为促进服务外包市场的成熟和健康发展,从行业竞争和风险管理的角度看,应建立外包供应商的分类及风险评级体系,通过市场手段,实现优化资源配置的机制,从而促进外包风险管理,对行业外包市场进行有效的风险控制。
一、银行信息科技外包概述
银行的信息科技应用广泛而复杂,相应的,信息科技外包服务的范围也相当广泛。当前,外包服务已经成为深化银行信息化建设的重要手段,特别是一些中小型金融机构,外包服务甚至成为其信息化的主要手段。因而,外包风险成为银行信息科技风险管理的重要领域,必须高度重视。
外包风险是一种外生风险。目前,科技外包的形式多种多样,既有外购技术人员参与项目开发的外包,也有生产运维的外包服务。各种外包形式在外包内容、外包管理、外包风险等方面也有差别。根据外包服务的内容,外包服务的类型可分为四类,即外购人力资源、外包项目开发、外购产品、外包营运,每类外包服务的主要风险、关注要点、风险管理要点都不尽相同。
二、外包供应商的管理策略
纵观当前的外包市场,供应商数量众多且鱼龙混杂,发包方难以进行全面了解和比较,在选择时面临较大困难。为有效降低外包风险,市场上应有对外包供应商从行业整体角度的评价,并提供具有参考价值的评价结果,供发包方决策时参考。
1、对外包供应商的分类与风险评级
对于供应商的评级,市场上有多种方法。综合评价方面,主要是各类信用评级,如穆迪、标普、惠誉、中国的大公国际和中诚信国际等评级机构所做的评级,对评级对象履行合同和承诺的能力、意愿进行总体评价。专业能力评价方面,主要是各种专业资质认证,如ISO9000、ISO20000、ISO27001、CMMI等。而对外包供应商整体考量,国际上还缺乏成熟的、有针对性的评价体系。2014年10月,国家(上海)服务外包交易促进中心出台了针对中国外包服务企业的信用评价标准和体系“服务外包企业信用评价体系(第一版)”。该标准采用与一般信用评价体系类似的结构,涵盖了企业的基本素质、营运能力、财务信用、社会信用、客户信用等方面,由企业基本信息可信度评价、管理团队信用评价、企业能力可信度评价、财务信用评价、社会公信力和法律信用评价、基于客户的企业信用评价等6个方面的指标组成,并已开展对外包企业的评级。该标准体系中,对外包服务的业务,采用两种分类体系:一是 2009年《财政部、税务总局、商务部、科技部、发展改革委关于技术先进型服务企业有关税收政策问题的通知》(财税[2009]63号)确定的服务外包业务分类;二是商务部服贸司《中国国际服务外包统计操作指引(2012)》确定的有关产业分类。两者都把服务外包分为信息技术外包(ITO)、业务流程外包(BPO)和知识流程外包(KPO)三大类,细目上有些微差别。上述分类主要面向统计和宏观管理。对于面向风险控制方面的分类,目前还未见有针对性的、公开的方法。
由于外包供应商在规模、资金、业务范围、能力等方面差异较大,因此,对供应商的选择是一个综合、复杂的过程,目前业内普遍采取的做法是调研和招标的方式。这种方式存在选择范围大、筛选周期长、客观性不易把握等问题。选择过程面临诸多不确定性,为项目的执行带来了风险。我们在调研中发现,银行同业中,一些重要的外包项目,由于承包方技术能力不强、资金投入不够、风险意识不高、风险管理不严,存在较严重的风险隐患,给银行业金融机构带来了较为严重的运营风险。为规避风险,银行业金融机构在选择供应商时,市场上应有客观的、独立的、较为权威的风险分类评估供其参考。
银监会作为我国银行业监管机构,对于外包服务供应商制定了综合性的评估方法并在实际工作中使用。不过,该方法中没有对外包企业进行分级。
就行业而言,面向该行业的供应商分类及评级可为行业用户提供有效的参考,特别是对于中小机构,由于信息获取不充分,有关评级信息对其更具参考价值。本文针对上述问题,借鉴国际评级机构的实践,提出外包供应商分类、分级思想,用于指导对外包供应商的风险管理实践。
(1)指导思想
对外包供应商进行分类、分级,对外包供应商的服务能力和履行合同的情况提供客观、科学、全面的评价信息,定期公布,用于指导用户科学、合理地选择外包供应商。评级结果作为独立的、公开的第三方评价意见供决策者参考,而不是代替决策。评级结果具有时效性,只反映当期的情况。
(2)评审原则
①分类:针对不同类别的供应商,风险评估的具体要求不同。对外包供应商进行分类,可按照上文提到的外包服务分类法确定的4种类型,确定供应商外包服务的类别。
②自愿:供应商自愿参与。
③公开:评级过程与结果是公开的,以保障获得客观公正的结论。
④独立:评级机构要独立于各利益相关方,以确保评级结果的公正。
(3)评审机构
①评级机构应是独立的面向市场服务的机构,不代表任何一方的利益,避免与外包市场的各方存在利益瓜葛。
②评级机构应具有科学方法和市场公信力,其评审过程、评审结果能够得到市场上各方的认可。
③应对评审对象进行定期复审并修订评审结果,以确保评级结果的有效性。
(4)评审步骤
①外包供应商根据自己的意愿向评级方提出评级的申请。
②评级机构根据自己的评审方法对供应商进行评审并给出评审结果。
③评级机构向外界公布评审结果及有效期,供公开查询。
对外包供应商进行风险分类和评级,可在参考现有的评级机构和评级内容的基础上,进行有针对性的研究、提升。从降低行业风险的角度看,应考虑构建面向行业的外包供应商分类及风险评级体系。
2、外包供应商的能力提升
外包供应商由于在规模、能力、经验、资金等多方面存在差异,因而影响了其履行合同、完成外包服务的效果,因而也为项目完成带来了诸多不确定性和风险。从行业的成熟性来看,由于银行业IT外包服务的内容多、覆盖面广,供应商市场应该具有多样性,即具有可以实施各种IT外包服务的合格的供应商。这种多样性体现在供应商规模、服务领域、专业性等方面,既要有规模较大、能够完成大规模复杂任务的承包商,也要有规模较小、可以完成专项任务的承包商;既有能为大的银行机构提供外包服务的大型供应商,也有能为小微型金融机构提供外包服务的中小型供应商。这种多样性可以促进行业外包服务市场的健康成长。
为促进服务外包市场的成熟和健康发展,从行业竞争和风险管理的角度看,应建立外包供应商的分类及风险评级体系,通过市场手段,实现优化资源配置的机制,从而促进外包风险管理,对行业外包市场进行有效的风险控制。通过对外包供应商的分类、风险评级,鼓励并推动供应商之间的联合、合并,以提高企业的风险管控水平,提高行业外包服务能力和外包资源的整合度。同样,鼓应励发包方实行风险信息共享,有效降低行业整体风险。
从当前市场实际看,外包供应商中存在数量较多的中小企业,对于完成外包任务来说,其资金、能力、经验、人才等均存在一定风险。特别是由于规模小、资金不足,其将主要资源投放在维持外包服务任务的执行上,而在信息安全、风险内控等方面进行则缺乏足够的投入,加之一些企业风险防控意识不强,没有按照行业相关的各种安全规范、内控要求、监管要求进行资源配置和风险管理,导致外包服务存在较大风险,在监管机构组织的对外包供应商的检查中也发现这种情况。
对于市场上实力较弱、风险较高的供应商,一方面应通过市场竞争机制优胜劣汰,通过淘汰、兼并等市场配置资源的机制,促进外包供应商的成长与成熟,其风险评级的结果将对其改进风险管理、完善外包服务起到较大的促进作用。另一方面则通过外部检查、审计等监管机制,促进其内部改进内控机制、加强风险管理、提升服务能力。
外包供应商的风险评级,从市场机制上起到了改进外包服务风险管理的作用,而检查、审计等工作则从监管机制上促进外包服务风险管理的改进,两者相辅相成,构成防范外包服务风险管理的完整体系。上述互相配合的风险防控体系,还可以促进外包供应商之间的联合与整合,整体提升外包行业的服务能力、降低行业整体外包风险。
2014年,国务院印发了社会信用体系建设规划纲要《国务院关于印发社会信用体系建设规划纲要(2014—2020 年)的通知》(国发[2014] 21号),对社会信用体系建设制定了中长期规划,提出要全方位建设诚信体系。对于外包供应商的风险评价,可以在上述纲要的指引下,有针对性地开展,逐渐取得成效。
(文章来源:外部稿件)
