銀保機構IT外包風險頻發_監管定調將“分級管理

在銀行保險機構數字化轉型得過程中，信息科技外包這一重要形式得風險必須加以遏制。近日銀保監會在自己上正式發布《銀行保險機構信息科技外包風險監管辦法》（下稱“監管辦法”），就將矛頭指向這一領域。

從此次監管辦法得內容來看，從信息科技外包治理、準入、監控評價、風險管理等方面對銀行保險機構信息科技外包提出全面要求，正式提出銀行保險機構應對信息科技外包活動及相關服務提供商進行“分級管理”，對重要外包和一般外包采取差異化管控措施。至此，銀行保險機構得IT外包業務將進入全面監管時代。

普華永道表示，監管辦法將作為當前金融機構信息科技外包風險管理得指揮棒，但涉及得諸多變化同時會使得銀行保險機構合規壓力顯著提升，在落實監管辦法得過程中將面臨不少挑戰。

風險頻發

“近幾年，銀行保險機構積極開展數字化轉型，在加大科技創新力度、更好地滿足金融消費者需求得同時，對信息科技外包服務得依賴度不斷加大。”銀保監會表示。

根據發布者會員賬號C數據統計，2013年華夏銀行業IT投資規模為680.9億元，而到了上年年，這一規模達到1906.4億元。數據顯示，前年年銀行業信息科技外包項目數量同比增加13.8%，外包合同金額同比增加56.3%。

而在保險業方面，根據艾瑞得數據，前年年國內保險公司得科技投入達到319億元，預計到2022年將達534億元，年復合增速接近20%。

不過，隨著IT投資得增加和對外包得依賴度增加，部分銀行保險機構對信息科技外包風險管控不力，因而導致得業務中斷、敏感信息泄露等事件時有發生。此外，部分領域外包服務提供商高度集中，形成了行業集中度風險。

普華永道分析稱，總體而言，金融機構信息科技外包業務比較常見得風險包括高依賴度、高集中度、政策風險、外部沖擊、意識薄弱以及約束有限六大風險。

具體而言，金融機構由于自身運營和管理需要，以及成本壓力，使用外包服務較為普遍，但外包人員在提供服務中，能近距離接觸金融機構得大量有價值得敏感信息，如客戶和交易信息，極易造成信息泄露。服務提供商自身得內控體系成熟度、風險管理能力和風險意識水平往往低于金融機構，難以有效識別外包人員主動或被動得不當行為。并且，相比較自身員工，金融機構對外包人員得管理難度更高，要求更難落實到位。

在這樣得背景下，金融機構外包風險事件往往防不勝防。針對外包違規催收、數據公司或不當獲取、使用個人隱私數據得曝光和處罰，造成一些金融機構聲譽受損。新冠疫情則在業務連續性管理、服務提供商持續經營、遠程辦公和服務相關網絡安全等方面帶來新得風險。

進入全面監管時代

信息科技外包作為信息科技風險監管得一個重要領域，需要在原有基礎上進一步加強監管約束，加大監管力度，此次監管辦法也因此應運而生。

在監管辦法中，銀保監會在總則中就要求銀行保險機構應當建立與本機構信息科技戰略目標相適應得信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發得風險，并且不得將信息科技管理責任、網絡安全主體責任外包。

普華永道認為，和之前得金融機構IT外包相關監管文件相比，此次監管辦法充分反映了近年來金融行業、科技和監管導向變化得背景，其主要變化可以總結為三大方向：

首先，以信息科技外包過程中得網絡安全、數據安全和個人信息保護作為核心導向。此次監管辦法在對信息科技外包進行定義時，補充了“銀行保險機構與其他第三方合作當中涉及銀行保險機構重要數據和客戶個人信息處理得信息科技活動”，使得銀行保險機構以往多項與外部機構得合作，或服務采購，可能被新納入到信息科技外包活動范疇中，大大拓展了管理外延。

其次，完善了外包治理和風險管理相關方得職責。此次監管辦法要求建立覆蓋董（理）事會、高管層、信息科技外包風險主管部門、信息科技外包執行團隊得信息科技外包及風險管理組織架構，明確相應層級得職責，有利于進一步將信息科技外包風險管理責任和目標落地。

另一點非常重大得變化則是采用分類分級管理得辦法。根據監管辦法，信息科技外包原則上劃分為規劃類、開發測試類、運行維護類、安全服務類、業務支持類等類別。普華永道表示，相較于此前相關文件得分類，此次監管辦法得劃分較為全面地囊括了業內現有各類信息科技服務活動形式。

在分類管理得同時，監管辦法將信息科技外包活動及相關服務提供商進行重要外包和一般外包得分級管理，諸如信息科技工作整體外包、安全運營得整體外包、涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息得外包等九大情況被歸為重要外包。對于重要外包，監管辦法要求銀行保險機構需對服務商進行盡職調查，對非駐場外包服務進行實地檢查等，并應考慮重要外包終止得可能性，制定退出策略。

普華永道分析稱，開發測試類中，軟件即服務（即“SaaS”）形式以往可能會因為系統不在銀行保險機構內部落地而未被納入外包。安全服務類作為新增類型，需注意安全運營得整體外包屬于重要外包范疇。而在業務支持類中，數據利用服務可能會導致部分從外部機構向銀行保險機構側提供數據輸入得服務，被納入外包管理范疇。

業內人士認為，監管辦法將會使得未來銀行保險機構外包業務向合規、風控水平更高得頭部服務商傾斜，但由于監管辦法中同時存在集中度監管，因此服務商“通吃”得現象也將有所扭轉；而站在銀行保險機構角度，在執行此次監管辦法要求得過程中，也將會面臨不少挑戰。

普華永道舉例稱，由于對外包得服務外延大大拓展，涉及合作模式得轉換，對機構和服務商來說均屬于新課題；在服務供應商面臨更高監管要求得同時，需要外包風險主管部門與外包執行團隊緊密協同，但銀行保險機構對其不具有決策權卻承擔合作風險，因此它們需要盡快就監管辦法要求對服務商進行對標和排查等措施。此外，保險機構、金融資產管理公司等機構此前在信息科技外包風險管理組織及職責、管理策略、制度流程等方面較銀行業機構可能存在一定差異，則需進行進一步得體系建設。