1）嚴格監(jiān)控風險，加強對服務商的監(jiān)管，監(jiān)控外包風險的目的為了控制軟件外包風險的暴露，保證控制手段和控制體系發(fā)揮作用，在風險發(fā)生之前徹底解決。需要分析控制風險的環(huán)境，檢測實施控制的效率，保證軟件系統(tǒng)開發(fā)以可控的方式進行。在軟件外包合同執(zhí)行期間，銀行應高度重視對服務商持續(xù)有效的監(jiān)督和控制，銀行可以根據(jù)自己內(nèi)部的安全措施制定保護步驟，隨時檢查服務商的運作方式是否與銀行的要求相一致，這樣可以確保服務商的安全水平與銀行一致。對大的軟件外包項目可成立由軟件技術、銀行業(yè)務、風險、審計、銀行戰(zhàn)略等領域的人員組成的監(jiān)管組，對服務商進行有效的監(jiān)督，及時補充修改銀行的業(yè)務需求與服務商進行談判磋商等等。對服務商的監(jiān)管應包括以下內(nèi)容：服務商的財務和經(jīng)營狀況，服務質(zhì)量和技術水平，服務商內(nèi)部關鍵人員的變動情況，尤其是高層的變動，為銀行開發(fā)軟件的關鍵技術人員的變動情況，服務商履行合同的情況，應急方案的演練情況，服務商把服務再次分包的情況。

　　為有效地控制軟件外包風險，除銀行自身要作出預防外，外部健全的監(jiān)管機制也很重要。從國外經(jīng)驗看，一些國家和地區(qū)已有專門的監(jiān)管規(guī)章來規(guī)范銀行業(yè)務外包問題，以促進銀行有效的控制風險，并為監(jiān)管當局的有效監(jiān)管提供規(guī)章依據(jù)。我們也必須建立相應的監(jiān)管制度，一方面指引軟件外包在風險可控的前提下正常開展，同時也為監(jiān)管當局的監(jiān)管提供規(guī)章和依據(jù)。

　　2）制定詳細的風險控制計劃，制定一個詳細、全面的風險控制計劃，風險控制計劃應包括對外包協(xié)議所有相關方面的監(jiān)控和某些事件發(fā)生時采取糾正措施的程序，明確銀行對外包風險的管理、監(jiān)控水平以及外包商控制操作風險的水平。例如，外包商的地處他國可能會導致數(shù)據(jù)保護、安全和其他方面的風險。所以，離岸軟件外包在母國之外制定及管理外包協(xié)議時，需要特定的風險管理技術來評估國家風險，例如政治、經(jīng)濟風險和法律方面的風險。

　　3）加強信息保密工作，為了規(guī)范離岸承包商的行為，發(fā)包企業(yè)要有良好的外包合同管理能力，并簽訂嚴格的保密協(xié)議，規(guī)定保密內(nèi)容、時間等，同時應對承包商的信用狀況和職業(yè)道德等進行評估和監(jiān)督，這要求銀行具有較高水平的管理能力和處理離岸外包關系的能力。通過嚴密的法律條款、嚴格的合同來保護銀行保密信息及客戶信息，降低信息泄露的風險，合同中應明確規(guī)定信息和相關資產(chǎn)的安全控制方式。保密工作基于服務商雇員和管理人員的職業(yè)素質(zhì)，銀行應注意在外包合同中，就服務商的人員素質(zhì)和義務作出明確的規(guī)定，制定服務商必須遵循的原則和機密信息的保護步驟。

　　4）控制外包成本，要核算和控制外包的綜合成本。外包成本包括顯性成本和隱性成本，顯性成本包括人力資源成本、軟件工具成本、硬件和辦公環(huán)境成本等，這些成本可以較明顯測算到。而隱性成本包括管理外包項目的交流和溝通成本，處理外包內(nèi)容變更的成本等，隱性成本不好估計具體的工作量，往往在外包規(guī)劃階段忽略或估計過低，造成外包實際成本高于最初的預計。根據(jù)經(jīng)驗，大型軟件外包的項目管理等隱性成本大約占項目總成本的15%。軟件外包執(zhí)行期間，由于情況的變化可能會要求外包商做一些原合同中沒有規(guī)定的額外工作，這就會產(chǎn)生額外費用。在簽訂合同前，應充分考慮這些因素，在合同中說明，止外包商要高價，控制外包的成本。

　　5）管理外包風險，銀行可由信息技術專家和風險專家共同管理軟件外包風險，及時通報軟件外包服務過程中遇到的各種問題和潛在的風險，發(fā)現(xiàn)比較大的風險時，向上一級風險管理機構匯報，以便及時采取有效的防范措施。對金額大的軟件外包項目，在資金管理上為軟件外包業(yè)務提供必要的風險準備，以便應對那些無法預料的外包服務風險。

　　對于較大的復雜的軟件外包項目，銀行最好任命一位既熟悉外包軟件技術，又善于交流的人員負責項目管理。如果銀行內(nèi)部沒有合適的管理人員對外包過程進行跟蹤、度量和控制，就可能產(chǎn)生外包項目進度和質(zhì)量失控的風險。對于承包商也要指定惟一的項目經(jīng)理，對內(nèi)安排具體的外包任務，對外與銀行交流、報告進度和開發(fā)問題。銀行和承包商的項目經(jīng)理進行單點聯(lián)系，使雙方的信息入口和出口惟一，避免多頭管理帶來的混亂，降低外包過程失控的風險。

　　6）分析風險情況，銀行應保證合適的人員和組織可以定期地接收到關于軟件外包風險的信息。報告的風險信息應該包括：銀行面臨的軟件外包風險和潛在的外包風險及其改進措施；應對風險的步驟；采取的具體措施及效率。通過這些風險分析，銀行高層管理者就可以評估銀行的風險管理狀況，監(jiān)控關鍵風險點，評估防范風險的效果，確定對軟件風險的控制措施是否成功實施。銀行的風險管理機構要定期對軟件外包風險管理進行回顧和總結，包括軟件外包服務是否與銀行的目標相一致，確定軟件風險的管理步驟和措施，提高軟件外包風險管理水平。