網上投稿
近期,銀保監會針對銀行保險機構外包風險問題的進一步強調以及金融機構信息科技外包風險管理行業標準的發布,可見有關部門關于銀行保險機構信息科技外包風險管理的監管趨勢愈加嚴格。在此背景之下,銀行保險機構應當進一步重視關于信息科技外包活動的風險管控,全面遵循法律法規的有關規定,落實信息科技外包風險管理責任。本文擬從金融合規治理視角,解析銀行保險機構應當如何實現信息科技外包風險管理。
一、近期監管規定及動態
2021年12月30日,中國銀行保險監督管理委員會(以下簡稱“銀保監會”)發布了《銀行保險機構信息科技外包風險監管辦法》(以下簡稱“監管辦法”),旨在規范銀行保險機構的信息科技外包活動,加強信息科技外包風險管控。
2022年8月3日,銀保監會辦公廳非公開發布《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知(銀保監辦法〔2022〕80號)》(以下簡稱“通知”),羅列了7類22項侵害個人信息權益的行為,其中再次突出了銀行保險機構在與第三方合作過程中出現的問題,包括但不限于與第三方合作機構合作不審慎,違反規定向第三方合作機構提供個人信息等。
2022年8月29日,中國人民銀行(以下簡稱“央行”)發布《金融網絡安全 信息科技外包評價指標數據元》(JR/T 0254—2022)(以下簡稱“標準”),該標準結合金融行業信息科技外包服務特點,從基本情況、協議履行、服務質量、安全保障等方面提出信息科技外包服務評價指標,并給出評價指標數據元定義,為金融機構針對信息科技外包服務的評價工作提供指導。
二、合規治理框架體系建設
結合相關法律法規規定以及過往的服務實踐經驗,我們認為銀行保險機構應當從管理組織、外包戰略、風控策略以及全流程管理制度去構建“1+3”合規治理框架體系從而實現信息科技外包風險管控。
圖1:關于信息科技外包的“1+3”合規治理框架體系
(一)建立信息科技外包及風險管理組織架構
管理組織是合規治理實施的保障,銀行保險機構應建立覆蓋董(理)事會、高管層、信息科技外包風險主管部門、信息科技外包執行團隊的信息科技外包及風險管理組織架構,確保信息科技外包治理架構權責清晰、運轉高效、制衡充分。關于組織機構的設置和職能要求,銀行保險機構可以參考監管辦法,如下圖所示:
圖2:組織機構的設置和職能要求
監管辦法規定的詳細職責如下表所示:
| 部門 |
職責 |
| 董(理)事會或其授權設立的專業委員會 |
(1)推動建立信息科技外包及其風險管理體系 (2)審批信息科技外包戰略 (3)審議重大外包決策 |
| 高級管理層 |
(1)制定信息科技外包戰略 (2)明確信息科技外包風險主管部門和信息科技外包執行團隊 (3)明確信息科技外包及其風險管理職責 (4)審議信息科技外包管理流程及制度 (5)監控信息科技外包及其風險管理成效 |
| 信息科技外包風險主管部門 |
(1)根據機構總體風險政策和外包戰略,制定信息科技外包風險管理策略、制度和流程 (2)統籌信息科技外包風險的識別、評估、監測、預警、報告及處置工作 (3)制定保障外包服務持續性的應急管理方案,并定期組織實施演練 (4)監督、評價外包執行團隊的管理工作,并督促外包風險管理的持續改善 (5)向董(理)事會(或其專門委員會)或高級管理層匯報信息科技外包相關風險及管理情況 |
| 信息科技外包執行團隊 |
(1)落實信息科技外包戰略 (2)執行信息科技外包管理制度與流程 (3)執行服務提供商準入、盡職調查、服務評價和退出管理工作,建立并維護服務提供商關系管理策略 (4)持續監測外包服務的水平和質量,及時處理服務提供商出現的相關違規和用戶投訴 (5)對外包過程中的關鍵管理活動進行監控及分析,定期與信息科技外包風險主管部門溝通外包活動及有關風險情況 |
表1:監管辦法規定的組織機構設置與相應職責
(二)制定信息科技外包戰略
外包戰略是合規治理運行的綱領,銀行保險機構應當基于機構的業務戰略、信息科技戰略、總體外包戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略。銀行保險機構在制定信息科技外包戰略時,應至少包含以下幾個方面:
? 明確外包原則和策略
? 明確不能外包的信息科技職能
? 擬定資源能力建設方案
(三)建立信息科技外包管理和風控策略
風控策略是合規治理實現分類分級管理的抓手,銀行保險機構應當建立信息科技外包活動分類分級管理機制,針對不同類型的外包活動建立相應的管理和風控策略。目前,監管辦法將信息科技外包服務根據服務用途分為五類,根據對機構業務運營的影響程度分為一般外包和重要外包兩個級別。銀行保險機構在建立外包管理和風控策略時,應當根據外包服務的類型以及級別進行確定,不可并為一談。此外,央行于今年8月底發布的行業標準針對金融業信息科技外包服務分類做了進一步細化,在監管辦法的分類基礎上,對五類信息科技外包服務下分了若干個二級子類,詳見下圖:
圖3:信息科技外包的分類與分級
(四)建立信息科技外包全流程風險管理制度
管理制度是合規治理落實的基礎,要實現對信息科技外包的風險管理,銀行保險機構需要加強對外包準入、外包合同、外包服務以及外包終止整個流程的風險控制。因此,銀行保險機構需建立健全關于信息科技外包的全流程風險管理制度。
1.信息科技外包準入
在今年8月初銀保監辦公廳發布的通知中,與第三方合作機構合作不審慎被列為侵犯個人信息權益的典型亂象之一。因此,銀行保險機構應注重與第三方機構的審慎合作,其首先應當加強信息科技外包準入環節的風險管控。根據監管辦法及相關法律規定,銀行保險機構在開展信息科技外包活動前,應當評估擬開展的信息科技外包活動相關風險,判斷是否屬于不能外包的職能,是否屬于重要外包等。在決定進行信息科技外包之后,銀行保險機構還應當明確服務提供商的準入標準,對備選服務提供商的經營資質、數據合規風險以及數據安全能力等進行綜合評估,審慎引進第三方信息科技服務提供商。建議銀行保險機構在科技外包準入環節的制度設計至少包含以下內容:
? 評估擬開展的信息科技外包活動相關風險
? 明確服務提供商的準入標準
? 針對備選服務提供商開展盡職調查
2.信息科技外包合同約束
合同作為明確雙方權利義務的重要文件,銀行保險機構在與信息科技外包機構簽訂的合同中,應盡可能清楚地載明對服務提供商在合作中需遵循的合規、內控及風險管理要求,服務質量考核評價,安全保密等內容。根據監管辦法及相關法律規定,建議銀行保險機構在信息科技外包合同或協議中應當至少明確以下內容:
? 服務范圍、服務內容、服務要求、工作時限及安排、責任分配、交付物要求、后續合作中的相關限定條件和服務質量考核評價約定
? 合規、內控及風險管理要求
? 服務持續性要求
? 對服務提供商進行風險評估、監測、檢查和審計的權利
? 同意接受銀保監會的監督檢查
? 合同變更或終止的觸發條件,合同變更或終止的過渡安排
? 知識產權條款
? 資源保障條款
? 安全保密和消費者權益保護約定
? 爭端解決機制、違約及賠償條款
? 報告條款
? 外包服務的轉包與分包條款
若在合作過程中涉及向服務提供商進行個人信息傳輸的,還需要根據《個人信息保護法》的相關規定,約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等。
3.信息科技外包服務過程中的安全管理
服務提供商在提供信息科技相關服務過程中,銀行保險機構應加強對本階段的安全管理,對外包服務過程進行持續監控,及時發現和糾正服務過程中存在的各類異常情況。此外,銀行保險機構還需制定和落實網絡和信息安全管理措施,盡可能降低服務過程中的網絡和信息安全風險。建議銀行保險機構在科技外包服務過程中的安全管理制度設計至少包含以下內容:
? 事先建立風險管理制度和流程
? 制定和落實網絡和信息安全管理措施
? 針對信息科技外包活動進行持續監控
? 建立明確的信息科技外包服務目錄、服務水平協議和服務水平監控評價機制
? 建立服務效能和質量監控指標
? 制定應急處理預案
? 定期開展信息科技外包風險管理評估
? 定期開展信息科技外包及其風險管理的審計
4.外包服務的終止
根據監管辦法的相關規定,銀行保險機構應在信息科技外包服務到期前,就是否繼續外包進行評估決策。央行近期發布的標準構建了針對金融業信息科技外包的評價指標數據元體系,主要由企業基本情況、協議履行、服務質量和安全保障四個一級維度構成,一級維度下又劃分了若干二級維度,該體系可供銀行保險機構等金融機構在對服務提供商進行外包評價時參考。如經過評估,銀行保險機構決定終止外包,此時應與服務提供商進行業務交接。需要注意的是,相關的保密義務并不隨著外包服務的終止而終止。建議銀行保險機構在科技外包終止環節的制度設計至少包含以下內容:
? 事先制定外包終止的退出策略和交接計劃
? 設置針對服務提供商的評價程序
? 明確外包終止后保密義務的履行
? 相關數據的刪除與銷毀
滬公網安備 31010402007129號
