上海證券報獨家獲悉,為進一步規範銀行保險機構信息科技外包活動,加強信息科技外包風險管理,近日,銀保監會完成了《銀行保險機構信息科技外包風險監管辦法(徵求意見稿)》(下稱《辦法》)起草工作。
《辦法》所適用的信息科技外包,是指銀行保險機構將與本機構經營活動相關的信息科技活動委託給服務提供商進行持續處理的行為。銀行保險機構與第三方合作當中涉及重要數據和個人信息處理的信息科技活動,按照《辦法》相關要求進行管理。
根據總體要求,銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系,將信息科技外包納入全面風險管理體系,有效控制由於外包而引發的風險。
《辦法》出爐的一個大背景是,近幾年的監管實踐發現,信息科技外包是當前銀行保險機構的風險多發領域,主要表現在以下幾個方面:一是銀行保險機構信息科技外包範圍不斷擴大;二是銀行保險機構信息科技外包形式趨於多樣;三是銀行保險機構信息科技外包活動風險頻發。
因此,信息科技外包作為信息科技風險監管的一個重要領域,需要在原有基礎上進一步加強監管約束,加大監管力度。原銀監會於2013年印發了《銀行業金融機構信息科技外包風險監管指引》(下稱《指引》),對規範銀行業信息科技風險管理發揮了重要作用,但保險行業尚無專門的監管規範。
為此,從“補短板”的角度,將制定銀行業保險業融合統一的信息科技外包風險監管規制列入了2019年度和2020年度銀保監會法規制修訂計劃。本次編制擬在原銀監會《指引》和相關規範性文件的基礎上,結合原保監會《保險公司信息系統安全管理指引》有關章節,以及國家有關法律法規最新進展和金融科技發展形勢進行編制,形成《辦法》。
據瞭解,《辦法》編制原則體現在以下三點:繼承性原則,本次編制工作擬在銀行業、保險業已有規制的基礎上開展,保障與已出臺的相關規制銜接一致;發展性原則,擬參考當前風險的形勢變化,結合國家層面的法律法規,基於近年來實踐的反饋對現有規制進行適度調整,保障規制的發展與形勢和實踐的要求相匹配;國際性原則,擬在編制中充分借鑑國際相關規則,促進銀行保險業信息科技外包監管規則與國際規則的接軌。
信息科技外包風險管理的核心是對外包生命週期內各種活動的風險識別、評估、監測及控制。因此,此次《辦法》主要圍繞信息科技外包風險管理,著重考慮四個層面:
一是治理層面。為了保障信息科技外包與IT戰略、業務戰略的一致性,有效管控外包風險,需要在治理層面對信息科技外包作出框架性安排,提出監管要求,包括外包相關的組織架構、制度流程等。
二是管理層面。信息科技外包是一種流程性的活動。從監管角度,外包流程的每一個環節都存在風險,在管理層面對信息科技外包活動全流程的關鍵環節提出要求,核心是准入和監控評價,體現監管當局對銀行保險機構開展信息科技外包工作當中風險控制活動的基本期望。
三是風險層面。外包過程中的風險管理和內部控制相互依存。從風險的維度,特別是對外包活動中可能產生的獨特風險,如跨境外包風險、集中度風險、非駐場風險等,提出進一步的管理要求。
四是監管層面。為了對信息科技外包實施有效的監督管理,有必要從監管的角度,對事前報告、監管評估、風險監測、監督管理、現場核查、監管問責等措施作出原則規定。
