银行业务外包风险评估工作实施方案叁篇

1、银行业务外包风险评估工作实施方案叁篇 承包方业务处理不规范引发风险。承包方因业务处理不规范而出现重大差错、因人员管理不到位发生重大违规事件，这就会给银行造成经济损失。有的承包方在业务承接过程中侵犯他人知识产权，导致银行使用其产品后被第三人诉讼侵权，易引发法律纠纷。在业务外包过程中，如果承包方属于把持行业或单一业务来源的，容易造成外包价格的不合理，导致其成本过高而难以发挥业务外包的优势。 承包方缺乏外包资质引发风险。主要表现为承包方因本身不具备独立法人资格，缺少具备专业资格的从业人员、缺乏从事相关项目的经验而无法完成所承接的外包业务。此外，一旦银行对承包方准入要求不严格，易使报价较低的承包方中标

2、，这样就容易导致因外包业务质量不达标而无法满足银行的业务需要。承包方因缺乏资质极易引发违约风险，具体表现在，一方面因为承包方自身资历和能力有限无法按合同约定的要求，继续提供优质服务。另一方面承包方在履行合同期间因其经营管理、财务状况等发生重大变化导致丧失履约能力，无法持续提供合同约定的服务义务。 银行未规范评估体系引发风险。在操作过程中，银行尚未形成规范统一的评估体系、科学合理的定价机制和先进有效的管理模式。这也容易造成对外包人员的管理疏忽，如外包押运业务中，之前的提解人员是银行员工，言行举动等相关信息银行都能及时掌握，执行业务外包后，对人员管理、问题纠改的针对性不强，造成管理滞后;在现金清分

3、整点外包过程中，对外包员工疏于管理，员工的责任心不强，在需要突击工作任务时无后备人员，存在大额整点差错等风险隐患。 客户信息被泄密引发风险。主要包括银企集中对账、贷记卡资料录入、贷记卡不良委托催收中因外包人员工作疏忽而导致的客户信息泄密。如，客户对账单在由第三方邮寄时，由外包方打印封装并邮递，对账单中写有客户个人重要信息，在贷记卡资料录入时，外包人员掌握申请客户的资料信息，这些环节一旦监管不善，易产生客户信息被泄密风险。 银行监管不全面引发风险。即对外包机构是否按照外包合同的约定履行义务，这点银行缺乏规范的监督和管理办法。如，对外包机构与外包服务人员订立书面劳作合同、薪酬支付、社会保险(放心保

4、)费缴纳等履行义务事项的监督不到位;对外包公司的外包服务人员进行岗前公共职业培训的监督不到位等。再如外包协议明确规定外包人员劳作关系归属外包公司，工资福利保险均由外包公司发放缴纳，但在施行中也发现部格外包人员未与外包公司签订用工协议，外包公司没有全部替外包人员缴纳社会养老保险等非法用工状况的发生。 外包合同违约引发风险。一方面表现为承包方资历有限无法按合同约定要求继续提供优质服务等违约行为，致使银行业务优势在外包业务中难以发挥。另一方面表现为承包方在履行合同期间由于经营管理、财务状况等发生重大变化而丧失履约能力，无法持续提供合同约定的服务义务，银行假设未采用有效应对措施，很有可能遭受重大损失。

5、 风险防范对策 随着银行业务规模扩张和提升效率、降低成本等业务需求的加强，部分非核心业务的外包运作模式呈扩张趋势。对此，银行必须结合风险可控的管理要求，制定规范的操作办法，平稳有序的开展外包业务。 建立完善的外包业务制度。合理确定业务外包的范围，依据银监会公布的商业银行外包风险管理办法中规定的外包业务进行分类，以特别管控重点。同时明确业务外包的方式、条件、程序和实施等内容，在避免将核心业务外包的同时，还要保证方案的完整性和可继续性。在认真听取外部专业人员对业务外包的看法后，依据其合理化建议来完善实施方案。 强化业务开展前的调查工作。银行在业务开展前应深入调研，保证承包方的主体合法性。调查承包方

6、的专业资质、技术实力及其从业人员的职业履历和专业技能。此外，要综合合计内外部因素，对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析，合理确定外包价格，严格控制业务外包成本。同时严格按照规定的程序和权限从候选承包方中通过招标形式，择优做出选择，并建立严格的回避制度和监督处罚机制，避免相关人员在选择承包方过程中出现受贿和作弊违法行为。 强化法律审查明确自身责任。在合同的内容和范围方面，明确承包方提供的服务类型，界定服务环节、服务要求、服务费用等。合同法作为界定双方权利义务的依据，明确银行有权催促承包方改善服务流程和方法，承包方有责任按照合同协议规定的方式和频率，对存在的问题进行

7、限期整改;在强化合同的服务和质量标准方面，应当规定承包方最低的服务水平要求;在合同的保密事项方面，应具体约定关于涉及银行机密的业务和事项，承包方有责任履行保密义务的责任。 实施动态管理保证自身权益。严格审查承包方的履约能力，开展日常绩效评价和定期考核制度，一旦发现偏离合同目标等状况，应及时要求承包方调整改善。完善应急处理机制，避免业务外包失败造成经营活动的中断。一旦承包方存在违约行为，应及时终止合同，并按照法律规定向承包方索赔。强化对外包人员的遵守法律教育，强化监督和风险排查的力度，避免违规行为的发生。 银行业务外包风险评估工作实施方案2 银行业商业模式正在经历很大的变革，我国金融服务外包行业

8、规模浮现突发式增长，市场规模已达150亿元。然而，监管盲区长期存在，金融服务外包潜在风险也被市场所担忧。 经济参照报记者22日从银行业权威渠道获悉，近期，银监会对商业银行下发了一份银行业金融机构信息科技外包风险管理指引(征求看法稿)(以下简称指引)，首次对金融服务外包提出具体要求。指引明确指出，银监会有权要求服务提供商接受外部机构的审计，并且将与其派出机构对银行业金融机构信息科技外包工作进行监督检查，对服务提供商提供的外包服务活动风险状况进行延伸检查，监督检查结果应纳进对银行业金融机构的监管评级。据悉，目前已有地方银监局开始摸底商业银行的金融服务外包项目。 现状 金融服务外包行业规模达150亿

9、元 "今年前三季度我国出口只增长了7 .4%，但与此形成鲜亮对比的是我国服务外包产业坚持着旺盛的生产活力。'商务部部长助理李荣灿对记者透露，"据初步统计显示，今年前三季度我国企业承接服务外包合同金额308亿美元，同比增长54%。其中承接国际服务外包合同资金金额213亿美元，同比增长46 .5%。'李荣灿认为，当前，我国金融行业结构调整势在必行，这要求金融企业专注于主营业务，开展精细化运作，而关于非主营业务则需要通过外包的方式降低成本，提升效益，不断提升自身的核心能力。因此，金融服务外包的兴起有其必定性。 早在90年代末，我国国内银行业建立起了一套自己的业务系

10、统，业务系统之间的数据交互越来越形成一张网状，2007年到2021年，很多金融机构不但建设了自己的数据平台，而且还拥有一些商业智能分析的系统，但是，从我国整个银行业来看，并不是所有机构都有资源和能力革新数据系统以及后台操作系统，因此外包服务商借机进入金融市场，为其提供应用开发、后台系统处理、客服中心等一系列服务。 中国服务外包研究中心副主任金世和认为，无论金融服务外包市场规模已达到了150亿元，但在全球金融服务外包市场份额的占比依旧很小，仅占0.2%，这意味着，金融服务外包市场的发展潜力庞大。 但是，从市场需求来看，关于国内商业银行而言，国有大行基本上都拥有自己的IT团队和产品、系统研发团队，

11、因此，金融外包服务提供商最大的合作机会是中小银行，中小银行为了自身发展需要，也对外包服务需求旺盛。"作为中小银行来说，应该说大部分业务都需要靠外包来完成。因为从自身的能力来看，无论是人力资源还是技术，都与大银行相比存在差距，因此只能走外包这条路，一方面是节约成本，另一方面也是通过这种分工提升效率。'上海银行信息技术部副总经理桑登云坦言，"但是，从目前我国金融服务外包市场的发展水平来看，也有局限性，我们也正在从一种被动式的外包转变到去思索它的运作模式和管理方法。' 在与金融外包服务提供商的合作项目上，光大银行信息科技部负责人姜健对经济参照报记者表示"

12、从行业的角度来看，银行过去做IT建设方面常见的形式基本上是和合作伙伴共同开发建设一套系统，共同去运维某个项目，其实我们现在的外包项目中很多会选择对行业经验比较丰富的解决方案公司，或者是产品型的公司，关于专业的外包公司来说现阶段来讲其实合作得相对较少，主要是在人力资源的补充上。但如果是按照调结构的策略下，将来在自助的平台下，规范管理机制下可能对专业性的外包公司需求可能比以前有一个比较大的提升。' 风险 外包市场管理模式尚不成熟 事实上，我国银行业金融机构对外包服务提供商还未形成统一的评估体系、定价机制以及管理模式。银监会方面认为，银行业金融机构将信息科技外包服务集中交由少量服务提供商承接

13、而产生的风险，可能造成集中性的服务中断、质量下降、安全事件等。据了解，金融服务外包提供商和银行之间的合作基本上是靠双方制定的合同来约束，但事实上，最终出现风险之后大多依旧由银行来承当。 在银监会下发的指引中可见对金融服务外包的风险提示，银监会认为，信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：第一，科技能力丧失，即银行业金融机构过度依赖外部资源导致失去科技革新及控制能力，影响业务革新与发展;第二，业务中断，即支持业务运营的外包服务无法继续提供导致业务中断;第三，信息泄露，即包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露;第四，服务水平下降，即由于外包服

14、务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。 银监会在指引中所称信息科技外包是指银行业金融机构将原本由自身处理的信息科技活动委托给服务提供商进行处理的行为。包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。 从整个金融外包服务市场的环境来看，"服务提供商的水平普遍不高，除了市场原因以外，还有一个重要的原因，IT外包行业，或者是软件行业是一个典型的知识密集型行业，而我国的外包服务企业普遍比较重视从客户关系，对技能、方法论体系以及人才的培训机制基本上还没有有效地建立，所以一方面不能够满足目前客户的要求，另一方面银行参加其中如果涉及到后台系统的

15、产品，必定也存在一定的操作和管理风险。' 有市场人士对经济参照报记者表示，"金融行业是一个特别的行业领域，近年来，正是由于金融服务外包行业的快速发展，信息泄露等案件发生率增高，然而银行与服务外包商的合作过程中，监管规则存在缺失，因此面对这一银行有需求的新兴服务市场，监管部门的监管地位也比较尴尬。' 监管 银监会要求实施"名单制'管理 据银监会内部知情人士对经济参照报记者透露，针对银行与金融系统信息安全问题，银监会已酝酿新成立信息科技监管部，银监会主席尚福林也强调，各银行业金融机构要强化银行业信息科技监管督导和专项排查。 早在2009年6月1日，银监会

16、公布的商业银行信息科技风险管理指引中，就对信息科技业务外包提出要求，比如涉及银行客户资料的外包在准备实施时应以书面材料正式报告银监会或其派出机构，并告知相关客户;又比如银行客户资料与外包服务商其他客户资料须有效隔离、按照"必须知道'和"最小授权'原则对外包服务商相关人员授权、要求外包服务商保证其相关人员遵守保密规定等。 此次，银监会针对金融服务外包提出了更具体的要求，包括"银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，并对服务提供商提供的外包服务活动风险状况进行延伸检查。银监会有权要求外包服务提供商接受外部机构的审计。监督检查结

17、果应纳进到银行业金融机构的监管评级。' 另外，关于风险较高的信息科技外包服务，银监会或其派出机构可暂缓、中止服务。直至银行业金融机构、外包服务提供商有效改正。同时，为了防范因高机构集中度外包服务导致的行业性、区域性信息科技风险，银监会执行重点外包服务机构风险监测机制，定期对银行业公布重点外包服务机构名单，对其进行非现场风险监测和延伸现场检查。同时也对外包服务提供商制定"黑名单'管理机制。 "这意味着，监管层已经出手开始规范银行与外包服务提供商的合作，并且很有可能要深入监管到外包公司里面去，如果银行把主要业务、核心业务给到外包公司合作的话，那么，作为银行里面的

18、审计部门就将成为第三道防线，这对银行研究外包服务提供商的准入门槛、评估体系都提出了一定的要求。'姜健对经济参照报记者说。 银行业务外包风险评估工作实施方案3 为深入了解和掌握业务外包风险状况，促进业务外包健康发展，同时推动巴塞尔新资本协议实施，推广使用操作风险管理工具，总行决定对我行业务外包进行风险评估。依据总行关于开展今年下半年专项风险评估工作的通知(农银办发【今年】726号)及中国农业银行河南省分行业务外包风险评估工作实施方案要求，结合我行业务外包实际，特制定本实施方案。 一、评估的背景和目标 (一)开展业务外包风险评估的背景。 一是总行中国农业银行今年风险管理工作要点明确制定了上

19、半年开展清算中心业务风险评估，下半年开展后台中心风险评估总体工作布署，但鉴于全行"三大中心'建设各行进度不同，大部分行下半年"三大中心'建设未全面完成，不能在全行进行后台中心风险评估，总行决定在后台中心、业务外包、小额农贷三个板块领域开展专项风险评估，我行被总行划分在业务外包板块进行风险评估。二是实施操作风险经济资本高级计量法的要求。总行已将经济资本分配到各部门、各级行，为保证计量数据的准确，"让数据和事实说话'，总行逐步在主要业务条线开展风险评估，通过有步骤的、按部就班的推动各条线风险评估，全面识别不同条线面临的主要风险和潜在风险，针对不

20、同环节风险和风险程度及时采用措施，有效防控风险，构建科学的风险管理机制。 (二)开展业务外包风险评估的意义。 通过开展业务外包风险评估，可以从制度、流程、协议等方面查找并发现我行主要外包业务存在的缺陷和不够，并通过完善制度、优化流程、修改协议等措施，提升我行业务外包整体风险防控能力。 (三)评估目标。 1、清查业务外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。 2、以风险为导向，全面排查业务运行中存在的各类风险隐患，查找风险管理中存在的各种问题。 3、在定性定量分析风险事件和损失、风险隐患、风险管理状况的基础上，判断将来内外部环境改变后风险变化趋势，多角度、

21、系统性地提出整改看法，建立健全风险控制机制，强化风险防范，促进业务优化和发展。 二、评估对象及范围 结合总行评估要点所涉及的主要业务领域及我行业务外包实际，本次业务外包风险评估仅限运营管理、信用卡和安全保卫3个业务条线外包活动，具体业务产品或管理活动详见风险评估内容及要点(见附件2)。 (一)评估对象。 我行业务外包风险评估对象为市分行运营管理部、电子银行部(信用卡业务)、安全保卫部及各县级支行与三个条线业务外包相关的业务管理部门。 (二)评估范围。 一是风险事件及损失评估。收集范围为2008年1月1日至今年9月30日发生的业务外包类风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事

22、件及损失等。 二是风险隐患评估。包括：产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患;外部欺诈、客户信用、外包供应商势力等外部因素存在的问题和隐患;将来1-2年内，内外部环境变化导致的问题和隐患。 三是风险管理状况评估。风险识别与监控、风险评级、风险分类分级、风险报告与分析、风险处置与应急、风险抵补、风险考核等方面存在的问题和缺陷。 (三)评估方式。 本次业务外包风险评估采用自查评估和现场督导评估。一是自查评估。市分行运营管理部、电子银行部(信用卡业务)、安全保卫部及县级支行与三个条线业务外包相关的业务管理部门，在本级行业务外包风险评估领导小组组织下进

23、行业务外包自查评估。各支行的派驻风险合规经理要参加派驻行业务外包的自查。二是现场督导评估。省分行业务外包风险评估领导小组将视各二级分行(县支行)自查评估状况，组织相关人员对辖内二级分行风险评估自查状况进行督导抽检。关于政策制度、流程环节、风险管理类要点，可通过访谈的方式，结合要点内容，查找业务外包存在的问题和隐患。 三、工作组织及部门职责 (一)工作组织。 1、成立业务外包风险评估工作领导小组。市分行成立业务外包风险评估工作领导小组，统筹安排和协调组织全市业务外包风险评估工作。领导小组组成如下： 组 长：董洪武(分管信贷管理工作副行长)。 副组长：信贷管理部、运营管理部、电子银行部、安全保卫部

24、部门负责人。 成 员：信贷管理部、运营管理部、电子银行部、安全保卫部、财务会计部、内控合规部、信息技术管理部指定1-2名业务专业人员为成员。 市分行业务外包风险评估工作领导小组下设办公室，信贷管理部承当领导小组办公室工作职责。 2、成立4个业务外包自评估小组，分别为运营业务外包小组、信用卡业务外包小组、安全保卫业务外包小组、综合支持保证小组。每个小组选派本部门2-3名业务骨干为组员，具体负责组织实施本业务条线自评估阶段有关工作(市分行业务外包评估领导小组工作职责一览表见附件1)。 (二)部门职责。 1、运营业务外包小组。组长由运营管理部负责人担任，小组成员由运营管理部选派2-3名业务骨干组成。

25、其主要职责包括： 对会计凭证扫描补录、会计凭证专用包寄递、银企对账单制作寄递等业务外包进行风险评估，采用访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录(附件3)，关于发现的问题填写风险隐患统计表(附件4)。 通过评估查找掌握相关的风险事件和风险隐患，填写风险隐患统计表(附件4)、风险事件统计表(附件5)。 依据运营管理条线评估自查状况，撰写运营条线业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、银企对账业务外包开展状况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理看法。 2、信用卡业务外包小组。组长由电子银行部负责人担任，小组成员由电

26、子银行部选派2-3名业务骨干组成。其主要职责包括： 对商户收单、贷记卡申请资料集中录入等业务外包进行风险评估，采用访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录(附件3)，关于发现的问题填写风险隐患统计表(附件4)。 通过评估查找掌握相关的风险事件和风险隐患，填写风险隐患统计表(附件4)、风险事件统计表(附件5)。 依据信用卡业务条线评估自查状况，撰写POS商户服务和信用卡对账单打印寄送业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、POS商户服务和信用卡对账单打印寄送业务外包开展状况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理看法

27、。 3、安全保卫业务外包小组。组长由安全保卫部负责人担任，小组成员由安全保卫部选派2-3名业务骨干组成。其主要职责包括： 对市场化守护押运、自助机具巡查、保安服务、视频监控中心监控业务外包进行现场评估，依据各单位提交的各类评估表格、报告和材料，抽取部分经营行，采用访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录(附件3)，关于发现的问题填写风险隐患统计表(附件4)。 通过现场评估查找掌握相关的风险事件和风险隐患，审核被抽检单位上报的风险事件、风险隐患和业务统计数据，关于发现的漏报、错报、多报，数据不准确、内容不规范、材料不全面等状况，及时对风险事件统计表(附件4)、

28、风险隐患统计表(附件5)及相关附件材料进行补充、调整和修改。 依据安全保卫条线评估自查状况，撰写守库押运、保安服务业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、全行守库押运、网点保安业务外包开展状况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理看法。 4、综合支持保证小组。组长由市分行信贷管理部负责人担任。小组成员由信贷管理部选派2名业务骨干，财务会计部、内控合规部、信息技术管理部各选派1名业务骨干组成。其主要职责：一是牵头制定全市外包业务风险评估工作实施方案并组织实施。二是组织召开风险评估工作领导小组及评估小组会议。三是撰写全行外包业务风险评估报告。四是负责收

29、集法律支持等检查资料、参加现场评估、针对风险评估结果提出整改看法，并负责评估后本条线风险隐患的整改督办。 各县级支行要比照市分行成立业务外包评估工作领导小组，组织辖内运营管理、信用卡、安全保卫等相关条线业务外包风险评估。支行业务外包自评估工作由支行负责安全保卫的副行长牵头开展，派驻风险合规经理参加驻地行业务外包自评估及审核工作。 (三)分层评估。 为避免各级行对全行普遍共用的制度、流程、系统等评估要点在风险评估理解上的偏差，更合理的分配和协调评估人员工作，省分行统一了评估制度、流程、系统等评估要点，并进行WORD文档说明，二级分行关于制度、流程、系统等缺陷问题，也可结合工作实际提出建设性看法。

30、二级分行及县级支行主要负责业务外包的操作风险隐患排查、风险事件报告、填报相关统计报表及自查报告，自查报告要对辖内出现的典型案例进行描述分析。 四、工作具体安排 本次外包业务风险评估工作拟自10月8日开始，至11月17日结束，分为准备布暑、评估实施、市分行分析报告和省分行现场督导四个阶段，具体工作步骤如下： (一)准备布暑阶段(10月8日至10月18日)。 1、成立业务外包风险评估工作领导小组。按照总、分行评估工作要求，市分行成立以市分行党委委员、副行长董洪武为组长，信贷管理部、运营管理部、电子银行部、安全保卫部、财务会计部、内控合规部等部门为成员的评估工作领导小组，具体组织全行业务外包风险评估

31、工作。 2、制订评估实施方案。市分行信贷管理部牵头，会商运营管理部、电子银行部、安全保卫部制订全行业务外包风险评估实施方案，明确评估范围和评估方法，细化评估步骤，落实评估责任。实施方案报领导小组组长审定后印发实施。 3、下发正式通知，安排布暑评估工作。关于开展业务外包专项风险评估工作的通知经行领导审定后印发，各行、相关部门认真按照要求组织和落实业务外包风险评估工作。 (二)自查阶段(10月19日-11月2日)。 市分行运营管理部、安全保卫部、电子银行部及县级支行与三个条线业务外包相关的业务管理部门，要严格按照评估目标、对象及范围(重点是附件2所列的评估内容及要点)分别对银企对账、守库押运、保安服务、POS商户服务、信用卡对账单寄送业务外包状况开展自查，逐项对评估要点内容进行作答，并依据自查状况及相关要求填制各类统计表，整