银行外包风险管理办法.docx

银行外包风险管理办法 第一章 总 则 第一条 为有效防范我行外包风险，进一步完善全面风险管理体系，保障我行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行外包风险管理指引》等有关法律法规并结合本行实际，制定本办法。 第二条 本办法中的外包是指我行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行持续处理的行为。 服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。 第三条 我行的董事会和高级管理层承担外包活动的最终责任。 第二章 外包范围 第四条 我行应根据审慎经营原则制定外包战略发展规划，确定与我行风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。 第五条 在确定某项外包业务是否为重要业务时，应评估以下因素： （一）是否涵盖到我行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项； （二）业务一旦中断是否对我行的业务经营、声誉或利润等产生重大影响； （三）在无法确定某项即将被外包的业务是否为重要业务时，可向银行业监管机构进行咨询。 第六条 重要业务可参考但不限于下述业务事项： （一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务,授信业务的贷前调查和贷后催收,信用卡营销与催收,电子银行客户服务等; （二）数据处理：联行对账,会计业务的影像处理及数据录入,客户数据录入及维护,数据查询等; （三）信息技术：业务操作系统软件的开发和维护,网络安全设计建设,网络银行应用系统设计开发和IT重要基础设备服务等; （四）电子银行业务：电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系统处理系统； （五）安全保卫：钞印运送和武装押运等； （六）涉及我行客户资料的外包工作视为重要外包业务。 第七条 实施重要外包业务应格外谨慎，在准备实施重要外包时应以书面材料正式报告银行业监督管理机构。 第八条 涉及到战略管理和风险管理职能的业务不宜外包。涉及到内部审计职能的业务不宜外包给独立第三方。 第三章 组织架构 第九条 我行外包风险管理的组织架构包括董事会、高级管理层及外包管理团队。 第十条 董事会的职责主要包括以下方面： （一）审议批准外包的战略发展规划； （二）审议批准外包的风险管理策略； （三）批准所有重要业务的外包安排； （四）定期审阅外包安排的有关报告； （五）定期安排内部审计，确保审计范围涵盖所有的外包安排。 第十一条 高级管理层的职责主要包括以下方面： （一）制定外包战略发展规划，经董事会批准后实施； （二）制定外包风险管理的政策、操作流程和内控程度，经董事会批准后实施； （三）确保重要业务的外包安排在执行前及时向董事会及监管机构报告； （四）明确外包管理团队职责，并对其行为进行有效监督。 第十二条 实施外包应成立外包管理团队，由外包业务相关管理部门人员组成。外包管理团队的职责主要包括以下方面： （一）执行外包风险管理的政策、操作流程和内控制度； （二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监控； （三）向董事会和高级经营层提出有关外包活动发展和风险管控的意见和建议； （四）在发现外包服务提供商的业务活动存在缺陷时，采取及时有效的措施； （五）高级管理层确定的其他职责。 第四章 风险管理 第十三条 我行应关注外包活动的战略风险、声誉风险、合规风险、操作风险、国家风险等风险，并及时予以防范。 第十四条 外包业务的审定，应评价或评估以下事项： （一）可能影响服务提供商进行外包业务能力的实际因素； （二）评价服务提供商的财务实力、技术能力以及业务存量与流量； （三）评估服务提供商的风险控制、业绩标准、业务策略、管理程序、监督过程等方面； （四）判断服务提供商与银行竞争对手是否存在外包安排； （五）评估重要业务的业务连续性； （六）其他关注的事项。 第十五条 我行在进行外包业务时，应通过招标确定外包服务提供商。 第十六条 我行在进行外包活动时要能够确保对服务提供商的技术能力及专业能力、业务策略和业务规模、业务连续性及破产风险、风险控制能力及外包服务的集中度有足够的了解，即应当对服务提供商进行尽职调查。尽职调查时应注重评估服务提供商下述有关内容： （一）管理能力和行业地位； （二）财务稳健性； （三）经营声誉和企业文化； （四）技术实力和服务质量； （五）突发事件应对能力； （六）对银行业的熟悉程度； （七）对其他银行提供服务的情况； （八）认为重要的其他事项。 第十七条 外包活动涉及多个服务提供商时，应对这些服务提供商进行关联关系的调查。 对于尽职调查不符合要求的，应就该外包业务重新对外包提供商进行招标。 第十八条 所有外包活动务都必须签订书面合同或协议，明确双方的权利义务。合同或协议至少应该包括以下相关条款： （一）外包服务的范围和标准； （二）外包服务的保密性和安全性的安排； （三）外包服务的业务连续性的安排； （四）外包服务的审计和检查； （五）外包争端的解决安排； （六）合同或协议变更或终止的过渡安排； （七）未履行责任的赔偿，补救和追索权等违约责任。 对于具有专业技术性的外包业务，可签订服务标准协议。 第十九条 在外包合同中应当要求外包服务提供商承诺以下事项： （一）定期通报外包活动的有关事项； （二）及时通报外包活动的突发性事件； （三）配合我行接受银行业监督管理机构的检查； （四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，我行有权随时终止外包合同； （五）不得以我行的名义开展活动； （六）我行认为应当承诺的其他事项。 第二十条 银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。 第二十一条 服务提供商在分包时，应明确以下事项： （一）外包合同或外包协议中应明确设立服务提供商分包的规则或限制； （二）分包服务提供商应严格遵守主服务提供商与我行确定的外包合同或协议中的所有条款，包括安全和机密标准与相关条款； （三）主服务商应确认在业务分包后继续保证其为服务水平和系统控制负总责； （四）应在合同中约定服务提供商不得将外包活动全部分包，不得将外包活动的主要业务分包。 第五章 风险管理的程序 第二十二条 外包事项在董事会授予经营层相应权限范围内的，该外包事项由经营层审批；超过董事会授予经营层相应权限范围的外包事项，由经营层报董事会审批。 第二十三条 拟实施外包业务的，外包事项管理部门应向相应的管理委员会或高级管理经营层提出外包发起申请。经审议决定实施外包的，成立相应的项目外包管理团队，具体负责外包活动的日常管理和实施。 第二十四条 外包管理团队应针对外包项目制定详细的外包项目管理制度及流程，同时应事先制定和建立外包突发事件应急预案和机制，通过采取替代方案，寻求合同项下的保险安排等措施，确保业务活动的正常经营。 第二十五条 高级管理层对外包突发风险事件应及时启动应急计划，并在第一时间向董事会风险管理委员会和监管部门报告。 第二十六条 内部审计部门定期对外包风险活动进行全面审计与评价，审计结果直接向董事会风险管理委员会报告。对监管部门现场检查和内外部审计机构审计中发现的问题，在高级管理层落实整改措施后，及时向董事会风险管理委员会报告。 第二十七条 我行开展外包活动时如遇对我行业务经营、客户信息安全、声誉等产生重大影响事件，应当及时向监管部门报告。 第六章 附则 第二十八条 我行各分行参照本办法另行制定操作细则。 第二十九条 本办法由总行风险管理部负责解释。 第三十条 本办法自发布之日起实施。