銀保監會:應審慎引入集中度風險較高的信息科技外包服務提供商
新京報貝殼財經訊(記者 黃鑫宇)為進一步加強銀行保險機構信息科技外包風險監管,推動銀行保險機構穩健開展數字化轉型工作,1月21日,銀保監會正式發佈《銀行保險機構信息科技外包風險監管辦法》(下稱《辦法》)。記者注意到,關於銀行保險機構所引入的信息科技外包服務提供商,在附則與兩個附件之外,《辦法》主要內容中有四處提及“集中度風險”。銀保監會明確提出,應“審慎引入集中度風險較高或增加機構整體風險的服務提供商”;同時亦要求,銀行保險機構應“提高自身研發運維能力”,以“減少對個別外包服務提供商的依賴,降低集中度風險”。
《辦法》共分為七章四十六條,對銀行保險機構信息科技外包風險管理提出全面要求。除銀行保險機構外,《辦法》要求銀保監會及其派出機構監管的其他金融機構,亦參照執行。這意味着,金融IT外包市場將迎來全面監管。
附則與兩個附件之外,記者注意到,《辦法》主要內容中有四處提及“集中度風險”。
在“信息科技外包準入”方面,《辦法》明確提出,銀行保險機構應根據信息科技外包戰略,結合風險評估情況,明確服務提供商的准入標準,對備選服務提供商進行篩選,審慎引入集中度風險較高或增加機構整體風險的服務提供商。
在“信息科技外包風險管理”方面,銀保監會通過《辦法》強調,銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商,積極採用分散外包活動、注重外包項目知識產權保護、提高自身研發運維能力、儲備潛在替代服務提供商等手段,減少對個別外包服務提供商的依賴,降低集中度風險。
同時為有效控制由於IT外包引發的風險,根據《辦法》,銀保監會及其派出機構將持續監測銀行業保險業信息科技外包風險狀況,建立行業和區域集中度風險監測與核查機制,對重大或共性風險及時向行業發佈風險提示,積極防範因信息科技外包可能引發的區域性、系統性風險。
隨着《辦法》的落地,是否會提高服務提供商的准入門檻?
銀保監會有關部門負責人就此説明:“《辦法》所約束的對象是銀保監會監管的銀行保險機構,對所有服務提供商一視同仁,沒有新增任何其他准入門檻,銀行保險機構自主決定服務提供商的選擇標準和准入方式。”
除此之外,銀行保險機構的母公司或其所屬集團子公司、關聯公司或附屬機構作為IT服務提供商,為其提供信息科技外包服務的“關聯外包”行為,《辦法》多處明示出監管規定。
例如,在第四章“信息科技外包監控評價”中,對於關聯外包,《辦法》提出,銀行保險機構董(理)事會和高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業績評價範圍,建立外包服務重大事件問責機制。
同時,在第三章“信息科技外包準入”方面,對於關聯外包和同業外包,《辦法》亦明確,銀行保險機構不得降低對服務提供商的要求,嚴格防範利益衝突和利益輸送。
“近幾年,銀行保險機構積極開展數字化轉型,在加大科技創新力度、更好地滿足金融消費者需求的同時,對信息科技外包服務的依賴度不斷加大。與此同時,部分銀行保險機構對信息科技外包風險管控不力,因而導致的業務中斷、敏感信息泄露等事件時有發生。此外,部分領域外包服務提供商高度集中,形成了行業集中度風險。為此,按照風險為本的導向,以彌補短板、強化監管為目標,通過制定了《辦法》。”該位銀保監會有關部門負責人解釋道。
新京報貝殼財經記者 黃鑫宇 編輯 徐超 校對 危卓