发布时间 : 星期一 文章银行业金融机构信息科技外包风险监管指引-正式发文版更新完毕开始阅读
实施定期演练;
(五) 对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理的主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条 银行业金融机构应当以提升信息科技队伍能力,
提高科技管理及创新水平,掌握信息科技核心技能为目标。基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定其信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条 银行业金融机构应当根据自身的信息科技战略明
确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不应外包。
第十八条 银行业金融机构应当根据外包战略制定资源、能
力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条 银行业金融机构应当建立与自身规模、市场地位
相适应的供应商关系管理策略,通过准入和退出机制控制各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务
5
质量,合理控制服务提供商的数量从而降低风险及管理成本等。
第二十条 银行业金融机构可按照外包服务性质和重要性程
度对服务提供商进行分级管理,对不同级别的服务提供商采取严格程度差异化的管控措施,从而达到有效管理重要风险的前提下降低管理成本。
第二十一条 对于关联外包,银行业金融机构应当保持外包有
关决策的独立性,要求其母公司或其所属的集团公司协同做好外包服务及服务提供商的管理工作,避免因关联关系而降低银行业金融机构对外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条 银行业金融机构信息科技外包风险主管部门应
当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条 银行业金融机构应当对重要的外包服务提供商
进行定期风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条 银行业金融机构内部审计部门应当定期开展信
6
息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条 外包项目立项前,银行业金融机构应当审慎检查
项目与信息科技外包战略的一致性,应当根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条 银行业金融机构应当根据供应商关系管理策略,
结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条 对于外包服务提供商为同业托管机构的情况,银
行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条 对重要的服务提供商,银行业金融机构在与其签
订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
7
第二十九条 银行业金融机构在尽职调查时应当关注服务提
供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条 银行业金融机构在尽职调查时应当关注服务提供
商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条 银行业金融机构在尽职调查时应当关注服务提
供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条 对于关联外包,银行业金融机构不得因关联关系
而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包服务、处理突发事件等。
第三十三条 对于外包服务提供商为同业托管机构的情况,银
行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条 银行业金融机构在实施外包服务项目前,应当与
服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定其详细程度和重点。
第三十五条 银行业金融机构在合同或协议中应当明确以下
内容,包括但不限于:
(一) 服务范围、服务内容、工作时限及安排、责任分配、
8