胡军锋
中国邮储银行(简称“邮储银行”)自2007年挂牌成立以来,信息化建设工作长期面临任务重、時间紧、人员少的严峻形势,为快速适应市场竞争和客户需求,获得更优质、成本更低、效率更高的专业化服务,引入外部研发资源成为获得竞争优势的重要策略之一。与同业相比,邮储银行的外部研发资源使用量相对较高,经过近几年的不断探索、落实和优化,邮储银行本着“战略领先行,治理做保障,流程为根基”的建设思路,逐步建立了一套实用且适用于自身发展、基于自主可控的外部研发资源管控体系,为信息化建设提供了有力保障。近年来,在自身人员配置有限的情况下,邮储银行信息化进程快速推进。
严控科技外包风险
在外包战略方面,邮储银行基于业务及科技发展战略、自身风险控制能力,建立了“在合规及风险可控的前提下,适度外包,寻求并充分利用外部最佳资源,保障核心领域信息安全,提升邮储银行的科技创新研发能力和运维交付能力,实现成本与效益最优”的信息科技外包总体战略目标,并提出“战略符合、风险可控、统一管理、合规审慎、适度外包、成本效益”六大外包管理基本原则。
在外包治理方面,邮储银行依托自身信息科技风险防范组织体系,进一步明确董事会及高级管理层、信息科技外包审计部门、信息科技外包风险主管部门、信息科技外包执行部门四个层级、三道防线在外包管理方面的职责,建立了信息科技外包事前预防、事中控制、事后评价的外包风险管控模式,全面贯彻各项管理要求。
在外包流程制度方面,邮储银行围绕信息化项目全生命周期,结合信息科技外包活动各阶段、各环节风险控制和管理要求,形成具有中国邮储银行特色的覆盖三大阶段、十四大环节的项目全生命周期外包管控体系。
全生命周期外包管控
邮储银行项目全生命周期外包管控体系涵盖工程前期阶段、工程实施阶段、工程实施后阶段三个阶段。
中国邮储银行工程前期阶段主要分为业务方案编写、技术方案编写、工程立项、商务采购四个环节。其中,在工程立项环节建立了“面向风险的外包适宜度决策体系”和“软件成本评估体系”,在商务采购环节建立了全面的“准入与尽职调查模型”。通过以上三个着力点,邮储银行在自主可控方面迈上一个新台阶。
第一,邮储银行外包适宜度分析模型以核心性和复杂性为主要评价因子,对工程项目进行有效识别,并有针对性制定策略:对于邮储银行需自身掌握核心能力的项目,采取谨慎外包的策略,结合不同项目的具体要求,采用循序渐进的方法,在一定时期内引入外部资源,加强风险控制,并建立核心能力回收计划,最终达到完全自行建设;对于已具有核心能力,但因内部人员数量不足而无法完全自行建设的工程项目,通过制定人员补充计划,逐渐补充相应行员的数量。通过以上措施,在项目外包前进行基于风险的决策。
第二,结合工程项目特点,邮储银行引入软件行业标准和国际标准的功能点估算方法,建立了邮储银行功能点字典库、基准功能点耗时率,以及符合邮储银行实际的软件规模、工作量和费用度量模型,为信息化工程的立项决策提供基础数据。
第三,通过引入适当竞争,合理管控各类高风险服务提供商的数量,防范行业垄断和机构集中度风险,提高外包服务商的服务质量,降低风险及管理成本。对重要外包服务商开展尽职调查,重点从外包服务商行业经验、自主可控符合度、技术水平、服务能力、服务人员能力、内部控制机制、持续经营能力、突发事件的应对能力等方面予以全方位的评估,从而选择真正符合工程项目要求的优质外包服务商。
中国邮储银行工程实施阶段主要分为工程启动、需求分析、系统设计、软件开发、系统测试、推广上线等八个环节。在关键环节,始终坚持“以我为主,严控风险”的指导方针。同时,基于体系化的过程管控和精细化的技术规范标准,形成了一套点、线、面结合的三位一体的管控体系,通过这套体系,将管理渗入到外包项目的方方面面。
一是工程启动环节,聚焦两个“关注点”,加强对外包服务商的全面风险管控。
首先,建立高效协同的工程项目管理和质量管理队伍。邮储银行信息科技外包工程项目采用4M模式(即“工程负责人+项目经理+业务经理+技术经理”的模式)和质量管控队伍(体系级项目经理+项目质量经理+项目QA),实现信息系统全生命周期建设情况的监督检查、量化分析和考核评估,将风险和质量问题消灭在各个生命周期阶段中。
其次,制定外包工程项目安全标准,加强外包人员安全意识。从人员安全、物理安全、网络安全、终端安全四个方面制定管控制度,着力落实管控措施,加强风险防范,防止因外包活动引起的信息泄露、信息篡改、非法入侵、物理环境或设施遭受破坏等风险。
二是需求分析环节和系统设计环节要重点监控,防范因外包而导致能力丧失风险。
在这两个环节中,邮储银行基于行内的需求管控、架构管控体系,采取“以我为主”的操作方式,在外部研发资源配合下,以业务经理和技术经理为主导分别编写需求规格说明书及系统设计,确保核心科技能力自主可控,工程应用定位、数据分布、实施路径与规划成果一致,避免竖井式系统建设和功能重复建设,保障系统架构满足未来几年的业务发展需要。
三是软件开发环节,对外包工程项目提出并确立“标准化要求,常态化检查”方针,制定邮储银行统一的代码编制规范,并通过定期的代码走查,提高代码编制质量。
四是系统测试环节,对外包工程项目制定“统一负责,严把质量关”的策略。测试部门统一负责,重点完成功能测试、技术性能测试、技术功能测试和验收测试,对每个上线系统做好充分测试,严把上线质量关,并对外包服务商提出首轮业务通过率不得低于60%,投产前通过率必须100%的指标要求。
五是在试点上线与推广上线环节,采取“运维前移,责任到人”方针,规范信息科技外包服务交付标准及知识转移流程,确保自有资源掌握关键要素能力,避免过度依赖外包服务。
邮储银行工程实施后阶段主要分为工程初验、竣工验收、项目后评价三个环节。该阶段强调对项目“回头看”,关注外包服务商、项目及人员的过程表现,全面总结经验,为后续项目管理提供借鉴。
首先,在外包服务商评价方面,邮储银行以“差异管控、全面评价、扶优汰劣”为目标,从提升价值和降低风险的导向出发,制定了一套基于外包服务商、项目、人员的三层评价体系,以“量化为主”,辅以少量定性指标,从范围、时间、人员、质量、成本五大方面进行评价,并将评价结果作为外包服务商年度各奖项评选的主要依据,以及外包服务商再次准入的重要参考依据。另外,基于外包服务商评价,根据外包服务商采购内容重要性和采购金额占比,对外包服务商进行分级分类管理,将外包服务商划分为战略型、合作型、关注型和淘汰型四类,采取不同的外包服务商管理策略。
其次,建立了涵盖“项目达成情况、项目过程执行情况、项目总结执行情况”三大维度的后评价体系,通过项目后评价,确定项目预期的目标是否达到,项目或规划是否合理有效,基于对评价结果的分析,总结成败原因,积累经验教训,为未来新项目的决策提供依据。
通过构建基于自主可控的外部研发资源管控体系,中国邮储银行逐步打造了一支能打硬仗的信息化队伍。在快速响应客户和市场需求的同时,有力保障了邮储银行信息科技的稳健发展。未来,邮储银行将继续激发各类创新主体积极性,提升邮储银行信息化建设水平,以自身的持续进步带动银行业信息化不断向前发展。