對(duì)信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行“分級(jí)管理”，對(duì)重要外包和一般外包采取差異化管控措施

在銀行保險(xiǎn)機(jī)構(gòu)數(shù)字化轉(zhuǎn)型的過(guò)程中，信息科技外包這一重要形式的風(fēng)險(xiǎn)必須加以遏制。近日銀保監(jiān)會(huì)在官網(wǎng)上正式發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》(下稱“監(jiān)管辦法”)，就將矛頭指向這一領(lǐng)域。

從此次監(jiān)管辦法的內(nèi)容來(lái)看，從信息科技外包治理、準(zhǔn)入、監(jiān)控評(píng)價(jià)、風(fēng)險(xiǎn)管理等方面對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包提出全面要求，正式提出銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行“分級(jí)管理”，對(duì)重要外包和一般外包采取差異化管控措施。至此，銀行保險(xiǎn)機(jī)構(gòu)的IT外包業(yè)務(wù)將進(jìn)入全面監(jiān)管時(shí)代。

普華永道表示，監(jiān)管辦法將作為當(dāng)前金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理的指揮棒，但涉及的諸多變化同時(shí)會(huì)使得銀行保險(xiǎn)機(jī)構(gòu)合規(guī)壓力顯著提升，在落實(shí)監(jiān)管辦法的過(guò)程中將面臨不少挑戰(zhàn)。

風(fēng)險(xiǎn)頻發(fā)

“近幾年，銀行保險(xiǎn)機(jī)構(gòu)積極開(kāi)展數(shù)字化轉(zhuǎn)型，在加大科技創(chuàng)新力度、更好地滿足金融消費(fèi)者需求的同時(shí)，對(duì)信息科技外包服務(wù)的依賴度不斷加大。”銀保監(jiān)會(huì)表示。

根據(jù)IDC數(shù)據(jù)統(tǒng)計(jì)，2013年我國(guó)銀行業(yè)IT投資規(guī)模為680.9億元，而到了2020年，這一規(guī)模達(dá)到1906.4億元。數(shù)據(jù)顯示，2019年銀行業(yè)信息科技外包項(xiàng)目數(shù)量同比增加13.8%，外包合同金額同比增加56.3%。

而在保險(xiǎn)業(yè)方面，根據(jù)艾瑞的數(shù)據(jù)，2019年國(guó)內(nèi)保險(xiǎn)公司的科技投入達(dá)到319億元，預(yù)計(jì)到2022年將達(dá)534億元，年復(fù)合增速接近20%。

不過(guò)，隨著IT投資的增加和對(duì)外包的依賴度增加，部分銀行保險(xiǎn)機(jī)構(gòu)對(duì)信息科技外包風(fēng)險(xiǎn)管控不力，因而導(dǎo)致的業(yè)務(wù)中斷、敏感信息泄露等事件時(shí)有發(fā)生。此外，部分領(lǐng)域外包服務(wù)提供商高度集中，形成了行業(yè)集中度風(fēng)險(xiǎn)。

普華永道分析稱，總體而言，金融機(jī)構(gòu)信息科技外包業(yè)務(wù)比較常見(jiàn)的風(fēng)險(xiǎn)包括高依賴度、高集中度、政策風(fēng)險(xiǎn)、外部沖擊、意識(shí)薄弱以及約束有限六大風(fēng)險(xiǎn)。

具體而言，金融機(jī)構(gòu)由于自身運(yùn)營(yíng)和管理需要，以及成本壓力，使用外包服務(wù)較為普遍，但外包人員在提供服務(wù)中，能近距離接觸金融機(jī)構(gòu)的大量有價(jià)值的敏感信息，如客戶和交易信息，極易造成信息泄露。服務(wù)提供商自身的內(nèi)控體系成熟度、風(fēng)險(xiǎn)管理能力和風(fēng)險(xiǎn)意識(shí)水平往往低于金融機(jī)構(gòu)，難以有效識(shí)別外包人員主動(dòng)或被動(dòng)的不當(dāng)行為。并且，相比較自身員工，金融機(jī)構(gòu)對(duì)外包人員的管理難度更高，要求更難落實(shí)到位。

在這樣的背景下，金融機(jī)構(gòu)外包風(fēng)險(xiǎn)事件往往防不勝防。針對(duì)外包違規(guī)催收、數(shù)據(jù)公司侵權(quán)或不當(dāng)獲取、使用個(gè)人隱私數(shù)據(jù)的曝光和處罰，造成一些金融機(jī)構(gòu)聲譽(yù)受損。新冠疫情則在業(yè)務(wù)連續(xù)性管理、服務(wù)提供商持續(xù)經(jīng)營(yíng)、遠(yuǎn)程辦公和服務(wù)相關(guān)網(wǎng)絡(luò)安全等方面帶來(lái)新的風(fēng)險(xiǎn)。

進(jìn)入全面監(jiān)管時(shí)代

信息科技外包作為信息科技風(fēng)險(xiǎn)監(jiān)管的一個(gè)重要領(lǐng)域，需要在原有基礎(chǔ)上進(jìn)一步加強(qiáng)監(jiān)管約束，加大監(jiān)管力度，此次監(jiān)管辦法也因此應(yīng)運(yùn)而生。

在監(jiān)管辦法中，銀保監(jiān)會(huì)在總則中就要求銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系，將信息科技外包風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系，有效控制由于外包而引發(fā)的風(fēng)險(xiǎn)，并且不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包。

普華永道認(rèn)為，和之前的金融機(jī)構(gòu)IT外包相關(guān)監(jiān)管文件相比，此次監(jiān)管辦法充分反映了近年來(lái)金融行業(yè)、科技和監(jiān)管導(dǎo)向變化的背景，其主要變化可以總結(jié)為三大方向：

首先，以信息科技外包過(guò)程中的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)作為核心導(dǎo)向。此次監(jiān)管辦法在對(duì)信息科技外包進(jìn)行定義時(shí)，補(bǔ)充了“銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作當(dāng)中涉及銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人信息處理的信息科技活動(dòng)”，使得銀行保險(xiǎn)機(jī)構(gòu)以往多項(xiàng)與外部機(jī)構(gòu)的合作，或服務(wù)采購(gòu)，可能被新納入到信息科技外包活動(dòng)范疇中，大大拓展了管理外延。

其次，完善了外包治理和風(fēng)險(xiǎn)管理相關(guān)方的職責(zé)。此次監(jiān)管辦法要求建立覆蓋董(理)事會(huì)、高管層、信息科技外包風(fēng)險(xiǎn)主管部門、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包及風(fēng)險(xiǎn)管理組織架構(gòu)，明確相應(yīng)層級(jí)的職責(zé)，有利于進(jìn)一步將信息科技外包風(fēng)險(xiǎn)管理責(zé)任和目標(biāo)落地。

另一點(diǎn)非常重大的變化則是采用分類分級(jí)管理的辦法。根據(jù)監(jiān)管辦法，信息科技外包原則上劃分為咨詢規(guī)劃類、開(kāi)發(fā)測(cè)試類、運(yùn)行維護(hù)類、安全服務(wù)類、業(yè)務(wù)支持類等類別。普華永道表示，相較于此前相關(guān)文件的分類，此次監(jiān)管辦法的劃分較為全面地囊括了業(yè)內(nèi)現(xiàn)有各類信息科技服務(wù)活動(dòng)形式。

在分類管理的同時(shí)，監(jiān)管辦法將信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行重要外包和一般外包的分級(jí)管理，諸如信息科技工作整體外包、安全運(yùn)營(yíng)的整體外包、涉及集中存儲(chǔ)或處理銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人敏感信息的外包等九大情況被歸為重要外包。對(duì)于重要外包，監(jiān)管辦法要求銀行保險(xiǎn)機(jī)構(gòu)需對(duì)服務(wù)商進(jìn)行盡職調(diào)查，對(duì)非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查等，并應(yīng)考慮重要外包終止的可能性，制定退出策略。

普華永道分析稱，開(kāi)發(fā)測(cè)試類中，軟件即服務(wù)(即“SaaS”)形式以往可能會(huì)因?yàn)橄到y(tǒng)不在銀行保險(xiǎn)機(jī)構(gòu)內(nèi)部落地而未被納入外包。安全服務(wù)類作為新增類型，需注意安全運(yùn)營(yíng)的整體外包屬于重要外包范疇。而在業(yè)務(wù)支持類中，數(shù)據(jù)利用服務(wù)可能會(huì)導(dǎo)致部分從外部機(jī)構(gòu)向銀行保險(xiǎn)機(jī)構(gòu)側(cè)提供數(shù)據(jù)輸入的服務(wù)，被納入外包管理范疇。

業(yè)內(nèi)人士認(rèn)為，監(jiān)管辦法將會(huì)使得未來(lái)銀行保險(xiǎn)機(jī)構(gòu)外包業(yè)務(wù)向合規(guī)、風(fēng)控水平更高的頭部服務(wù)商傾斜，但由于監(jiān)管辦法中同時(shí)存在集中度監(jiān)管，因此服務(wù)商“通吃”的現(xiàn)象也將有所扭轉(zhuǎn);而站在銀行保險(xiǎn)機(jī)構(gòu)角度，在執(zhí)行此次監(jiān)管辦法要求的過(guò)程中，也將會(huì)面臨不少挑戰(zhàn)。

普華永道舉例稱，由于對(duì)外包的服務(wù)外延大大拓展，涉及合作模式的轉(zhuǎn)換，對(duì)機(jī)構(gòu)和服務(wù)商來(lái)說(shuō)均屬于新課題;在服務(wù)供應(yīng)商面臨更高監(jiān)管要求的同時(shí)，需要外包風(fēng)險(xiǎn)主管部門與外包執(zhí)行團(tuán)隊(duì)緊密協(xié)同，但銀行保險(xiǎn)機(jī)構(gòu)對(duì)其不具有決策權(quán)卻承擔(dān)合作風(fēng)險(xiǎn)，因此它們需要盡快就監(jiān)管辦法要求對(duì)服務(wù)商進(jìn)行對(duì)標(biāo)和排查等措施。此外，保險(xiǎn)機(jī)構(gòu)、金融資產(chǎn)管理公司等機(jī)構(gòu)此前在信息科技外包風(fēng)險(xiǎn)管理組織及職責(zé)、管理策略、制度流程等方面較銀行業(yè)機(jī)構(gòu)可能存在一定差異，則需進(jìn)行進(jìn)一步的體系建設(shè)。