http://www.tobosoft.com.cn/opencms/system/workplace/editors/editor_main.jsp?resourcelist=&resource=%2Fsystem%2Fmodules%2Fcn.com.tobosoft%2Ftemplates%2Fmain.jsp# 拓保软件金融保险领域综合信息服务提供商

拓保新闻

张顺尧:行业IT外包风险控制政策解读 发布时间:Fri May 10 13:43:00 CST 2013

2013年5月9日,“ChinaSourcing第四届中国软件与信息服务外包产业年会”在泉城济南召开。本次大会由工业和信息化部软件服务业司指导,山东省经济和信息化委员会支持,中国软件与信息服务外包产业联盟、济南省经济和信息化委员会、济南市高新区管委会主办,工业和信息化部软件与集成电路促进中心(CSIP)、齐鲁软件园承办。工业和信息化部软件服务业司副司长郭建兵、中国科学院院士何积丰、中国软件与信息服务外包产业联盟理事长陈淑宁、工业和信息化部软件与集成电路促进中心副主任高松涛、山东省经济和信息化委员会副主任廉凯、济南市委常副市长苏树伟出席了本届年会。
  本届大会以“信息技术服务领航产业大格局”为主题,总结了2012年中国软件与信息技术服务业发展成果,发布了《2013中国软件与信息服务外包产业报告》以及软件与信息技术服务领域的最新研究成果。本届年会以价值驱动为导向,聚焦IT外包产业链发展,分析新一代信息技术在各行业中的应用;深度聚焦产业链整合与提升,探讨如何把管理企业变为管理企业的供应链条;同时,与金融、制造业等行业知名企业CIO共同交流国内外最新技术、解决方案和研究成果,优化产业布局、提升核心竞争力,帮助企业全方位认知国内最顶尖的技术及商业模式的潮流与思想。
  银监会信息科技风险监管部科技风险监管一处副处长张顺尧在演讲中表示,信息科技外包范围日益扩大、规模快速增长,成为银行信息科技工作的重要组成部分,外包服务商事实上承担了大量的银行业经营机构、信息科技服务职能。信息科技外包一方面为银行业创造价值,另一方面也带动了银行业金融机构风险的转移。外包服务提供商在一定程度上也成为银行信息科技风险的门户或者载体。部分规模较大的外包服务提供商对金融行业的影响范围和程度日益明显,银行卡、数据中心和核心系统建设运行等重要领域集中为多家银行业金融机构提供服务,如果一旦出现风险或者问题,银行业将面临着系统性的风险。而有些规模比较小的外包服务提供商,因为本身的风险意识不足,安全体系建设相对滞后,也容易带来信息安全风险。
  以下是张顺尧演讲节选:
  银行业信息外包风险是当前银监会科技监管重点关注的风险领域之一。我从三点谈一下个人的体会和见解。第一,外包发展的形势,当前我国银行业快速发展,市场竞争加剧,银行业金融机构出于成本、效率、风险转移的考虑,纷纷将最核心业务外包。借助信息科技外包的形式,银行业大量利用外部技术推动信息科技与银行业务经营战略快速对接,利用外部资源进行盈利和创新成为银行经济发展互联驱动的新趋势。
  信息科技外包范围日益扩大、规模快速增长,成为银行信息科技工作的重要组成部分,外包服务商事实上承担了大量的银行业经营机构、信息科技服务职能。信息科技外包一方面为银行业创造价值,另一方面也带动了银行业金融机构风险的转移。外包服务提供商在一定程度上也成为银行信息科技风险的门户或者载体。部分规模较大的外包服务提供商对金融行业的影响范围和程度日益明显,他们在银行卡、数据中心和核心系统建设运行等重要领域集中为多家银行业金融机构提供服务,如果一旦出现风险或者问题,银行业将面临着系统性的风险。而有些规模比较小的外包服务提供商,因为本身的风险意识不足,安全体系建设相对滞后,也容易带来信息安全风险。
  外包风险成为银行业当前和今后一个时期信息科技风险防范的一项主要任务。
  下面我说一下监管政策。随着外包风险形势的不断发展,银监会近年来对信息科技外包风险重视程度日益提高,要求也在逐步加强。2006年出台了银行业金融机构信息系统风险管理指引,首次提出外包风险控制要求。2009年又出台《商业银行信息科技监管风险管理指引》,进一步对外包合同管理、服务水平、数据保护提出要求。2010年,出台《银行业金融机构外包风险管理指引》,提出外包风险管理的总体原则。2013年初(2月份)出台了银行业金融机构信息科技外包风险监管指引,这部《指引》是在外部环境日趋复杂、新的风险不断出台的情况下出台的从加强银行业金融机构自身内部控制角度明确了在建立信息科技、外包战略和复线管理体系的要求,指导银行机构建立外包风险评估、供应商调查、合同和外包过程监控,并着重加强对重要外包服务的管理,在此基础上对中间外包服务领域的持续风险监管机制。对集中存入银行数据和集中运行、银行信息系统的重点外包服务开展常态化的风险检测,现场延伸检查等活动,定期向银行业发展高风险外包服务机构名单、预警风险,问题较大的可要求银行暂缓终止外包服务,以防范具有高集中度、涉及跨境以及重要集成外包服务可能引发的区域性、系统性风险。
  《指引》从三个层次提出银行业外包风险管理与监管的目标。第一,引导银行业金融机构加强外包风险管理,纳入全面风险管理体系,明确银行是外包风险管理的第一责任人。在外包组织架构方面,要求建立信息科技外包的服务管理体系,明确董事会及高管层、外包风险主管部门、外包管理团体各层级的职责,强调信息科技管理责任和职责不能外包。在外包战略方面,要求建立信息科技外包战略,包括不能外包的职能,资源和能力建设方案,供应商关系管理策略,以及外包分级管理策略。在外包风险管理方面要求建立外包风险管理体系,提出风险评估和审计要求。在外包活动管理方面,要求开展外包项目风险评估,外包商禁止调查、外包合同管理、外包服务安全。服务的监控与评价,服务的终止全方面管理,提出了管理性与技术性的要求,因为要求比较多,我就不展开说了。
  二是加强对银行业外包服务集中度的监测,防范因高机构集中度外包服务导致的行业性、区域性信息科技风险。在机构集中度风险管理方面,要求银行业金融机构采取分散策略,降低机构集中度,并对具有集中度特点的外包服务提供商采取加强性的管理措施。包括,要求其提供内控与管理能力、持续运营能力的证明,配备相对独立的资源,明确服务优先级,进行服务中断应急演练。加强外包服务提供商的财务、内控、安全管理情况继续监控,及时掌握风险实践情况,防范外包服务意外终止和服务质量下降,对本机构产生大面积的影响。
  对具有集中度特点的外包服务提供商增强监督,必要时需要时进行现场监督。对跨境和非中场外包方面,跨境外包要重点防范国别风险,非中场外要求银行业金融机构在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理,建立非中场外包服务内控和风险管理的最低标准,每年至少一次对服务提供商进行实地检查。
  三是加强系统性外包风险的管理和监督。从管理的角度明确重点外包服务的世界标准,通过银行业金融机构对重点外包服务机构提出组织、能力、资质、内控、风险管理和审计等要求。包括组织架构和风险治理架构的要求、针对所提供外包服务要建立相应的风险治理架构和专职的风险管理团队。服务管理体系要求,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制。服务能力要求,要具有组合的技术能力、人力资源和场地,服务场地要在中国境内。对风险管理和审计要求,要求外包服务机构每季度报送外包风险监控报告,每年进行风险评估并报告,对风险采取缓释和控制措施。从监管的角度,明确了七类重要外包服务和五种重大外包风险事件的报送要求,实行银行业信息科技外包活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务名单和风险提示,组织银行业经营机构对重点外包服务机构进行风险评估和评级,建立服务记录。针对六种情形发布外包服务提供商风险预警,监督银行业金融机构对信息科技外包提供商实施准入管理。

 

    摘自:比特网