近日，银保监会发布了《银行保险机构信息科技外包风险监管办法》（简称《办法》），要求银保机构建立信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。同时，银保监会及其派出机构监管的其他金融机构参照执行。

这意味着，金融IT外包市场迎来全面监管。在市场看来，金融IT业务将进入高标准、严要求的监管阶段，整体外包增量业务将向合规、风控标准更高的头部厂商倾斜，而相对粗放式发展的中小厂商或面临业务收缩。

但同时，监管也提到要降低集中度风险，减少对个别外包服务提供商的依赖。这意味着，“赢家通吃”的局面不再，市场认为，在头部外包商市场份额占比很大时，未来可能会被降低竞标分数。

01 金融IT外包市场迎监管

金融行业的信息化正不断推进。各类金融机构不断加码对信息科技的投入，信息科技实力是银行等金融机构的核心竞争力之一。

以银行业为例，根据IDC数据统计，2013年我国银行业IT投资规模为680.9亿元，而到了2019年，这一数字已经上涨到了1230.9亿元，2013-2019的年均复合增长率达到10.4%。到2020年，银行业整体IT投资规模达到1906.4亿元。

中国金融学会会长、人民银行原行长周小川撰文指出，银行业在某种程度上可看作是信息科技的应用行业，其账户管理、客户管理、支付体系、贷款决策及定价等，都是依靠以IT技术为支撑的信息处理来完成的。银行业面临信息科技发展带来的挑战，这是必然的。

周小川表示，银行业既然是信息服务业，就必然要建立信息系统，包括硬件系统以及基础软件和应用软件。过去银行应用软件可以自己开发，也可以外购，小银行限于自身科技力量，外购情况更多。

有数据显示，2019年银行业信息科技外包项目数量同比增加13.8%，外包合同金额同比增加56.3%。

可以看到，大多数银行尤其是中小银行普遍采用IT外包支持其信息化建设，外包服务商承担了大量的银行业金融机构信息科技服务工作，部分领域形成了较高的外包服务集中度和行业依赖。

为规范银行保险机构的信息科技外包活动，加强信息科技外包风险管控，银保监会近日发布了《银行保险机构信息科技外包风险监管办法》。据悉，银保监会在2020年就已完成征求意见稿的起草工作。

该《办法》的出炉是因为近几年的监管实践发现，信息科技外包是当前银行保险机构的风险多发领域。《办法》的适用对象包括政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社，保险集团（控股）公司、保险公司、保险资产管理公司、金融资产管理公司，同时，银保监会及其派出机构监管的其他金融机构参照执行。

一位金融科技公司人士指出，现在金融科技公司为银行赋能比较混乱，一些中小银行自身科技实力较弱，在与各类科技公司合作时，辨别能力较差，后期容易发生风险。因此，《办法》对中小银行有一定的指导意义。

“对于银行来讲，这个《办法》相当于一份信息科技外包管理的行动指南，是银行管供应商的依据。合同签约前做好尽职调查向银保监报备，报备成功才能签约。”一位城商行IT部门人士指出，根据《办法》规定，银行保险机构每年应当至少开展一次全面的信息科技外包风险管理评估，并向董（理）事会或高级管理层提交评估报告。

02 中小厂商面临洗牌

随着《办法》落地，金融IT外包市场将迎来一场变局。

一位金融科技行业从业者认为，《办法》影响比较大的是两类：一类是特别小的金融科技公司，实力不够，需要被淘汰；另一类是有一定垄断的科技巨头，一旦意外发生，可能引发系统性风险。

根据《办法》规定，信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。

具体来看，监管也给出了信息科技外包服务类型参考：

咨询规划类。包括但不限于：信息科技战略规划（含中长期规划）咨询，数据中心（机房）整体建设咨询和规划，信息科技治理（含数据治理）、信息科技风险管理体系、信息安全管理体系、业务连续性管理体系等管理类咨询和规划，重要信息系统架构和建设相关的咨询和规划，新兴技术应用咨询和规划。

开发测试类。包括但不限于：软硬件开发和测试外包（含人力外包），软件即服务形式的外包。

运行维护类。包括但不限于：数据中心（机房）物理环境的托管或运行维护，软硬件基础设施托管或运行维护，应用系统运行维护，电子机具运行维护，终端等办公设备的运行维护，以及涉及以上运行维护的人力外包。

安全服务类。包括但不限于：安全运营服务，安全加固服务，安全设备运行维护，安全日志处理与分析，安全测试服务，密钥管理及运行维护，数据安全服务，以及涉及以上服务的人力外包。

业务支持类。包括但不限于：市场拓展、业务运营（集中作业、呼叫中心等）、企业管理、资产处置、数据处理、数据利用等业务外包或第三方合作当中涉及银行保险机构的重要数据或客户个人信息处理的信息科技活动，法律法规另有要求的除外。

业内人士指出，这几乎涵盖了目前为金融机构提供赋能、服务的所有类别金融科技公司。

而目前银行信息科技外包服务商质量参差不齐。据披露，监管部门在核查中发现，有些外包商对银行客户信息和敏感技术资料安全保护薄弱，系统托管服务生产运行风险高，交付银行的软件产品存在安全漏洞，可能给银行系统安全运行带来风险。

中国社会科学院金融研究所银行研究室主任、国家金融与发展实验室研究员李广子进一步介绍，当前银行IT外包中存在的主要问题包括：信息科技外包导致银行自主风控能力下降，一旦出现信息安全事故，银行可能无法在第一时间进行有效处理；部分银行自身科技力量有限，无法真正实现信息科技系统的落地，以更好地满足自身需求；在信息科技外包过程中存在数据安全隐患；不同银行对同一科技服务商的依赖容易导致系统性风险。

《办法》提到，银行保险机构应对对于信息科技外包活动及相关服务提供商进行分级管理，对重要外包和一般外包采取差异化管控措施。

同时，在准入方面的要求也更加严格。银行保险机构应根据信息科技外包战略，结合风险评估情况，明确服务提供商的准入标准，对备选服务提供商进行筛选，审慎引入集中度风险较高或增加机构整体风险的服务提供商。

对于关联外包和同业外包，银行保险机构不得降低对服务提供商的要求，严格防范利益冲突和利益输送。

03 赢家通吃局面难再

但“赢家通吃”的局面也是监管不愿意看到的。

上述金融科技公司人士指出，除了云服务，还有CDN服务等等各种科技赋能银行的业务，都存在少数科技巨头占有很大市场份额的情况。比如助贷业务（个人及小微企业这块），很多小银行线上助贷业务就跟蚂蚁和腾讯合作，如果发生风险就比较集中。

《办法》也规定，银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商，积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段，减少对个别外包服务提供商的依赖，降低集中度风险。

同时，监管部门也会对集中度风险进行整体监测。《办法》第四十条指出，银保监会及其派出机构持续监测银行业保险业信息科技外包风险状况，建立行业和区域集中度风险监测与核查机制，对重大或共性风险及时向行业发布风险提示，积极防范因信息科技外包可能引发的区域性、系统性风险。

根据风险状况，银保监会及其派出机构可以要求银行保险机构与服务提供商会谈，就其外包服务和风险相关的重大事项作出说明。

上述金融科技公司人士也指出，首先，在招标合作前，金融机构会要求科技公司提交合作机构情况并披露占有的市场份额情况，在市场份额特别大时，未来可能会降低竞标分数。此外，银行保险都跟某家机构合作时，需要向监管报备，监管机构会监测合作情况，并进行窗口指导或者风险提示。

李广子总结道，从影响上看，那些不符合规定的信息科技外包将面临清理整顿，部分资质较差的公司业务会受到冲击，业务可能会向那些实力较强的科技公司集中。但同时，监管也会管控集中度风险。此外，《办法》的出台也会倒逼银行提高自身科技实力。