银保监会：将信息科技外包风险纳入全面风险管理体系

　　中新财经1月21日电 中国银保监会近日印发《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)，提出将信息科技外包风险纳入全面风险管理体系。

　　中国银保监会有关部门负责人就《办法》答记者问时表示，为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作，制定该《办法》。

　　该负责人称，近几年，银行保险机构积极开展数字化转型，在加大科技创新力度、更好地满足金融消费者需求的同时，对信息科技外包服务的依赖度不断加大。与此同时，部分银行保险机构对信息科技外包风险管控不力，因而导致的业务中断、敏感信息泄露等事件时有发生。此外，部分领域外包服务提供商高度集中，形成了行业集中度风险。

　　据介绍，《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。一是在总则中明确信息科技外包风险管理的总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

　　二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。

　　三是对信息科技外包准入提出监管要求，包括准入前评估、尽职调查、合同等进行了规定，并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。

　　四是明确信息科技外包监控评价要求，对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。

　　五是规范信息科技外包风险管理，对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。

　　六是对监管机构实施外包监督管理做出规定，包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等内容。

　　《办法》还明确，所约束的对象是银保监会监管的银行保险机构，对所有服务提供商一视同仁，没有新增任何其他准入门槛，银行保险机构自主决定服务提供商的选择标准和准入方式。(完)