xxxx银行信息科技外包战略及管理办法
XX银行信息科技外包风险管理办法
XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。
第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。
第三条本行外包管理原则包括:(一)自主可控原则。
信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。
(二)协调统一原则。
符合科技风险管理策略,保持外包风险、成本和效益的平衡。
(三)预防优先原则。
审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。
(四)动态优化原则。
根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。
第四条本办法适用于本行与信息科技相关外包活动的管理。
第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。
第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。
第七条董事会承担信息科技外包管理的最终责任。
主要职责包括:(一)审议批准信息科技外包战略;(二)审议批准外包管理基本制度;(三)审议批准本机构的外包范围及相关安排;(四)定期审阅本机构外包活动相关报告;(五)银监会信息科技外包风险监管指引要求的其它工作。
第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。
主要职责包括:(一)制定外包战略发展规划;(二)确定外包业务的范围及相关安排;(三)确定科技外包管理团队职责,并对其行为进行有效监督;(四)定期审阅本行外包活动相关报告;(五)指导内部审计部门独立开展外包审计工作;(六)董事会确定的其它职责。
第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。
银行信息科技外包管理办法模版
银行信息科技外包管理办法模版银行信息科技外包管理办法模板第一章:总则一、为规范银行信息科技外包管理工作,促进银行信息科技安全稳定运营,根据《中华人民共和国银行业监督管理法》、《关于规范银行业信息科技外包管理的指导意见》等有关法规和规范性文件,制定本办法。
二、本办法适用于各银行信息科技外包服务活动,包括但不限于信息技术开发、技术支持、数据处理、网络维护等。
三、银行应当制定内部信息科技外包管理制度,建立信息科技外包工作档案,确保信息科技外包服务的整个合作过程合法、安全、稳定。
第二章:银行与外包服务提供方合作一、银行应当依据业务需要通过公开招标或者采购等方式选择外包服务提供方,定期考核外包服务提供方工作绩效,确保其服务质量和口碑服务客户。
二、银行应当与外包服务提供方签订合同或者协议,明确外包服务项目、服务内容、服务质量标准、服务期限、服务报酬等具体事宜,明确双方权利和义务,确保交易合法、合规。
三、银行应当对外包服务提供方进行严格的管理,及时指导引导外包服务提供方完成银行交代的任务,保证外包服务提供方能够按时按质地完成任务。
第三章:银行信息科技外包服务审核一、银行应当建立信息科技服务审核体系,对外包服务提供方的服务情况进行审核,检验其安全性、稳定性、合规性等问题,对问题进行反馈,确保业务的正常推进。
二、银行应当对外包服务提供方信息科技服务情况进行监控和跟踪,及时发现和处理问题,并制定风险防范措施,确保银行信息科技系统的安全和稳定。
三、银行应当定期收集外包服务提供方的服务质量数据,并进行综合分析,为下一步提高外包服务质量提供依据。
第四章:银行信息科技服务风险防范一、银行应当建立信息科技服务风险防范机制,针对信息科技服务出现风险进行应急措施制定,确保业务的正常推进。
1 / 2。
xxxx银行信息科技外包策略及管理办法
xxxx银行信息科技外包策略及管理办法引言信息科技已经渗透到现代银行的方方面面,金融科技的高速发展也促使银行加强技术创新。
然而,银行也面临着技术更新和人才短缺等问题。
为了提高业务效率和降低成本,xx银行开始采用外包的模式来解决问题。
应对信息技术的新挑战xx银行面对的新挑战是如何应对技术更新更换成本高和人才短缺等问题。
通过提供优秀的外包服务,xx银行已经成功突破了这些挑战。
外包可认为是一种策略,通过外包服务,银行能够将主要的注意力关注于业务的核心领域,同时招聘外界专业人士加入到行列中,从而顺利地达到定位目标。
确定外包策略在选择外包服务提供商时,需要参考银行的内部需求,明晰其优势。
另外,也需考虑到外包提供商的信誉、安全和数据保护能力。
如果能够找到一家全方位服务及平台都比较完善的外包提供商,会更有利于银行。
管理外包服务xx银行关注到所选择的外包服务提供商所拥有的区别化服务能力。
所以,需要对外包提供商进行严格的管理和约束,并将其视为银行的延伸,严格要求其服务水平和合作期限。
国际外包成功案例中国银行上海市分行与IBM合作推出了银行核心外包,通过的创新性实践、和IBM贴身合作的方式,成功地加速了银行IT技术转型。
对于中国银行而言,IBM是它非常重要的基础设施技术服务伙伴,从而也成功了当代银行业务繁荣的多元化发展。
如今,中国银行分散服务模式下出现的问题得到了有效解决,客户的服务质量也得到了提升。
结论外包服务已经成为信息时代的重要内容之一,尤其是对于那些拥有巨额资金、信息技术水平不低、而又需要降低成本的银行。
对于这样的银行,外包服务的优势是非常明显的。
通过借助合作伙伴的优秀资源,搭建自己的行业系统,从而开展银行业务。
以上是xx银行关于信息科技外包策略及管理办法的简要内容。
银行将会继续通过现代技术的运用来实现创新和发展,从而建立更加高效的银行服务网络。
信息科技外包战略
附件信息科技外包战略为有效开展本行信息科技外包风险管理工作,切实加强对信息科技外包项目及外包服务提供商的管控、监督和评价,特制定本战略。
一、战略背景依据中国银保监会《银行保险机构信息科技外包风险监管办法》(银保监办发[2021]141号)等规定,结合外部市场环境和本行信息科技发展战略、风险偏好、风控能力等制定本战略,并经本行信息科技管理委员会审议通过。
二、信息科技外包建设原则本行信息科技外包建设坚持“自主建设与外包并重”的原则,具体包括:(一)不得将信息科技管理责任、网络安全主体责任外包;(二)以“不妨碍核心能力建设、积极掌握关键技术”为导向;(三)保持外包风险、成本和效益的平衡;(四)保障网络和信息安全,加强重要数据和个人信息保护;(五)强调事前控制和事中监督;(六)持续改进外包策略和风险管理措施,逐步减轻对外包的依赖。
三、信息科技外包风险管控原则本行对信息科技外包风险的管控原则包括:(一)坚持“风险与收益平衡”原则:本行在稳健经营的基础上,坚持信息科技为业务创新和发展提供安全、可靠的支撑,在本行的风险偏好和风险承受能力范围内,利用外包节约人力和资金成本,集中资源投入核心业务活动拓展,充分关注新业务、新技术带来的收益和机会;(二)侧重外包风险的事前控制:在项目的规划和立项审批、供应商的准入和尽职调查、合同和协议条款等环节对重要的外包服务供应商采取预防性重点管控措施;(三)对信息科技外包风险采取“集中管控、分布落实、层层防御”的管控机制:基于信息科技风险的三道防线对外包活动引入的风险进行层层防御,由风险管理部负责信息科技外包风险的集中管控和监督,由开展信息科技外包活动的各部门负责对外包项目、外包供应商具体管控要求和措施的执行和落实。
四、资源能力建设策略为加强本行信息技术核心能力建设,由信息科技管理委员会根据本行信息科技外包战略制定本行的资源能力建设策略。
本行的资源能力建设策略应充分考虑业务创新和发展需求,与本行的发展规划紧密结合;充分考虑通过人员补充、技能提升、知识转移等手段,有针对性地获取或提升自身管理及技术能力,提高本行自主研发运行能力和创新能力,逐步降低对外包服务提供商的依赖,减少在意外情况下业务中断、信息科技服务水平下降等风险。
某银行信息科技关联外包管理办法
xxxx银行信息科技关联外包管理办法第一章总则第一条为规范xxxx银行(以下简称“我行”)信息科技关联外包活动,保障xxxx银行信息系统安全持续稳定运行,降低信息科技关联外包风险,依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》,结合我行实际,特制定本管理办法。
第二条本办法所称关联外包是指外包服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构所提供的信息科技外包服务。
第二章部门及职责第三条xxxx银行信息科技部为我行信息科技关联外包的职能管理部门。
第四条我行信息科技关联外包管理其他涉及的部门包括:关联外包服务使用部门(外包服务直接应用部门)、关联外包审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技关联外包管理部门,其基本职能如下:(一)负责协调和组织关联外包资源,管理关联外包资源台账信息;(二)规范和制定关联外包合同和外包服务水准的基本要求;(三)协助相关部门签定关联外包服务合同、制定关联外包服务水准协议,信息科技部主要负责制定技术指标要求;(四)规范和制定关联外包监控制度、考核评价机制和持续改进办法、组织验收考核;(五)负责定期形成关联外包项目情况报告,提交相关部门及高级管理层;(六)根据xxxx银行审计部门或风险管理部门对关联外包工作的评估、审计以及提出的风险管理意见对信息科技关联外包工作实施优化和改进。
第六条我行关联外包管理其他涉及的部门,其基本职能如下:(一)配合信息科技关联外包管理部门做好关联外包服务商的日常风险信息收集;(二)协助相关部门签定关联外包服务合同、制定关联外包服务水准协议;(三)配合信息科技关联外包管理部门做好对关联外包工作的评估、审计工作。
第三章关联外包管理原则第七条我行在开展关联外包活动采购前,应当在外包合同签订前10个工作日向银保监会或其派出机构报告。
第八条我行在开展关联外包活动时,应遵循独立交易原则,对所有参与外包商需采用统一标准和原则,遵循正常市场交易原则和营业常规,不得违背公平交易原则。
某银行信息科技非驻场外包管理办法
xxxx银行信息科技非驻场外包管理办法第一章总则第一条为规范xxxx银行(以下简称“我行”)信息科技非驻场外包活动,保障我行信息系统安全持续稳定运行,降低信息科技非驻场外包风险,依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》,结合我行实际,特制定本管理办法。
第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务,或外包的关键基础设施和信息系统不在我行产权场所,由我行以租用设施或购买服务资源的方式获得,主要由外包服务商运维的外包方式。
第二章非驻场外包职责管理第三条我行信息科技部是信息科技非驻场外包的职能管理部门。
第四条我行信息科技非驻场外包管理中其他涉及的部门包括:非驻场外包服务使用部门(外包服务直接应用部门)、非驻场外包审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技非驻场外包管理部门,其基本职能如下:(一)负责非驻场外包管理办法的制定、修订和完善。
(二)负责协调和组织非驻场外包资源,管理非驻场外包资源台账信息;(三)负责制定技术指标要求,协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议。
(四)规范和制定非驻场外包监控制度、考核评价机制和持续改进办法、组织验收考核;(五)负责定期形成非驻场外包项目情况报告,提交相关部门及高级管理层审核;(六)根据xxxx银行审计部门或风险管理部门对非驻场外包工作的评估、审计以及提出的风险管理意见对信息科技非驻场外包工作实施优化和改进。
第六条我行非驻场外包管理其他涉及的部门,其基本职能如下:(一)配合信息科技非驻场外包管理部门做好非驻场外包服务商的日常风险信息收集;(二)协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议;(三)配合信息科技非驻场外包管理部门做好对非外包工作的评估、审计工作。
第七条信息科技部外包管理岗是非驻场外包执行的主管岗位,其基本职能如下:(一)负责非驻场外包管理办法的执行,并对办法提出改进建议;(二)负责非驻场外包供应商的尽职调查,提交尽职调查报告;(三)负责非驻场外包供应商信息的定期收集和更新,建立供应商管理台账;(四)负责定期形成非驻场外包项目情况报告;(五)协助审计、风险管理部门对外包供应商进行审计和风险评估。
中小商业银行信息科技服务外包管理办法
中小商业银行信息科技服务外包管理办法第一章总则第一条信息系统服务外包(简称外包)是指利用外部信息技术资源为本行信息系统建设提供服务,达到加快信息系统建设、提升本行信息技术水平的相关过程。
第二条外包实现模式分为两类,第一类利用外部信息技术资源实现本行系统开发、测试、运行维护、技术咨询服务,概括为部分外包模式,第二类将系统整体交由外部资源进行建设、运维,本行只具备系统使用权而不具备所有权,概括为整体外包模式。
第三条外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。
第四条本办法参照《银行业金融机构信息系统风险管理指引》中外包风险控制要求制订,目标是明确外包管理要求,防范和控制本行外包风险,保证外包流程规范化并能达到预期成效。
第二章适用范围第五条本办法管理内容涉及外包的各个流程,包括外包项目的建立、执行、监控、考核评价、持续改进等过程。
第六条本管理办法适用于本行范围内的信息科技服务外包管理。
第三章职能部门及职责第七条信息系统服务外包管理涉及的部门包括:外包管理部门、外包使用部门(外包直接应用部门)、外包审批单位以及外包审计部门、外包风险管理部门等。
第八条本行科技信息中心作为信息科技服务外包管理部门,其基本职能如下:一、根据本行信息科技建设规划或外包服务需求,结合本行信息科技资源的整体分布和建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划;二、负责协调和组织外包资源,管理外包资源台账信息;三、规范和制定外包合同和外包服务水准的基本要求;四、主持或协助相关部门签定外包服务合同、制定外包服务水准协议,本行科技信息中心主要负责制定技术指标要求;五、规范和制定外包监控制度、考核评价机制和持续改进办法、组织验收考核;六、负责定期形成外包项目情况汇总报告,提交本行相关业务管理部门及相关风险管理部门;七、根据本行稽核监察部审计部门或本行风险管理部门对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进。
银行保险机构信息科技外包风险监管办法
银行保险机构信息科技外包风险监管办法第一章总则第一条为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。
银保监会及其派出机构监管的其他金融机构参照本办法执行。
第三条本办法所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,按照本办法相关要求进行管理,法律法规另有要求的除外。
第四条银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
第五条银行保险机构在实施信息科技外包时应当坚持以下原则:(一)不得将信息科技管理责任、网络安全主体责任外包;(二)以不妨碍核心能力建设、积极掌握关键技术为导向;(三)保持外包风险、成本和效益的平衡;(四)保障网络和信息安全,加强重要数据和个人信息保护;(五)强调事前控制和事中监督;(六)持续改进外包策略和风险管理措施。
第二章信息科技外包治理第六条银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。
第七条银行保险机构董(理)事会或其授权设立的专业委员会应负责推动建立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策,高级管理层应负责制定信息科技外包战略,明确信息科技外包风险主管部门和信息科技外包执行团队,明确信息科技外包及其风险管理职责,审议信息科技外包管理流程及制度,监控信息科技外包及其风险管理成效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
xxxx银行信息科技外包战略及管理办法第一章总则第一条为了规范xxxx银行(以下简称“我行”)的信息科技外包活动,保障我行信息系统安全持续稳定运行,降低信息科技外包风险,依据中国银监会颁布的《银行业金融机构信息科技外包风险监管指引》、《银行业金融机构外包风险管理指引》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条信息科技外包可能产生如下风险,并导致我行的战略、声誉、合规风险:(一)科技能力丧失:我行过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的我行非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得我行信息科技服务水平下降。
第四条本办法所称机构集中度风险是指我行将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第五条本办法所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第六条实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第七条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第八条本办法管理内容涉及科技信息外包的各个流程,包括外包项目的建立、执行、监控、考核评价、持续改进等过程。
第九条本办法参照中国银监会《银行业金融机构信息科技外包风险监管指引》中信息科技外包风险控制要求制订,目标是明确信息科技外包管理要求,防范和控制我行信息科技外包风险,保证外包流程规范化并能达到预期成效。
第二章组织架构及职责第十条我行外包管理的组织架构包括高级管理层和信息科技外包专职主管部门,其中信息科技外包专职主管部门为我行科技开发部。
第十一条我行高级管理层的职责主要包括以下方面:(一)确定外包管理部门职责,并对其行为进行有效监督。
(二)审议批准信息科技外包的战略发展规划;(三)审议批准信息科技外包的风险管理制度;(四)审议批准信息科技外包业务的范围及相关安排;(五)审阅本机构外包活动相关报告;(六)安排内部审计,确保审计范围涵盖所有的外包活动。
第十二条信息科技外包专职主管部门的职责主要包括以下方面:(一)制定信息科技外包的战略发展规划;(二)制定并执行信息科技外包风险管理的政策、操作流程和内控制度;(三)根据我行信息科技建设规划或外包服务需求,结合我行信息科技的建设情况,确立外包项目的范围、内容和相关安排、制定外包年度计划及外包阶段性计划;(四)负责信息科技外包活动的日常管理,包括尽职调查、合同签署以及外包服务技术指标的制定等;(五)负责形成信息科技外包项目情况汇总报告,提交我行高级管理层及风险管理部、审计部和法律合规部等相关部门;(六)根据我行风险管理部、审计部和法律合规部对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进;(七)在发现外包服务提供商的业务活动存在缺陷时,采取及时有效的措施;(八)高级管理层确定的其他职责。
第十三条信息科技外包管理涉及的部门包括:外包管理部门、外包使用部门(外包直接应用部门)、外包审批部门以及外包审计部门、外包风险管理部门等。
第十四条我行科技开发部作为信息科技服务外包管理部门,其基本职能如下:(一)根据我行信息科技建设规划或外包服务需求,结合全行信息科技资源的整体分布和建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划;(二)负责协调和组织外包资源,管理外包资源台账信息;(三)规范和制定外包合同和外包服务水准的基本要求;(四)主持或协助相关部门签定外包服务合同、制定外包服务水准协议,科技开发部主要负责制定技术指标要求;(五)规范和制定外包监控制度、考核评价机制和持续改进办法、组织验收考核;(六)负责定期形成外包项目情况汇总报告,提交相关业务管理部门、风险管理部门及高级管理层;(七)根据我行审计部门或风险管理部门对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进。
第十五条享有信息科技外包服务或外包服务的直接应用部门为外包使用部门,基本职能如下:(一)负责编写提交信息科技外包服务业务需求;(二)参与制定外包服务合同以及外包服务水准,外包使用部门主要负责业务指标和相关罚则的制定;(三)参与对外包公司和外包人员的考核和评审;(四)协助外包管理部门共同管理外包过程。
第十六条我行审计部为信息科技外包的审计部门,负责对信息科技外包项目进行事前、事中和事后审计。
第十七条我行风险管理部门为信息科技外包的风险管理部门,负责根据科技开发部提交的外包项目风险评估报告,发现和控制项目过程中的风险。
第三章外包战略及管理第十八条我行应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十九条我行根据自身信息科技战略,明确涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包,且不得将信息科技管理责任外包。
第二十条我行在进行信息科技外包活动前必须进行外包风险评估。
在外包风险评估阶段应考虑以下因素: (一)我行的战略目标和业务需要。
(二)我行评估和监视外包关系的能力。
(三)我行的关键服务和重要服务。
(四)外包活动的需求说明。
(五)必要的控制和报告过程。
(六)服务提供商在合同中的权利和义务。
(七)偶发事件的处理,包括改变服务提供商的可能性以及改变服务提供商时所需要的成本和资源。
第二十一条必须选择合适的服务提供商。
在完成自身的风险评估后,我行必须对服务提供商进行评估以决定其财务和运作方面的能力是否能满足需要。
在选择IT 外包服务提供商时,必须对提供商支持外包业务的技术能力、关键人员的业务能力、业务处理的操作和控制能力以及提供商的财务状况等进行全面评估,以选择业务能力强、信誉好的服务提供商。
(一)外包服务提供商技术水平与专业人员的业务能力评估。
主要包括对外包服务提供商提供给金融机构所需服务和技术支持的经验和能力、服务失败或业务系统遭黑客入侵等偶发事件的应对能力、在预期的操作环境下提供服务的经验、提供外包业务关键人员的业务能力和敬业精神与职业道德等进行评估。
(二)安全、保密措施与保险覆盖范围的审查。
主要是审查服务提供商处理设备管理、系统安全性、个人隐私保护、数据记录维护、系统灾难恢复、系统开发和维护以及职员背景等工作的标准、策略和过程是否充分;考查服务提供商是否提供了充分而谨慎的安全措施,包括防火墙、加密、客户身份认证、对金融机构资源的保护和对入侵的检测与应对措施等;考查服务提供商是否对诸如欺诈、火灾、数据丢失、文档失窃等进行保险。
(三)评估外包服务提供商对相关法律法规和专业知识的了解程度。
应该评估外包服务提供商需要向金融机构学习的金融专业知识、外包服务提供商对与我行IT 外包业务相关的法律法规的了解程度等。
(四)财务状况与信誉考察。
应通过其它用户和咨询机构了解外包服务提供商的信誉和表现。
分析服务提供商提供的已经审计过的报告、年终报告和其它指标等。
考查服务提供商在金融行业中服务的时间、占据的市场份额及其波动情况。
评估服务提供商的技术费用支付能力,如服务提供商在财务上是否有能力投资和支持金融机构IT 外包业务所需的技术等。
考查金融机构是否可以完全、及时地取得由提供商保有的资料。
第二十二条制定适当的外包合同。
外包合同是实现外包策略最关键的一个环节, 我行在制定外包合同时,应该注意以下几个方面的问题:(一)明确的服务边界和灵活的外包协议。
在外包合同中,我行必须清晰、明确地指出服务范围,以便服务提供商明确自己的职责。
同时,外包合同(特别是长期外包合同) 应具有充分的弹性以允许在技术和操作方面进行改革或应对技术、业务、甚至策略目标方面可能出现的变化。
(二)合理的服务级别说明和度量。
服务级别说明与度量用来衡量服务提供商的质量表现(perfor2mance) 。
因此,应重点衡量我行通过IT 外包所期望达到的结果和服务水平,而不是把重点放在技术细节上或只关注项目的进展速度。
(三)明确赔偿责任与争端解决程序。
外包服务合同中应包含惩罚服务提供商未能提供约定服务级别的条款。
同时,为了在争端出现时迅速解决争端以及在争端出现时可继续提供服务,合同中还应包括解决双方争端的程序。
(四)安全性与机密性要求。
合同应声明我行各种资源(如信息、硬件、软件等) 的安全性和机密性要求。
除了与外包服务密切相关的信息外,还应禁止外包服务提供商使用和揭露我行的其它信息,防止未经授权的使用。
我行应提醒服务提供商注意个人隐私保护方面的法律条款,防止服务提供商泄露客户的有关信息。
(五)稽核权利。
我行在外包合同中应指明获取外包服务提供商各种审计报告的权利(如财务报告、性能报告、内部控制报告、安全检查报告等)。
合同中也可指明稽核的频率以及相关费用等。
对于重大的外包服务活动,还应考虑在合同中明确由具有专业知识的独立的第三方来执行阶段性的稽核工作,我行应该要求获得详细的存取安全性持续审计结果的权利。
(六)偶发事件的应对计划。
合同应包括外包服务提供商在备份和记录保护方面的责任(包括设备、软件和数据文件的维护等),以及执行测试计划和将其结果提交给我行的责任。
(七)限制成本增加和终止合同的权利。
合同应充分指明基础服务的费用及其计算,包括任何开发、转化、重复的服务以及特殊需求的费用。
还应明确购买和维护软、硬件的责任与成本,并明确在成本结构改变的条件下任何可能发生的情况,以限制成本的增加。
另外我行必须在外包服务合同中提出终止合同的权利,包括控制和设备的变更、成本的显著增加、服务水平多次未达到、不能对关键服务提供支持、公司破产和倒闭以及资金周转不灵等。