出品|WEMONEY研究室
文|劉雙霞
近日,銀保監會發布了《銀行保險機構資訊科技外包風險監管辦法》(簡稱《辦法》),要求銀保機構建立資訊科技外包管理體系,將資訊科技外包風險納入全面風險管理體系,有效控制由於外包而引發的風險。同時,銀保監會及其派出機構監管的其他金融機構參照執行。
這意味著,金融IT外包市場迎來全面監管。在市場看來,金融IT業務將進入高標準、嚴要求的監管階段,整體外包增量業務將向合規、風控標準更高的頭部廠商傾斜,而相對粗放式發展的中小廠商或面臨業務收縮。
但同時,監管也提到要降低集中度風險,減少對個別外包服務提供商的依賴。這意味著,“贏家通吃”的局面不再,市場認為,在頭部外包商市場份額佔比很大時,未來可能會被降低競標分數。
01.金融IT外包市場迎監管
金融行業的資訊化正不斷推進。各類金融機構不斷加碼對資訊科技的投入,資訊科技實力是銀行等金融機構的核心競爭力之一。
以銀行業為例,根據IDC資料統計,2013年我國銀行業IT投資規模為680.9億元,而到了2019年,這一數字已經上漲到了1230.9億元,2013-2019的年均複合增長率達到10.4%。到2020年,銀行業整體IT投資規模達到1906.4億元。
中國金融學會會長、人民銀行原行長周小川撰文指出,銀行業在某種程度上可看作是資訊科技的應用行業,其賬戶管理、客戶管理、支付體系、貸款決策及定價等,都是依靠以IT技術為支撐的資訊處理來完成的。銀行業面臨資訊科技發展帶來的挑戰,這是必然的。
周小川表示,銀行業既然是資訊服務業,就必然要建立資訊系統,包括硬體系統以及基礎軟體和應用軟體。過去銀行應用軟體可以自己開發,也可以外購,小銀行限於自身科技力量,外購情況更多。
有資料顯示,2019年銀行業資訊科技外包專案數量同比增加13.8%,外包合同金額同比增加56.3%。
可以看到,大多數銀行尤其是中小銀行普遍採用IT外包支援其資訊化建設,外包服務商承擔了大量的銀行業金融機構資訊科技服務工作,部分領域形成了較高的外包服務集中度和行業依賴。
為規範銀行保險機構的資訊科技外包活動,加強資訊科技外包風險管控,銀保監會近日釋出了《銀行保險機構資訊科技外包風險監管辦法》。據悉,銀保監會在2020年就已完成徵求意見稿的起草工作。
該《辦法》的出爐是因為近幾年的監管實踐發現,資訊科技外包是當前銀行保險機構的風險多發領域。《辦法》的適用物件包括政策性銀行、商業銀行、農村合作銀行、省(自治區)農村信用社聯合社,保險集團(控股)公司、保險公司、保險資產管理公司、金融資產管理公司,同時,銀保監會及其派出機構監管的其他金融機構參照執行。
一位金融科技公司人士指出,現在金融科技公司為銀行賦能比較混亂,一些中小銀行自身科技實力較弱,在與各類科技公司合作時,辨別能力較差,後期容易發生風險。因此,《辦法》對中小銀行有一定的指導意義。
“對於銀行來講,這個《辦法》相當於一份資訊科技外包管理的行動指南,是銀行管供應商的依據。合同簽約前做好盡職調查向銀保監報備,報備成功才能簽約。”一位城商行IT部門人士指出,根據《辦法》規定,銀行保險機構每年應當至少開展一次全面的資訊科技外包風險管理評估,並向董(理)事會或高階管理層提交評估報告。
02.中小廠商面臨洗牌
隨著《辦法》落地,金融IT外包市場將迎來一場變局。
一位金融科技行業從業者認為,《辦法》影響比較大的是兩類:一類是特別小的金融科技公司,實力不夠,需要被淘汰;另一類是有一定壟斷的科技巨頭,一旦意外發生,可能引發系統性風險。
根據《辦法》規定,資訊科技外包原則上劃分為諮詢規劃類、開發測試類、執行維護類、安全服務類、業務支援類等類別。
具體來看,監管也給出了資訊科技外包服務型別參考:
諮詢規劃類。包括但不限於:資訊科技戰略規劃(含中長期規劃)諮詢,資料中心(機房)整體建設諮詢和規劃,資訊科技治理(含資料治理)、資訊科技風險管理體系、資訊保安管理體系、業務連續性管理體系等管理類諮詢和規劃,重要資訊系統架構和建設相關的諮詢和規劃,新興技術應用諮詢和規劃。
開發測試類。包括但不限於:軟硬體開發和測試外包(含人力外包),軟體即服務形式的外包。
執行維護類。包括但不限於:資料中心(機房)物理環境的託管或執行維護,軟硬體基礎設施託管或執行維護,應用系統執行維護,電子機具執行維護,終端等辦公裝置的執行維護,以及涉及以上執行維護的人力外包。
安全服務類。包括但不限於:安全運營服務,安全加固服務,安全裝置執行維護,安全日誌處理與分析,安全測試服務,金鑰管理及執行維護,資料安全服務,以及涉及以上服務的人力外包。
業務支援類。包括但不限於:市場拓展、業務運營(集中作業、呼叫中心等)、企業管理、資產處置、資料處理、資料利用等業務外包或第三方合作當中涉及銀行保險機構的重要資料或客戶個人資訊處理的資訊科技活動,法律法規另有要求的除外。
業內人士指出,這幾乎涵蓋了目前為金融機構提供賦能、服務的所有類別金融科技公司。
而目前銀行資訊科技外包服務商質量參差不齊。據披露,監管部門在核查中發現,有些外包商對銀行客戶資訊和敏感技術資料安全保護薄弱,系統託管服務生產執行風險高,交付銀行的軟體產品存在安全漏洞,可能給銀行系統安全執行帶來風險。
中國社會科學院金融研究所銀行研究室主任、國家金融與發展實驗室研究員李廣子進一步介紹,當前銀行IT外包中存在的主要問題包括:資訊科技外包導致銀行自主風控能力下降,一旦出現資訊保安事故,銀行可能無法在第一時間進行有效處理;部分銀行自身科技力量有限,無法真正實現資訊科技系統的落地,以更好地滿足自身需求;在資訊科技外包過程中存在資料安全隱患;不同銀行對同一科技服務商的依賴容易導致系統性風險。
《辦法》提到,銀行保險機構應對對於資訊科技外包活動及相關服務提供商進行分級管理,對重要外包和一般外包採取差異化管控措施。
同時,在准入方面的要求也更加嚴格。銀行保險機構應根據資訊科技外包戰略,結合風險評估情況,明確服務提供商的准入標準,對備選服務提供商進行篩選,審慎引入集中度風險較高或增加機構整體風險的服務提供商。
對於關聯外包和同業外包,銀行保險機構不得降低對服務提供商的要求,嚴格防範利益衝突和利益輸送。
03.贏家通吃局面難再
但“贏家通吃”的局面也是監管不願意看到的。
上述金融科技公司人士指出,除了雲服務,還有CDN服務等等各種科技賦能銀行的業務,都存在少數科技巨頭佔有很大市場份額的情況。比如助貸業務(個人及小微企業這塊),很多小銀行線上助貸業務就跟螞蟻和騰訊合作,如果發生風險就比較集中。
《辦法》也規定,銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商,積極採用分散外包活動、注重外包專案智慧財產權保護、提高自身研發運維能力、儲備潛在替代服務提供商等手段,減少對個別外包服務提供商的依賴,降低集中度風險。
同時,監管部門也會對集中度風險進行整體監測。《辦法》第四十條指出,銀保監會及其派出機構持續監測銀行業保險業資訊科技外包風險狀況,建立行業和區域集中度風險監測與核查機制,對重大或共性風險及時向行業釋出風險提示,積極防範因資訊科技外包可能引發的區域性、系統性風險。
根據風險狀況,銀保監會及其派出機構可以要求銀行保險機構與服務提供商會談,就其外包服務和風險相關的重大事項作出說明。
上述金融科技公司人士也指出,首先,在招標合作前,金融機構會要求科技公司提交合作機構情況並披露佔有的市場份額情況,在市場份額特別大時,未來可能會降低競標分數。此外,銀行保險都跟某家機構合作時,需要向監管報備,監管機構會監測合作情況,並進行視窗指導或者風險提示。
李廣子總結道,從影響上看,那些不符合規定的資訊科技外包將面臨清理整頓,部分資質較差的公司業務會受到衝擊,業務可能會向那些實力較強的科技公司集中。但同時,監管也會管控集中度風險。此外,《辦法》的出臺也會倒逼銀行提高自身科技實力。
