监管重拳规范信息科技外包 强调自主风控
监管重拳规范信息科技外包 强调自主风控
本报记者 郝亚娟 张荣旺 上海报道
以科技为核心的竞争导向,带来了金融机构信息科技投入的逐年增加。随着金融机构对科技支持能力要求的不断提高,信息科技领域的外包业务发展迅猛。
作为自身科技力量的补充,信息科技外包在给金融机构带来专业化能力、推动科技创新、提高科技效率、实现科技对业务支持的同时,也引发了一系列的外包风险。信息科技外包风险管理,亦成为金融行业监管的工作重点之一。
日前,《中国经营报》记者获得由银保监会下发的《银行保险机构信息科技外包风险监管办法(征求意见稿)》(以下简称“《监管办法》”)文件,首次将保险行业的信息科技风险纳入监管范围,同时对信息科技外包的流程、业务范围、风险治理等做出明确规定。
强调金融机构自主研发能力
近年来,金融机构信息科技外包涉及的范围逐步扩大,涵盖信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。
以银行业为例,IDC近期发布的《中国银行业IT解决方案市场份额2019》报告显示,2019年中国银行业IT解决方案市场总规模约为425.8亿元,与2018年的343.7亿元相比,同比增长23.9%。IDC预测,到2024年中国银行业IT解决方案市场规模将达到1273.5亿元。
不过,因信息科技外包引发的风险事件,亦引起监管部门的重视。
早在2013年,原银监会下发《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)对银行业金融机构的信息科技外包活动作出指引。
记者注意到,此次《监管办法》提到,银行保险机构应当明确不能外包的信息科技职能,涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。
在某城商行金融科技部人士看来,《监管办法》的影响会延伸至具体业务。在互联网金融浪潮下,传统金融机构与第三方平台的合作日益增多,金融机构的客户信息被第三方合作厂商泄露的情况也日益冒头,《监管办法》有可能倒逼金融机构对三方平台的合作收紧。
同时,《监管办法》进一步将保险集团(控股)公司、保险公司、保险资产管理公司的信息科技外包活动纳入监管范围。
某金融科技公司金融事业部人士向记者分析:“一直以来,保险的信息科技不如银行管理得精细,对核心系统的自主可控能力相对较差。很多保险公司的核心交易系统主要由国内几家厂商提供服务,而保险公司的IT人员以管理为主,对系统的介入不深。”
零壹研究院院长于百程指出,在数字化的背景下,科技能力成为金融机构发展的最重要能力之一。由此,金融机构与外部信息科技机构的合作日益加深。在信息科技外包合作中,也存在各种风险,主要包括以下几种:一是管理体系不严,如把风险管理、内部审计等金融机构的核心竞争力外包,从而导致风险体系失效;二是因为对合作方的资质和能力审核不严,导致在合作中出现合规、业务持续性和舆情等风险;三是过度依赖少部分合作方,金融机构自身基本科技能力没建立,导致的业务集中度风险。
针对这一内容,《监管办法》就“集中度风险管理”也做了明确规定,即银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散信息科技外包活动、提高自身研发运维能力、储备潜在替代服务提供商等形式,减少对个别外包服务提供商的依赖,降低集中度风险。
中国计算机用户协会信息科技审计分会在相关报告(以下简称“《报告》”)中指出,外部政策和市场的变化,以及新技术的应用,使得信息科技生态环境出现诸多变化。这些变化不断传导至信息科技工作,令信息科技面临以下变化,诸如业务需求的差异化和创新需求的不断涌现;客观上外包商依赖日益增加,外包风险日益增大;更多系统接入互联网,面临更多入侵风险等。