外包软件风险管理

1、外包风险管理制度第一章总则第一条 为有效她外包风险进一步完善全面脸管理体系，保证本 行各项业务的持续发展 依据中国银行业监1管理委员会商业银行外包 风险管理指引并结合府实际，制定本政策第二条本政策所指的外包风险是指银行业金融机构将原来由自身负责 处理的某些业活动委J给服务提偏进行持续b理中护生的风险服务 提供商包括独第三方，银行业金融机构母公司或其所康团设立在中国境 内、外的子阑、关联伺或附属几构。第三条本行外包风险管理是才识别、评估、监测和控制外刨险的全过 程。第四条本行外包服管理的原则是：适宜适度、1慎管理、动态预防。第五条本行外包服管理的政!取向是主动防范即在满足监管要求 的基础上，积采

2、取有效勺管理措晰严格执行将外刨险降低镰低程 度。第六条本行外包服管理的！标是通过t立适时合理、有效的外包风 险管理机制，现对外刨险的识别评估、监测和控制将外包脸控制 在本行可以馥的范围之内，以推动本行的擞、健康运行。第七条本行通过皴科学的万险管理溯架构划分明确版险管理职 责、制定有效风险管S策略、程序和制度，卿考核监督，持续隹动外包 风险管理工倘开展。第八条本行的战略管理、核心管理U及内部审计等职育不宜外包。第二章外包质险管理的缈架构禾职责第九条本行建立马卜包风险相适应的部架构，包括董事会董事会风 险管理委员会高级管驱。第十条董事会对弛风险管理勺及时哒和有效性橄最终职责。具体包括：（一）制定与

3、本行战略0标一致的外包风险管!政策禾风险管理机制，建立并完善外翎险管理体系（二）监督高级管理层在风险管理体系内对外包风险进行适当管理和控制；（三）根据内部审计的缥，督促高级管理层十对内酒计发现枷题采取及时有效的整改措施，并适时调整和完善皆卜包风险!理的策略口程序；（四）授权斯取董事会耶佥管S委员会开展卜包风险!理的相为:作。第十一条董事会撒风险管S委员会行使以下外倒险管S职责：（一）制定徇战略发剧划；（二）定期蒯本行外包!动相关报告；（三）根据萄外包事瑜实际情，安排椰审计；（四）董事领定的其f职责。第十二条高级管理层8职责主要包括以下廊：（一）制定徇风险管珊制度、操作流程和3控制度（二）确定外

4、也务的范围及相关安排（三）确定外德理团队职t并对其行为进行有效监督（四）在业务外实施前向银行监管部报告。第三章风险管理的内容第十三条本行在进行外包活动时应当对服务樱商进行尽职调查外包 活动涉及多个!务提供商寸，应当对这些服务樱商进行关联关系的调查。尽职调查要能敏保对服提供商&技术能力烤业能力业务策略口业务 规模，业务连性及破飒险，风贤制能力及卜包服务勺集中度觎够的 了解。应与外服务供应|建立有滥联络、沟通和信息交流机制，并应制 定在意外情况能够实现卜包服务供应商顺利变更，保讷卜包服务桐断的 应急预案。第十四条本行在琳外包活动中，应当关注外包*动的战略风险、法律 风险、声誉风险、合规风险、操作风

5、佥、国别风险?风险，并及时予以防范第十五条本行开I外包活动时应当签讷面合同或协议，明确双方的权 利义务。对于有专业挪性的外包!动，可签T服务标准协议。布在外 包合同或协议明确外包艮务提供前包的风险并在合同或协议W定服 务提供商不徽外包活动转包或变相转包。第十六条本行在签定外包合同中应当要求外包服务提供商承诺相关事 项。第十七条本行在外包活动中应当建立福的客户信1、保密制度，并依法 履行告知义务第四章风险管理的程序第十八条董事会监控全行外倒险管理勺总体状况口有效性承担外包 风险管理的麟责任。第十九条外包事项在董事会授予经营层相应权限涸内的该外包事项 由经营层审批超过董张授予经营层相应权限范围的外

6、包事项，隆营层 报董事会审批第二十条高级管理层按年度向董事会风险管理委员会提交本行外包风 险管理书面豳报告，倒说明麻管理情涮下一院善措施。第二十一条本行通司建立外包?发事件应急预案和机制，对本行发生的 重大外包风险事件进行管！。高级管!层对外包!发风险事件应及时启动应 急计划，并在第时间向（事会风降理委员会口监管部报告，并通过采 取替代方案、寻求合同项下的保险安排等措施确保业务活动的商经营。第二十二条内部审计部门定|对外包风险舌动进彳全面审计与评价审 计结果直接向事会风险!理委员会报告。对监管部门现场检查和斯部审 计机构审计中觌的问题 在高级管!层落实檄措施后 及时向S事会风 险管理委员会报告

7、。第五章考核第二十三条高级管理层应针对外包风险管理建立明确的内部评价考核 机制，做到脸与收益推。第二十四条本行应建立相关的卜包风险问责制度以推动业务发展质量 的全面提升。第六章附则第二十五条本政输负责解释第二十六条本办法自发布之困执行。附：外包业纳急计划外包业务中断应急计划为保障（以下简称本行）外包业务的顺利爆，保证k务的连续性，避免因外包影响:行正常业务，依据栖银行业监督管理委员会商业银行外包风险管理指I并结行实际特制定本h划。外包业务中断指外包服务商由于破产或单方面终止合同而导致的外包系统无法正常运御情况。一、预警机制1、应加强信段全监测分析和预警工作建立信息安4事件报告制度。按照“早发现早报告、早处置”噬则，加弓对外包簌的突发建事件和可能引发载安全事件勺有关信I的收集、分析判邮口持续监测2、定期对彳包单位进行评估、监测确保彳包单位的外包能力。3、严格执律卜包合同伯关外包单位的履约义务，服务提供商帝将外包活动转包或变相转包。4、加强本行对外包事瑜内部审计。5、加强本行5相同外锄能的服商的交流与沟通，避免出现外1中断导致业务长期无法恢复，对服务制行等级谁。二、工作程序1、一旦发生外蚀断情况，应立即向应急处理小组相关公共I位汇报情况。2、立即与外S单位取得联系，确人中断原因提出俯办法。3、做好系统备份数据的保管工作4、对已经板成功的业务不需做其