7.2.1  商业银行研发外包风险管控相关监管要求

商业银行研发外包风险管控主要遵循两方面监管要求：一是针对信息系统研发风险管控的监管要求，已在本书“2.2商业银行研发风险管控相关政策和指引”一节进行了介绍，在此不再赘述；二是针对外包风险管理和IT外包风险管理的监管要求，主要包括银监会《银行业金融机构外包风险管理指引》和《银行业金融机构信息科技外包风险监管指引》（以下简称《IT外包指引》）。

其中，《银行业金融机构外包风险管理指引》于2010年发布，对商业银行金融机构外包活动的管理原则、管理组织、管理要求、监督形式等进行了全面规范。《IT外包指引》于2013年发布，从组织架构、外包战略、外包服务商管理等方面提出了明确的外包风险管理要求，对商业银行开展研发外包风险管控工作具有良好的指引作用，主要包括以下方面：

1）提出外包管理战略和基本原则，推动银行开展外包风险管理体系建设。《IT外包指引》明确了IT外包活动的基本原则，要求银行选择外包服务时，应以不妨碍核心能力建设、积极掌握关键技术为导向，明确外包管理战略，通过明确不能外包的职能及自身资源管理、对外包商的关系管理、分级管理，在外包中加强知识转移和技能提升，实现银行信息科技的主动管理和自身实力提升。

2）明确对外包活动全流程的风险管控要求，并强调信息安全管理。《IT外包指引》明确了银行的风险管理责任，要求银行改变以往“重采购、轻管理”，“重业务、轻风险”的粗放式外包管理模式，将风险管控措施落实在外包实施的前、中、后各个环节中，包括外包风险评估与准入、供应商尽职调查、外包合同及要求、外包服务安全管理、外包服务监控与评价、外包服务中断与终止的全部流程。

3）加强重要外包服务管理，降低外包集中度，强化系统性外包风险防范。《IT外包指引》突出强调了包括商业银行和监管部门两道防线的系统性外包风险管理体系构建。作为外包风险管理的第一道防线也是第一责任人，商业银行要识别本银行高依赖度、高集中度的外包服务及其供应商，并采取增强性管理措施，主要包括严格的准入，建立信息收集机制，对外包服务商的财务、内控、安全管理情况持续监控，增强供应商监督频率与检查力度，并采取主动的外包集中度分散活动，引入必要的备份和竞争，提高自主研发或运行能力，减少对外包服务商的依赖。作为外包风险管理的第二道防线，监管部门将联合银行机构，加强对商业银行重点外包服务机构（系统重要性外包服务机构）的风险防控。