信息科技外包風(fēng)險(xiǎn)頻發(fā) 銀保監(jiān)會(huì)擬加大監(jiān)管力度

　　上海證券報(bào)昨日獨(dú)家獲悉，為進(jìn)一步規(guī)范銀行保險(xiǎn)機(jī)構(gòu)信息科技外包活動(dòng)，加強(qiáng)信息科技外包風(fēng)險(xiǎn)管理，近日，銀保監(jiān)會(huì)完成了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法（征求意見稿）》（下稱《辦法》）起草工作，目前正在業(yè)內(nèi)征求意見中。

　　根據(jù)總體要求，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系，將信息科技外包納入全面風(fēng)險(xiǎn)管理體系，有效控制由于外包而引發(fā)的風(fēng)險(xiǎn)。

　　信息科技外包活動(dòng)風(fēng)險(xiǎn)頻發(fā)

　　《辦法》所適用的信息科技外包，是指銀行保險(xiǎn)機(jī)構(gòu)將與本機(jī)構(gòu)經(jīng)營(yíng)活動(dòng)相關(guān)的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行持續(xù)處理的行為。銀行保險(xiǎn)機(jī)構(gòu)與第三方合作當(dāng)中涉及重要數(shù)據(jù)和個(gè)人信息處理的信息科技活動(dòng)，按照《辦法》相關(guān)要求進(jìn)行管理。

　　《辦法》出爐的一個(gè)大背景是，近幾年的監(jiān)管實(shí)踐發(fā)現(xiàn)，信息科技外包是當(dāng)前銀行保險(xiǎn)機(jī)構(gòu)的風(fēng)險(xiǎn)多發(fā)領(lǐng)域，主要表現(xiàn)在以下幾個(gè)方面：一是銀行保險(xiǎn)機(jī)構(gòu)信息科技外包范圍不斷擴(kuò)大；二是銀行保險(xiǎn)機(jī)構(gòu)信息科技外包形式趨于多樣；三是銀行保險(xiǎn)機(jī)構(gòu)信息科技外包活動(dòng)風(fēng)險(xiǎn)頻發(fā)。

　　來自監(jiān)管方面的數(shù)據(jù)顯示，2019年銀行業(yè)信息科技外包項(xiàng)目數(shù)量同比增加13.8%，外包合同金額同比增加56.3%。與之相對(duì)應(yīng)，信息科技外包管理范圍不斷增大，風(fēng)險(xiǎn)點(diǎn)趨于擴(kuò)散。

　　將銀行保險(xiǎn)業(yè)相關(guān)規(guī)制融合統(tǒng)一

　　原銀監(jiān)會(huì)于2013年印發(fā)了《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》（下稱《指引》），對(duì)規(guī)范銀行業(yè)信息科技風(fēng)險(xiǎn)管理發(fā)揮了重要作用，但保險(xiǎn)行業(yè)尚無專門的監(jiān)管規(guī)范。

　　為此，從“補(bǔ)短板”的角度，銀保監(jiān)會(huì)將制定銀行業(yè)保險(xiǎn)業(yè)融合統(tǒng)一的信息科技外包風(fēng)險(xiǎn)監(jiān)管規(guī)制，列入了2019年度和2020年度銀保監(jiān)會(huì)法規(guī)修訂計(jì)劃。

　　據(jù)了解，本次編制擬在原銀監(jiān)會(huì)《指引》和相關(guān)規(guī)范性文件的基礎(chǔ)上，結(jié)合原保監(jiān)會(huì)《保險(xiǎn)公司信息系統(tǒng)安全管理指引》有關(guān)章節(jié)，以及國(guó)家有關(guān)法律法規(guī)最新進(jìn)展和金融科技發(fā)展形勢(shì)進(jìn)行編制，形成《辦法》。

　　《辦法》編制原則體現(xiàn)在以下三點(diǎn)：繼承性原則，擬在銀行業(yè)、保險(xiǎn)業(yè)已有規(guī)制的基礎(chǔ)上開展，保障與已出臺(tái)的相關(guān)規(guī)制銜接一致；發(fā)展性原則，擬參考當(dāng)前風(fēng)險(xiǎn)的形勢(shì)變化，結(jié)合國(guó)家層面的法律法規(guī)，基于近年來實(shí)踐的反饋對(duì)現(xiàn)有規(guī)制進(jìn)行適度調(diào)整，保障規(guī)制的發(fā)展與形勢(shì)和實(shí)踐的要求相匹配；國(guó)際性原則，擬充分借鑒國(guó)際相關(guān)規(guī)則，促進(jìn)銀行保險(xiǎn)業(yè)信息科技外包監(jiān)管規(guī)則與國(guó)際規(guī)則的接軌。

　　結(jié)構(gòu)設(shè)計(jì)著重考慮四個(gè)層面

　　據(jù)了解，信息科技外包風(fēng)險(xiǎn)管理的核心，是對(duì)外包生命周期內(nèi)各種活動(dòng)的風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)測(cè)及控制。因此，此次《辦法》在編制結(jié)構(gòu)設(shè)計(jì)時(shí)，主要圍繞信息科技外包風(fēng)險(xiǎn)管理，著重考慮四個(gè)層面：

　　一是治理層面。為了保障信息科技外包與IT戰(zhàn)略、業(yè)務(wù)戰(zhàn)略的一致性，有效管控外包風(fēng)險(xiǎn)，需要在治理層面對(duì)信息科技外包作出框架性安排，提出監(jiān)管要求，包括外包相關(guān)的組織架構(gòu)、制度流程等。

　　二是管理層面。信息科技外包是一種流程性的活動(dòng)。從監(jiān)管角度，外包流程的每一個(gè)環(huán)節(jié)都存在風(fēng)險(xiǎn)，在管理層面對(duì)信息科技外包活動(dòng)全流程的關(guān)鍵環(huán)節(jié)提出要求，核心是準(zhǔn)入和監(jiān)控評(píng)價(jià)，體現(xiàn)監(jiān)管當(dāng)局對(duì)銀行保險(xiǎn)機(jī)構(gòu)開展信息科技外包工作當(dāng)中風(fēng)險(xiǎn)控制活動(dòng)的基本期望。

　　三是風(fēng)險(xiǎn)層面。外包過程中的風(fēng)險(xiǎn)管理和內(nèi)部控制相互依存。從風(fēng)險(xiǎn)的維度，特別是對(duì)外包活動(dòng)中可能產(chǎn)生的獨(dú)特風(fēng)險(xiǎn)，比如，跨境外包風(fēng)險(xiǎn)、集中度風(fēng)險(xiǎn)、非駐場(chǎng)風(fēng)險(xiǎn)等，提出進(jìn)一步的管理要求。

　　四是監(jiān)管層面。為了對(duì)信息科技外包實(shí)施有效的監(jiān)督管理，有必要從監(jiān)管的角度，對(duì)事前報(bào)告、監(jiān)管評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、監(jiān)督管理、現(xiàn)場(chǎng)核查、監(jiān)管問責(zé)等措施作出原則規(guī)定。