近幾年,銀行保險機(jī)構(gòu)積極開展數(shù)字化轉(zhuǎn)型,在加大科技創(chuàng)新力度、更好地滿足金融消費(fèi)者需求的同時,對信息科技外包服務(wù)的依賴度不斷加大。與此同時,部分銀行保險機(jī)構(gòu)對信息科技外包風(fēng)險管控力度不足,因而導(dǎo)致的業(yè)務(wù)中斷、敏感信息泄露等事件時有發(fā)生。
此外,部分領(lǐng)域外包服務(wù)提供商高度集中,形成了行業(yè)集中度風(fēng)險。為此,銀保監(jiān)會按照風(fēng)險為本的導(dǎo)向,以彌補(bǔ)短板、強(qiáng)化監(jiān)管為目標(biāo),于2021年12月30日發(fā)布了《銀行保險機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》(以下簡稱《辦法》),《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管指引》(以下簡稱《指引》)同時廢止。
《辦法》從信息科技外包治理、準(zhǔn)入、監(jiān)控評價、風(fēng)險管理等方面對銀行保險機(jī)構(gòu)信息科技外包提出要求?!掇k法》的制定出臺,將促進(jìn)銀行保險機(jī)構(gòu)建立并完善信息科技外包治理架構(gòu),加強(qiáng)信息科技外包風(fēng)險管理體系建設(shè),提高信息科技外包風(fēng)險管控能力,促進(jìn)銀行保險機(jī)構(gòu)穩(wěn)健開展數(shù)字化轉(zhuǎn)型工作。
一、《辦法》與《指引》的區(qū)別
?。ㄒ唬┱媳O(jiān)管制度
?。ǘU(kuò)大適用范圍
機(jī)構(gòu)范圍:由原來主要針對各類銀行、農(nóng)信社以及參照執(zhí)行的其他金融機(jī)構(gòu),增加了各類保險機(jī)構(gòu),包括保險集團(tuán)(控股)公司、保險公司、保險資產(chǎn)管理公司等。
管理范圍:隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》的出臺,《辦法》根據(jù)這些法律法規(guī),新增了網(wǎng)絡(luò)安全、數(shù)據(jù)安全、跨境外包的信息跨境處理等要求。《辦法》也正式將銀行保險機(jī)構(gòu)與其他第三方合作當(dāng)中,涉及銀行保險機(jī)構(gòu)重要數(shù)據(jù)和客戶個人信息處理的信息科技活動納入管理適用范圍。
?。ㄈ?qiáng)化主體責(zé)任
《辦法》繼續(xù)強(qiáng)調(diào)了金融機(jī)構(gòu)的主體責(zé)任,在實(shí)施原則中明確不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包,強(qiáng)調(diào)事前控制和事中監(jiān)督,持續(xù)改進(jìn)外包策略和風(fēng)險管理措施。
《辦法》要求針對可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù),銀行保險機(jī)構(gòu)應(yīng)當(dāng)事先建立風(fēng)險控制、緩釋或轉(zhuǎn)移措施;要求銀行保險機(jī)構(gòu)應(yīng)承擔(dān)內(nèi)部審計職能和責(zé)任,定期開展信息科技外包及其風(fēng)險管理的審計工作,內(nèi)部審計項(xiàng)目可委托母公司或同一集團(tuán)下屬子公司實(shí)施,或聘請獨(dú)立第三方實(shí)施。
(四)網(wǎng)絡(luò)和信息安全要求升級
《辦法》對于外包活動中涉及的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護(hù)十分重視,在外包開展原則、外包準(zhǔn)入、監(jiān)控評價、風(fēng)險管理中多次強(qiáng)調(diào)了網(wǎng)絡(luò)和信息安全要求:一是盡職調(diào)查中要求服務(wù)提供商有網(wǎng)絡(luò)和信息安全保障能力;二是服務(wù)效能和質(zhì)量監(jiān)控指標(biāo)中要設(shè)立網(wǎng)絡(luò)和信息安全指標(biāo);三是風(fēng)險管控措施中要落實(shí)對服務(wù)提供商和外包人員的網(wǎng)絡(luò)和信息安全教育。網(wǎng)絡(luò)和信息安全要求貫穿《辦法》全文,可見監(jiān)管的重視程度,也是今年外包管控的重要方向。
?。ㄎ澹Ω呒卸葟S商和重點(diǎn)外包服務(wù)機(jī)構(gòu)包容度更高
用詞從“防范引入”到“謹(jǐn)慎引入”。從“防范引入高機(jī)構(gòu)集中度風(fēng)險特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險的服務(wù)提供商”到“審慎引入集中度風(fēng)險較高或增加機(jī)構(gòu)整體風(fēng)險的服務(wù)提供商”,用詞的變化反映出《辦法》對銀行保險機(jī)構(gòu)引入集中度風(fēng)險較高廠商的包容度更高,把更多的管理控制和選擇權(quán)交給了銀行保險機(jī)構(gòu)自行判斷。
大幅簡化集中度風(fēng)險管理相關(guān)條款?!掇k法》刪減“機(jī)構(gòu)集中度風(fēng)險管理”章節(jié),全文僅有四項(xiàng)條款涉及集中度風(fēng)險,未對具有高集中度風(fēng)險的供應(yīng)商提出具體監(jiān)管措施。
刪減“重點(diǎn)外包服務(wù)機(jī)構(gòu)的風(fēng)險管理要求”章節(jié)?!掇k法》刪減“銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險管理要求”章節(jié),包括:重點(diǎn)外包服務(wù)機(jī)構(gòu)的范圍,針對注冊資本、組織架構(gòu)、管理體系、技術(shù)能力、資質(zhì)認(rèn)證等方面要求,不再單獨(dú)針對重點(diǎn)外包服務(wù)機(jī)構(gòu)實(shí)施差異化監(jiān)管。
?。┓?wù)提供商盡職調(diào)查要求更明確
? 盡調(diào)對象從“重要的服務(wù)提供商”到“重要外包的備選服務(wù)提供商”。前者《指引》是對重要服務(wù)提供商的盡職調(diào)查,調(diào)查對象針對的是重要服務(wù)提供商;而后者《辦法》中強(qiáng)調(diào)了重要外包項(xiàng)目的性質(zhì),只有是重要外包相對應(yīng)的備選服務(wù)提供商才做盡職調(diào)查,這兩者有著本質(zhì)區(qū)別,即使此外包商之前在銀行里的評級定為“重要外包商”,但是它本次和銀行保險機(jī)構(gòu)合作的項(xiàng)目定義為“非重要外包項(xiàng)目”,也無需實(shí)施盡職調(diào)查,所以“重要外包”是做盡調(diào)的關(guān)鍵條件。
(七)同業(yè)外包被嚴(yán)格納入集中度風(fēng)險監(jiān)管范圍
《辦法》提出“對于關(guān)聯(lián)外包和同業(yè)外包,銀行保險機(jī)構(gòu)不得降低對服務(wù)提供商的要求,嚴(yán)格防范利益沖突和利益輸送”,相較于《指引》中“對于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行保險機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行外包管理”,從《指引》的參照執(zhí)行,到《辦法》的嚴(yán)格防范,意味著銀行保險機(jī)構(gòu)金融科技子公司將被列為監(jiān)管范圍,也表明了監(jiān)管機(jī)構(gòu)積極關(guān)注銀行保險機(jī)構(gòu)金融科技子公司的發(fā)展前景。
二、主要內(nèi)容解讀
?。ㄒ唬┛傮w框架
《辦法》共分為七章,四十六條,分別從治理、管理、監(jiān)督三個層面展開,對外包準(zhǔn)入、外包監(jiān)控評價、外包風(fēng)險管控、監(jiān)管報告和問責(zé)等做出了明確的要求。
?。ǘ┲攸c(diǎn)分析1:網(wǎng)絡(luò)和信息安全
監(jiān)管機(jī)構(gòu)對于外包活動中涉及的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護(hù)也越發(fā)重視?!掇k法》根據(jù)相關(guān)法律法規(guī),在適用范圍、原則及風(fēng)險管理中將相關(guān)內(nèi)容納入監(jiān)管要求,《辦法》多處提及“網(wǎng)絡(luò)和信息安全”,可見網(wǎng)絡(luò)安全法和個人信息保護(hù)法、數(shù)據(jù)安全法出臺后,監(jiān)管機(jī)構(gòu)對于外包活動中的網(wǎng)絡(luò)和信息安全管控提升了重視程度。
網(wǎng)絡(luò)和信息安全最佳實(shí)踐建議:網(wǎng)絡(luò)和信息安全盡職調(diào)查指標(biāo)應(yīng)至少包括安全團(tuán)隊(duì)建設(shè)、安全策略、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、用戶權(quán)限、終端安全、運(yùn)維安全,可根據(jù)外包活動性質(zhì)選擇適合的指標(biāo)。
服務(wù)效能和質(zhì)量監(jiān)控最佳實(shí)踐建議:服務(wù)效能和質(zhì)量監(jiān)控中網(wǎng)絡(luò)和信息安全指標(biāo)應(yīng)至少包括缺陷修復(fù)率、漏洞修復(fù)率、數(shù)據(jù)有效性配置率、敏感信息留存率、源代碼審計執(zhí)行率、重要數(shù)據(jù)泄露次數(shù)、傳輸中斷次數(shù)、數(shù)據(jù)非授權(quán)銷毀次數(shù)、敏感信息暴露次數(shù)、病毒入侵次數(shù)、系統(tǒng)越權(quán)次數(shù)等。
網(wǎng)絡(luò)和信息安全評估最佳實(shí)踐建議:關(guān)于第三十二條(六)定期對外包活動進(jìn)行網(wǎng)絡(luò)和信息安全評估,可關(guān)注(1)駐場類,可參考外包安全教育、安全保密協(xié)議、權(quán)限管控、源代碼檢查、敏感信息泄露、終端口令安全、終端病毒防護(hù)等指標(biāo);(2)非駐場類,可參考物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、權(quán)限安全、終端安全和運(yùn)維安全等指標(biāo)。
?。ㄈ┲攸c(diǎn)分析2:分類分級管理
《辦法》不僅細(xì)化了外包的五大分類標(biāo)準(zhǔn),要求針對不同類型外包活動建立相適應(yīng)的管理和風(fēng)險策略;更明確了外包項(xiàng)目的分級,要求對于重要外包和一般外包采取差異化的管控措施,并給出了部分外包名詞解釋。
《辦法》已給出的外包名詞解釋,這里不再贅述,分享行業(yè)對于其他外包相關(guān)名詞的解釋,可供大家參考。
盡職調(diào)查:是在簽訂合同前,對重要外包的備選服務(wù)提供商采取的資產(chǎn)、經(jīng)營、內(nèi)控、人員和經(jīng)驗(yàn)等存在的潛在風(fēng)險隱患實(shí)施的一系列必要的調(diào)查程序。
實(shí)地檢查:是指通過現(xiàn)場的訪談、審閱、觀察、測試等方式,對非駐場外包活動所采取的一系列的檢查程序,更關(guān)注現(xiàn)存風(fēng)險程度、影響及損失。
網(wǎng)絡(luò)和信息安全評估:是指對駐場或非駐場外包服務(wù)在網(wǎng)絡(luò)和信息安全方面所采取的安全控制完整性、合理性、有效性的評價程序,更關(guān)注網(wǎng)絡(luò)和信息安全、數(shù)據(jù)安全和個人信息保護(hù)層面存在的風(fēng)險。
集中度風(fēng)險:是指將外包服務(wù)集中交由單一或少量服務(wù)提供商承接而產(chǎn)生的廣泛依賴、自主可控、服務(wù)中斷及服務(wù)質(zhì)量下降所產(chǎn)生的風(fēng)險。
集中度風(fēng)險外包商:參考《指引》重要外包服務(wù)機(jī)構(gòu)的定量指標(biāo),結(jié)合銀行實(shí)際情況設(shè)立自己的指標(biāo)維度,可參考合同金額或合同數(shù)量超過銀行全行1/3以上的外包商。
?。ㄋ模┲攸c(diǎn)分析3:第三方合作服務(wù)
首次將“第三方”合作納入業(yè)務(wù)支持類外包進(jìn)行統(tǒng)籌管控,各銀行保險機(jī)構(gòu)應(yīng)對本機(jī)構(gòu)的第三方服務(wù)活動進(jìn)行深入調(diào)研,識別合作流程、主要風(fēng)險及現(xiàn)有控制措施,重點(diǎn)關(guān)注第三方在重要數(shù)據(jù)和客戶個人信息處理安全機(jī)制的落實(shí)情況。
?。ㄎ澹┲攸c(diǎn)分析4:外包商盡職調(diào)查
外包商盡職調(diào)查,就是在重要外包項(xiàng)目中標(biāo)后,簽訂合同前這段時間內(nèi)對外包服務(wù)備選商的經(jīng)營狀況、商業(yè)信譽(yù)、技術(shù)能力、財務(wù)、人員能力、經(jīng)驗(yàn)?zāi)芰Φ惹闆r進(jìn)行深入調(diào)查,一般銀行保險機(jī)構(gòu)會選出第一名、第二名和第三名的中標(biāo)單位,會對三家備選商均開展盡職調(diào)查。
價值如下:一是了解外包商真實(shí)的管理和經(jīng)營情況,驗(yàn)證投標(biāo)文件所說的事實(shí)情況,避免出現(xiàn)投標(biāo)文件與事實(shí)產(chǎn)生較大的偏差或不符,存在外包風(fēng)險;二是對備選商實(shí)施盡職調(diào)查,不僅是對第一名,第二、三名也同樣做盡調(diào),一旦第一名盡調(diào)出現(xiàn)問題,順序第二名可以補(bǔ)充上,或者第一名在實(shí)施過程中突然異常退出,由于前面實(shí)施了盡調(diào),第二名補(bǔ)上也順理成章,不會心里沒有把握。
部分大型商業(yè)銀行對于此項(xiàng)標(biāo)準(zhǔn)的執(zhí)行更為嚴(yán)格,尤其是對于業(yè)務(wù)支持類外包商的盡職調(diào)查更為嚴(yán)格,銀行一般在供應(yīng)商選擇與調(diào)研階段就開展了盡職調(diào)查,此執(zhí)行措施比監(jiān)管要求的簽訂合同前要求更高,但也存在可能部分供應(yīng)商前期參與了盡職調(diào)查后,后期突然放棄參標(biāo)的情況,從而造成資源和成本浪費(fèi),因此盡職調(diào)查的時機(jī)選擇也值得大家思考。
?。┲攸c(diǎn)分析5:非駐場外包商現(xiàn)場檢查
非駐場外包商的現(xiàn)場檢查從《指引》的每年一次,到《辦法》的三年全覆蓋,整個監(jiān)管態(tài)勢發(fā)生了較大的變化,也更貼合了銀行業(yè)發(fā)展的實(shí)際情況,大型商業(yè)銀行和中小銀行由于自身非駐場外包服務(wù)的數(shù)量差異,所選擇的執(zhí)行模式也會略有差別。無論哪種模式,均需對非駐場外包服務(wù)進(jìn)行詳細(xì)、深入檢查,部分領(lǐng)先銀行已梳理完成“非駐場外包服務(wù)的合作流程風(fēng)險點(diǎn)及現(xiàn)有控制措施”,對所有可能產(chǎn)生數(shù)據(jù)落地、數(shù)據(jù)泄露的風(fēng)險要點(diǎn)進(jìn)行檢查和驗(yàn)證。在實(shí)施現(xiàn)場檢查時除下圖給出的指標(biāo)參考外,大家更應(yīng)關(guān)注:由于網(wǎng)絡(luò)安全、數(shù)據(jù)安全所引發(fā)的重要數(shù)據(jù)和個人信息泄露或損壞的防護(hù)措施設(shè)計和執(zhí)行有效性。
?。ㄆ撸┲攸c(diǎn)分析6:外包商服務(wù)后評價
外包商服務(wù)后評價,其實(shí)是監(jiān)管機(jī)構(gòu)希望銀行建立一個優(yōu)勝劣汰的機(jī)制,促進(jìn)銀行保險機(jī)構(gòu)外包商的“血液”循環(huán),可考慮建立外包商后評價指標(biāo)。后評價指標(biāo)中可將外包質(zhì)量考核結(jié)果作為其中一個大的指標(biāo)項(xiàng)進(jìn)行評價,將外包績效評價與外包商后評價有效關(guān)聯(lián)。可設(shè)立考評百分制,根據(jù)分值設(shè)定“優(yōu)、良、中、差”四個級別,根據(jù)不同級別出現(xiàn)的次數(shù),結(jié)合是否產(chǎn)生了重要數(shù)據(jù)和個人信息泄露、損壞等外包事件情況,作為后續(xù)外包商準(zhǔn)入合作的重要參考依據(jù),并打通外包服務(wù)評價環(huán)節(jié)與招標(biāo)采購環(huán)節(jié)之間的流程,有效利用外包商后評價的工作成果。
三、辦法應(yīng)對機(jī)制
?。ㄒ唬┨嵘吖軐訉萍纪獍匾暢潭龋攲油苿油獍哔|(zhì)量發(fā)展
銀行保險機(jī)構(gòu)應(yīng)從頂層推動開展信息科技外包管理體系的標(biāo)準(zhǔn)化和精細(xì)化建設(shè),持續(xù)完善外包制度和流程建設(shè),有效落實(shí)各部門在外包管理體系中的職責(zé),理事會與高管層應(yīng)定期對外包管理工作落實(shí)情況進(jìn)行監(jiān)督,可聘請外部專業(yè)公司協(xié)助開展外包風(fēng)險評估和外包體系標(biāo)準(zhǔn)化建設(shè),夯實(shí)外包管理基礎(chǔ),全面提升外包風(fēng)險管理水平。
?。ǘ┙∪萍纪獍M織架構(gòu)及職責(zé),有效落實(shí)監(jiān)管各項(xiàng)職責(zé)要求
銀行保險機(jī)構(gòu)應(yīng)當(dāng)建立覆蓋董(理)事會、高管層、信息科技外包風(fēng)險主管部門、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包及風(fēng)險管理組織架構(gòu),明確相應(yīng)層級的職責(zé),確保信息科技外包管理工作高效、有序開展,對外包風(fēng)險進(jìn)行有效控制。
?。ㄈ┙ㄔO(shè)科技外包管理制度體系,夯實(shí)科技外包規(guī)范化管控基礎(chǔ)
銀行保險機(jī)構(gòu)應(yīng)根據(jù)信息科技外包監(jiān)管合規(guī)要求,結(jié)合科技外包管控現(xiàn)狀,合理規(guī)劃科技外包制度體系框架,形成戰(zhàn)略-辦法-細(xì)則-表單四維一體的科技外包制度體系管控模式,有效指導(dǎo)和全面落實(shí)科技外包各項(xiàng)管控要求。
?。ㄋ模┘?xì)化信息科技外包分類,積極落實(shí)對應(yīng)風(fēng)險管控機(jī)制
銀行保險機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包活動分類分級管理機(jī)制,針對不同類型的外包活動建立相應(yīng)的管理和風(fēng)控策略,對重要外包和一般外包采取差異化管控措施。
?。ㄎ澹┳R別第三方服務(wù)場景,有效落實(shí)重要數(shù)據(jù)和客戶個人信息管控目標(biāo)
銀行保險機(jī)構(gòu)應(yīng)有效識別第三方服務(wù)所涉及的主管部門、業(yè)務(wù)類型、業(yè)務(wù)名稱、業(yè)務(wù)環(huán)節(jié)、重要數(shù)據(jù)和客戶個人信息、第三方機(jī)構(gòu)、服務(wù)說明、主要風(fēng)險、現(xiàn)有管控措施等方面,涉及重要數(shù)據(jù)和客戶個人信息的外包活動應(yīng)納入業(yè)務(wù)支持類實(shí)施有效的安全管控。
?。┏浞致男斜M職調(diào)查、非現(xiàn)場檢查、外包商后評價,外包整體風(fēng)險管控
銀行保險機(jī)構(gòu)應(yīng)對重要外包活動建立全生命周期的管控措施,從外包開展前的立項(xiàng)前風(fēng)險評估、備選服務(wù)商盡職調(diào)查,到外包實(shí)施時的服務(wù)效能和質(zhì)量監(jiān)控、外包商運(yùn)營狀況監(jiān)控,直至外包商服務(wù)后評價,形成完整的外包活動風(fēng)險閉環(huán)管控。
?。ㄆ撸┘訌?qiáng)外包網(wǎng)絡(luò)與信息安全管控,充分落實(shí)國家法規(guī)及監(jiān)管要求
外包活動執(zhí)行團(tuán)隊(duì)?wèi)?yīng)進(jìn)一步提升基于外包人員活動全生命周期的管理能力,從外包人員入場、外包項(xiàng)目實(shí)施、外包人員離場等階段,加強(qiáng)管理與采取技術(shù)措施,降低敏感信息泄露風(fēng)險。外包風(fēng)險管理部門應(yīng)定期對外包活動進(jìn)行網(wǎng)絡(luò)和信息安全評估。審計部門應(yīng)定期開展信息科技外包及其風(fēng)險管理的審計工作。
?。ò耍┨岣呖萍纪獍L(fēng)險監(jiān)測能力,持續(xù)提升外包服務(wù)質(zhì)量與效能
銀行保險機(jī)構(gòu)應(yīng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議與監(jiān)控評價機(jī)制,對信息科技外包服務(wù)制定服務(wù)效能和質(zhì)量監(jiān)控指標(biāo),并進(jìn)行相應(yīng)監(jiān)控,當(dāng)指標(biāo)出現(xiàn)異常時,應(yīng)及時采取處置措施。
(九)履行科技外包風(fēng)險評估及審計職能,積極促進(jìn)外包管理體系持續(xù)提升
銀行保險機(jī)構(gòu)應(yīng)有效落實(shí)外包全面風(fēng)險評估與審計。風(fēng)險部門每年應(yīng)至少開展一次全面的信息科技外包風(fēng)險管理評估,應(yīng)充分識別并評估信息科技外包可能產(chǎn)生的風(fēng)險,并向理事會或高級管理層提交評估報告。審計部門應(yīng)定期對信息科技外包活動進(jìn)行審計,至少每三年覆蓋所有重要外包。
?。ㄊ┘訌?qiáng)外包連續(xù)性管理與日常演練,打造穩(wěn)定的外包服務(wù)生態(tài)環(huán)境
銀行保險機(jī)構(gòu)風(fēng)險部門應(yīng)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,組織服務(wù)提供商參與編制應(yīng)急計劃,至少每年在綜合性演練或?qū)m?xiàng)演練中納入一個或多個服務(wù)提供商,并開展一次相關(guān)演練。
四、總結(jié)與展望
通過對近幾年監(jiān)管檢查的分析發(fā)現(xiàn),信息科技外包是當(dāng)前銀行保險機(jī)構(gòu)的風(fēng)險多發(fā)區(qū)域,主要表現(xiàn)為:機(jī)構(gòu)敏感信息泄露、外包服務(wù)異常中斷、外包質(zhì)量降低等方面,將嚴(yán)重制約機(jī)構(gòu)的健康、有序發(fā)展,因此外包風(fēng)險值得關(guān)注。
隨著國際形式的發(fā)展,中國與國外貿(mào)易競爭日趨激烈,供應(yīng)鏈安全風(fēng)險已從上下游產(chǎn)業(yè)風(fēng)險逐步演變?yōu)閲鴦e風(fēng)險。采用自主可控技術(shù)或產(chǎn)品、降低外包依賴、建立備選供應(yīng)商庫、識別供應(yīng)商產(chǎn)業(yè)關(guān)系等手段可有效控制和降低供應(yīng)鏈風(fēng)險。
隨著銀行保險機(jī)構(gòu)業(yè)務(wù)與科技的深度融合及數(shù)字化轉(zhuǎn)型不斷深化,外包集中度風(fēng)險、外包依賴風(fēng)險、外包供應(yīng)鏈風(fēng)險、外包網(wǎng)絡(luò)與信息安全風(fēng)險更值得關(guān)注與思考,2022年必將成為信息科技外包領(lǐng)域監(jiān)管檢查“元年”。