在银行保险机构数字化转型的过程中,信息科技外包这一重要形式的风险必须加以遏制。近日银保监会在官网上正式发布《银行保险机构信息科技外包风险监管办法》(下称“监管办法”),就将矛头指向这一领域。
从此次监管办法的内容来看,从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出全面要求,正式提出银行保险机构应对信息科技外包活动及相关服务提供商进行“分级管理”,对重要外包和一般外包采取差异化管控措施。至此,银行保险机构的IT外包业务将进入全面监管时代。
普华永道表示,监管办法将作为当前金融机构信息科技外包风险管理的指挥棒,但涉及的诸多变化同时会使得银行保险机构合规压力显著提升,在落实监管办法的过程中将面临不少挑战。
风险频发
“近几年,银行保险机构积极开展数字化转型,在加大科技创新力度、更好地满足金融消费者需求的同时,对信息科技外包服务的依赖度不断加大。”银保监会表示。
根据IDC数据统计,2013年我国银行业IT投资规模为680.9亿元,而到了2020年,这一规模达到1906.4亿元。数据显示,2019年银行业信息科技外包项目数量同比增加13.8%,外包合同金额同比增加56.3%。
而在保险业方面,根据艾瑞的数据,2019年国内保险公司的科技投入达到319亿元,预计到2022年将达534亿元,年复合增速接近20%。
不过,随着IT投资的增加和对外包的依赖度增加,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。
普华永道分析称,总体而言,金融机构信息科技外包业务比较常见的风险包括高依赖度、高集中度、政策风险、外部冲击、意识薄弱以及约束有限六大风险。
具体而言,金融机构由于自身运营和管理需要,以及成本压力,使用外包服务较为普遍,但外包人员在提供服务中,能近距离接触金融机构的大量有价值的敏感信息,如客户和交易信息,极易造成信息泄露。服务提供商自身的内控体系成熟度、风险管理能力和风险意识水平往往低于金融机构,难以有效识别外包人员主动或被动的不当行为。并且,相比较自身员工,金融机构对外包人员的管理难度更高,要求更难落实到位。
在这样的背景下,金融机构外包风险事件往往防不胜防。针对外包违规催收、数据公司侵权或不当获取、使用个人隐私数据的曝光和处罚,造成一些金融机构声誉受损。新冠疫情则在业务连续性管理、服务提供商持续经营、远程办公和服务相关网络安全等方面带来新的风险。
进入全面监管时代
信息科技外包作为信息科技风险监管的一个重要领域,需要在原有基础上进一步加强监管约束,加大监管力度,此次监管办法也因此应运而生。
在监管办法中,银保监会在总则中就要求银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险,并且不得将信息科技管理责任、网络安全主体责任外包。
普华永道认为,和之前的金融机构IT外包相关监管文件相比,此次监管办法充分反映了近年来金融行业、科技和监管导向变化的背景,其主要变化可以总结为三大方向:
首先,以信息科技外包过程中的网络安全、数据安全和个人信息保护作为核心导向。此次监管办法在对信息科技外包进行定义时,补充了“银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动”,使得银行保险机构以往多项与外部机构的合作,或服务采购,可能被新纳入到信息科技外包活动范畴中,大大拓展了管理外延。
其次,完善了外包治理和风险管理相关方的职责。此次监管办法要求建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,有利于进一步将信息科技外包风险管理责任和目标落地。
另一点非常重大的变化则是采用分类分级管理的办法。根据监管办法,信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。普华永道表示,相较于此前相关文件的分类,此次监管办法的划分较为全面地囊括了业内现有各类信息科技服务活动形式。
在分类管理的同时,监管办法将信息科技外包活动及相关服务提供商进行重要外包和一般外包的分级管理,诸如信息科技工作整体外包、安全运营的整体外包、涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包等九大情况被归为重要外包。对于重要外包,监管办法要求银行保险机构需对服务商进行尽职调查,对非驻场外包服务进行实地检查等,并应考虑重要外包终止的可能性,制定退出策略。
普华永道分析称,开发测试类中,软件即服务(即“SaaS”)形式以往可能会因为系统不在银行保险机构内部落地而未被纳入外包。安全服务类作为新增类型,需注意安全运营的整体外包属于重要外包范畴。而在业务支持类中,数据利用服务可能会导致部分从外部机构向银行保险机构侧提供数据输入的服务,被纳入外包管理范畴。
业内人士认为,监管办法将会使得未来银行保险机构外包业务向合规、风控水平更高的头部服务商倾斜,但由于监管办法中同时存在集中度监管,因此服务商“通吃”的现象也将有所扭转;而站在银行保险机构角度,在执行此次监管办法要求的过程中,也将会面临不少挑战。
普华永道举例称,由于对外包的服务外延大大拓展,涉及合作模式的转换,对机构和服务商来说均属于新课题;在服务供应商面临更高监管要求的同时,需要外包风险主管部门与外包执行团队紧密协同,但银行保险机构对其不具有决策权却承担合作风险,因此它们需要尽快就监管办法要求对服务商进行对标和排查等措施。此外,保险机构、金融资产管理公司等机构此前在信息科技外包风险管理组织及职责、管理策略、制度流程等方面较银行业机构可能存在一定差异,则需进行进一步的体系建设。