人民银行支付清算系统是国家重要金融基础设施,是社会资金流动的大动脉,为社会大众提供了安全、快捷、高效的支付清算服务,保障支付系统安全、稳定、持续运行是人民银行各分支行支付管理工作的重中之重。各个支付系统城市处理中心(CCPC)作为所在地支付系统直接参与者接入的关键节点,关系到区域支付体系的安全和金融稳定。
同时,随着社会资金汇划需求的日益增长,在保障小额支付系统和网上支付跨行清算系统7×24小时不间断运行的基础上,大额支付系统运行时间又进一步延长,清算总中心对CCPC运维值守工作提出了更为严格的要求,部分CCPC探索通过运维监控业务外包方式提高连续性保障水平,但该举措同时也带来了相应的风险。
因此,切实强化支付系统运维外包的风险控制和绩效评价管理工作,有效提升项目精细化管理水平,保证支付系统安全稳定运行成为了人民银行各分支行的主要任务。
一、支付系统运维监控业务外包的主要驱动力
满足清算中心支付系统运维时效要求。人民银行及清算中心先后制定了《中国人民银行电子信息系统机房基础设施运行维护规范》、《中国人民银行机房值班管理办法》、《中国人民银行支付系统城市处理中心信息安全管理规定》等较为全面和严格的管理制度,规定支付系统应落实7×24双人值守。但是在实际工作中,部分CCPC面临着工作人员数量少、工作任务复杂繁重和人员年龄偏大等现实问题,难以满足支付系统7×24小时机房双人值守等运维监控要求。支付系统运维监控业务外包成为解决以上问题的补充,有效解决了CCPC人力不足与支付系统运维监控管理高要求之间的矛盾。
提高分支行清算工作质量。目前,支付清算工作正在发生着深刻的变化,支付系统运维外包可以使外包人员承担大量重复性高、复杂度低、任务量大的基础性工作,使正式人员能够集中力量谋划重点和创新工作,着力加强内部管理、手机号码支付等新功能推广、电证系统等新系统上线、国际支付发展研究、支付系统业务宣传等方面的工作,提高支付清算工作质量。
二、支付系统运维监控业务外包的主要风险
一是责任意识风险。业务外包后,有可能出现没有清晰地划分外包双方各自应该承担的责任,由此产生责任边界模糊、出现问题互相推诿等问题。因此,必须清楚地认识到支付系统运维管理责任并没有随着一纸合同全部转嫁给外包公司,各CCPC要始终为支付系统运维管理负起责任,对值守外包严格管理、定期评估,防止形成责任意识风险。
二是信息安全风险。支付系统运维监控涉及到大额支付系统、小额支付系统、网上支付跨行清算系统等国家支付体系中几个至关重要的业务系统,外包人员日常工作中会有机会接触到系统操作和有关数据报表等内容。如果对外包人员日常信息安全和保密安全教育不到位、相关制约的制度规范不到位、监控检查手段方法不到位,外包人员的思想素质和业务素质便存在不确定性,故而会存在一定程度的失泄密、操作失误等风险隐患。
三是服务质量风险。信息化系统服务外包作为一种商品,应该形成一套完善的规范和标准,以约束服务买卖双方。但目前国内这一领域既无统一规范也无公认标准,虽然人民银行制定有相应的服务评估办法,但由于服务质量难以量化,且服务时间较长、夜间值班内容枯燥难免造成精神松懈等情况都会让服务质量大打折扣。因此如何对服务质量进行评估和控制也是CCPC面临的主要问题之一。
四是超范围或超权限风险。按照《中国人民银行信息化外包风险管理办法》规定,“各单位应当明确不得外包的范围,涉及国家秘密、工作秘密、战略管理、内部风险管理、信息化审计和其他有关信息化核心竞争力等职能不得外包”。
部分分支行没有对外包人员的系统操作权限进行控制,没有明确系统访问的边界。尤其是在少数县支行,为缓解人员不足的压力,在外包管理中存在超范围或超权限的风险。
三、支付系统运维监控业务外包的风险控制实践
西安分行清算中心在实施支付系统运维监控业务外包管理时,始终严格遵照加强“服务外包,责任不外包”意识、加强风险控制、加强监督评估、加强持续改进等“四个加强”原则,进一步健全和完善人民银行信息化外包风险管理体系,严控外包方资质、创新监督方式、开展绩效评估,规范外包风险管理,有效降低和防范外包风险。
(一)建立健全制度体系,有效强化制度保障
西安分行先后自主制定了《中国人民银行西安分行信息化基础设施和信息系统监控值守外包业务暂行管理办法》、《中国人民银行西安分行支付系统运维监控业务外包项目采购绩效评价工作实施方案》等制度,从履约质量、值守任务、安全保密等方面进行了明确规定,加强外包项目的事前、事中和事后的监督和管理,同时设立科学的指标体系,对支付系统运维监控服务外包项目执行情况进行全面绩效评估,为外包风险控制和持续改进提供了坚强的制度保障。
(二)严控外包资质,提高准入门槛
外包商和外包人员的资质,决定了其专业程度、履约诚信、风险管理水平等各个影响服务质量的因素,因此严格把控外包商和外包人员资质尤为重要。西安分行对支付系统运维监控外包商从证照齐全、违约赔偿、责任明晰、保密承诺、行业实践等方面进行严格规范;对外包人员从身体状况、学历专业、技术水平、诚信保证、考核评估、监督监控等方面进行严格规范。
(三)创新运维值守方式,保证服务质量
2020年,西安分行自主开发建设支付系统运维安全预控平台,专门配备智能巡检模块,将所有需要监控和运维的硬件设备和应用系统纳入该平台,外包人员需手持智能巡检终端定期现场通过NFC进行设备和系统的巡检,并在智能终端上填写巡检记录。
二线带班人员在后台可以清晰调取巡检记录、巡检路线、设备故障记录、巡更日志等详细信息,有效提高了日常运维安全执行数字化和智能化管理水平。通过智能巡检系统可以避免外包人员出现漏检、不按时检等情况,提高支付系统运维外包服务质量。
(四)创新检查监督方式,实现全时段随机抽查
业务外包后,各级领导不断强调管理责任并没有外包,更应该加强风险管理和控制。西安分行清算中心创新使用远程音视频监控系统实现对外包行为的全时段监控,二线管理人员能够随时随地了解一线值班人员日常工作状态,对值班人员夜间值班、节假日值班等情况进行全时段监控。
此外,大幅增加定期和不定期、现场和非现场抽查频次,调取非工作时段外包人员监控值守录像视频检查值班监控的质量和效果,随时掌握运维监控值守人员工作情况是否能遵守各项管理规定,按要求认真完成各项值守任务。非现场远程监控的充分利用,大大提高了监管效率和质量。
(五)实施项目绩效评估,提升精细化管理水平
西安分行制定了《中国人民银行西安分行支付系统运维监控业务外包项目采购绩效评价工作实施方案》,每年将从预算管理、需求管理、质量管理、经济效益、用户满意度等9个维度、18个细项对支付系统运维监控外包项目实施全过程进行量化绩效评估,全面提升了外包项目精细化管理水平。
通过开展项目绩效评价,能够将绩效评价结果作为下一步改进工作、提升服务质量和服务水平的重要参考依据,以更加优质的服务保障整体履职绩效的提升。此外,能够及时发现支付系统运行监控中问题,不断优化业务技术值守和应急事件处置流程,不断细化支付系统运行维护过程中业务外包值守工作任务,提高工作效率,持续提升支付系统业务连续运行能力。
四、支付系统运维监控业务外包的相关工作建议
一是加强顶层设计,完善支付系统运维监控外包管理制度。一方面,鉴于目前支付系统运维监控业务外包已成为全国各个清算中心普遍存在的业务项目,因此清算总中心制定一套全国可参考的外包制度和标准,对外包商准入标准、外包服务质量评价标准、外包业务权限控制、外包操作行为规范、外包服务绩效管理等方面进行指导或明确,使各分支行在开展此类业务项目时有统一的执行标准。
另一方面,各分支行在开展支付系统运维外包时,也应结合当地工作实际和现状,制定可操作性强、可行性高的管理办法或实施细则,对外包业务从采购、合同签订、评估考察、人员培训、绩效管理、服务评价等全方位进行明确。
二是明确业务授权,坚守支付系统安全生产底线。在岗位设置方面,应合理设置岗位,明确岗位职责,制定允许外包项目清单,明确外包服务和外包人员的授权范围。对于可以接触到机房设备、系统数据等基础设施的岗位应体现相互制约、协调配合、最小授权、加强监督的原则,确保外包人员能够明确自身职责,防止出现超范围或超权限风险发生。
在安全管理方面,应做好巡更日志和记录,定期查验是否发生异常行为;应严格管理Ukey等安全认证设备,严禁出现冒名使用、混用等行为。
三是警钟长鸣,不断提升业务素养和责任意识。作为支付系统安全管理责任方,各分支行应常态化开展警示教育,不断加强外包商和外包人员的安全生产意识,严格要求遵守支付系统安全管理的各项管理规定,通报批评未按要求开展运维值守服务的行为,同时就支付系统操作规范、安全管理、应急管理、巡检任务等内容对一线值守人员进行培训。
四是丰富管理手段,加大外包服务监督绩效管理力度。充分利用智能化巡检技术等手段加强对外包服务的监督检查。对支付系统监控外包日常值守等工作的现场和非现场检查频次、时间和执行人员进行明确规定,确定检查发现违规事项的处理流程等。对于服务过程中存在问题应及时约谈外包商和外包服务人员,对于屡教不改的人员应采取辞退、换岗等措施。
建立指标科学合理的项目绩效评估机制。根据项目的实际情况,采取调阅资料、询问查证、系统查验、问卷调查相结合的方法开展评价工作,形成绩效评价报告。评价结果应反馈相关部门,作为下一步外包采购依据,有利于工作改进、提升和项目精细化管理的有力执行。