具体来说，金融机构由于自身运营管理需要，以及成本压力等原因，普遍采♀用外包服务，但外包人员可以近距离接触到金融机构大量有价值的敏感信息，如客户、交易信息等，在提供服务方面。，很容易↓导致信息泄露。服务提供商自身的内控体系成熟度、风险管理能力和风险意识水平往往低于金融机构〖，难以有效识别外包商的主动或被动不当行为。而且，相比自身员工it外包，金融机构对外包人员的管理难度更大，要求落实难度更大。

在此背⌒　景下，金融机构外包风险事件往往难以防范。数据公司非法收集外包、侵权或不☆当获取、使用个人隐私数据的曝光和处罚，给部分金融机构的声▼誉造成了损害。COVID-19 大流行在业务连续性管理、服务提供商持续运营、远程办公〗和与服务相关的网络安全方面产生了新的风险。

进入综合监管时代

作为信息科技风险监管的重要领域，信息科技外包需要进一步强化监管约束，在原有基础上加强监管。这种监管方式也应运而生。

在监管办法中，银保监会总则要求银行保险机构建立与自身信息技术】战略目标相适应的信息技术外包管理体系，将信息技术外包风险纳入综∩合风险管理体系，有效控制外包带来的外包风险。风险，不得将信息技术管理责任和网络安全主体责任外包。

普华永道认为，与以往金融机构IT外包■相关监管文件相比，本次监管方式充分体现了近年来金融行业、技术和监管方向变化的背景，其主要变化可概括为三大方向：

一是在信息技术外包过程中，以网络安全、数据安全和个人信息保护为核心定位。本监管办法对信息技术外包的定义中，“银行保险机构与其他第三方合作中涉及处理银行保险机构重要数据和客户个人信息的信息技术活动”有使银行和保险机构在过去多次。与外部机构的合作或服务采购it外包，可能会被新纳入IT外包活动的范畴，大大扩展了管理范围。

二是完善了外包治理和风险管理各方责任。监管办法要求建立覆盖董事会（理事会）、高级管理层、IT外包风险部、IT外包执行团◥队的信息技术外包与风险管理组织架构。落实信息技术外包风险管理职责和目标。

另◥一个非常显着的变化是分类和分级管理的使用。根据监管办法，信息技术外包原则上分为咨询与规划、开发与测试、运维、安全服务和业务支持。普华永卐道表示，与以往相关文件的分类相比，监管措施的划分更加全面地涵盖了行业内现有的信息技术服务活动形式。

在分类管理的同时，监管办法将对信息技术外包活动的整体外包、信息技术工作的整体外包、安全运营的整体外包、信息技术外包活动的整体外包和相关服务提供者等信息技术外包活动的重要和一般外包进行分级管理。银行和保险机构的集中存储或处理。数据外包、客户敏感个人信息外包等9种情况被列为重大外包。对于重要外包，监管办法要求银保机构对服务提供者进行尽★职调查、对非现场外包服务进行现场检查等，并应考虑终止重要外包的可能性，制定退出策略。

根据普华永〓道的分析，在开发和测试类别中，软件即服务（即“SaaS”）过去可能不会外包，因为该系统没有在银行保险机构实施。作为一种新〓型安全服务，需要注意的是，安全运营整体外包是一个重要的外包范畴。在业务支持类中，数据利用服务可能会导致一些从外部机构向银行、保险机构提供数据输入的服务，属于外包管理的范畴。

业内人士认╲为，监管措施将在未来将银行保险机构外包业务向合规风控水平更高的领先服务商倾斜。这种现象也会逆转；从银行和保险机构的角度来看，在落实监管措施要求的过程中，也将面临诸多挑战。

例如，普华永道表示，由于外包的服务延伸大大扩展，合作模式的转变是机构和服务商的新课题；虽然服务提供※商面临更高的监管要求，但需要外包风险管理人员。部门与外包执行团队密切合作，但银保机构对其没有决策权↘，但承担合作风险。因此，他们∏需要按照监管要求，尽快采取对服务提供者进行对标、检查等措施。此外，保险机构，