具體來說，金融機(jī)構(gòu)由于自身運營管理需要，以及成本壓力等原因，普遍采用外包服務(wù)，但外包人員可以近距離接觸到金融機(jī)構(gòu)大量有價值的敏感信息，如客戶、交易信息等，在提供服務(wù)方面。，很容易導(dǎo)致信息泄露。服務(wù)提供商自身的內(nèi)控體系成熟度、風(fēng)險管理能力和風(fēng)險意識水平往往低于金融機(jī)構(gòu)，難以有效識別外包商的主動或被動不當(dāng)行為。而且，相比自身員工it外包，金融機(jī)構(gòu)對外包人員的管理難度更大，要求落實難度更大。

在此背景下，金融機(jī)構(gòu)外包風(fēng)險事件往往難以防范。數(shù)據(jù)公司非法收集外包、侵權(quán)或不當(dāng)獲取、使用個人隱私數(shù)據(jù)的曝光和處罰，給部分金融機(jī)構(gòu)的聲譽造成了損害。COVID-19 大流行在業(yè)務(wù)連續(xù)性管理、服務(wù)提供商持續(xù)運營、遠(yuǎn)程辦公和與服務(wù)相關(guān)的網(wǎng)絡(luò)安全方面產(chǎn)生了新的風(fēng)險。

進(jìn)入綜合監(jiān)管時代

作為信息科技風(fēng)險監(jiān)管的重要領(lǐng)域，信息科技外包需要進(jìn)一步強(qiáng)化監(jiān)管約束，在原有基礎(chǔ)上加強(qiáng)監(jiān)管。這種監(jiān)管方式也應(yīng)運而生。

在監(jiān)管辦法中，銀保監(jiān)會總則要求銀行保險機(jī)構(gòu)建立與自身信息技術(shù)戰(zhàn)略目標(biāo)相適應(yīng)的信息技術(shù)外包管理體系，將信息技術(shù)外包風(fēng)險納入綜合風(fēng)險管理體系，有效控制外包帶來的外包風(fēng)險。風(fēng)險，不得將信息技術(shù)管理責(zé)任和網(wǎng)絡(luò)安全主體責(zé)任外包。

普華永道認(rèn)為，與以往金融機(jī)構(gòu)IT外包相關(guān)監(jiān)管文件相比，本次監(jiān)管方式充分體現(xiàn)了近年來金融行業(yè)、技術(shù)和監(jiān)管方向變化的背景，其主要變化可概括為三大方向：

一是在信息技術(shù)外包過程中，以網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護(hù)為核心定位。本監(jiān)管辦法對信息技術(shù)外包的定義中，“銀行保險機(jī)構(gòu)與其他第三方合作中涉及處理銀行保險機(jī)構(gòu)重要數(shù)據(jù)和客戶個人信息的信息技術(shù)活動”有使銀行和保險機(jī)構(gòu)在過去多次。與外部機(jī)構(gòu)的合作或服務(wù)采購it外包，可能會被新納入IT外包活動的范疇，大大擴(kuò)展了管理范圍。

二是完善了外包治理和風(fēng)險管理各方責(zé)任。監(jiān)管辦法要求建立覆蓋董事會（理事會）、高級管理層、IT外包風(fēng)險部、IT外包執(zhí)行團(tuán)隊的信息技術(shù)外包與風(fēng)險管理組織架構(gòu)。落實信息技術(shù)外包風(fēng)險管理職責(zé)和目標(biāo)。

另一個非常顯著的變化是分類和分級管理的使用。根據(jù)監(jiān)管辦法，信息技術(shù)外包原則上分為咨詢與規(guī)劃、開發(fā)與測試、運維、安全服務(wù)和業(yè)務(wù)支持。普華永道表示，與以往相關(guān)文件的分類相比，監(jiān)管措施的劃分更加全面地涵蓋了行業(yè)內(nèi)現(xiàn)有的信息技術(shù)服務(wù)活動形式。

在分類管理的同時，監(jiān)管辦法將對信息技術(shù)外包活動的整體外包、信息技術(shù)工作的整體外包、安全運營的整體外包、信息技術(shù)外包活動的整體外包和相關(guān)服務(wù)提供者等信息技術(shù)外包活動的重要和一般外包進(jìn)行分級管理。銀行和保險機(jī)構(gòu)的集中存儲或處理。數(shù)據(jù)外包、客戶敏感個人信息外包等9種情況被列為重大外包。對于重要外包，監(jiān)管辦法要求銀保機(jī)構(gòu)對服務(wù)提供者進(jìn)行盡職調(diào)查、對非現(xiàn)場外包服務(wù)進(jìn)行現(xiàn)場檢查等，并應(yīng)考慮終止重要外包的可能性，制定退出策略。

根據(jù)普華永道的分析，在開發(fā)和測試類別中，軟件即服務(wù)（即“SaaS”）過去可能不會外包，因為該系統(tǒng)沒有在銀行保險機(jī)構(gòu)實施。作為一種新型安全服務(wù)，需要注意的是，安全運營整體外包是一個重要的外包范疇。在業(yè)務(wù)支持類中，數(shù)據(jù)利用服務(wù)可能會導(dǎo)致一些從外部機(jī)構(gòu)向銀行、保險機(jī)構(gòu)提供數(shù)據(jù)輸入的服務(wù)，屬于外包管理的范疇。

業(yè)內(nèi)人士認(rèn)為，監(jiān)管措施將在未來將銀行保險機(jī)構(gòu)外包業(yè)務(wù)向合規(guī)風(fēng)控水平更高的領(lǐng)先服務(wù)商傾斜。這種現(xiàn)象也會逆轉(zhuǎn)；從銀行和保險機(jī)構(gòu)的角度來看，在落實監(jiān)管措施要求的過程中，也將面臨諸多挑戰(zhàn)。

例如，普華永道表示，由于外包的服務(wù)延伸大大擴(kuò)展，合作模式的轉(zhuǎn)變是機(jī)構(gòu)和服務(wù)商的新課題；雖然服務(wù)提供商面臨更高的監(jiān)管要求，但需要外包風(fēng)險管理人員。部門與外包執(zhí)行團(tuán)隊密切合作，但銀保機(jī)構(gòu)對其沒有決策權(quán)，但承擔(dān)合作風(fēng)險。因此，他們需要按照監(jiān)管要求，盡快采取對服務(wù)提供者進(jìn)行對標(biāo)、檢查等措施。此外，保險機(jī)構(gòu)，