新京报贝壳财经讯(记者 黄鑫宇)为进一步加强银行保险机构信息科技外包风险监管,推动银行保险机构稳健开展数字化转型工作,1月21日,银保监会正式发布《银行保险机构信息科技外包风险监管办法》(下称《办法》)。记者注意到,关于银行保险机构所引入的信息科技外包服务提供商,在附则与两个附件之外,《办法》主要内容中有四处提及“集中度风险”。银保监会明确提出,应“审慎引入集中度风险较高或增加机构整体风险的服务提供商”;同时亦要求,银行保险机构应“提高自身研发运维能力”,以“减少对个别外包服务提供商的依赖,降低集中度风险”。
《办法》共分为七章四十六条,对银行保险机构信息科技外包风险管理提出全面要求。除银行保险机构外,《办法》要求银保监会及其派出机构监管的其他金融机构,亦参照执行。这意味着,金融IT外包市场将迎来全面监管。
附则与两个附件之外,记者注意到,《办法》主要内容中有四处提及“集中度风险”。
在“信息科技外包准入”方面,《办法》明确提出,银行保险机构应根据信息科技外包战略,结合风险评估情况,明确服务提供商的准入标准,对备选服务提供商进行筛选,审慎引入集中度风险较高或增加机构整体风险的服务提供商。
在“信息科技外包风险管理”方面,银保监会通过《办法》强调,银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段,减少对个别外包服务提供商的依赖,降低集中度风险。
同时为有效控制由于IT外包引发的风险,根据《办法》,银保监会及其派出机构将持续监测银行业保险业信息科技外包风险状况,建立行业和区域集中度风险监测与核查机制,对重大或共性风险及时向行业发布风险提示,积极防范因信息科技外包可能引发的区域性、系统性风险。
随着《办法》的落地,是否会提高服务提供商的准入门槛?
银保监会有关部门负责人就此说明:“《办法》所约束的对象是银保监会监管的银行保险机构,对所有服务提供商一视同仁,没有新增任何其他准入门槛,银行保险机构自主决定服务提供商的选择标准和准入方式。”
除此之外,银行保险机构的母公司或其所属集团子公司、关联公司或附属机构作为IT服务提供商,为其提供信息科技外包服务的“关联外包”行为,《办法》多处明示出监管规定。
例如,在第四章“信息科技外包监控评价”中,对于关联外包,《办法》提出,银行保险机构董(理)事会和高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。
同时,在第三章“信息科技外包准入”方面,对于关联外包和同业外包,《办法》亦明确,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。
“近几年,银行保险机构积极开展数字化转型,在加大科技创新力度、更好地满足金融消费者需求的同时,对信息科技外包服务的依赖度不断加大。与此同时,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。为此,按照风险为本的导向,以弥补短板、强化监管为目标,通过制定了《办法》。”该位银保监会有关部门负责人解释道。
新京报贝壳财经记者 黄鑫宇 编辑 徐超 校对 危卓