- 快捷搜索
- 全站搜索
银行业信息外包风险是当前银监会科技监管重点关注的风险领域之一。我从三点谈一下个人的体会和见解。
第一,外包发展的形势。当前我国银行业快速发展,市场竞争加剧,银行业金融机构出于成本、效率、风险转移的考虑,纷纷将最核心业务外包。借助信息科技外包的形式,银行业大量利用外部技术推动信息科技与银行业务经营战略快速对接,利用外部资源进行盈利和创新成为银行经济发展互联驱动的新趋势。
信息科技外包范围日益扩大、规模快速增长,成为银行信息科技工作的重要组成部分,外包服务商事实上承担了大量的银行业经营机构、信息科技服务职能。信息科技外包一方面为银行业创造价值,另一方面也带动了银行业金融机构风险的转移。外包服务提供商在一定程度上也成为银行信息科技风险的门户或者载体。部分规模较大的外包服务提供商对金融行业的影响范围和程度日益明显,他们在银行卡、数据中心和核心系统建设运行等重要领域集中为多家银行业金融机构提供服务,如果一旦出现风险或者问题,银行业将面临着系统性的风险。而有些规模比较小的外包服务提供商,因为本身的风险意识不足,安全体系建设相对滞后,也容易带来信息安全风险。
外包风险成为银行业当前和今后一个时期信息科技风险防范的一项主要任务。
下面我说一下监管政策。
随着外包风险形势的不断发展,银监会近年来对信息科技外包风险重视程度日益提高,要求也在逐步加强。2006年出台了银行业金融机构信息系统风险管理指引,首次提出外包风险控制要求。2009年又出台《商业银行信息科技监管风险管理指引》,进一步对外包合同管理、服务水平、数据保护提出要求。2010年,出台《银行业金融机构外包风险管理指引》,提出外包风险管理的总体原则。2013年初(2月份)出台了银行业金融机构信息科技外包风险监管指引,这部《指引》是在外部环境日趋复杂、新的风险不断出台的情况下出台的从加强银行业金融机构自身内部控制角度明确了在建立信息科技、外包战略和复线管理体系的要求,指导银行机构建立外包风险评估、供应商调查、合同和外包过程监控,并着重加强对重要外包服务的管理,在此基础上对中间外包服务领域的持续风险监管机制。对集中存入银行数据和集中运行、银行信息系统的重点外包服务开展常态化的风险检测,现场延伸检查等活动,定期向银行业发展高风险外包服务机构名单、预警风险,问题较大的可要求银行暂缓终止外包服务,以防范具有高集中度、涉及跨境以及重要集成外包服务可能引发的区域性、系统性风险。
《指引》从三个层次提出银行业外包风险管理与监管的目标。第一,引导银行业金融机构加强外包风险管理,纳入全面风险管理体系,明确银行是外包风险管理的第一责任人。在外包组织架构方面,要求建立信息科技外包的服务管理体系,明确董事会及高管层、外包风险主管部门、外包管理团体各层级的职责,强调信息科技管理责任和职责不能外包。在外包战略方面,要求建立信息科技外包战略,包括不能外包的职能,资源和能力建设方案,供应商关系管理策略,以及外包分级管理策略。在外包风险管理方面要求建立外包风险管理体系,提出风险评估和审计要求。在外包活动管理方面,要求开展外包项目风险评估,外包商禁止调查、外包合同管理、外包服务安全。服务的监控与评价,服务的终止全方面管理,提出了管理性与技术性的要求,因为要求比较多,我就不展开说了。
二是加强对银行业外包服务集中度的监测,防范因高机构集中度外包服务导致的行业性、区域性信息科技风险。在机构集中度风险管理方面,要求银行业金融机构采取分散策略,降低机构集中度,并对具有集中度特点的外包服务提供商采取加强性的管理措施。包括,要求其提供内控与管理能力、持续运营能力的证明,配备相对独立的资源,明确服务优先级,进行服务中断应急演练。加强外包服务提供商的财务、内控、安全管理情况继续监控,及时掌握风险实践情况,防范外包服务意外终止和服务质量下降,对本机构产生大面积的影响。
对具有集中度特点的外包服务提供商增强监督,必要时需要时进行现场监督。对跨境和非中场外包方面,跨境外包要重点防范国别风险,非中场外要求银行业金融机构在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理,建立非中场外包服务内控和风险管理的最低标准,每年至少一次对服务提供商进行实地检查。
三是加强系统性外包风险的管理和监督。从管理的角度明确重点外包服务的世界标准,通过银行业金融机构对重点外包服务机构提出组织、能力、资质、内控、风险管理和审计等要求。包括组织架构和风险治理架构的要求、针对所提供外包服务要建立相应的风险治理架构和专职的风险管理团队。服务管理体系要求,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制。服务能力要求,要具有组合的技术能力、人力资源和场地,服务场地要在中国境内。对风险管理和审计要求,要求外包服务机构每季度报送外包风险监控报告,每年进行风险评估并报告,对风险采取缓释和控制措施。从监管的角度,明确了七类重要外包服务和五种重大外包风险事件的报送要求,实行银行业信息科技外包活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务名单和风险提示,组织银行业经营机构对重点外包服务机构进行风险评估和评级,建立服务记录。针对六种情形发布外包服务提供商风险预警,监督银行业金融机构对信息科技外包提供商实施准入管理。
以下就是自己的一点点粗浅的认识,谢谢大家。
信息化改变了金融、商务服务行业的业务流程和服务模式。包括金融业、业务服务外包、数据的大集成,都成为必然的趋势。这里面伴生
联盟始终立足服务外包业的发展,积极主动为企业服务、为行业服务、为政府服务、为社会服务,发挥了良好的桥梁纽带作用,相关工作
展望2013年,经济发展的方式转变、结构调整升级、工业和信息化深度融合等不断推进,为我国软件与信息技术服务外包产业发展也创造
年会聚集了金融、制造行业的精英,围绕IT外包在行业的深入应用,从IT的外包精细化管理、金融业IT服务外包的机遇与挑战,信息技术
全省先后培育建设了19家服务外包示范基地和13家软件园区,建设了全国首家中日IT桥梁工程师交流示范基地、离岸外包、在岸外包,软
高端对话的第一个话题是为什么要做外包,金融企业也好或者说IT业也好,为什
高端对话的第一个话题是为什么要做外包,金融企业也好或者说IT业也好,为什