本报记者 傅碧霄
随着金融业数字化转型的加速,金融机构与IT外包服务商合作中产生的问题也逐渐暴露出来。2021年12月31日,银保监会发布《银行保险机构信息科技外包风险监管办法》(下称《办法》)显示,由于外包而引发的风险主要包括科技能力丧失、数据泄露、资金损失等6类。因此,《办法》要求金融机构建立风险评估机制,明确服务商准入标准。金融机构还应采用分散外包活动,减少对个别外包服务提供商的依赖,降低集中度风险。
中国社科院金融研究所金融科技研究室主任尹振涛对《华夏时报》记者表示,《办法》对于集中度问题的规定,不会让行业出现一家独大的情况。未来,行业也将加速优胜劣汰,科技实力不强,或不合规的公司很难生存。
集中度问题需注意
据尹振涛介绍,关于金融机构科技服务外包行业,此前有专项调研显示,存在的主要问题有过度依赖某一家公司的现象,市场中可能存在垄断。而且这种情况对银行本身也有一定风险,如果外包服务商出现问题,会影响银行的业务稳定。
因此,在选择服务商方面,《办法》强调,银行保险机构应明确服务提供商的准入标准,审慎引入集中度风险较高或增加机构整体风险的服务提供商。
《办法》还表示,银行保险机构应识别对本机构具有集中度风险的外包服务商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务商等手段,减少对个别外包服务商的依赖,降低集中度风险。
冰鉴科技市场总监周扬则认为,《办法》出台的背景值得关注,当前国际环境下,银行业基础设施自主可控成为大趋势。银行核心系统的分布式迁移及软硬件重塑都与外包有关,而很多在硬件、系统领域占据主导的外资IT机构,集中度较高。
不过,周扬对《华夏时报》记者表示,至于大型互联网科技公司,目前还少有集中度特别高的情况,所谓风控和导流,在整个银保业外包中占比很小,而且有征信业务管理办法来规范。
某金融科技从业人士对《华夏时报》记者指出,业内确实大量存在科技巨头占据较大市场份额的现象,例如云服务、CDN服务,以及助贷业务等。一旦发生风险,会造成比较大影响。
但在金融科技的不同细分领域,集中度现象也不尽相同。
据索信达控股CEO吴辅世向《华夏时报》记者介绍,索信达所在的市场细分领域,市场份额就较为分散。
IDC发布的《2020中国银行业IT解决方案市场份额》报告显示,索信达控股有限公司在客户资源管理解决方案市场中的占有率位于第二名,为9.3%,市场占有率第一的公司是中电金信软件有限公司,也仅为10.9%。可见头部企业的市场份额都不算太多。
“《办法》指出金融机构应减少对个别外包服务提供商的依赖,对索信达这样以创新技术为客户服务的公司提供了更多机会和发展空间。”吴辅世于1月11日对《华夏时报》记者这样说道。
在尹振涛看来,《办法》对于集中度问题的规定,不会让行业出现一家独大的市场结构,这有利于中型企业的发展,获得更多市场机会。
天壤联合创始人韩定一也认为,未来中小厂商在调整业务结构、完善内控管理后,预计会有进一步的发展。例如有些大项目由于准入标准较高,会筛选有资质、管理精细的小企业共同参与,对天壤这些中小企业来说是发展机遇。
韩定一还表示:“短期来说,《办法》的相关政策可能会中断大型科技公司的部分业务,但不会影响长期发展。大型科技公司往往有较成熟和完整的技术体系和创新能力,仍可以保持领先地位。《办法》的出台,可以全面提升大型科技公司的安全意识、服务水平和管理水平。特别是对外包采取差异化管控措施,能够驱动大型科技公司提供更精准、更高效的运营服务。”
差异化管控
尹振涛于1月11日对《华夏时报》记者表示,《办法》的出台是一次监管的升级,之前有关于信息技术服务外包风险的指引。从监管层级来讲,指引只是一个业务导向,而不是完全意义上的监管规定,此次升级为监管办法,是一个非常大的信号。
《办法》的一个显著特点,就提出了金融机构要有独立的风险评估机制。
《办法》要求,银行保险机构应当建立信息科技外包管理体系,指定信息科技外包风险主管部门,每年都对外包风险进行全面评估。需注意由于外包而引发的风险主要包括6种:科技能力丧失、业务中断、数据泄露、资金损失、服务水平下降,以及声誉合规风险。
差异化管控是《办法》的另一个特色。
《办法》将信息服务外包分为两种类型,即一般外包和重要外包。重要外包包括,核心业务系统开发测试和运维的整体外包、信息科技战略规划(含中长期规划)咨询外包、涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包等。针对不同类型的外包服务,采取不同管理措施。
尹振涛认为,实行差异化管控,充分考虑到了行业特点与趋势。
警惕外包风险
尹振涛对《华夏时报》记者指出,《办法》在个人隐私、数据安全方面的规定也值得注意。
周扬也表示,此次正式出台的《办法》相比之前的征求意见稿,新增了“保障网络和信息安全,加强重要数据和个人信息保护”这一原则,与《个人信息保护法》相衔接。周扬指出,劳动密集型的一线岗位,如信息录入、单据审核、客户服务、电话提醒、回访、催收等领域的外包,尤其关乎客户个人信息安全。
据吴辅世向《华夏时报》记者介绍,以索信达与银行机构的合作为例,银行普遍具有非常严格的安全管理、风险管理机制,索信达在银行严格保密性要求下去做服务,不会直接接触客户敏感数据,也不收集保留任何数据,而只是提供数据相关技术服务,可有效规避数据泄露等风险。
《办法》对不能外包的业务做出了明确规定,银行保险不得将信息科技管理责任、网络安全主体责任外包。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能也不得外包。
《办法》还强调,信息科技外包的同时,不应妨碍银行保险机构核心能力建设,银行保险机构要积极掌握关键技术。“银行保险机构不可过度依赖外包导致自身失去科技控制及创新能力。”
周扬认为《办法》的这一条款十分关键。据周扬介绍,冰鉴科技和南京银行共同研发的基于多方安全计算的差异化营销平台,就是在确保银行掌握关键技术前提下,进行的科技创新。
另外,对于关联外包和同业外包,《办法》规定,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。
对此,周扬对《华夏时报》记者分析道:“母行和下属的科技子公司之间就是关联外包,大银行向中小银行进行技术输出是同业外包,这方面的利益冲突往往在水面之下,不易察觉,银保机构应当加强这方面的内审。”
加速优胜劣汰
尹振涛认为,《办法》将对金融科技行业产生较大的影响,金融科技公司与银行保险机构的合作将会更加规范。在《办法》的约束下,第三方科技公司将加速优胜劣汰,不具备特色的公司、实力不强的小公司,以及违规获利打擦边球的公司,都将很难生存。“只有真正具备科技实力的公司才有更好的市场发展空间。”
周扬认为,《办法》的出台,对于注重信息系统安全、有完善的灾备计划和个人信息保护的外包供应商是利好,反之则会受到限制。吴辅世也对《华夏时报》记者表示,未来,不合规的企业将会淘汰,拥抱监管、重视风控的企业会得到更多机会。
韩定一表示,《办法》的出台提高了机构和金融科技公司在数字化转型中的协同共治能力,标志着金融科技行业野蛮生长的时代结束。科技金融企业面临信息技术能力、数字化能力及业务运营等系统性能力的挑战。目前行业的外包服务商服务质量和水平参差不齐,有核心技术优势的中小企业更容易获得市场优势。
“金融科技业态是多元化主体共同推动的开放合作生态。其中提供技术服务的科技企业是重要主体。银行保险机构和科技企业在合作中如何满足合规要求,规避风险发生,如何通过优势互补共同提升,是今后应重点思考的问题。企业也应做好员工合规培训,配合好金融机构的风险管理制度,共同推进安全规范的金融科技创新及应用。” 吴辅世对《华夏时报》记者这样说道。
责任编辑:孟俊莲 主编:冉学东