监管层防范银行业服务外包风险（3）

监管　银监会要求实施“名单制”管理

据银监会内部知情人士对《经济参考报》记者透露，针对银行与金融系统信息安全问题，银监会已酝酿新成立信息科技监管部，银监会主席尚福林也强调，各银行业金融机构要加强银行业信息科技监管督导和专项排查。

早在2009年6月1日，银监会发布的《商业银行信息科技风险管理指引》中，就对信息科技业务外包提出要求，比如涉及银行客户资料的外包在准备实施时应以书面材料正式报告银监会或其派出机构，并告知相关客户；又比如银行客户资料与外包服务商其他客户资料须有效隔离、按照“必须知道”和“最小授权”原则对外包服务商相关人员授权、要求外包服务商保证其相关人员遵守保密规定等。

此次，银监会针对金融服务外包提出了更具体的要求，包括“银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，并对服务提供商提供的外包服务活动风险情况进行延伸检查。银监会有权要求外包服务提供商接受外部机构的审计。监督检查结果应纳入到银行业金融机构的监管评级。”

另外，对于风险较高的信息科技外包服务，银监会或其派出机构可暂缓、中止服务。直至银行业金融机构、外包服务提供商有效改正。同时，为了防范因高机构集中度外包服务导致的行业性、区域性信息科技风险，银监会实行重点外包服务机构风险监测机制，定期对银行业发布重点外包服务机构名单，对其进行非现场风险监测和延伸现场检查。同时也对外包服务提供商制定“黑名单”管理机制。

“这意味着，监管层已经出手开始规范银行与外包服务提供商的合作，并且很有可能要深入监管到外包公司里面去，如果银行把主要业务、核心业务给到外包公司合作的话，那么，作为银行里面的审计部门就将成为第三道防线，这对银行研究外包服务提供商的准入门槛、评估体系都提出了一定的要求。”姜健对《经济参考报》记者说。