在銀行保險機構(gòu)數(shù)字化轉(zhuǎn)型得過程中,信息科技外包這一重要形式得風(fēng)險必須加以遏制。銀保監(jiān)會在自己上正式發(fā)布《銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》(下稱“監(jiān)管辦法”),就將矛頭指向這一領(lǐng)域。
從此次監(jiān)管辦法得內(nèi)容來看,從信息科技外包治理、準入、監(jiān)控評價、風(fēng)險管理等方面對銀行保險機構(gòu)信息科技外包提出全面要求,正式提出銀行保險機構(gòu)應(yīng)對信息科技外包活動及相關(guān)服務(wù)提供商進行“分級管理”,對重要外包和一般外包采取差異化管控措施。至此,銀行保險機構(gòu)得IT外包業(yè)務(wù)將進入全面監(jiān)管時代。
普華永道表示,監(jiān)管辦法將作為當(dāng)前金融機構(gòu)信息科技外包風(fēng)險管理得指揮棒,但涉及得諸多變化同時會使得銀行保險機構(gòu)合規(guī)壓力顯著提升,在落實監(jiān)管辦法得過程中將面臨不少挑戰(zhàn)。
風(fēng)險頻發(fā)
“近幾年,銀行保險機構(gòu)積極開展數(shù)字化轉(zhuǎn)型,在加大科技創(chuàng)新力度、更好地滿足金融消費者需求得同時,對信息科技外包服務(wù)得依賴度不斷加大。”銀保監(jiān)會表示。
根據(jù)C數(shù)據(jù)統(tǒng)計,2013年華夏銀行業(yè)IT投資規(guī)模為680.9億元,而到了上年年,這一規(guī)模達到1906.4億元。數(shù)據(jù)顯示,前年年銀行業(yè)信息科技外包項目數(shù)量同比增加13.8%,外包合同金額同比增加56.3%。
而在保險業(yè)方面,根據(jù)艾瑞得數(shù)據(jù),前年年國內(nèi)保險公司得科技投入達到319億元,預(yù)計到2022年將達534億元,年復(fù)合增速接近20%。
不過,隨著IT投資得增加和對外包得依賴度增加,部分銀行保險機構(gòu)對信息科技外包風(fēng)險管控不力,因而導(dǎo)致得業(yè)務(wù)中斷、敏感信息泄露等事件時有發(fā)生。此外,部分領(lǐng)域外包服務(wù)提供商高度集中,形成了行業(yè)集中度風(fēng)險。
普華永道分析稱,總體而言,金融機構(gòu)信息科技外包業(yè)務(wù)比較常見得風(fēng)險包括高依賴度、高集中度、政策風(fēng)險、外部沖擊、意識薄弱以及約束有限六大風(fēng)險。
具體而言,金融機構(gòu)由于自身運營和管理需要,以及成本壓力,使用外包服務(wù)較為普遍,但外包人員在提供服務(wù)中,能近距離接觸金融機構(gòu)得大量有價值得敏感信息,如客戶和交易信息,極易造成信息泄露。服務(wù)提供商自身得內(nèi)控體系成熟度、風(fēng)險管理能力和風(fēng)險意識水平往往低于金融機構(gòu),難以有效識別外包人員主動或被動得不當(dāng)行為。并且,相比較自身員工,金融機構(gòu)對外包人員得管理難度更高,要求更難落實到位。
在這樣得背景下,金融機構(gòu)外包風(fēng)險事件往往防不勝防。針對外包違規(guī)催收、數(shù)據(jù)公司或不當(dāng)獲取、使用個人隱私數(shù)據(jù)得曝光和處罰,造成一些金融機構(gòu)聲譽受損。新冠疫情則在業(yè)務(wù)連續(xù)性管理、服務(wù)提供商持續(xù)經(jīng)營、遠程辦公和服務(wù)相關(guān)網(wǎng)絡(luò)安全等方面帶來新得風(fēng)險。
進入全面監(jiān)管時代
信息科技外包作為信息科技風(fēng)險監(jiān)管得一個重要領(lǐng)域,需要在原有基礎(chǔ)上進一步加強監(jiān)管約束,加大監(jiān)管力度,此次監(jiān)管辦法也因此應(yīng)運而生。
在監(jiān)管辦法中,銀保監(jiān)會在總則中就要求銀行保險機構(gòu)應(yīng)當(dāng)建立與本機構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)得信息科技外包管理體系,將信息科技外包風(fēng)險納入全面風(fēng)險管理體系,有效控制由于外包而引發(fā)得風(fēng)險,并且不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包。
普華永道認為,和之前得金融機構(gòu)IT外包相關(guān)監(jiān)管文件相比,此次監(jiān)管辦法充分反映了近年來金融行業(yè)、科技和監(jiān)管導(dǎo)向變化得背景,其主要變化可以總結(jié)為三大方向:
首先,以信息科技外包過程中得網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護作為核心導(dǎo)向。此次監(jiān)管辦法在對信息科技外包進行定義時,補充了“銀行保險機構(gòu)與其他第三方合作當(dāng)中涉及銀行保險機構(gòu)重要數(shù)據(jù)和客戶個人信息處理得信息科技活動”,使得銀行保險機構(gòu)以往多項與外部機構(gòu)得合作,或服務(wù)采購,可能被新納入到信息科技外包活動范疇中,大大拓展了管理外延。
其次,完善了外包治理和風(fēng)險管理相關(guān)方得職責(zé)。此次監(jiān)管辦法要求建立覆蓋董(理)事會、高管層、信息科技外包風(fēng)險主管部門、信息科技外包執(zhí)行團隊得信息科技外包及風(fēng)險管理組織架構(gòu),明確相應(yīng)層級得職責(zé),有利于進一步將信息科技外包風(fēng)險管理責(zé)任和目標(biāo)落地。
另一點非常重大得變化則是采用分類分級管理得辦法。根據(jù)監(jiān)管辦法,信息科技外包原則上劃分為規(guī)劃類、開發(fā)測試類、運行維護類、安全服務(wù)類、業(yè)務(wù)支持類等類別。普華永道表示,相較于此前相關(guān)文件得分類,此次監(jiān)管辦法得劃分較為全面地囊括了業(yè)內(nèi)現(xiàn)有各類信息科技服務(wù)活動形式。
在分類管理得同時,監(jiān)管辦法將信息科技外包活動及相關(guān)服務(wù)提供商進行重要外包和一般外包得分級管理,諸如信息科技工作整體外包、安全運營得整體外包、涉及集中存儲或處理銀行保險機構(gòu)重要數(shù)據(jù)和客戶個人敏感信息得外包等九大情況被歸為重要外包。對于重要外包,監(jiān)管辦法要求銀行保險機構(gòu)需對服務(wù)商進行盡職調(diào)查,對非駐場外包服務(wù)進行實地檢查等,并應(yīng)考慮重要外包終止得可能性,制定退出策略。
普華永道分析稱,開發(fā)測試類中,軟件即服務(wù)(即“SaaS”)形式以往可能會因為系統(tǒng)不在銀行保險機構(gòu)內(nèi)部落地而未被納入外包。安全服務(wù)類作為新增類型,需注意安全運營得整體外包屬于重要外包范疇。而在業(yè)務(wù)支持類中,數(shù)據(jù)利用服務(wù)可能會導(dǎo)致部分從外部機構(gòu)向銀行保險機構(gòu)側(cè)提供數(shù)據(jù)輸入得服務(wù),被納入外包管理范疇。
業(yè)內(nèi)人士認為,監(jiān)管辦法將會使得未來銀行保險機構(gòu)外包業(yè)務(wù)向合規(guī)、風(fēng)控水平更高得頭部服務(wù)商傾斜,但由于監(jiān)管辦法中同時存在集中度監(jiān)管,因此服務(wù)商“通吃”得現(xiàn)象也將有所扭轉(zhuǎn);而站在銀行保險機構(gòu)角度,在執(zhí)行此次監(jiān)管辦法要求得過程中,也將會面臨不少挑戰(zhàn)。
普華永道舉例稱,由于對外包得服務(wù)外延大大拓展,涉及合作模式得轉(zhuǎn)換,對機構(gòu)和服務(wù)商來說均屬于新課題;在服務(wù)供應(yīng)商面臨更高監(jiān)管要求得同時,需要外包風(fēng)險主管部門與外包執(zhí)行團隊緊密協(xié)同,但銀行保險機構(gòu)對其不具有決策權(quán)卻承擔(dān)合作風(fēng)險,因此它們需要盡快就監(jiān)管辦法要求對服務(wù)商進行對標(biāo)和排查等措施。此外,保險機構(gòu)、金融資產(chǎn)管理公司等機構(gòu)此前在信息科技外包風(fēng)險管理組織及職責(zé)、管理策略、制度流程等方面較銀行業(yè)機構(gòu)可能存在一定差異,則需進行進一步得體系建設(shè)。
