银保机构IT外包风险频发,监管定调将“分级管理”(银保信息科技外包监管新规)

在银行保险机构数字化转型的过程中,信息科技外包这一重要形式的风险必须加以遏制。近日银保监会在官网上正式发布《银行保险机构信息科技外包风险监管办法》(下称“监管办法”),就将矛头指向这一领域。

从此次监管办法的内容来看,从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出全面要求,正式提出银行保险机构应对信息科技外包活动及相关服务提供商进行“分级管理”,对重要外包和一般外包采取差异化管控措施。至此,银行保险机构的IT外包业务将进入全面监管时代。

普华永道表示,监管办法将作为当前金融机构信息科技外包风险管理的指挥棒,但涉及的诸多变化同时会使得银行保险机构合规压力显著提升,在落实监管办法的过程中将面临不少挑战。

风险频发

“近几年,银行保险机构积极开展数字化转型,在加大科技创新力度、更好地满足金融消费者需求的同时,对信息科技外包服务的依赖度不断加大。”银保监会表示。

根据IDC数据统计,2013年我国银行业IT投资规模为680.9亿元,而到了2020年,这一规模达到1906.4亿元。数据显示,2019年银行业信息科技外包项目数量同比增加13.8%,外包合同金额同比增加56.3%。

而在保险业方面,根据艾瑞的数据,2019年国内保险公司的科技投入达到319亿元,预计到2022年将达534亿元,年复合增速接近20%。

不过,随着IT投资的增加和对外包的依赖度增加,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。

普华永道分析称,总体而言,金融机构信息科技外包业务比较常见的风险包括高依赖度、高集中度、政策风险、外部冲击、意识薄弱以及约束有限六大风险。

银保机构IT外包风险频发,监管定调将“分级管理”(银保信息科技外包监管新规)

具体而言,金融机构由于自身运营和管理需要,以及成本压力,使用外包服务较为普遍,但外包人员在提供服务中,能近距离接触金融机构的大量有价值的敏感信息,如客户和交易信息,极易造成信息泄露。服务提供商自身的内控体系成熟度、风险管理能力和风险意识水平往往低于金融机构,难以有效识别外包人员主动或被动的不当行为。并且,相比较自身员工,金融机构对外包人员的管理难度更高,要求更难落实到位。

在这样的背景下,金融机构外包风险事件往往防不胜防。针对外包违规催收、数据公司侵权或不当获取、使用个人隐私数据的曝光和处罚,造成一些金融机构声誉受损。新冠疫情则在业务连续性管理、服务提供商持续经营、远程办公和服务相关网络安全等方面带来新的风险。

进入全面监管时代

信息科技外包作为信息科技风险监管的一个重要领域,需要在原有基础上进一步加强监管约束,加大监管力度,此次监管办法也因此应运而生。

在监管办法中,银保监会在总则中就要求银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险,并且不得将信息科技管理责任、网络安全主体责任外包。

普华永道认为,和之前的金融机构IT外包相关监管文件相比,此次监管办法充分反映了近年来金融行业、科技和监管导向变化的背景,其主要变化可以总结为三大方向:

首先,以信息科技外包过程中的网络安全、数据安全和个人信息保护作为核心导向。此次监管办法在对信息科技外包进行定义时,补充了“银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动”,使得银行保险机构以往多项与外部机构的合作,或服务采购,可能被新纳入到信息科技外包活动范畴中,大大拓展了管理外延。

其次,完善了外包治理和风险管理相关方的职责。此次监管办法要求建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,有利于进一步将信息科技外包风险管理责任和目标落地。

另一点非常重大的变化则是采用分类分级管理的办法。根据监管办法,信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。普华永道表示,相较于此前相关文件的分类,此次监管办法的划分较为全面地囊括了业内现有各类信息科技服务活动形式。

在分类管理的同时,监管办法将信息科技外包活动及相关服务提供商进行重要外包和一般外包的分级管理,诸如信息科技工作整体外包、安全运营的整体外包、涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包等九大情况被归为重要外包。对于重要外包,监管办法要求银行保险机构需对服务商进行尽职调查,对非驻场外包服务进行实地检查等,并应考虑重要外包终止的可能性,制定退出策略。

普华永道分析称,开发测试类中,软件即服务(即“SaaS”)形式以往可能会因为系统不在银行保险机构内部落地而未被纳入外包。安全服务类作为新增类型,需注意安全运营的整体外包属于重要外包范畴。而在业务支持类中,数据利用服务可能会导致部分从外部机构向银行保险机构侧提供数据输入的服务,被纳入外包管理范畴。

业内人士认为,监管办法将会使得未来银行保险机构外包业务向合规、风控水平更高的头部服务商倾斜,但由于监管办法中同时存在集中度监管,因此服务商“通吃”的现象也将有所扭转;而站在银行保险机构角度,在执行此次监管办法要求的过程中,也将会面临不少挑战。

普华永道举例称,由于对外包的服务外延大大拓展,涉及合作模式的转换,对机构和服务商来说均属于新课题;在服务供应商面临更高监管要求的同时,需要外包风险主管部门与外包执行团队紧密协同,但银行保险机构对其不具有决策权却承担合作风险,因此它们需要尽快就监管办法要求对服务商进行对标和排查等措施。此外,保险机构、金融资产管理公司等机构此前在信息科技外包风险管理组织及职责、管理策略、制度流程等方面较银行业机构可能存在一定差异,则需进行进一步的体系建设。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2024年4月25日 上午10:06
下一篇 2024年4月25日 上午10:18

相关推荐

  • 重症哮喘科研项目名称是什么重症哮喘科研项目名称是什么

    重症哮喘科研项目名称是什么? 重症哮喘是一种严重的呼吸系统疾病,常常导致呼吸困难,胸痛,咳嗽和发热等症状。由于重症哮喘的症状十分严重,因此研究和开发有效的治疗措施是至关重要的。 近…

    科研百科 2024年9月8日
    26
  • 项目管理 免费

    免费项目管理:从入门到精通 免费项目管理是一种基于免费资源(如时间、人力、财务等)的项目管理方法。虽然免费项目管理在一些领域中可能不太适用,但在一些情况下,它仍然是一种有效的管理方…

    科研百科 2024年5月26日
    49
  • 系全国首创!湖北援疆项目管理信息平台上线(湖北援疆办官网)

    湖北日报讯(记者姜远海、博尔塔拉融媒体中心记者唐姗姗)12月22日上午,湖北援疆项目管理信息平台在新疆博州博尔塔拉宾馆宣布上线启用。 当日,湖北援疆前方指挥部同步发布《援疆项目建设…

    科研百科 2024年4月22日
    66
  • 迎接党的二十大,打造企业党建特色品牌

    企业党建特色品牌是中国企业独特的党建工作价值指向、党建过程价值标识、党建成效价值认同的集中反映,是中国企业独有的党建理论化、典型化和形象化的综合展示,是客户、社会、股东、企业、企业…

    科研百科 2023年7月21日
    71
  • C# aot winform

    C# aot winform: 一个快速搭建AI机器人的简单平台 C是计算机科学的一门基础语言,而Aot(人工智能ot)是C#的一个子集,用于开发人工智能和机器人应用程序。在今天的…

    科研百科 2024年10月13日
    11
  • “濮阳造”石油钻机静音降噪系统启运乌干达

    8月22日,记者从中原大化公司获悉,由我市成功研制的我国首套执行欧洲标准的1500HP低排放自动化石油钻机静音降噪系统于当日启运乌干达。该静音降噪系统的成功研制,为中国能源企业走出…

    科研百科 2022年12月28日
    271
  • 2022年要考虑的9种供应链规划软件功能(供应链管理未来规划)

    随着供应链成为所有规模公司的更大优先事项,对支持和简化这一重要业务组件的软件的需求也在增加。评估供应链计划软件的能力,对理解我们所说的供应链计划是有启发性的。这里不是指使用MRP或…

    2022年9月30日
    315
  • 我为群众办实事|石排启动居家养老“大配餐”服务

    来源:东莞时间网-i东莞 自己做饭不方便,出门买菜有困难,不懂得营养搭配……在石排,这些用餐难题,不再是老年人的困扰了。 8月2日,石排镇全面开展“大配餐”服务,满足镇内养老服务需…

    2022年6月30日
    116
  • towify

    towify towify是一个开源的移动应用程序框架,旨在帮助开发人员构建高质量的移动应用程序。该框架提供了许多有用的功能,如虚拟键盘、自动完成、应用程序设置等,使开发人员能够更…

    科研百科 2024年10月5日
    15
  • 酒店人事管理软件

    酒店人事管理软件 随着旅游业的不断发展,酒店行业也成为了一个庞大的行业。酒店管理人员需要处理大量的人事管理事务,包括招聘、培训、薪酬福利、绩效考核等方面。为了满足这些需求,酒店人事…

    科研百科 2024年9月26日
    22