日前,银保监会印发《银行保险机构信息科技外包风险监管办法》(以下简称《办法》),从信息科技外包治理、准入、监控评价、风险管理等多方面对银行保险机构信息科技外包提出全面要求。
近几年银行数字化转型加速推进,银行对信息科技外包服务的依赖不断增强,业务范围也在持续扩大,伴随而来的数据安全风险也在加速暴露。银保监会资料显示,2021年就有十余家银行因外包业务事项违规被地方监管机构处罚。
银行收紧外包服务风险管控
《办法》在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。《办法》还明确了信息科技外包监控评价要求,并对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计等规范信息科技外包风险管理提出了要求。
中国银行研究院分析指出,金融机构科技外包业务进入高标准、严要求的现代化监管阶段,未来外包业务增量将向风控更严格、合规性更强的外包厂商倾斜。《办法》对外包依赖度更大的中小金融机构以及风控、声誉、资质较差的小型外包服务厂商影响较大,部分实力不够、风险频发的小型科技公司或面临淘汰,而集中度较大的科技巨头也将告别“赢者通吃”时代,部分中小金融机构的外包合作链条有断裂风险,需要及时调整外包合作模式。
中国银行研究院博士后郑忱阳撰文指出,中小金融机构要建立与自身科技战略目标相适应的外包体系,将外包风险纳入全面风险管理,健全覆盖董事会、高管层、外包风险主管部门和执行团队的组织架构,明确服务提供商的准入标准,有选择性地开展外包业务,初期可以先以咨询规划和业务支持类等风险较小的外包服务为主;在合作模式方面,共享外包服务平台或成为新趋势,入选的金融机构和外包厂商按照一定市场化机制和规则进行对接匹配,实现优势互补和价值共享。
普华永道也在最新研报中指出,《办法》将银行保险机构原先对外合作中涉及重要数据和个人信息处理的科技活动,以及原来属于合作性质的机构纳入外包管理体系,涉及合作模式的转换,对机构和服务提供商均属新的课题。
监管政策推出的同时,各地金融监管部门也在加强监管政策的落地实施。某城商银行科技业务人士透露,去年以来监管部门就加强了银行外包业务的风险排查,监控和检查惩处力度都明显加强,重点包括敏感数据信息的安全管理、对合作商数据安全防护的监督管控等方面。“目前,银行针对外包合作业务的风险排查、数据安全管理等方面在要求和执行上更加严格。”
科技外包业务风险暴露
随着信息科技对传统金融业务影响的逐步深入,银行保险等金融机构对外部科技服务的需求不断攀升,信息科技外包业务规模实现快速增长。
广州帝隆科技股份有限公司金融事业部总经理姚凤城告诉,商业银行对科技外包合作的需求越来越大,合作范围也更加广泛,更多集中于中小地方银行。“具体需求上,不同于前几年的运维服务或针对具体项目的技术支持为主,现在的合作更多集中于银行层面的金融创新及系统更新迭代,尤其对业务中台、系统中台、数据中台等系统架构升级等方面。”
金融机构信息科技外包业务需求增加的同时,各种风险也在逐步暴露。
银保监会官网公告显示,2021年十余家银行因部分核心风控外包合作机构、外包机构管理存在缺陷等外包业务违规被监管处罚,其中大部分为城商行、农商银行等地方银行。
深圳某金融科技公司业务负责人表示,金融科技已经渗透到银行业务的方方面面,很多自身科技能力不足的中小银行更加依赖外部科技支持,外包合作越来越多;但市场上各种金融科技服务的外包商能力参差不齐,对银行客户信息和敏感技术资料安全保护也普遍偏弱,比如研发的系统存在安全漏洞、呼叫服务业务批量泄露客户个人信息、外包服务人员安全管控不强导致银行客户数据信息泄露等情况也不少见。
银保监会有关部门负责人在近日举行的答问中也指出,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。
数据保护、信息安全是金融机构信息科技外包业务中潜在风险的关注重点。在姚凤城看来,外包业务中风险问题主要是信息层面的风险,如数据归集、客户个人信息的留存安全等。“目前,银行需求的信息科技外包服务相对都是比较成熟的,在技术和制度层面风险问题不是很大,重点是加强业务操作过程中的风险管控。”
