近日，银保监会完成了《银行保险机构信息科技外包风险监管办法（征求意见稿）》（下称《办法》）起草工作。

《办法》所适用的信息科技外包，是指银行保险机构将与本机构经营活动相关的信息科技活动委托给服务提供商进行持续处理的行为。银行保险机构与第三方合作当中涉及重要数据和个人信息处理的信息科技活动，按照《办法》相关要求进行管理。

根据总体要求，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包纳入全面风险管理体系，有效控制由于外包而引发的风险。

《办法》出炉的一个大背景是，近几年的监管实践发现，信息科技外包是当前银行保险机构的风险多发领域，主要表现在以下几个方面：一是银行保险机构信息科技外包范围不断扩大；二是银行保险机构信息科技外包形式趋于多样；三是银行保险机构信息科技外包活动风险频发。

因此，信息科技外包作为信息科技风险监管的一个重要领域，需要在原有基础上进一步加强监管约束，加大监管力度。原银监会于2013年印发了《银行业金融机构信息科技外包风险监管指引》（下称《指引》），对规范银行业信息科技风险管理发挥了重要作用，但保险行业尚无专门的监管规范。

为此，从“补短板”的角度，将制定银行业保险业融合统一的信息科技外包风险监管规制列入了2019年度和2020年度银保监会法规制修订计划。本次编制拟在原银监会《指引》和相关规范性文件的基础上，结合原保监会《保险公司信息系统安全管理指引》有关章节，以及国家有关法律法规最新进展和金融科技发展形势进行编制，形成《办法》。

据了解，《办法》编制原则体现在以下三点：继承性原则，本次编制工作拟在银行业、保险业已有规制的基础上开展，保障与已出台的相关规制衔接一致；发展性原则，拟参考当前风险的形势变化，结合国家层面的法律法规，基于近年来实践的反馈对现有规制进行适度调整，保障规制的发展与形势和实践的要求相匹配；国际性原则，拟在编制中充分借鉴国际相关规则，促进银行保险业信息科技外包监管规则与国际规则的接轨。

信息科技外包风险管理的核心是对外包生命周期内各种活动的风险识别、评估、监测及控制。因此，此次《办法》主要围绕信息科技外包风险管理，着重考虑四个层面：

一是治理层面。为了保障信息科技外包与IT战略、业务战略的一致性，有效管控外包风险，需要在治理层面对信息科技外包作出框架性安排，提出监管要求，包括外包相关的组织架构、制度流程等。

二是管理层面。信息科技外包是一种流程性的活动。从监管角度，外包流程的每一个环节都存在风险，在管理层面对信息科技外包活动全流程的关键环节提出要求，核心是准入和监控评价，体现监管当局对银行保险机构开展信息科技外包工作当中风险控制活动的基本期望。

三是风险层面。外包过程中的风险管理和内部控制相互依存。从风险的维度，特别是对外包活动中可能产生的独特风险，如跨境外包风险、集中度风险、非驻场风险等，提出进一步的管理要求。

四是监管层面。为了对信息科技外包实施有效的监督管理，有必要从监管的角度，对事前报告、监管评估、风险监测、监督管理、现场核查、监管问责等措施作出原则规定。