- 快捷搜索
- 全站搜索
近年来,针对金融外包发展形势和风险上升态势,银监会健全监管制度,规范银行业金融机构信息科技外包行为,持续强化对重点机构、信息科技外包重点风险领域的纵深监管,特别针对非驻场集中式外包存在的风险加强安全监管,防范银行业信息安全和服务中断等系统性风险。
在实施常规监管措施的同时,银监会集成行业资源,创新监管机制,构建银行业科技外包风险综合管理机制,组建银行业信息科技外包联合监管平台(以下简称“联合平台”)和银行业信息科技外包合作组织(以下简称“外包组织”),统筹行业力量,加强银行业外包系统性风险防范,提升外包服务质量。
银行业信息科技外包风险防控背景
当前,银行业务快速扩张,银行业与现代信息科技的融合程度不断加深,科技外包已成为银行业普遍采用的商业模式和战略发展手段,规模加速扩张。外包范围已逐步向关键业务系统、数据中心等核心领域全面渗透。外包投入占科技投入的比例也在逐年上升。据统计,250 余家主要银行业金融机构近两年科技投入年增速保持在20%,科技外包投入年增速约40%。但是,一些银行业金融机构外包风险意识薄弱,风险管控不足,“重采购、轻管理”,“重业务、轻风险”的粗放式外包管理模式没有改变。特别是部分银行业金融机构选择非驻场外包的模式,由于服务提供商不在现场提供服务,银行对其内部控制及风险管理措施有限,信息系统和数据失控的风险较高。监管检查发现,当前在基础设施、核心系统、数据中心外包等领域,非驻场外包呈现集中化的趋势,外包服务商集中托管多家银行业金融机构,一旦发生风险,影响面大、传导速度快,容易演化发展为系统性、全局性风险。近年来,已发生多起具有集中度风险特点的信息科技事件,导致多家银行业金融机构对外服务中断。非驻场集中式外包风险防控已成为当前和今后一个时期银行业金融机构信息科技外包风险防范的重点。
在科技外包过程中,原本以银行为主体的服务活动转移到外包方来承担,其风险属于银行科技风险的组成部分,但往往不受银行监管政策约束。因而在当前外包行业相对不成熟、竞争不充分,仅仅依靠市场机制难以有效调节和控制的现实情况下,亟需建立起一套风险管理机制,来应对风险的严峻挑战。在这个背景下,为了履行好对信息科技外包风险的监管职责,在强调银行业金融机构要承担起外包风险管理的主体责任的同时,银监会探索信息科技监管的新思路和着力点,倡导建立了联合平台和外包组织,构建由监管部门、银行业金融机构和外包服务商共同组成的科技外包风险“第二道防线”,对高集中度、重点外包服务进行持续风险监控和防范。
国外金融外包监管实践
各国金融监管当局均非常重视外包风险的监管,美国、加拿大、澳大利亚、欧盟、新加坡、香港等国家和地区都针对外包业务制定了监管指引,规范外包行为,对银行董事会和管理层的责任、外包审计、合同及服务水平标准、风险管理、服务商评估等均作出了详细规定。
随着技术的不断发展,特别是虚拟化、云计算等技术的广泛应用,在新兴技术中非驻场集中式外包模式更为普及,国外监管机构对类似非驻场集中式外包模式的信息科技风险也十分重视。意大利、西班牙、新加坡等国家均要求信息科技外包活动应事前与监管部门沟通,监管部门具有独立评估并限制高风险外包活动的权力。总体来说,国外金融监管机构对非驻场集中式外包监管实践可概括为三类。
一是法律约定的强制监管,以美国为代表,监管机构不仅能够对金融机构的外包活动予以监管,还对信息科技外包服务商具有法定的监管权力。
二是合同监管,以意大利、西班牙为代表,监管机构要求金融监管机构的外包行为必须保障完全的监管权利,并在合同中予以明确约定。
三是依申请监管,以荷兰为代表,外包服务商可以向金融监管机构申请纳入监管,取得监管机构同意后,双方达成一致意见,保障监管机构完全的监管权力。
银监会监管政策与措施
2010 年银监会印发《银行业金融机构外包风险管理指引》,全面规范银行业金融机构外包行为。2013 年,结合外包最新发展态势和信息科技外包风险特点,又印发了《银行业金融机构信息科技外包风险监管指引》,从加强机构对外包风险控制角度,明确了金融机构建立信息科技外包战略和风险管理体系的要求,指导银行业金融机构加强外包风险评估、供应商尽职调查、合同和外包过程监控,并着重强调对重要外包服务的管理。2014 年以来,针对非驻场集中式外包存在的突出风险和监管空白问题,银监会不断强化监督要求,建立起有针对性的风险管控机制,对强化非驻场集中式外包风险管理、防范集中度风险发挥了积极作用。
1. 突出重点、风险为本,加强非驻场集中式外包风险管控力度
2014 年7 月,银监会出台了《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》,以外包服务商“主动申请监管评估”的模式,根据其自愿的原则,将其外包服务纳入监管部门的风险监管评估范畴。在此基础上,为有效落实该规范文件,近期又印发了《关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》,制订了将非驻场集中式外包纳入监管、开展风险评估的实施细则,明确了外包服务商主动申请接受监管的方式、资质条件、评估程序等,以进一步指导银监会及其派出机构做好对非驻场集中式外包服务的风险监测、监管评估和风险处置工作。下一步,银监会将开展政策解读和宣传工作,推动非驻场集中式外包风险管理相关政策落地,同时开始受理外包服务商的监管评估申请,开展对外包服务商的非驻场集中式外包服务的风险评估和监督管理。
2. 加强交流、互信互惠,创建联合平台和外包组织并不断完善管理机制
2013 年底,在银监会倡导组织下,全国14 个银监局、25 家银行业金融机构,共同发起设立了联合平台,统筹监管机构和银行机构力量,共同开展对外包的系统性风险防控工作。同时,组织自愿承诺加强服务规范化的27 家外包服务商,发起建立外包组织,通过外包服务商的自我约束,推动贯彻落实银行业科技监管政策,配合联合平台的持续性风险监管活动,加强正面引导,促进发展和交流,共同防范风险。一年以来,依托联合平台,银监会组织开展了一系列富有成效的风险监督、检查和规范化管理活动,对化解存量风险、规范外包服务发挥了较为明显的作用。
联合平台和外包组织成立以来,不断完善机制建设,健全外包组织会员管理制度,在促进外包服务商自我约束和自我完善、提升行业管理水平和自律水平方面发挥了积极作用。2014 年10 月,联合平台和外包组织召开了年度工作会议,向银行业、外包服务企业通报各类风险问题,揭示行业共性风险,促进行业发展和交流,推动外包行业加快与金融安全管理标准对接,实现外包服务业与银行业的优势互补、相互促进和合作共赢发展。
3. 整合资源、集中力量,开展外包系统性风险联合监督检查
2014 年年初,银监会对银行业科技外包进行了行业性摸底,全面采集各类银行业金融机构信息科技外包的服务信息,并进行了汇总分析和风险评估,确定了当前银行业在核心系统托管、数据中心外包等主要风险领域和重点外包服务商名单。在此基础上,依托联合平台和外包组织,组织130 家银行业金融机构对29 家高集中度、重点外包服务商开展了现场联合检查。检查历时两个月,发现风险问题千余项,较深入揭示了重点外包服务商服务的真实情况。通过检查,也发现了大量行业性、基础性问题,深层次揭示了银行卡、后台作业、系统托管、应用开发等科技外包等主要领域存在的系统性风险,使得下一步银行业外包风险防控重点更加清晰。在监督检查的同时,银监会加强风险披露,开展问题反馈和整改,对问题突出的外包服务商和重点风险进行集中性的治理和处置,化解行业性风险。联合检查可以说是对外包服务商一次全面的科技风险意识教育,传导了监管要求,外包服务商开始主动了解银行业的安全要求,了解科技风险管理政策,从片面追求业务规模和利润,逐步向追求规范化、高质量和安全可靠的服务方向发展。
此外,银监会积极研究银行同业外包市场培育和规范化管理机制,加强政策引导,鼓励基础好、管理先进的大中型银行机构开展外包服务,支持中小银行机构联合共建、资源共享,破解中小银行信息科技发展难题。
外包风险防控工作涉及到政府监管、市场约束和产业发展的方方面面,头绪多、情况复杂,管理难度比较大。联合平台和外包组织刚刚开始运行,许多工作都没有前例可循,还处于摸索起步阶段,风险监督和防控工作依然任重道远。下一步,银监会将继续整合资源,抓主要矛盾,集中研究解决当前行业普遍存在的外包领域共性、突出问题,全面开展非驻场集中式外包监管评估和风险治理工作,促进非驻场集中式外包达到金融级别的风险管控水平,推进银行业信息科技外包服务标准化,推动银行业信息科技风险防范水平再上一个新台阶。
(文章来源:金融电子化杂志)