以科技为核心的竞争导向,带来了金融机构信息科技投入的逐年增加。随着金融机构对科技支持能力要求的不断提高,信息科技领域的外包业务发展迅猛。
作为自身科技力量的补充,信息科技外包在给金融机构带来专业化能力、推动科技创新、提高科技效率、实现科技对业务支持的同时,也引发了一系列的外包风险。信息科技外包风险管理,亦成为金融行业监管的工作重点之一。
日前,《中国经营报(博客,微博)》记者获得由银保监会下发的《银行保险机构信息科技外包风险监管办法(征求意见稿)》(以下简称“《监管办法》”)文件,首次将保险行业的信息科技风险纳入监管范围,同时对信息科技外包的流程、业务范围、风险治理等做出明确规定。
强调金融机构自主研发能力
近年来,金融机构信息科技外包涉及的范围逐步扩大,涵盖信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。
以银行业为例,IDC近期发布的《中国银行业IT解决方案市场份额2019》报告显示,2019年中国银行业IT解决方案市场总规模约为425.8亿元,与2018年的343.7亿元相比,同比增长23.9%。IDC预测,到2024年中国银行业IT解决方案市场规模将达到1273.5亿元。
不过,因信息科技外包引发的风险事件,亦引起监管部门的重视。
早在2013年,原银监会下发《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)对银行业金融机构的信息科技外包活动作出指引。
记者注意到,此次《监管办法》提到,银行保险机构应当明确不能外包的信息科技职能,涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。
在某城商行金融科技部人士看来,《监管办法》的影响会延伸至具体业务。在互联网金融浪潮下,传统金融机构与第三方平台的合作日益增多,金融机构的客户信息被第三方合作厂商泄露的情况也日益冒头,《监管办法》有可能倒逼金融机构对三方平台的合作收紧。
同时,《监管办法》进一步将保险集团(控股)公司、保险公司、保险资产管理公司的信息科技外包活动纳入监管范围。
某金融科技公司金融事业部人士向记者分析:“一直以来,保险的信息科技不如银行管理得精细,对核心系统的自主可控能力相对较差。很多保险公司的核心交易系统主要由国内几家厂商提供服务,而保险公司的IT人员以管理为主,对系统的介入不深。”
零壹研究院院长于百程指出,在数字化的背景下,科技能力成为金融机构发展的最重要能力之一。由此,金融机构与外部信息科技机构的合作日益加深。在信息科技外包合作中,也存在各种风险,主要包括以下几种:一是管理体系不严,如把风险管理、内部审计等金融机构的核心竞争力外包,从而导致风险体系失效;二是因为对合作方的资质和能力审核不严,导致在合作中出现合规、业务持续性和舆情等风险;三是过度依赖少部分合作方,金融机构自身基本科技能力没建立,导致的业务集中度风险。
针对这一内容,《监管办法》就“集中度风险管理”也做了明确规定,即银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散信息科技外包活动、提高自身研发运维能力、储备潜在替代服务提供商等形式,减少对个别外包服务提供商的依赖,降低集中度风险。
中国计算机用户协会信息科技审计分会在相关报告(以下简称“《报告》”)中指出,外部政策和市场的变化,以及新技术的应用,使得信息科技生态环境出现诸多变化。这些变化不断传导至信息科技工作,令信息科技面临以下变化,诸如业务需求的差异化和创新需求的不断涌现;客观上外包商依赖日益增加,外包风险日益增大;更多系统接入互联网,面临更多入侵风险等。
实际上,很多金融外包业务都以信息技术为核心,业务模式基于庞大、复杂且相互关联的信息系统,通过互联网跨区域、跨领域,甚至跨国界,客观上增加了风险识别、预警和应对等方面的难度。相对虚拟化和网络化的金融科技体系,对于管理部门的技术资源和监管能力等方面也提出了更高的要求。
银保监会主席郭树清在公开论坛上提到:“我国金融科技应用在许多方面已处于世界前列。我们将继续支持金融科技的发展,优化客户服务体验,提升服务效率。密切关注和评估科技革命对金融业的影响趋势,并做好前瞻性部署安排。在监管方面也要加大科技运用,提升监管效能。当然,金融科技发展也带来了一些新问题,必须高度重视网络安全、数据隐私、寡头垄断等风险挑战,确保市场公平和金融稳定。”
重塑金融机构科技生态
在前述受访金融科技公司金融事业部人士看来,银保监会加大信息科技外包风险的监管力度,将逐步影响至金融机构与供应商的合作模式。
“金融科技的服务方式包括提供软件、提供人力外包、提供联合开发等,金融机构的掌握度比较大。而在产品输出模式中,金融机构对产品的掌握度存在天然的不足,因为这会涉及到产品内部的机制。比如,对于以产品输出方式提供服务的金融科技公司,考虑到金融机构要逐步加强对产品的接受度,可能会要求供应商提供全部源代码,由自己进行管理。”该人士解释道。
于百程建议,在信息科技时代,金融机构在选择科技服务商合作时,要有完整的科技战略以及合作方准入、风险监测机制等。既要发挥外部合作方的作用,又要掌握基础的科技服务能力,要掌握好效益、成本和风险之间的平衡。
记者在采访中了解到,已有金融机构在筛选机制和合作流程上作了调整。“大约在半年前,我行收到类似文件要求加强信息科技外包风险管理,行里也做了应对和整改,主要是加强准入外包商管理,加强事中监控和检查,建立淘汰外包商机制。”某国有行人士告诉记者。
目前,金融机构的信息科技外包的风险点主要集中在软件安全与数据泄露方面。“当金融机构使用了外包公司的金融科技,包括大数据应用、风险控制等,必然涉及到客户信息,在合作过程中避免不了数据被泄露的风险。”某基金公司IT负责人坦言。
除了在数据方面,金融机构将核心软件外包给供应商,软件系统的安全性也至关重要。一位金融机构IT人士坦言,“很多外包公司是一对多,如果外包公司的技术有Bug(指‘漏洞’),会影响到行业内多个公司,这个后果很严重。”
在上述受访国有行人士看来,为规避信息科技外包风险,金融机构与合作商签订严格的保密协议,并加大抽查、检查力度。而要实现金融科技应用自主化,关键在于金融机构加大IT人员的招聘力度,培养自己的人才队伍,通过成立全资金融科技子公司等。
据不完全统计,目前已有12家银行发起设立金融科技子公司,保险公司方面亦有布局。
但不同于大型金融机构,中小金融机构在科技人才队伍、科技能力建设等方面都存在短板,如何加强外部合作、融入金融生态成为其转型致胜的关键。
“对于小型金融机构来说,因为本身实力、技术和人员能力有限,掌握这种平衡就更加重要。小型金融机构需要在战略上更加有针对性,立足自身的业务特点来发展信息科技业务,先期以咨询+业务支持类合作为主,选择最为重要的特色业务层面开展合作,一方面助力核心业务提升,另一方面提升自身科技理解和能力。”于百程补充道。
在此背景下,共建、共享外包服务平台的重要性则凸显出来。上述《报告》建议,金融信息科技共享服务平台可采用共享经济模式,一端为具备金融信息科技服务交付能力的企业、研究机构及个体,另一端为实施信息科技外包战略的中小金融机构。平台以优势互补和价值共享为基本原则,按照一定的机制和规则进行对接匹配,提供各类服务,打造全新的适应于金融科技创新引领业务发展,形成以市场力量促进信息科技外包风险防控的金融信息科技外包服务生态圈。
最新评论