银监会要求金融机构建立风险管理体系

ZDNET至顶网CIO与应用频道 05月21日 综合报道：国内银行业银行业发展迅速，金融机构出于成本、效率、风险转移的考虑，开始将核心业务外包给第三方服务商。信息外包风险是当前银监会科技监管重点关注的风险领域之一。中国银监会信息技术监管部监管一处副处长张顺尧在第四届中国软件与信息服务外包产业年会上，对当前银行业IT外包风险控制的相关政策作了个人解读。

外包商成为银行IT风险载体

借助信息技术外包的形式，银行业大量利用外部技术实现信息技术与银行业务经营战略快速对接，并利用外部资源进行盈利和创新。外包服务商承担了大量的银行业经营机构、信息技术服务职能。

信息技术外包一方面为银行业创造价值，另一方面也带动了银行业金融机构风险的转移。外包服务提供商在一定程度上也成为银行信息技术风险的载体。

规模较大的外包服务供应商对金融行业的影响范围和程度正在日益增加，他们在银行卡、金融数据中心和银行核心系统建设运行等重要领域，集中为多家金融机构提供服务，因此一旦这些外包商出现问题，就可能会给整个银行业带来致命风险。而有些规模比较小的外包服务提供商，因为本身的风险意识不足，安全体系建设相对滞后，也容易带来一些信息安全风险。

银监会出台多项“指引” 加强引导与扶持

外包风险控制成为了银行业当前与未来信息技术风险防范的一项主要任务。因此，对于银监会相关监管政策与要求的了解，将显得十分重要。

随着外包风险形势的不断发展，银监会近年来对信息技术外包风险重视程度日益提高，要求也在逐步加强。

2006年银监会出台了银行业金融机构信息系统风险管理指引，首次提出外包风险控制要求。2009年又出台《商业银行信息技术监管风险管理指引》，进一步对外包合同管理、服务水平、数据保护提出要求。2010年，出台《银行业金融机构外包风险管理指引》，提出外包风险管理的总体原则。而今年年初则出台了银行业金融机构信息技术外包风险监管指引。

银行业外包风险监管目标进一步明确

《银行业金融机构信息技术外包风险监管指引》从三方面提出了银行业外包风险管理与监管的目标。

1、建设全面风险管理体系

在外包组织架构方面，要求建立信息技术外包的服务管理体系，明确董事会及高管层、外包风险主管部门、外包管理团体各层级的职责，强调信息技术管理责任和职责不能外包。

在外包战略方面，要求建立信息技术外包战略，包括不能外包的职能，资源和能力建设方案，供应商关系管理策略，以及外包分级管理策略。

在外包活动管理方面，要求开展外包项目风险评估，外包商禁止调查、外包合同管理、外包服务安全。

2、加强对银行业外包服务集中度监测

银行及金融机构应采取分散策略，降低机构集中度，并对具有集中度特点的外包服务提供商采取加强性的管理措施。措施包括要求其提供内控与管理能力、持续运营能力的证明，配备相对独立的资源，明确服务优先级，进行服务中断应急演练等等。

加强外包服务提供商的财务、内控、安全管理情况继续监控，及时掌握风险实践情况，防止外包服务因意外终止而导致对本机构产生重大影响。

对跨境和非中场外包方面，跨境外包需要重点防范国别风险，非中场外要求银行业金融机构在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。

3、强化系统性外包风险管理与监督

明确重点外包服务的世界标准，通过银行业金融机构对重点外包服务机构提出组织、能力、资质、内控、风险管理和审计等要求。包括组织架构和风险治理架构的要求、针对所提供外包服务要建立相应的风险治理架构和专职的风险管理团队。

建立完善的信息安全、服务质量、服务持续性等管理制度体系，拥有有效的检查、监控和考核机制。

要求服务外包商要具有组合的技术能力、人力资源和场地，服务场地要在中国境内。外包服务机构每季度需要报送外包风险监控报告，每年进行风险评估并报告，对风险采取缓释和控制措施。

制定银行业信息技术外包活动风险监测机制，定期对银行业金融机构发布银行业重点外包服务名单和风险提示，组织银行业经营机构对重点外包服务机构进行风险评估和评级，建立服务记录，监督银行业金融机构对信息技术外包提供商实施准入管理。