華夏時報(www.chinatimes.net.cn)記者 傅碧霄
隨著金融業數字化轉型的加速,金融機構與IT外包服務商合作中產生的問題也逐漸暴露出來。2021年12月31日,銀保監會發布的《銀行保險機構資訊科技外包風險監管辦法》(下稱《辦法》)顯示,由於外包而引發的風險主要包括科技能力喪失、資料洩露、資金損失等6類。因此,《辦法》要求金融機構建立風險評估機制,明確服務商准入標準。金融機構還應採用分散外包活動,減少對個別外包服務提供商的依賴,降低集中度風險。
中國社科院金融研究所金融科技研究室主任尹振濤1月12日接受《華夏時報》記者的採訪時表示,《辦法》對於集中度問題的規定,不會讓行業出現一家獨大的情況。未來,行業也將加速優勝劣汰,科技實力不強,或不合規的公司很難生存。
集中度問題需注意
據尹振濤介紹,關於金融機構科技服務外包行業,此前有專項調研顯示,存在的主要問題有過度依賴某一家公司的現象,市場中可能存在壟斷。而且這種情況對銀行本身也有一定風險,如果外包服務商出現問題,會影響銀行的業務穩定。
因此,在選擇服務商方面,《辦法》強調,銀行保險機構應明確服務提供商的准入標準,審慎引入集中度風險較高或增加機構整體風險的服務提供商。
《辦法》還表示,銀行保險機構應識別對本機構具有集中度風險的外包服務商,積極採用分散外包活動、注重外包專案智慧財產權保護、提高自身研發運維能力、儲備潛在替代服務商等手段,減少對個別外包服務商的依賴,降低集中度風險。
冰鑑科技市場總監周揚則認為,《辦法》出臺的背景值得關注,當前國際環境下,銀行業基礎設施自主可控成為大趨勢。銀行核心系統的分散式遷移及軟硬體重塑都與外包有關,而很多在硬體、系統領域佔據主導的外資IT機構,集中度較高。
不過,周揚對《華夏時報》記者表示,至於大型網際網路科技公司,目前還少有集中度特別高的情況,所謂風控和導流,在整個銀保業外包中佔比很小,而且有徵信業務管理辦法來規範。
某金融科技從業人士1月12日對《華夏時報》記者指出,業內確實大量存在科技巨頭佔據較大市場份額的現象,例如雲服務、CDN服務,以及助貸業務等。一旦發生風險,會造成比較大影響。
但在金融科技的不同細分領域,集中度現象也不盡相同。
據索信達控股CEO吳輔世向《華夏時報》記者介紹,索信達所在的市場細分領域,市場份額就較為分散。
IDC釋出的《2020中國銀行業IT解決方案市場份額》報告顯示,索信達控股有限公司在客戶資源管理解決方案市場中的佔有率位於第二名,為9.3%,市場佔有率第一的公司是中電金信軟體有限公司,也僅為10.9%。可見頭部企業的市場份額都不算太多。
“《辦法》指出金融機構應減少對個別外包服務提供商的依賴,對索信達這樣以創新技術為客戶服務的公司提供了更多機會和發展空間。”吳輔世於1月11日對《華夏時報》記者這樣說道。
在尹振濤看來,《辦法》對於集中度問題的規定,不會讓行業出現一家獨大的市場結構,這有利於中型企業的發展,獲得更多市場機會。
韓定一也認為,未來中小廠商在調整業務結構、完善內控管理後,預計會有進一步的發展。例如有些大專案由於提高了准入標準,會讓有資質的小企業參與進來。
某金融科技從業人士對《華夏時報》記者表示:大型公司將面臨集中風險的限制和管控。“在招標合作前,金融機構會要求科技公司提交合作機構情況並披露佔有的市場份額情況,在市場份額特別大時,未來可能會降低競標分數。”
這位金融科技從業人士也指出:“短期來說,《辦法》的相關政策可能會中斷大型科技公司的部分業務,但不會影響長期發展。大型科技公司往往有較成熟和完整的技術體系和創新能力,仍可以保持領先地位。《辦法》的出臺,可以全面提升大型科技公司的安全意識、服務水平和管理水平。特別是對外包採取差異化管控措施,能夠驅動大型科技公司提供更精準、更高效的運營服務。”
差異化管控
尹振濤於1月11日對《華夏時報》記者表示,《辦法》的出臺是一次監管的升級,之前有關於資訊科技服務外包風險的指引。從監管層級來講,指引只是一個業務導向,而不是完全意義上的監管規定,此次升級為監管辦法,是一個非常大的訊號。
《辦法》的一個顯著特點,就提出了金融機構要有獨立的風險評估機制。
《辦法》要求,銀行保險機構應當建立資訊科技外包管理體系,指定資訊科技外包風險主管部門,每年都對外包風險進行全面評估。需注意由於外包而引發的風險主要包括6種:科技能力喪失、業務中斷、資料洩露、資金損失、服務水平下降,以及聲譽合規風險。
差異化管控是《辦法》的另一個特色。
《辦法》將資訊服務外包分為兩種型別,即一般外包和重要外包。重要外包包括,核心業務系統開發測試和運維的整體外包、資訊科技戰略規劃(含中長期規劃)諮詢外包、涉及集中儲存或處理銀行保險機構重要資料和客戶個人敏感資訊的外包等。針對不同型別的外包服務,採取不同管理措施。
尹振濤認為,實行差異化管控,充分考慮到了行業特點與趨勢。
警惕外包風險
尹振濤對《華夏時報》記者指出,《辦法》在個人隱私、資料安全方面的規定也值得注意。
周揚也表示,此次正式出臺的《辦法》相比之前的徵求意見稿,新增了“保障網路和資訊保安,加強重要資料和個人資訊保護”這一原則,與《個人資訊保護法》相銜接。周揚指出,勞動密集型的一線崗位,如資訊錄入、單據稽核、客戶服務、電話提醒、回訪、催收等領域的外包,尤其關乎客戶個人資訊保安。
據吳輔世向《華夏時報》記者介紹,以索信達與銀行機構的合作為例,銀行普遍具有非常嚴格的安全管理、風險管理機制,索信達在銀行嚴格保密性要求下去做服務,不會直接接觸客戶敏感資料,也不收集保留任何資料,而只是提供資料相關技術服務,可有效規避資料洩露等風險。
《辦法》對不能外包的業務做出了明確規定,銀行保險不得將資訊科技管理責任、網路安全主體責任外包。涉及資訊科技戰略管理、資訊科技風險管理、資訊科技內部審計及其他有關資訊科技核心競爭力的職能也不得外包。
《辦法》還強調,資訊科技外包的同時,不應妨礙銀行保險機構核心能力建設,銀行保險機構要積極掌握關鍵技術。“銀行保險機構不可過度依賴外包導致自身失去科技控制及創新能力。”
周揚認為《辦法》的這一條款十分關鍵。據周揚介紹,冰鑑科技和南京銀行共同研發的基於多方安全計算的差異化營銷平臺,就是在確保銀行掌握關鍵技術前提下,進行的科技創新。
另外,對於關聯外包和同業外包,《辦法》規定,銀行保險機構不得降低對服務提供商的要求,嚴格防範利益衝突和利益輸送。
對此,周揚對《華夏時報》記者分析道:“母行和下屬的科技子公司之間就是關聯外包,大銀行向中小銀行進行技術輸出是同業外包,這方面的利益衝突往往在水面之下,不易察覺,銀保機構應當加強這方面的內審。”
加速優勝劣汰
尹振濤認為,《辦法》將對金融科技行業產生較大的影響,金融科技公司與銀行保險機構的合作將會更加規範。在《辦法》的約束下,第三方科技公司將加速優勝劣汰,不具備特色的公司、實力不強的小公司,以及違規獲利打擦邊球的公司,都將很難生存。“只有真正具備科技實力的公司才有更好的市場發展空間。”
周揚認為,《辦法》的出臺,對於注重資訊系統安全、有完善的災備計劃和個人資訊保護的外包供應商是利好,反之則會受到限制。吳輔世也對《華夏時報》記者表示,未來,不合規的企業將會淘汰,擁抱監管、重視風控的企業會得到更多機會。
韓定一表示,《辦法》的出臺提高了機構和金融科技公司在數字化轉型中的協同共治能力,標誌著金融科技行業野蠻生長的時代結束。科技金融企業面臨資訊科技能力、數字化能力及業務運營等系統性能力的挑戰。目前行業的外包服務商服務質量和水平參差不齊,中小型公司由於資質差無法達到准入標準將面臨淘汰。
“金融科技業態是多元化主體共同推動的開放合作生態。其中提供技術服務的科技企業是重要主體。銀行保險機構和科技企業在合作中如何滿足合規要求,規避風險發生,如何透過優勢互補共同提升,是今後應重點思考的問題。企業也應做好員工合規培訓,配合好金融機構的風險管理制度,共同推進安全規範的金融科技創新及應用。” 吳輔世對《華夏時報》記者這樣說道。
