具體來(lái)說(shuō)，金融機(jī)構(gòu)由于自身運(yùn)營(yíng)管理需要，以及成本壓力等原因，普遍采用外包服務(wù)，但外包人員可以近距離接觸到金融機(jī)構(gòu)大量有價(jià)值的敏感信息，如客戶、交易信息等，在提供服務(wù)方面。，很容易導(dǎo)致信息泄露。服務(wù)提供商自身的內(nèi)控體系成熟度、風(fēng)險(xiǎn)管理能力和風(fēng)險(xiǎn)意識(shí)水平往往低于金融機(jī)構(gòu)，難以有效識(shí)別外包商的主動(dòng)或被動(dòng)不當(dāng)行為。而且，相比自身員工it外包，金融機(jī)構(gòu)對(duì)外包人員的管理難度更大，要求落實(shí)難度更大。

在此背景下，金融機(jī)構(gòu)外包風(fēng)險(xiǎn)事件往往難以防范。數(shù)據(jù)公司非法收集外包、侵權(quán)或不當(dāng)獲取、使用個(gè)人隱私數(shù)據(jù)的曝光和處罰，給部分金融機(jī)構(gòu)的聲譽(yù)造成了損害。COVID-19 大流行在業(yè)務(wù)連續(xù)性管理、服務(wù)提供商持續(xù)運(yùn)營(yíng)、遠(yuǎn)程辦公和與服務(wù)相關(guān)的網(wǎng)絡(luò)安全方面產(chǎn)生了新的風(fēng)險(xiǎn)。

進(jìn)入綜合監(jiān)管時(shí)代

作為信息科技風(fēng)險(xiǎn)監(jiān)管的重要領(lǐng)域，信息科技外包需要進(jìn)一步強(qiáng)化監(jiān)管約束，在原有基礎(chǔ)上加強(qiáng)監(jiān)管。這種監(jiān)管方式也應(yīng)運(yùn)而生。

在監(jiān)管辦法中，銀保監(jiān)會(huì)總則要求銀行保險(xiǎn)機(jī)構(gòu)建立與自身信息技術(shù)戰(zhàn)略目標(biāo)相適應(yīng)的信息技術(shù)外包管理體系，將信息技術(shù)外包風(fēng)險(xiǎn)納入綜合風(fēng)險(xiǎn)管理體系，有效控制外包帶來(lái)的外包風(fēng)險(xiǎn)。風(fēng)險(xiǎn)，不得將信息技術(shù)管理責(zé)任和網(wǎng)絡(luò)安全主體責(zé)任外包。

普華永道認(rèn)為，與以往金融機(jī)構(gòu)IT外包相關(guān)監(jiān)管文件相比，本次監(jiān)管方式充分體現(xiàn)了近年來(lái)金融行業(yè)、技術(shù)和監(jiān)管方向變化的背景，其主要變化可概括為三大方向：

一是在信息技術(shù)外包過(guò)程中，以網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)為核心定位。本監(jiān)管辦法對(duì)信息技術(shù)外包的定義中，“銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作中涉及處理銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人信息的信息技術(shù)活動(dòng)”有使銀行和保險(xiǎn)機(jī)構(gòu)在過(guò)去多次。與外部機(jī)構(gòu)的合作或服務(wù)采購(gòu)it外包，可能會(huì)被新納入IT外包活動(dòng)的范疇，大大擴(kuò)展了管理范圍。

二是完善了外包治理和風(fēng)險(xiǎn)管理各方責(zé)任。監(jiān)管辦法要求建立覆蓋董事會(huì)（理事會(huì)）、高級(jí)管理層、IT外包風(fēng)險(xiǎn)部、IT外包執(zhí)行團(tuán)隊(duì)的信息技術(shù)外包與風(fēng)險(xiǎn)管理組織架構(gòu)。落實(shí)信息技術(shù)外包風(fēng)險(xiǎn)管理職責(zé)和目標(biāo)。

另一個(gè)非常顯著的變化是分類和分級(jí)管理的使用。根據(jù)監(jiān)管辦法，信息技術(shù)外包原則上分為咨詢與規(guī)劃、開(kāi)發(fā)與測(cè)試、運(yùn)維、安全服務(wù)和業(yè)務(wù)支持。普華永道表示，與以往相關(guān)文件的分類相比，監(jiān)管措施的劃分更加全面地涵蓋了行業(yè)內(nèi)現(xiàn)有的信息技術(shù)服務(wù)活動(dòng)形式。

在分類管理的同時(shí)，監(jiān)管辦法將對(duì)信息技術(shù)外包活動(dòng)的整體外包、信息技術(shù)工作的整體外包、安全運(yùn)營(yíng)的整體外包、信息技術(shù)外包活動(dòng)的整體外包和相關(guān)服務(wù)提供者等信息技術(shù)外包活動(dòng)的重要和一般外包進(jìn)行分級(jí)管理。銀行和保險(xiǎn)機(jī)構(gòu)的集中存儲(chǔ)或處理。數(shù)據(jù)外包、客戶敏感個(gè)人信息外包等9種情況被列為重大外包。對(duì)于重要外包，監(jiān)管辦法要求銀保機(jī)構(gòu)對(duì)服務(wù)提供者進(jìn)行盡職調(diào)查、對(duì)非現(xiàn)場(chǎng)外包服務(wù)進(jìn)行現(xiàn)場(chǎng)檢查等，并應(yīng)考慮終止重要外包的可能性，制定退出策略。

根據(jù)普華永道的分析，在開(kāi)發(fā)和測(cè)試類別中，軟件即服務(wù)（即“SaaS”）過(guò)去可能不會(huì)外包，因?yàn)樵撓到y(tǒng)沒(méi)有在銀行保險(xiǎn)機(jī)構(gòu)實(shí)施。作為一種新型安全服務(wù)，需要注意的是，安全運(yùn)營(yíng)整體外包是一個(gè)重要的外包范疇。在業(yè)務(wù)支持類中，數(shù)據(jù)利用服務(wù)可能會(huì)導(dǎo)致一些從外部機(jī)構(gòu)向銀行、保險(xiǎn)機(jī)構(gòu)提供數(shù)據(jù)輸入的服務(wù)，屬于外包管理的范疇。

業(yè)內(nèi)人士認(rèn)為，監(jiān)管措施將在未來(lái)將銀行保險(xiǎn)機(jī)構(gòu)外包業(yè)務(wù)向合規(guī)風(fēng)控水平更高的領(lǐng)先服務(wù)商傾斜。這種現(xiàn)象也會(huì)逆轉(zhuǎn)；從銀行和保險(xiǎn)機(jī)構(gòu)的角度來(lái)看，在落實(shí)監(jiān)管措施要求的過(guò)程中，也將面臨諸多挑戰(zhàn)。

例如，普華永道表示，由于外包的服務(wù)延伸大大擴(kuò)展，合作模式的轉(zhuǎn)變是機(jī)構(gòu)和服務(wù)商的新課題；雖然服務(wù)提供商面臨更高的監(jiān)管要求，但需要外包風(fēng)險(xiǎn)管理人員。部門與外包執(zhí)行團(tuán)隊(duì)密切合作，但銀保機(jī)構(gòu)對(duì)其沒(méi)有決策權(quán)，但承擔(dān)合作風(fēng)險(xiǎn)。因此，他們需要按照監(jiān)管要求，盡快采取對(duì)服務(wù)提供者進(jìn)行對(duì)標(biāo)、檢查等措施。此外，保險(xiǎn)機(jī)構(gòu)，