中国金融服务外包的监管制度

由于包括金融IT服务外包在内的金融信息服务外包在我国是新发展起来的行业，在2008年之前银监会、证监会和保监会等金融监管机构还没有发布确切的有关金融服务外包的指导性文件，也没有建构起规范有效的外包风险监控制度。银监会自2004年起开始陆续出台了一些涉及银行业务外包的规定，2004年颁布《关于加强银行卡安全管理有关问题的通知》，2006年颁布《电子银行业务管理办法》、《关于防范信用卡业务风险有关问题的通知》和《银行业金融机构信息系统管理指引》，2007年颁布《商业银行操作风险管理指引》，分别从银行卡、电子银行和IT等角度对银行业务外包的风险管理作了规定。但主要是要求银行制定风险管理制度、审慎订立外包合同等，属于原则性的指导层面，还没有专门针对银行业务外包的具体的操作性指引，没有形成具体的系统性的监管。

2009年银监会颁布《商业银行信息科技风险管理指引》，并宣布原《银行业金融机构信息系统风险管理指引》同时废止。这个法规共11章，其中有1章共8条规定专门针对银行信息科技外包做出了详细的规定。其中明确规定商业银行不得将其信息科技管理责任外包，同时还对商业银行信息科技外包商的选择标准、权责制定以及风险管理等事项做了详细的规定，但这些规定主要是针对银行等金融机构，对接包商还没有明确的规定。这个法规的出台已表明我国金融监管机构开始重视金融信息服务外包这个行业。

2009年商务部和工业和信息化部联合发布了《关于境内企业承接服务外包业务信息保护的若干规定》，该规定将“承接服务外包业务”的对象定义为“通过合同向境内外的企业、机构、组织或个人提供信息技术外包服务、技术性业务流程外包服务等服务”的企业。很明显，作为服务外包重要组成部分的金融IT服务外包也适用此法规。该法规主要规定了接包方要严格保密发包方的保密信息，同时鼓励接包方积极建立符合国内外信息安全认证的管理体系，此外还就知识产权的相关问题作了规定。这是国内第一个针对接包方出台的相关规定，虽然不是专门针对金融IT服务外包。

2011年7月，银监会向银行业金融机构发布了《中国银行业信息科技“十二五”发展规划监管指导意见》（以下简称《规划》）。《规划》将我国银行业金融机构划分为“大型商业银行和股份制商业银行”、“城市商业银行”以及“农村金融机构”三类，并针对不同的类别提出了不同的指导意见，但在这三种银行类别的指导意见中都专门针对银行业信息科技外包做出了指导，建议各银行建立信息科技外包管理组织架构，建立管理制度、流程与风险控制机制。建立外包立项、供应商选择、合同谈判与签署、日常管理和评价验收管理，以及退出和应急管理程序。加强外包服务商资质管理、建立名单制度，审慎选择外包服务商；加强外包合同管理与外包服务活动安全管理，明确服务水平要求，重点保护信息安全；加强外包变更管理，制订外包服务应急计划；探索建立外包服务保险机制；加强日常监督管理，建立外包服务考核、评价机制。加强集团内部外包风险管理，建立有效的防火墙制度；加强离岸外包风险管理，加强国别风险监测、评估。

2013年2月银监会下发《银行业金融机构信息科技外包风险监管指引》，这是我国监管机构专门针对金融信息服务外包出台的法规。该法规对商业银行外包的组织管理架构、外包的战略及风险管理、机构集中度风险管理、跨境及非驻场外包管理等提出了具体要求。同时明确了银监会有权要求服务提供商接受外部机构的审计，并且与其派出机构共同对银行业金融机构信息科技外包工作进行监督检查，对服务提供商提供的外包服务活动风险情况进行延伸检查，监督检查结果应纳入对银行业金融机构的监管评级。

2013年12月银监会组织自愿承诺加强服务规范化、接受联合工作平台风险监督的外包服务机构，发起建立银行业信息科技外包服务合作组织，通过外包服务机构的自我约束和自我完善，推动银行业信息科技外包服务市场规范化和行业自律，共同防范风险。会员单位签署了《银行业信息科技外包服务合作组织自律公约》，共同承诺坚持“规范运作、风险可控、诚实守信”的原则，不断完善公司治理和内部控制机制，强化风险管理体系建设，维护规范的市场秩序，不断提高银行科技外包工作质量，保障优质外包服务，推动外包服务行业健康可持续发展。