39银行业金融机构外包风险管理指引

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式，原则上包括以下类型：（一）研发咨询类外包：科技管理及IT治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动；第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。

第五条信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

《银行业金融机构外包风险管理指引》第一章总则第一条为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构第八条银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条董事会的职责主要包括以下方面：? （一）审议批准外包的战略发展规划；? （二）审议批准外包的风险管理制度；? （三）审议批准本机构的外包范围及相关安排；? （四）定期审阅本机构外包活动相关报告；? （五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

?第十条高级管理层的职责主要包括以下方面：? （一）制定外包战略发展规划；? （二）制定外包风险管理的政策、操作流程和内控制度；? （三）确定外包业务的范围及相关安排；? （四）确定外包管理团队职责，并对其行为进行有效监督。

第十一条外包管理团队的职责主要包括以下方面：? （一）执行外包风险管理的政策、操作流程和内控制度；? （二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；? （三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；? （四）在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施；? （五）高级管理层确定的其他职责。

银行业金融机构信息科技外包风险监管指引为了更好地确保银行业和金融机构信息科技外包风险监管的有效性和稳定性，中国银行业监督管理委员会制定了《银行业金融机构信息科技外包风险监管指引》，在银行业和金融机构中广泛实施。

这个指引对银行业和金融机构具有很大的意义和价值。

首先，这个指引通过对外包风险的定义和分类提供了明确的指引和标准。

让银行业和金融机构清晰地识别和对外部服务提供商的风险有一个基础的了解。

这个指引还规定了外包服务的范围、合同、服务要求和细节的规范。

统一了外包服务的标准，减少了金融机构在选择外部服务提供商时的犹豫和担忧。

这有利于金融机构在更安全的情况下选择最适合的外部服务提供商，提高了外部服务质量。

其次，指引规定了银行业和金融机构与外部服务提供商之间的透明度要求。

这有助于银行业和金融机构更加全面地了解安全和风险的状态以及外部服务提供商对信息技术所做的改进和行动。

通过持续监控和数据管理，银行业和金融机构可以识别和识别潜在的风险，及时采取措施，确保业务连续性。

此外，通过这个指引，银行业和金融机构加强了与外部服务提供商的其他合作方之间的信息交流和协调。

针对外部服务提供商遇到的问题，银行业和金融机构提供支持。

通过专业的技能、工具和方法的共享，可以减少外包风险产生的可能性，从而保证外包合作的可行性和有效性。

最后，这个指引重视了持续并适当的风险监控。

银行业和金融机构应始终注意其与外部服务提供商之间的合作情况。

提前做好可能发生的风险监控，针对表现不佳的外部服务提供商及时采取措施。

这不仅有利于及时发现和解决问题，还有助于优化外包流程和控制成本。

总之，《银行业金融机构信息科技外包风险监管指引》是银行业和金融机构信息科技外包风险监管的重要指导文件。

这个指引在金融机构中得到了广泛实施，不仅建立了外包金融业务、提高了金融企业的效率，还有效地控制了金融业务风险的发生。

《银行业金融机构外包风险管理指引》第一章总则第一条为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构第八条银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条董事会的职责主要包括以下方面：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

第十条高级管理层的职责主要包括以下方面：（一）制定外包战略发展规划；（二）制定外包风险管理的政策、操作流程和内控制度；（三）确定外包业务的范围及相关安排；（四）确定外包管理团队职责，并对其行为进行有效监督。

第十一条外包管理团队的职责主要包括以下方面：（一）执行外包风险管理的政策、操作流程和内控制度；（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；（三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；（四）在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施；（五）高级管理层确定的其他职责。

银行业金融机构信息科技外包风险管理指引征求意见稿))(征求意见稿第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、省级农村信用社联合社、外商独资银行、中外合资银行适用本指引。

中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。

第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。

第五条信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

银行业金融机构外包风险管理指引颁布单位：中国银行业监督管理委员会文号：银监发[2010]44号颁布日期：2010-06-07执行日期：2010-06-07时效性：现行有效效力级别：部门规章银行业金融机构外包风险管理指引（中国银行业监督管理委员会办公厅银监发[2010]44号二0一0年六月七日）第一章总则第一条为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构第八条银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条董事会的职责主要包括以下方面：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

第十条高级管理层的职责主要包括以下方面：（一）制定外包战略发展规划；（二）制定外包风险管理的政策、操作流程和内控制度；（三）确定外包业务的范围及相关安排；（四）确定外包管理团队职责，并对其行为进行有效监督。

银行业金融机构外包风险管理指引一、引言外包在当前的金融行业中越来越常见。

银行业金融机构为了降低成本、提高效率和专注核心业务，将一些非核心业务外包给第三方服务提供商。

然而，外包也带来了一定的风险。

因此，银保监发布了银行业金融机构外包风险管理指引，以帮助银行业金融机构有效管理外包风险。

二、风险管理框架2.1 风险识别和评估在外包风险管理中，首先需要进行风险识别和评估的工作。

这包括确定外包业务的关键性和战略性、评估外包服务提供商的实力和信誉、分析外包业务的风险因素等。

通过全面的风险评估，可以准确地识别外包风险的来源和影响。

2.2 合同管理外包合同是管理外包风险的重要工具。

合同应明确双方的权责和义务，明确外包服务提供商应履行的标准和要求，并规定违约责任和补偿措施。

同时，合同还应考虑灵活性和变更管理，以应对外部环境的变化。

2.3 监督与合规银行业金融机构应建立有效的监督和合规机制，确保外包服务提供商按照合同约定履行职责和义务，并符合相关法律法规和监管要求。

监督与合规包括对外包服务提供商的定期检查和评估，以及建立风险预警和应急管理机制。

2.4 退出机制外包业务存在风险，银行业金融机构应制定相应的退出机制。

退出机制包括业务转移和供应商替换等措施，以应对外包合作关系出现问题或终止的情况。

退出机制的制定需要考虑合同约定、业务连续性和安全性等因素。

三、具体指引3.1 风险识别和评估1.确定外包业务的关键性和战略性，分析外包风险的可能影响和后果。

2.评估外包服务提供商的经营状况、管理能力和信誉情况。

3.分析外包业务的风险因素，包括合规风险、安全风险和操作风险等。

3.2 合同管理1.确定外包合同的标的、范围、期限和可变性，并明确双方的权责和义务。

2.规定外包服务提供商的服务标准和绩效考核指标。

3.明确合同约定的违约责任和补偿机制。

3.3 监督与合规1.建立外包服务提供商定期报告制度，监督其经营状况和合规情况。

2.定期对外包服务提供商进行检查和评估，发现问题及时采取纠正措施。

1.15.银行业金融机构外包风险管理指引（银监发〔2010〕44号）银行业金融机构外包风险管理指引颁布单位：中国银行业监督管理委员会文号：银监发[2010]44号颁布日期：2010-06-07执行日期：2010-06-07时效性：现行有效效力级别：部门规章银行业金融机构外包风险管理指引（中国银行业监督管理委员会办公厅银监发[2010]44号二0一0年六月七日）第一章总则第一条为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构第八条银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条董事会的职责主要包括以下方面：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

第十条高级管理层的职责主要包括以下方面：（一）制定外包战略发展规划；（二）制定外包风险管理的政策、操作流程和内控制度；（三）确定外包业务的范围及相关安排；（四）确定外包管理团队职责，并对其行为进行有效监督。