出品|WEMONEY研究室

文|劉雙霞

近日，銀保監(jiān)會發(fā)布了《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》（簡稱《辦法》），要求銀保機構(gòu)建立信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發(fā)的風險。同時，銀保監(jiān)會及其派出機構(gòu)監(jiān)管的其他金融機構(gòu)參照執(zhí)行。

這意味著，金融IT外包市場迎來全面監(jiān)管。在市場看來，金融IT業(yè)務將進入高標準、嚴要求的監(jiān)管階段，整體外包增量業(yè)務將向合規(guī)、風控標準更高的頭部廠商傾斜，而相對粗放式發(fā)展的中小廠商或面臨業(yè)務收縮。

但同時，監(jiān)管也提到要降低集中度風險，減少對個別外包服務提供商的依賴。這意味著，“贏家通吃”的局面不再，市場認為，在頭部外包商市場份額占比很大時，未來可能會被降低競標分數(shù)。

01.金融IT外包市場迎監(jiān)管

金融行業(yè)的信息化正不斷推進。各類金融機構(gòu)不斷加碼對信息科技的投入，信息科技實力是銀行等金融機構(gòu)的核心競爭力之一。

以銀行業(yè)為例，根據(jù)IDC數(shù)據(jù)統(tǒng)計，2013年我國銀行業(yè)IT投資規(guī)模為680.9億元，而到了2019年，這一數(shù)字已經(jīng)上漲到了1230.9億元，2013-2019的年均復合增長率達到10.4%。到2020年，銀行業(yè)整體IT投資規(guī)模達到1906.4億元。

中國金融學會會長、人民銀行原行長周小川撰文指出，銀行業(yè)在某種程度上可看作是信息科技的應用行業(yè)，其賬戶管理、客戶管理、支付體系、貸款決策及定價等，都是依靠以IT技術(shù)為支撐的信息處理來完成的。銀行業(yè)面臨信息科技發(fā)展帶來的挑戰(zhàn)，這是必然的。

周小川表示，銀行業(yè)既然是信息服務業(yè)，就必然要建立信息系統(tǒng)，包括硬件系統(tǒng)以及基礎(chǔ)軟件和應用軟件。過去銀行應用軟件可以自己開發(fā)，也可以外購，小銀行限于自身科技力量，外購情況更多。

有數(shù)據(jù)顯示，2019年銀行業(yè)信息科技外包項目數(shù)量同比增加13.8%，外包合同金額同比增加56.3%。

可以看到，大多數(shù)銀行尤其是中小銀行普遍采用IT外包支持其信息化建設(shè)，外包服務商承擔了大量的銀行業(yè)金融機構(gòu)信息科技服務工作，部分領(lǐng)域形成了較高的外包服務集中度和行業(yè)依賴。

為規(guī)范銀行保險機構(gòu)的信息科技外包活動，加強信息科技外包風險管控，銀保監(jiān)會近日發(fā)布了《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》。據(jù)悉，銀保監(jiān)會在2020年就已完成征求意見稿的起草工作。

該《辦法》的出爐是因為近幾年的監(jiān)管實踐發(fā)現(xiàn)，信息科技外包是當前銀行保險機構(gòu)的風險多發(fā)領(lǐng)域?！掇k法》的適用對象包括政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū)）農(nóng)村信用社聯(lián)合社，保險集團（控股）公司、保險公司、保險資產(chǎn)管理公司、金融資產(chǎn)管理公司，同時，銀保監(jiān)會及其派出機構(gòu)監(jiān)管的其他金融機構(gòu)參照執(zhí)行。

一位金融科技公司人士指出，現(xiàn)在金融科技公司為銀行賦能比較混亂，一些中小銀行自身科技實力較弱，在與各類科技公司合作時，辨別能力較差，后期容易發(fā)生風險。因此，《辦法》對中小銀行有一定的指導意義。

“對于銀行來講，這個《辦法》相當于一份信息科技外包管理的行動指南，是銀行管供應商的依據(jù)。合同簽約前做好盡職調(diào)查向銀保監(jiān)報備，報備成功才能簽約。”一位城商行IT部門人士指出，根據(jù)《辦法》規(guī)定，銀行保險機構(gòu)每年應當至少開展一次全面的信息科技外包風險管理評估，并向董（理）事會或高級管理層提交評估報告。

02.中小廠商面臨洗牌

隨著《辦法》落地，金融IT外包市場將迎來一場變局。

一位金融科技行業(yè)從業(yè)者認為，《辦法》影響比較大的是兩類：一類是特別小的金融科技公司，實力不夠，需要被淘汰；另一類是有一定壟斷的科技巨頭，一旦意外發(fā)生，可能引發(fā)系統(tǒng)性風險。

根據(jù)《辦法》規(guī)定，信息科技外包原則上劃分為咨詢規(guī)劃類、開發(fā)測試類、運行維護類、安全服務類、業(yè)務支持類等類別。

具體來看，監(jiān)管也給出了信息科技外包服務類型參考：

咨詢規(guī)劃類。包括但不限于：信息科技戰(zhàn)略規(guī)劃（含中長期規(guī)劃）咨詢，數(shù)據(jù)中心（機房）整體建設(shè)咨詢和規(guī)劃，信息科技治理（含數(shù)據(jù)治理）、信息科技風險管理體系、信息安全管理體系、業(yè)務連續(xù)性管理體系等管理類咨詢和規(guī)劃，重要信息系統(tǒng)架構(gòu)和建設(shè)相關(guān)的咨詢和規(guī)劃，新興技術(shù)應用咨詢和規(guī)劃。

開發(fā)測試類。包括但不限于：軟硬件開發(fā)和測試外包（含人力外包），軟件即服務形式的外包。

運行維護類。包括但不限于：數(shù)據(jù)中心（機房）物理環(huán)境的托管或運行維護，軟硬件基礎(chǔ)設(shè)施托管或運行維護，應用系統(tǒng)運行維護，電子機具運行維護，終端等辦公設(shè)備的運行維護，以及涉及以上運行維護的人力外包。

安全服務類。包括但不限于：安全運營服務，安全加固服務，安全設(shè)備運行維護，安全日志處理與分析，安全測試服務，密鑰管理及運行維護，數(shù)據(jù)安全服務，以及涉及以上服務的人力外包。

業(yè)務支持類。包括但不限于：市場拓展、業(yè)務運營（集中作業(yè)、呼叫中心等）、企業(yè)管理、資產(chǎn)處置、數(shù)據(jù)處理、數(shù)據(jù)利用等業(yè)務外包或第三方合作當中涉及銀行保險機構(gòu)的重要數(shù)據(jù)或客戶個人信息處理的信息科技活動，法律法規(guī)另有要求的除外。

業(yè)內(nèi)人士指出，這幾乎涵蓋了目前為金融機構(gòu)提供賦能、服務的所有類別金融科技公司。

而目前銀行信息科技外包服務商質(zhì)量參差不齊。據(jù)披露，監(jiān)管部門在核查中發(fā)現(xiàn)，有些外包商對銀行客戶信息和敏感技術(shù)資料安全保護薄弱，系統(tǒng)托管服務生產(chǎn)運行風險高，交付銀行的軟件產(chǎn)品存在安全漏洞，可能給銀行系統(tǒng)安全運行帶來風險。

中國社會科學院金融研究所銀行研究室主任、國家金融與發(fā)展實驗室研究員李廣子進一步介紹，當前銀行IT外包中存在的主要問題包括：信息科技外包導致銀行自主風控能力下降，一旦出現(xiàn)信息安全事故，銀行可能無法在第一時間進行有效處理；部分銀行自身科技力量有限，無法真正實現(xiàn)信息科技系統(tǒng)的落地，以更好地滿足自身需求；在信息科技外包過程中存在數(shù)據(jù)安全隱患；不同銀行對同一科技服務商的依賴容易導致系統(tǒng)性風險。

《辦法》提到，銀行保險機構(gòu)應對對于信息科技外包活動及相關(guān)服務提供商進行分級管理，對重要外包和一般外包采取差異化管控措施。

同時，在準入方面的要求也更加嚴格。銀行保險機構(gòu)應根據(jù)信息科技外包戰(zhàn)略，結(jié)合風險評估情況，明確服務提供商的準入標準，對備選服務提供商進行篩選，審慎引入集中度風險較高或增加機構(gòu)整體風險的服務提供商。

對于關(guān)聯(lián)外包和同業(yè)外包，銀行保險機構(gòu)不得降低對服務提供商的要求，嚴格防范利益沖突和利益輸送。

03.贏家通吃局面難再

但“贏家通吃”的局面也是監(jiān)管不愿意看到的。

上述金融科技公司人士指出，除了云服務，還有CDN服務等等各種科技賦能銀行的業(yè)務，都存在少數(shù)科技巨頭占有很大市場份額的情況。比如助貸業(yè)務（個人及小微企業(yè)這塊），很多小銀行線上助貸業(yè)務就跟螞蟻和騰訊合作，如果發(fā)生風險就比較集中。

《辦法》也規(guī)定，銀行保險機構(gòu)應識別對本機構(gòu)具有集中度風險的外包服務及其提供商，積極采用分散外包活動、注重外包項目知識產(chǎn)權(quán)保護、提高自身研發(fā)運維能力、儲備潛在替代服務提供商等手段，減少對個別外包服務提供商的依賴，降低集中度風險。

同時，監(jiān)管部門也會對集中度風險進行整體監(jiān)測?！掇k法》第四十條指出，銀保監(jiān)會及其派出機構(gòu)持續(xù)監(jiān)測銀行業(yè)保險業(yè)信息科技外包風險狀況，建立行業(yè)和區(qū)域集中度風險監(jiān)測與核查機制，對重大或共性風險及時向行業(yè)發(fā)布風險提示，積極防范因信息科技外包可能引發(fā)的區(qū)域性、系統(tǒng)性風險。

根據(jù)風險狀況，銀保監(jiān)會及其派出機構(gòu)可以要求銀行保險機構(gòu)與服務提供商會談，就其外包服務和風險相關(guān)的重大事項作出說明。

上述金融科技公司人士也指出，首先，在招標合作前，金融機構(gòu)會要求科技公司提交合作機構(gòu)情況并披露占有的市場份額情況，在市場份額特別大時，未來可能會降低競標分數(shù)。此外，銀行保險都跟某家機構(gòu)合作時，需要向監(jiān)管報備，監(jiān)管機構(gòu)會監(jiān)測合作情況，并進行窗口指導或者風險提示。

李廣子總結(jié)道，從影響上看，那些不符合規(guī)定的信息科技外包將面臨清理整頓，部分資質(zhì)較差的公司業(yè)務會受到?jīng)_擊，業(yè)務可能會向那些實力較強的科技公司集中。但同時，監(jiān)管也會管控集中度風險。此外，《辦法》的出臺也會倒逼銀行提高自身科技實力。