對信息科技外包活動及相關服務提供商進行“分級管理”，對重要外包和一般外包采取差異化管控措施

在銀行保險機構數字化轉型的過程中，信息科技外包這一重要形式的風險必須加以遏制。近日銀保監(jiān)會在官網上正式發(fā)布《銀行保險機構信息科技外包風險監(jiān)管辦法》(下稱“監(jiān)管辦法”)，就將矛頭指向這一領域。

從此次監(jiān)管辦法的內容來看，從信息科技外包治理、準入、監(jiān)控評價、風險管理等方面對銀行保險機構信息科技外包提出全面要求，正式提出銀行保險機構應對信息科技外包活動及相關服務提供商進行“分級管理”，對重要外包和一般外包采取差異化管控措施。至此，銀行保險機構的IT外包業(yè)務將進入全面監(jiān)管時代。

普華永道表示，監(jiān)管辦法將作為當前金融機構信息科技外包風險管理的指揮棒，但涉及的諸多變化同時會使得銀行保險機構合規(guī)壓力顯著提升，在落實監(jiān)管辦法的過程中將面臨不少挑戰(zhàn)。

風險頻發(fā)

“近幾年，銀行保險機構積極開展數字化轉型，在加大科技創(chuàng)新力度、更好地滿足金融消費者需求的同時，對信息科技外包服務的依賴度不斷加大。”銀保監(jiān)會表示。

根據IDC數據統計，2013年我國銀行業(yè)IT投資規(guī)模為680.9億元，而到了2020年，這一規(guī)模達到1906.4億元。數據顯示，2019年銀行業(yè)信息科技外包項目數量同比增加13.8%，外包合同金額同比增加56.3%。

而在保險業(yè)方面，根據艾瑞的數據，2019年國內保險公司的科技投入達到319億元，預計到2022年將達534億元，年復合增速接近20%。

不過，隨著IT投資的增加和對外包的依賴度增加，部分銀行保險機構對信息科技外包風險管控不力，因而導致的業(yè)務中斷、敏感信息泄露等事件時有發(fā)生。此外，部分領域外包服務提供商高度集中，形成了行業(yè)集中度風險。

普華永道分析稱，總體而言，金融機構信息科技外包業(yè)務比較常見的風險包括高依賴度、高集中度、政策風險、外部沖擊、意識薄弱以及約束有限六大風險。

具體而言，金融機構由于自身運營和管理需要，以及成本壓力，使用外包服務較為普遍，但外包人員在提供服務中，能近距離接觸金融機構的大量有價值的敏感信息，如客戶和交易信息，極易造成信息泄露。服務提供商自身的內控體系成熟度、風險管理能力和風險意識水平往往低于金融機構，難以有效識別外包人員主動或被動的不當行為。并且，相比較自身員工，金融機構對外包人員的管理難度更高，要求更難落實到位。

在這樣的背景下，金融機構外包風險事件往往防不勝防。針對外包違規(guī)催收、數據公司侵權或不當獲取、使用個人隱私數據的曝光和處罰，造成一些金融機構聲譽受損。新冠疫情則在業(yè)務連續(xù)性管理、服務提供商持續(xù)經營、遠程辦公和服務相關網絡安全等方面帶來新的風險。

進入全面監(jiān)管時代

信息科技外包作為信息科技風險監(jiān)管的一個重要領域，需要在原有基礎上進一步加強監(jiān)管約束，加大監(jiān)管力度，此次監(jiān)管辦法也因此應運而生。

在監(jiān)管辦法中，銀保監(jiān)會在總則中就要求銀行保險機構應當建立與本機構信息科技戰(zhàn)略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發(fā)的風險，并且不得將信息科技管理責任、網絡安全主體責任外包。

普華永道認為，和之前的金融機構IT外包相關監(jiān)管文件相比，此次監(jiān)管辦法充分反映了近年來金融行業(yè)、科技和監(jiān)管導向變化的背景，其主要變化可以總結為三大方向：

首先，以信息科技外包過程中的網絡安全、數據安全和個人信息保護作為核心導向。此次監(jiān)管辦法在對信息科技外包進行定義時，補充了“銀行保險機構與其他第三方合作當中涉及銀行保險機構重要數據和客戶個人信息處理的信息科技活動”，使得銀行保險機構以往多項與外部機構的合作，或服務采購，可能被新納入到信息科技外包活動范疇中，大大拓展了管理外延。

其次，完善了外包治理和風險管理相關方的職責。此次監(jiān)管辦法要求建立覆蓋董(理)事會、高管層、信息科技外包風險主管部門、信息科技外包執(zhí)行團隊的信息科技外包及風險管理組織架構，明確相應層級的職責，有利于進一步將信息科技外包風險管理責任和目標落地。

另一點非常重大的變化則是采用分類分級管理的辦法。根據監(jiān)管辦法，信息科技外包原則上劃分為咨詢規(guī)劃類、開發(fā)測試類、運行維護類、安全服務類、業(yè)務支持類等類別。普華永道表示，相較于此前相關文件的分類，此次監(jiān)管辦法的劃分較為全面地囊括了業(yè)內現有各類信息科技服務活動形式。

在分類管理的同時，監(jiān)管辦法將信息科技外包活動及相關服務提供商進行重要外包和一般外包的分級管理，諸如信息科技工作整體外包、安全運營的整體外包、涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息的外包等九大情況被歸為重要外包。對于重要外包，監(jiān)管辦法要求銀行保險機構需對服務商進行盡職調查，對非駐場外包服務進行實地檢查等，并應考慮重要外包終止的可能性，制定退出策略。

普華永道分析稱，開發(fā)測試類中，軟件即服務(即“SaaS”)形式以往可能會因為系統不在銀行保險機構內部落地而未被納入外包。安全服務類作為新增類型，需注意安全運營的整體外包屬于重要外包范疇。而在業(yè)務支持類中，數據利用服務可能會導致部分從外部機構向銀行保險機構側提供數據輸入的服務，被納入外包管理范疇。

業(yè)內人士認為，監(jiān)管辦法將會使得未來銀行保險機構外包業(yè)務向合規(guī)、風控水平更高的頭部服務商傾斜，但由于監(jiān)管辦法中同時存在集中度監(jiān)管，因此服務商“通吃”的現象也將有所扭轉;而站在銀行保險機構角度，在執(zhí)行此次監(jiān)管辦法要求的過程中，也將會面臨不少挑戰(zhàn)。

普華永道舉例稱，由于對外包的服務外延大大拓展，涉及合作模式的轉換，對機構和服務商來說均屬于新課題;在服務供應商面臨更高監(jiān)管要求的同時，需要外包風險主管部門與外包執(zhí)行團隊緊密協同，但銀行保險機構對其不具有決策權卻承擔合作風險，因此它們需要盡快就監(jiān)管辦法要求對服務商進行對標和排查等措施。此外，保險機構、金融資產管理公司等機構此前在信息科技外包風險管理組織及職責、管理策略、制度流程等方面較銀行業(yè)機構可能存在一定差異，則需進行進一步的體系建設。