de TI y cómo prevenirlos?
En el trabajo diario, aparecerán alertas tempranas de diversos riesgos de subcontratación. La clave es que si los problemas no se descubren a tiempo, no se corrigen de inmediato o se paralizan los problemas descubiertos, los errores se convertirán en casos, provocando pérdidas y pagando un alto precio por las correcciones. Por lo tanto, cortar los riesgos de raíz es el foco del control de riesgos.
1. Desarrollar una estrategia de outsourcing de TI. Las "Directrices de gestión de riesgos de tecnología de la información bancaria" y las "Directrices de gestión de riesgos de subcontratación de bancos comerciales" emitidas por la Comisión Reguladora Bancaria de China establecen requisitos para el negocio de subcontratación, centrándose en la capacidad de la subcontratación de TI para promover el desarrollo del negocio de tecnología de la empresa y la operación segura. del sistema de información y el nivel de gestión del negocio de tecnología, cooperar estrechamente con el plan de desarrollo comercial de la empresa, sopesar de manera integral los beneficios y riesgos de la subcontratación, decidir qué servicios de TI subcontratar y formular un plan estratégico de subcontratación de TI.
2. Establecer un sistema de gestión de riesgos y seguridad del negocio de TI. El sistema debe tener un marco unificado, estándares unificados, medidas unificadas y supervisión y gestión unificadas. El contenido debe incluir estrategias de gestión de seguridad y riesgos comerciales de tecnología de la información, sistemas y especificaciones de gestión, estándares técnicos, directrices, procesos, manuales de operación, etc. Al establecer un sistema de gestión de riesgos y seguridad, guiamos el desarrollo de la gestión de riesgos y seguridad del negocio de TI de la empresa y hacemos que cumpla con los estándares de seguridad nacionales e internacionales pertinentes y las leyes y regulaciones chinas forman un mecanismo de gestión de riesgos y seguridad de tecnología de la información; empresa para garantizar la implementación y protección de todos los activos de la empresa; la seguridad de los recursos y activos de tecnología de la información; aclarar los indicadores de gestión de seguridad y riesgos de la tecnología de la información, y proponer medidas de manejo de violaciones, como la protección, detección y recuperación de emergencia del sistema de información; para organizaciones cooperativas, socios comerciales, contratistas y proveedores de servicios. Project Manager Alliance
3. Hacer un buen trabajo en capacitación y concientización sobre seguridad y riesgos comerciales de TI. Realizando cursos de formación, seminarios, envío de correos electrónicos, entrega de diarios y publicaciones periódicas, etc. , brindaremos al personal técnico y comercial de la empresa conocimientos sobre riesgos y seguridad del negocio de TI. A través de la capacitación y el aprendizaje continuos, dominar los sistemas y especificaciones de gestión de seguridad y riesgos comerciales de TI de la empresa, mejorar la conciencia sobre riesgos y seguridad de todos los empleados, participar activamente en la prevención de seguridad y riesgos de tecnología de la información y formar una cultura de gestión de riesgos en la que participen todos los empleados. en la gestión de la seguridad de las tecnologías de la información.
4. Establecer un sistema de gestión de la información para proveedores de outsourcing de TI y diseñar un sistema científico e integral de evaluación de indicadores de riesgos. Sigma tiene un dicho famoso: qué tipo de indicadores hay, qué tipo de resultados habrá. El establecimiento de un sistema científico de índice de evaluación de proveedores de subcontratación de TI ayudará a unificar los objetivos de desarrollo empresarial de TI de proveedores y bancos. El sistema de indicadores debe comenzar con los aspectos de calidad, costo, entrega, servicio, tecnología, activos, procesos, etc. para determinar el tiempo de establecimiento y lanzamiento del proveedor de subcontratación, experiencia en la industria, escala, seguridad, mano de obra, finanzas y tiempo de respuesta al problema. , ya sea que exista seguro de producto, para contenidos clave como la cultura corporativa y diversas certificaciones, los indicadores 3K (KCS, KCSA, KRI) se diseñan en detalle y a cada indicador se le debe asignar un rango de puntuación correspondiente. Al establecer un sistema de gestión de información de proveedores de subcontratación, los indicadores de evaluación diseñados se incorporan al sistema y se registran en detalle todos los aspectos de la información sobre los proveedores de subcontratación y sus cadenas de suministro. Mediante un análisis estadístico sistemático, las capacidades de servicio de los proveedores subcontratados pueden evaluarse científica y eficazmente.
(2) Las cosas están bajo control
El banco firmó un contrato con el socio subcontratado y el proyecto entró oficialmente en la etapa de operación cooperativa. En la operación diaria de proyectos de TI, los bancos, como Parte A, deben realizar las siguientes tareas.
1. Implementar seriamente el sistema y mejorarlo continuamente.
Según el análisis de los riesgos del sistema informático bancario, la seguridad y los casos penales, la mayoría de ellos se deben a no seguir las reglas, no seguir los sistemas y no seguir los procesos comerciales. Esto requiere que los bancos fortalezcan la implementación estricta. de los sistemas. En la gestión del sexo, los infractores deben rendir cuentas, de lo contrario las diversas normas institucionales establecidas serán en vano.
Al mismo tiempo, también se debe prestar atención a la construcción estandarizada del sistema de gestión de riesgos y seguridad de los proveedores de subcontratación de TI, así como a la planificación, construcción y gestión simultánea de sistemas de información, que pueden basarse en el desarrollo de la estrategia del banco. negocios de tecnología de la información, cambios en el entorno, reemplazo de trabajo central y requisitos de innovación Realizar ajustes, revisiones y adiciones de manera oportuna.
2. Seleccione un proveedor de subcontratación adecuado y firme un contrato de cooperación.
La contratación es un riesgo inevitable de la subcontratación de TI. Por lo tanto, es necesario encontrar proveedores de servicios de TI calificados basándose en investigaciones y análisis de mercado preliminares y en la información recopilada de los proveedores, realizar consultas y cotizaciones, establecer proveedores adecuados para la tecnología y el desarrollo comercial de la empresa mediante licitaciones, y cooperar con el departamento legal para formular y firmar contratos de subcontratación, evitar y prevenir razonablemente la aparición de riesgos contractuales.
3. Fortalecer la cooperación y comunicación con los proveedores de outsourcing.
Una vez firmado y lanzado el proyecto, el banco, como Parte A, debe proporcionar condiciones de oficina para la investigación y el desarrollo del proyecto, permitir que la parte subcontratada venga a trabajar en el banco lo antes posible y proporcionar asistencia necesaria a las partes relevantes, como colegas. Al mismo tiempo, el personal científico y técnico del banco y el personal comercial deben participar en la construcción del proyecto, lo que no solo puede familiarizar a su propio personal técnico y comercial con y dominar el desempeño técnico y las funciones comerciales del producto, sino también facilitar la comunicación sobre los problemas. durante el proceso de investigación y desarrollo del proyecto, pero también permite un seguimiento completo del progreso y la calidad del proyecto, para completar la investigación y el desarrollo del proyecto de software y ponerlo en producción con alta calidad dentro del tiempo especificado, para satisfacer a las partes interesadas del proyecto.
4. Establecer un sistema de evaluación de servicios de proveedores de outsourcing.
Debido a que la subcontratación y la subcontratación son comunes entre muchas empresas de subcontratación, especialmente las empresas multinacionales, reducen la transparencia y la trazabilidad de la cadena de suministro, lo que genera lagunas jurídicas, intencional o no, y aumenta los riesgos de la cadena de suministro. Por lo tanto, es necesario utilizar métodos diarios de seguimiento del desempeño y evaluación periódica para obtener una comprensión más profunda de los proveedores de subcontratación y sus cadenas de suministro, evitar la asimetría de información y facilitar el establecimiento de sistemas de gestión de información de proveedores de subcontratación. Realizar una evaluación integral del desempeño del proveedor basada en registros de seguimiento del desempeño relevantes para evaluar de manera integral y correcta el trabajo del subcontratista.
5. Planificar y controlar la construcción del proyecto.
Para evitar cambios frecuentes de personal, retrasos en los proyectos, entrega de documentos técnicos incompletos y servicios de soporte hacia atrás después de que el sistema esté en línea. El personal científico y tecnológico de nuestro banco debe establecer un mecanismo de comunicación para el progreso del proyecto y el control de calidad (como reuniones semanales, informes semanales del proyecto e informes de gestión de seguimiento de problemas) con los gerentes de proyectos de subcontratación y los miembros del equipo del proyecto. ), monitorear y medir periódicamente el progreso del proyecto, identificar cualquier desviación del plan, descubrir problemas de manera oportuna, brindar retroalimentación, comprender las causas, resolver problemas y garantizar el logro de los objetivos del proyecto.
6. Establecer un mecanismo de gestión de emergencias para mantener la continuidad del negocio.
No se pueden prevenir todos los riesgos, pero se pueden descubrir problemas rápidamente, pensar en soluciones con antelación y movilizar todas las opciones. Ésta es la esencia de la gestión de riesgos y seguridad. Los bancos deberían desarrollar planes prácticos de gestión de emergencias para los proveedores de subcontratación. Los proyectos de subcontratación pueden hacer que los bancos dependan de proveedores subcontratados. Si el proveedor de subcontratación no cumple lo previsto, se deben tomar en serio las consecuencias de la interrupción de las operaciones bancarias. Esto requiere que los bancos revisen estrictamente los planes de implementación proporcionados por los proveedores de subcontratación y formulen planes de contingencia para los proveedores de subcontratación que no cumplan el contrato o tengan emergencias.
(3) Supervisión posterior al evento
Una vez completado el proyecto de subcontratación, los departamentos funcionales relevantes del banco deben inspeccionar y auditar todo el proceso del proyecto de subcontratación desde su establecimiento. Licitación, construcción y producción, incluyendo principalmente los siguientes varios aspectos.
1. Combinar con la mejora de normas y reglamentos para institucionalizar todo el trabajo.
En el proceso de inspección posterior a la supervisión, es necesario fortalecer la inspección de si el sistema de subcontratación de TI es sólido, científico, efectivo y consistente con el trabajo real, y mejorar constantemente las reglas y regulaciones para que que el trabajo de subcontratación esté basado en reglas y esté institucionalizado.
2. Combinar recompensas y castigos para mantener la seriedad de las leyes y regulaciones.
Un castigo adecuado puede alentar a las personas responsables a corregir sus errores, fortalecer su conocimiento de las leyes y regulaciones y promover mejor su trabajo. De acuerdo con el sistema de gestión de seguridad y riesgos de subcontratación de TI establecido, verifique si todo el trabajo en el proceso de subcontratación del proyecto se lleva a cabo de acuerdo con el sistema. Para los problemas identificados, averigüe las razones, castigue a los infractores, elogie a quienes lo hayan hecho bien, aclare las recompensas y castigos y mantenga la seriedad del sistema.
3. Combinar con auditoría interna para formular una estrategia de auditoría externa.
Si bien hacen un buen trabajo en auditoría interna, también se puede invitar a las agencias de auditoría externa a realizar una evaluación integral de las capacidades de gestión de riesgos y seguridad de los contratistas externos y las empresas en la cadena de suministro subcontratada.
4. Combinar con una gestión estandarizada para lograr operaciones comerciales programáticas.
La supervisión a posteriori debe profundizar en la primera línea del negocio tecnológico, implementar concienzudamente procedimientos operativos estandarizados, comenzar con los detalles, encontrar deficiencias, tapar lagunas y promover la institucionalización, los procedimientos y la estandarización de la subcontratación. gestión de proveedores.
5. Combine el contenido del servicio de TI y supervise y administre múltiples subcontratistas.
Supervisar y reevaluar periódicamente los riesgos de subcontratación, e incorporar la información recopilada y los resultados de la evaluación a la gestión de los sistemas de información de proveedores de subcontratación. Gestionar proveedores a través de contratos y acuerdos SLA, prestar atención a las revisiones periódicas de los contratos de subcontratación, modificar oportunamente los contratos y reformular los estándares de servicios de subcontratación en función de las necesidades del entorno y el desarrollo del negocio bancario.
En términos generales, la subcontratación de TI debe llevarse a cabo dentro del alcance de las leyes y regulaciones nacionales y de las especificaciones del sistema de la empresa. Es necesario establecer y mejorar mecanismos de divulgación, inspección, supervisión y evaluación de información en el proceso de subcontratación de tecnología de la información, y establecer un sistema de gestión de información de proveedores de subcontratación completamente funcional para prevenir eficazmente los riesgos de subcontratación de tecnología de la información y garantizar la seguridad de la información.
Referencia:
/news/details.php? identificación=132