2021年外包服务商风险评估报告

中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知银保监办发〔2021〕141号各银保监局，各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司，各保险集团（控股）公司、保险公司、保险资产管理公司、养老金管理公司、保险专业中介机构：为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力，银保监会制定了《银行保险机构信息科技外包风险监管办法》，现予印发，请遵照执行。

中国银保监会办公厅2021年12月30日银行保险机构信息科技外包风险监管办法第一章总则第一条为规范银行保险机构的信息科技外包活动，加强信息科技外包风险管控，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，制定本办法。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社，保险集团（控股）公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。

银保监会及其派出机构监管的其他金融机构参照本办法执行。

第三条本办法所适用的信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，按照本办法相关要求进行管理，法律法规另有要求的除外。

银行业金融机构信息科技外包风险监管指引中国银行业监督管理委员会银监发［202115号中国银监会关丁 -印发银行业金融机构信息科技外包风险监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2021年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（口治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由口身负贵处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包：（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，口助设备、POS机等远程终端及办公设备的运维外包：（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处❷Z等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展：（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断：（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

外包服务商风险评估报告XX银行信息科技外包服务提供商评估报告根据****关于信息科技外包风险管理规定，参照《银行业金融机构外包风险管理指引》等文件要求，为确保我行信息科技外包风险可控，XX 银行对重要外包服务商进行了风险评估，并采取相关措施防范信息科技外包风险，现将评估情况报告如下：被评估的服务提供商：一、服务提供商基本情况（一）基本情况XX有限公司是中国领先的创新型技术服务商。

公司于2001年成立，立足中国，服务全球。

依托“海外+中国”的战略布局，公司在全球55个城市设有近120个分支机构，市场遍及北美、亚洲、欧洲等区域国家，全球员工总数38000余人。

XX具备端到端“软件+服务”综合业务能力和强大的纵深服务优势，凭借深厚的技术实力和整合的生态资源，公司提供信息技术服务，咨询与解决方案，云计算、大数据及互联网服务，为城市、产业、企业等各领域的客户创造价值。

公司连续多年被授予“德勤中国高科技、高成长50强”、“中国最佳雇主企业”、“智慧城市信息化领军企业奖”、“中国软件企业综合竞争力30强”、“中国软件业务收入前百家企业”、“中国软件服务外包十大领军企业”等荣誉，并拥有中国信息系统集成及服务一级资质。

（二）服务内容根据XX 银行有关XX项目的系统开发需求，结合公司在相关领域的技术和业务积累，开发和部署XX应用系统。

二、合规情况严格按照双方签订的服务合同要求，制定了具体的工作计划。

整个项目从最初筹划到后期的开发过程，均严格贯彻省联社、市联社关于信息系统开发管理的相关制度予以执行。

合作关系上，我们对受托方进行了尽职调查，所有项目组入场人员均进行了背景调查。

项目执行期间，实行现场封闭开发方式进行集中管理，所有配置库和相关环境均在内部开发环境严格管控。

三、服务执行效果合作期间，XX公司派出了多为技术工程师和资深项目管理人员，现场进行了系统开发和应用部署工作。

系统功能、性能符合需求要求范围。

项目开发期间，项目组采用现场实施方式，与我行有关人员共同构成了实施项目组，我行全部参与了系统开发、配置管理、质量管理、项目管理的全过程，整个实施过程透明、可控。

银行业务外包风险评估工作实施方案银行业务外包风险银行业务外包风险评估工作实施方案近年来，随着银行业务的快速发展、同业竞争的日益加剧，银行业务外包呈现较快的发展态势。

业务外包可以有效解决用工压力、提高专业化服务水平，但同时也产生了外包风险。

应如何加强业务外包管理，防范外包风险成为银行关注的热点问题。

业务风险需警惕承包方业务处理不规范引起风险。

承包方因业务处理不规范而浮现重大差错、因人员管理不到位发生重大违规事件，这就会给银行造成经济损失。

有的承包方在业务承接过程中侵犯他人知识产权，导致银行使用其产品后被第三人诉讼侵权，易引起法律纠纷。

在业务外包过程中，如果承包方属于垄断行业或者单一业务来源的，容易造成外包价格的不合理，导致其成本过高而难以发挥业务外包的优势。

承包方缺乏外包资质引起风险。

主要表现为承包方因本身不具备独立法人资格，缺少具备专业资格的从业人员、缺乏从事相关项目的经验而无法完成所承接的外包业务。

此外，一旦银行对承包方准入要求不严格，易使报价较低的承包方中标，这样就容易导致因外包业务质量不达标而无法满足银行的业务需要。

承包方因缺乏资质极易引起违约风险，具体表现在，一方面因为承包方自身资历和能力有限无法按合同约定的要求，持续提供优质服务。

另一方面承包方在履行合同期间因其经营管理、财务状况等发生重大变化导致丧失履约能力，无法继续提供合同约定的服务义务。

银行未规范评估体系引起风险。

在操作过程中，银行尚未形成规范统一的评估体系、科学合理的定价机制和先进有效的管理模式。

这也容易造成对外包人员的管理疏忽，如外包押运业务中，之前的提解人员是银行员工，言行举动等相关信息银行都能及时掌握，实行业务外包后，对人员管理、问题纠改的针对性不强，造成管理滞后;在现金清分整点外包过程中，对外包员工疏于管理，员工的责任心不强，在需要袭击工作任务时无后备人员，存在大额整点差错等风险隐患。

客户信息被泄密引起风险。

主要包括银企集中对账、贷记卡资料录入、贷记卡不良委托催收中因外包人员工作疏忽而导致的客户信息泄密。

外包服务商评估报告1. 引言本报告旨在对外包服务商进行全面评估，以帮助客户选择一个合适的外包服务商。

我们通过对以下几个方面进行评估：公司背景、项目经验、技术实力、合作能力和口碑声誉。

2. 公司背景外包服务商是一家成立于2005年的公司，总部位于华盛顿特区。

公司拥有超过500名员工，其中包括软件工程师、项目经理和质量控制人员。

公司专注于为客户提供软件开发、测试和支持服务。

3. 项目经验外包服务商在过去的几年中已经成功完成了多个项目，涉及领域包括金融、电子商务和健康保健。

他们的客户遍布全球，包括大型跨国公司和初创企业。

他们具有丰富的项目管理经验，能够按时交付高质量的成果。

4. 技术实力外包服务商拥有一支技术实力强大的团队，他们精通多种编程语言和框架，包括Java、Python、Ruby和.NET。

他们熟悉敏捷开发方法，并采用了最新的开发工具和技术。

他们不断关注新技术的发展，并在项目中应用。

5. 合作能力外包服务商与客户之间的合作是我们评估的重点之一。

他们具有良好的沟通能力，能够理解客户需求并提供适当的解决方案。

他们注重与客户的紧密合作，定期进行项目进展报告和讨论。

他们也能够灵活应对项目需求的变化。

6. 口碑声誉我们通过客户反馈和行业口碑来评估外包服务商的声誉。

根据我们的调查，该公司在客户中享有良好的声誉。

客户对他们的技术实力、项目管理和服务质量给予了很高的评价。

此外，他们还获得了多个行业奖项和认证。

7. 结论综上所述，外包服务商在公司背景、项目经验、技术实力、合作能力和口碑声誉方面都表现出色。

他们是一个值得信赖的合作伙伴，能够为客户提供高质量的外包服务。

我们建议客户选择该公司作为外包服务商。

8. 参考[1] 外包服务商官方网站：[2] 外包服务商客户评价报告：。

XX部门XX系统信息化外包风险评估报告（模板）根据《XX公司信息化外包风险管理办法》和《XX公司信息化外包风险管理工作细则》的有关要求，为确保我公司信息化外包风险可控，XX部对外包服务商XX公司提供的XX系统XX服务进行了风险评估，现将评估情况报告如下：一、外包服务商合规情况可以从以下几个方面来分析外包服务商合规情况：公司基本情况、提供的信息化外包服务内容、外包服务供应商的服务能力和技术支持能力、外包服务供应商的服务经验和服务人员技能、外包服务供应商的市场评价和监管评价、外包服务供应商的内部控制、管理能力和管理流程完善度、外包服务供应商的财务状况是否良好。

最后得出结论，说明该外包服务商是否存在合规风险。

二、信息化外包的服务质量可以从以下几个方面来说明信息化外包服务质量：提供的服务是否与协议内容存在偏离，提供的服务水平、响应客户时间、系统可用性（在一段时间内系统出现故障的频率）、系统响应时间（系统响应用户操作请求所用的时间）、系统吞吐量（系统支持的用户访问量）等。

最后得出结论，说明该外包服务商服务质量是高/优良/一般。

三、服务外包风险识别与分析（一）外包信息安全的风险可以从以下几个方面来识别和分析外包信息安全的风险：平台是否存在安全缺陷、是否遭受恶意攻击、是否存在违规操作或误操作、是否出现硬件故障、是否出现数据丢失或泄露等。

最后得出结论，说明该外包服务的信息安全风险是可控的/信息安全存在一定风险/信息安全存在有较大风险。

（二）业务连续性的风险识别与分析可以从以下几个方面来识别和分析外包信息安全的风险：是否建立热备份和异地灾备机制，能够保证业务不因为底层硬件故障而停止；对于功能更新失败的情况，可以恢复可用版本；在遭受网络攻击可以较短时间内定位、分析和解决问题，较快恢复系统。

最后得出结论，说明该外包服务的业务连续性风险是可控的/业务连续性存在一定风险/业务连续性存在有较大风险。

（三）外包服务是否符合保密和知识产权要求可以从以下几个方面来分析是否符合保密和知识产权要求：外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许外包服务供应商使用的内容及范围，对外包服务供应商使用合法软、硬件产品的要求；外包服务供应商在使用和处理数据过程中的所有权、边界控制等要求，确保数据使用和处理不出境；与外包服务供应商和外包服务人员签署保密协议，要求外包服务供应商对服务过程中所接触到的各单位的用户信息和业务信息履行保密义务，不得泄露给其他第三方。

近年来，随着银行业务的快速发展、同业竞争的日益加剧，银行业务外包呈现较快的发展态势。

业务外包可以有效解决用工压力、提高专业化服务水平，但同时也产生了外包风险。

应如何加强业务外包管理，防范外包风险成为银行关注的热点问题。

业务风险需警惕承包方业务处理不规范引发风险。

承包方因业务处理不规范而出现重大差错、因人员管理不到位发生重大违规事件，这就会给银行造成经济损失。

有的承包方在业务承接过程中侵犯他人知识产权，导致银行使用其产品后被第三人诉讼侵权，易引发法律纠纷。

在业务外包过程中，如果承包方属于垄断行业或单一业务来源的，容易造成外包价格的不合理，导致其成本过高而难以发挥业务外包的优势。

承包方缺乏外包资质引发风险。

主要表现为承包方因本身不具备独立法人资格，缺少具备专业资格的从业人员、缺乏从事相关项目的经验而无法完成所承接的外包业务。

此外，一旦银行对承包方准入要求不严格，易使报价较低的承包方中标，这样就容易导致因外包业务质量不达标而无法满足银行的业务需要。

承包方因缺乏资质极易引发违约风险，具体表现在，一方面因为承包方自身资历和能力有限无法按合同约定的要求，持续提供优质服务。

另一方面承包方在履行合同期间因其经营管理、财务状况等发生重大变化导致丧失履约能力，无法继续提供合同约定的服务义务。

银行未规范评估体系引发风险。

在操作过程中，银行尚未形成规范统一的评估体系、科学合理的定价机制和先进有效的管理模式。

这也容易造成对外包人员的管理疏忽，如外包押运业务中，之前的提解人员是银行员工，言行举动等相关信息银行都能及时掌握，实行业务外包后，对人员管理、问题纠改的针对性不强，造成管理滞后;在现金清分整点外包过程中，对外包员工疏于管理，员工的责任心不强，在需要突击工作任务时无后备人员，存在大额整点差错等风险隐患。

客户信息被泄密引发风险。

主要包括银企集中对账、贷记卡资料录入、贷记卡不良委托催收中因外包人员工作疏忽而导致的客户信息泄密。

外包可行性分析报告随着全球化的深入发展，越来越多的公司开始考虑将一些业务外包给专业的服务商来完成。

外包不仅可以降低企业的成本，还可以提高公司的效率。

但是，是否选择外包，需要从多个角度进行考虑和分析。

本文将从成本、风险和效率的角度，对外包的可行性进行分析和评估。

一、成本分析外包最显著的好处，莫过于它可以降低成本。

但在将业务外包出去之前，企业需要对外包的成本进行评估，看是否比内部完成更经济合理。

首先，企业应该考虑外包服务商的收费标准和成本结构，是否比企业内部完成业务更为经济。

其次，企业在选择外包服务商时，需要考虑一些潜在的成本，例如管理成本、合作成本、监督成本等。

如果外包服务商的稳定性和可靠性不足以保证企业可以有效地控制这些潜在成本，那么外包给外来服务商所带来的成本收益就可能不高。

此外，企业还应该考虑自身的现有资产和能力是否可以更合理地利用起来，以降低成本。

在进行成本分析时，企业需要将这些因素综合考虑，并综合评估与外包相关的全部成本。

二、风险分析在考虑外包时，企业必须注意潜在的风险。

毕竟，外包可能涉及到公司业务的核心部分，而合作伙伴的口碑和服务质量都可能对企业的利益产生实质性的影响。

在风险分析方面，企业需要考虑的主要因素包括服务商的业绩、安全问题、资源可靠性和法规合规性等。

企业需要认真考虑如何保护自己的信息、财产权益、知识产权，以及如何面对与服务商的合同解决不当之处的纠纷等潜在问题。

在风险分析时，企业需要进行全面考虑和权衡，从而做出更为明智的决策。

三、效率分析外包服务商可能在某些领域拥有比企业更专业的技术和资源，能够更高效地完成某些业务。

这也就是为什么很多企业选择外包的主要原因之一。

在效率分析方面，企业需要考虑外包服务商的实际能力，以及与自身业务的契合程度。

企业还需要评估外包对于内部流程的影响，以及是否会存在管理上的麻烦等问题。

在评估外包效率时，企业还需要考虑如何保证与服务商之间的无缝合作。

通常来说，企业需要为服务商提供清晰的工作指导，以确保双方间的合作更为顺畅。