摘要:随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,金融机构与外包商的合作模式和合作关系也发生了变化,出现了新的机遇,同时也引发了新的风险。本文阐述了外包风险管理的必要性,总结了金融行业外包的3种模式(与“互联网”金融科技公司合作、与“金融系”金融科技公司合作、与中小型金融科技企业合作),分析了信息科技外包的常见风险,并提出了金融科技规划必须同步考虑风险防控规划、金融机构必须承担外包风险管理的主体责任、要通过技术手段防范风险等建议。
关键词:金融科技;外包;风险管理
金融机构业务的迅速发展和市场竞争的日益激烈,大大提高了对科技支持能力的要求。金融机构特别是中小型机构普遍存在信息科技人力资源匮乏、技术能力欠缺等问题,人员数量和质量均不能满足业务发展对科技的要求。因此,大部分金融机构大量采用信息科技外包的方式,作为自身科技力量的补充。但凡事均有两面性,信息科技外包是一把“双刃剑”,在给金融机构带来专业化能力、推动科技创新、提高科技效率、实现科技对业务支持的同时,也会引发一系列的外包风险。近年来,金融行业陆续出现的外包风险事件给金融机构和监管机构敲响了警钟。信息科技外包风险管理,成为金融机构信息科技风险管理的重要组成部分,也成为金融行业监管的工作重点之一。金融科技时代,随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,金融机构与外包商的合作模式和合作关系也发生了变化。新的机遇意味着新的风险,因此,除了传统外包安全管理手段外,还需要结合新时代的特点,做好外包商合作关系管理和风险管理。
一、外包风险管理的必要性
根据中国银保监会的《银行业金融机构信息科技外包风险监管指引》,信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。将信息科技工作外包给其他服务提供商承担,相较于由金融机构自身的员工开展,存在着特殊的风险。因此,信息科技外包风险防控,已成为金融行业信息科技风险防范的主要任务之一,金融机构必须采取各种措施,加强对信息科技外包的安全管理。
(一)外包管理是“刚需”,外包安全管理是必须“支付”的对价
在金融机构所有的外包活动中,信息科技外包所占比重最大。金融机构信息科技外包的目的主要有两方面:一是弥补自身人力资源的不足,将自身有限的资源投入至最重要的业务系统和最核心的技术上,其余资源通过外包方式补充;二是充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势,实现对市场变化和业务需求的快速响应。既然信息科技外包是大势所趋和无法避免的选择,那么信息科技外包风险管理也就成了金融机构必须“支付”的对价,是必须且非常重要的工作。金融机构不能“一包了之”“包治百病”,而应该承担起外包风险管理的责任,必须认识到外包的风险,并对外包风险进行分析评估,加强外包安全管理,采取风险缓释、转移、规避等措施,将外包风险控制到合理、可接受的程度,避免信息技术及服务受制于人。可以说,做不好外包安全管理,就做不好信息系统管理,进而无法实现对金融机构系统和业务的保驾护航。
(二)金融机构面临的外包风险形势严峻
近年来,金融机构信息科技外包发展势头迅猛,涉及的范围逐步扩大,涵盖了信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。如果外包商经营出现风险、外包商服务质量下降,或者外包商出现不当行为,都有可能对金融机构信息系统的稳定运行及业务服务的安全造成严重影响。近年来,金融机构由于外包引发的信息系统中断、敏感信息泄露等问题较多,外包风险作为金融机构信息科技风险的重要组成部分,必须认真对待。
(三)监管机构对信息科技外包的监管要求趋严趋紧
针对日益严峻的信息科技外包风险形势和层出不穷的外包风险事件,监管机构高度重视,监管要求逐步加强。1.中国银保监会于2010年出台了《银行业金融机构外包风险管理指引》,对外包的组织架构、风险评估、外包商尽职调查、合同协议约定等方面提出了具体要求。2.中国银保监会于2013年印发了《银行业金融机构信息科技外包风险监管指引》,专门针对信息科技外包这一比重最大的外包领域提出了很多细化的安全管控要求,定义了信息科技外包的几种类型,规范了银行信息科技外包风险管理的组织架构和战略内容,细化了信息科技外包活动各阶段、各环节的风险控制及管理要求,并针对重要外包商、机构集中度外包商、跨境外包商、非驻场外包商、银行业重点外包服务机构等特殊类型的外包商提出了相应的管理要求,可以作为银行业信息科技外包工作的一个“纲领性”文件。监管要求明确不得将信息科技管理责任外包,引导银行将信息科技外包管理纳入全面风险管理体系。3.2017年,中国证监会《证券基金经营机构信息技术管理办法》(征求意见稿),其中规定了对“信息技术服务机构”即外包机构的要求,包括“不得将重要信息系统的运行、维护或日常安全管理交由信息技术服务机构独立实施”的规定,以及审慎选择信息技术服务机构时应该关注的重点事项、合同约束要求、内部审查要求、部分服务机构的备案要求、应急处置机制、严禁行为等。各类监管要求从战略规划的高度和战术执行的细度,为金融机构建立信息科技外包管理体系、战略方针和工作机制提供了规范性的要求,既是指导又是约束。金融机构必须遵循监管要求,在监管要求的框架下搭建自身的外包风险管控体系,解决基础性、体系性缺失的问题。
二、金融科技合作的几种外包模式
在人工智能、区块链、云计算、大数据、物联网等新技术大量被运用的当下,涌现了大量的金融科技公司,其服务范围已经不再局限于提供规划咨询、应用研发、系统运维、安全服务等传统的、纯科技的外包服务,而是寻求与金融机构的深度合作,将业务合作、消费场景、科技能力等向金融机构输出,嵌入到双方合作的内容之中。金融机构与金融科技公司的合作,主要有3种外包模式。第一种是与“互联网系”的金融科技公司合作,进入互联网企业“生态圈”。在互联网公司的平台和科技能力输出的基础上,开展双方系统平台的技术对接,利用互联网企业的大量用户、流量、消费场景等优势,在技术和业务方面同步开展合作。第二种是与“金融系”的金融科技公司合作,建设银行、兴业银行、招商银行、民生银行、南京银行等大中型银行机构纷纷成立了金融科技公司或者提供开放的金融平台,为其他中小金融机构提供服务。第三种是与中小型金融科技企业合作,充分利用金融科技企业的技术,整合双方资源,将金融科技企业融入银行自身的生态圈中。不管是哪种合作模式,在信息科技外包风险管控方面都具有共同的特点,那就是金融机构对外包业务环节中的金融风险须承担风险管控的主体责任,需要分析新的外包模式可能带来的新风险和影响,适时采取必要的应对措施。
三、金融科技合作中外包模式的风险分析
金融机构与金融科技公司的合作,通常会包含数据共享、业务流程整合等方面的合作内容,而且金融科技相关应用中的分布式账户、大数据、云计算、客户身份认证、区块链等技术应用,经常采用外包模式,因此,存在一些新的风险。
(一)个人信息保护方面
金融科技的广泛应用带来了客户信息保护的新挑战,需要特别关注数据的保密性、完整性和可用性。一是由于业务合作可能涉及金融机构客户信息的共享,或者金融机构需要通过金融科技公司的平台和场景作为引流方式,难以确保客户信息的绝对安全。二是客户信息是否经过信息主体的授权,是否泄露隐私,哪些信息可以获取,哪些不可以等问题,目前在法律法规和监管要求层面都缺乏可落地的细则,客户信息的来源和使用的合法合规性没有统一标准。三是在客户信息的采集、处理、存储、传输、销毁等全生命周期的管理环节中存在各种不可预知的风险,需要避免数据丢失、损坏、被篡改,以及确保不可用的数据被正常销毁。
(二)业务连续性方面
由于社会公众服务对实时性要求极高,金融机构的业务连续性要求通常也非常高。与金融科技公司开展业务合作,业务连续性将部分依赖于金融科技公司的管理有效性、基础设施和软硬件系统建设水平、团队责任心等,这对金融科技公司的服务能力提出了巨大的挑战。当发生系统故障时,如何快速应急处置,保证数据和业务的快速恢复,是对金融科技公司的巨大考验。
(三)信息安全方面
由于用户信息资源的高度集中,其获利性大幅提高,金融科技平台遭受黑客攻击的可能性上升。DDoS攻击、数据库拖库等攻击而导致的服务不可用或者敏感信息泄露的可能性上升,其所导致的后果会明显超过传统的单家金融机构遭受攻击。
四、金融科技合作中外包模式的风险管理要求
选择金融科技外包合作模式,必须接受其固有风险。但同时,也要做好以下风险控制措施,尽可能地将剩余风险降低到可以接受的程度。一是金融科技规划必须同步考虑风险防控规划,将包含外包风险在内的风险防控的管理和技术手段,与金融科技的应用同步规划、同步设计、同步实施,方能保障在新技术上线的同时,新的安全防控措施也实施到位。风险防范规划同样需要从用户体验的角度出发,围绕客户资产和信息安全开展风险分析和防控。二是金融机构必须承担外包风险管理的主体责任。一方面,传统的外包安全管理要求同样适用于金融科技公司;另一方面,须严格要求金融科技公司遵守金融行业监管要求,如遵守账户实名制、客户身份验证、产品宣传销售、投资者适当性管理等方面的技术要求,以保护金融客户的合法权益。三是在合作协议上必须明确规定客户信息保护、业务连续性管理、信息安全管理方面的要求、监控指标和对应的违约责任,约束金融科技公司的行为。四是要求金融科技公司制定详细的运行维护和信息安全管理制度和流程,以确保数据备份的有效性、加强数据访问的授权控制、杜绝数据被恶意篡改、确保退役数据的妥善保管或销毁等。五是通过技术手段防范风险。一方面,应做好与金融科技公司之间在数据传输过程中的加密、防篡改和完整性校验、不同企业间数据安全隔离等;另一方面,要求金融科技公司做好安全防控,包括网络安全区域划分和网络隔离,防攻击、防病毒、防篡改的安全措施,安全技术防控工具部署,安全审计系统部署,应用安全漏洞防范等,以确保能提供与金融行业同样高安全等级的服务。
五、结语
信息科技外包风险管理将是商业银行一项重要的长期任务,特别是新时代的新型外包管理模式,更是有着不同于传统管理模式的特点,需要一边研究探索、一边审慎实践,方可形成一套适合金融机构的外包管理体系。
参考文献:
[1]聂君,李燕,何扬军.企业安全建设指南:金融行业安全架构与技术实践[M].北京:机械工业出版社,2019.
[2]徐徽.商业银行信息科技外包风险管理的思考与实践[J].中国金融电脑,2013(11):19-21.
[3]霍宝东.浅谈金融科技时代商业银行信息安全风险管理[J].中国金融电脑,2017(8):17-19.
作者:李燕 单位:广东华兴银行
