本報記者郝亞娟張榮旺上海報道
以科技為核心的競爭導向,帶來了金融機構資訊科技投入的逐年增加。隨著金融機構對科技支援能力要求的不斷提高,資訊科技領域的外包業務發展迅猛。
作為自身科技力量的補充,資訊科技外包在給金融機構帶來專業化能力、推動科技創新、提高科技效率、實現科技對業務支援的同時,也引發了一系列的外包風險。資訊科技外包風險管理,亦成為金融行業監管的工作重點之一。
日前,《中國經營報》記者獲得由銀保監會下發的《銀行保險機構資訊科技外包風險監管辦法(徵求意見稿)》(以下簡稱“《監管辦法》”)檔案,首次將保險行業的資訊科技風險納入監管範圍,同時對資訊科技外包的流程、業務範圍、風險治理等做出明確規定。
強調金融機構自主研發能力
近年來,金融機構資訊科技外包涉及的範圍逐步擴大,涵蓋資訊科技相關的規劃、需求、開發、基礎設施建設、運維等生命週期的各個階段。
以銀行業為例,IDC近期釋出的《中國銀行業IT解決方案市場份額2019》報告顯示,2019年中國銀行業IT解決方案市場總規模約為425.8億元,與2018年的343.7億元相比,同比增長23.9%。IDC預測,到2024年中國銀行業IT解決方案市場規模將達到1273.5億元。
不過,因資訊科技外包引發的風險事件,亦引起監管部門的重視。
早在2013年,原銀監會下發《銀行業金融機構資訊科技外包風險監管指引》(銀監發〔2013〕5號)對銀行業金融機構的資訊科技外包活動作出指引。
記者注意到,此次《監管辦法》提到,銀行保險機構應當明確不能外包的資訊科技職能,涉及資訊科技戰略管理、資訊科技風險管理、資訊科技內部審計及其他有關資訊科技核心競爭力的職能不得外包。
在某城商行金融科技部人士看來,《監管辦法》的影響會延伸至具體業務。在網際網路金融浪潮下,傳統金融機構與第三方平臺的合作日益增多,金融機構的客戶資訊被第三方合作廠商洩露的情況也日益冒頭,《監管辦法》有可能倒逼金融機構對三方平臺的合作收緊。
同時,《監管辦法》進一步將保險集團(控股)公司、保險公司、保險資產管理公司的資訊科技外包活動納入監管範圍。
某金融科技公司金融事業部人士向記者分析:“一直以來,保險的資訊科技不如銀行管理得精細,對核心系統的自主可控能力相對較差。很多保險公司的核心交易系統主要由國內幾家廠商提供服務,而保險公司的IT人員以管理為主,對系統的介入不深。”
零壹研究院院長於百程指出,在數字化的背景下,科技能力成為金融機構發展的最重要能力之一。由此,金融機構與外部資訊科技機構的合作日益加深。在資訊科技外包合作中,也存在各種風險,主要包括以下幾種:一是管理體系不嚴,如把風險管理、內部審計等金融機構的核心競爭力外包,從而導致風險體系失效;二是因為對合作方的資質和能力稽核不嚴,導致在合作中出現合規、業務持續性和輿情等風險;三是過度依賴少部分合作方,金融機構自身基本科技能力沒建立,導致的業務集中度風險。
針對這一內容,《監管辦法》就“集中度風險管理”也做了明確規定,即銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商,積極採用分散資訊科技外包活動、提高自身研發運維能力、儲備潛在替代服務提供商等形式,減少對個別外包服務提供商的依賴,降低集中度風險。
中國計算機使用者協會資訊科技審計分會在相關報告(以下簡稱“《報告》”)中指出,外部政策和市場的變化,以及新技術的應用,使得資訊科技生態環境出現諸多變化。這些變化不斷傳導至資訊科技工作,令資訊科技面臨以下變化,諸如業務需求的差異化和創新需求的不斷湧現;客觀上外包商依賴日益增加,外包風險日益增大;更多系統接入網際網路,面臨更多入侵風險等。
實際上,很多金融外包業務都以資訊科技為核心,業務模式基於龐大、複雜且相互關聯的資訊系統,透過網際網路跨區域、跨領域,甚至跨國界,客觀上增加了風險識別、預警和應對等方面的難度。相對虛擬化和網路化的金融科技體系,對於管理部門的技術資源和監管能力等方面也提出了更高的要求。
銀保監會主席郭樹清在公開論壇上提到:“我國金融科技應用在許多方面已處於世界前列。我們將繼續支援金融科技的發展,最佳化客戶服務體驗,提升服務效率。密切關注和評估科技革命對金融業的影響趨勢,並做好前瞻性部署安排。在監管方面也要加大科技運用,提升監管效能。當然,金融科技發展也帶來了一些新問題,必須高度重視網路安全、資料隱私、寡頭壟斷等風險挑戰,確保市場公平和金融穩定。”
重塑金融機構科技生態
在前述受訪金融科技公司金融事業部人士看來,銀保監會加大資訊科技外包風險的監管力度,將逐步影響至金融機構與供應商的合作模式。
“金融科技的服務方式包括提供軟體、提供人力外包、提供聯合開發等,金融機構的掌握度比較大。而在產品輸出模式中,金融機構對產品的掌握度存在天然的不足,因為這會涉及到產品內部的機制。比如,對於以產品輸出方式提供服務的金融科技公司,考慮到金融機構要逐步加強對產品的接受度,可能會要求供應商提供全部原始碼,由自己進行管理。”該人士解釋道。
於百程建議,在資訊科技時代,金融機構在選擇科技服務商合作時,要有完整的科技戰略以及合作方准入、風險監測機制等。既要發揮外部合作方的作用,又要掌握基礎的科技服務能力,要掌握好效益、成本和風險之間的平衡。
記者在採訪中瞭解到,已有金融機構在篩選機制和合作流程上作了調整。“大約在半年前,我行收到類似檔案要求加強資訊科技外包風險管理,行裡也做了應對和整改,主要是加強准入外包商管理,加強事中監控和檢查,建立淘汰外包商機制。”某國有行人士告訴記者。
目前,金融機構的資訊科技外包的風險點主要集中在軟體安全與資料洩露方面。“當金融機構使用了外包公司的金融科技,包括大資料應用、風險控制等,必然涉及到客戶資訊,在合作過程中避免不了資料被洩露的風險。”某基金公司IT負責人坦言。
除了在資料方面,金融機構將核心軟體外包給供應商,軟體系統的安全性也至關重要。一位金融機構IT人士坦言,“很多外包公司是一對多,如果外包公司的技術有Bug(指‘漏洞’),會影響到行業內多個公司,這個後果很嚴重。”
在上述受訪國有行人士看來,為規避資訊科技外包風險,金融機構與合作商簽訂嚴格的保密協議,並加大抽查、檢查力度。而要實現金融科技應用自主化,關鍵在於金融機構加大IT人員的招聘力度,培養自己的人才隊伍,透過成立全資金融科技子公司等。
據不完全統計,目前已有12家銀行發起設立金融科技子公司,保險公司方面亦有佈局。
但不同於大型金融機構,中小金融機構在科技人才隊伍、科技能力建設等方面都存在短板,如何加強外部合作、融入金融生態成為其轉型致勝的關鍵。
“對於小型金融機構來說,因為本身實力、技術和人員能力有限,掌握這種平衡就更加重要。小型金融機構需要在戰略上更加有針對性,立足自身的業務特點來發展資訊科技業務,先期以諮詢+業務支援類合作為主,選擇最為重要的特色業務層面開展合作,一方面助力核心業務提升,另一方面提升自身科技理解和能力。”於百程補充道。
在此背景下,共建、共享外包服務平臺的重要性則凸顯出來。上述《報告》建議,金融資訊科技共享服務平臺可採用共享經濟模式,一端為具備金融資訊科技服務交付能力的企業、研究機構及個體,另一端為實施資訊科技外包戰略的中小金融機構。平臺以優勢互補和價值共享為基本原則,按照一定的機制和規則進行對接匹配,提供各類服務,打造全新的適應於金融科技創新引領業務發展,形成以市場力量促進資訊科技外包風險防控的金融資訊科技外包服務生態圈。
銀行保險機構資訊科技外包風險
更多資訊或合作歡迎關注中國經濟網官方微信(名稱:中國經濟網,id:ourcecn)