外包风险评估报告模板.doc

XX银行服务外包 风险评估及应对措施 注意：风险评估内容应涉及但不限于下列内容，根据外包活动不同各机构应具体辨认外包活动中相应风险并提出应对措施，最后在风险防范措施中进行总结性归纳。 一、服务外包概况 。。。。。。。 二、服务外包风险辨认分析与评估 下面对使用服务也许产生的风险进行辨认分析和评估。 （一） 战略风险的辨认、分析 技术战略的失误导致技术开发失败。 针对上述风险，有如下应对措施： 建立和运营《质量目的管理程序》并定期检讨战略实行情况,及时采用战略调整计划; 综上， 战略风险是可控的。 （二） 依赖性风险的辨认、分析 技术对人员的依赖风险 针对上述风险，有如下应对措施： 公司做好技术人员培养，并且制定相应的薪酬管理制度留住核心技术人员。 综上，依赖性风险是可控的。 （三） 合规风险的辨认、分析 公司劳动协议或规章制度违反《中华人民共和国劳动法》,导致罢置、监管部门重大经济处罚等后果。 针对上述风险，有如下应对措施： 1.建立和完善公司规章制度; 2.努力提高员工待遇; 3.由公司法律顾问对规章制度进行合规性评审; 综上，合规性风险是可控的。 （四） 成本与收益风险的辨认、分析 因产品价格客户不能接受导致客户无法合作，或者因产品价格过低导致项目失败。 针对上述风险，有如下应对措施： 与客户充足沟通,采用价值工程分析法,与客户共同采用措施以减少成本。同时，应当保持价格在合理的区间，否则价格过低会导致公司成本无法维持。 综上，成本与收益风险是可控的。 （五） 知识和技能风险的辨认、分析 因新员工或转岗人员的能力不够,导致产品不合格。 针对上述风险，有如下应对措施： 1.建立和运营《生产提供控制程序》与《人力资源管理程序》、《不合格输出控制程序》,保证员工经考核合格后方可上岗; 2.增长不合格品展示板和制作“岗位技能培训教材” 综上，知识和技能风险是可控的。 （六） 业务连续性的风险辨认、分析 1.线路故障 采用主备线路双线通讯，假如有线路故障会启动紧急预案，快速响应，解决线路问题。 2.底层云硬件设施故障 在云端建立热备份和异地灾备机制，可以保证业务不由于底层云硬件故障而停止。 3.功能更新失败 建立更新监测机制，对功能进行定期更新。对于更新失败的情况，恢复可用版本，建立失败报告和日记查询，并且派遣维护工程师进行手动更新。 4.网络袭击 增长网络安全设备，如防火墙、网闸等等，并建立安全可靠的网络访问机制，防止网络袭击。 综上，业务连续性风险是可控的。 （七）产生信息泄露的风险辨认、分析 1.平台安全缺陷 平台的安全缺陷，重要通过系统补丁、安全设立、软件的补丁等技术手段来解决，增长平台的系统健壮性。 2.恶意袭击 恶意袭击重要来源于网络，因此，需要增长额外的网络安全设备，设立合理的网络安全规则，来防范恶意袭击的风险。 3.员工违规操作 对于员工，需要建立一套合理有效的安全管理机制，涉及访问时间、访问权限等操作方面的控制，需要根据不同的员工级别，设立不同的安全级别，以避免员工违规操作的风险。 综上，信息泄露风险是可控的。 （八）产生数据丢失的风险辨认、分析 1.硬件故障 硬件故障有也许会产生数据丢失的风险，通过数据的定期备份，服务器的整机备份，双机热备和异地灾备等措施来保障数据安全。 2.恶意袭击 恶意袭击重要来源于网络，会导致数据泄露、数据丢失等信息安全风险。因此，需要增长额外的网络安全设备，设立合理的网络安全规则，来防范恶意袭击的风险，保障数据安全。 3.误操作 人员的误操作有时候会导致数据安全问题，因此，为了尽量减少数据安全风险，要对人员的权限进行区分，不同的人员对于数据的访问权限要进行严格区分。 此外，为了防止数据丢失，可以禁用数据删除功能或者对于数据更改的功能进行限制或者二次验证，以保证数据安全。 综上， 数据丢失风险是可控的。 （九）高机构集中度的风险辨认、分析 1、该外包商在本行外包集中度情况 该外包商在本行外包商中占比不大，可以保证外包商的良性竞争，提高供货质量。 2、该外包商在银行业外包集中度情况 该外包商在本行外包商中占比较高，已经在银行外包商中提现了良好的市场占有率和商业口碑，是银行业中外包商的优秀选择。 综上，外包商具有高机构集中度特点。 针对上述风险，有如下应对措施： 1、 外包商其内部控制和管理能力、连续运营能力等。 外包商具有良好的内部控制和管理能力，并且产品和服务也在连续创新，拥有良好的连续运营能力。 2、 外包商配备相对独立的资源。 对于重要的合作项目，外包商要提供相对独立的资源配比，涉及软硬件投入和人员投入，以保障重点项目的正常运营。 3、 应急预案中明确外包服务的优先级，并进行服务中断应急演练。 外包商针对不同的项目设立不同的优先级，并设立相应的应急解决措施。 4、 外包商财务、内控、安全管理情况的连续监控。 针对外包商的财务、内控、安全管理情况做好连续监控，保证提前发现风险，及时解决风险。 ……………………………….. 综上，高机构集中度风险是可控的。 三、风险分析结果及应对措施 综合以上风险评估结果为XX度，风险为可控状态。 风险应对防范措施分为以下几部分： 1. 战略风险的应对与防范 2. 依赖性风险的应对与防范 3. 合规风险的应对与防范 4. 成本与收益风险的应对与防范 5. 知识与技能风险的应对与防范 6. 业务连续性风险的应对与防范 7. 信息泄露风险的应对与防范 8. 数据丢失风险的应对与防范 9. 高机构集中度风范的应对与防范