观韬解读 | 银行保险机构如何实现信息科技外包风险合规管理——从金融合规视角的解析
作者:王渝伟 周丹
近期,银保监会针对银行保险机构外包风险问题的进一步强调以及金融机构信息科技外包风险管理行业标准的发布,可见有关部门关于银行保险机构信息科技外包风险管理的监管趋势愈加严格。在此背景之下,银行保险机构应当进一步重视关于信息科技外包活动的风险管控,全面遵循法律法规的有关规定,落实信息科技外包风险管理责任。本文拟从金融合规治理视角,解析银行保险机构应当如何实现信息科技外包风险管理。
一、近期监管规定及动态
2021年12月30日,中国银行保险监督管理委员会(以下简称“银保监会”)发布了《银行保险机构信息科技外包风险监管办法》(以下简称“监管办法”),旨在规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控。
2022年8月3日,银保监会办公厅非公开发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知(银保监办法〔2022〕80号)》(以下简称“通知”),罗列了7类22项侵害个人信息权益的行为,其中再次突出了银行保险机构在与第三方合作过程中出现的问题,包括但不限于与第三方合作机构合作不审慎,违反规定向第三方合作机构提供个人信息等。
2022年8月29日,中国人民银行(以下简称“央行”)发布《金融网络安全 信息科技外包评价指标数据元》(JR/T 0254—2022)(以下简称“标准”),该标准结合金融行业信息科技外包服务特点,从基本情况、协议履行、服务质量、安全保障等方面提出信息科技外包服务评价指标,并给出评价指标数据元定义,为金融机构针对信息科技外包服务的评价工作提供指导。
二、合规治理框架体系建设
结合相关法律法规规定以及过往的服务实践经验,我们认为银行保险机构应当从管理组织、外包战略、风控策略以及全流程管理制度去构建“1+3”合规治理框架体系从而实现信息科技外包风险管控。
图1:关于信息科技外包的“1+3”合规治理框架体系
(一)建立信息科技外包及风险管理组织架构
管理组织是合规治理实施的保障,银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。关于组织机构的设置和职能要求,银行保险机构可以参考监管办法,如下图所示:
图2:组织机构的设置和职能要求
监管办法规定的详细职责如下表所示:
表1:监管办法规定的组织机构设置与相应职责
(二)制定信息科技外包战略
外包战略是合规治理运行的纲领,银行保险机构应当基于机构的业务战略、信息科技战略、总体外包战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略。银行保险机构在制定信息科技外包战略时,应至少包含以下几个方面:
● 明确外包原则和策略
● 明确不能外包的信息科技职能
● 资源能力建设方案
(三)建立信息科技外包管理和风控策略
风控策略是合规治理实现分类分级管理的抓手,银行保险机构应当建立信息科技外包活动分类分级管理机制,针对不同类型的外包活动建立相应的管理和风控策略。目前,监管办法将信息科技外包服务根据服务用途分为五类,根据对机构业务运营的影响程度分为一般外包和重要外包两个级别。银行保险机构在建立外包管理和风控策略时,应当根据外包服务的类型以及级别进行确定,不可并为一谈。此外,央行于今年8月底发布的行业标准针对金融业信息科技外包服务分类做了进一步细化,在监管办法的分类基础上,对五类信息科技外包服务下分了若干个二级子类,详见下图:
图3:信息科技外包的分类与分级
(四)建立信息科技外包全流程风险管理制度
管理制度是合规治理落实的基础,要实现对信息科技外包的风险管理,银行保险机构需要加强对外包准入、外包合同、外包服务以及外包终止整个流程的风险控制。因此,银行保险机构需建立健全关于信息科技外包的全流程风险管理制度。
1.信息科技外包准入
在今年8月初银保监办公厅发布的通知中,与第三方合作机构合作不审慎被列为侵犯个人信息权益的典型乱象之一。因此,银行保险机构应注重与第三方机构的审慎合作,其首先应当加强信息科技外包准入环节的风险管控。根据监管办法及相关法律规定,银行保险机构在开展信息科技外包活动前,应当评估拟开展的信息科技外包活动相关风险,判断是否属于不能外包的职能,是否属于重要外包等。在决定进行信息科技外包之后,银行保险机构还应当明确服务提供商的准入标准,对备选服务提供商的经营资质、数据合规风险以及数据安全能力等进行综合评估,审慎引进第三方信息科技服务提供商。建议银行保险机构在科技外包准入环节的制度设计至少包含以下内容:
● 评估拟开展的信息科技外包活动相关风险
● 明确服务提供商的准入标准
● 针对备选服务提供商开展尽职调查
2.信息科技外包合同约束
合同作为明确双方权利义务的重要文件,银行保险机构在与信息科技外包机构签订的合同中,应尽可能清楚地载明对服务提供商在合作中需遵循的合规、内控及风险管理要求,服务质量考核评价,安全保密等内容。根据监管办法及相关法律规定,建议银行保险机构在信息科技外包合同或协议中应当至少明确以下内容:
● 服务范围、服务内容、服务要求、工作时限及安排、责任分配、交付物要求、后续合作中的相关限定条件和服务质量考核评价约定
● 合规、内控及风险管理要求
● 服务持续性要求
● 对服务提供商进行风险评估、监测、检查和审计的权利
● 同意接受银保监会的监督检查
● 合同变更或终止的触发条件,合同变更或终止的过渡安排
● 知识产权条款
● 资源保障条款
● 安全保密和消费者权益保护约定
● 争端解决机制、违约及赔偿条款
● 报告条款
● 外包服务的转包与分包条款
若在合作过程中涉及向服务提供商进行个人信息传输的,还需要根据《个人信息保护法》的相关规定,约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。
3.信息科技外包服务过程中的安全管理
服务提供商在提供信息科技相关服务过程中,银行保险机构应加强对本阶段的安全管理,对外包服务过程进行持续监控,及时发现和纠正服务过程中存在的各类异常情况。此外,银行保险机构还需制定和落实网络和信息安全管理措施,尽可能降低服务过程中的网络和信息安全风险。建议银行保险机构在科技外包服务过程中的安全管理制度设计至少包含以下内容:
● 事先建立风险管理制度和流程
● 制定和落实网络和信息安全管理措施
● 针对信息科技外包活动进行持续监控
● 建立明确的信息科技外包服务目录、服务水平协议和服务水平监控评价机制
● 建立服务效能和质量监控指标
● 制定应急处理预案
● 定期开展信息科技外包风险管理评估
● 定期开展信息科技外包及其风险管理的审计
4.外包服务的终止
根据监管办法的相关规定,银行保险机构应在信息科技外包服务到期前,就是否继续外包进行评估决策。央行近期发布的标准构建了针对金融业信息科技外包的评价指标数据元体系,主要由企业基本情况、协议履行、服务质量和安全保障四个一级维度构成,一级维度下又划分了若干二级维度,该体系可供银行保险机构等金融机构在对服务提供商进行外包评价时参考。如经过评估,银行保险机构决定终止外包,此时应与服务提供商进行业务交接。需要注意的是,相关的保密义务并不随着外包服务的终止而终止。建议银行保险机构在科技外包终止环节的制度设计至少包含以下内容:
● 事先制定外包终止的退出策略和交接计划
● 设置针对服务提供商的评价程序
● 明确外包终止后保密义务的履行
● 相关数据的删除与销毁