普华永道：把控风险变局筑底开放生态 - 《银行保险机构信息科技外包风险监管办法》研读（17页）.pdf

《普华永道：把控风险变局筑底开放生态 - 《银行保险机构信息科技外包风险监管办法》研读（17页）.pdf》由会员分享，可在线阅读，更多相关《普华永道：把控风险变局筑底开放生态 - 《银行保险机构信息科技外包风险监管办法》研读（17页）.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、2为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力，银保监会于2021年12月30日发布了银行保险机构信息科技外包风险监管办法（“银保监办发2021141号”，以下简称“141号文”）。141号文共7章46条，将作为当前金融机构信息科技外包风险管理的指挥棒，对银行保险机构、其他金融机构和服务提供商等均具有重要意义。141号文已自公布之日起正式施行，这对全面风险管理体系和日常工作提出了更高要求。初步分析了银行保险机构在响应141号文落地时可能面临的难点及应对建议，以供参考。受到行业特性和宏观经济环境的影响，金融机构信息科技外包风险的表现兼具外包常见的人员

2、风险、操作风险，也具备行业独特的集中度风险、监管风险等。金融机构业务和产品种类繁多，信息科技与系统管理任务重，对信息科技外包依赖程度较高。金融机构由于自身运营和管理需要，以及成本压力，使用外包服务较为普遍。金融机构信息科技外包监管持续趋严。金融科技新业态不断涌现，各类服务和合作类型具有较大概率被纳入信息科技外包范畴，增加了潜在的政策风险。外包人员在提供服务中，能近距离接触金融机构的大量有价值的敏感信息，如客户和交易信息，极易造成信息泄露。随着行业高度竞争和洗牌，重点服务提供商的规模不断扩张，单个服务提供商可能承接较多金融机构的服务需求。金融机构出于服务质量、风险管理压力、节省管理资源的考虑，倾

3、向选择业内排名靠前、实力较强的服务提供商，集中度进一步提高。近年来疫情爆发和国际摩擦加剧、“黑天鹅”事件时有发生，服务提供商面临较大的生存压力，经营情况和服务水平都会受到影响。外包人员流动性较大，不利于岗位知识技能传递，难以保证长期持续高效和高质量的服务水平。6 pillars ofprojectsuccess信息科技信息科技外包风险成因外包风险成因一、一、背景与概述背景与概述3服务提供商自身的内控体系成熟度、风险管理能力和风险意识水平往往低于金融机构，难以有效识别外包人员主动或被动的不当行为。相比较自身员工，金融机构对外包人员的管理难度更高，管理要求更难落实到位。外包人员的归属感、责任感较弱

4、，或只注重短期目标。金融科技创新浪潮为金融机构与服务提供商之间带来多种新的合作形式，也使外包的定义和边界范围变得模糊。自2014年以来，监管再未直接发布信息科技外包风险专项监管指引，但监管动向并未放松，而是呈现更为细化和定向的趋势；加之行业内外部环境持续快速变化，为金融机构全面风险管理的有效性带来诸多变数与冲击：4外包服务的类型逐渐从传统的人力外包、项目外包转变为技术输出、技术合作，尤其是在金融机构数字化转型、构建开放生态的过程中，这一趋势更为明显。在同期其他主题下的一系列监管指引中，外包或对外合作仍是热点，反映持续的监管导向，例如对外合作中不允许管理职责外包，并在数据安全和个人信息保护中重点

5、关注数据的“委托处理”等。金融机构对外包风险事件往往防不胜防。例如针对外包违规催收、数据公司侵权或不当获取、使用个人隐私数据的曝光和处罚，造成金融机构声誉风险事件频发。新冠疫情则在业务连续性管理、服务提供商持续经营、远程办公和服务相关网络安全等方面带来新的风险。123二、二、银行保险机构信息科技银行保险机构信息科技外包风险监管办法外包风险监管办法关注点关注点相较于2013年发布的银行业金融机构信息科技外包风险监管指引（银监发20135号，以下简称“5号文”），以及2014年针对非驻场外包发布的中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知（银监办发2014187号

6、，以下简称“187号文”），近期的141号文充分反映了8年来金融行业、科技和监管导向变化的时代背景，其内容主要变化总结如下：落实风控与管理闭环落实风控与管理闭环重申信息科技外包风险纳入全风管理，完善重要外包定义和过程管控；做好外包事中监督、持续监测服务水平和质量，终止、退出和交接、到期评估，以及优化协议、尽调、集中度风险和业务连续性管理要求。3把控趋势和明确导向把控趋势和明确导向结合监管热点，补充重要数据和个人信息保护、网络安全、消费者权益保护、信息跨境、模型算法管理等内容，与其他法律法规联动；细化和拓展了信息科技外包服务类型，扩大定义范围。1完善治理和管理职责完善治理和管理职责细化董事会、高