中国邮政储蓄银行 基于自主可控的外包管理与实践

　　中国邮储银行（简称“邮储银行”）自2007年挂牌成立以来，信息化建设工作长期面临任务重、时间紧、人员少的严峻形势，为快速适应市场竞争和客户需求，获得更优质、成本更低、效率更高的专业化服务，引入外部研发资源成为获得竞争优势的重要策略之一。与同业相比，邮储银行的外部研发资源使用量相对较高，经过近几年的不断探索、落实和优化，邮储银行本着“战略领先行，治理做保障，流程为根基”的建设思路，逐步建立了一套实用且适用于自身发展、基于自主可控的外部研发资源管控体系，为信息化建设提供了有力保障。近年来，在自身人员配置有限的情况下，邮储银行信息化进程快速推进。

　　严控科技外包风险

　　在外包战略方面，邮储银行基于业务及科技发展战略、自身风险控制能力，建立了“在合规及风险可控的前提下，适度外包，寻求并充分利用外部最佳资源，保障核心领域信息安全，提升邮储银行的科技创新研发能力和运维交付能力，实现成本与效益最优”的信息科技外包总体战略目标，并提出“战略符合、风险可控、统一管理、合规审慎、适度外包、成本效益”六大外包管理基本原则。

　　在外包治理方面，邮储银行依托自身信息科技风险防范组织体系，进一步明确董事会及高级管理层、信息科技外包审计部门、信息科技外包风险主管部门、信息科技外包执行部门四个层级、三道防线在外包管理方面的职责，建立了信息科技外包事前预防、事中控制、事后评价的外包风险管控模式，全面贯彻各项管理要求。

　　在外包流程制度方面，邮储银行围绕信息化项目全生命周期，结合信息科技外包活动各阶段、各环节风险控制和管理要求，形成具有中国邮储银行特色的覆盖三大阶段、十四大环节的项目全生命周期外包管控体系。

　　全生命周期外包管控

　　邮储银行项目全生命周期外包管控体系涵盖工程前期阶段、工程实施阶段、工程实施后阶段三个阶段。

　　中国邮储银行工程前期阶段主要分为业务方案编写、技术方案编写、工程立项、商务采购四个环节。其中，在工程立项环节建立了“面向风险的外包适宜度决策体系”和“软件成本评估体系”，在商务采购环节建立了全面的“准入与尽职调查模型”。通过以上三个着力点，邮储银行在自主可控方面迈上一个新台阶。

　　第一，邮储银行外包适宜度分析模型以核心性和复杂性为主要评价因子，对工程项目进行有效识别，并有针对性制定策略：对于邮储银行需自身掌握核心能力的项目，采取谨慎外包的策略，结合不同项目的具体要求，采用循序渐进的方法，在一定时期内引入外部资源，加强风险控制，并建立核心能力回收计划，最终达到完全自行建设；对于已具有核心能力，但因内部人员数量不足而无法完全自行建设的工程项目，通过制定人员补充计划，逐渐补充相应行员的数量。通过以上措施，在项目外包前进行基于风险的决策。

　　第二，结合工程项目特点，邮储银行引入软件行业标准和国际标准的功能点估算方法，建立了邮储银行功能点字典库、基准功能点耗时率，以及符合邮储银行实际的软件规模、工作量和费用度量模型，为信息化工程的立项决策提供基础数据。

　　第三，通过引入适当竞争，合理管控各类高风险服务提供商的数量，防范行业垄断和机构集中度风险，提高外包服务商的服务质量，降低风险及管理成本。对重要外包服务商开展尽职调查，重点从外包服务商行业经验、自主可控符合度、技术水平、服务能力、服务人员能力、内部控制机制、持续经营能力、突发事件的应对能力等方面予以全方位的评估，从而选择真正符合工程项目要求的优质外包服务商。

　　中国邮储银行工程实施阶段主要分为工程启动、需求分析、系统设计、软件开发、系统测试、推广上线等八个环节。在关键环节，始终坚持“以我为主，严控风险”的指导方针。同时，基于体系化的过程管控和精细化的技术规范标准，形成了一套点、线、面结合的三位一体的管控体系，通过这套体系，将管理渗入到外包项目的方方面面。

　　一是工程启动环节，聚焦两个“关注点”，加强对外包服务商的全面风险管控。

　　首先，建立高效协同的工程项目管理和质量管理队伍。邮储银行信息科技外包工程项目采用4M模式(即“工程负责人+项目经理+业务经理+技术经理”的模式)和质量管控队伍(体系级项目经理+项目质量经理+项目QA)，实现信息系统全生命周期建设情况的监督检查、量化分析和考核评估，将风险和质量问题消灭在各个生命周期阶段中。

　　其次，制定外包工程项目安全标准，加强外包人员安全意识。从人员安全、物理安全、网络安全、终端安全四个方面制定管控制度，着力落实管控措施，加强风险防范，防止因外包活动引起的信息泄露、信息篡改、非法入侵、物理环境或设施遭受破坏等风险。

　　二是需求分析环节和系统设计环节要重点监控，防范因外包而导致能力丧失风险。

　　在这两个环节中，邮储银行基于行内的需求管控、架构管控体系，采取“以我为主”的操作方式，在外部研发资源配合下，以业务经理和技术经理为主导分别编写需求规格说明书及系统设计，确保核心科技能力自主可控，工程应用定位、数据分布、实施路径与规划成果一致，避免竖井式系统建设和功能重复建设，保障系统架构满足未来几年的业务发展需要。

　　三是软件开发环节，对外包工程项目提出并确立“标准化要求，常态化检查”方针，制定邮储银行统一的代码编制规范，并通过定期的代码走查，提高代码编制质量。

　　四是系统测试环节，对外包工程项目制定“统一负责，严把质量关”的策略。测试部门统一负责，重点完成功能测试、技术性能测试、技术功能测试和验收测试，对每个上线系统做好充分测试，严把上线质量关，并对外包服务商提出首轮业务通过率不得低于60%，投产前通过率必须100%的指标要求。

　　五是在试点上线与推广上线环节，采取“运维前移，责任到人”方针，规范信息科技外包服务交付标准及知识转移流程，确保自有资源掌握关键要素能力，避免过度依赖外包服务。

　　邮储银行工程实施后阶段主要分为工程初验、竣工验收、项目后评价三个环节。该阶段强调对项目“回头看”，关注外包服务商、项目及人员的过程表现，全面总结经验，为后续项目管理提供借鉴。

　　首先，在外包服务商评价方面，邮储银行以“差异管控、全面评价、扶优汰劣”为目标，从提升价值和降低风险的导向出发，制定了一套基于外包服务商、项目、人员的三层评价体系，以“量化为主”，辅以少量定性指标，从范围、时间、人员、质量、成本五大方面进行评价，并将评价结果作为外包服务商年度各奖项评选的主要依据，以及外包服务商再次准入的重要参考依据。另外，基于外包服务商评价，根据外包服务商采购内容重要性和采购金额占比，对外包服务商进行分级分类管理，将外包服务商划分为战略型、合作型、关注型和淘汰型四类，采取不同的外包服务商管理策略。

　　其次，建立了涵盖“项目达成情况、项目过程执行情况、项目总结执行情况”三大维度的后评价体系，通过项目后评价，确定项目预期的目标是否达到，项目或规划是否合理有效，基于对评价结果的分析，总结成败原因，积累经验教训，为未来新项目的决策提供依据。

　　通过构建基于自主可控的外部研发资源管控体系，中国邮储银行逐步打造了一支能打硬仗的信息化队伍。在快速响应客户和市场需求的同时，有力保障了邮储银行信息科技的稳健发展。未来，邮储银行将继续激发各类创新主体积极性，提升邮储银行信息化建设水平，以自身的持续进步带动银行业信息化不断向前发展。

　　中国邮政储蓄银行信息科技部副总经理 胡军锋