XX银行股份有限公司外包风险管理办法

1、XX 银行股份有限公司外包风险管理办法第一章 总则第一条为了规范 XX 银行股份有限公司（以下简称我行）的外包活动，保障我行业务持续经营，依据中国银监会银行业金融机构外包风险管理指引等有关法律法规、XX 银行股份有限公司全面风险管理办法，制定本办法。第二条 本办法中的外包是指我行将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方，我行母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。第三条 为满足发展战略，提高服务能力和综合竞争力，我行在“风险可控”的前提下可将部分业务或操作环节外包给外部专业机构处理。第四条我行的战略管理、核心管理以

2、及内部审计等职能不可外包。第二章 组织分工与职责第五条董事会和高级管理层承担外包活动的最终责任。第六条董事会的外包管理职责主要包括以下方面：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准外包范围及相关安排；（四）定期审阅外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。第七条高级管理层的职责主要包括以下方面：（一）制定外包战略发展规划；（二）制定外包风险管理的政策、操作流程和内控制度；（三）确定外包业务的范围及相关安排；（四）对全行外包活动的管理进行有效监督。第八条总行各部门按分工对本部门职责范围内的外包事项进行管理，并明确外包管理团

3、队。外包管理团队的职责主要包括以下方面：（一）执行外包风险管理的政策、操作流程和内控制度；（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；（三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；（四）在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施；（五）高级管理层确定的其他职责。第九条总行风险管理部牵头负责外包业务的风险管理；法律合规部负责外包活动的法律风险、合规风险、操 作风险等的审查、监控、评估等具体工作；信息科技部负 责外包活动的信息科技风险审查、监控、评估等具体工作；办公室负责外包活动的声誉风险审查、监控、评估等具体 工作。第十条总

4、行审计部负责对全行外包活动的管理和执行情况进行内部审计。第三章 风险管理第十一条开展外包活动时，风险管理部应组织法律合规部、信息科技部、办公室和外包活动发起部门的外包管理团队共同评估以下风险因素：（一）外包活动的法律风险、合规风险、操作风险、信息科技风险、声誉风险等风险；（二）影响外包活动的外部因素；（三）对外包活动的风险管控能力；（四）服务提供商的技术能力及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度；（五）其他关注的事项。第十二条各部门外包管理团队应对服务提供商进行尽职调查，尽职调查应当包括以下事项：（一）管理能力和行业地位；（二）财务稳健性；（三）经

5、营声誉和企业文化；（四）技术实力和服务质量；（五）突发事件应对能力；（六）对银行业的熟悉程度；（七）对其他我行提供服务的情况；（八）我行认为重要的其他事项。当外包活动涉及多个服务提供商时，应当对这些服务提供商进行关联关系的调查。第十三条开展外包活动时应当签订书面合同或协议，明确双方的权利义务。合同或协议应当包括但不限于以下内容：（一）外包服务的范围和标准；（二）外包服务的保密性和安全性的安排；（三）外包服务的业务连续性的安排；（四）外包服务的审计和检查；（五）外包争端的解决机制；（六）合同或协议变更或终止的过渡安排；（七）违约责任。对于具有专业技术性的外包活动，可签订服务标准协议。第十四条外包

6、合同中应当要求外包服务提供商承诺以下事项：（一）定期通报外包活动的有关事项；（二）及时通报外包活动的突发性事件；（三）配合我行接受银行业监督管理机构的检查；（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，我行有权随时终止外包合同；（五）不得以我行的名义开展活动；（六）我行认为应当承诺的其他事项。第十五条外包合同中应明确约定服务提供商不得将外包活动转包或变相转包。第十六条外包合同中应明确以下事项：（一）不得将外包活动的主要业务分包；（二）主服务商对分包服务商的服务进行监控，在业务分包后继续保证对服务水平和系统控制负总责，确保分包服务商严格遵守主服务商与我行确定的外包合同或协议中

7、的相关条款；（三） 主服务商对分包服务商的变更履行通知或报告审批义务。第十七条 我行在外包活动中应当建立严格的客户信息保密制度，并依法履行告知义务。第十八条原则上不采用跨境外包，若确实需要开展跨境外包活动的，应当遵守以下原则：（一）审慎评估法律和管制风险；（二）确保客户信息的安全；（三）选择境外服务提供商时，应当明确其所在国家或地区监管当局已与中国银监会签订谅解备忘录或双方认可的其他约定。第十九条 各部门外包管理团队应事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施，确保业务活动的正常经营。第四章 报告与监督第二十条风险管理部应按照监管要求定期组织各相关部门对本部门外包活动进行评估，汇总评估报告并及时报送监管部门。第二十一条各部门在开展外包活动时如遇到对我行的业务经营、客户信息安全、声誉等产生重大影响