外包软件风险管理

第一章 总 则

第一条   为有效防范外包风险，进一步完善全面风险管理体系，保证本行各项业务的可持续发展，依据中国银行业监督管理委员会《商业银行外包风险管理指引》并结合本行实际，制定本。

第二条 本所指的外包风险是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理中所产生的风险。服务提供商包括第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第三条 本行外包风险管理是指识别、评估、监测和控制外包风险的全过程。

第四条 本行外包风险管理的原则是：适宜适度、审慎管理、动态预防。

第五条 本行外包风险管理的取向是：主动防范。即在满足监管要求的基础上，积极采取有效的管理措施并严格执行，将外包风险降低到最低程度。

第六条 本行外包风险管理的目标是通过建立适时、合理、有效的外包风险管理机制，实现对外包风险的识别、评估、监测和控制，将外包风险控制在本行可以承受的范围之内，以推动本行的持续、健康运行。

第七条 本行通过建立科学的风险管理组织架构，划分明确的风险管理职责、制定有效的风险管理策略、程序和制度，强化考核监督，持续推动外包风险管理工作的开展。

    第 本行的战略管理、核心管理以及内部审计等职能不宜外包。

    第二章 外包风险管理的组织架构和职责

第九条 本行建立与外包风险相适应的组织架构，包括董事会、董事会风险管理委员会、高级管理层。

第十条 董事会对外包风险管理的及时性和有效性承担最终职责。具体包括：

（一）制定与本行战略目标一致的外包风险管理和风险管理机制，建立并完善外包风险管理体系；

（二）监督高级管理层在风险管理体系内对外包风险进行适当管理和控制；

（三）根据内部审计的结果，督促高级管理层针对内部审计发现的问题采取及时有效的整改措施，并适时调整和完善有外包风险管理的策略和程序；

（四）授权并听取董事会风险管理委员会开展外包风险管理的相关工作。

第十一条 董事会授权风险管理委员会行使以下外包风险管理职责：

（一）制定外包战略发展规划；

（二）定期审阅本行外包活动相关报告；

（三）根据本行外包事项的实际情况，安排内部审计；

（四）董事会确定的其他职责。

 第十二条 高级管理层的职责主要包括以下方面：

（一）制定外包风险管理的制度、操作流程和内控制度；

   （二）确定外包业务的范围及相关安排；

   （三）确定外包管理团队职责，并对其行为进行有效监督。

 （四）在业务外包实施前向银行监管部门报告。

    第三章 风险管理的内容

    第十三条 本行在进行外包活动时应当对服务提供商进行尽职调查，外包活动涉及多个服务提供商时，应当对这些服务提供商进行关联关系的调查。尽职调查要能够确保对服务提供商的技术能力及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度有足够的了解。应与外包服务供应商建立有效的联络、沟通和信息交流机制，并应制定在意外情况下能够实现外包服务供应商顺利变更，保证外包服务不间断的应急预案。

第十四条 本行在开展外包活动中，应当关注外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险，并及时予以防范。   

第十五条 本行开展外包活动时应当签订书面合同或协议，明确双方的权利义务。对于具有专业技术性的外包活动，可签订服务标准协议。本行在外包合同或协议中明确外包服务提供商分包的风险，并在合同或协议中约定服务提供商不得将外包活动转包或变相转包。

第十六条 本行在签定外包合同中应当要求外包服务提供商承诺相关事项。

第十七条 本行在外包活动中应当建立严格的客户信息保密制度，并依法履行告知义务。

第四章 风险管理的程序

第十 董事会监控全行外包风险管理的总体状况和有效性，承担外包风险管理的最终责任。

第十九条 外包事项在董事会授予经营层相应权限范围内的，该外包事项由经营层审批；超过董事会授予经营层相应权限范围的外包事项，由经营层报董事会审批。

第二十条 高级管理层按年度向董事会风险管理委员会提交本行外包风险管理书面监测报告，详细说明风险管理情况和下一步完善措施。

第二十一条 本行通过建立外包突发事件应急预案和机制，对本行发生的重大外包风险事件进行管理。高级管理层对外包突发风险事件应及时启动应急计划，并在第一时间向董事会风险管理委员会和监管部门报告，并通过采取替代方案、寻求合同项下的保险安排等措施，确保业务活动的正常经营。

第二十二条 内部审计部门定期对外包风险活动进行全面审计与评价，审计结果直接向董事会风险管理委员会报告。对监管部门现场检查和内外部审计机构审计中发现的问题，在高级管理层落实整改措施后，及时向董事会风险管理委员会报告。

 第五章 考核

第二十三条 高级管理层应针对外包风险管理建立明确的内部评价考核机制，做到风险与收益挂钩。

第二十四条 本行应建立相关的外包风险问责制度，以推动业务发展质量的全面提升。

第六章 附 则

第二十五条 本由负责解释。

第二十六条 本办法自发布之日起执行。

附：外包业务应急计划

外包业务中断应急计划

 为保障（以下简称‘本行’）外包业务的顺利发展，保证业务的连续性，避免因外包影响本行正常业务，依据中国银行业监督管理委员会《商业银行外包风险管理指引》并结合本行实际，特制定本计划。

 外包业务中断指外包服务商由于破产或单方面终止合同而导致的外包系统无法正常运行的情况。

一、预警机制

1、应加强信息安全监测、分析和预警工作，建立信息安全事件报告制度。按照“早发现、早报告、早处置”的原则，加强对外包系统的突发安全事件和可能引发突发安全事件的有关信息的收集、分析判断和持续监测。

 2、定期对外包单位进行评估、监测，确保外包单位的外包能力。

 3、严格执行外包合同中有关外包单位的履约义务，服务提供商不得将外包活动转包或变相转包。

 4、加强本行对外包事项的内部审计。

 5、加强本行与相同外包功能的服务商的交流与沟通，避免出现外包中断导致业务长期无法恢复，对服务商进行等级评定。

 二、工作程序

 1、一旦发生外包中断情况，应立即向应急处理小组、相关公共单位汇报情况。

 2、立即与外包单位取得联系，确认中断原因，提出协商办法。

 3、做好系统备份数据的保管工作。

 4、对已经提交成功的业务不需做其他处理，对已提交而未成功的交易手工做退账处理。

 5、对外包业务客户做好安抚与解释工作，避免出现意外情况，影响正常业务。

 6、对能够协商处理的事件，应先恢复系统运行，再解决商议事项。

 7、经确认确实无法恢复系统运行的，应报应急领导小组，重新设定外包服务商，尽快恢复外包系统的运行。