为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作,中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)。
《办法》起草工作坚决贯彻落实中央精神,注重把握以下原则:一是坚持风险为本,在深入分析银行保险机构信息科技外包风险发展态势的基础上,提出针对性的监管要求;二是强化监管力度,在总结银行保险业信息科技监管实践经验的基础上,制定体系化的监管措施;三是对接国际标准,《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。
《办法》共7章46条,对银行保险机构信息科技外包风险管理提出全面要求。一是在总则中明确信息科技外包风险管理的总体要求,即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。三是对信息科技外包准入提出监管要求,包括准入前评估、尽职调查、合同等进行了规定,并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。四是明确信息科技外包监控评价要求,对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。五是规范信息科技外包风险管理,对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。六是对监管机构实施外包监督管理做出规定,包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等内容。
下一步,银保监会将加强政策宣贯培训,将信息科技外包纳入对银行保险机构的日常风险监测和现场检查,推动银行保险机构建立有效的信息科技外包风险管理体系,促进《办法》有效落地实施。