据悉,部分地区外包服务商高度集中,存在行业集中度风险。为此,银保监会基于风险导向,于2021年12月30日发布了《银行业保险机构信息科技外包风险监管办法》(以下简称《办法》),其中以补短板、强化监管为目标。《产业金融机构信息技术外包风险监管指引》(以下简称《指引》)同时废止。
《办法》从信息科技外包整治、准入、监测评估、风险管理等方面对建行保险机构信息科技外包提出要求。《办法》的制定出台,将推动建行保险机构完善和建立信息科技外包整治框架,加强信息科技外包风险管理体系建设,提升信息科技外包风险管控能力,促进建行保险机构数字化转型工作稳步开展。
一、《办法》与《意见》的区别
(一)整合监管体系
(二)扩大适用范围
机构范围:不再参照各类建行、农信社等金融机构,缩减各类保险机构,包括保险集团(控股)公司、保险公司、湖北IT企业等。
管理范围:随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》的颁布,本《办法》增加了网络安全、数据安全要求、跨境外包信息跨境处理等内容,《办法》即将对涉及建行保险机构重要数据的信息技术活动、客户个人信息处理等内容进行细化交行保险机构与其他第三方的合作。
(三)强化主体责任
《办法》继续点明金融机构的主体责任。在实施原则中,明确信息技术管理职责和网络安全主体职责不得外包。指出事前控制和事中监管,不断完善外包策略和风险管理措施。
《办法》要求,对于可能对业务连续性管理产生重大影响的重要外包服务,中国农业银行保险机构应当提前建立风险控制、缓释或转移措施;外包和风险管理的审计工作,内部审计项目可以委托给母公司或同一集团的子公司,也可以聘请独立第三方。
《办法》高度重视外包活动中涉及的网络安全、数据安全和个人信息保护,并在外包原则、外包准入、监测评价、风险管理等方面多次提出网络与信息安全要求:一是、在尽职调查中,要求服务提供者具有网络和信息安全保障能力;二是在服务效率和质量监测指标中建立网络与信息安全指标。三是风控措施要落实对服务商和外包人员网络与信息安全教育的要求。网络与信息安全要求贯穿《办法》全文,可见监管的重视程度,也是去年外包管控的重要方向。
(五)对高度集中的制造商和重点外包服务机构的容忍度更高
措辞从“防止引入”到“谨慎引入”不等。术语由“防止引入具有高机构集中度风险特征的服务提供者,或引入降低整体风险的服务提供者”变为“审慎引入具有高集中度风险特征的服务提供者或降低整体机构风险”。《办法》对农行保险机构引入风险集中度较高的厂商更加宽容,将更多的管理控制权和选择权赋予了交行保险机构自主判断的权利。
删去“重点外包服务机构风险管理要求”一节。《办法》删除了“银行业重点外包服务机构风险管理要求”一章,包括:重点外包服务机构的范围,以及注册资本、组织架构、管理制度、技术能力、资质证明等方面的要求等重点外包服务机构实施差异化监管。
(六)对服务商的尽职调查要求更加明确
尽职调查对象从“重要服务商”到“重要外包候选服务商”。后一份《指引》是对重要服务提供者的尽职调查,调查对象针对重要服务提供者;而原《办法》指出了重要外包项目的性质,仅对重要外包对应的备选服务提供者进行了尽职调查,两者存在本质区别。据悉,该承包方此前被建行评为“重要外包商”,而其与建行保险代理机构合作的项目则被定义为“非重要外包项目”,无需进行应有尽职调查。尽职调查,所以“重要外包”是尽职调查的一个关键条件。
(七)跨业外包严格纳入集中度风险监管范围
二、主要内容分析
(一)总体框架
《办法》共分七章四十六条,从整改、管理、监督三个层面展开,对外包准入、外包监测评价、外包风险控制、监管报告和监管等提出明确要求。问责制。.
(二)重点分析一:网络与信息安全
网络与信息安全最佳实践建议:网络与信息安全尽职调查指标至少应包括安全队伍建设、安全政策、物理安全、网络安全、数据安全、用户权益、终端安全、运维安全等。为外包活动的性质选择适当的指标。
(三)重点分析二:分类分级管理
《办法》不仅细化了外包的五大分类标准,还要求针对不同类型的外包活动建立相应的管理和风险策略;明确了外包项目的分类,要求对重要外包和一般外包采取差异化管控措施,并对外包术语进行了一些解释。
尽职调查:是对重要外包的候选服务商在资产、经营、内部控制、人员、经验等方面可能存在的风险和隐患,在协议签订前进行的一系列必要的调查程序。
集中风险:指将服务外包给单一或少数服务商,造成广泛依赖、独立可控、服务中断、服务质量下降的风险。
风险外包商集中度:参照《指引》中重要外包服务机构的量化指标,结合建行实际情况,自行编制指标维度。可以参考协议金额或协议数量超过建行全行1/3的外包商。
(四)重点分析三:第三方合作服务
(五)重点分析四:外包商的尽职调查
外包尽职调查是在重要外包项目中标后、签订协议前,对外包服务对象的经营状况、商业信誉、技术能力、财务、人员能力、经验能力等进行深入调查。建行保险代理机构将评选出第一、二、三名中标人,并对三名中标人进行尽职调查。
其价值在于:一是了解外包方的真实管理经营情况,核实招标文件记载的事实,防止招标文件与事实存在较大错误或不符,导致外包风险;二、对候选人进行尽职调查在调查中,除了第一名,第二名和第三名也做尽职调查。一旦第一名尽职调查出现问题,可以补充第二名,或者第一名在执行过程中突然异常退出。由于上级尽职尽责,加上第二名是顺理成章的,心中不会有疑虑。
一些小型商业银行对这一标准的执行更为严格,尤其是对业务支持外包商的尽职调查。中国农业银行通常在供应商选择和监管阶段进行尽职调查。签约前监管要求较为苛刻,但也可能出现部分供应商在前期参与尽职调查后突然放弃投标,造成资源和成本浪费的情况。因此,尽职调查的时机也值得您考虑。
(六)重点分析5:非居民外包商现场检查
(七)重点分析6:外包商服务后评价
外包商事后评价尽管监管层希望建行建立优胜劣汰机制it运维外包,促进外包商在建行旗下保险机构的“血液”循环,但可考虑构建外包商事后评价指标。在后评价指标中,外包质量评价结果可以作为评价的主要指标项之一,外包绩效评价可以与外包方的后评价进行有效关联。可建立100分的考核体系,根据分数设置“优、良、中、差”四个等级。根据不同层级的发生次数,结合重要数据和个人信息是否被泄露、损坏等外包风波,作为后续外包商准入与合作的重要参考依据,对外开放外包服务评价环节与招标采购环节之间的过程,有效利用外包方后评价的工作成果。
三、措施及应对机制
(一)加大高层对技术外包的重视力度,推动顶层外包高质量发展
建行保险机构要从顶层推进信息科技外包管理体系规范化、精细化建设,持续建立外包制度和流程建设,切实落实各部门在外包管理体系中的职责。为督促工作落实,可聘请外部专业公司协助开展外包风险评估和外包体系标准化建设,夯实外包管理基础,全面提升外包风险管理水平。
(二)完善技术外包组织架构和职责it运维外包,切实落实监管要求
交通银行保险机构应建立覆盖董事会(理事会)、高级管理层、信息科技外包风险管理部、信息科技外包执行团队的信息科技外包与风险管理组织架构,明确相应部门职责水平,确保信息技术外包管理工作高效有序开展,外包风险得到有效控制。
(三)建立技术外包管理体系,夯实技术外包规范管控基础
交行保险机构应遵循信息科技外包监管合规要求,结合科技外包管控现状,合理规划科技外包体系框架,形成战略-方法-监管-形式四维一体化技术外包体系管控模型,有效引导和全面落实技术外包各项管控要求。
(四)细化信息技术外包分类,积极落实相应的风险管控机制
交通银行保险机构应建立信息科技外包活动分类分级管理机制,针对不同类型的外包活动制定相应的管理和风险控制策略,对重要外包和一般外包采取差异化管控措施。
(5)识别第三方服务场景,有效实现重要数据和客户个人信息管控目标
交通银行保险机构应有效识别第三方业务涉及的主管部门、业务类型、业务名称、业务链接、重要数据和客户个人信息、第三方机构、服务说明、主要风险、现有管控措施等。-派对服务。数据和客户个人信息的外包活动应纳入业务支持类,实施有效的安全管控。
(6)全面做好外包方尽职调查、非现场测试、后评估、外包风险管控工作
交行保险机构应针对重要的外包业务构建全生命周期的管控措施,从外包前的项目前风险评估、替代服务商的尽职调查,到外包过程中的服务效率和质量监控。外包实施、外包商运营状态监控,直至外包商服务后评价,形成完整的外包活动风险管控闭环。
(七)加强外包网络与信息安全管控,全面落实国家法律法规和监管要求
外包活动执行团队应进一步提升基于外包人员活动全生命周期的管理能力,从外包人员进场、外包项目实施、外包人员退出等阶段加强管理,采取技术措施,提高敏感信息泄露风险。外包风险管理部门应当定期对外包活动进行网络与信息安全评估。审计部门应当定期对信息技术外包及其风险管理情况进行审计。
(八)加强技术外包风险检测能力,不断提升外包服务质量和效率
交通银行保险机构应完善明确的信息科技外包服务目录、服务水平契约和监测评价机制,制定信息科技外包服务的服务效率和质量监测指标,并开展相应监测。当指标异常时,应及时采取处置措施。
(九)履行技术外包风险评估和审计职能,积极推动外包管理体系持续改进
建行保险机构要做好外包全面风险评估与审计工作。风险部门应至少每年进行一次信息技术外包风险管理综合评估,充分识别和评估信息技术外包可能存在的风险,并向董事会或中层管理层提交评估报告。审计部门应当对信息技术外包活动进行定期审计,审计范围至少每两年一次,涵盖所有重要的外包活动。
(十)加强外包连续性管理和日常演练,构建稳定的外包服务生态环境
四、总结与展望
随着国际手段的发展,中美贸易竞争日趋激烈,供应链安全风险逐渐从上下游行业风险演变为国别风险。通过采用自主可控的技术或产品、减少外包依赖、建立备选供应商数据库、识别供应商产业关系,可以有效控制和降低供应链风险。
关于作者:
谷安天下财务审计负责人王志超,在信息安全、科技风险、科技审计、业务连续性、科技外包、数据整改等咨询审计服务方面拥有超过10年的经验,和金融科技。获得CISA、COBIT、CDPSE、CCSK、TOGAF、LI等证书,熟悉银行、保险、证券、大型国有企业的技术管理风险及应对措施,在技术外包、业务连续性等方面具有比较丰富的经验、数据整改、大数据、人工智能、数字化转型等方面深入研究,多次参与银监会与农行组织的信息科技风险管理研究,并获得良好奖励。
关天下咨询总监王可,多年从事IT运维、信息安全、信息科技风险审计等工作。他在信息安全、运维服务和风险咨询方面拥有超过16年的经验。获得了CISSP、PMP等证书。世界500强IT公司兼任技术讲师,还在小型央企担任IT运维主管。