以科技為核心的競爭導向,帶來了金融機構(gòu)信息科技投入的逐年增加。隨著金融機構(gòu)對科技支持能力要求的不斷提高,信息科技領域的外包業(yè)務發(fā)展迅猛。
作為自身科技力量的補充,信息科技外包在給金融機構(gòu)帶來專業(yè)化能力、推動科技創(chuàng)新、提高科技效率、實現(xiàn)科技對業(yè)務支持的同時,也引發(fā)了一系列的外包風險。信息科技外包風險管理,亦成為金融行業(yè)監(jiān)管的工作重點之一。
日前,《中國經(jīng)營報(博客,微博)》記者獲得由銀保監(jiān)會下發(fā)的《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法(征求意見稿)》(以下簡稱“《監(jiān)管辦法》”)文件,首次將保險行業(yè)的信息科技風險納入監(jiān)管范圍,同時對信息科技外包的流程、業(yè)務范圍、風險治理等做出明確規(guī)定。
強調(diào)金融機構(gòu)自主研發(fā)能力
近年來,金融機構(gòu)信息科技外包涉及的范圍逐步擴大,涵蓋信息科技相關的規(guī)劃、需求、開發(fā)、基礎設施建設、運維等生命周期的各個階段。
以銀行業(yè)為例,IDC近期發(fā)布的《中國銀行業(yè)IT解決方案市場份額2019》報告顯示,2019年中國銀行業(yè)IT解決方案市場總規(guī)模約為425.8億元,與2018年的343.7億元相比,同比增長23.9%。IDC預測,到2024年中國銀行業(yè)IT解決方案市場規(guī)模將達到1273.5億元。
不過,因信息科技外包引發(fā)的風險事件,亦引起監(jiān)管部門的重視。
早在2013年,原銀監(jiān)會下發(fā)《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》(銀監(jiān)發(fā)〔2013〕5號)對銀行業(yè)金融機構(gòu)的信息科技外包活動作出指引。
記者注意到,此次《監(jiān)管辦法》提到,銀行保險機構(gòu)應當明確不能外包的信息科技職能,涉及信息科技戰(zhàn)略管理、信息科技風險管理、信息科技內(nèi)部審計及其他有關信息科技核心競爭力的職能不得外包。
在某城商行金融科技部人士看來,《監(jiān)管辦法》的影響會延伸至具體業(yè)務。在互聯(lián)網(wǎng)金融浪潮下,傳統(tǒng)金融機構(gòu)與第三方平臺的合作日益增多,金融機構(gòu)的客戶信息被第三方合作廠商泄露的情況也日益冒頭,《監(jiān)管辦法》有可能倒逼金融機構(gòu)對三方平臺的合作收緊。
同時,《監(jiān)管辦法》進一步將保險集團(控股)公司、保險公司、保險資產(chǎn)管理公司的信息科技外包活動納入監(jiān)管范圍。
某金融科技公司金融事業(yè)部人士向記者分析:“一直以來,保險的信息科技不如銀行管理得精細,對核心系統(tǒng)的自主可控能力相對較差。很多保險公司的核心交易系統(tǒng)主要由國內(nèi)幾家廠商提供服務,而保險公司的IT人員以管理為主,對系統(tǒng)的介入不深!
零壹研究院院長于百程指出,在數(shù)字化的背景下,科技能力成為金融機構(gòu)發(fā)展的最重要能力之一。由此,金融機構(gòu)與外部信息科技機構(gòu)的合作日益加深。在信息科技外包合作中,也存在各種風險,主要包括以下幾種:一是管理體系不嚴,如把風險管理、內(nèi)部審計等金融機構(gòu)的核心競爭力外包,從而導致風險體系失效;二是因為對合作方的資質(zhì)和能力審核不嚴,導致在合作中出現(xiàn)合規(guī)、業(yè)務持續(xù)性和輿情等風險;三是過度依賴少部分合作方,金融機構(gòu)自身基本科技能力沒建立,導致的業(yè)務集中度風險。
針對這一內(nèi)容,《監(jiān)管辦法》就“集中度風險管理”也做了明確規(guī)定,即銀行保險機構(gòu)應識別對本機構(gòu)具有集中度風險的外包服務及其提供商,積極采用分散信息科技外包活動、提高自身研發(fā)運維能力、儲備潛在替代服務提供商等形式,減少對個別外包服務提供商的依賴,降低集中度風險。
中國計算機用戶協(xié)會信息科技審計分會在相關報告(以下簡稱“《報告》”)中指出,外部政策和市場的變化,以及新技術(shù)的應用,使得信息科技生態(tài)環(huán)境出現(xiàn)諸多變化。這些變化不斷傳導至信息科技工作,令信息科技面臨以下變化,諸如業(yè)務需求的差異化和創(chuàng)新需求的不斷涌現(xiàn);客觀上外包商依賴日益增加,外包風險日益增大;更多系統(tǒng)接入互聯(lián)網(wǎng),面臨更多入侵風險等。
實際上,很多金融外包業(yè)務都以信息技術(shù)為核心,業(yè)務模式基于龐大、復雜且相互關聯(lián)的信息系統(tǒng),通過互聯(lián)網(wǎng)跨區(qū)域、跨領域,甚至跨國界,客觀上增加了風險識別、預警和應對等方面的難度。相對虛擬化和網(wǎng)絡化的金融科技體系,對于管理部門的技術(shù)資源和監(jiān)管能力等方面也提出了更高的要求。
銀保監(jiān)會主席郭樹清在公開論壇上提到:“我國金融科技應用在許多方面已處于世界前列。我們將繼續(xù)支持金融科技的發(fā)展,優(yōu)化客戶服務體驗,提升服務效率。密切關注和評估科技革命對金融業(yè)的影響趨勢,并做好前瞻性部署安排。在監(jiān)管方面也要加大科技運用,提升監(jiān)管效能。當然,金融科技發(fā)展也帶來了一些新問題,必須高度重視網(wǎng)絡安全、數(shù)據(jù)隱私、寡頭壟斷等風險挑戰(zhàn),確保市場公平和金融穩(wěn)定!
重塑金融機構(gòu)科技生態(tài)
在前述受訪金融科技公司金融事業(yè)部人士看來,銀保監(jiān)會加大信息科技外包風險的監(jiān)管力度,將逐步影響至金融機構(gòu)與供應商的合作模式。
“金融科技的服務方式包括提供軟件、提供人力外包、提供聯(lián)合開發(fā)等,金融機構(gòu)的掌握度比較大。而在產(chǎn)品輸出模式中,金融機構(gòu)對產(chǎn)品的掌握度存在天然的不足,因為這會涉及到產(chǎn)品內(nèi)部的機制。比如,對于以產(chǎn)品輸出方式提供服務的金融科技公司,考慮到金融機構(gòu)要逐步加強對產(chǎn)品的接受度,可能會要求供應商提供全部源代碼,由自己進行管理!痹撊耸拷忉尩。
于百程建議,在信息科技時代,金融機構(gòu)在選擇科技服務商合作時,要有完整的科技戰(zhàn)略以及合作方準入、風險監(jiān)測機制等。既要發(fā)揮外部合作方的作用,又要掌握基礎的科技服務能力,要掌握好效益、成本和風險之間的平衡。
記者在采訪中了解到,已有金融機構(gòu)在篩選機制和合作流程上作了調(diào)整!按蠹s在半年前,我行收到類似文件要求加強信息科技外包風險管理,行里也做了應對和整改,主要是加強準入外包商管理,加強事中監(jiān)控和檢查,建立淘汰外包商機制!蹦硣行腥耸扛嬖V記者。
目前,金融機構(gòu)的信息科技外包的風險點主要集中在軟件安全與數(shù)據(jù)泄露方面!爱斀鹑跈C構(gòu)使用了外包公司的金融科技,包括大數(shù)據(jù)應用、風險控制等,必然涉及到客戶信息,在合作過程中避免不了數(shù)據(jù)被泄露的風險!蹦郴鸸綢T負責人坦言。
除了在數(shù)據(jù)方面,金融機構(gòu)將核心軟件外包給供應商,軟件系統(tǒng)的安全性也至關重要。一位金融機構(gòu)IT人士坦言,“很多外包公司是一對多,如果外包公司的技術(shù)有Bug(指‘漏洞’),會影響到行業(yè)內(nèi)多個公司,這個后果很嚴重。”
在上述受訪國有行人士看來,為規(guī)避信息科技外包風險,金融機構(gòu)與合作商簽訂嚴格的保密協(xié)議,并加大抽查、檢查力度。而要實現(xiàn)金融科技應用自主化,關鍵在于金融機構(gòu)加大IT人員的招聘力度,培養(yǎng)自己的人才隊伍,通過成立全資金融科技子公司等。
據(jù)不完全統(tǒng)計,目前已有12家銀行發(fā)起設立金融科技子公司,保險公司方面亦有布局。
但不同于大型金融機構(gòu),中小金融機構(gòu)在科技人才隊伍、科技能力建設等方面都存在短板,如何加強外部合作、融入金融生態(tài)成為其轉(zhuǎn)型致勝的關鍵。
“對于小型金融機構(gòu)來說,因為本身實力、技術(shù)和人員能力有限,掌握這種平衡就更加重要。小型金融機構(gòu)需要在戰(zhàn)略上更加有針對性,立足自身的業(yè)務特點來發(fā)展信息科技業(yè)務,先期以咨詢+業(yè)務支持類合作為主,選擇最為重要的特色業(yè)務層面開展合作,一方面助力核心業(yè)務提升,另一方面提升自身科技理解和能力。”于百程補充道。
在此背景下,共建、共享外包服務平臺的重要性則凸顯出來。上述《報告》建議,金融信息科技共享服務平臺可采用共享經(jīng)濟模式,一端為具備金融信息科技服務交付能力的企業(yè)、研究機構(gòu)及個體,另一端為實施信息科技外包戰(zhàn)略的中小金融機構(gòu)。平臺以優(yōu)勢互補和價值共享為基本原則,按照一定的機制和規(guī)則進行對接匹配,提供各類服務,打造全新的適應于金融科技創(chuàng)新引領業(yè)務發(fā)展,形成以市場力量促進信息科技外包風險防控的金融信息科技外包服務生態(tài)圈。
最新評論