上海證券報昨日獨家獲悉，為進一步規(guī)范銀行保險機構(gòu)信息科技外包活動，加強信息科技外包風險管理，近日，銀保監(jiān)會完成了《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法（征求意見稿）》（下稱《辦法》）起草工作，目前正在業(yè)內(nèi)征求意見中。

　　根據(jù)總體要求，銀行保險機構(gòu)應(yīng)當建立與本機構(gòu)信息科技戰(zhàn)略目標相適應(yīng)的信息科技外包管理體系，將信息科技外包納入全面風險管理體系，有效控制由于外包而引發(fā)的風險。

　　信息科技外包活動風險頻發(fā)

　　《辦法》所適用的信息科技外包，是指銀行保險機構(gòu)將與本機構(gòu)經(jīng)營活動相關(guān)的信息科技活動委托給服務(wù)提供商進行持續(xù)處理的行為。銀行保險機構(gòu)與第三方合作當中涉及重要數(shù)據(jù)和個人信息處理的信息科技活動，按照《辦法》相關(guān)要求進行管理。

　　《辦法》出爐的一個大背景是，近幾年的監(jiān)管實踐發(fā)現(xiàn)，信息科技外包是當前銀行保險機構(gòu)的風險多發(fā)領(lǐng)域，主要表現(xiàn)在以下幾個方面：一是銀行保險機構(gòu)信息科技外包范圍不斷擴大；二是銀行保險機構(gòu)信息科技外包形式趨于多樣；三是銀行保險機構(gòu)信息科技外包活動風險頻發(fā)。

　　來自監(jiān)管方面的數(shù)據(jù)顯示，2019年銀行業(yè)信息科技外包項目數(shù)量同比增加13.8%，外包合同金額同比增加56.3%。與之相對應(yīng)，信息科技外包管理范圍不斷增大，風險點趨于擴散。

　　將銀行保險業(yè)相關(guān)規(guī)制融合統(tǒng)一

　　原銀監(jiān)會于2013年印發(fā)了《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》（下稱《指引》），對規(guī)范銀行業(yè)信息科技風險管理發(fā)揮了重要作用，但保險行業(yè)尚無專門的監(jiān)管規(guī)范。

　　為此，從“補短板”的角度，銀保監(jiān)會將制定銀行業(yè)保險業(yè)融合統(tǒng)一的信息科技外包風險監(jiān)管規(guī)制，列入了2019年度和2020年度銀保監(jiān)會法規(guī)修訂計劃。

　　據(jù)了解，本次編制擬在原銀監(jiān)會《指引》和相關(guān)規(guī)范性文件的基礎(chǔ)上，結(jié)合原保監(jiān)會《保險公司信息系統(tǒng)安全管理指引》有關(guān)章節(jié)，以及國家有關(guān)法律法規(guī)最新進展和金融科技發(fā)展形勢進行編制，形成《辦法》。

　　《辦法》編制原則體現(xiàn)在以下三點：繼承性原則，擬在銀行業(yè)、保險業(yè)已有規(guī)制的基礎(chǔ)上開展，保障與已出臺的相關(guān)規(guī)制銜接一致；發(fā)展性原則，擬參考當前風險的形勢變化，結(jié)合國家層面的法律法規(guī)，基于近年來實踐的反饋對現(xiàn)有規(guī)制進行適度調(diào)整，保障規(guī)制的發(fā)展與形勢和實踐的要求相匹配；國際性原則，擬充分借鑒國際相關(guān)規(guī)則，促進銀行保險業(yè)信息科技外包監(jiān)管規(guī)則與國際規(guī)則的接軌。

　　結(jié)構(gòu)設(shè)計著重考慮四個層面

　　據(jù)了解，信息科技外包風險管理的核心，是對外包生命周期內(nèi)各種活動的風險識別、評估、監(jiān)測及控制。因此，此次《辦法》在編制結(jié)構(gòu)設(shè)計時，主要圍繞信息科技外包風險管理，著重考慮四個層面：

　　一是治理層面。為了保障信息科技外包與IT戰(zhàn)略、業(yè)務(wù)戰(zhàn)略的一致性，有效管控外包風險，需要在治理層面對信息科技外包作出框架性安排，提出監(jiān)管要求，包括外包相關(guān)的組織架構(gòu)、制度流程等。

　　二是管理層面。信息科技外包是一種流程性的活動。從監(jiān)管角度，外包流程的每一個環(huán)節(jié)都存在風險，在管理層面對信息科技外包活動全流程的關(guān)鍵環(huán)節(jié)提出要求，核心是準入和監(jiān)控評價，體現(xiàn)監(jiān)管當局對銀行保險機構(gòu)開展信息科技外包工作當中風險控制活動的基本期望。

　　三是風險層面。外包過程中的風險管理和內(nèi)部控制相互依存。從風險的維度，特別是對外包活動中可能產(chǎn)生的獨特風險，比如，跨境外包風險、集中度風險、非駐場風險等，提出進一步的管理要求。

　　四是監(jiān)管層面。為了對信息科技外包實施有效的監(jiān)督管理，有必要從監(jiān)管的角度，對事前報告、監(jiān)管評估、風險監(jiān)測、監(jiān)督管理、現(xiàn)場核查、監(jiān)管問責等措施作出原則規(guī)定。