为进一步加强银行保险机构信息科技外包风险监管,1月21日,来自银保监会官网发布的信息,银保监会近日印发了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》),《办法》明确银行保险机构应将信息科技外包风险纳入全面风险管理体系,审慎引入集中度风险较高或增加机构整体风险的服务提供商。在分析人士看来,《办法》的出台有助于提升信息技术外包潜在风险管控能力,促进金融机构平稳向数字化转型,更好保护金融机构与消费者合法权益。
图片来自银保监会官网截图将信息科技外包纳入全面风险管理体系
近几年,银行保险机构积极开展数字化转型,在加大科技创新力度、更好地满足金融消费者需求的同时,对信息科技外包服务的依赖度不断加大。与此同时,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。
银保监会有关部门负责人在答记者问时表示,此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。为此,按照风险为本的导向,以弥补短板、强化监管为目标,拟通过制定《办法》,从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。
《办法》共7章46条,对银行保险机构信息科技外包风险管理提出全面要求。在总则中,《办法》明确信息科技外包风险管理的总体要求,即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
《办法》同时明确,银行保险机构在实施信息科技外包时应当坚持六大原则,一是不得将信息科技管理责任、网络安全主体责任外包;二是以不妨碍核心能力建设、积极掌握关键技术为导向;三是保持外包风险、成本和效益的平衡;四是保障网络和信息安全,加强重要数据和个人信息保护;五是强调事前控制和事中监督;六是持续改进外包策略和风险管理措施。
光大银行金融市场部宏观研究员周茂华在接受北京商报记者采访时分析称,金融科技赋能金融服务,提升金融机构经营效率,推动金融普惠与服务实体经济能力等有重要意义。近年来,国内银行等金融机构纷纷引入大数据、人工智能等信息技术,探索推动金融机构数字化转型。但从金融机构专业、技术、人才团队等方面看,多数金融机构更多是通过与金融科技公司合作或将金融科技服务进行外包,这当中就可能存在潜在风险隐患。
周茂华进一步指出,《办法》出台有助于加快补齐信息技术外包风险监管与规范制度短板,提升信息技术外包潜在风险管控能力;规范金融科技外包行业规范健康发展,促进金融机构平稳向数字化转型,更好保护金融机构与消费者合法权益。
审慎引入集中度风险较高的服务提供商
《办法》所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。除了上述外包行为以外,随着近年来银行保险机构在各个领域与第三方的合作越来越多,其中不少合作涉及机构重要数据和客户个人信息处理,为充分保护金融消费者权益,加强第三方合作当中的信息科技风险管理,防止敏感信息泄露和不当使用,对银行保险机构与其他第三方合作当中涉及银行保险机构的重要数据和客户个人信息处理的信息科技活动,也需按照《办法》相关要求进行管理。
除了明确将信息科技外包风险纳入全面风险管理体系之外,《办法》还对信息科技外包准入提出监管要求,包括对准入前评估、尽职调查、合同等进行了规定,并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。
《办法》提到,银行保险机构应根据信息科技外包战略,结合风险评估情况,明确服务提供商的准入标准,对备选服务提供商进行筛选,审慎引入集中度风险较高或增加机构整体风险的服务提供商。对于关联外包和同业外包,《办法》指出,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。
《办法》是否会提高服务提供商的准入门槛?上述银保监会有关部门负责人在答记者问时指出,《办法》所约束的对象是银保监会监管的银行保险机构,对所有服务提供商一视同仁,没有新增任何其他准入门槛,银行保险机构自主决定服务提供商的选择标准和准入方式。
易观高级分析师苏筱芮表示,该文件的颁布将改变过往信息科技外包服务机构的无序发展局面,从及时性、准确性等方面提升整体管理效率,有利于银行保险机构信息科技外包服务的标准化、信息化、专业化管理,在提升银行保险业机构技术水平的同时,还为促进行业有序发展带来了积极意义。建议机构认真研读文件,及时制定相关的管理制度并安排专人负责,从源头做好外包机构的评选工作,牢牢把握“不妨碍核心能力建设、积极掌握关键技术”的监管导向,在提升合作效率的同时不忘内功修炼,以高质量水平发挥对实体经济的服务作用。
据悉,《办法》自发布之日起实施,《银行业金融机构信息科技外包风险监管指引》《中国银监会办公厅关于加强银行业金融机构非驻场集中式外包风险管理的通知》《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》同时废止。
北京商报记者 宋亦桐
