银行保险机构出台新规 将IT外包风险纳入全面风险管理体系

1月21日电据中国银行业监督管理委员会网站21日消息，中国银行业监督管理委员会近日发布《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)，自发布之日起施行。

《办法》旨在进一步加强银行保险机构IT外包风险监管，推动银行保险机构提升IT外包风险管控能力，推动银行保险机构稳步进行数字化转型。03010的起草注重坚持风险导向、加强监管、与国际标准对接的原则。

共7章46条，对银行、保险机构信息技术外包风险管理提出了全面要求。

一是在总则中明确了信息技术外包风险管理的一般要求，即银行、保险机构应建立与自身信息技术战略目标相适应的信息技术外包管理体系，将信息技术外包风险纳入整体风险管理体系，有效控制外包带来的风险。

二是在IT外包治理方面，对银行保险机构的组织机构和职责、外包策略、外包禁止、服务商管理策略、外包分类、外包分级管理、退出策略等提出了明确要求。

三是对IT外包准入提出监管要求，包括准入前评估、尽职调查、合同等，对非现场集中外包、跨境外包、银行间外包及相关外包提出附加要求。

四是明确信息技术外包监测评估要求，对外包过程监测、效率与质量监测、服务监测与评估、服务提供者运营监测、异常纠正、相关外包评估、外包终止等作出规定。

五是规范信息技术外包风险管理，对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非现场外包现场检查、年度风险评估与审计等提出要求。

六是对监管机构对外包的监督管理作出规定，包括事前报告、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等要求。

《办法》规定，银行、保险机构实施IT外包应坚持以下原则：不得外包IT管理责任和网络安全主体责任；以不阻碍核心能力建设为导向，积极掌握关键技术；保持外包风险、成本和收益的平衡；确保网络和信息安全，加强个人信息保护；强调预控和过程监督；持续改进外包战略和风险管理措施。

《办法》要求银行和保险机构明确不能外包的信息技术职能。信息技术战略管理、信息技术风险管理、信息技术内部审计等与信息技术核心竞争力相关的职能不得外包。银行保险机构应对IT外包活动及相关服务商进行不同层次的管理，对重要外包和一般外包采取差异化的管控措施。对于关联外包和同业外包，银行保险机构不得降低对服务商的要求，严格防范利益冲突和利益输送。

谈及《办法》是否会提高服务商的准入门槛，中国银保监会相关部门负责人表示，《办法》受中国银保监会监管的银行保险机构约束，对所有服务商一视同仁，不附加任何其他条件。