□记者 于晗

近日，中国银保监会印发《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。《办法》要求，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

专家认为，《办法》的颁布将对银行保险机构信息科技外包活动形成有效约束，有利于银行保险机构信息科技外包服务管理的标准化、信息化、专业化，在提升机构自身核心能力的同时，对促进行业数字化稳步转型也具有积极意义。

信息科技外包风险高发

信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。根据《办法》，银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，按照《办法》相关要求进行管理。

从《办法》出台背景来看，近几年来，随着金融科技的广泛应用，银行保险机构数字化进程加快，对于信息科技建设外包的依赖越来越强。在金融科技创新和数字化转型背景下，信息科技外包也成为风险高发领域。

中央财经大学证券期货研究所研究员、内蒙古银行战略研究部总经理杨海平表示，信息科技外包风险主要显现在五个方面：

一是战略方面，由于没有完整数字化转型方案和规划，或者信息科技外包战略与数字化转型方案的脱节，导致信息科技外包项目零散化、碎片化，系统之间的勾稽关系被忽视，系统对接方面形成断点堵点。

二是合作方甄选方面，尽管商业银行有严格的信息科技外包管理制度和招投标管理制度，但也可能由于评标指标设置不当或者利益输送等原因导致中标外包合作方不符合标准。

三是外包过程管理方面，可能存在外包项目进度问题、项目边界问题、质量问题、外包服务中断风险，以及围绕外包建设项目的合同管理问题等。

四是信息科技外包项目质量引发的数据安全、网络安全问题以及业务连续性风险、声誉风险等。

五是信息科技外包项目合规风险，主要包括未按照监管规定履行尽职调查，将不能外包的业务外包等。

据悉，2021年3月，监管部门曾组织银行业金融机构对重要外包服务开展了联合核查，发现部分外包服务存在突出的风险隐患，反映出不少银行机构对信息科技外包风险重视不够，科技外包管理缺位。

原保监会副主席周延礼在第二届中关村论坛金融科技平行论坛上曾表示：“金融科技创新对网络安全提出更高要求，数据安全和隐私保护需求与难度加大，金融行业风险冲击的传导性愈演愈烈，金融行业信息科技外包风险形势严峻。”

升级科技外包风险监管

实际上，自2010年起，原银监会与原保监会就曾对银行业保险业信息科技风险管理作出规范。原银监会分别于2010年、2013年印发了《商业银行信息科技风险管理指引》以及《银行业金融机构信息科技外包风险监管指引》，原保监会也在2011年印发了《保险公司信息系统安全管理指引（试行）》。

经过近十年的监管实践，部分文件已滞后于当前银行业保险业的信息科技发展实际，尤其当科技外包已成为行业一种新常态，需要新的统一管理办法，对银行保险机构在信息科技建设中涌现的风险问题给予规制。

为此，银保监会先后将制定银行业保险业融合统一的信息科技外包风险监管规制列入2019年度、2020年度法规修订计划。截至2021年10月，银保监会公开的《银行保险机构信息科技外包风险监管办法》征求意见稿首次提出实施“分级管理”。

相较此前的监管文件以及征求意见稿，《办法》在多个层面进行了细化和升级。杨海平分析，一是制度层级提升。《办法》是原有《银行业金融机构信息科技外包风险监管指引》《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》等文件的整合升级。二是对于信息科技风险在商业银行全面风险管理中地位的升级，《办法》相较以前更加明确了商业银行信息科技外包风险治理体系。三是结合新阶段金融科技的应用，对商业银行信息科技外包风险的管控内容更全面，管控更严格。根据实践内容，还将“保障网络和信息安全，加强重要数据和个人信息保护”等事项纳入管理，对不同类型的信息科技外包全过程提出了严格管控要求。

易观高级分析师苏筱芮表示，《办法》基于此前银行保险机构与信息科技机构合作的实践情况，对外包机构的准入、评价、模式等进行规范，既有利于明确监管思路，又能够符合行业实际，便于机构后续参照执行。

银行保险机构要补“短板”

根据《办法》，银行保险机构在实施信息科技外包时应当坚持以下原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；要保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

同时，《办法》正式明确，银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理，对重要外包和一般外包采取差异化管控措施。

在风险管理组织架构方面，《办法》要求银行保险机构应建立覆盖董（理）事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构，明确相应层级的职责，确保信息科技外包治理架构权责清晰、运转高效、制衡充分。

而且，除银行保险机构外，省（自治区、直辖市）农村信用社联合社、保险资产管理公司、金融资产管理公司，银保监会及其派出机构监管的其他金融机构也需参照执行《办法》。

针对银行保险机构如何有效落实《办法》内容，杨海平认为，银行保险机构要对现有的外包管理制度进行重检和修订，从董事会层面明确信息科技外包风险的治理体系，同时细化商业银行信息科技外包管理全过程，包括外包服务商准入、外包合同管理、外包服务过程管理、外包服务商持续监控和评价、外包服务商退出、外包服务项目报告等，形成完整的管理体系。随着金融数字化进程的加快，应持续关注新型的信息科技外包风险。

“银行保险机构需要认真研读文件，及时制定相关的管理制度并安排专人负责，从源头做好外包机构的选择工作。”苏筱芮认为，银行保险机构应牢牢把握“不妨碍核心能力建设、积极掌握关键技术”的监管导向，在提升合作效率的同时不忘修炼内功，以高质量水平发挥对实体经济的服务作用。