银保监会近日印发《银行保险机构信息科技外包风险监管办法》(以下简称《办法》),自公布之日起施行。
《办法》旨在进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作。《办法》起草工作注重把握坚持风险为本、强化监管力度、对接国际标准等原则。
《办法》共7章46条,对银行保险机构信息科技外包风险管理提出全面要求。
一是在总则中明确信息科技外包风险管理的总体要求,即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。
三是对信息科技外包准入提出监管要求,包括准入前评估、尽职调查、合同等进行了规定,并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。
四是明确信息科技外包监控评价要求,对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。
五是规范信息科技外包风险管理,对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。
六是对监管机构实施外包监督管理做出规定,包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等内容。
《办法》规定,银行保险机构在实施信息科技外包时应当坚持以下原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;保持外包风险、成本和效益的平衡;保障网络和信息安全,加强个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。
《办法》要求,银行保险机构应当明确不能外包的信息科技职能。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施。对于关联外包和同业外包,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。
谈及《办法》是否会提高服务提供商的准入门槛,银保监会有关部门负责人表示,《办法》所约束的对象是银保监会监管的银行保险机构,对所有服务提供商一视同仁,没有新增任何其他准入门槛,银行保险机构自主决定服务提供商的选择标准和准入方式。
该负责人提到,《办法》自发布之日起实施,《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)、《中国银监会办公厅关于加强银行业金融机构非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号)、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发〔2014〕272号)同时废止。