面对日益加剧的竞争及技术变革的加快,IT外包以精专业、高效率、低成本等优势,成为了国内各大金融机构提高竞争力的重要手段之一。但IT外包强势进驻的同时,给各金融机构带来了巨大的安全隐患,近年来外包风险事件越来越多,也引起了监管单位的重视。
2008年初,银监会发布《银行业金融机构外包风险管理指引》(征求意见稿),并于2010年6月正式发布《银行业金融机构外包风险管理指引》(银监发[2010]44号),且先后下发了《银行业金融机构信息科技外包风险监管指引》(银监发[2013]5号)、《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发[2014]187号)及《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发[2014]272号),要求各地各级银行业金融机构遵照执行。
外包体系建设总思路
绿盟科技依据监管机构的相关要求,针对银行业金融机构IT外包管理现状,从组织架构、战略建设及风险管理、生命周期管理、集中度风险管理、非驻场外包管理、重点外包服务机构管理共六个方面为金融用户提供咨询建设服务方案,协助金融机构建立一套外包前、中、后期的全流程风险管理体系,形成有效外包风险内控机制,同时建立完善外包风险管理持续改进机制,并促使金融用户满足行业监管合规要求。
- 外包管理组织架构:包括但不限于外包管理制度与流程;外包管理职责及权限;外包管理报告路径;外包管理效果评价等。
- 外包战略建设和风险管理:包括但不限于外包战略制定;外包战略合理性评估;外包风险管理情况等。
- 外包服务生命周期管理:包括但不限于外包风险评估及准入;服务商尽职调查;外包服务合同及要求规范性;外包服务安全管理;外包服务监控与评价;外包服务的安全与应急等。
- 外包集中度风险管理:外包服务提供商机构集中度风险识别;外包服务提供商机构集中度风险防范等。
- 非驻场外包管理:包括但不限于非驻场外包风险管理;非驻场集中式外包风险管理;非驻场集中式外包监管评估等。
- 重点外包服务机构管理:包括但不限于重点外包服务机构准入;重点外包服务应急管理;重点外包服务机构风险管理及审计要求执行等。
- 其他方面:包括但不限于关联外包管理;内部人员风险管理;监管报送等。
外包管理组织架构建设
《银行业金融机构外包风险管理指引》中“银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任”明确了金融机构IT外包风险的最终责任承担者;并将外包管理体系分成了三个层级,分别为董事会、高级管理层及外包管理团队,同时明确提出了各自的职责范围;《银行业金融机构信息科技外包风险监管指引》明确了外包活动执行部门和风险管理部门的职责,绿盟科技结合《商业银行信息科技风险管理指引》要求,对信息科技部门、风险管理部门以及审计稽核部门进行了职责界定以及管理工作流程梳理。
外包指引对于金融机构信息科技外包管理进行了非常全面的要求,具备有权威且专业的指导意义,但我们在评估咨询活动中发现,在大多数金融机构,尤其是农商行、城商行等中小银行机构落地执行过程中,遇到了岗位职责界限不清晰、人员变动频繁等问题,针对此类问题,绿盟科技建议现有的IT外包组织架构一道防线中,增加设置项目经理和部门外包风险管理接口人角色,其中项目经理主要负责落实管辖项目内的所有执行工作,包括项目立项、合同签订、项目实施及验收等全阶段外包管理活动;而考虑到项目经理角色的易变性,我们在每一个外包一道防线部门都需要设置一个外包管理接口岗位,由其进行所在部门外包风险管理的培训、宣贯、推动及定期的外包考核归档汇报,使本部门负责管理信息科技外包项目的项目经理能够及时地、正确地理解和遵循本行信息科技外包管理的制度要求和工作流程。
落地难点对策
在对多家金融机构进行交流和咨询服务后,我们发现有部分金融机构存在一个共性问题:有部分IT外包项目是由业务部门主导并开展实施的,且现有工作流程并未流转到信息科技部门,因此无法在一道防线进行IT外包统一监管。如何能不改变现有工作流程且满足监管要求下实现IT外包风险管理,绿盟科技根据行业建设经验建议参考如下框架进行组织架构优化调整:
一道防线分散管理自主管控型外包管理组织架构的优势在于不改变现有组织架构及工作流程,业务部门和信息科技部门共同承担IT外包一道防线,并为本部门所管辖的IT外包项目负责,且可并行向信息科技管理委员会沟通汇报,归口管理设在二道防线风险管理部门,由风险管理部门进行机构内IT外包风险管理及监管汇报。
后续我们将继续对银行业金融机构IT外包全生命周期管理体系建设及落地进行分享。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880